1 はじめに
絶えずビジネス環境が進化している現代、企業は多種多様なコンプライアンスリスクへの対応が求められています。リスクを適切に管理するためには、柔軟で効率的なリスクアセスメントが重要となります。
そして、デジタル技術の進化に伴い、生成AIは業務効率化やリスクの予兆管理における不可欠な要素となっています。企業はAI技術を活用することで、コンプライアンスを実現しながら、新たな価値を生み出すことが可能になります。この「新たな価値」とは、具体的にはデータ解析のスピードアップによる迅速な意思決定支援、潜在的なリスクの予兆管理による未然の防止やリアルタイムな法令遵守状況の把握などを指します。
シリーズ初回となる本記事では、コンプライアンス対応業務における生成AIの効果的な活用方法について、「コンプライアンスリスクアセスメント」を一例として紹介します。
2 コンプライアンスリスクアセスメントにおける課題と生成AIへの期待
自社のコンプライアンス態勢を構築するうえで、「コンプライアンスリスクアセスメント」は、出発点かつ根幹となるものです。自社がどのようなコンプライアンスリスクを抱えているか、それを把握したうえで、潜在的な高リスク領域や統制が脆弱な領域へ、重点的にリソースを振り向けて、対策を打っていくことになります。
コンプライアンスリスクアセスメントには、自社のビジネスに関連するリスクの特定、評価基準の設定、ヒアリングなどを通じた情報収集、評価等一連のプロセスが含まれます。本社一拠点だけではなく、海外も含めた複数拠点を網羅したグループ全体でのコンプライアンスリスクを評価するためには、専門知識を持つ複数のメンバーが協力して取り組む必要があります。しかし、この過程でしばしば直面する課題として、評価者が各自理解している基準で評価を行うことで、結果にばらつきが生じるという点があります。さらに、組織の規模が大きいほど、これらのプロセスには大量の人的資源や時間が必要となり、リソースの制約が顕在化します。図表1に、コンプライアンスリスクアセスメントにおける一般的な課題と、それに対する生成AIを活用した解決策を整理します。
図表1:コンプライアンスリスクアセスメントにおける課題と生成AIを活用した解決の方向性
3 生成AIを使ったコンプライアンスリスクアセスメントの実施例
上記課題に対する解決策の1つとして、PwC Japan有限責任監査法人は生成AIを活用したコンプライアンスリスクアセスメント支援ツールを導入しています。以下に概要を紹介します。
3.1 コンプライアンスリスクアセスメントのプロセス
まず、コンプライアンスリスクアセスメントには、大きく4つのプロセスがあります。
①自社関連リスクの識別
②評価基準の設定
③評価根拠となる情報収集
④評価(固有リスク、統制状況、残余リスクの評価、リスクベースアプローチ)
プロセス①および②については、すでに多くの企業がに実施しており、内外のビジネス環境の変化に対応して定期的な更新を実施することがその焦点になりすので、ここでは解説を省略します。コンプライアンスリスクアセスメントにおける評価基準のばらつきや、リソースの限界といった課題を解決するには、プロセス③および④に生成AIをいかに活用するかが重要なポイントとなります(図表2)。
プロセス③の「評価根拠となる情報収集」では、従来はヒアリング実施や証跡収集を基に情報を整理し、評価基準に関連する情報を抽出する一連の作業を専門の担当者が実施していました。今後も、特に人の感情や非言語的な文脈を深く読み解くなどの人間のソフトスキルを活用すべき作業は残ると考えられます。他方で、生成AIを活用することで、大量の議事録やアンケート結果からリスク項目に関連する情報を抽出し、リスク項目をマッピングする作業は効率化することができます。加えて、抽出した情報のソースとなる議事録や証跡へのリンクを付すことで、生成AIを活用する上で課題となりがちなブラックボックス化を避けることができます。
プロセス④の「評価」では、リスク項目ごとに③で抽出した情報を、生成AIを活用して事前に設定した評価基準に照らし合わせ、当てはめを行います。具体的には、固有リスク(潜在リスク)と統制状況を評価し、当該評価から残余リスクを算出する一連の流れを生成AIが行うことで、評価者による「ずれ」を排除し、先入観や経験に左右されない、統一された評価を行うことが可能となります。
図表2:コンプライアンスリスクアセスメントにおけるAIの活用プロセス
