AIを適切に管理する - 自動化された世界におけるリスク管理

金融サービス企業のCEOに対し、人工知能（AI）を使用または試験的に導入しているかと尋ねれば、必ず肯定的な答が返ってくるでしょう。実際、金融サービス業界のCEOに対する最近の国際調査によると、自社へのAI導入をまったく行っていないという回答は1%にすぎませんでした。

当然のことながら、金融サービス企業は、顧客体験の向上、組織の生産性向上、データガバナンスおよびデータ分析の強化など、AIがもたらす可能性のある大きな利益についてますます意識するようになってきています。そして従来のテクノロジーでは不可能だった新商品や新たな需要の開発をAIの機械学習や認識能力がいかにして可能にするかについて理解し始めています。当社の調査では、大半の企業がすでにAIを広範囲の業務プロセスに導入しつつあることを示しています。

これは金融サービス企業やその顧客にとって良いニュースではありますが、組織全体にAIを広く浸透させることは、リスク管理担当者にとって大きな頭痛の種であり課題をもたらすものでもあります。

問題の一部はテクノロジーそのものにあります。1つのミスを大量に複製することにより、問題のあるAIまたはアルゴリズムは小さな問題をあっという間に拡大させる可能性があります。AIはまた自ら学習する能力を持っていますが、このことは個別リスクの並べ替えが予測困難であることを意味します。不正を行う社員には能力やアクセスに限りがありますが、AIは不良データや間違った決定を瞬時に複数のプロセスに送ることが可能です。それは捕捉やコントロールが困難であると考えられます。

AIの「民主化」はまた、リスクマネジャーに課題を突き付けています。現実には、今日のテクノロジーではほとんど誰にでもボットを作成し展開することができます。各事業が事業プロセスにおけるAIの価値を認め始めるにつれ、組織におけるボット運用の数は急増しています。社内全体でどれだけの数のボットが運用中であるか正確に把握している金融サービス企業はごくわずかであり、それは十分なリスクの理解と評価ができないことを意味しています。

これらのすべては、リスクの特定、制御、管理において、リスクマネジャーが組織を支援する態勢が整っているのであれば問題はありません。しかし、そのような例はほとんどありません。理由の1つに、リスクの所在や管理の方法を正しく評価するための適切な能力または基本的なアルゴリズムに関する理解を備えたリスクマネジャーが少ないことが挙げられます。しかしより大きな問題は、たいていの場合、ボットが開発された後になって初めてリスク管理への取組みが始まることです。そしてそれではこのテクノロジーに追いつき、効果的な制御の実行に資する貴重な情報を提供するには、初めからあまりにも遅すぎるのです。

こうした課題に苦慮しているのは金融サービス業界の意思決定者やリスクマネジャーだけではありません。規制当局、取締役会および投資家も同様です。彼らは企業に対し難しい質問をし始めていますが、受け取る回答に対する確信を持てずにいます。

金融サービス企業がAIの制御およびガバナンスを向上させるために取りうる方策には以下の5つがあります。

AIを理解し管理するための第1段階は、現在どこで使用されているか、現在どのような価値をもたらしているか、どのような点が企業の戦略に合致しているかを知ることです。誰がそのアルゴリズムを開発したか（外部のベンダーでしょうか）、また現在は誰がそのAIを所有しているのかについて、時間をかけて理解することもまた有益です。サプライヤー、データプロバイダー、クラウドサービスプロバイダーを含め、組織全体のエコシステムに注目してください。

当社は多くの銀行や保険会社がAIの使用可能な組織として効果的なリスク機能を構築するのに必要な能力やスキルを特定し、評価することを支援してきました。
それは適切なスキルを備えたリスクマネジャーについてだけではありません。より機敏で、テクノロジーに精通し、商業面に重点的に取り組むことです。特に継続的な学習を奨励するために必要な理論および実践的な能力を含む、持続可能な学習プログラムの開発に注目すべきです。

データはAIのような新しいテクノロジーから価値を引き出すために欠かせない基本的な要素です。また当社の経験では、大半の金融機関は自社のデータの信頼性、アクセス可能性、確実性を保つために多くの投資を継続する必要があります。それは機械に正しいデータを入力するだけでなく、会社が使用するデータの質と完全性を検証することにより、オペレーショナルリスクおよびバイアスの可能性を削減することにも役立ちます。

一部の内部監査機能やリスクマネジャーはSR11-7やOCCリスクマネジメント原則などの既存の枠組みを出発点として使用していますが、当社はAI専門家、リスクマネジャー、取締役会が専用のリスクおよび制御の枠組み（図1）を構築する必要があると考えています。

そうした枠組みは、モデルのライフサイクル全般にわたるデータプライバシー、セキュリティおよび規制上のリスク削減に資する可能性があります。KPMGのリスクおよび制御の枠組みに関する詳細についてはこちらをクリックしてください^※1。

^{※1AI Risk and Controls Matrix}

現実にはAIは、ひとたび完全な導入が行われれば、金融サービス会社の企業文化全体に浸透すると思われます。その結果、意思決定者は従業員がAIを正しく操作し、管理し、制御できるよう奨励するための適切なスキル、能力、企業文化を確保する方策について熟慮することが必要となるでしょう。単なる新しいテクノロジーのスキルというだけでなく、組織はリスクを見るためのレンズをAIの開発および管理へと合わせるよう、自社のマインドセットを転換する方法について考慮することが必要となります。

今後のAIの進化およびその関連リスクについてはわかっていないことがまだ数多くありますが、確かなことがいくつかあります。金融サービス会社がAI開発を進め、組織全体への展開を継続すること、新たなリスクおよびコンプライアンスの
問題が引き続き発生するであろうこと、リスク管理およびビジネス機能はAIおよび関連リスクの適切な管理を保証するようプレッシャーに引き続き直面すると思われることです。
現実には、市場が急速に変化する中で、金融機関は思考から収益へと迅速に動くことを可能にするため、より早い意思決定ができるようになる必要があります。
それは、金融機関が新しいテクノロジーを評価、選択、投資、展開するために使用するプロセスを大幅に改善する必要があることを意味しています。適切な対策を行った企業は、競争優位、市場の成長、ブランド価値の増大が期待できますが、先延ばしや、誤った選択をした企業は競争から取り残されることになるでしょう。

1. AIの活用を自社の戦略上どのように位置づけるか。また戦略的結果の影響価値をどのように最大化するか。
2. 自社へのAI導入による新しいリスクおよびコンプライアンスの問題にはどのようなものがあるか。また自社のリスク特性にどのような影響を及ぼすか。
3. 外部の専門家をどのように活用しているか。また新しいテクノロジーを適切に管理するために会社が必要とするAIおよびテクノロジーのスキルについて、社内の人材が習得するようどのように奨励しているか。
4. 自社のリスク専門家は新しいテクノロジーやその運営、コンプライアンス、規制上の関連リスクについて理解しているか。
5. リスクの早期特定および管理を保証するため、AIの設計および開発プロセスにリスク管理が適切に組み込まれているか。