第9回 生成AIを用いた内部監査

はじめに

企業の事業環境の変化やリスクの多様化に伴い、内部監査の役割の重要性が増していますが、内部監査人材の育成、品質維持に課題を持つ企業も多い状況です。一方で、生成AIは様々な業務で急速に活用されてきており、特に内部監査業務はDXが進む世の中において現在でも手作業が多く残っている業務の１つであり、生成AIの活用による効率化や品質向上が期待されています。

第9回の本記事では、内部監査の課題と生成AI活用のユースケース、期待される効果、導入アプローチ等について詳述します。

内部監査の課題

企業を取り巻く事業環境は大きく変化しており、グローバル競争の激化、事業再編やM&A、業務のデジタル化など、様々な変化があります。このような中で内部監査への期待はますます高まっており、海外を含めた監査対象の拡大や、サイバーセキュリティやESG等の新たな領域への対応も求められてきており、事業を伸ばしていくための”Trusted Advisor”としての役割が期待されています。このような中で内部監査部門は以下の課題に直面しています。

（１）多様化する新たなリスクへの対応

海外拠点や新領域（サイバーセキュリティ、ESGなど）への対応が求められ、監査範囲が広がっています。また、業務のデジタル化に伴い、IT監査の重要性が増しています。

（２）人的リソースの不足

そもそも内部監査の知見を持つ人材の確保が難しいことに加え、多様化するリスクに対応するためのITなどの専門知識を持つ人材が不足する状況が見られます。

（３）品質維持の難しさ

人的リソースの不足や定期的な人事異動により、内部監査の品質を維持することが難しい状況が見られます。

生成AI活用による期待効果

上記の内部監査の課題に対して生成AIを活用することで、以下の効果が期待できます。

（１）業務効率化

生成AIを活用することで、内部監査業務の自動化が可能となり、人的リソースの効率的な活用が実現します。従来のRPA等のツールでは、その処理方法をプログラム化する必要がありましたが、生成AIはプログラム化する必要がなく臨機応変に対応することができるため、業務を自動化できる領域が大きく広がります。

（２）品質向上

生成AIは大量の情報を迅速に処理し、常に一定の品質でタスクを実行できます。これにより、内部監査の品質が向上することが期待できます。

（３）リソースの最適化

定型業務において生成AIを活用して効率化することで、内部監査部門は戦略的な業務に人的リソースをシフトし、ビジネスの“Trusted Advisor”としての役割を強化できます。

これらの効果により、内部監査部門はより高い付加価値を提供し、企業全体のガバナンス向上に貢献できることが期待されます。

ユースケース

内部監査業務での生成AI活用の具体的なユースケースを紹介します。

（１）予備調査でのリスク評価

生成AIは、予備調査段階でのリスク評価において有効です。例えば、被監査先の規程の内容を自動で検証し、必要な書類や手続が適切に記載されているかを確認することが可能です。外国語にも対応しており、特に海外拠点の規程の確認は効率化します。これにより、人的リソースを節約し、より迅速にリスクを特定することができます。

（２）データ分析

リスクシナリオを生成AIに入力することで、データ分析手続のPython等のプログラムを生成させることが可能です。また、分析対象データを入力して生成AIに分析させることも可能です。

これまでデータ分析を行う際はCAATツールを利用することが多かったですが、一般的にCAATツールでは会計データなどの構造化された大量のデータを効率的に分析できた一方で、見積書や議事録などのテキスト情報の分析は非効率であることが多くありました。一方で、生成AIはテキスト情報を効率的に分析することができます。そのため、両ツールの特性を活かし、組み合わせて利用することで、これまでよりも精度の高い分析が可能となってきています。

例えば、CAATツールを利用して大量の購買データから異常なデータを抽出し、それらに関する見積書を生成AIで分析して下請法違反の兆候が考えられる取引がないか等の検証での活用も考えられます。

（３）内部監査手続の実施・調書作成

内部監査手続の実施においても、生成AIは大いに役立ちます。生成AIが証憑を読み取り、内部監査手続を実施し、調書に自動で転記することが期待できます。内部統制の運用評価等で複数の証票を確認する場合は特に効率化が期待できます。これにより、内部監査の品質を維持しつつ、手作業の負担を大幅に軽減することが期待できます。

（４）過去の不備・対応策のナレッジ検索

内部監査部門には、過去に内部監査を実施して発見した不備とその対応策のナレッジがありますが、データベースとしてすぐに検索・閲覧できるように整備されていないことが見受けられます。生成AIに、過去の不備・対応策の情報を入力しておき、いつでもすぐに問い合わせて参照できるようにすることで、類似の不備に対して過去の対応策も踏まえて自社の業務にあった対応策を助言できることが期待できます。

