次世代の内部監査~重要リスク(5)RPA/AIの導入~ ブックマークが追加されました
ナレッジ
次世代の内部監査~重要リスク(5)RPA/AIの導入~
内部監査の新潮流シリーズ(16):必要な統制を確認する「RPA/AI導入に対する監査」が期待されています
企業はRPAやAIなどの先進的技術を活用して業務プロセスを近代化し、その有効性を高めたいと考えています。一方で、RPAやAIには業務上・財務上・規制上・組織上・技術上の特有リスクがあり、これらのリスクを識別して正しく対応する必要があります。内部監査はRPAやAIなど先進的技術導入に伴う新たなリスクを識別し、必要な統制が適切に組み込まれていることを確認する「RPA/AI導入に対する監査」の実施が期待されています。
デロイト トーマツでは、「内部監査の新潮流」と題して内部監査のトピックスを全24回にわたり連載いたします。前半は、内部監査の基礎となる事項をとりあげ、後半は次世代の内部監査に求められる最新のトピックスを取り上げます。全24回の詳細はこちらのページをご覧ください。
RPAとAIの浸透
現代は先進的技術が業務に急速に浸透するとても興味深い時代となっています。
ロボティック・プロセス・オートメーション(RPA)や人工知能(AI)技術の進歩とトレンドは、急速にビジネスモデルを変革し、生産性を改善しています。このような先進的技術の広範囲にわたる導入は一般に「第4次産業革命」あるいは「インダストリー4.0(図1参照)」と呼ばれ、商品やサービスの提供に大きな変革(イノベーション)をもたらしています。
多くの企業は先進的技術を活用して業務プロセスを近代化し、その有効性を高めたいと考えています。一方で内部監査はこのような技術に伴う新たなリスクを識別し、必要な統制が適切に組み込まれていることを確認する「RPA/AI導入に対する監査」が期待されています。
RPA/AIの特有リスク
RPAやAIを導入する際のリスクは以下の5つに分類することができます。(図2参照)
【業務上のリスク】
- RPAやAIが何らかの理由で動かなくなり、業務が継続できなくなる
- AIによる意図しない決定や処理により、業務が中断される
- AIのアルゴリズムの学習に使用される開発者提供データが不完全、古い、バイアスがかかっていることにより正しく処理されない
- 誤った推測、不適切なモデリング技術、コーディングのエラーおよび学習データに対する自動化アルゴリズムが過剰に適合されることにより正しく処理されない
【財務上のリスク】
- RPAやAI技術が適切に導入されないことで、財務上およびレピュテーション上の損失につながる
- RPA/AI技術の連携が取れていないことや設定に誤りがあることで、財務報告における内部統制に重大な不備または重要な欠陥があると評価される
【規制上のリスク】
- RPA/AIによって作成された不正確、不完全な当局報告により、行政処分を受ける
- AIが法規制に違反する(例:アルゴリズムの学習により、マイノリティーに対する違法な差別へとつながる)
- AIサービスに過度に依存して個人のプライバシーを毀損し、個人情報保護等のコンプライアンス違反となる
【組織上のリスク】
- RPA/AIの導入に伴う人員再配置が、従業員の志気にマイナスの影響を与える
- グループ全体での導入方針等の連携がないことで、RPAやAI間の整合が取れなくなる
- RPAやAIの変更に関する基準がなく、変更管理プロセスが機能しなくなる
【技術上のリスク】
- ハードウェア、ファームウェアおよびアプリケーションなどがサイバー攻撃の対象となる
- RPA/AIが組み込まれたソフトウェアの資格情報が悪用され、情報セキュリティやアクセス管理上の問題が生じる
RPA/AI導入における内部監査の貢献
企業がRPAやAIなど新技術を導入するにあたり、内部監査は新たなリスクを識別し、必要な統制が適切に組み込まれていることを確認する「RPA/AI導入に対する監査」を通して大きな貢献が期待されています。内部監査に期待される貢献について、内部監査の役割(①保証(Assure):最適な保証の提供、➁助言(Advise):信頼されているアドバイザーとしての役割、③予測(Anticipate): 差し迫った新たなリスクに対する準備)ごとに整理します。
① 保証(Assure)
RPAやAI開発において示されるリスクは、必ずしも新しいものではなく、既存のITリスクから派生したものです。3ラインモデルにおける第2ライン(例:コンプライアンスやリスク管理部門等)との役割を整理して統合的アシュアランスを確立しつつ、内部監査は早い段階からRPA/AIの導入に関与し、統制水準が低下していないか検証することが期待されます。
➁ 助言(Advise)
内部監査はRPA/AI導入前の段階から関与し、例えば以下のポイントで助言することが期待されています。
- RPA/AI導入に伴うリスクの特定と対応策の策定
- パフォーマンスと価値を向上させながら一定の統制水準を確保するための対応策の策定
③ 予測(Anticipate)
これまでにない革新的な技術を導入するにあたり、内部監査は導入に伴うリスクを予測し、洞察を提供することが期待されます。リスクの予測にあたっては内部監査人による情報収集やモニタリングだけでなく、アナリティクスを含むテクノロジーの活用が可能となります。
トーマツでは「次世代の内部監査への変革を本気で取り組もう」という会社様向けに「次世代内部監査提言サービス」を始めました。外部品質評価(診断)や内部監査ラボなどを通してInternal Audit 4.0フレームワークとのFit & Gap分析を実施し、各社の実情に合った次世代内部監査モデルを提言いたします。ご興味のある方はぜひトーマツの内部監査プロフェッショナルまでお問い合わせください。
内部監査・内部統制・オペレーショナルリスクに関する詳細な内容や関連資料、プロジェクト事例の紹介資料等を多数用意しております。詳しい資料をご要望の場合は以下のフォームよりお問合わせください。