Home Magazine

Boekbespreking - Auditing a Digital Insurance World

30 augustus, 2023
AI werd de afgelopen jaren in verschillende werkgebieden en disciplines geïntegreerd. Er zijn veel onderzoeken over de toepassingen van AI gepubliceerd. De ECIIA heeft in juni 2023 een position paper gepubliceerd over Auditing van implementaties van kunstmatige intelligentie (AI) bij verzekeringsmaatschappijen. Het biedt een concreet programma voor de auditing van een AI-systeem en geeft aandachtspunten voor een Internal auditteam.
In het artikel wordt de volgende OESO-definitie van een AI-systeem gebruikt: 
Het is een geautomatiseerd systeem dat in staat is om de omgeving te beïnvloeden door een output te produceren (voorspellingen, aanbevelingen of besluiten) voor een bepaalde reeks doelstellingen. Het maakt gebruik van machine- en/of menselijke gegevens en invoer om (i) echte en/of virtuele omgevingen waar te nemen; (ii) deze percepties samen te vatten in modellen door analyse op een geautomatiseerde manier (bijvoorbeeld met machineleren), of handmatig; en (iii) modelinferentie gebruiken om opties voor uitkomsten te formuleren. AI-systemen zijn ontworpen om te werken met verschillende niveaus van autonomie.” (OESO, AI-principes, 2019).
Opbouw position paper
In het eerste deel van het artikel geven de auteurs een korte toelichting en definitie van AI. Ondanks de exacte definitie blijven AI-systemen nog steeds computerprogramma's. De software zelf kan heel slim gecodeerd zijn en geavanceerde technologieën gebruiken, maar de auteurs betwijfelen de werkelijke intelligentie van de AI-systemen: “Een menselijke geest leert echt betekenissen te begrijpen, maar de AI-computersoftware berekent kansen”. 

In het tweede hoofdstuk wordt de rol van AI bij de verzekeringsmaatschappijen beschreven. De marktcontext waarin verzekeringsmaatschappijen opereren is fundamenteel aan het veranderen. IT-innovaties beïnvloeden en veranderen organisaties en bedrijfsprocessen. De verzekeringsbedrijven zijn geen uitzondering hierin. Het gebruik van data en AI-algoritmen groeit aanzienlijk. Met de enorme hoeveelheid gegevens die in de hele verzekeringswaardeketen een rol speelt biedt AI enorme kansen voor verdere automatisering van processen, ontwikkeling van nieuwe, meer klantgerichte producten en de beoordeling van verzekeringsrisico’s. Maar tegelijkertijd kunnen AI-algoritmen een directe impact op privacy van mensen hebben. AI moet daarom ethisch verantwoord worden toegepast.

Daarom moeten verzekeringsmaatschappijen bij de implementatie en het gebruik van AI-systemen de juiste balans vinden tussen het verbeteren van hun bedrijfsvoering en het beheersen van de bijbehorende risico's. Dit vereist een grondige risicobeoordeling en het beheer van de ontwikkeling, implementatie en gebruik van AI.

Adviezen van auteurs
In het artikel zijn de twee belangrijkste aanbevelingen voor AI-risicomanagement opgenomen, namelijk: het meenemen van AI in governance, beleid en procedures en het focussen op risicovolle AI-systemen (dit is in lijn met de AI Act die ook een focus heeft op AI met hoog risico).
De aanbevelingen voor de advisering over en auditing van AI-systemen zijn volgens de auteurs:
  • Investeer in AI-kennis en -ervaring;
  • Adopteer en pas een AI-auditraamwerk toe;
  • Bepaal de auditscope en testaanpak.

Een audit-programma voor AI
In het laatste hoofdstuk hebben de auteurs een concreet voorstel voor een audit programma voor AI uitgewerkt, waarin de belangrijkste AI-gerelateerde risico's, mogelijke hoofdoorzaken en mogelijke teststrategieën worden geïdentificeerd. Dit programma kan internal audit-functies ondersteunen bij het beoordelen en adviseren over hoe organisaties gebruik (kunnen) maken van AI.

Het programma bestaat uit drie macrocategorieën (namelijk: 1) Strategie, 2) Governance en 3) Human factor) en identificeert een aantal specifieke risico’s die in een onderzoeksopdracht worden behandeld, de gerelateerde mogelijke grondoorzaken en enkele voorbeelden van mogelijke teststrategieën. Het programma is verdeeld in 7 risicogebieden:
  1. Strategy & Governance
  2. Legal & Compliance
  3. Development of AI systems
  4. Operations Management for AI systems
  5. Security and Data Protection
  6. Human Capital
  7. Sustainability
Internal Audit dient vanaf het begin van nieuwe AI-implementaties te worden betrokken om advies te geven over hoe AI veilig volgens beleid en regelgeving kan worden geïmplementeerd. Verder wordt geadviseerd om een multidisciplinair auditteam te vormen omdat AI-auditing technische aspecten, data governance en kwaliteit, ethische thema's en zakelijke toepassing omvat. Het team moet daarom vertegenwoordigers hebben vanuit verschillende auditdisciplines (waaronder dus ook IT-audit), data science en software experts en specifiek technische expertise zoals actuarissen en privacy-deskundigen.

Bruikbaarheid van de adviezen en audit-programma
Het ECIIA Insurance committee biedt met dit position paper goede handvatten voor een audit van AI-systemen en hoewel het stuk gericht is op de verzekeringsbranche zijn zowel de genoemde aandachtspunten als het geboden kader voor een AI audit-programma ook relevant en praktisch toepasbaar voor andere branches dan de verzekeringsbranche. In dit audit-programma is samenwerking met IT-auditors noodzakelijk, vooral voor de risicogebieden waarbij IT-deskundigheid vereist is, zoals Development of AI systems (3), Operations Management for AI systems (4) en Security and Data Protection (5).
Maria Haasnoot Msc. EMITA RE
Maria Haasnoot MSc. EMITA RE is sinds 2021 lid van het redactieteam van NOREA magazine. Afgelopen 15 jaar heeft ze verschillende functies bij de Rijksoverheid vervuld: IT-auditor, informatiemanager, CIO-adviseur en momenteel werkt zij bij het Ministerie van Landbouw, Natuur en Voedselkwaliteit LNV als Strategisch Business & I-controller.