EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
内部監査担当部門は、AIの複雑性に適応しながらも、変化を前向きに捉え、組織全体のイノベーションや成長に貢献する役割が求められています。
要点
- 内部監査部門はAIリスクの管理について課題が山積する中、ガバナンスへの積極的な取り組みが求められている。
- 最高監査責任者は、年間AI監査計画を策定し、AI利用に伴うリスクについてチームを教育し、責任をもってAIを使用し促進するためのフレームワークにAIガバナンスを組み込むべきである。
- 効果的なAIの監視のためには、経営層やリスク委員会との協力が不可欠である。
EY Japanの視点
AIリスクに向き合う内部監査の役割
AIの活用が企業活動に変革をもたらしていることは、もはや言うまでもありません。内部監査の領域でも、AIの導入や導入に向けた検討が進んでいますが、一方でそのリスクに対する対応は十分とは言えず、むしろ後手に回っているのが現状です。
リスクの専門家として、CAE(Chief Audit Executive)や内部監査部門には、AIに関する監査を通じて、企業のAIリスクに対するガバナンス強化と態勢整備を支援する役割が期待されています。具体的には、AI活用に向けた社内規程やガイドラインの整備、AIリスクに関する社内ルールの策定などが挙げられます。
AIリスクへの対応には、ガバナンスの3層構造(Three Lines Model)に基づき、各階層で適切なコントロールを実施することが原則です。現在は、事業部門や開発現場(第1線)での導入が進む段階ですが、近い将来には、AIリスクに対応するための内部監査計画の策定、監査基準の整備、監査チーム体制の構築が不可欠になると予想されます。
EY Japanでは、AIリスクにおける内部監査の役割や将来像の設計にとどまらず、監査現場への伴走支援を通じて、AIリスクに対応できる体制の構築をサポートしています。
EY Japanの窓口
林 直樹
EYストラテジー・アンド・コンサルティング株式会社 リスク・コンサルティング パートナー
鈴木 章嗣
EYストラテジー・アンド・コンサルティング株式会社 リスク・コンサルティング ディレクター
人工知能(AI)が多方面で話題になる中、企業はユースケースの投資先や、業務やビジネスモデルの改善方法、投資のリターンを確保する方法について検討しています。AIに関する機能が成熟するにつれ、多くのリーダーがガバナンス強化の必要性を改めて認識し始めています。その中で、リスク管理の専門知識を持つ内部監査責任者(CAE)は、意思決定の場に加わり、組織のガバナンス体制の構築に積極的に関与すべき存在とされています。
AIと生成AIの勢いによって、経営層は多くの場合AI導入を緊急要請し、それに応じる形で、企業の大半の部門には膨大な複雑さが新たにのしかかっています。同時にAIをめぐる規制は世界的に徐々に具体化しています。また最新のEYにおけるAIに関連する調査では、経営幹部が「責任あるAI」への関心が高まっていると述べています。直近の調査では61%がこの命題に同意しており、6カ月前に行われた調査での53%という回答から増加しています。また同じ割合の経営幹部が今後1年で責任あるAIへの関心はさらに高まると回答しています。
*翻訳者注:「責任あるAI」とは、倫理性・透明性・公平性・説明可能性・プライバシー保護・安全性などを考慮しながら、AIを設計・開発・運用するための原則や実践のこと。
CAEならびに内部監査担当部門(以下、内部監査部門)は、AIを完全には理解していない中でテクノロジーのリスクから企業を守り、進化を続け、AIと生成AIの採用を進める社内部門の妨げになることなく実行する責任がある、という難しい課題に直面しています。先手を打つには、内部監査部門は、AIリスクとコントロールについて理解を深め、組織の方向性との整合性を適切にチェック・検証を行い、組織内でのAIシステムの使用に責任が課されることを明瞭化する必要があります。
