„No Risk, No AI”. Zarządzanie ryzykiem w czasach sztucznej inteligencji

Materiał sponsorowany

Autor: Adam Wygodny, Szef Architektury Cyberbezpieczeństwa i Analizy Ryzyka w Banku Pekao S.A.

AI w służbie audytora

Zastosowanie AI w audycie to nie tylko automatyzacja powtarzalnych zadań, ale także możliwość przetwarzania ogromnych zbiorów danych w czasie rzeczywistym. Algorytmy mogą analizować logi systemowe, wykrywać anomalie w transakcjach, czy nawet przewidywać zagrożenia na podstawie danych historycznych. Umożliwia to tzw. ciągły audyt, który skraca czas reakcji i zwiększa skuteczność działań kontrolnych.

Co istotne, AI wspiera audytorów i analityków również na etapie przygotowywania raportów – od analizy dokumentacji po generowanie streszczeń i wizualizacji. Systemy oparte na przetwarzaniu języka naturalnego (NLP) pozwalają na błyskawiczne przeszukiwanie dokumentów, a modele predykcyjne pomagają w typowaniu obszarów największego ryzyka.

Regulacje i wyzwania prawne

Wprowadzenie rozporządzenia AI Act przez Unię Europejską w 2024 roku wyznaczyło nowe standardy w zakresie odpowiedzialnego wykorzystania sztucznej inteligencji. Przepisy klasyfikują systemy AI według czterech poziomów ryzyka: 

1. Ryzyko niedopuszczalne: systemy zakazane w UE, np. manipulujące zachowaniem ludzi, wykorzystujące słabości grup wrażliwych, czy stosujące social scoring.
2. Ryzyko wysokie: systemy mogące znacząco wpływać na zdrowie, bezpieczeństwo lub prawa podstawowe, np. systemy rekrutacyjne, oceny kredytowej, czy biometryczne. Podlegają one szczegółowym wymogom, takim jak zarządzanie ryzykiem czy nadzór człowieka.
3. Ryzyko ograniczone: systemy wymagające jedynie transparentności, np. chatboty czy deepfake. Użytkownicy powinni zostać poinformowani o interakcji z AI.
4. Ryzyko minimalne: systemy o niskim wpływie, np. filtry spamu czy gry wideo, które nie wymagają dodatkowych regulacji.

Dodatkowo, standardy takie jak ISO 42001 oraz NIST AI 600 pomagają organizacjom zarządzać ryzykiem technologicznym, promując etykę, odpowiedzialność i zgodność z przepisami. ISO 42001 w sposób systematyczny wspiera zarządzanie ryzykiem. Standard wymaga wdrożenia procesów identyfikacji, analizy i minimalizacji ryzyk związanych z AI, w tym zagrożeń dla bezpieczeństwa danych, prywatności i etyki. Cykl PDCA (Planuj-Wykonaj-Sprawdź-Działaj) zapewnia ciągłe doskonalenie tych procesów i mechanizmów kontrolnych. ISO 42001 nakłada wymóg wdrażania polityk ochrony danych, w tym zabezpieczeń przed nieuprawnionym dostępem i naruszeniami. Norma ułatwia dostosowanie się do przepisów AI Act, redukując ryzyko kar i sporów prawnych. Dokumentacja procesów AI zwiększa przejrzystość wymaganą przez regulatorów. Standard wymusza również uwzględnienie zasad niedyskryminacji, sprawiedliwości i rozliczalności w projektowaniu systemów. Z perspektywy skutecznego nadzoru i definiowania odpowiedzialności, ISO 42001 wspiera definiowanie ról i obowiązków w zarządzaniu AI.

Zagrożenia i ryzyko w wykorzystaniu AI

AI w procesach audytu to także nowe zagrożenia. Modele mogą być podatne na manipulację, a dane treningowe – na zafałszowania lub błędy, które rzutują na wyniki analiz. Ważnym aspektem jest również tzw. „wyjaśnialność” decyzji – audytorzy muszą być w stanie zrozumieć, jak i dlaczego AI wydała określoną rekomendację.

Zagrożeniem pozostaje też kwestia ochrony danych – szczególnie przy korzystaniu z rozwiązań opartych na zewnętrznych platformach. Ryzyko ujawnienia informacji prawnie chronionych lub ich przejęcia przez nieautoryzowane podmioty staje się kluczowym wyzwaniem w projektowaniu wykorzystania AI w procesach biznesowych organizacji.

W kierunku audytu przyszłości

Wykorzystanie AI oznacza ewolucję modelu audytu – od ręcznych narzędzi, przez arkusze kalkulacyjne, narzędzia analizy Big Data, aż po w pełni zautomatyzowane i predykcyjne systemy AI. Dzisiejszy audyt to dynamiczny proces, w którym audytor staje się analitykiem danych, ekspertem od ryzyka i technologii.

Choć AI otwiera nowe perspektywy w pracy audytora, kluczowe pozostaje zachowanie balansu między automatyzacją a kontrolą ludzką. Ostateczna odpowiedzialność za decyzje – zarówno w sferze finansowej, etycznej, jak i regulacyjnej – nadal spoczywa w rękach człowieka.

O autorze

Adam Wygodny - Szef Architektury Cyberbezpieczeństwa i Analizy Ryzyka w Banku Pekao S.A.; absolwent Politechniki Warszawskiej i Szkoły Głównej Handlowej w Warszawie oraz studiów MBA University of Illinois at Urbana-Champaign. Certyfikowany manager i ekspert zarządzania ryzykiem (CISM i CRISC). W branży IT od ponad 27 lat, karierę zaczynał w grupie Asseco Poland, zdobywając doświadczenie w prowadzeniu projektów informatycznych oraz w przygotowywaniu strategii biznesowej spółki. Następnie w grupie Siemens był odpowiedzialny za rozwój i realizację usług Managed Services. W firmach IBM i Fortinet rozwijał rozwiązania bezpieczeństwa teleinformatycznego w regionie Europy Wschodniej i Centralnej. Przez kolejne lata w Najwyższej Izbie Kontroli ukończył aplikację kontrolerską i prowadził audyty w Siłach Zbrojnych RP. Obecnie Szef Architektury Cyberbezpieczeństwa i Analizy Ryzyka w Banku Pekao S.A. Współtwórca standardu PolishCloud 2.0 i wykładowca studiów podyplomowych zarządzania cyberbezpieczeństwem w SGH, SGSP i AEH.