global perspectives and insights · prepare-se, agora, para a ia. há muitos outros termos...
TRANSCRIPT
GLOBAL PERSPECTIVES
AND INSIGHTS Framework de Auditoria de Inteligência Artificial do The IIA
Aplicações Práticas, Parte A
Edição Especial
globaliia.org
Global Perspectives: Artificial Intelligence II
As opiniões expressas no Global Perspectives and Insights não são necessariamente aquelas dos
contribuintes individuais ou dos funcionários dos contribuintes.
Global Perspectives: Inteligência Artificial II
1 globaliia.org
Índice
Introdução .................................................................................................................................................................... 2
Framework de Auditoria de IA do The IIA ..................................................................................................................... 2
Estratégia de IA ............................................................................................................................................................. 3
Ciber-Resiliência ...................................................................................................... Error! Bookmark not defined. Competências de IA ............................................................................................................................................... 4
Governança ................................................................................................................................................................... 5
Prestação de Contas, Responsabilidade e Supervisão ........................................................................................... 5
Reguladores ........................................................................................... 5 Órgão de Governança/Conselho/Comitê de Auditoria ......................... 6 Alta Administração .................................. Error! Bookmark not defined. Primeira Linha de Defesa ......................... Error! Bookmark not defined. Segunda Linha de Defesa......................... Error! Bookmark not defined. Terceira Linha de Defesa ......................... Error! Bookmark not defined. Auditoria Externa ..................................... Error! Bookmark not defined.
Conformidade Regulatória ...................................................................................... Error! Bookmark not defined.
Arquitetura e Infraestrutura de Dados ....................................................................................................................... 10
Qualidade dos Dados ...................................................................................................... Error! Bookmark not defined.
Ações Corretivas do Facebook ........................................................................................ Error! Bookmark not defined.
Usando as Normas para Auditar a IA .......................................................................................................................... 13
Reflexões de Encerramento ............................................................................................ Error! Bookmark not defined.
Conselho Consultivo
Nur Hayati Baharuddin, CIA, CCSA,
CFSA, CGAP, CRMA – IIA–Malásia
Lesedi Lesetedi, CIA, QIAL –
IIA Federação Africana
Hans Nieuwlands, CIA, CCSA, CGAP –
IIA–Países Baixos
Karem Obeid, CIA, CCSA, CRMA –
IIA–Emirados Árabes Unidos
Carolyn Saint, CIA, CRMA, CPA –
IIA–América do Norte
Ana Cristina Zambrano Preciado,
CIA, CCSA, CRMA – IIA–Colômbia
Edições Anteriores
Para acessar as edições anteriores do
Global Perspectives and Insights,
acesse www.theiia.org/gpi.
Feedback dos Leitores
Envie perguntas ou comentários para
globaliia.org
Global Perspectives: Inteligência Artificial II
Introdução Um novo projeto do Google chamado AutoML promete levar a Inteligência
Artificial (IA) — um termo amplo que se refere a tecnologias que tornam as
máquinas "inteligentes" - a outro nível. O ML, abreviação de "machine
learning", refere-se a algoritmos de computador que analisam os dados para
aprender a executar tarefas. O AutoML é um algoritmo de machine learning
que aprende a construir outros algoritmos de machine learning.
O engenheiro do Google Jeff Dean descreve o projeto como uma forma para as
empresas construírem sistemas com IA, mesmo se não tiverem muito
conhecimento. Apenas alguns milhares de empresas hoje em dia têm os
talentos certos para desenvolver a IA, ele estima, mas muitas outras têm os
dados necessários. "Queremos ir de milhares para milhões de organizações
solucionando problemas de machine learning", contou ao The New York Times.
O Google é uma das muitas organizações que investem em pesquisas e
aplicações de IA para automatizar, aumentar ou replicar a inteligência humana
- a análise humana e/ou tomada de decisões. Seguindo o caminho de criação
desbravado pela ciência da computação, a Microsoft revelou recentemente
uma ferramenta que ajuda programadores a desenvolver "redes neurais
profundas", um tipo de algoritmo de computador que elimina "muito do
trabalho braçal", de acordo com Joseph Sirosh, um vice-presidente da
Microsoft, no The Times. Esse foco sobre facilitar iniciativas organizacionais de
IA significa que é ainda mais crítico que a profissão de auditoria interna
prepare-se, agora, para a IA.
Há muitos outros termos relativos à IA além do machine learning, como deep
learning, reconhecimento de imagens, processamento de linguagem natural,
computação cognitiva, amplificação de inteligência, cognição aumentada,
inteligência aumentada por máquina e inteligência aumentada. A IA, conforme
usada no Framework de Auditoria de IA (Framework) do The IIA, engloba todos
esses conceitos.
O Framework de Auditoria de IA do The IIA Conforme explicado em Inteligência Artificial – Considerações para a Profissão
de Auditoria Interna, o papel da auditoria interna na IA é "ajudar a organização
a avaliar, entender e comunicar até que nível a inteligência artificial terá efeito
(negativo ou positivo) sobre a habilidade da organização de agregar valor a
curto, médio e longo prazo."
