隨著人工智慧深度整合至財務流程,傳統內部控制面臨幻覺、模型漂移等新型風險。為此,金融主管機關組織 FEI 旗下委員會發布一套人工智慧內部控制框架,提供企業在導入 AI 時維持合規與風險管理的新指引。
隨著人工智慧(AI)技術日益整合至企業財務流程,從分錄處理、財務結算到差異分析等環節,效率雖大幅提升,卻也衍生出傳統內部控制機制難以應對的治理挑戰。業界的討論重心已從「是否採用 AI」轉變為「如何妥善治理 AI」。儘管這些 AI 系統在美國《Sarbanes-Oxley Act》(沙賓法案)監管下運作,並須接受美國公開公司會計監督委員會(PCAOB)的審查,其核心原則仍依賴資本市場對可靠財務報表的信任,但現行內部控制框架並未針對 AI 的特定失靈模式而設計。
當 AI 系統處理財務交易、生成估計或標記異常時,其背後的邏輯可能難以直接檢視,即使是負責監督的人員也可能無法完全掌握。這導致傳統的財務報導內部控制(ICFR)風險評估,無法有效識別 AI 帶來的特有風險,例如「幻覺」(hallucination,指 AI 產生貌似合理但事實不準確的輸出)、模型漂移(model drift,指 AI 系統效能隨基礎數據模式變化而逐漸下降)以及「演算法偏見」(algorithmic bias,指演算法造成結果偏差)。這些風險恐悄無聲息地影響財務估計、揭露語句及分析摘要的準確性與完整性,且難以在缺乏刻意驗證程序的情況下被察覺。
有鑑於此,金融主管機關組織 FEI(Financial Executives International)旗下的企業報導委員會(Committee on Corporate Reporting, CCR)——一個由財星百大企業與大型上市公司的財務長、會計長及會計主管組成的跨產業團體——與學術界合作,共同開發了《AI Framework: Internal Control Over Financial Reporting》(人工智慧財務報導內部控制框架),以填補當前 AI 應用與治理指引之間的落差。該框架採取以原則為基礎的方法,旨在應對不斷演進的 AI 技術與監管期望,並且著重於測試 AI 系統的「產出成果」,而非其內部運作方式。
該框架明確提出四種企業可單獨或組合採用的控制方法,包括:人工參與監管(Human-in-the-Loop oversight)、效能測試(Performance Testing)、多模型驗證(Multi-Model Validation)以及數據分析監測(Data Analytics monitoring),企業可根據自身的風險概況和 AI 使用情境進行調整。此外,這份框架也提供關於《Sarbanes-Oxley Act》範圍界定與風險評估的指引、異常管理與解決流程,並直接處理幻覺、模型漂移和演算法偏見等 AI 特有風險。這項售價 195 美元的指引文件,為在導入 AI 時致力確保組織內部控制完整性的財務主管,提供了重要的參考依據。對於台灣金融業在導入人工智慧時,如何在風險管理與內部控制方面取得平衡,該框架無疑提供了重要的借鑑與指引。