يصنف قانون الاتحاد الأوروبي للذكاء الاصطناعي الأنظمة إلى أربع فئات مخاطر، لكل منها التزامات مختلفة. بالنسبة لمراجعي الحسابات، فإن فهم هذا التصنيف أمر بالغ الأهمية لسببين: تقييم أدوات المراجعة الخاصة بك وفهم مخاطر الامتثال لدى العملاء.

فهم إطار تصنيف المخاطر

يصنف قانون الاتحاد الأوروبي للذكاء الاصطناعي الأنظمة إلى أربع فئات مخاطر، لكل منها التزامات مختلفة. بالنسبة لمراجعي الحسابات، فإن فهم هذا التصنيف أمر بالغ الأهمية لسببين: تقييم أدوات المراجعة الخاصة بك وفهم مخاطر الامتثال لدى العملاء.

أنظمة المخاطر المحدودة والدنيا


معظم أدوات المراجعة الحالية تقع في هذه الفئات. تطبيقات تحليل البيانات التقليدية، أدوات أخذ العينات، وحتى بعض تقنيات كشف الشذوذ تُصنف كمخاطر محدودة أو دنيا. هذه الأدوات تخضع لمتطلبات شفافية أساسية فقط، مثل إعلام المستخدمين أنهم يتفاعلون مع نظام ذكاء اصطناعي.
بالنسبة للمراجعين، هذا يعني أن معظم أدوات التحليل الحالية ستبقى متاحة بدون تغييرات جوهرية. لكن عليك توثيق استخدامك لهذه الأدوات في أوراق العمل، خاصة عند شرح كيفية توصلك للاستنتاجات المهنية.

أنظمة المخاطر العالية


هنا يصبح الوضع معقداً. المادة 6 من قانون الاتحاد الأوروبي للذكاء الاصطناعي تحدد أنظمة المخاطر العالية كتلك التي تُستخدم في مجالات حساسة مثل البنية التحتية الحيوية، التعليم، التوظيف، والامتثال القانوني. بعض أدوات المراجعة المتطورة قد تقع في هذه الفئة، خاصة تلك التي:
أنظمة المخاطر العالية تتطلب امتثالاً شاملاً يشمل تقييم المطابقة، نظم إدارة المخاطر والجودة، شفافية تشغيلية كاملة، ومراقبة مستمرة بعد التسويق.

  • تحلل معاملات مالية لكشف مخاطر الاحتيال تلقائياً
  • تقيم مخاطر استمرارية المنشأة باستخدام التعلم الآلي
  • تصنف المعاملات أو الحسابات لأغراض التركيز في المراجعة
  • تحدد مخاطر التحريف الجوهري على مستوى التأكيدات وفقاً لمعيار المراجعة 315.26

التوثيق وإدارة المخاطر للمراجعين

إذا كنت تستخدم أنظمة ذكاء اصطناعي عالية المخاطر في عمليات المراجعة، فأنت بحاجة إلى توثيق شامل يتوافق مع متطلبات معيار المراجعة 220 للجودة والمادة 9 من قانون الاتحاد الأوروبي للذكاء الاصطناعي.

متطلبات إدارة المخاطر


المادة 9 تتطلب وضع نظام إدارة مخاطر يحدد ويحلل المخاطر المعروفة والمتوقعة لصحة وسلامة الأشخاص أو الحقوق الأساسية. بالنسبة للمراجعة، هذا يترجم إلى:

شفافية العمليات والبيانات


المادة 13 تتطلب شفافية كافية لتمكين المستخدمين من تفسير نتائج النظام واستخدامها بشكل مناسب. هذا يعني أن أدوات الذكاء الاصطناعي في المراجعة يجب أن تقدم:
معيار المراجعة 230 يتطلب بالفعل توثيق الاستدلال وراء الاستنتاجات المهنية. قانون الذكاء الاصطناعي يضيف طبقة إضافية بمطالبة المراجعين بتوثيق كيفية مساهمة الأنظمة الآلية في هذا الاستدلال.

  • توثيق كيفية تأثير قرارات الذكاء الاصطناعي على استنتاجات المراجعة
  • تحديد مخاطر الخطأ في التصنيف أو التحليل
  • وضع ضوابط للمراجعة البشرية لقرارات الذكاء الاصطناعي الحساسة
  • تفسيراً واضحاً لكيفية توصل النظام لتوصياته
  • معلومات حول البيانات المستخدمة في التدريب
  • حدود دقة النظام وموثوقيته

مثال عملي: تقييم نظام كشف الاحتيال

شركة الرياض للصناعات التقنية المحدودة تستخدم نظام ذكاء اصطناعي لتحليل أنماط المعاملات وكشف مؤشرات الاحتيال المحتملة. النظام يحلل معاملات بقيمة 89 مليون يورو سنوياً ويرفع حوالي 12% منها للمراجعة اليدوية.
الخطوة 1. تحديد تصنيف المخاطر. النظام يؤثر على القرارات المالية ويمكن أن يؤثر على سمعة الأفراد، مما يضعه في فئة المخاطر العالية بموجب المرفق الثالث.
ملاحظة التوثيق: وثّق أساس التصنيف في ملف تقييم نظم المعلومات، مع الإشارة إلى المرفق الثالث والمعايير المحددة التي تم تطبيقها.
الخطوة 2. طلب وثائق الامتثال من المطور. هل النظام حاصل على علامة CE؟ هل يوجد إعلان امتثال الاتحاد الأوروبي؟ هل تم إجراء تقييم المطابقة؟
ملاحظة التوثيق: احصل على نسخة من إعلان الامتثال وإثبات علامة CE. إذا لم تكن متوفرة، فالنظام غير متوافق مع قانون الاتحاد الأوروبي للذكاء الاصطناعي.
الخطوة 3. تقييم نظم الرقابة الداخلية. كيف يراقب العميل دقة النظام؟ ما هي عملية المراجعة البشرية للحالات المرفوعة؟
ملاحظة التوثيق: وثّق إجراءات المراقبة المستمرة، معدلات الخطأ المعروفة، وعمليات التصحيح. هذا يؤثر على تقييم مخاطر الرقابة.
الخطوة 4. اختبار فعالية الضوابط. راجع عينة من الحالات التي رفعها النظام والحالات التي لم يرفعها للتأكد من دقة التصنيف.
ملاحظة التوثيق: وثّق نتائج الاختبار، أي أخطاء في التصنيف، وتأثير ذلك على استراتيجية المراجعة.
يوضح هذا المثال أن العميل يحتاج توثيق إضافي لإثبات الامتثال، والمراجع يحتاج إجراءات إضافية لتقييم موثوقية النظام. النتيجة: تعقيد إضافي في التخطيط والتنفيذ، لكن مع ضوابط أقوى على المخاطر التقنية.

قائمة مراجعة التقييم العملي

استخدم هذه القائمة لتقييم أدوات الذكاء الاصطناعي في بيئة المراجعة الخاصة بك:

  • جرد أدوات الذكاء الاصطناعي المستخدمة: وثّق كل أداة تحليل تستخدم خوارزميات تعلم آلي أو ذكاء اصطناعي، مع تحديد الغرض وطبيعة القرارات التي تتخذها.
  • تصنيف المخاطر: طبق معايير قانون الاتحاد الأوروبي للذكاء الاصطناعي لتحديد مستوى المخاطر لكل أداة، مع التركيز على تلك التي تؤثر على الاستنتاجات المالية أو تصنيف المخاطر.
  • مراجعة وثائق الامتثال: للأدوات عالية المخاطر، تأكد من وجود إعلان امتثال الاتحاد الأوروبي وعلامة CE قبل فبراير 2025.
  • تحديث إجراءات التوثيق: راجع نماذج أوراق العمل لتشمل توثيق استخدام الذكاء الاصطناعي وتبرير الاعتماد على نتائجه.
  • تدريب الفريق: تأكد من فهم الفريق لحدود وإمكانيات أدوات الذكاء الاصطناعي المستخدمة، بما يتماشى مع متطلبات الشفافية.
  • النقطة الأهم: إذا كان العميل يستخدم أنظمة ذكاء اصطناعي عالية المخاطر غير متوافقة مع قانون الاتحاد الأوروبي للذكاء الاصطناعي، فهذا خرق للامتثال التنظيمي يؤثر على مخاطر المراجعة والتقرير.

الأخطاء الشائعة

  • افتراض أن جميع أدوات التحليل تقع في فئة المخاطر المحدودة: بعض أدوات كشف الاحتيال المتطورة قد تصنف كمخاطر عالية، خاصة إذا كانت تؤثر على قرارات بشأن أفراد محددين.
  • تجاهل متطلبات الشفافية: حتى أنظمة المخاطر المحدودة تتطلب إفصاح واضح للمستخدمين، وهذا يشمل توثيق استخدامها في أوراق عمل المراجعة.
  • عدم تقييم امتثال العملاء: عدم التوافق مع قانون الذكاء الاصطناعي يُعتبر مخاطر امتثال تنظيمي يجب تقييمه ضمن مخاطر المراجعة العامة.
  • إغفال متطلبات معيار المراجعة 220.27 بشأن جودة موارد المراجعة - يتطلب المعيار من الشريك المسؤول التأكد من ملاءمة الموارد التقنية المستخدمة. مثال: شركة مراجعة في فرانكفورت اعتمدت على نموذج ذكاء اصطناعي مغلق المصدر دون توثيق دقته، فأصدرت لجنة مراقبة الجودة ملاحظة بعدم الامتثال لمعيار 220.27 وألزمتها بتطبيق ضوابط مراجعة بشرية إضافية.

المحتوى ذو الصلة

احصل على رؤى تدقيق عملية أسبوعياً.

ليست نظريات امتحانات. فقط ما يجعل عمليات التدقيق أسرع.

أكثر من 290 دليلاً منشوراً20 أداة مجانيةصُمم بواسطة مراجع حسابات ممارس

بدون إزعاج. نحن مراجعون، لا مسوّقون.