Para ajudar a auditoria interna a cumprir com esse papel, os auditores internos
podem alavancar o Framework de Auditoria de IA do The IIA durante a
prestação de serviços de consultoria, avaliação ou uma combinação deles em
relação à IA, conforme apropriado para a organização. O Framework inclui três
componentes amplos - Estratégia de IA, Governança e o Fator Humano - e sete
elementos: Ciber-Resiliência; Competências de IA; Qualidade dos Dados;
Arquitetura e Infraestrutura de Dados; Mensuração do Desempenho; Ética e a
Caixa Preta.
Observação: Este é o segundo
relatório de uma série de três
partes. Para mais informações,
consulte o primeiro relatório:
Inteligência Artificial –
Considerações para a Profissão
de Auditoria Interna.
Global Perspectives: Inteligência Artificial II
3 globaliia.org
A auditoria interna deve considerar diversos objetivos de trabalho ou de
controle, atividades ou procedimentos na implementação do Framework e na
prestação de serviços de auditoria interna de consultoria, avaliação ou uma
combinação deles, quanto às atividades de IA da organização. Objetivos
relevantes e atividades ou procedimentos que abordem a Estratégia
(elementos Ciber-Resiliência e Competências de IA) e a Governança (elementos
Arquitetura e Infraestrutura de Dados e Qualidade dos Dados) do Framework
são oferecidos neste documento. Objetivos relevantes e atividades ou
procedimentos que abordem a Governança (elemento Mensuração do
Desempenho) e o Fator Humano (elementos Ética e Caixa Preta) serão
apresentados na Parte III desta série de três partes.
Estratégia de IA A Estratégia de IA de cada organização será única, com base em sua abordagem
à capitalização das oportunidades que a IA oferece. A estratégia de IA de uma
organização pode ser uma extensão óbvia da estratégia digital geral ou de big
data da organização. A estratégia de IA deve articular claramente o resultado
pretendido das atividades de IA. As estratégias de IA devem ser desenvolvidas
em colaboração entre os líderes de negócio da empresa que possam articular o
resultado pretendido das atividades de IA e como esses resultados se
relacionam às metas da organização, e líderes de tecnologia que entendam as
capacidades tecnológicas de IA da organização, suas limitações e aspirações.
Tanto os líderes de negócio quanto os de tecnologia também precisam estar
envolvidos na gestão da execução da estratégia de IA.
A IA depende do big data, então, a estratégia de big data da organização deve
estar plenamente desenvolvida e implementada antes de considerar a IA. De
fato, a IA pode ajudar as organizações a obter insights sobre o big data.
Conforme descrito no Global Technology Audit Guide do The IIA: Entendendo e
Auditando o Big Data, ao usar esses insights, "a organização pode tomar
melhores decisões, buscar novos clientes de formas criativas e diferenciadas,
atender os clientes existentes com um modelo de entrega focado e melhorado,
único ao indivíduo, e oferecer novos serviços e capacidades que
verdadeiramente diferenciem a empresa de seus concorrentes." Organizações
que capitalizam em cima das oportunidades de IA podem desenvolver uma
vantagem competitiva duradoura e a estratégia de IA deve ser desenvolvida e
implementada em cima de uma base de ciber-resiliência e competências de IA.
Ciber-Resiliência A habilidade da organização de resistir, reagir e se recuperar de ciberataques,
incluindo o mau uso proposital das tecnologias de IA da organização para fins
negativos, está se tornando cada vez mais importante (veja as Ações Corretivas
do Facebook, na página 12). Os CAEs precisam desenvolver logo competências
de cibersegurança em suas equipes, monitorar continuamente os riscos de
IA/cibersegurança e comunicar à gerência executiva e ao conselho o nível de
risco à organização e os esforços para lidar com tais riscos.
Antes que a auditoria interna
tente avaliar a estratégia de IA
da organização, ela deve
determinar sua própria
estratégia de cobertura da IA,
incluindo o tópico em sua
avaliação de riscos e
considerando se a IA deve ser
incluída no plano de auditoria
com base em riscos.
globaliia.org
Global Perspectives: Inteligência Artificial II
Competências de IA
Conforme observado em Inteligência Artificial – Considerações para a
Profissão de Auditoria Interna, a oferta de profissionais de tecnologia
talentosos com conhecimento de IA é alegadamente pequena. Mesmo se
projetos como o AutoML (p. 2) forem bem-sucedidos, permitindo que as
empresas desenvolvam sistemas com IA mesmo sem grande experiência, as
empresas ainda precisam preencher uma lacuna de conhecimento com
profissionais que tenham amplo entendimento de IA, mesmo que não
consigam "fazer" IA. Os profissionais precisam:
Saber como a IA funciona.
Entender os riscos e oportunidades que a IA apresenta.
