Artificial intelligence: Internal Audit prova d’esame in AI Governance

Artificial intelligence: Internal Audit prova d’esame in AI Governance

10 maggio 2024

di Francesco Domenico ATTISANO

L’integrazione delle tecnologie di intelligenza artificiale (AI) all’interno delle organizzazioni sta diventando sempre più diffusa. L’utilizzo dell’IA non è più solo una scelta aziendale e degli internal auditor; è un must nel complesso mondo odierno, intriso di tecnologia e attento alla sostenibilità.

L’intelligenza artificiale non è il futuro, bensì è l’oggi, essendo diventato il pane quotidiano di tutti e si evolve in ogni secondo. Basti pensare che una persona media interagisce con un programma di intelligenza artificiale ogni cinque minuti(1).

Idealmente, l’Internal Audit dovrebbe giocare in anticipo, sfruttando la tecnologia per migliorare l’efficienza e l’efficacia e creare consapevolezza del rischio e dei controlli all’interno dell’organizzazione.

Il ruolo dell’Internal Audit dovrebbe evolversi velocemente, di pari passo con la tecnologia, per affrontare una serie di nuove sfide (piene di  minacce e anche di opportunità); difatti, gli internal auditors possono svolgere un ruolo fondamentale nel fornire advisory e assurance sulla governance, l’efficacia, la cybersecurity, la privacydata protection, le performance responsabili dei modelli di intelligenza artificiale in fase di introduzione o in corso di implementazione all’interno delle organizzazioni. 

Gli internal auditors devono agire, per acquisire le conoscenze e le competenze necessarie per affrontare le complessità dell’AI e contribuire in modo efficace alla strategia di innovazione, in maniera responsabile(2).  In tal senso, la funzione/struttura di Internal Audit,  di ogni entity  (privata, pubblica o no profit che sia) ha i potenziali attributi per creare awareness sul tema AI, parlando e trattando dell’importanza dell’AI. Gli Internal Auditors dovrebbero discutere vantaggi e svantaggi dell’utilizzo dell’AI nell’entity e nel processo di audit interno con l’intera organizzazione, in primis con il Board aziendale (tramite incontri dedicati). 

Per le organizzazioni che esplorano l’AI, l’Internal Audit dovrebbe essere attivamente coinvolto nei progetti di IA fin dall’inizio, fornendo consigli e contributi concreti per un’implementazione responsabile una governance organizzativa efficace(3). Difatti, sfruttando l’esperienza nel valutare e comprendere i rischi e le opportunità legati alla capacità di un’organizzazione di raggiungere i suoi obiettivi, l’IA può supportare la propria organizzazione a valutare, comprendere e comunicare il grado in cui l’AI avrà un effetto (negativo o positivo) sulla capacità dell’organizzazione stessa di creare valore nel breve-medio o lungo termine. Invece, per le organizzazioni che hanno implementato qualche aspetto dell’AI o sfruttano già applicazioni AI, sia all’interno delle proprie operazioni che incorporato in un prodotto o servizio del suo modello di business), l’Internal Audit dovrebbe fornire assurance, ad esempio sulla gestione dei rischi legati alla affidabilità degli algoritmi sottostanti e ai dati su cui gli algoritmi si basano. In entrambe i casi, l’Internal Audit con i suoi servizi e attività può supportare attivamente l’organizzazione nel rispetto e conformità dei requisiti chiave della ISO 42001 (lo standard per un sistema di gestione responsabile ed etico dell’AI)(4).

Sempre in tema di governo d’impresa, il Modello delle Tre Linee dell’IIA, come framework della governance può fungere da strumento per aiutare un’azienda a considerare come navigare tra le opportunità e i rischi presentati dall’AI(5), nel rispetto di ruoli e responsabilità(6).