積極的に取り組むCAEは、年間AI監査計画を策定し、1年間に(単回のAIのガバナンスに対する監査ではなく)複数の監査を実施し、AIリスクの新たなリスクユニバースと内部監査の必要な対応について教育の機会を提供しています。効果的な戦略としては、従業員には学習機会を提供すること、ならびに急速に進化するAI環境の中でビジネスニーズの変化に対して柔軟に対応できるアジャイルな計画を伴ったAIツールの採用を促進することが考えられます。こうした背景の下、EYのリーダーは、リスクが強まる環境においてCAEが内部監査に全力を発揮できるよう、ガイドとなるプレイブックを作成しました。
1
第1章
AI監査の実施を困難にしている、内部監査における主な課題
内部監査部門は、ステークホルダーの要求、強まるAI規制、スキルを有する人材の確保に直面しています。
AIとは、広く言えば人間の認知能力を模倣する機械を指します。これにはユーザーの指示に応じてコンテンツを生成する生成AIや、初期段階にあるAIエージェントが含まれます。生成AIは使いやすさから一般的に普及し、すべてのユーザーにとってAI技術へのアクセスが可能となりました。これまでのAIは、基本的にデータサイエンティストしか利用できないものでした。
この劇的な変化を背景に、人々がAIを完全には理解していないまでも強力なツールがあるという状況の中、内部監査部門は次のような事態に直面しています。
- 成果の実現とリスク低減に対するステークホルダーからの期待の高まり。機関投資家、アクティビストにとどまらず、消費者、従業員、ビジネスパートナーが、企業のAI関連リスクや課題への管理方法について、より高度な問いを投げかけています。
- AIの企業利用に関する、各国で進む規制の整備と強化。世界中の法域、またあらゆる規制機関において、AIのリスク管理を含めた設計、使用、展開に関するガイダンスが策定されています。
- 統一性を欠いた、分断的なAIリスク・機会への対応。AIの課題は企業内のさまざまな部門にまたがる上に、データ、リスク、コントロールの所有権が曖昧だったり割り当てられていなかったりする場合があります。AIの課題と既存のガバナンスモデルや監視モデルにおける課題は統合しづらいため、企業全体でのリスクのカバー範囲に未対応の部分が生じる恐れがあります。
- AI人材の育成とスキル強化への需要の高まり。企業はAIに関する研修機会を増やしたり、新たな役割に人材を配置したりして、AIのプロセス、リスク、コントロールの監視やガバナンスといった組織目標ならびにリスク管理活動を実現しようとしています。
2
第2章
AIガバナンスにおける主要な検討事項
CAEは、AIガバナンスと、リスクの管理やリスクに対する認識の醸成について、バランスを取る必要があります。
増大するプレッシャーの中で、CAEは、策定されたAI戦略の下にあるポリシー、手順、運用モデルを通じて、AIガバナンスの実現方法について、なお調整する必要があります。まず、AIが急速な進化を遂げているため、幅広い経営幹部およびリスク委員会に参画してもらい、適切な3線モデルを構築する必要があります。この3線モデルを通じて、プログラムリスクを効果的にモニタリング・管理し、AIの悪影響から組織を守りながら、イノベーションを育み、運用効率を向上させる必要があります。そしてステークホルダーは、包括的なフレームワーク、方法論、そして役割と責任を策定することが重要です。
リスクに果敢に挑む事業部門の運用チームは、第1線が備えられているだけでなく、AIリスクを特定し管理するためのツールを備え、ツールを駆使するための訓練を十分に受けている必要があります。さらにリスク認識の醸成を行い、積極的なリスク管理の実践を奨励すべきです。これには、AIや機械学習を使用するベンダーを管理して契約書のレビューを実施することや、消費者に対する適切な通知、情報のオプトアウトまたは削除の要請への対応などデータプライバシーに関する考慮事項を管理することが含まれます。
第2線として、リスクおよびコンプライアンス部門は、組織のAI目標に沿ったリスク管理指針とフレームワークを明確に定義する必要があります。リスク管理の実務を担う第1線に対して、統制の導入に関する指導と支援を行い、リスク管理の継続的な改善を確実に進めることが求められます。またこれらの部門はAIのモデルテストやパフォーマンス評価を実施し、さらにはデータセキュリティ、プライバシーや大規模言語モデルに関連する他の重大リスクを評価し、管理策を設けます。このような責務は従来の職務であるリスク管理や品質保証と深く関連しています。