Determinar se os resultados da IA são os esperados.
Ser capazes de recomendar ou realizar ações corretivas, se necessário.
Tais competências serão necessárias na auditoria interna e na primeira e segunda
linhas de defesa. A alta administração e o conselho também devem saber como a
IA funciona e entender os riscos e oportunidades que a IA apresenta.
A auditoria interna também deve ter a capacidade de terminar se fornecedores
externos de tecnologias de IA são competentes.
Objetivos e Atividades ou Procedimentos Relevantes à Estratégia de IA
Objetivo(s) do Trabalho ou de Controle Atividades ou Procedimentos
Estar envolvido ativamente em projetos de IA desde o início, oferecer consultoria e insights que contribuam para uma implementação de sucesso.
Comparecer às reuniões da equipe do projeto de IA.
A organização tem uma estratégia definida de IA.
Determinar se a estratégia de IA foi documentada e, se sim, verificar que a estratégia: Articula os resultados pretendidos das atividades de IA (objetivos estratégicos). Articula, em alto nível, como os objetivos de IA serão atingidos (plano estratégico).
Prestar avaliação sobre a prontidão e resposta a ciberameaças.
Alavancar uma estrutura estabelecida de cibersegurança, trabalhar em colaboração com TI e outras partes, para garantir que defesas e respostas eficazes estejam em prática.
Há recursos suficientes (equipe e orçamento) para implementar a estratégia de IA.
Revisar o processo de definição das necessidades de equipe e orçamento em apoio à IA.
Orientar se a estratégia considera adequadamente as ameaças e oportunidades de IA.
Revisar quaisquer avaliações existentes de ameaças e oportunidades de IA. Se não houver avaliações, fazer recomendações para o futuro (como a organização poderia se planejar para identificar ameaças e oportunidades de IA).
Os objetivos relevantes e
atividades ou procedimentos
identificados pelo The IIA não
incluem um plano de
auditoria previsto, mas são
exemplos que devem ser úteis
na identificação dos objetivos
do trabalho ou de controle e
na condução dos trabalhos de
auditoria de IA.
Trabalhos de auditoria de IA
devem estar em conformidade
com a Norma 2200 do IIA:
Planejamento do Trabalho de
Auditoria. Os planos de
auditoria de IA e objetivos e
procedimentos do trabalho de
IA devem sempre ser
personalizados para atender às
necessidades da organização.
Global Perspectives: Inteligência Artificial II
5 globaliia.org
Governança A governança de IA refere-se às estruturas, processos e procedimentos
implementados para orientar, gerenciar e monitorar as atividades de IA da
organização. A estrutura e formalidade da governança variarão de acordo com
as características específicas da organização. A governança de AI:
Estabelece prestação de contas, responsabilidade e supervisão.
Ajuda a garantir que aqueles com responsabilidades de IA tenham as
habilidades e experiência necessárias.
Ajuda a garantir que as atividades de IA e as decisões e ações relativas à IA
sejam consistentes com os valores da organização e com suas
responsabilidades éticas, sociais e legais.
Políticas e procedimentos de IA devem ser estabelecidos para todo o ciclo de
vida da IA - dos insumos aos produtos. Políticas e procedimentos também
devem ser estabelecidos para o treinamento, a mensuração do desempenho e
o reporte.
Prestação de Contas, Responsabilidade e Supervisão
A IA tem o potencial de fazer um grande bem e um grande mal. No fim das
contas, as partes interessadas provavelmente considerarão o conselho e os
executivos seniores responsáveis (responsabilizáveis) pelos resultados de IA da
organização. Ao avaliar a governança de IA, os auditores internos podem
alavancar o modelo das três linhas de defesa. As três linhas de defesa, assim
como a alta administração, o órgão de governança, os auditores externos e
reguladores, têm papéis na IA. Os auditores internos devem entender o papel
de cada parte e como a auditoria interna interage com cada papel.
Reguladores Os reguladores informam e controlam atividades específicas (como banking,
saúde ou segurança de alimentos) nos níveis nacional, regional/estadual e
local. Os reguladores "informam" por meio de atividades como condução de
pesquisas, participação no desenvolvimento de normas e orientações, e
comunicação com as partes interessadas. Os reguladores "controlam" por meio
de atividades como supervisão e definição e aplicação de regulamentos.
Conforme observado na Declaração de Posicionamento do The IIA: As Três
Linhas de Defesa no Gerenciamento de Riscos e Controle Eficazes, os
reguladores às vezes definem requisitos com o objetivo de fortalecer os
controles de uma organização e, em outros casos, desempenham uma função
independente e objetiva para avaliar o todo ou parte da primeira, segunda ou
terceira linha de defesa no que tange a esses requisitos.
Até hoje, não há regulamentos dedicados exclusivamente à IA. No entanto,
partes de regulamentos existentes podem ser especialmente relevantes às
atividades de IA e os reguladores e órgãos normativos de todo o mundo
sinalizaram sua preocupação por meio de pesquisas, documentos para discussão,
recomendações e orientações (consulte Conformidade Regulatória na página 7).
