EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
企業はAI活用に伴うリスクに向き合う必要があります。AIは業務効率化や意思決定の高度化に寄与する一方で、判断の妥当性や説明責任、内部統制への影響といった課題を企業にもたらします。本稿では、こうしたリスクに対し、CFOおよび内部監査部門それぞれが果たす役割という観点からAIガバナンスの考え方を整理し、実務上の検討に資する視点を紹介します。
要点
- 各国・地域においてAIに関する法規制、標準、ガイドラインの整備が進む中、AIガバナンスは経営全体で取り組むべき重要なテーマとなっている。
- CFOはAI活用が財務リスクや企業価値に与える影響を踏まえた説明責任を担い、内部監査部門はAIに関する内部統制の有効性や運用上のリスクを独立した立場で検証・モニタリングすることで、企業全体としてのAIガバナンスを支える役割を果たす。
- EYが実施したAI利用に伴うリスクや責任あるAIへの対応に関する調査結果を紹介。
Ⅰ はじめに
AI活用が企業の競争力に直結する時代になり、企業価値の向上に大きく貢献する一方で、AI活用によるリスクへの対応の必要性が高まっています。こうした背景から、各国でAIに関する法規制、標準、ガイドラインの整備が進んでいます。
例えば、EUでは2024年5月に「EU AI Act」と呼ばれるAIに関する包括的な法律が成立し、同年8月1日に発効されました。その中ではAIシステムをリスクレベルごとに分類し、特にハイリスクAIに対しては厳格な適合性評価やモニタリングが求められています。一方、ISO/IEC 42001は、企業がAIを安全かつ倫理的・信頼性のある形で運用するためのリスクマネジメントに関する国際規格として2023年12月に発行されました。日本では、総務省や経済産業省によるAI事業者ガイドラインの公表や、2025年9月施行の「AI推進法」など、規制環境が急速に進展しています。
このような動向を受け、AIガバナンスはもはや技術部門や特定の部門だけの課題ではなく、経営全体で取り組むべき重要なテーマとなっています。CFOや内部監査部門にとっては、AIの導入・活用が財務報告や内部統制に与える影響を正しく評価し、経営リスクとして適切に管理することが求められます。
本稿では、CFOおよび内部監査部門の視点から、AIガバナンスについて考察します。
Ⅱ CFOの視点からのAIガバナンス:財務リスクへの対応と説明責任
CFOは、AI活用の投資判断・財務リスク管理の責任者としてAIガバナンスを財務戦略に組み込んで検討する必要があり、当該戦略をステークホルダーへ説明する責任があります。
これはAI導入・活用が従来のIT施策の枠組みを超えて、企業価値や財務リスクに対してより直接的な影響を及ぼす重要な経営投資となっているためです。AIは、需要予測、在庫最適化、与信判断、設備稼働の最適化など、企業の中核となる意思決定に活用されはじめており、AIからのアウトプットが企業のキャッシュフローや収益性に影響を与えるようになると考えられるからです。
まず、財務リスクへの対応という観点について、与信判断プロセスにAIモデルを導入する場合を例に見ていくと、AIモデルが学習過程で獲得する潜在的なバイアスにより、特定業種や企業が所属する業界属性に対して不適切な判断を行い、誤判定につながってしまうリスクが考えられます。このような誤判定は、優良顧客の排除による機会損失のみならず、取引先との関係性の毀損を通じて長期的な財務・レピュテーションリスクへと発展する恐れがあります。このようなリスクへの対応としてCFOおよび財務担当者が取るべきAIガバナンスとしては、①機密情報をAIに投入する際の統制(例:顧客情報や財務情報等を直接入力しないことを統制するデータガバナンス)、②プロンプトの標準化と再現性確保(例:与信評価のためのプロンプトをテンプレート化)、③出力内容に対するファクトチェックの実装(例:元データとの照合)、④出力結果はあくまで補助資料としての位置付けにとどめ、最終的な与信判断は必ず人間が実施する「Human in the Loop(ヒューマン・イン・ザ・ループ)」等が考えられます。
