בינה מלאכותית והמבקר הפנימי

טכנולוגיה כמנוע שינוי בתהליכי קבלת החלטות

משחר קיומה של התרבות האנושית הייתה הטכנולוגיה מנוע שינוי רב עוצמה. הטכנולוגיה לא רק נתנה יתרון תחרותי לחברות ותרבויות, אלא גם שינתה את האופן שבו אנו תופסים את המציאות ומתייחסים אליה. גם כיום הסביבה העסקית והארגונית עוברת שינויים מרחיקי לכת, הנובעים מהתפתחות מואצת ביכולות הטכנולוגיות.

אנו כבר רגילים לכך שהטכנולוגיה הקיימת מאפשרת למכן תהליכים עסקיים שעד כה בוצעו רק באמצעות בני-אנוש. השינוי המהותי המתרחש בימים אלו הוא שאנו מתחילים למכן גם את תהליכי קבלת ההחלטות.

הדוגמה הפשוטה להפליא היא היישומון Waze (להלן – המכונה). מי מאיתנו לא עשה שימוש ביישומון זה? כאשר אנו מתקינים את היישומון לראשונה ומתחילים להשתמש בו, רובנו עושים זאת עם חשש מסוים. אנו למעשה חוששים מאיבוד השליטה והעברת האחריות למכונה. לכן רובנו נבחר לעשות זאת בהדרגה:

  1. השימוש הראשון ביישומון ייעשה בדרך כלל כתהליך התומך בקבלת החלטות: "בוא נראה דרך איפה הוא ממליץ לנסוע". אנו לא מאבדים שליטה, אלא רק מבקשים מידע התומך בקבלת ההחלטה בנוגע למסלול הנסיעה.
  2. בשלב השני, לאחר ביסוס אמון, ישנה העברה חלקית של תהליכי קבלת ההחלטות למכונה (שימוש במכונה עבור ניווט למקומות חדשים בלבד), או העברה לתפקיד הניטור והבקרה בבחינת "אני אנווט ונראה מה הוא אומר" (כלומר המכונה עובדת ברקע כסוג של תהליך בקרה על קבלת ההחלטות שלנו).
  3. בשלב השלישי, אנו מרשים לעצמנו להעביר שליטה אל המכונה – לתת לה לקבל עבורנו את ההחלטות ולנווט אותנו ליעדנו באופן מלא ועצמאי.

ארגונים עוברים את תהליך אימוץ הטכנולוגיה באופן דומה. ישנם ארגונים המצויים בשלב 1, שבו הארגון מפעיל מערך דוחות כתמיכה בקבלת החלטות. רוב הארגונים כבר מצויים בשלב 2, שבו חלק מהתהליכים ממוכנים באופן מלא, לרבות קבלת החלטות ברמת מורכבות נמוכה. דוגמה לכך ניתן למצוא בתהליך אישור אוטומטי של רכישת פוליסת ביטוח או קבלת הלוואה. היכולת למכן את התהליך באופן מלא, לרבות קבלת ההחלטה האם לאשר או לא, כלומר שלב 3 בהתפתחות, כבר קיימת ופועלת בחלק מהארגונים.

בסקר של ה-IIA בדצמבר 2017 נשאלו הנסקרים באיזו מידה הארגון שלהם מפעיל בינה מלאכותית. מהסקר עולה כי 35% מהארגונים בצפון אמריקה ומערב אירופה מפעילים היום בינה מלאכותית בהיקף כלשהו.

לצד ההזדמנויות החדשות שמייצר השימוש בבינה מלאכותית, נוצרים גם סיכונים מסוג חדש למערכת הארגונית. זהו תחום חדש שעדיין נמצא בהתהוות ולא ניתן להבין לגמרי את השלכותיו. מכיוון שלא נצבר ניסיון הולם, ארגונים טרם הטמיעו תורת הפעלה סדורה, לא קיימים מספיק מנגנוני בקרה, ואין תוכניות להתמודדות עם הסיכונים החדשים ועם הנזק שעלול להיווצר עם התממשותם.

