AIガバナンスに関する内部監査
AI関連リスクを適切に低減するAIガバナンス実装状況に関する内部監査
AI技術の進化と企業での活用拡大に伴い、多様なAIリスクを適切に低減するAIガバナンスの重要性が高まっています。AIシステムおよびサービスの開発・利用にあたっては、従来型システムで考慮すべきリスクに加え、AI特有のリスクや、AIとの組み合わせにより重要度が増すリスクにも適切に対応する必要があります。これらのリスクに対応するAIガバナンスは、正確性、透明性(説明可能性)、セキュリティ、公平性などの観点を踏まえ、AIシステムやモデルの企画から運用・廃棄までの各プロセスに落とし込み、実装する必要があります。一方、AIガバナンスを適切に機能させるには、社内ルールや規程を定めるだけでなく、現場へ浸透させて運用するとともに、日々変化する技術動向や規制動向に合わせて継続的に更新することが求められます。実効性あるAIガバナンスの実現に向けては、開発・利用部門での統制活動、管理部門のリスク管理に加え、独立した立場からの評価が不可欠です。内部監査部門は、他のデジタル技術と同様に、自社のAI活用状況に応じて、AIガバナンスの実装・運用状況に対する適切な監査手続を実施する必要があります。内部監査を通じて、AIガバナンスと関連する統制活動の整備・運用状況を評価し、重大リスクや逸脱を経営に報告して是正を促すことで、規制違反による罰則・業務停止やAIインシデントによる評判低下などの損失を未然に防げます。これにより、ステークホルダーの信頼を維持し、責任あるAIの持続的な活用を支えられます。
デロイト トーマツのAIガバナンスに関する内部監査支援サービス
概要
デロイト トーマツは、企業におけるAIガバナンスの実装状況を評価・改善するための内部監査支援サービスを提供しています。AIガバナンスに対する内部監査実施に際しては、従来型システム向けの内部監査手続とは区別し、AI固有のリスクに対応するためのリスク評価の基準や判断方法、具体的な監査手続を検討する必要があります。デロイト トーマツの内部監査支援サービスでは、このような監査手続の設計支援から、コソーシングやアウトソーシングの形で監査・評価を実施するまで、ニーズに合わせて柔軟に対応可能です。 また、内部監査の実務経験者はもちろん、AIの技術的知見やAIガバナンス構築の経験を有するメンバー、AIガバナンスの内部監査に関する専門資格・実務経験を有するメンバーが在籍しております。目的やニーズに応じ、内部監査の実務と専門的コンサルティングの実績に裏打ちされた知見を備えたチームがサービスを提供します。
AIガバナンスに関する内部監査のアプローチ
AIリスク管理態勢のあるべき姿を見据え、全社レベルと部門・プロセスレベルの双方を対象に内部監査を実施します。
内部監査における具体的な検証範囲や検証深度は、ご相談のうえ柔軟に設定し、手続を進めます。IT全社統制およびIT全般統制の考え方をベースに、AIに関する国内外のさまざまな法規制やガイドラインと、デロイトのグローバルナレッジを組み合わせて構築した標準的なAIガバナンス内部監査手続に加え、下記のような特定の法規制やガイドラインに基づく準拠性監査にも対応可能です。
- (総務省・経済産業省)AI事業者ガイドライン*1
- (金融庁)モデル・リスク管理に関する原則*2
- (欧州委員会)EU AI Act*3
- (米国NIST)AI Risk Management Framework*4 等
実際の内部監査の進め方
まず、予備調査としてAIの活用状況、AIガバナンスに関連する業務フローや体制の全体像を把握します。本調査では、全社レベル、プロセスレベル、各AIシステム単位で実施される統制活動について、その整備状況および運用状況を評価します。
AIガバナンスに関する内部監査の進め方自体は、AI以外の従来型システムに関する内部監査やその他のテーマ別監査と大きくは変わりません。一方で、従来型システムと比べてAI関連リスクは広範囲に及び、さらに各社の事業特性やAIの具体的な利活用をふまえたビジネスリスクも考慮する必要があります。こうした状況下では、多様なリスクに対応する統制活動を、実施レイヤーも含めてマッピングし、その十分性を評価したうえで、あるべき姿をふまえた議論・提言につなげることが、AIガバナンスの内部監査の重要なポイントとなります。
*1 総務省:AI事業者ガイドライン
経済産業省:AI事業者ガイドライン
*3 NIST(National Institute of Standards and Technology):AI Risk Management Framework
新しいウィンドウで開く