COSO内部統制フレームワークの生成AIへの適用
COSO Achieving Effective Control Over Generative AI – 解説
内部統制の統合的フレームワークで知られるCOSO(Committee of Sponsoring Organizations of the Treadway Commission)は、同フレームワークを生成AI(Generative AI)に特有のリスクに適用し、統制活動の導入や監督を支援するためのガイダンスを公表しました。本記事では、そのガイダンスの概要を紹介し、各社でAIリスクの管理に携わる関係者がリスクを適切に管理できるよう支援することを目的としています。
COSO内部統制の統合的フレームワークとは
COSOは「トレッドウェイ委員会組織委員会」の略称で、米国で1980年代前半に多くの企業の経営破綻が社会・政治問題となったことを契機に設立されました。COSOは内部統制の重要性を強調しており、1992年に「内部統制の統合的フレームワーク」を公表し、2013年にはその改訂版を公表しました。
このフレームワークは5つの構成要素から成り、各構成要素に関連する基本概念として17の原則が示されています。
COSO Achieving Effective Control Over Generative AIの特徴
当ガイダンスは、AIリスクに関わる多様なステークホルダーを対象としています。現場でAIシステムの利用に責任を負う管理者はもちろん、リスク管理部門やITガバナンスの担当者、さらには内部監査部門や外部監査人も、当ガイダンスを参照することで、リスク低減に資する適切な統制活動の設計・導入およびその運用状況の監督が可能です。
当ガイダンスは、新たにAIガバナンスのフレームワークを策定するものではなく、既存のCOSO内部統制の統合的フレームワークにおける5つの構成要素と17の原則を、生成AI(Generative AI)に特有の実務へ適用・具体化したものです。そのため、COSOのフレームワークになじみのある方であれば、比較的容易に導入できます。また、生成AIの一般的な活用法を8つのケイパビリティ類型に整理し、各類型に最適化された統制要件を提示しています。データの準備から最終的な意思決定に至るまでの一連のプロセスにおいて、類型ごとにリスクの顕在化の仕方が異なるため、各類型に即した統制活動の整備が求められます。
このように、5つの構成要素、17の原則、8つのケイパビリティ類型という形で内容を構造化・細分化して整理しており、具体例や指標と併せて読み進めることで、担当者がイメージを持ちながら自社のケースに当てはめて活用しやすい点が当ガイダンスの大きな特徴です。
8つのケイパビリティ類型
当ガイダンスで紹介する8つのケイパビリティ類型について、定義と事例を併せて把握し、具体的なイメージを持ちながら、自社のユースケースがどの類型に該当するかを整理することが重要です。これらの類型は汎用的で、業界やプロセスを問わず、さまざまな企業に適用できます。
また、生成AIを活用する一連の業務フローにおいて、複数のケイパビリティ類型が関与する場合もあります。例えば、フォーマットの異なる請求書を標準フォーマットへ変換したうえでカテゴリーごとに分類し、発注データと照合する場合には、「データ変換と統合」と「自動取引処理と照合」の双方が該当します。その他にも、大量の市場レポートを要約したうえで需要予測を行うケースでは、「ナレッジの検索と要約」と「判断、予測、洞察の生成」が該当します。ケイパビリティ類型は、後続の統制活動整備における重要な判断基準ですが、必ずしもすべてを同列に扱う必要はありません。各ケイパビリティ類型について、自社のユースケースにおける該当頻度や業務・財務上の重要性を考慮した上で優先順位付けを行い、優先度に応じてメリハリをつけた対応を行うことが重要です。
生成AI版 - 5つの構成要素と17の原則
当ガイダンスでは、生成AI版のCOSOフレームワークにおける各構成要素と原則について、前述のケイパビリティ類型に依存しない基本的な考え方を冒頭で解説しています。ケイパビリティ類型別の詳細な統制活動の検討に先立ち、まずは各構成要素・原則を掘り下げ、生成AIにどのように適用されるのかという全体像を把握することが重要です。例えば、「原則2:監督責任」では、取締役会が生成AIの利用状況と関連リスクを把握し、監督責任を遂行することが求められます。部門横断のガバナンス組織の設置など、AI技術特有の配慮が必要な点はあるものの、リスクの識別、統制活動の整備・運用に対する監督という枠組み自体は非AI領域と同様です。この原則は生成AIにおいても比較的イメージしやすく、既存の取り組みや統制活動の知見を活用しやすいといえます。一方、「原則9:重大な変化の特定と分析」では、生成AIの構成要素に生じる重要な変更を検知し、リスクを再評価することが求められます。こちらに対応するためには、生成AIの技術的構成要素やAI関連規制に精通している必要があり、ガイダンスの内容を実践するには、社内のAI知見の強化や有識者の活用が不可欠といえるでしょう。
適用に向けたロードマップ
当ガイダンスでは、これまで整理してきた生成AIのケイパビリティ類型やCOSOフレームワークへの適用を実務に展開し、日常的にAIガバナンスを実践するためのロードマップも提示しています。まず、全社的なAIガバナンス構造の確立から着手し、現状把握を経て、個々の統制活動の整備へと進み、最終的にその運用の監督に至るサイクルを、6つのステップに分けて示しています。このサイクルは循環型であり、一巡後は最初のステップに戻ってガバナンス構造を再評価し、後続のステップを継続的に実施します。AI領域は技術や規制環境の変化が速いため、常に自社内外の情報を収集し、AIガバナンスを継続的にアップデートしていくことが重要です。こうしたAIガバナンスの構築を全社で推進するうえでは、関係部門の連携・協力が不可欠であり、トップマネジメントのコミットメントと支援が求められます。
デロイト トーマツが考える、COSO Achieving Effective Control Over Generative AIを加味した企業のAIガバナンスの構築
当ガイダンスは、多くの企業に浸透しているCOSO「内部統制の統合的フレームワーク」の考え方を基盤としており、担当者になじみがあるため、比較的取り組みやすい内容となっています。一方で、AIガバナンスは、技術や規制環境の変化を踏まえて継続的にアップデートしていく必要があり、そのためには、AI技術とガバナンスの双方の知見を有する人材の確保はもちろん、部門横断の体制構築が求められます。したがって、その実現は容易ではありません。
デロイト トーマツではこの難しい課題に対し、「実践」、「連携」、「反映」の三点を重視し、AIガバナンスの高度化に取り組んでいます。詳しくはAIガバナンスをご覧ください。
長谷 友春/Tomoharu Hase