（５）内部監査報告書の作成

内部監査報告書の作成においても、生成AIは大きな効果を発揮します。自社の報告書の作成マニュアル等を生成AIに入力しておくことで、生成AIがそれらのマニュアルに従った形で内部監査報告書を自動で記述することができます。これにより、報告書の品質を保ちながら、報告書作成の工数を削減することが可能です。

また、過去に上位者がレビューした際のコメントを生成AIに入力しておくことで、そのレビューコメントを踏まえた報告書の作成も可能となり、運用を継続してレビューコメントを蓄積していくことで精度向上も期待できます。

導入アプローチ

生成AIの導入に当たっては、生成AIのリスクについても認識して適切に対応していくことが重要です。例えば、重要な情報を生成AIに入力してしまい生成AIの学習に利用されてしまう情報漏洩リスクや、生成AIが誤った回答をしてしまうハルシネーションなど回答精度が十分でないリスクなどがあります。

特に回答精度については生成AIの特徴的なリスクですが、RAG技術（Retrieval Augmented Generation：検索拡張生成）の活用やプロンプトチューニング等によって技術的に対応することが可能です。

生成AIの導入に際してはこのような技術的な対応や、業務適用時の費用対効果の見極めが大切であるため、以下のフェーズに分けて進めることが考えられます。

（１）Phase1. ユースケースのPoC（Proof of Concept：概念実証）

まず、業務上の課題を洗い出し、PoC対象とする生成AIのユースケースを検討します。そして、試用環境を準備し効果検証を行います。効果検証では、生成AI活用による精度の評価や削減可能な業務時間の検討等を行い、生成AIの導入効果を検討し、実運用に向けた課題を明確にします。

（２）Phase2. 実運用環境の構築

次に、PoCの結果を踏まえ、ユースケースで作成した生成AI活用システムを実運用に耐えうるように整備するとともに、生成AI活用システム環境を構築します。また、生成AIと人間による業務を組み合わせた業務プロセスの整備も行います。

（３）Phase3. 運用

生成AI活用システムを利用して業務を運用し、継続的に改善を行います。具体的には、運用中に発生する課題を抽出し、改善を行うことで、生成AIの効果を最大限に引き出します。これにより、内部監査業務の効率化と品質向上を実現します。

今後の内部監査

様々な業務において複数の生成AIが相互に連携してタスクを実行する、AIエージェントの活用が進んできており、内部監査業務でもその活用が期待されます。

例えば、「内部監査を実施して」と指示すれば、証憑確認AIが、証憑が揃っているか確認して不足があれば被監査先に再提出依頼メールを送信します。証憑が揃っていれば監査手続実施AIが内部監査手続を実施し、不備があれば発見事項メモを作成し、報告書作成AIが内部監査報告書を作成することも考えられます。

限られた人的リソースで、より多くの業務に対応していくために、生成AIと協同して業務を効率的に進めていくことが望まれます。また、監査の勘所やリスクシナリオなど内部監査の知見・経験を生成AIに入力・蓄積していくことで、内部監査の品質も高めていくことが期待されます。

まとめ

生成AIの活用により、内部監査部門は業務効率化と品質向上を実現し、“Trusted Advisor”への変革を目指すことができます。生成AIは単体ではなく、RAG技術や他の自動化ツール等と組み合わせることで、より効果的に活用できます。導入に当たっては、PoCから始め、効果が確認できたら本格的な導入を進め、定型業務から非定型業務へとリソースをシフトすることで、内部監査の価値を最大化することが期待されます。

今後ますます生成AIの活用領域は広がっていくことが想定され、生成AIと協同して業務を進めていく世界がすぐそこまで来ており、内部監査は大きな変革のタイミングに来ていると考えられます。

デロイト トーマツではAIガバナンスに関して様々な知見を発信しております。AIガバナンスの策定・実行を支援するサービスも提供しておりますので、下記のページよりお気軽にお問い合わせください。

AIガバナンス – 生成AI時代に求められる信頼できるAIの実現の道筋

執筆者

中瀬 真一
デロイト トーマツ リスクアドバイザリー合同会社　シニアマネジャー

連載一覧

• 第1回 AIガバナンスとは何か？リスクと必要性
• 第2回 グローバル企業のためのAIガバナンス
• 第3回 AIシステムに対する内部監査
• 第4回 AIの保証・認証制度
• 第5回 外部監査におけるAIテクノロジーの活用
• 第6回 海外のAI関連の法律、規制、ガイドライン
• 第7回 日本のAI関連の法律、規制、ガイドライン
• 第8回 AIと知的財産権の基本とリスク～恐れることはない、AIの活用のために～
• 第9回 生成AIを用いた内部監査
• 第10回 AIとプライバシー
• 第11回 AIとサイバーセキュリティ
• 第12回 AIガバナンスの未来と課題～産学官連携による新時代への挑戦～