ヒューマンインザループの必要性：GRCおよびTPRM環境におけるAI導入の指針

本IDCマーケットパースペクティブでは、ガバナンス、リスク、コンプライアンス（GRC）およびTPRM環境におけるAI導入の進め方について論じています。ガバナンス、リスク、コンプライアンスの分野は、AIによって生成される情報の膨大化、サイバー攻撃のライフサイクルの加速、そして深刻化する人材不足により、ヒューマンインザループワークフローは間もなく運用上持続不可能になります。現在、規制の枠組みや組織のリスク文化においては、重大なGRC上の意思決定について人間による説明責任が求められていますが、この要件は2～3年以内に負担となるでしょう。今後の道筋としては、リスクスコアリング、ベンダー評価、監査管理、AIガバナンス活動全般において、監査可能なパフォーマンス記録、意思決定の精度、オーバーライド率、合意動向、説明可能性の基準を追跡することで、AIの自律性を段階的に獲得していく必要があります。自動化は、単純なオン・オフの切り替えとしてではなく、再評価のチェックポイントが組み込まれた、段階的で可逆的、かつリスク階層化されたプロセスとして提示されるべきです。信頼はデータの品質にも等しく依存します。不完全または古いGRCデータに基づいて構築されたAIは、その高度さにかかわらず、経験豊富な実務家によって拒絶されるでしょう。限界を率直に認めることなど、AIのパフォーマンスに関する透明性のある平易な言葉によるコミュニケーションは、実務家の確固たる信頼を築くために不可欠です。テクノロジーサプライヤーにとって、AIのパフォーマンスをネイティブに計測すること、役割に応じた自動化通知を設計すること、そして自律的な運用に向けた準備を今行うことは、急速に中核的な競合力および調達要件となりつつあります。「GRCにおけるAIの自律性は、単なる『信じるか信じないか』の問題ではありません。それは実績です。測定し、検証し、この信頼を段階的に獲得していく組織こそが、リスク管理の次の時代を定義することになるでしょう。」と、IDC、ガバナンスリスクコンプライアンスソリューション担当調査ディレクター、Phil Harris氏は述べています。

エグゼクティブスナップショット

• 主なポイント
• 推奨されるアクション

新たな市場動向と市場力学

• GRC/TPRMプラットフォームにおける自動化準備度を測定するためのAIの特性と活動
  • 意思決定の質と正確性を測る指標
  • サードパーティ・リスク管理特有の活動
  • 監査管理特有の活動
  • AIガバナンスに特化した活動
  • ワークフローおよびプロセス実行の指標
  • データの品質および完全性に関する活動
  • 説明可能性および透明性に関する指標
  • 人間とAIの相互作用および信頼性に関する指標
  • 自動化対応通知のトリガー基準
  • 自動化準備状況に関する質問の提示：GRC/TPRMプラットフォームのためのポジティブフレーミング戦略
    • 信頼度に基づく準備状況通知
    • 範囲限定の自動化提案
    • 段階的な自律性と自動チェックイン間隔
    • リスク層別化された自動化レーン
    • 同業他社とのベンチマーク環境
    • 平易な言葉で書かれた説明可能なサマリー
    • 可逆性の保証に関するメッセージ
    • 異なる利害関係者向けの役割別説明
    • 「何が問題になり得るか？」透明性パネル

技術サプライヤーおよびサービスプロバイダーへのアドバイス

参考資料

• 関連調査
• 要約