“O Framework de Auditoria de
Inteligência Artificial do The
IIA é uma ferramenta prática
para ajudar a auditoria
interna a prestar avaliação
independente sobre os
processos de gerenciamento
de riscos, controle e
governança da IA.”
Nur Hayati Baharuddin, Membro, IIA–Malásia
globaliia.org
Global Perspectives: Inteligência Artificial II
Reguladores já reconhecem a importância das auditorias de IA. Por exemplo,
em sua orientação sobre o Uso de Softwares Prontos em Dispositivos Médicos,
a U.S. Food and Drug Administration reconhece a importância da auditoria de
softwares prontos (OTS) baseados em conhecimento (por exemplo, inteligência
artificial, sistemas especializados e softwares de rede neural), declarando que
espera-se que o fabricante ofereça avaliação “de que as metodologias de
desenvolvimento de produtos usadas pelo desenvolvedor do Software OTS
sejam apropriadas e suficientes para o uso pretendido…” e “recomenda que
isso inclua uma auditoria do desenvolvimento e metodologias do fabricante do
Software OST usadas na construção do Software OTS. Essa auditoria deve
avaliar precisamente a documentação de desenvolvimento e qualificação
gerada para o Software OTS.”
Os auditores devem se manter informados do trabalho dos reguladores e
órgãos normativos na área de IA, orientar a administração e o conselho sobre
questões importantes e avaliar se os objetivos de controle regulatório da
organização refletem os regulamentos, normas e orientações emergentes.
Órgão de Governança/Conselho/Comitê de Auditoria O conselho é responsável pela supervisão final das atividades de IA da
organização. O conselho deve estar envolvido com a alta administração na
definição da estratégia de IA da organização.
A auditoria interna deve entender e estar bem informada sobre a IA, no geral, e
sobre as atividades de IA da organização, especificamente. Além de prestar
avaliação sobre as atividades de IA, a auditoria interna deve oferecer
orientações e insights para ajudar a garantir que o conselho esteja preparado
para seu papel.
Alta Administração Trabalhando com o conselho, a alta administração define a estratégia de IA da
organização. A alta administração também define objetivos de IA e desenvolve
planos para implementar a estratégia de IA.
A auditoria interna deve estar representada na equipe da alta administração e
deve se manter informada sobre as atividades de IA da alta administração.
Quanto ao gerenciamento de riscos, governança e controles de IA, a auditoria
interna deve ser conselheira confiável da alta administração.
Primeira Linha de Defesa Gerentes operacionais devem ter propriedade e gerenciar os riscos de IA
diariamente. A auditoria interna deve avaliar as políticas e procedimentos de IA
no nível operacional, verificando se os objetivos de controle são adequados e
estão em prática como desejado.
Segunda Linha de Defesa Compliance, ética, gerenciamento de riscos e privacidade/segurança da
informação são algumas das funções da segunda linha de defesa que
provavelmente supervisionarão algum aspecto dos riscos de IA. A auditoria
interna deve avaliar as políticas e procedimentos de IA da segunda linha de
“Além de prestar avaliação
sobre as atividades de IA, a
auditoria interna deve
garantir que os comitês de
auditoria e conselhos estejam
preparados para entender
seu papel em navegar os
benefícios e riscos associados
à IA em suas empresas.”
Carolyn Saint, CAE, University of Virginia
Global Perspectives: Inteligência Artificial II
7 globaliia.org
defesa, verificando se os objetivos de controle são adequados e estão em
prática como desejado.
Terceira Linha de Defesa A auditoria interna deve prestar avaliação independente sobre os riscos,
governança e controles de IA. O Framework de Auditoria de IA do The IIA pode
facilitar esse papel. Os reguladores e órgãos normativos reconheceram o
potencial da IA no gerenciamento de riscos e conformidade. De acordo com o
relatório Artificial intelligence and machine learning in financial services, do
Financial Stabilities Board (FSB), “o uso da IA e do machine learning nos
serviços financeiros pode trazer benefícios fundamentais para a estabilidade
financeira, na forma de maior eficiência na provisão de serviços financeiros e
vigilância de riscos sistêmicos regulatórios… As aplicações internas (back-office)
da IA e do machine learning poderiam melhorar o gerenciamento de riscos, a
detecção de fraudes e a conformidade com requisitos regulatórios,
potencialmente a custos menores.” De forma parecida, os departamentos mais
avançados de auditoria interna começarão a usar algoritmos para alimentar
suas iniciativas de monitoramento contínuo e auditoria contínua, ganhando
eficácia e eficiência.
Auditoria Externa Auditores externos são terceiros sem qualquer interesse pessoal na
organização, que opinam se as demonstrações financeiras são preparadas de
acordo com as estruturas e/ou regulamentos de reporte financeiro aplicáveis.