Come terza linea indipendente e obiettiva, l’Internal Audit dovrebbe riportare al Comitato di Controllo Interno e Gestione dei Rischi, ma potrebbe offrire una prospettiva esaustiva all’intero Board anche sul tema etica e altre questioni (vedasi ad esempio la sostenibilità e la conformance generale), consigliando su come i cambiamenti guidati dall’AI potrebbero modificare il profilo di rischio dell’organizzazione. Peraltro, per evitare la percezione di o sostanziali interferenze con l’indipendenza e l’oggettività, l’IA non dovrebbe essere proprietario né responsabile, dell’implementazione di processi, politiche o procedure correlate all’intelligenza artificiale. 

Altro elemento da considerare è il rafforzamento della collaborazione con la prima e seconda linea di controllo e gestione dei rischi, per divulgare e instillare l’AI. Ad esempio si potrebbero organizzare o agevolare dei workshop interni con un ordine del giorno prestabilito e prestabilite sessioni di brainstorming periodiche.  L’individuazione di attività di routine o di fasi automatizzabili in maniera intelligente potrebbe scaturire più facilmente dal confronto tra colleghi, riducendo il tempo su questioni più complesse e facendo risparmiare tempo nelle attività quotidiane, riducendo gli errori e consentendo di dedicarsi ad attività di maggior valore. Nel contempo, se l’AI viene utilizzata autonomamente senza una rigorosa review di intelligenza neurale, il rischio – minaccia potrebbe essere elevato. Ciò significa che è necessario far comprendere a tutti, considerando i veri attori del business (il Management, ovvero la prima linea di controllo e gestione dei rischi), che  è fondamentale implementare procedure di quality assurance o internal control correlate all’introduzione e implementazione delle applicazioni AI in azienda.

Ancora, l’Internal Audit ha l’opportunità di agevolare l’arricchimento di competenze trasversali a beneficio di tutti i partecipanti al tema AI, sia dal punto di vista degli hard skills (sul tema intelligenza artificiale applicato alle funzioni di internal control e risk management) che di soft skills  (miglioramento della comunicazione e rafforzamento della collaborazione tra i partecipanti, affinché l’intera organizzazione ne benefici).

A parere di chi scrive, risulta opportuno organizzare degli incontri con la funzione/ struttura HR, al fine di supportarla in un piano in-formativo di potenziamento delle competenze in tema AI. Inoltre, sarebbe importante individuare le tipologie di fasi, in cui è owner o ha un ruolo (in termini di struttura coinvolta o informata) l’IA,  per le quali potrebbe trarre vantaggio dall’uso dell’AI, condividendo con gli altri attori dell’organizzazione. In questo senso, quindi,  va considerato tutto il sistema di flussi di informazione e comunicazione con gli stakeholders interni sia esterni, per identificare le aree chiave all’interno di ciascun processo (compreso quello di auditing) in cui l’intelligenza artificiale può essere integrata per ottenere risultati migliori.  Inoltre, bisogna considerare le insidie e i bias​​(7) comuni, correlati all’utilizzo dell’AI nei processi di controllo interno e di gestione dei rischi dell’intera organizzazione. Riflettere sui limiti e gli svantaggi dell’eccessivo affidamento alla tecnologia, da parte dell’IA e delle altre funzioni di seconda linea, non va sottovalutato. Se i dati sono errati, incompleti, incoerenti, non precisi l’AI può essere distorsiva. Tale riflessione serve a garantire aprioristicamente che i dati siano accurati, completi e coerenti in tutti i sistemi e processi dell’organizzazione, figuriamoci in quelli di controllo e rischi. Bisogna essere trasparenti e i dati-risultati interpretabili e chiari, spiegando sin da subito la logica alla base delle decisioni basate sull’AI. In tal senso, conviene stabilire, nello specifico, come si configura operativamente l’utilizzo degli strumenti di AI nei processi (doveroso l’intervento della funzione/ struttura IT e beneficiando di  eventuali competenze dei team progettuali e trasversali che stanno già lavorando sul tema AI o che sono in fase di costituzione). 