כתוצאה מכך, נראה בשנים הקרובות יותר ויותר פעולות של רגולטורים וארגונים החותרים להסדרת התחום. במסגרת מאמץ זה, למבקר הפנימי יש תפקיד חשוב ומשמעותי במתן המענה: החל משלב בחינת נאותות היכולות המוצהרות של המערכת, דרך שלב היישום וההטמעה באופן נכון, וכלה בשימוש השוטף בבינה מלאכותית לצורכי הביקורת הפנימית.

מהי בינה מלאכותית?

ההגדרה המקובלת ביותר לבינה מלאכותית הוטבעה בשנת 1950 על ידי אלן טיורינג (האדם שעזר לפצח את מכונת ההצפנה של הנאצים במלחמת העולם השנייה – אניגמה), וידועה בשם מבחן טיורינג.

מכונה תיחשב לתבונית כאשר אדם היושב בחדר סגור ומנהל איתה שיחה לא יוכל לזהות שמדובר במכונה (או במחשב). נכון לשנים האחרונות, תוכנה הצליחה ב-33% מהמקרים לדמות שיחה ברמה אינטלקטואלית של נער בן 13 שנים (כדי לעבור את מבחן טיורינג נדרשת הצלחה ב-30% מהמקרים לפחות).

אנחנו עדיין לא קרובים למצב שבו מכונה מחליפה אדם, אבל הבינה המלאכותית מאפשרת לנו לתת מענה לבעיות פשוטות של קבלת החלטות. להלן מספר דוגמאות מהמציאות שלנו:

  1. מכוניות אוטונומיות.
  2. קביעה אוטומטית של ציוני סיכון לאנשים (תביעות, חיתום, הלוואות, כניסה לניתוחים וכדומה).
  3. התאמה אוטומטית ופרטנית של מסרים והצעות ערך בזמן אמת.
  4. התאמה פרטנית של תרופות על בסיס מאפיינים קליניים של מטופל (ובהמשך על בסיס מבנה גנטי).
  5. טייס אוטומטי במטוסי נוסעים.

בכל הדוגמאות הללו מכונה מקבלת החלטות עבורנו, ולא תמיד אנו מודעים לכך ובוודאי לא תמיד מבינים כיצד התהליך פועל.

נמחיש כיצד פועלת בינה מלאכותית על ידי דוגמה של בקרת חשבוניות. אנו רוצים לזהות באופן אוטומטי ומקוון האם ישנן חשבוניות חריגות, העשויות להצביע על נוהל לא תקין או "פריצה" (ליקוי) בנוהלי הבקרה המופעלים בארגון.

מודל

מטרתו של מודל סטטיסטי (סטוכסטי – תהליך אקראי שהתפתחותו תלויה בגורמים מקריים) היא הבנת הקשר בין אוסף מאפיינים של ישות.

בדוגמה שלנו, מאפייני חשבונית הם מספר חשבונית, ספק, יחידה ארגונית, מאשר, תאריך, מק"ט, כמות, סכום ועוד.

תוצאה או אינדיקטור לגבי חשבונית תהיה, למשל, האם החשבונית חריגה או לא.

מטרת המודל היא לאפשר "קבלת החלטה" בנוגע לכך שחשבונית מסוימת היא חריגה ויש צורך להתריע עליה.

אלגוריתם

הביטוי הפיזי של המודל הוא האלגוריתם, שהוא למעשה אוסף פעולות שהמכונה מבצעת על מנת לקבל "החלטה". על מנת לעשות זאת, המכונה "לומדת" מהנתונים הקיימים ו"בונה מודל" המתורגם לאלגוריתם. את האלגוריתם הזה המכונה תפעיל על כל חשבונית חדשה שתעבור במערכת.

האלגוריתם עשוי להיות למשל: "חשב לכל חשבונית את מידת המרחק מהממוצע כתלות בהשתייכות לאשכול ספקים. אם המרחק גדול משתי סטיות תקן, קבע כי החשבונית חריגה".

לכל אלגוריתם יש קלט הבנוי ממשתנים (מאפיינים) המכילים נתונים, ופלט הבנוי ממשתנה המכיל תוצאה.

בדוגמה שלנו, הקלט הוא מאפייני כל חשבונית, והפלט הוא האינדיקטור האם החשבונית חריגה.

"למידת מכונה" (Machine learning)

כדי לבנות מודל, יש לקבוע ראשית אילו מאפיינים (משתנים) ייכללו בקלט.

למידת מכונה היא מצב שבו אנו לא בוחרים מראש אילו מאפיינים ייכללו בקלט. במקום זאת, המכונה "בוחרת" אותם באופן עצמאי על פי מנגנון שנקבע מראש.

למידת מכונה מאפשרת לנו לבנות את המודלים כל פעם מחדש, ביעילות גבוהה מאוד, ולהתאים את המודל למצבי מציאות משתנים. בדוגמה של החשבוניות, הוספת ספקים או יחידות ארגוניות לא תשנה את אופן פעולת המכונה. לאחר מספיק זמן (מספיק רשומות חדשות), המודל יותאם למצב החדש ללא התערבות.

ניתן לבצע "לימוד" מכונה בשני אופנים:

  1. לימוד מובנה (Supervised) – כאשר יש לנו דוגמאות מהעבר שמהן ניתן ללמוד (בדוגמה שלנו: חשבוניות חריגות שכבר זוהו). המכונה מכלילה מתוך מקרי העבר את המודל ומחילה אותו על כלל המקרים.
  2. לימוד לא מובנה (Unsupervised) – כאשר אין לנו דוגמאות מהעבר שמהן ניתן ללמוד, המכונה תקבץ מקרים דומים על פי מאפייניהם ותאתר מקרים שלכאורה היו אמורים להיות באותה קבוצה, אך מאפיין אחד או יותר הם חריגים לקבוצה. המכונה למעשה בונה את ה"תקן", ואז מזהה מקרים שאינם עומדים בו.

Deep Learning

בשונה מלמידת מכונה שבה המכונה בוחרת מאפיינים בהתאם למנגנון שנקבע מראש מתוך רשימה קיימת של מאפיינים, "לימוד מעמיק" מייצג מצב שבו המכונה מחליטה ובוחרת מאפייני מודל ללא מנגנון שנקבע מראש. נניח כי אנו באים לבדוק פעילות חריגה של עובדי בנק באמצעות ניתוח טרנזקציות בנקאיות, או לבדוק נוהל רישום תרופות על ידי רופא למטופל באמצעות ניתוח כלל המרשמים הניתנים. כאן המורכבות נובעת מהצורך לייצר מאפיינים שאינם מצויים ברשומה המקורית. במקרה של טרנזקציות בנקאיות, אנו רוצים להגדיר מאפיין חדש המחשב את היחס בין הטרנזקציה האחרונה לבין הממוצע של עובד הבנק ביחידת זמן. השאלה היא כיצד להחליט כי זהו המאפיין שכדאי לנו לעשות בו שימוש. באופן דומה, ישנם אלפי או מאות אלפי מאפיינים אחרים שלא חשבנו עליהם.

כאן נכנסת לתמונה יכולת ה-Deep Learning. במקרה זה, המכונה מייצרת באופן עצמאי את המאפיינים שהיא תבדוק לאחר מכן. כיום הבינה המלאכותית מסוגלת לפעול על מאגרי נתונים המכילים מיליוני רשומות ועשרות אלפי מאפיינים הנוצרים באופן אוטומטי.

סיכון בשימוש בבינה מלאכותית: טעות של המכונה

בבואנו להעריך את איכות "ההחלטה" של מכונה, צריך לבחון שני סוגים של טעויות:

  • טעות מסוג ראשון – המכונה החליטה על תשובה חיובית, אך בפועל טעתה. לדוגמה, מכונה קבעה כי הלקוח יקבל הלוואה, אך בפועל הלקוח לא שילם את ההחזר. כאן הנזק הוא ההפסד הכספי של חדלות הפירעון. דוגמה נוספת, מכונה קבעה כי מטופל יקבל אישור לתרופה אך בפועל התרופה פגעה במטופל. במקרה זהה, מלבד הנזק הבריאותי והכספי, עלולה להיות גם פגיעה במוניטין בצורה של תביעת רשלנות רפואית.
  • טעות מסוג שני – המכונה לא החליטה על תשובה חיובית, אך בפועל הייתה צריכה להחליט. לדוגמה, המכונה קבעה כי הלקוח לא יקבל את ההלוואה, אך בפועל הלקוח היה משלם את ההחזר במלואו. במקרה זה הנזק הוא הפסד הכנסה.

כאשר אנו באים לאמוד את התרומה של השימוש בבינה מלאכותית, עלינו לשקול את היקפי הטעות מסוג ראשון ושני ולכמת את הנזק העלול להיגרם בכל מצב. רק הבנה מושכלת של מצבי הטעות והנזק בכל מצב, תאפשר לאמוד את הסיכון הקיים ולקבוע תוכנית להתמודדות עם הסיכון.

את מי המכונה תשלח לתנור ואת מי לווטרינר?

 

source:https://www.flickr.com/photos/jackson3/3733049190

ביקורת פנימית ובינה מלאכותית

בינה מלאכותית בעולם העסקי תשפיע על הביקורת הפנימית בשני אופנים:

  1. השפעה על שיטות העבודה של יחידת הביקורת.
  2. השפעה על המיומנויות הנדרשות על מנת לבצע ביקורת על תהליכים עסקיים שבהם נעשה שימוש בבינה מלאכותית.

השפעה על שיטות העבודה של הביקורת הפנימית:

לאור התגברות האתגרים ומורכבות הפעילות העסקית והלחץ על התייעלות כלכלית, האתגרים העומדים בפני פונקציית הביקורת הפנימית כוללים התמודדות עם מורכבות גוברת זו במשאבים מועטים:

“Doing more with less”

רתימת טכנולוגיה, ושימוש בבינה מלאכותית בלבד, מאפשרת ליישב את הצורך בהגברת האפקטיביות ושיפור יכולות הביקורת בד בבד עם התייעלות וחיסכון במשאבים בראייה ארוכת טווח.

התייעלות בתהליכי עבודה: הביקורת הפנימית תעשה שימוש הולך וגובר ביכולות מעולם הבינה המלאכותית כחלק אינטגרלי מארגז הכלים שלה. השימוש בבינה מלאכותית יכול לשפר את עבודת המבקר הפנימי ולייעל אותה. בינה מלאכותית מאפשרת לביקורת הפנימית לזהות כשלים שעד היום לא ניתן היה לזהות, לכסות יותר "שטחים", ולבצע זאת בפחות זמן ומשאבים. כל זאת, ללא פגיעה באיכות העבודה (לפעמים אף בשיפור).

התייעלות נוספת תתאפשר על ידי יצירת תהליכי ביקורת שחוזרים על עצמם באופן אוטומטי. לדוגמה, ביקורת שכר תתבצע אחת למספר חודשים במקום אחת למספר שנים. ההשקעה בביקורת מבוצעת פעם אחת, ומכאן התהליך הוא אוטומטי ולומד.

כיום, בעזרת בינה מלאכותית אנו יודעים לבצע ביקורות על כלל נתוני מערכת ארגונית בשבועות בודדים, תוך צמצום למינימום של פרק הזמן שבין שליפת הנתונים ועד העברת התובנות.

שינוי צורת עבודה: הביקורת הפנימית תתחיל לעבוד עם בינה מלאכותית כדי לזהות כשלים פוטנציאליים (חריגים או "אנומליות"), בלי להגדיר מראש "מה מחפשים".

כיום, זיהוי מצבי כשל מתחיל בהגדרה מוקדמת של מצב הכשל הפוטנציאלי ואיתור של מצב זה בהתנהלות השוטפת. לרוב מדובר בהשוואה של התנהלות קיימת מול פרוטוקול או תקן התנהגות רצוי.

בינה מלאכותית מאפשרת לביקורת הפנימית לזהות מצבי קיצון, חריגה ואי התאמה שלא הוגדרו מראש. בכך נפתח עולם חדש ואינסופי של מצבים שעד כה לא היו מטופלים. יש לזכור כמובן את הטעות מהסוג הראשון: מצבים  קיצוניים, חריגים או לא מתאימים שהם בכל זאת תקינים. למשל, משכורת חריגה אינה מצביעה בהכרח על חוסר תקינות, מפני שייתכן שהיא מבטאת בונוס חד-פעמי שאושר באופן תקין.

טבלת מיפוי הסיכונים הארגוני

“The Known Zone” – אופן העבודה הנוכחי, שבו המבקר הפנימי עוסק בסיכונים ידועים ובטיפולוגיה ידועה. הסיכון ידוע ואופן זיהוי הכשל ידוע. זה האופן שבו אנו פועלים ללא בינה מלאכותית.

“Should Have Known” – הסיכון לא ידוע, אך הטיפולוגיה ידועה. במקרה זה ניתן לזהות חריגה מהסטנדרט ללא ידיעה מקדימה בדבר התקינות של האירוע. לדוגמה, חשבונית חריגה לפי מודל ידוע מראש. במקרה כזה המכונה מפעילה שיקול דעת כדי לקבוע האם רשומה במערכת היא חריגה ומצריכה תחקור מעמיק יותר.

"Emergent risk" – הסיכון ידוע אך לא קיים מנגנון זיהוי הכשל. במקרה כזה הבינה המלאכותית מאפשרת לנו לזהות תבניות התנהגות העשויות לרמז על כשלים במקרים של סיכונים ידועים ללא הגדרה מראש של הכשל. לדוגמה, ריבוי פתיחת חשבונות ממדינה זרה, העשוי לרמוז על פעילות הלבנת הון.

השפעה על המיומנויות הנדרשות על מנת לבצע ביקורת על תהליכים עסקיים שבהם נעשה שימוש בבינה מלאכותית:

ההטמעה של בינה מלאכותית בתהליכים עסקיים בארגון תיצור תפקידים חדשים וצורך בבחינת יכולות שונות לצוות הביקורת הפנימית. המבקר הפנימי יצטרך לבקר את האופן שבו הארגון מפתח ועושה שימוש בבינה מלאכותית. לשם כך, יחידת הביקורת הפנימית תידרש להשלים ידע, להעלות את נושא הבינה המלאכותית בוועדת הביקורת, ולגבש תוכניות התמודדות עם הנושא.

השפעה על תוכנית העבודה ונושאי בדיקה במטרה לכלול זיהוי סיכונים בתהליכים עסקיים הכוללים בינה מלאכותית:

הטמעת יכולות בינה מלאכותית בארגון מייצרת סיכונים שעל הביקורת הפנימית לבחון בתהליך הביקורת, לדוגמה:

  1. סיכון הגורם האנושי – למרות שאנו מפעילים מכונה על מנת לקבל החלטות, בסופו של דבר עדיין בן אנוש מתכנת ומטמיע את האלגוריתם. בניגוד לטיפול במערכות מידע, לרוב אין בארגון את אותם מנגנוני בקרה על מדעני הנתונים. לכן אנו יכולים לזהות מספר סיכונים בתהליך:
    • הטיות אנושיות לא מזוהות המשולבות באלגוריתם.
    • טעויות לוגיות אנושיות באלגוריתם.
    • תהליך לא מספק של העברה לייצור, בדומה לפרוטוקולים הקיימים במערכות מידע.
  2. השלכות אתיות של הפעלת האלגוריתם – לדוגמה, האם האלגוריתם אכן לא מפלה בין קבוצות אתניות, למרות שהן יוצאות מובחנות?
  3. הסיכון בגרימת נזק – מוצרים או שירותים מבוססי בינה מלאכותית עלולים לגרום נזק פיננסי או נזק למוניטין.
  4. הסיכון כי הארגון או יחידות עסקיות לא ישכילו להטמיע ולעשות שימוש ביכולות בינה מלאכותית ובכך יסכנו את הארגון כולו.
  5. הסיכון כי עקב חוסר ידע, הבנה או יכולת, הארגון לא ינצל כראוי את ההשקעה המסיבית המושקעת בהטמעה של יכולות בינה מלאכותית ואף יגיע לאי החזר על ההשקעה.

אילו נושאים המבקר צריך לכלול בתוכנית העבודה לגבי בינה מלאכותית?

  1. בדומה לשימוש בכל מערכת מרכזית אחרת, על הביקורת הפנימית לוודא שימוש ראוי בבינה מלאכותית בהיבטים הבאים:
    • ממשל תאגידי (Corporate Governance) – אילו מדיניות ונהלים יש לקבוע כדי להבטיח ממשל תקין? האם מסגרות הניהול הקיימות פועלות? מי בודק האם ליחידות העסקיות יש הכישורים הנדרשים והמומחיות לנטר ולפקח על פעילות הבינה המלאכותית? כיצד הארגון מוודא כי הערכים שלו והאתיקה שלו משתקפים בפעילות הבינה המלאכותית? האם האסטרטגיה העסקית כוללת פיתוח יכולות בינה מלאכותית וכישורים מספקים על מנת להפיק ערך מיכולות אלה למימוש האסטרטגיה?
    • ממשל נתונים (Data Governance) – בארגונים שבהם יש מבנה מוגדר היטב וקוהרנטי של הנתונים, יש לבחון האם היחידות העסקיות המפתחות, מטמיעות ועושות שימוש בבינה מלאכותית אכן מפעילות מנגנוני בקרה על איכות הנתונים? אנו יודעים לזהות כיום מספר מצבי פגיעה באיכות הנתונים העלולים להשפיע לרעה על הפעלת אלגוריתם של בינה מלאכותית (לדוגמה: שלמות, דיוק, תאימות, רציפות, תקפות, עדכניות, מהימנות ועקביות).
    • ניהול סיכונים – האם ישנם מנגנונים המבטיחים כי לא ניתן לעשות שימוש לרעה בבינה המלאכותית על ידי גורמים מחוץ לארגון או בתוכו?
    • תהליכים סדורים להטמעת יכולות בינה מלאכותית (כגון פרוטוקולים של העברה לייצור של בינה מלאכותית).
  2. סיכונים הנובעים מפעילויות בינה מלאכותית – הערכת הסיכון, ושילובו בתוכנית הביקורת השנתית, בהתאם להיקף ומהותיות הפעלת יכולות מסוג זה.
  3. הביקורת הפנימית צריכה להיות מעורבת באופן פעיל בפרויקטים של בינה מלאכותית מהשלב הראשון. המעורבות תתקיים במתן ייעוץ מקצועי במטרה לתרום ליישום מוצלח, כמובן בלי לקחת חלק בתהליך קבלת ההחלטות ובלי לפגוע בעצמאות ובאובייקטיביות של המבקר.
  4. בארגונים שכבר מיישמים היבטי בינה מלאכותית (כגון ייצור באמצעות רובוטיקה בקו הייצור) או משלבים אותה במוצר או בשירות (כגון התאמה אישית של הצעות ערך על בסיס היסטורית רכישה), הביקורת הפנימית צריכה לבחון, כחלק מתהליכי הביקורת, את ההיבטים הקשורים באמינות של האלגוריתמים הבסיסיים והנתונים שעליהם מבוססים האלגוריתמים.
  5. הביקורת הפנימית צריכה לבחון את ההיבטים האתיים בשימוש בבינה מלאכותית, וכחלק מביצוע הביקורת לבחון עמידה בהיבטים האתיים הללו.
  6. הביקורת הפנימית תפעל לבחון תהליכי קבלת החלטות המתבצעות על ידי מכונות. לדוגמה, כיצד בוחנים את תהליך חסימת כרטיס אשראי, כאשר הוא מתבצע באופן אוטומטי ומבוזר תוך שילוב מספר מכונות המפעילות "שיקול דעת".

סיכום

תחום הבינה המלאכותית כאן כדי להישאר. התחום מביא עמו יכולות חדשות בתחום העסקי שיאפשרו התייעלות ושיפור ביצועים ואפילו התפתחות של מודלים עסקיים חדשים. בד בבד, התחום מביא איתו אתגרים חדשים בתחום הביקורת הפנימית וניהול הסיכונים.

תחום זה הוא אחד הפתרונות המרכזיים לאתגרי הביקורת, הכוללים עלייה במורכבות הפעילות העסקית והדרישות מהביקורת הפנימית, ולחץ מתמיד להתייעלות ולחיסכון במשאבים. על הביקורת הפנימית להשתמש בכלים החדשים שמביאה הבינה המלאכותית כדי להתייעל ולהשתפר, ובמקביל לסייע בשמירה על הארגון מפני הסיכונים הנובעים משימוש בכלים אלו.

תחום זה הוא תחום חדש שעדיין לא נחקר דיו, ובשנים הקרובות יהיה צורך לבנות עבורו מסגרות עבודה וקווים מנחים.