Quanto à IA, os auditores externos provavelmente se concentrarão nos
resultados – por exemplo, os algoritmos por trás do modelo de
gerenciamento ou valorização de riscos, e se esses algoritmos têm impacto
significante sobre as demonstrações financeiras da organização.
Conformidade Regulatória
Os regulamentos geralmente se atrasam em relação às mudanças tecnológicas e a
IA não é exceção. No entanto, conforme reportado pelo The Hill, o CEO da Tesla,
Elon Musk, alertou a National Governors Association (EUA) de que serão
O Modelo das Três Linhas de Defesa
“O uso emergente da IA exige
que a auditoria aborde,
especificamente, a lógica
usada no desenvolvimento
dos algoritmos.”
Hans Nieuwlands, CEO, IIA–Países Baixos
globaliia.org
Global Perspectives: Inteligência Artificial II
necessários regulamentos mais cedo ou mais tarde. Além disso, regulamentos de
privacidade, como a lei americana Health Insurance Portability and Accountability
Act de 1996 (HIPAA) e o General Data Protection Regulation (GDPR) da União
Europeia, válida a partir de Maio de 2018, podem complicar a implantação da IA.
Ambos os regulamentos protegem informações pessoalmente identificáveis, que,
normalmente, são entradas das tecnologias de IA.
Por exemplo, a Regra de Privacidade da HIPAA “define normas nacionais para
a proteção de informações de saúde, aplicadas a três tipos de entidades
cobertas: planos de saúde, clearinghouses de saúde e operadoras de saúde
que conduzam certas transações de saúde eletronicamente [ênfase
acrescentada].” E, de acordo com o relatório Artificial intelligence and
machine learning in financial services do FSB, “diversas seções da GDPR são
especialmente relevantes à IA: o Artigo 11 aborda o direito a “uma explicação
sobre a decisão atingida após avaliação [algorítmica]”; o Artigo 9 proíbe o
processamento de “categorias especiais [sensíveis] de dados pessoais”; o
Artigo 22 aborda o direito qualificado de um envolvido de não se sujeitar a
uma decisão com consequências legais ou significantes baseada
exclusivamente no processamento automatizado; e o Artigo 24 declara que
as decisões não devem ser baseadas em categorias especiais de dados
pessoais.
Outras preocupações regulatórias geralmente reconhecidas incluem a
conformidade com leis antidiscriminação e responsabilidades legais,
especialmente quanto a terceiros que prestem serviços de IA à organização.
O FSB resumiu as preocupações sobre terceiros, dizendo que “muitos
prestadores atuais de IA e machine learning em serviços financeiros podem
estar fora do perímetro regulatório ou podem não estar familiarizados com
leis e regulamentos aplicáveis. Em casos em que instituições financeiras
dependam de prestadores externos de serviços de IA ou machine learning
para funções críticas e em que as regras de terceirização possam não existir
ou ser entendidas, esses serviços e prestadores podem não estar sujeitos a
supervisão e monitoramento. De forma parecida, se os prestadores de tais
ferramentas começarem a prestar serviços financeiros a instituições ou
clientes de varejo, isso poderia acarretar a ocorrência de atividades
financeiras fora do perímetro regulatório.”
As organizações não devem esperar até que o ambiente regulatório alcance o
ambiente tecnológico. Mesmo se os regulamentos existentes não abordarem a
IA especificamente, à letra da lei, as organizações devem se perguntar se suas
atividades de IA são consistentes com o espírito das leis existentes. Uma
abordagem é fazer análises de cenários e de “e se?”, para determinar se as
atividades de IA poderiam, potencialmente, ser usadas para atividades
maliciosas ou criminosas, ou se poderiam resultar em consequências não
intencionais que causem danos. Os responsáveis pela governança também
deve considerar que as atividades de IA podem, potencialmente, prejudicar os
controles internos, se a IA aprender a sobrescrever as regras estabelecidas ou
se os sistemas de IA aprenderem a se comunicar uns com os outros e
“trabalhar” juntos sem o conhecimento da organização. Uma abordagem
proativa à consideração do espírito das leis existentes ajudará as organizações
a serem ágeis, conforme novos regulamentos são criados e entram em vigor.
Global Perspectives: Inteligência Artificial II
9 globaliia.org
Objetivos e Atividades ou Procedimentos Relevantes à Governança de IA
Objetivo(s) do Trabalho ou de Controle Atividades ou Procedimentos
Prestar avaliação de que estruturas de governança de IA foram estabelecidas, documentadas e estão em prática como definido.
Revise modelos de negócio e a estrutura organizacional; determine se os modelos de negócio e estrutura organizacional refletem a estratégia de IA da organização. Revise as políticas e procedimentos de IA; determine se as políticas e procedimentos organizacionais identificam claramente os papéis e responsabilidades de IA relativos à estratégia, governança, arquitetura de dados, qualidade dos dados, imperativos éticos e mensuração do desempenho de IA.
