AI利用申請・審査・例外承認:監査・統制の実務ワークフロー
AIMOaaSのAI利用監査・統制実務では、AI利用の申請から審査、例外承認、更新、棚卸、そして継続監査に至る一連の運用ワークフローを整理します。Human-in-the-Loopの原則やAIMO Standardに基づき、RACI(責任分担)を明確にし、事象ベースの記録や定期的な棚卸し・更新を促します。内部・外部監査で問われやすい質問と必要な証跡の観点を提示し、組織のAIガバナンス強化と監査対応準備を支援します。本モジュールは、フローと観点整理に重点を置き、特定の監査結果を保証するものではありません。
運用ワークフロー—申請・審査・例外・更新
フロー(番号付きステップ)
| 段階 | 主なアクティビティ | 残す証跡の観点 |
|---|---|---|
| 1. 申請 | 新規利用・ツール導入の申請 | 申請者、日付、用途、データ範囲 |
| 2. 審査 | リスク評価・承認・却下 | 審査者、結論、条件 |
| 3. 例外 | 一時的例外の申請・承認 | 理由、有効期限、承認者 |
| 4. 更新 | 方針・リスト・設定の定期更新 | 版、変更内容、承認 |
| 5. 棚卸 | 利用実態の棚卸 | 一覧、突合結果、担当 |
| 6. 継続監査 | 内部監査・外部監査への証跡提供 | Evidence Pack 等 |
運用サイクル(例)
- 申請・例外:事象ベースで記録。
- 棚卸・更新:四半期または年次など、組織で定義した頻度。規制・監査の要請に応じて調整。
申請・審査・例外のフロー
AI 利用申請のワークフローを整えた 申請・承認・例外更新の手順を文書化し、ログを残すようにした。
- 手順書
- 申請ログ
- 承認記録
証跡の観点でフローと記録の整理を支援します。保証は提供しません。
棚卸・レビューサイクルの観点
- 更新頻度が定義されている
- 棚卸とログの突合が記録されている
- 乖離時の対応が分かる
指摘と是正の観点(例)
指摘例: 例外の再審査が未定義
是正観点: 再審査のタイミングと手順を定義し、記録に残す観点で整えます。
棚卸サイクル例
| 項目 | 頻度例 | 備考 |
|---|---|---|
| 棚卸 | 四半期 | 組織ポリシーによる |
| 突合 | 棚卸と同時 | 乖離は記録 |
| レビュー | 年次または契約 | 更新履歴を残す |
申請・承認はどこまで記録すべきですか?
誰が・いつ・何を承認したかが追えることがよく求められます。規制・契約に合わせて範囲を決めることを推奨します。
References
RACI—申請・承認・例外の責任
RACI(例。組織により役割は異なる)
| アクティビティ | R(実行) | A(説明責任) | C(相談) | I(報告) |
|---|---|---|---|---|
| 新規利用の申請 | 申請者(利用部門) | 部門責任者 | 情シス・法務 | ガバナンス担当 |
| リスク評価・審査 | 情シス/ガバナンス | 審査責任者 | 法務・リスク | 申請者 |
| 承認・却下 | 承認権限者 | 承認権限者 | — | 申請者・ガバナンス |
| 例外の申請 | 申請者 | 部門責任者 | 情シス | ガバナンス |
| 例外の承認 | 例外承認権限者 | 例外承認権限者 | 法務・コンプラ | ガバナンス |
| 棚卸・レビュー | ガバナンス/情シス | ガバナンス責任者 | 監査・法務 | 経営層 |
注意
- 上記は観点の例。組織の体制に合わせて RACI を定義する。
継続監査のワークフロー観点
フロー(観点)
| 段階 | 主なアクティビティ | 証跡の観点 |
|---|---|---|
| 平常時 | ログ取得・申請・承認・例外の記録 | 継続的に記録がたまる |
| 定期棚卸 | 利用一覧の更新、方針との突合 | 棚卸日・担当・結果 |
| 証跡整備 | Evidence Pack 目次・中身の更新 | 版・更新日 |
