Menu

Menu

Menu

Menu

Menu

Loading Results

Auditkész a cég, ha AI-eszközöket vezettünk be?
image-hero
  • 5 minute read
  • Október 06, 2025

A mesterséges intelligencia (AI) előbb-utóbb teljesen átalakítja folyamatainkat minden üzleti és támogató területen. A pénzügy, compliance, számvitel, belső ellenőrzés, IT, de az operációs, k+f, értékesítési és egyéb üzleti területek is egyre inkább aktívan használják az AI-t arra, hogy többet, nagyobb sebességgel, pontosabban, jobb minőségben végezzük a munkánkat.

Ez nálunk, a PwC-nél is így van, és ügyfeleink, szolgáltatóink, partnereink oldalán is. Mindannyian egészen biztosan fejlődünk ezen a téren. És ami szintén teljesen biztos: ha az AI beépül egy adott folyamatba, akkor az előbb vagy utóbb egy ellenőrzés vagy könyvvizsgálat előterébe is kerülhet.

Felvetődik a kérdés:

  • Mit jelent az AI bővülő használata a kapcsolódó auditok vagy a tanúsítási folyamatok szempontjából?
  • Milyen változásokat hoz ez a CFO-k számára a pénzügyi beszámoláshoz kapcsolódó belső kontrollok környezetében vagy azok ellenőrzésében?
  • Vajon az audit bizottságok felügyeleti tevékenysége elég gyorsan alkalmazkodik ehhez a gyorsan változó környezethez?

Szakértői cikksorozatunk további részeiben kitérünk majd arra, hogy a rendszereket, folyamatokat hogyan tarthatjuk kontroll alatt, milyen irányítási vagy technológiai eszközök állnak erre a célra rendelkezésre. Ezúttal viszont egy másik aspektusból vizsgáljuk az AI-megoldások bevezetésének hatását – egy többnyire természetesnek vett, de sok erőforrást igénylő terület felől:

Hogyan kell felkészülnie a támogató háttér csapatoknak egy ellenőrzésre, miután az AI-eszközöket már bevezették a cégüknél, és már közvetlen hatással vannak a jelentősebb folyamatokra?

Az AI alkalmazása komplex kockázati portfoliót hoz magával, és komplex ismereteket igényel – ahogyan azt a sorozat első cikkében ecseteltük: sok mindent kell átlátni, nincsenek tiszta és egyértelmű útmutatások. Kevés a precedens és sok a kérdés a felsővezetés, a tulajdonosok és a külső ellenőrzés oldaláról is. Az AI Governance-ben és az AI alkalmazásában részt vevő csapatoknak is folyamatosan naprakésznek kell lennie, hogy a cég megfeleljen a kötelező könyvvizsgálatok, vagy az esetleges tanúsítási és átvilágítási folyamatok, illetve belső ellenőrzések során olyan esetekben, amikor a vizsgálatok keretében kiértékelt folyamatokban AI is részt vesz.

Ez a nyomás minden olyan funkciót érint, amelyek valamilyen ellenőrzési vagy felügyeleti szerepet töltenek be – CIO-k, CFO-k csapatai, az audit bizottságok, jogi, compliance csapatok vagy adott esetben az Internal Audit csapatok is.

Az ellenőrzésekre való felkészülés – vagy a folyamatos felkészültség és az érettség fenntartása - nem járhat az innovációs folyamatok és AI-megoldások bevezetésének lassulásával, ugyanakkor prioritást, fókuszt és dedikált erőforrásokat igényel a támogató területek részéről.

De mire is kíváncsi a könyvvizsgáló vagy a belső ellenőr?

Akár döntéshozatalt, ügyfélinterakciókat, akár belső működést támogat az AI, a szervezetnek fel kell készülnie arra, hogy el tudja magyarázni a könyvvizsgálóinak és belső kontroll szakértőinek, hogy hogyan használja az AI-rendszereket — és be tudja mutatni, miként felügyeli, irányítja, dokumentálja és ellenőrzi ezeket. Ezek kulcsfontosságú elemei a könyvvizsgálókkal és más érintettekkel történő bizalomépítésnek.

A könyvvizsgálók tipikusan egy „top-down” megközelítéssel dolgoznak: az irányítási és kontroll tevékenységek értékelésénél felülről lefelé haladnak a vizsgálataik során, mindig szem előtt tartva az alkalmazott AI-rendszerekhez kapcsolódó kockázatok szintjét és komplexitását.

Ennek megfelelően először az AI-rendszerekkel kapcsolatos szabályzatokat, döntési eljárásokat és keretrendszereket tekintik át, és azt, hogy milyen mechanizmusok felügyelik az új rendszereket és képességeket. Ez magában foglalhatja az AI-stratégiát, fejlesztési terveket, hogy hogyan katalogizálják a tervezett és működő rendszereket, hogyan azonosítják és kezelik a katalógusban felsorolt rendszerekkel kapcsolatos AI-kockázatokat, hogyan határozzák meg a kockázatvállalási hajlandóságot, és hogyan történik a kapcsolódó döntéshozatal, a fő kockázatok kezeléséhez kapcsolódó erőforrás biztosítás vagy az AI-rendszerekhez kapcsolódó szerepek és felelősségek kialakítása.

Várhatóan a szervezeteknek a tudatos kontroll kialakításának demonstrálásán túl valamilyen dokumentációt is biztosítani kell annak igazolására, hogy a kulcskontrollokat nemcsak bevezették, de azok hatékonyan is működnek; ezért elkérhetik a konkrét anyagokat, pl. technikai modell-dokumentációkat, a tesztelési dokumentumokat vagy az értelmezhetőségi és torzítási felülvizsgálatokból származó anyagokat.

Hogyan legyünk auditkészek?

Függetlenül attól, hogy a szervezet hol tart az AI bevezetésében, az alábbi tevékenységek mentén érdemes felépíteni egy auditkész AI kontrollkörnyezetet.

Legelőször alapozzuk meg az AI felügyeletét

Az AI felügyeletének integráltan kell működnie a többi, már kialakított kockázatmenedzsment területtel. Fontos, hogy kiterjedjen mindezekre:

  • A használt eszközökre és modellekre vonatkozó döntésekre, illetve azok bevezetésére;
  •  A teljesítményük mérésére és használatuk felügyeletére;
  • A modell és kimenetei megbízhatóságának, magyarázhatóságánka és biztonságának biztosítása

A könyvvizsgálatok szempontjából mindez különösen akkor fontos, ha az AI modell(ek) a pénzügyi beszámolókba vagy külső közzétételekbe kerülő adatokra közvetlenül hatással vannak. A szervezeten belüli kockázatmenedzsment csapatok, például az informatikai, adatvagyon gazdálkodási, compliance csapatok, vagy a belső ellenőrzés is kulcsszerepet játszhat az AI-irányítási rendszerek kialakításának támogatásában, elsősorban a felmerülő kockázatok proaktív értékelésével, a kontrollok kialakításának validálásával, tanácsadással vagy akár az irányítási gyakorlatok hatékonyságának vizsgálatával.

Fejlesszük a támogató területek képességeit és teremtsük meg a koordinációt

Az auditkészültség sokszor azon múlik, hogy a kollégák hogyan tudják elmagyarázni a területükön alkalmazott AI-rendszerekről, hogy miért megbízhatóak és pontosak az eredmények, illetve hogyan és mennyiben támaszkodnak a rendszerekre. A folyamattulajdonosoknak és a kontrollgazdáknak érteniük kell az őket érintő AI-rendszerek által keletkezett kockázatok és változások hatását, magabiztosan kell részt venniük az audittervezések során és a vizsgálatokon is. Ezen túl vannak olyan szerepkörök, ahol specifikus tudás szükséges, és ahol az AI-rendszerek hatását az adott kockázati területre el kell tudni magyarázni, a kockázatkezelési tevékenységeket pedig be kell tudni mutatni. Ilyenek pl. az IT, információbiztonság, adatvagyon-védelem, jog, compliance, stb. területek releváns folyamatai.

Katalogizáljuk az AI-felhasználási eseteit

A szervezetnek naprakészen értenie kell, hogy hol használ AI-t, milyen folyamatokra és döntésekre van annak hatása, és milyen karakterisztikákkal rendelkezik az adott alkalmazás. A cél az, hogy a szervezet be tudja mutatni a folyamatokon átívelő AI-használat hatását, valamint az egyes esetekhez rendelt kockázati szinteket. Ideális esetben ez a katalógus nem csak a fejlesztőket és projektmenedzsereket támogatja a bevezetésben, esetleg a compliance csapatot a jogszabályi megfelelésben, hanem jelzi azokat a területeteket is, melyek könyvizsgálati vagy pénzügyi kontroll szempontjából relevánsak (pl. a Sarbanes–Oxley (SOX) program). A könyvelési tételek automatizálásában, becslésekben, zárási folyamatokban vagy más, SOX szempontjából releváns területeken használt AI-t egyértelműen meg kell jelölni a nyilvántartásokban.

Validáljuk a katalógusokat

Fontos, hogy az AI-felhasználási esetek nyilvántartása nem támaszkodhat kizárólag önbejelentésre. Ki kell alakítani egy ellenőrzési folyamatot a potenciális „árnyék-AI” azonosítására, és a sokszor figyelmen hagyott területeket is érteni kell, például a harmadik féltől származó eszközökbe beágyazott funkcionalitás, nem engedélyezett bevezetések vagy rendszerfrissítésekkel bevezetett AI-funkciókat. Ez segít igazolni, hogy a releváns használati esetek — beleértve a rejtett használat vagy a központi irányítási folyamatokon kívül bevezetett esetek — mind számításba kerülnek. Bár a központosított katalógus önmagában is jó gyakorlatnak számít, a jól dokumentált folyamatok, amelyek egyértelműen validálni tudják a katalógust, kritikus kontrollnak tekintendők — különösen a vezetőségre vonatkozó SOX-elvárások részeként.

Kockázatalapú megközelítést alkalmazzunk

Nem minden AI egyforma és a kontrolloknak a különböző AI-karakterisztikáihoz arányosnak kell lennie. A centralizált kockázatértékelés, vagy az egységes módszertan és taxonómia szerinti osztályozás segít hatékonyan kialakítani és priorizálni az egyes AI-modellek körüli döntéseket, például hogy hol lehet szükség robusztusabb tesztelésre vagy metaadat validálására, ami SOX vagy könyvvizsgálati relevancia esetén fontos kérdés. Fontos felkészülni annak bemutasára is, hogy miként fejlesztették, vezették be és tesztelték az adott AI-eszközt, és ezzel arányosan hogyan lett kialakítva a kontroll környezet.

Validáljuk az AI kimeneteit

A modell tervezés és használat során is kritikus a kimenetek validálása, ha az AI-t a pénzügyi beszámolásban használják. Ez a terület nagyon sok kérdést vet fel, és gördülékenyebb lesz az érintettekkel — köztük a könyvvizsgálókkal — folytatott egyeztetés, ha egy felkészült csapat megfelelő dokumentációval felvértezve indul ennek neki. Meg kell tudni mutatni, hogyan és miért támaszkodik a szervezet a pénzügyi kimutatásokba bekerülő, AI által generált eredményekre. Lehet, hogy frissítenie kell a SOX-program folyamatleírásait vagy kockázatkontroll mátrixait is (RCM-eket), ott is elsősorban a kontrollok leírását az AI hatásának magyarázataival.

Íme néhány példa olyan dokumentációkra, amelyekkel az AI-modellek eredményeinek megbízhatóságát lehet alátámasztani:

  • Ellenőrzött és jóváhagyott modell kockázatértékelési dokumentumok
  • Ellenőrzési dokumentumok, hibák/javítások regisztere
  • Hibanaplók, eszkalációs dokumentációk
  • Mintavételes tesztelési dokumentációk és humán tesztelés, bizonyítékokkal (beleértve az adatintegritás-ellenőrzéseket, felülvizsgálati lépéseket és kivételkezelést)
  • Monitoring, ellenőrzési jelentések (küszöb- és határértékekkel)
  • Mitigációs, fallback kontrollok vagy tartalék mechanizmusok, ezzel kapcsolatos felülvizsgálati döntések dokumentációja
  • Frissített, az AI által támogatott folyamatokat tükröző SOX-dokumentáció

Mivel sok AI-rendszer probabilisztikus — nem pedig determinisztikus — eredményeket produkál (tehát valószínűségek alapján generál eredményeket, nem pedig fix szabályok szerint), ott a könyvvizsgálók meg akarják érteni az ellenőrzési mechanizmusok részleteit, főleg amikor az AI egy kulcsfolyamatot vagy kontrollt egészít ki vagy helyettesít.

Amikor pedig generatív AI-t használnak szöveges közzétételek létrehozására vagy pénzügyi elemzésekre, ott a könyvvizsgálati kérdések fókusza a pontosság vagy a hallucinációk kiküszöbölésének biztosítása lesz.

Kapcsolat

Szőke Cecília

Szőke Cecília

PR Vezető Menedzser, PwC Hungary

E-mail
Kövessen minket!

© 2023 - 2026 PwC. Minden jog fenntartva. A „PwC” kifejezés a PricewaterhouseCoopers Könyvvizsgáló Kft.-re és a PricewaterhouseCoopers Magyarország Kft.-re utal, amelyek az önálló és független jogi személyekből álló PricewaterhouseCoopers International Limited hálózatának tagja.