次世代の内部監査～重要リスク（5）RPA／AIの導入～

RPA／AIの特有リスク

RPAやAIを導入する際のリスクは以下の5つに分類することができます。（図2参照）
 

【業務上のリスク】

• RPAやAIが何らかの理由で動かなくなり、業務が継続できなくなる
• AIによる意図しない決定や処理により、業務が中断される
• AIのアルゴリズムの学習に使用される開発者提供データが不完全、古い、バイアスがかかっていることにより正しく処理されない
• 誤った推測、不適切なモデリング技術、コーディングのエラーおよび学習データに対する自動化アルゴリズムが過剰に適合されることにより正しく処理されない

【財務上のリスク】

• RPAやAI技術が適切に導入されないことで、財務上およびレピュテーション上の損失につながる
• RPA／AI技術の連携が取れていないことや設定に誤りがあることで、財務報告における内部統制に重大な不備または重要な欠陥があると評価される

【規制上のリスク】

• RPA／AIによって作成された不正確、不完全な当局報告により、行政処分を受ける
• AIが法規制に違反する（例：アルゴリズムの学習により、マイノリティーに対する違法な差別へとつながる） 
• AIサービスに過度に依存して個人のプライバシーを毀損し、個人情報保護等のコンプライアンス違反となる

【組織上のリスク】

• RPA／AIの導入に伴う人員再配置が、従業員の志気にマイナスの影響を与える
• グループ全体での導入方針等の連携がないことで、RPAやAI間の整合が取れなくなる
• RPAやAIの変更に関する基準がなく、変更管理プロセスが機能しなくなる

【技術上のリスク】

• ハードウェア、ファームウェアおよびアプリケーションなどがサイバー攻撃の対象となる 
• RPA／AIが組み込まれたソフトウェアの資格情報が悪用され、情報セキュリティやアクセス管理上の問題が生じる

RPA／AI導入における内部監査の貢献

企業がRPAやAIなど新技術を導入するにあたり、内部監査は新たなリスクを識別し、必要な統制が適切に組み込まれていることを確認する「RPA／AI導入に対する監査」を通して大きな貢献が期待されています。内部監査に期待される貢献について、内部監査の役割（①保証（Assure）：最適な保証の提供、➁助言（Advise）：信頼されているアドバイザーとしての役割、③予測（Anticipate）: 差し迫った新たなリスクに対する準備）ごとに整理します。

① 保証（Assure）

RPAやAI開発において示されるリスクは、必ずしも新しいものではなく、既存のITリスクから派生したものです。3ラインモデルにおける第2ライン（例：コンプライアンスやリスク管理部門等）との役割を整理して統合的アシュアランスを確立しつつ、内部監査は早い段階からRPA／AIの導入に関与し、統制水準が低下していないか検証することが期待されます。

➁　助言（Advise）

内部監査はRPA／AI導入前の段階から関与し、例えば以下のポイントで助言することが期待されています。

• RPA／AI導入に伴うリスクの特定と対応策の策定
• パフォーマンスと価値を向上させながら一定の統制水準を確保するための対応策の策定

③ 予測（Anticipate）

これまでにない革新的な技術を導入するにあたり、内部監査は導入に伴うリスクを予測し、洞察を提供することが期待されます。リスクの予測にあたっては内部監査人による情報収集やモニタリングだけでなく、アナリティクスを含むテクノロジーの活用が可能となります。

トーマツでは「次世代の内部監査への変革を本気で取り組もう」という会社様向けに「次世代内部監査提言サービス」を始めました。外部品質評価（診断）や内部監査ラボなどを通してInternal Audit 4.0フレームワークとのFit & Gap分析を実施し、各社の実情に合った次世代内部監査モデルを提言いたします。ご興味のある方はぜひトーマツの内部監査プロフェッショナルまでお問い合わせください。