次に説明責任という観点からは、CFOはAI活用に伴う判断根拠や意思決定プロセスを、社内外のステークホルダーに対して説明することが求められます。AIからの出力は一見すると客観的かつ高度に最適化された結果のように見えますが、その背後には多くの仮定や不確実性が存在しています。したがってCFOは、AIの利用によって得られた分析結果や意思決定がどのようなロジックで導かれたのか、モデルの制約や限界がどこにあるのかを理解した上で、説明可能な形に整理し、投資家、取締役会、監査法人などの利害関係者に対して適切に伝える必要があります。
特に、財務領域におけるAI活用は、将来キャッシュフロー試算やシナリオ分析、設備投資計画の妥当性、リスク許容度の設定など、企業価値を左右する重要な判断に影響を与えるため、説明責任の重要性は飛躍的に高まっていると言えます。AIを活用した予測や評価が従来の手法とどのように異なるのか、意思決定の改善にどの程度寄与したのか、また誤差やモデルのばらつきが財務諸数値に与える影響をどのように管理しているのかなど、体系的に説明可能なプロセスを整備しておくことが不可欠であると考えられます。
Ⅲ 内部監査部門の視点からのAIガバナンス:内部統制の検証とリスクモニタリング
まず内部統制の検証という観点からは、AIが企業活動に組み込まれる際のルールや手続きが、実際に適切に機能しているかを独立した立場で監査することが重要となります。AIはその性質上、判断プロセスが可視化されにくく、また使用するデータや設定のわずかな違いによって結果が大きく変化する可能性があります。そのため内部監査部門は、AIの導入から運用までの各段階を対象として、以下の観点から監査を実施する必要があります。
- AIを導入する目的の妥当性
- 利用するデータの品質および安全性
- 判断ロジックにおける偏りの有無
- 変更管理やアクセス管理といった、従前から検討してきた基本的な内部統制の再確認
具体的には、AIの判断根拠に関する記録(ログ)が残されているか、個人情報や機密情報が適切に扱われているか、モデルの性能評価が継続的に実施されているかなどを確認することが考えられます。特に財務や顧客関連業務のように企業のリスク影響が大きい領域では、AIの出力と実データとの整合性、人による最終判断「Human in the Loop」が確実に行われているかについて、重点的に監査を実施する必要があると考えられます。
次にリスクモニタリングという観点からは、AIが運用される過程で発生するリスクを継続的に把握し、早期に異常を察知できる仕組みを整えることが求められます。インプットデータが最新の状況を反映していない場合、実際の業務データとの間に差異が生じ、精度が低下したり偏った判断をする可能性があります。そのため、内部監査部門は、AIの予測精度の推移、業務部門による更新頻度、出力に偏りが生じていないか、個人情報や機密データの利用に問題がないかなど、重要な指標を定期的に確認し、異常の兆候を可視化できる体制が構築されているかを評価することが求められていると考えられます。
さらに、企業全体のリスク管理の枠組みとしては、業務部門(第一線)、リスク管理部門(第二線)、内部監査部門(第三線)の“三線モデル”を活用し、各部門がそれぞれの役割を果たしながらAIリスクを管理することが重要です。内部監査部門は、AI活用が企業方針と整合しているか、また法規制に準拠して運用されているかを客観的に検証し、その結果を経営層や監査委員会へ報告します。これにより企業は、AIによる業務効率化や価値向上を図りつつ、AI特有のリスクを適切に管理することが可能になると考えられます。
Ⅳ おわりに
最後にEYが実施したAI利用に伴うリスクや責任あるAIへの対応に関する調査結果を紹介します。
本調査は、EYによるResponsible AI Pulse survey(21カ国975名のCxO)およびEY AI Sentiment Index Study(15カ国約1万5千人の消費者)において実施され、CxOと消費者が責任あるAIの各原則(<図1>の左側に記載された9項目)を主要または大きな懸念事項として挙げた割合を示しており、全体的にAIに基づくリスクや、責任あるAIに対する対応について、企業(CxO)の認識と消費者の認識にギャップがあることが明らかになりました。