Avaliar se aqueles com responsabilidades de IA têm as competências necessárias para ser bem-sucedidos. Por exemplo, os responsáveis pelos imperativos éticos devem ser competentes em avaliar o comportamento ético dos que fornecem as entradas humanas à IA e devem ser independentes da atividade de IA.
Entreviste as pessoas com responsabilidades de IA. Revise descrições de cargos de IA, habilidades exigidas, etc., e verifique se os responsáveis têm as qualificações declaradas.
Prestar avaliação de que políticas e procedimentos de IA foram estabelecidos e documentados.
Revise as políticas e procedimentos de IA e determine se abordam suficientemente os riscos de IA.
Determine se as políticas e procedimentos possibilitam análises periódicas de "e se" ou planejamento de cenários.
Prestar avaliação de que os rastros de auditoria da atividade de IA oferecem informações suficientes para entender quais decisões de IA foram tomadas e por quê.
Revise os rastros de auditoria de IA. Determine se os rastros de auditoria oferecem informações suficientes para entender quais decisões foram tomadas e por quê.
Prestar avaliação de que políticas e procedimentos tenham sido implementados e estejam funcionando como definido, e de que os funcionários estejam em conformidade.
Observe os funcionários na implementação de procedimentos de IA.
Revise relatórios do canal de ajuda/denúncia e acompanhe quaisquer relatórios alegando não conformidade ou atividades maliciosas relativas à IA.
Entreviste uma amostra aleatória de funcionários e determine se têm conhecimento das políticas e procedimentos de IA.
Identifique e revise as políticas e procedimentos de acesso à IA.
Avalie as políticas de acesso e teste os controles de acesso. Avalie se os objetivos de controle regulatório refletem os regulamentos, normas e orientações emergentes.
globaliia.org
Global Perspectives: Inteligência Artificial II
Arquitetura e Infraestrutura de Dados A arquitetura e a infraestrutura de dados de IA provavelmente serão as
mesmas, ou praticamente as mesmas, que a arquitetura e a infraestrutura de
dados para lidar com o big data. Isso inclui considerações quanto a:
Forma de acesso aos dados (metadados, taxonomia, identificadores únicos
e conveções de nomenclatura).
Privacidade e segurança da informação ao longo do ciclo de vida dos dados
(coleta, uso, armazenamento e destruição dos dados).
Papéis e responsabilidades quanto à propriedade e uso dos dados ao longo
do ciclo de vida dos dados.
De acordo com o InfoWorld, as organizações devem se concentrar em três
áreas principais de desenvolvimento de software para garantir o sucesso da
integração da IA:
Integração dos dados - dados de diversas fontes devem ser integrados antes
que a IA possa ser incorporada aos aplicativos e sistemas da organização.
Modernização dos aplicativos - atualizações de software precisarão ser
feitas regularmente. Atualizações frequentes e menos intensivas devem
substituir as atualizações esporádicas e mais intensivas, que retardam ou
interrompem os sistemas.
Educação dos funcionários - desenvolvedores de software, gerentes de
projeto e outros funcionários de tecnologia precisam se manter
atualizados quanto ao machine learning e todo aspecto do "conjunto"
tecnológico (o software e componentes que executam a IA).
Além disso, os dados devem ser conciliados, de modo que nuances como
arredondamentos, dados demográficos e outras variáveis sejam regularizados
antes da entrada.
Objetivos e Atividades ou Procedimentos Relevantes à Arquitetura e Infraestrutura de Dados
Objetivo(s) do Trabalho ou de Controle Atividades ou Procedimentos
Prestar avaliação de que a organização é ciber-resiliente. A ciber-resiliência inclui, mas não se limita à cibersegurança. A ciber-resiliência engloba a segurança (resistência), reação e recuperação.
Entender e auditar o big data (consulte o Guia Prático do The IIA: Entendendo e Auditando o Big Data).
Avaliar se a organização está se preparando para atingir a conformidade com os novos regulamentos tecnológicos, como o General Data Protection Regulation (GDPR) da UE.
Avaliar se os protocolos de recuperação após desastres da organização incluem falhas de IA, incluindo o colapso dos controles que mantêm as regras definidas pela governança de IA.
Prestar avaliação de que a infraestrutura de dados tem a capacidade de acomodar o porte e complexidade da atividade de IA definidos na estratégia de IA.
Avaliar se a infraestrutura é capaz de lidar com dados estruturados e não estruturados.
Prestar avaliação de que a organização estabeleceu uma taxonomia de dados. Avaliar a qualidade, integralidade e consistência do uso da taxonomia de dados em toda a organização.
Avaliar se a taxonomia é robusta o suficiente para acomodar o porte e complexidade das atividades de IA.
“A Infraestrutura e
Arquitetura de Dados e a
Qualidade dos Dados estão
frequentemente
interligadas. Objetivos
relevantes de trabalho ou de
controle e atividades e
procedimentos de uma área
podem ter interseções ou
impacto sobre os objetivos,
atividades e procedimentos
da outra área.”