In sostanza,  si ritiene che promuovere la gestione del cambiamento per la trasformazione digitale in azienda con l’utilizzo dell’AI è una nuova responsabilità dell’Internal Audit, sia per efficientare i propri processi ma ancor di più per supportare l’organizzazione nel prendere coscienza e consapevolezza dei vantaggi e delle minacce dell’AI.  Si ha l’opportunità di creare valore per la propria organizzazione, rinforzando la posizione dell’Internal Audit come componente chiave del quadro di governance dell’AI e sfruttando la nostra conoscenza e esperienza sui controlli e rischi…

Ciò che sappiamo fare come professionisti va portato a fattor comune, per essere attori del successo della propria entity.

Conclusioni

Insomma, in ottica di Responsible Artificial Intelligence(8), il ruolo della funzione di Internal Audit è fondamentale.  L’IA, difatti, dovrebbe valutare l’impatto del cambiamento:

  1. sul capitale umano aziendale,
  2. sull’intera organizzazione,  nonché
  3. sui singoli processi (tra cui quelli dove sono coinvolti) nell’applicazione delle tecnologie innovative in azienda, che hanno vantaggi ma anche svantaggi.

Coltivare un ambiente di AI responsabile, etico, affidabile, trasparente all’interno di un’organizzazione richiede una strategia pregnante, che parta dal Board. Si ritiene che l’Internal Audit sia la giusta funzione/ struttura(9) per promuovere e attivare una cultura inclusiva dell’innovazione responsabile, affrontando rischi pervasivi e cogliere  opportunità in evoluzione.

In conclusione, si ritiene che sia arrivato il momento giusto per l’Internal Audit di svolgere attivamente un ruolo di leader aziendale nel fornire realmente advisory e assurance sull’AI, sfruttando quest’ultima al massimo; ricordando sempre che il coinvolgimento e la partecipazione attiva degli stakeholder è essenziale.

Per approfondimenti, consultare i seguenti link e/o riferimenti:

(1) Cfr. (2024), “Auditing artificial intelligence” – Chartered Institute of Internal Auditors

(2) Cfr. Attisano F.D. (2024), “L’intelligenza artificiale responsabile e sostenibile” – Risk & Compliance Platform Europe

(3) Cfr. Cfr. F.D. Attisano (2021), “Le linee guida internazionali per una buona governance organizzativa: l’ISO 37000” – Risk & Compliance Platform Europe

(4) Cfr. Cfr. F.D. Attisano (2024), “ISO 42001 – lo standard per un sistema di gestione responsabile ed etico dell’intelligenza artificiale”  – Risk & Compliance Platform Europe

(5) Cfr. The Institute of Internal Auditors (2020), “The IIA’s Three Lines Model: An Update of the Three Lines of Defense” e Associazione Italiana Internal Auditors “The Three Lines Model – An important tool for the Success of Every Organization” (contenuto riservato soci AIIA)

(6) Cfr. F.D. Attisano (2020), “Il nuovo modello delle 3 linee di controllo, al centro la creazione di valore e l’interazione ”- Internal control framework – Risk & Compliance Platform Europe

(7) Cfr. Attisano F.D. (2024), “Il Risk Management dei bias nell’intelligenza artificiale” – Risk & Compliance Platform Europe

(8) Cfr. Attisano F.D. (2024), “L’Intelligenza Artificiale Responsabile e Sostenibile”  – Risk & Compliance Platform Europe

(9) Cfr. The Institute of Internal Auditors TheIIA (2024), Global Internal Audit Standards

Related Items

Techwashing come riconoscerlo ed evitarloTechwashing: come riconoscerlo ed evitarlo
Continua a leggere
Governance-AILa governance pubblica dell’intelligenza artificiale
Continua a leggere
R&C Intervista Alessandro CerboniVideo-Intervista con Alessandro Cerboni: Intelligenza Artificiale tra Compliance ed Etica
Continua a leggere

Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *