Intelligence artificielle et apprentissage automatique dans un monde de GRC

Tout le monde parle de "AI" et de "ML". Les fournisseurs de GRC en parlent tous, y compris SAP. Mais qu'est-ce que cela signifie, et plus important encore, qu'est-ce que cela pourrait signifier pour vous dans le futur?

Tout d'abord, revenons à la même page si vous êtes l'un des nombreux qui recherchent la plupart des acronymes ces jours-ci. disparaissent si vite.

AI = Intelligence artificielle (tiré de Merriam-Webster ):

"Une branche de l'informatique traitant de la simulation du comportement intelligent en ordinateurs (… machine à imiter le comportement humain intelligent) "

ML = Apprentissage automatique (tiré de Wikipedia ):

" Un domaine de l'informatique qui utilise des techniques statistiques pour donner aux systèmes informatiques la capacité d '«apprendre» (par exemple, améliorer progressivement les performances d'une tâche spécifique) avec des données, sans être explicitement programmé »

Système expert

est "système expert", étroitement lié à la fois AI et M L, qui utilise une base de connaissances d'experts et un moteur d'inférence pour prendre des décisions et résoudre des problèmes complexes.

La définition Merriam-Webster de l'intelligence artificielle (en particulier «… machine à imiter le comportement humain intelligent») Mon visage alors que je me demandais si un ordinateur imitant un comportement humain stupide serait qualifié d'intelligence artificielle, ou avons-nous besoin d'une définition de stupidité artificielle? Vous pouvez penser que je plaisante, mais ce n'est qu'une légère exagération si vous vous rendez compte qu'une partie du buzz autour de Google Duplex et Assistant met l'accent sur un agent informatique qui peut imiter la voix, les pauses et les faux départs inhérents. dans la communication humaine.

Pour moi, on dirait qu'ils baissent le ton pour paraître plus humain. Quelle est la prochaine-mauvaise grammaire, jurons mots, et un chien qui aboie en arrière-plan? J'espère que nos prochains appels automatisés comprendront quand je dis: «Je suis sur la liste des numéros de télécommunication exclus»

Mais pour revenir au sujet, où l'apprentissage automatique rencontre l'intelligence artificielle, un agent IA devrait évaluer son propre comportement, puis ajuster comme requis. Pour continuer avec l'analogie robocall, si le robo-agent pouvait apprendre que le pitch de vente en boîte ne produisait pas assez de commandes dans un certain groupe démographique et ensuite adapter le pitch pour les futurs appels, maintenant ce serait quelque chose! (Notez que je n'ai pas dit «quelque chose de bien».)

GRC intelligente

Vous vous demandez peut-être comment cela se rapporte à GRC. Eh bien, nous avons déjà quelques exemples dans les blogs précédents:

Les blogs ci-dessus discutent principalement des capacités qui existent déjà dans la gamme de produits SAP. J'aimerais explorer quelques nouvelles capacités potentielles avec vous. Puisque je suis plus concentré sur la gestion des risques et de la conformité, concentrons-nous sur ceux-ci.

D'abord, une déclaration de problème provisoire. Il est difficile de déterminer quels contrôles internes tester, comment les tester et à quelle fréquence tester. Peut-être que nous pourrions rendre cela un peu plus facile avec un système expert et l'apprentissage automatique. Sans aller tout "SOX wonk" sur vous, supposons que vous avez capturé quelques informations sur chaque contrôle, tels que:

• Type de contrôle
• Fréquence des performances de contrôle
• Etendue de l'automatisation des performances de contrôle
• Matérialité des risques qu'un contrôle était censé atténuer
• Difficulté relative d'exécution correcte du contrôle
• Mesure dans laquelle le contrôle est facilement annulé par la direction
• Historique de l'échec du contrôle
• Et ainsi de suite …

Avec cette information, le système pourrait déterminer quels contrôles évaluer, comment, quand – et peut-être même qui – sur la base des règles. À partir de là, pourquoi ne pas planifier automatiquement les évaluations, et acheminer les problèmes ou les exceptions qui en découlent, le cas échéant? Utilisez les capacités d'apprentissage automatique en ajustant automatiquement l'horaire en fonction des changements de niveau de risque, des échecs de contrôle, etc. Et bien sûr, si vous pouvez automatiser entièrement plusieurs des tests eux-mêmes, vous êtes à la maison gratuitement! Cela pourrait prendre une tâche fastidieuse et en faire quelque chose de facile, prévisible et vérifiable.

La clé semble être d'obtenir beaucoup de données pertinentes et de comprendre comment les règles devraient être basées sur ces données. L'Internet est fou de buzz sur les conséquences inattendues potentielles avec des algorithmes d'apprentissage automatique. Considérez cet exemple suivant, que j'ai paraphrasé d'un entretien avec Ryan Jenkins, professeur de philosophie à Cal Poly

Imaginez que vous étiez en train d'élaborer des règles sur la réaction d'un véhicule autonome lorsqu'un accident avec un autre véhicule était imminent. Logiquement, vous pourriez diriger la voiture pour éviter l'accident en s'éloignant de l'accident potentiel et en vous dirigeant vers une zone ouverte ou, si aucune aire ouverte n'était disponible, vers le plus petit objet, afin de minimiser les dommages au véhicule. Mais que faire si le plus petit objet est un enfant? Évidemment, ce n'est pas une bonne règle, mais un bon exemple de conséquences inattendues.

Pensez à essayer de déterminer à l'avance quels contrôles internes échoueront aux tests. Un ami et un collègue ont suggéré que nous puissions examiner l'historique des tests afin d'identifier les contrôles qui avaient échoué auparavant et considérer ceux qui risquaient le plus d'échouer. Pourtant, dans la pratique, il se peut fort bien que les contrôles qui avaient échoué auparavant fassent l'objet de la plus grande attention afin de s'assurer qu'ils n'échoueront plus jamais. Donc en fait, ils pourraient être les moins susceptibles d'échouer. Une façon plus réfléchie d'y penser pourrait impliquer la complexité du contrôle, qui effectue le contrôle, etc.

Les opportunités abondent

Je n'ai certainement pas encore les réponses, mais je peux imaginer beaucoup d'opportunités intéressantes tirer parti d'une combinaison d'intelligence artificielle, de systèmes experts et d'apprentissage automatique:

• Utiliser des techniques prédictives pour identifier les nouveaux schémas potentiels de gaspillage, de fraude et d'abus (que certaines solutions font aujourd'hui) et pour construire et opérer des contrôles préventifs et correctifs.

• Gérer les risques et les possibilités en fonction de divers facteurs qui vont au-delà des seuils d'appétit pour le risque, de l'estimation des risques et des activités d'intervention connexes. Cela pourrait impliquer l'utilisation d'une variété d'informations internes et externes pour développer une structure qui soutiendrait la prise de décision centrée sur les objectifs de l'entreprise. (Par exemple, Devrions-nous élargir notre gamme de produits? Devrions-nous acheter une usine en Chine? )

• Utilisation du traitement en langage naturel pour identifier et examiner / vérifier les transactions suspectes en se basant non seulement sur l'identification des changements modèles de données, mais aussi basés sur du texte libre (comme les commentaires) inclus dans les transactions.

• Comprendre et prévenir les cybermenaces en analysant ce qui a changé, quels utilisateurs traitent des transactions atypiques et en apprenant des attaques qui ont réussi

• Apprendre de tout ou partie de ce qui précède pour affiner continuellement les décisions et les algorithmes informatiques pour les rendre plus intelligents; Au fil du temps, plus peut être manipulé sans intervention humaine et avec une précision croissante.

Pour une discussion connexe, jetez aussi un coup d'oeil sur un blog écrit par mon collègue et ami Thomas Frénéhard, À quoi ressemblera la GRC en 2021? ? Un scénario d'anticipation . Bien qu'il ait été écrit en 2016, il est toujours pertinent aujourd'hui. (Rappelez-vous quand il y a deux ans dans le passé, il ne semblait pas y avoir une vie?)

De toute évidence, comprendre et utiliser ces techniques est un voyage, pas une destination. Je me réjouis de vos commentaires sur ce que font vos entreprises

En savoir plus

Consultez les autres blogs de notre GRC series pour en savoir plus sur des sujets comme celui-ci et nos solutions GRC. [19659002] Cet article est initialement apparu sur le blog de SAP Analytics et est republié avec permission.

Follow SAP Finance en ligne: @SAPFinance (Twitter) | LinkedIn | Facebook | YouTube

<! – Commentaires ->