バイヤーのインペラティブ：GRCおよびTPRM環境におけるAIの評価、選択、導入方法の好機を逃さないための方法

本IDCパースペクティブでは、機会を逃す前に、GRCおよびTPRM環境においてAIを評価、選定、導入する方法について解説します。貴社は今、重大な転換点に差し掛かっています。AIによって生成される情報の量、加速するサイバー攻撃のライフサイクル、そして深刻化する人材不足により、人間が関与するワークフローはまもなく運用上、維持不可能な状況に陥るでしょう。規制の枠組みや自社のリスク文化は現在、重大なGRC上の意思決定において人間の説明責任を求めていますが、その有用な寿命を超えてこの要件に固執することは、2～3年以内に運用上の負担となるでしょう。今日選択するプラットフォームは、リスクスコアリング、ベンダー評価、監査管理、AIガバナンス活動全般にわたって、意思決定の精度、オーバーライド率、合意動向、説明可能性の基準を追跡し、監査可能なパフォーマンス記録を通じてAIの自律性が段階的に獲得されていることを実証できなければなりません。ベンダーに対しては、自動化を単純なオン・オフの切り替えではなく、実務担当者が制御できる再評価チェックポイントを組み込んだ、段階的で可逆的、かつリスク階層化されたプロセスとして提示するよう求めましょう。自社のデータ環境も同様に重要です。不完全または古いGRCデータに基づいて動作するAIは、プラットフォームがいかに洗練されていても、経験豊富な実務担当者によって拒否されることになるでしょう。ベンダーに対し、AIのパフォーマンスについて、制限事項を率直に認めることも含め、透明性のある平易な言葉で説明することを求めましょう。これは、チーム全体に持続的な信頼を築くための、譲れない基盤となります。テクノロジーサプライヤーを評価する際は、AIパフォーマンスのネイティブ計測機能、役割に応じた自動化通知、そして信頼できる自律運用ロードマップを、差別化要因ではなく、調達における中核要件として扱ってください。「GRCにおけるAIの自律性は、単なる『信じるか信じないか』の問題ではなく、実績の積み重ねなのです。証拠を求め、成果を検証し、段階的に信頼を認めてください。ベンダーにこの基準を課す組織こそが、リスク管理の次の時代を切り拓くことになるでしょう」と、IDCのガバナンス、リスク、コンプライアンス・ソリューション担当リサーチ・ディレクター、Phil Harris氏は述べています。

エグゼクティブスナップショット

• 主なポイント
• 推奨されるアクション

状況の概要

• 新たな市場動向と変化
• GRC/TPRMプラットフォームにおける自動化準備度を測定するためのAIの特性と活動
  • 意思決定の質と正確性を測る指標
  • サードパーティ・リスク管理特有の活動
  • 監査管理特有の活動
  • AIガバナンスに特化した活動
  • ワークフローおよびプロセス実行の指標
  • データの品質および完全性に関する活動
  • 説明可能性および透明性に関する指標
  • 人間とAIの相互作用および信頼性に関する指標
  • 自動化対応通知のトリガー基準
  • 自動化準備状況に関する問い：購入者がプラットフォームに期待すべきこと
    • 信頼度に基づく準備完了通知
  • 範囲限定の自動化提案
  • 段階的な自律性と自動チェックイン間隔
  • リスク層別化された自動化レーン
  • 同業他社とのベンチマーク比較
  • 平易な言葉で書かれた説明可能なサマリー
  • 可逆性の保証に関するメッセージ
  • 異なる利害関係者向けの役割別説明
    • 「何が問題になり得るか？」透明性パネル

テクノロジーバイヤーへのアドバイス

• 技術購入者がサプライヤーに求めるべきこと

参考資料

• 関連調査
• 要約