第9回 生成AIを用いた内部監査 ブックマークが追加されました
本連載では、AIのビジネス導入に欠かせない、AIのリスク対策「AIガバナンス」に係る多岐にわたるトピックについて詳しく紹介していきます。第9回の本記事では、内部監査の課題と生成AI活用のユースケース、期待される効果、導入アプローチ等について詳述します。
企業の事業環境の変化やリスクの多様化に伴い、内部監査の役割の重要性が増していますが、内部監査人材の育成、品質維持に課題を持つ企業も多い状況です。一方で、生成AIは様々な業務で急速に活用されてきており、特に内部監査業務はDXが進む世の中において現在でも手作業が多く残っている業務の1つであり、生成AIの活用による効率化や品質向上が期待されています。
第9回の本記事では、内部監査の課題と生成AI活用のユースケース、期待される効果、導入アプローチ等について詳述します。
企業を取り巻く事業環境は大きく変化しており、グローバル競争の激化、事業再編やM&A、業務のデジタル化など、様々な変化があります。このような中で内部監査への期待はますます高まっており、海外を含めた監査対象の拡大や、サイバーセキュリティやESG等の新たな領域への対応も求められてきており、事業を伸ばしていくための”Trusted Advisor”としての役割が期待されています。このような中で内部監査部門は以下の課題に直面しています。
海外拠点や新領域(サイバーセキュリティ、ESGなど)への対応が求められ、監査範囲が広がっています。また、業務のデジタル化に伴い、IT監査の重要性が増しています。
そもそも内部監査の知見を持つ人材の確保が難しいことに加え、多様化するリスクに対応するためのITなどの専門知識を持つ人材が不足する状況が見られます。
人的リソースの不足や定期的な人事異動により、内部監査の品質を維持することが難しい状況が見られます。
上記の内部監査の課題に対して生成AIを活用することで、以下の効果が期待できます。
生成AIを活用することで、内部監査業務の自動化が可能となり、人的リソースの効率的な活用が実現します。従来のRPA等のツールでは、その処理方法をプログラム化する必要がありましたが、生成AIはプログラム化する必要がなく臨機応変に対応することができるため、業務を自動化できる領域が大きく広がります。
生成AIは大量の情報を迅速に処理し、常に一定の品質でタスクを実行できます。これにより、内部監査の品質が向上することが期待できます。
定型業務において生成AIを活用して効率化することで、内部監査部門は戦略的な業務に人的リソースをシフトし、ビジネスの“Trusted Advisor”としての役割を強化できます。
これらの効果により、内部監査部門はより高い付加価値を提供し、企業全体のガバナンス向上に貢献できることが期待されます。
内部監査業務での生成AI活用の具体的なユースケースを紹介します。
生成AIは、予備調査段階でのリスク評価において有効です。例えば、被監査先の規程の内容を自動で検証し、必要な書類や手続が適切に記載されているかを確認することが可能です。外国語にも対応しており、特に海外拠点の規程の確認は効率化します。これにより、人的リソースを節約し、より迅速にリスクを特定することができます。
リスクシナリオを生成AIに入力することで、データ分析手続のPython等のプログラムを生成させることが可能です。また、分析対象データを入力して生成AIに分析させることも可能です。
これまでデータ分析を行う際はCAATツールを利用することが多かったですが、一般的にCAATツールでは会計データなどの構造化された大量のデータを効率的に分析できた一方で、見積書や議事録などのテキスト情報の分析は非効率であることが多くありました。一方で、生成AIはテキスト情報を効率的に分析することができます。そのため、両ツールの特性を活かし、組み合わせて利用することで、これまでよりも精度の高い分析が可能となってきています。
例えば、CAATツールを利用して大量の購買データから異常なデータを抽出し、それらに関する見積書を生成AIで分析して下請法違反の兆候が考えられる取引がないか等の検証での活用も考えられます。
内部監査手続の実施においても、生成AIは大いに役立ちます。生成AIが証憑を読み取り、内部監査手続を実施し、調書に自動で転記することが期待できます。内部統制の運用評価等で複数の証票を確認する場合は特に効率化が期待できます。これにより、内部監査の品質を維持しつつ、手作業の負担を大幅に軽減することが期待できます。
内部監査部門には、過去に内部監査を実施して発見した不備とその対応策のナレッジがありますが、データベースとしてすぐに検索・閲覧できるように整備されていないことが見受けられます。生成AIに、過去の不備・対応策の情報を入力しておき、いつでもすぐに問い合わせて参照できるようにすることで、類似の不備に対して過去の対応策も踏まえて自社の業務にあった対応策を助言できることが期待できます。