3
第3章
「責任あるAI」の実行に当たっての内部監査部門の役割
内部監査部門が取り扱う主な領域は、AIガバナンス、AIパフォーマンスの監査、組織IQの向上の3つです。
第3線として、内部監査部門は、リスクと可能性を秘めている他のテクノロジーと同様に、リスクと可能性があるAIを活用するために非常に重要な役割を担っています。内部監査部門は、次の3つの主要領域に対応しています。
1.AIガバナンスに関する意思決定の場に参画すること
自社のAIガバナンス構築段階が、既に構築されている場合であれば連合型か分散型かによって、またはまだ形成段階にあるならば中心的なチームに統合される前段階かどうかに応じて、複数の議論の場に着く必要があります。
2. AIの運用体制と実装されたシステム・製品の監査を行うこと
そのような監査には、より大規模な展開に向けた、初期段階での準備作業や、規制のフレームワークを参照しながらコンプライアンス監査を数多く実施することも考えられます。また、時間の経過とともにリスクが生じ、不適切なデータ取り込みによるリスクの要因になる可能性があるAIシステムやソリューションのユースケース自体を監査することも考えられます。
3. 責任あるAIに関する組織IQを向上させること
内部監査部門はまた、ガバナンス委員会を後援し、知識を共有する新たな手段とすることもできます。加えて内部監査部門は、コントロール環境の設計に関する管理者としての役目を負い、必要に応じて提言を実施し、AIに関連する新たに出現するタクソノミー(分類法)や言語の整合性を図り、さらにそれらがビジネスで理解されるようにするなどの役割を果たします。内部監査部門がさまざまな部門、プロセスや活動を実際に監査して教育することが求められます。
4
第4章
AIの成熟度を評価するための適切な質問
内部監査部門は、AIに関する戦略、ガバナンス、リスク管理、指標などのテーマを深く掘り下げることで組織内のコミュニケーションを活性化させることができます。
AIは抽象化する力が強く、AIを活用したユースケースをどの程度利用できるレベルにあるかは、業界・部門によって異なります。汎用的なアプローチが存在しない中、企業にとってはAI活用に着手することすら困難になっています。この質問集は、内部監査部門がさまざまな部門と対話を開始し、コミュニケーションを深めるのに役立ちます。
戦略
- 貴社のビジネスモデルには、AIがもたらす新たな機会を加速し、同時にリスクを軽減する態勢が整っていますか?
- 貴社では、戦略的意思決定やビジネスケース分析、利益分析にAIを組み込みましたか?
- 貴社の社内向けおよび社外向けAIコミュニケーション戦略はどのようなものですか?
- 貴社では、AI目標を達成するために適切な外部アライアンスやパートナーシップを締結していますか?
- 貴社では、AIに関する長期的な価値をどのように定義していますか?
ガバナンス
- 貴社は現在、責任あるAIプログラムにおいてどの段階にありますか? 初期開発段階、スケールアップ中、またはステークホルダーの新しいニーズに沿った効率の最適化段階でしょうか?
- 貴社ではAIガバナンスに関する専任の委員会が設置されていますか?
- AI戦略の設定、および関連するリスクを管理する上で、貴社の経営層の役割はどう定義していますか?
- 貴社ではAIリスク方針を制定していますか?
- 貴社では3線モデルに、AIをどのように展開していますか?
- 貴社では、ステークホルダーそれぞれにとっての優先すべきAIの課題を明確に理解されていますか?
リスク管理
- 貴社では既存のフレームワークやタクソノミーに、増大するAIリスクを反映していますか?
- 貴社では、AIイニシアチブが意図したアウトプットを生み出すために、どのようなプログラム保証を提供していますか?
- 貴社では、AIライフサイクルの管理を可能にするために、プロセスやテクノロジー、ツールを評価し、繰り返しモデルを開発しましたか?
- 貴社では、AIライフサイクルにリスクとコントロールを組み込んでいますか?