| 監査前 | 監査人要請に合わせた証跡の取りまとめ | 提出物リスト・形式確認 |
| 監査後 | 指摘・是正措置の記録、次回への反映 | 是正計画・実施記録 |
棚卸とレビューサイクル
サイクル(観点。頻度は組織・規制による)
| アクティビティ | 内容の観点 | 頻度の例 |
|---|---|---|
| 棚卸 | 利用中 AI・ツール・用途の一覧更新、ログとの突合 | 四半期、年次等 |
| 方針レビュー | 利用方針・手順の妥当性見直し、更新 | 年次または重要変更時 |
| 証跡の見直し | Evidence Pack 目次・中身の充足度確認 | 棚卸・監査周期に合わせる |
| 例外の一覧レビュー | 例外の有効期限、必要性の再確認 | 四半期等 |
よくある欠落と是正の観点
欠落と是正の観点(例)
| よくある欠落の例 | 是正の観点(例) |
|---|---|
| 証跡の頻度不足 | 規制・監査要請に合わせた取得頻度の定義と記録 |
| 形式・項目の不備 | 目次・形式のテンプレート整備と運用での遵守 |
| 責任者・承認者の不明確さ | RACI の明文化、申請・承認ログの一貫した記録 |
| 例外の記録漏れ | 例外申請・理由・有効期限・承認者を必ず記録する手順 |
| 棚卸とログの突合不足 | 棚卸周期とログ集計の紐づけ、突合結果の記録 |
| 方針と実態の乖離 | 棚卸・レビューで乖離を検知し、方針更新または運用是正 |
| 更新サイクルの未定義 | 方針・リスト・証跡の更新頻度を定義し記録 |
監査で聞かれる質問と必要証跡の対応表
質問と証跡の観点(例)
| 監査で聞かれやすい質問(例) | 説明に使う証跡・記録の観点 |
|---|---|
| 利用している AI は何か、どこで使っているか | 棚卸一覧、ログに基づく利用可視化 |
| 方針はあるか、周知されているか | 方針文書、教育・同意の記録 |
| 誰が承認しているか、例外はどう管理しているか | 申請・承認ログ、例外一覧・承認者 |
| 変更は記録されているか | 変更履歴、版管理された手順 |
| 定期的に見直しているか | 棚卸・レビュー記録、更新日付 |
最小要件表
組織・規制により要否は異なる。頻度は例。
| 統制項目 | 必要証跡の観点 | ログ/運用記録 | 頻度の例 |
|---|---|---|---|
| 利用の可視化 | 誰が・何を・いつ利用したかの説明可能性 | ログ、集計レポート | 継続または定期 |
| 方針の周知 | 周知・同意の記録 | 教育記録、同意ログ | 導入時・更新時 |
| 申請・承認 | 申請と承認の記録 | 申請ログ、承認者・日付 | 事象ごと |
| 例外管理 | 例外の理由・期限・承認者 | 例外一覧、承認記録 | 事象ごと |
| 変更管理 | 変更内容・承認 | 変更履歴、版管理 | 変更ごと |
| 棚卸 | 実態の把握と方針との整合 | 棚卸一覧、突合結果 | 四半期等、組織で定義 |
監査質問集(抜粋)
観点の整理。保証・合格を約束するものではない。
| 監査で聞かれやすい質問(例) | 説明に使う証跡・記録の観点 |
|---|---|
| 利用している AI は何か、どこで使っているか | 棚卸一覧、ログに基づく利用可視化 |
| 方針はあるか、周知されているか | 方針文書、教育・同意の記録 |
| 誰が承認しているか、例外はどう管理しているか | 申請・承認ログ、例外一覧・承認者 |
| 変更は記録されているか | 変更履歴、版管理された手順 |
| 定期的に見直しているか | 棚卸・レビュー記録、更新日付 |
| 証跡は監査調書に貼付可能な形式か | Evidence Pack 目次・形式の整備 |
RACI(簡易)
組織の体制に合わせて定義する。
| アクティビティ | R(実行) | A(説明責任) | C(相談) | I(報告) |
|---|---|---|---|---|
