企業におけるAIの利活用は、AIモデルの性能向上や生成AIの普及により、加速の一途を辿っており、AIリスクを適切にコントロールしたうえで、さらなる戦略的活用を指向する企業が増加しています。内部監査部門においても、AI関連リスク低減への貢献が期待されています。
KPMGは独自のグローバルネットワークにより、変化の激しいAI関連動向を適時的確に捉え、生成AI活用による内部監査業務の効率化とAI信頼性監査による品質向上の両立を支援します。
内部監査における生成AI活用の要点
テクノロジー活用による効率化や品質向上は企業にとって最重要課題であり、今後も技術革新に伴う発展が求められます。内部監査業務においても、大量データ・紙資料の読込みや膨大な調書作成作業は、テクノロジー活用によって効率化されるべきでしょう。また、監査人による評価作業のばらつきなどでは、機械化によって属人性が一定程度排除されることも期待されています。
特に生成AIは、従来型のシステムロジックや統計的AIと異なり、格段にヒトの感覚に近いアウトプットが実現できると言われています。一方、アウトプット性能の改善は、依然として課題となっています。このため、内部監査業務へ生成AIを積極的に活用していくには、(1)要約や翻訳など生成AIの得意な機能を活かせるタスクを選択すること、(2)生成AIの各アウトプットに対してヒトがチェックするポイントを設けること(Human in the Loop)などが重要です。
具体的には、規程に基づく監査計画書の作成や複数拠点のヒアリングメモからの監査調書のとりまとめ、監査報告書作成などの工数削減策、特定の会議体の議事メモから想定されるリスクを機械的に洗い出すなどの監査の高度化/リスク低減策が想定されます。
AI信頼性向上に資する内部監査の実践
内部監査部門は、組織の重要リスクを低減する役割を担っています。企業がAIを巧みに活用すれば、より魅力のあるサービスを顧客へ提供したり、コスト削減を実現するなど、企業競争力の向上につながる可能性があります。一方、AIのハルシネーションや機密漏えい・権利侵害等のリスクは、適切なガバナンス・リスクマネジメント・コントロールによって、低減される必要があります。
G7諸国はAI信頼性や安全性に関する議論をリードしており、欧州では「EUのAI規制法」が正式に発効されました。また、AIマネジメントシステムの国際規格や、国内でも「AI事業者ガイドライン」等が公表され、企業はAIに関するガイダンスを参照しやすくなっています。
各企業が、企業風土やAIの利活用・リスクへの対応の状況等について現状を把握したうえで、リスクベースアプローチに基づいたリスク低減策を検討する必要に迫られるなか、内部監査部門が果たす役割も重要性を増していると言えます。
【想定されるリスク(一部)】
| リスク | リスクの説明 |
|---|---|
| ハルシネーション | 生成AIが出力した矛盾や嘘を含む情報を真実として活用するリスク |
| 著作権侵害 | 生成AIの出力結果が他の著作物と同一・類似していた場合、著作権侵害となるリスク |
| 個人情報/機密情報漏洩 | 生成AIに入力した情報に個人情報や機密情報が含まれていたために、出力結果として漏洩するリスク |
| プロンプトインジェクション | 悪意のあるテキストや画像が生成AIへインプットされ、意図しない動作や結果が引き起こされるリスク(システム誤動作命令、ウイルス感染強制、差別・犯罪 等) |
テクノロジーを活用した監査手続の必要性
AIシステムは、一般的に大量のインプット・アウトプットデータを取り扱うため、AI信頼性監査では、テクノロジー活用により監査手続を効率化することが有効です。AIモデル自体の信頼性・説明可能性・透明性やプライバシー・セキュリティ等に係るリスク分析、および自然文や画像・信号等、さまざまな種類のデータ(マルチモーダル)に適するテクノロジーを特定し、フィージビリティスタディを経たうえで監査手続を決定する必要があります。
【KPMGの支援例】
| 計画 | 実施 | 報告 | フォロー |
|---|---|---|---|
|
|
|
|
※太字:AIならではのタスク