指標と目標
- AIの使用についてどのようなプロセスを用いて在庫を把握し、承認して、進捗を追跡していますか?
- 貴社では、AIのインパクトを測定・モニタリングするために特定の指標や目標を定義していますか?
- 貴社では、AIのパフォーマンスをどのように評価し、目標達成について説明責任を果たしていますか?
- 貴社では、AI関連のイニシアチブについてのレポーティングおよびコミュニケーションチャネルを構築しましたか?
5
第5章
内部監査におけるAIの関与領域と統制ポイントの理解
企業は、社内リスク、ベンダーリスク、買収リスクに対処する必要があります。
内部監査は、AIが組織で利用される経路や範囲を正しく把握し、それぞれに適した統制手段を理解しておく必要があります。上の図は、内製のソリューションにおける責任あるAIの一般的なライフサイクルを示しています。ユースケースの特定や優先順位付けから、構築・テスト、さらに開発したソリューションが機能して不正アクセス等の侵害がないことを検証するためのモニタリングとコントロールが完了するまでを表しています。一方で、多くの企業は以下のような形でAIに関わっています。
- AIソリューションを直接購入して導入しているケースでは、そのライフサイクルは前述の図に近い流れをたどります。
- サードパーティベンダーを通じてAIに触れているケースもあります。たとえば、通常のサービス提供の中で、ベンダーが使用するソフトウェアやツールにAI機能が追加されている場合です。このようなケースでは、サードパーティリスクに関する質問票(リスク評価)が非常に重要になります。
- 企業買収を通じてAI技術を取り込むケースでは、AIポートフォリオに対する追加的なデューデリジェンス(精査)が求められます。
統合された「責任あるAI」が必要とするリスク管理環境とコントロール環境は、次の要素で構成されます。まず、サイバー、データプライバシー、サードパーティリスク管理、法務およびコンプライアンスなどの部門で従来採用されてきたコントロール活動いついて、AIに対する準備がどの程度十分であるかを再評価した上で利用することです。さらに、同じ部門内で新たに設定されたコントロール活動を加えます。AIの開発および調達ライフサイクル全体にわたるモデルリスク管理のコントロールが重要です。
6
第6章
次の段階:AIの準備状況の評価
CAEは、AIの準備状況を評価し、チームのスキルを向上させ、AIに対し効果的な監査戦略を行うる必要があります。
当然ながら、すべての組織は出発点が異なり、組織に構築できる既存のプロセスがそれぞれあります。CAEは、責任あるAIの実現に向けて、自社がどの地点にいるのかを常に問い続けるべきです。プログラムに着手する段階なのか、そのケイパビリティをスケールする段階なのか、あるいは最適化の段階なのか、ということです。
何が次に起こるか先を読み続けるためには、CAEは、組織が責任あるAI(RAI)のガバナンスおよびリスク管理の運用モデルとケイパビリティを構築し、または改善する際の各段階での対応を認識しておくべきです。その対象は、内部監査部門内で実装するテクノロジーと、ビジネス上監視対象となるテクノロジーの両方です。計画立案から再評価までの全プロセスにおいて、関与するプレーヤーが有する知識と組織知とを自社の責任あるAIに組み込めるか否かは、CAEにかかっています。リスクとその軽減についての深い考察と、非常に高度なテクノロジーのケイパビリティが組み合わさることで、CAEと経営幹部は未来に向けて自信を持って進めることができます。
AIの準備状況を評価する際に、クライアントからの質問のうち最も重要な2つへの答えは、次のとおりです。
- 本稿の執筆に当たり、ご協⼒いただいた次の⽅々に感謝の意を表します。Yiming Chang、Vikas Bajwa(senior managers in the Risk Consulting practice of Ernst & Young LLP)
サマリー
内部監査部門は、ガバナンスとリスク管理を強化することでAIの複雑性を克服せねばなりません。最高監査責任者は、プロアクティブな監査計画を策定し、AIリスクについてチームを教育する必要があります。さらに経営層と協力して「責任あるAI」の使用を促進し、イノベーションを育み、増大する規制のコンプライアンスを維持していくことが求められます。
EYの関連サービス