Lesedi Lesetedi,
Vice-Diretora Executiva (Vice-CEO) – Serviços Estratégicos
e Corporativos
Botswana College of Distance & Open Learning (BOCODOL)
Global Perspectives: Inteligência Artificial II
11 globaliia.org
Qualidade dos Dados São críticas a integralidade, precisão e confiabilidade dos dados com base nos quais os algoritmos de IA são desenvolvidos. Para que a IA seja bem-sucedida, as empresas precisam acessar enormes quantidades de dados de alta qualidade - dados bem definidos e em formatos padronizados. Muitas vezes, os sistemas não se comunicam entre si ou fazem-no por meio de add-ons ou personalizações complicadas. A forma como esses dados são conciliados, sintetizados e validados também é crítica, visto que os sistemas que não se comunicam entre si ou que o fazem por meio de add-ons ou personalizações complicadas podem atrapalhar as atividades de IA da organização.
Além de dados bem definidos em formatos padronizados (dados estruturados), as tecnologias de IA podem ser dependentes de dados não estruturados (como publicações em redes sociais). Conforme descrito no Global Technology Audit Guide do The IIA: Entendendo e Auditando o Big Data, os dados não estruturados são "tipicamente mais difíceis de gerir, devido à sua natureza evolutiva e imprevisível, e são normalmente obtidos de fontes de dados amplas e diversas, frequentemente externas. Consequentemente, novas soluções foram desenvolvidas para gerenciar e analisar esses dados."
Ironicamente, as organizações podem recorrer ao machine learning - uma forma de IA - para melhorar a qualidade dos dados. Por exemplo, podem existir múltiplas versões do nome de um fornecedor entre as diversas unidades de negócio da organização, bancos de dados e planilhas. Um programa de computador poderia escanear e conciliar todas as variações do nome em uma questão de horas ou minutos.
Objetivos e Atividades ou Procedimentos Relevantes à Qualidade dos Dados
Objetivo(s) do Trabalho ou de Controle Atividades ou Procedimentos
Prestar avaliação sobre a confiabilidade dos algoritmos básicos da IA e dos dados nos quais os algoritmos são baseados.
Obter uma amostra dos dados originais inseridos na IA. Verificar se a organização implementou metodologias para validar os resultados da IA em comparação com resultados reais do mundo real, e se políticas e procedimentos estão em prática para mensurar, monitorar, escalonar e retificar continuamente as inconsistências entre os dois.
Prestar avaliação de que os dados são conciliados e regularizados para maximizar a precisão.
Verificar se a organização tem políticas e procedimentos em prática para mensurar, monitorar, escalonar e retificar continuamente a precisão dos dados e problemas de integridade dos dados. Confirmar se a organização está seguindo e monitorando consistentemente uma estrutura formal de conciliação de dados, que inclua uma justificativa para diferentes metodologias e resultados, caso existam.
Prestar avaliação de que os dados agregados estão completos. Verificar se a organização tem políticas e procedimentos em prática para limitar a parcialidade na entrada de dados.
Prestar avaliação de que a integridade dos dados é mensurada e monitorada e que quaisquer exceções materiais que impactem a tomada de decisões sejam identificadas e explicadas. Isso deve ser feito, sejam as exceções definidas por humanos ou pela IA
Revisar as métricas de IA e relatórios de métricas. Avaliar se os responsáveis pela tomada de decisões receberam e consideraram as explicações sobre as exceções materiais relativas à qualidade dos dados.
A auditoria interna também
deve examinar como os
dados usados nos relatórios
de auditoria interna foram
conciliados, sintetizados e
validados.
globaliia.org
Global Perspectives: Inteligência Artificial II
Ações Corretivas do Facebook Os desafios do Facebook com a IA foram amplamente reportados. O gigante das redes sociais sofreu com o
escrutínio acerca de como suas tecnologias à base de algoritmos foram usadas - ou mal usadas - para fins maliciosos.
Cronograma das Principais Preocupações:
No Outono de 2016, a ProPublica reportou que os anunciantes poderam usar as ferramentas de ad-targeting do
Facebook para excluir certas raças — uma violação em potencial dos regulamentos federais habitacionais e de
direitos civis.
Em Setembro de 2017:
o O Facebook divulgou que donos de contas falsas de origem na Rússia compraram uma quantidade
considerável de anúncios sobre questões polêmicas antes das eleições presidenciais de 2016.
o A ProPublica reportou que as ferramentas de ad-targeting do Facebook permitiam que os anunciantes
atingissem “haters” étnicos autoproclamados.
Em Outubro de 2017, preocupações sobre notícias falsas ressurgiram quando o Facebook (e o Google)
publicaram informações falsas sobre o tiroteio em massa em Las Vegas.