3.2 コンプライアンスリスクアセスメント支援ツール実行結果のイメージ
PwCが提供するコンプライアンスリスクアセスメント支援ツールでは、評価根拠(例えば、議事録やアンケート結果)をツールに投入し、実行するだけで、リスクアセスメントプロセスが完了し、事前に設定されたフォーマットで評価結果をアウトプットすることが可能です(図表3)。
具体的には、「固有リスクの評価」については、事前に設定した基準に従って、発生可能性や影響度に応じて固有リスクを数値化し、評価ランクを付与することで、各固有リスクの相対的重大性を明示します。評価結果は、数値データだけでなく、「なぜその数値評価を行ったのか」という理由とともに記載され、AIの判断をトラッキングし検証することが可能となり、AI活用の課題である判断のブラックボックス化を避けることができます。
また、「統制リスク評価」についても、固有リスクと同様に、事前に設定した基準に沿って、実施している統制活動に数値と評価ランクを付与し、統制の成熟度を可視化します。
最後に、固有リスクと統制状況の評価結果から、事前に設定したロジックに基づいて、「残余リスク」を自動算出します。
図表3:コンプライアンスリスクアセスメントツールの実行結果(アウトプットのイメージ)
また、コンプライアンスリスクアセスメント支援ツールで生成した結果をビジュアライズツールと連動させることで、企業が直面しているリスクとその重大性を一目で把握可能です(図表4)。
図表4:コンプライアンスリスクアセスメントツールの実行結果(ビジュアル化イメージ)
4 コンプライアンスリスクアセスメント関連業務へ生成AIツールを導入する流れ
コンプライアンスリスクアセスメント支援ツールの導入には、主に①計画、②ツールの開発、③構築・パイロット運用、④全体運用、⑤メンテナンスという5つのフェーズが存在します。全体運用までの期間は、企業の置かれた状況に応じて差が出ることはありますが、おおむね3カ月を見込んでいます。また、各フェーズの実施内容は多少異なってくる場合がありますが、一般的には次のように想定しています(図表5)。
フェーズ①計画
- 目標設定:導入によって達成すべき具体的な目標を設定
- 要件定義:ツールが満たすべき機能要件を定義
- スケジュール、リソースの計画:各フェーズのスケジュール、リソース、予算を計画
フェーズ②ツールの開発
- 設計・仕様決定:ツールの機能要件に基づいて設計を行い、仕様を決定
- 開発・プログラミング:ツールを実際に開発。この段階でパイロット版のプロトタイプを作る場合もある
- テスト:開発されたツールが定義された要件を満たすかどうか確認するテストを実施
フェーズ③構築・パイロット運用
- 導入:開発されたツールを実際の業務環境に導入
- パイロット運用:一部の事業部門または子会社でツールをトライ
- フィードバック収集:パイロット運用の結果を基に、利用者からフィードバックを収集、調整
フェーズ④全体運用
- 説明会の実施:当該ツールを利用する担当者および関係者に対し、ツールの利用方法等の説明会、必要に応じてトレーニングを提供
- 全面運用:パイロット運用のフィードバックを反映し、組織全体でツールを運用
- 運用モニタリング:ツールが正確かつ効率的に運用されているかを定期的にモニタリング
フェーズ⑤メンテナンス
- ビジネス環境に応じた更新:法規制の変更や新しいリスクの出現に対応し、ツールをアップデート
- 問題の修正:ユーザーから報告された問題やバグを修正
- サポート:ユーザーサポートを提供し、ツールの利用に際して発生する疑問や問題に対応
図表5:コンプライアンスリスクアセスメント支援ツールの導入の流れ
5 おわりに
生成AIの活用は、コンプライアンスリスクアセスメントをはじめとした企業のコンプライアンスの構築運用において革新的な変化をもたらします。生成AIの分析力と効率性を生かして、リスクを早期に特定し、迅速に対応策を講じることができます。
さらに、生成AIの進化によって、企業はコンプライアンス対応の在り方を大きく変えるチャンスを得ています。生成AIが持つ高度なデータ分析能力により、単なるルーチン業務の効率化を超えた戦略的な意思決定を実現できる可能性があります。これにより、法規制の変化や市場の動きに対して常に先手を打つことができ、競争優位を確立し続けることができます。生成AIを活用することで、企業は新しい時代のコンプライアンス対応を実現し、将来のビジネス環境において重要な役割を果たしていけるでしょう。