内部監査報告書の作成においても、生成AIは大きな効果を発揮します。自社の報告書の作成マニュアル等を生成AIに入力しておくことで、生成AIがそれらのマニュアルに従った形で内部監査報告書を自動で記述することができます。これにより、報告書の品質を保ちながら、報告書作成の工数を削減することが可能です。
また、過去に上位者がレビューした際のコメントを生成AIに入力しておくことで、そのレビューコメントを踏まえた報告書の作成も可能となり、運用を継続してレビューコメントを蓄積していくことで精度向上も期待できます。
生成AIの導入に当たっては、生成AIのリスクについても認識して適切に対応していくことが重要です。例えば、重要な情報を生成AIに入力してしまい生成AIの学習に利用されてしまう情報漏洩リスクや、生成AIが誤った回答をしてしまうハルシネーションなど回答精度が十分でないリスクなどがあります。
特に回答精度については生成AIの特徴的なリスクですが、RAG技術(Retrieval Augmented Generation:検索拡張生成)の活用やプロンプトチューニング等によって技術的に対応することが可能です。
生成AIの導入に際してはこのような技術的な対応や、業務適用時の費用対効果の見極めが大切であるため、以下のフェーズに分けて進めることが考えられます。
まず、業務上の課題を洗い出し、PoC対象とする生成AIのユースケースを検討します。そして、試用環境を準備し効果検証を行います。効果検証では、生成AI活用による精度の評価や削減可能な業務時間の検討等を行い、生成AIの導入効果を検討し、実運用に向けた課題を明確にします。
次に、PoCの結果を踏まえ、ユースケースで作成した生成AI活用システムを実運用に耐えうるように整備するとともに、生成AI活用システム環境を構築します。また、生成AIと人間による業務を組み合わせた業務プロセスの整備も行います。
生成AI活用システムを利用して業務を運用し、継続的に改善を行います。具体的には、運用中に発生する課題を抽出し、改善を行うことで、生成AIの効果を最大限に引き出します。これにより、内部監査業務の効率化と品質向上を実現します。
様々な業務において複数の生成AIが相互に連携してタスクを実行する、AIエージェントの活用が進んできており、内部監査業務でもその活用が期待されます。
例えば、「内部監査を実施して」と指示すれば、証憑確認AIが、証憑が揃っているか確認して不足があれば被監査先に再提出依頼メールを送信します。証憑が揃っていれば監査手続実施AIが内部監査手続を実施し、不備があれば発見事項メモを作成し、報告書作成AIが内部監査報告書を作成することも考えられます。
限られた人的リソースで、より多くの業務に対応していくために、生成AIと協同して業務を効率的に進めていくことが望まれます。また、監査の勘所やリスクシナリオなど内部監査の知見・経験を生成AIに入力・蓄積していくことで、内部監査の品質も高めていくことが期待されます。
生成AIの活用により、内部監査部門は業務効率化と品質向上を実現し、“Trusted Advisor”への変革を目指すことができます。生成AIは単体ではなく、RAG技術や他の自動化ツール等と組み合わせることで、より効果的に活用できます。導入に当たっては、PoCから始め、効果が確認できたら本格的な導入を進め、定型業務から非定型業務へとリソースをシフトすることで、内部監査の価値を最大化することが期待されます。
今後ますます生成AIの活用領域は広がっていくことが想定され、生成AIと協同して業務を進めていく世界がすぐそこまで来ており、内部監査は大きな変革のタイミングに来ていると考えられます。
デロイト トーマツではAIガバナンスに関して様々な知見を発信しております。AIガバナンスの策定・実行を支援するサービスも提供しておりますので、下記のページよりお気軽にお問い合わせください。
中瀬 真一
デロイト トーマツ リスクアドバイザリー合同会社 シニアマネジャー
25年以上に渡り、統計分析や機械学習、AI導入等の多数のデータ活用業務に従事。 同時に数理モデル構築やディシジョンマネジメント領域でのソフトウエア開発、新規事業やAnalytics組織の立上げなどの経験を通じて数多くの顧客企業のビジネスを改善。 リスク管理、AML/CFT、不正検知、与信管理、債権回収、内部統制・内部監査、マーケティングなどの幅広い分野でAnalyticsプロジェクトをリードしている。
財務諸表監査、IT監査のほか、SOC1/2保証業務、政府情報システムのためのセキュリティ評価制度(ISMAP)における情報セキュリティ監査業務などに従事しており、トーマツにおけるIT関連の保証業務全般をリードしている。また、一般社団法人AIガバナンス協会の業務執行理事としてAIの認証制度の検討・提言を進めている。公認会計士、公認情報システム監査人(CISA)。 著書:『アシュアランス ステークホルダーを信頼でつなぐ』(共著、日経BP)