Em depoimento a um subcomitê judiciário do Senado no fim de Outubro, o Facebook declarou que o alcance
dos anúncios contratados na Rússia foi muito maior do que identificaram inicialmente, atingindo 126 milhões de
americanos antes e durante as eleições presidenciais de 2016.
Resposta do Facebook
Em uma publicação de 20 de Setembro de 2017, a Chief Operating Officer do Facebook, Sheryl Sandberg, anunciou
três ações corretivas:
1. O Facebook está esclarecendo suas políticas de publicidade e aperfeiçoando seus processos de aplicação, para
garantir que conteúdos que vão contra as normas da comunidade do Facebook não possam ser usados em
anúncios. (Políticas e procedimentos estão ligados ao componente Governança do Framework. Entre outras
coisas, a Governança de IA deve estabelecer prestação de contas e supervisão da aplicação das políticas.)
2. O Facebook está aumentando a "revisão e supervisão humanas" de seus processos automatizados. (A revisão e
supervisão humanas estão ligadas ao componente Ética do Framework. Entre outras coisas, a Ética aborda se os
resultados de IA refletem o objetivo original e se as saídas de IA estão sendo usadas legal, ética e
responsavelmente.)
3. O Facebook está trabalhando em um programa que encorajará os usuários da plataforma a reportar possíveis
abusos em seus sistemas de anúncio. (Sistemas de reporte estão ligados ao componente de Mensuração do
Desempenho do Framework. Sistemas de reporte ajudam a administração a monitorar o desempenho das
atividades de IA. A Mensuração do Desempenho será abordada em um relatório futuro do Global Perspectives
and Insights.)
Ao utilizar o Framework de Auditoria de IA do The IIA, os auditores internos podem prestar serviços de avaliação e
consultoria, para ajudar as organizações a separar a verdade da ficção e abordar riscos de reporte, operações e
conformidade associados à IA.
13 globaliia.org
Global Perspectives: Artificial Intelligence II
Usando as Normas para Auditar a IA Os auditores internos devem estar em conformidade com todas as normas do
IIA aplicáveis durante o planejamento ou condução de trabalhos de IA. As
principais normas do IIA, especialmente relevantes à IA, estão destacadas na
barra lateral, mas outras também podem ser aplicáveis.
Cada norma é complementada por um Guia de Implantação. Guias de
implantação auxiliam os auditores internos na aplicação das Normas.
Coletivamente, tratam da abordagem, metodologias e considerações da
auditoria interna, mas não detalham processos ou procedimentos.
Reflexões de Encerramento O Framework de Auditoria de Inteligência Artificial do The IIA ajudará
auditores internos a abordar serviços de consultoria e avaliação de IA de
forma sistemática e disciplinada. Sendo as tecnologias e atividades de IA da
organização desenvolvidas internamente, por meio de uma tecnologia
facilitadora como o AutoML, ou por terceiros, a auditoria interna deve estar
preparada para orientar o conselho e a alta administração, coordenar
esforços com a primeira e segunda linhas de defesa e prestar avaliação do
gerenciamento de riscos, governança e controles da IA.
Este relatório é a Parte II de uma série de três partes. Ele apresenta sugestões
para implementar os componentes Estratégia de IA e Governança do
Framework de Auditoria de IA do The IIA. A Parte III trará mais sugestões para
implementação do componente Governança e do componente Fator
Humano.
Foco de Auditoria
Principais Normas do IIA
As Normas Internacionais para a Prática Profissional de Auditoria Interna do The IIA incluem diversas normas especialmente relevantes para a IA, incluindo:
Norma 1210 do IIA: Proficiência
Norma 2010 do IIA: Planejamento
Norma 2030 do IIA: Gerenciamento de Recursos
Norma 2100 do IIA: Natureza do Trabalho
Norma 2110 do IIA: Governança
Norma 2130 do IIA: Controle
Norma 2200 do IIA: Planejamento do Trabalho
Norma 2201 do IIA: Considerações sobre o Planejamento
Norma 2210 do IIA: Objetivos do Trabalho
Norma 2220 do IIA: Escopo do Trabalho
Norma 2230 do IIA: Alocação de Recursos para o Trabalho
Norma 2240 do IIA: Programa de Trabalho
Norma 2310 do IIA: Identificação das Informações
Sobre o The IIA The Institute of Internal Auditors (The IIA) é o mais reconhecido advogado, educador e fornecedor de normas, orientações e certificações da profissão de auditoria interna. Fundado em 1941, o The IIA atende, atualmente, mais de 190.000 membros de mais de 170 países e territórios. A sede global da associação fica em Lake Mary, na Flórida, EUA. Para mais informações, visite www.globaliia.org.
Isenção de Responsabilidade As opiniões expressas no Global Perspectives and Insights não são necessariamente as dos contribuintes individuais ou dos funcionários dos contribuintes.
Copyright Copyright © 2017 The Institute of Internal Auditors, Inc. Todos os direitos reservados.
globaliia.org
Global Perspectives: Inteligência Artificial II
globaliia.org