| 新規利用の申請 | 申請者(利用部門) | 部門責任者 | 情シス・法務 | ガバナンス担当 |
| リスク評価・審査 | 情シス/ガバナンス | 審査責任者 | 法務・リスク | 申請者 |
| 承認・却下 | 承認権限者 | 承認権限者 | — | 申請者・ガバナンス |
| 例外の申請 | 申請者 | 部門責任者 | 情シス | ガバナンス |
| 例外の承認 | 例外承認権限者 | 例外承認権限者 | 法務・コンプラ | ガバナンス |
| 棚卸・レビュー | ガバナンス/情シス | ガバナンス責任者 | 監査・法務 | 経営層 |
お問い合わせ後に、専門家が簡易ログ診断のご案内をします。
役割分担の整理
AIMOaaS は Proof(証跡の生成・整備支援)を提供します。監査で説明可能にするための証拠の目次や雛形、ログに基づく可視化を整えるお手伝いをします。
保証判断(Assurance)は、御社および監査法人等の責任範囲です。当社は保証結論を出しません。役割分担を明確にしたうえで、証跡整備を伴走支援します。
よくある質問
AI利用の申請・審査プロセスは、どのような流れで進めますか?
AI利用の申請から始まり、審査を経て承認されます。必要に応じて例外申請プロセスも設け、定期的な更新や棚卸、継続監査へと繋がる一連の運用ワークフローとして整理します。
RACIチャートは組織ごとに調整が必要ですか?
はい、RACI(Responsible, Accountable, Consulted, Informed)チャートは、提示される例を参考にしつつ、貴社の組織体制やAI利用の実態に合わせて役割と責任を定義・調整することが重要です。
棚卸しや更新の頻度はどのくらいが適切でしょうか?
棚卸しや更新の頻度は、四半期ごとや年次など、組織で定義したサイクルが基本です。ただし、事業のリスク度合い、関連する規制要件、または監査からの要請に応じて調整することを推奨します。
監査で指摘されやすい欠落点にはどのようなものがありますか?
監査で指摘されやすい欠落点として、申請プロセスの不備、例外処理の記録不足、RACIの不明確さ、継続的な棚卸しの欠如などが挙げられます。これらに対する是正の観点も本ページで整理しています。
このフレームワークを導入すれば、監査に「必ず合格」できますか?
本フレームワークは、AIガバナンスと監査対応を支援するための「観点整理」であり、特定の監査結果や合格を保証するものではありません。監査の結論は、監査人・保証提供者の独立した判断によります。
AI利用の申請や例外事象はどのように記録すべきですか?
AI利用の申請や例外事象は、事象ベースで詳細に記録し、いつ、誰が、何を、どのように判断したか、その根拠を含めて明確に文書化することが重要です。
Human-in-the-Loopの原則は、このワークフローにどのように組み込まれていますか?
Human-in-the-Loop(HITL)は、AI利用の審査や例外承認、重要な意思決定の各フェーズにおいて、人間による適切な介入と監督を確保するための原則としてワークフロー全体に組み込まれています。
シャドーAIのリスク管理にも応用できますか?
はい、本ワークフローの考え方は、組織内で認知されていないシャドーAIのリスクを顕在化させ、適切な申請・審査プロセスに乗せることで、統制範囲に含めるための観点整理としても応用可能です。
外部監査人への対応で特に準備すべき証跡は何ですか?
外部監査人から問われやすい質問と、それに対応する申請記録、審査議事録、リスク評価結果、継続監視レポート、ポリシー文書などの証跡の観点を対応表で示しています。網羅的に準備することで、説明責任を果たしやすくなります。
このガイドは、特定の業界規制に特化していますか?
本ガイドは一般的なAIガバナンスと監査の観点整理を提供していますが、特定の業界規制(例: 金融、医療など)に特化したものではありません。貴社の業界規制に合わせた調整が必要です。