図1 責任あるAIの各原則について「重大な懸念」または「大きな懸念」として挙げた回答者の割合
全体の紫色:企業のCxOが責任あるAIへの対応として懸念があると回答した割合
全体の橙色:消費者が責任あるAIへの対応として懸念があると回答した割合
ギャップの橙色:上記両者のギャップの割合
全体の橙色:消費者が責任あるAIへの対応として懸念があると回答した割合
ギャップの橙色:上記両者のギャップの割合
出所:”EY Japan「責任あるAI」により企業の競争優位性を高める方法
ey.com/ja_jp/insights/ai/how-responsible-ai-can-unlock-your-competitive-edge(2026年2月19日アクセス)
<図1>(EYによるResponsible AI Pulse survey)の上位3項目を見ると分かるとおり、特にAIの不適切な利用に対して自分たちが責任を取らないこと、AIシステムがセキュリティ侵害を受けていること、AIデータのプライバシーを保護できていないことについては、企業(CxO)は主要または大きな懸念事項として挙げた割合が低く、逆に消費者は主要または大きな懸念事項として挙げた割合が高く、両者の間のギャップが大きいため、多くの企業(CxO)が認識を改める必要があるかもしれません。
この結果から企業(CxO)は、消費者とのコミュニケーションを強化するとともに、自社のAIガバナンスの取組みを説明し、提供するAIサービス・プロダクトに対するさまざまなステークホルダーからの信頼を獲得することが求められると考えます。
サマリー
企業はAIを利用することにより便益を享受する一方で、AIを利用することによるリスクに目を向ける必要があります。本稿では、AIガバナンスに関するCFOと内部監査部門の視点から考察します。
関連コンテンツのご紹介
-
生成AIのリスクに対し、社会からの懸念が高まりつつあります。企業は、生成AIから価値を引き出しつつ、社会からの信頼に応えてゆくために、テクノロジーやデータに対するガバナンスを強化する時期に差し掛かっています。
続きを読む -
競争優位性を高めるためにAIガバナンスの強化が不可欠です。企業がAIの活用により競争力を維持し、持続可能性を高める具体的なアプローチを考察します。
続きを読む -
AIに対する規制とそれに対するガバナンスの強化が求められています。AIへの法整備が進む中、企業はAIのリスク管理と社会的責任を果たすための戦略を模索する必要があります。AI活用の利点を最大化し、持続可能な成長を実現するための取り組みを考察します。
続きを読む -
AIに対する信頼のギャップを埋めることで、どのように導入を加速し、競争優位性を生み出せるかをご紹介します。責任あるAIのリーダーシップに向けた3つの重要な行動を探ります。
続きを読む
EYの関連サービス
-
AIは企業のイノベーションを推進し、新たなビジネスモデルを創出する重要な要素となりますが、活用する際はリスクを適切に管理することが求められます。企業がAIに関するガバナンス体制を整備することで、リスクが適切に管理され、社会的責任を果たすことが可能となります。これにより企業は競争優位性の確保につながり、変化する市場環境に適応する力を高めることができるでしょう。
続きを読む -
AI市場の規模は今後も成長・拡大が見込まれています。多くの企業で生成AIに代表されるAIが活用され、合わせてルールの整備にも取り組んでいます。AI の利用により業務品質や生産性の向上が期待される一方、AI の利用には、正確性・公平性・知的財産権・セキュリティ・プライバシーなど、さまざまなリスクが存在します。EY では、組織において AI 活用を進めていくにあたり、そうした多様なリスクに対応したガバナンスの構築や、構築した AI ガバナンスの運用状況について第三者としての客観的な評価で支援します。
続きを読む -
AI(人工知能)を安全かつ責任ある形で活用するためのAIマネジメントシステム規格 ISO/IEC 42001:2023について、ISO認証機関を持つEYがサポートします。
続きを読む
情報センサー
EYのプロフェッショナルが、国内外の会計、税務、アドバイザリーなど企業の経営や実務に役立つトピックを解説します。
