日本企業はなぜGRCの“デジタル後れ”に見て見ぬふりをするのか？AI時代に必要な組織ガバナンスの概念

AI・デジタル化から取り残されるGRC業務

　2024年にデロイト トーマツが行った調査によれば、プライム市場に上場し、売上1000億円以上である企業の約90％が生成AIを導入している^[1]。2025年7月時点では、研究開発・調達・生産・販売・マーケティング・人事・法務など、多岐にわたる領域でAIの活用が進んでいる。

　対して、これらAIに対する適切なガバナンスの必要性も周知のとおりで、EUでは、AI関連規制法である「EU AI Act（EU AI規制法）」が包括的な規制として2024年8月1日に発行されている。

　AI・デジタル技術の急激な進化により、企業の不確実性は増加し、評価が困難な状況になりつつある。さらに各種規制も強化され、コンプライアンスリスクも増加する懸念がある。このような状況も踏まえ、内部監査人協会（IIA）は新しい「グローバル内部監査基準」の適用を2025年1月から開始した。同監査基準では、AIやデジタルに加え、そのガバナンス体制なども内部監査の対象とすること、内部監査を実施するにあたってAIやデジタルツールを活用すること、内部監査人の関連スキルを高めることが推奨されている。

　内部監査を含む企業のガバナンス・リスク・コンプライアンス全般を管理することをGRCと呼ぶ。日本企業においては、GRC業務があらゆる業務の中でAI活用に最も後れを取っていると筆者は見ている。日本企業はGRC業務を利益の増加や価値創造から最も遠い存在と見なしているのか、この領域へのIT投資は限定的だ。その結果、AIの導入はおろか、デジタル化においても取り残されている状態といえる。

日本企業は見て見ぬふりをしている？ GRCデジタル化が進まないワケ

　GRC業務の一つであるコンプライアンス業務を例にとると、コンプライアンス部門がビジネスに関する変化（利用するAI・システム・データなど）を能動的に把握し、必要な規制対応などの助言を行っているとは言い難い。ビジネス部門も、ビジネスの変化にともない対応すべき規制の追加や変更について把握し、対応しているとは断言できないだろう。しかし、ビジネスの変化と法規制などの変化を認識・評価するコンプライアンスリスク評価が、高い頻度で行われることはない。よくて四半期ごとで、多くの企業では年次で行われる程度だ。

　ビジネスの変化などに応じて適切にGRC業務が遂行できていないと、結果として財務・ビジネス・評判などの観点で大きな損失が生じることもある。グローバル化している組織であればなおさらだ。SaaSを活用して自組織の世界中の情報やデータを利活用している組織は多いが、各国のデータ持ち出し規制を罰則も含めて完全に把握してSaaSを利用している組織は少ないのが現状である。

　ITやセキュリティに関する法規制やガイドラインは数多く存在し、各国でルールが異なる。コンプライアンス部門は自組織が関係する重要な法規制などのルールを把握し、順守状況を検証し、変化に関する助言を行わなければならない。また、法規制などに変化があった場合、関係するプロセス責任者やシステム責任者などに情報を共有し、新たな対応が必要か否かを確認することが必須だ。これを人力で行うことに疑問を抱く人が日本にはあまりいないのか、もしくは見て見ぬふりをしているのであろうか。

　GRC業務には、新製品の開発や大型案件の獲得のような目立つ仕事は少ない。多額の送金などの不正を直前で防ぐことがあったとしても、通常業務の多くはそのような状態に至らないよう、未然に細やかなチェックを行い対応することだ。そのためには、多くのデータや情報を分析し活用できるようにする“デジタルの力”が不可欠といえる。

　しかし、残念ながらGRC業務を担う人材にはITリテラシーが不足していることも多い。さらに自部門でAIを活用した経験がないため、そのリスクやガバナンスの在り方も十分にイメージできていない。このような場合、CIOやIT部門がこのギャップを埋めるリーダーもしくは助言者としての役割を果たすことが期待される。

　次章では、GRC領域においてどのようなデジタル化が期待されているのか、また日本企業のIT部門長たちがこの課題にどう対応すべきかについて紹介する。