内部監査のデジタルトランスフォーメーション（DX）

内部監査を取り巻く環境変化とDXが求められる背景

グローバル競争の激化、事業再編やM&Aの増加、業務のデジタル化やビジネスモデルの変化、さらにはリモートワークの定着などにより、企業を取り巻くリスクは量・質の両面で高度化しています。このような不確実性の高い環境において、マネジメントには迅速かつ柔軟な意思決定がこれまで以上に求められています。

こうした変化を受け、マネジメントを支える内部監査部門の役割も変化しています。従来のアシュアランス提供にとどまらず、経営のビジョンや戦略の実現を支援し、重要リスクへの対応や事業推進に資する示唆を提供するなど、「信頼されるアドバイザー」としての役割が期待されています。

一方で、多くの内部監査部門では慢性的な人材不足が続いています。限られたリソースの中で監査品質を安定的に確保することが課題となる中、定型的な業務の効率化を通じて、より付加価値の高いリスク評価や経営判断に資する業務へ工数を振り向けていく必要があります。こうした構造的な課題への対応策として、近年、生成AIをはじめとするデジタル技術への関心が高まっています。

生成AI時代における内部監査DXの考え方

生成AIの登場により、これまで人手への依存度が高かった内部監査業務についても、効率化・高度化を本格的に進めることが可能になりつつあります。内部監査DXを検討するにあたっては、技術を個別に導入するのではなく、複数のデジタル技術を組み合わせ、業務プロセス全体として最適化する視点が重要となります。

• 複数のデジタル技術の組み合わせ
  生成AIを単体で導入するのではなく、RPAやデータアナリティクス、BIツールなどと組み合わせて活用することで、監査業務の各工程を連動させた効率化・高度化を図る。
• 業務プロセス全体を見据えた設計
  個々の作業の自動化や省力化を出発点とするのではなく、内部監査業務全体の流れを俯瞰した上で、どの工程にどのデジタル技術を組み込むかを設計する。

また、こうしたデジタル技術の活用を一過性の施策に終わらせず、内部監査の業務基盤として定着させていくためには、GRCツールの活用も重要な要素となります。GRCツールは、監査プロセスの可視化や標準化を通じて、複数のデジタル技術を内部監査業務に組み込み、継続的な改善と高度化を支える役割を果たします。

デジタル技術を自らの業務変革に積極的に取り入れることは、内部監査部門が「信頼されるアドバイザー」としてマネジメントの意思決定を支える存在へと進化していくための重要な要素の一つです。

AIエージェントを活用した内部監査

内部監査AIエージェント

生成AIを活用しようとすると、ハルシネーションやプロンプト調整に時間がかかり、思うように使いこなせないという課題があります。プロンプト調整のみで精度を上げていくことは難しいこともあり、内部監査業務に適したテクノロジーを組み合わせて適用することが必要です。
デロイト トーマツでは、オートメーション技術等を組み合わせて内部監査業務向けの以下の機能を持つAIエージェントを開発し提供しています。

• 監査手続から監査知見を補完してプロンプトを自動生成する技術
• 複数の監査手続を並列で実行するバッチ処理
• 組織ごとに異なる書式に対応した調書の自動作成
• 精度検証AIによる精度評価　等

ユースケース

内部監査における生成AI・AIエージェントのユースケース例は以下の通りです。

• 拠点リスク評価
• 規程の整備状況評価
• 内部監査手続の実施・調書作成
• リスク検知／データ分析
• 内部監査報告書の作成
• 過去の不備・対応策のナレッジ管理

生成AI・AIエージェントの導入に当たっては、生成AI特有のリスクについても認識して適切に対応していくことが重要です。特に回答精度については生成AIの特徴的なリスクですが、RAG（Retrieval Augmented Generation：検索拡張生成）技術の活用やプロンプトチューニング等によって技術的に対応することが可能です。

デロイト トーマツでは、内部監査における生成AI・AIエージェントの導入に関する助言を行っています。 

リスク評価高度化に向けたAI／データアナリティクス活用

リスク評価においては、単一の分析手法に依存するのではなく、リスクの性質や目的に応じて分析アプローチを使い分けるという視点が重要となります。例えば、以下のようなアプローチが考えられます。

• 想定外のリスク兆候を把握するアプローチ
  AIを活用した異常検知は、複数の指標や取引パターンを横断的に分析することで、事前に想定していなかったリスクや不正の兆候を把握するための手法です。当社では、こうした考え方を実務に適用し、複合的な観点から不正の兆候を捉える複合的異常検知モデルに関する知見を蓄積してきました。
• 想定されたリスクをオンデマンドでモニタリングするアプローチ
  想定されたリスクを安定的に確認するための手段として、当社では内部監査におけるリスク評価を支援する分析サービスである、Risk Analytics Connectを提供しています。最新のリスク認識や不正事例を踏まえて整理されたシナリオに基づき、特定のリスクを継続的にモニタリングすることが可能です。

さらに、業務内容やリスクの性質を踏まえ、個社ごとの特性を反映したカスタマイズ分析を行うことで、業務実態に即したリスク評価につなげることも考えられます。

また、デロイト トーマツは外部監査人として、データを活用した先進的な監査手法であるAudit Analyticsを長年にわたり実務で用いてきました。外部監査の現場で蓄積されたこれらの知見は、内部監査におけるリスク評価や不正兆候の把握を検討する上でも、示唆を与えるものと考えています。

以上で紹介した取り組みは、リスク評価を多面的に捉えるためのアプローチの一例に過ぎません。当社では、こうした選択肢を踏まえたリスク評価の高度化を検討する際の支援を行っています。

GRCツールの活用

GRCツールとは、企業のガバナンス・リスク・コンプライアンス活動を一元管理するシステムです。内部監査領域ではリスク評価に基づく監査計画から、個別監査の全てのプロセスに加えて、監査のスケジュールや人員のマネジメント、発見事項のフォローアップまで一連の流れを管理します。

GRCツールを活用することで、内部監査部門の限られたリソースの中でも監査プロセスの標準化と監査情報の一元化、監査品質の安定化を図るとともに、定型的な業務の効率化を通じて、より付加価値の高い戦略業務（テーマ監査やリスクの予測、他2線部門との連携など）に注力することができます。

主なメリット

• プロセス標準化：監査プログラムをライブラリ化し手続きを統一、品質を平準化
• 自動レポート：入力が調書・報告書へ自動反映、資料作成とレビューをリアルタイム化
• 発生事項・問題管理：責任者割当〜改善計画〜フォローをワークフローで一気通貫
• ダッシュボード/KRI：進捗・重要度・傾向を可視化し、タイムリーに経営へ報告
• 協働とガバナンス：1st/2nd/3rdラインが同一システムで是正・進捗を共有し、説明責任と再現性を強化
• セキュアな監査トレイル：アクセス制御と改ざん防止で外部監査・当局対応を支援

AIに対する内部監査

生成AI・AIエージェントの技術の進歩とビジネスへの導入は急速であり、内部監査部門もそのスピードに遅れずに対応することが求められています。内部監査部門はAI導入に伴うリスクを早急に評価し、必要な対策をとることを助言するべきです。

Deloitteの「Trustworthy AI™」は、安全性・セキュリティ・コンプライアンス・拡張性を備えたAI導入・活用のための統合的なアプローチです。デロイト トーマツは、AIガバナンスに対する内部監査の導入やAIガバナンスの整備に関して助言を行っています。