オルタナティブ・ブログ > 『ビジネス2.0』の視点 >
RSS
『ビジネス2.0』の視点

ICT、クラウドコンピューティングをビジネスそして日本の力に!

2026年の内部監査を変える3大リスク:AIと地政学が迫る構造転換

»

Gartnerは2025年11月13日、2026年の内部監査計画に盛り込まれる主要リスク領域について調査結果を公表しました。AIの急速な普及や国際情勢の不安定化が進む中、企業はこれまで以上にデジタルリスクへの対策を迫られています。報告書によると、サイバー攻撃の高度化やAI生成データの取り扱いをめぐる混乱、そして政策不透明感を背景とした規制対応が、大企業から中堅企業まで広範に影響を及ぼす見通しです。

Gartner Says Internal Auditors to Focus on Cybersecurity, Data Governance and Regulatory Compliance in 2026

しかし、こうした領域を監査チームが十分にカバーできるかについては不安が残ります。特にサイバーセキュリティとデータガバナンスは変化の速度が速く、監査プロセスの高度化が追いつきにくい状況が示されています。

企業経営においてリスク管理の重要性が増す中、なぜこれら3分野が注目されるのか。今回は、調査が明らかにした課題、企業が直面する構造変化、そして今後の展望について取り上げたいと思います。

スクリーンショット 2025-11-29 5.04.11.png
※Google Gemini

サイバーセキュリティ:AI時代の脅威増大と監査の難度

Gartnerの調査によると、2026年の内部監査計画において96%の企業がサイバーセキュリティ脆弱性を対象に含める予定です。企業はサプライチェーン全体でデジタル依存度を高めており、その結果、外部委託先を起点とする侵入リスクが高まっています。さらにAI技術の浸透により、攻撃者はディープフェイクや自律型攻撃ツールを活用し、これまでにないスピードで攻撃を仕掛けるようになりました。

一方で、監査責任者がサイバーリスクを的確に評価できるかという点では課題が残ります。調査では、サイバーリスクへの確信度が高いと答えた監査責任者はわずか48%にとどまりました。技術変化の速さに加え、サイバーセキュリティ体制やインシデント対応の運用レベルを把握するには専門性と継続的な情報更新が求められるためです。

企業が被る損害は業務停止や金銭的損失だけでなく、ブランド毀損や規制違反にもつながります。そのため、第三者リスク管理、攻撃シナリオ分析、AIによるログ分析自動化など、従来とは異なる監査手法の導入も視野に入れた取り組みが求められています。

データガバナンス:AI生成データがもたらす新たな監査課題

データガバナンスも2026年の内部監査における重点領域であり、回答者の94%が計画に含めるとしています。AIシステムの利用が広がるにつれ、企業は生成データの分類、保管、削除といった基本的な管理フローの再構築に直面しています。特に生成AIが生み出すアウトプットは量が膨大で、かつ内容のばらつきが大きいため、従来のデータ管理ルールでは適切に対応しきれません。

また、各国政府がデータ主権や越境データ規制を強化する動きが相次ぐ中、データローカライゼーションへの対応も監査領域に組み込む必要があります。生成データに個人情報や技術情報が含まれる場合、誤分類や不十分な暗号化によって規制違反に発展するおそれもあります。

Gartnerは、組織がAIポリシーを明確化し、AI生成データの取り扱いに関する管理責任を明瞭化することを推奨しています。また、データ分類の自動化、アクセス権限の粒度管理、AIモデルのログ管理など、AI特有のリスクを織り込んだガバナンス枠組みが必要となります。内部監査は、こうしたデータ管理体制が適切に運用されているかを確認する役割を担うことになります。

規制対応:政策不確実性と倫理課題が監査の焦点に

規制対応は、2026年の監査計画において最も多くの企業が対象に含める領域であり、97%の企業が監査範囲に設定しています。背景には、政策環境の不透明さがあります。米国では現政権による規制緩和の動きが広がる一方で、企業は倫理的な行動基準や透明性を求められる圧力も強まっています。

経済状況の悪化や組織の再編が進む局面では、不正行為が発生しやすいとされています。従業員の情報持ち出し、第三者による不適切な契約行為、サプライヤーの不正など、業務プロセス全体でコンプライアンス違反のリスクが高まります。

内部監査は、企業文化や報告制度の成熟度を評価し、倫理規定が機能しているかを確認する必要があります。さらに、地域ごとに異なるAI規制やデータ規制を速やかに把握し、ガバナンス体制が整備されているかを点検することも求められます。政策の変化が急激であるため、規制情報の継続的な更新や外部専門家との連携が欠かせない状況が続いています。

今後の展望

AI普及と地政学リスクの高まりにより、企業が抱えるデジタルリスクはかつてない規模に拡大しています。2026年の内部監査は、従来型のチェックリスト方式では対応しきれず、監査プロセス自体の刷新が求められます。とりわけサイバーセキュリティやデータガバナンスは高度な専門性を要し、監査部門のスキル再編が重要となります。

今後は、AIを活用した監査の自動化や継続的モニタリングが主流となる可能性があります。リアルタイムでリスク兆候を検知する仕組みを導入することで、監査の網羅性を高め、急速に変化する技術リスクに対応できるようになります。また、第三者リスク管理やAIモデル管理の強化は、企業規模に関係なく求められる方向性です。

一方で、企業文化や倫理観に関わる問題はテクノロジーだけでは補えません。経営層と監査部門が連携し、透明性と説明責任を重視した経営基盤を整備することが求められています。政策環境の変化に備え、国際的な規制動向を常に把握し、柔軟にガバナンス体制を更新する姿勢も重要です。

内部監査が果たす役割は増大し続けており、企業は、監査部門の機能強化を通じてデジタル時代の信頼構築に取り組むことが求められています。

スクリーンショット 2025-11-29 5.06.33.png
※Google Geminiにて編集

林 雅之 2025/11/29 05:07:25 Comment(0)