3 min read

生成系AIと内部統制

生成系AIと内部統制

最近、大量のデータを扱っていて思うが、生成系AIがあると、内部統制という概念が変わる。

どういうことかというと、内部統制とは、簡単に言えば「金太郎飴を作ること」である。

金太郎飴は、どこを切っても同じ模様が出てくる飴だが、それをビジネスプロセスやITシステムに置き換えている概念が内部統制である。

同じインプットをしたら同じアウトプットが返ってくるように、プロセスをマネージするのが内部統制で、かなり旧来の製造業的な発想である。

例えば、社内の顧客データを特定の条件でフィルタリングしたら、同じ件数が出て同じレコードが表示されるのが、ITシステム的な内部統制の1つ。同じインプット(フィルタリング)を同じ集合体(顧客データ群、顧客レコード群)に対して実施すると、同じアウトプット(件数や表示されるレコード)が出力され、それはだれが操作しても同じものになる。

また例えば、経費について、一定金額の範囲のものは一定の職位の人しか決済や承認ができないしそれが承認されたり却下されたこと自体も履歴として見直せる状態にあることも、内部統制の1つ。

ただしこの「同じことをしたら同じ答えが返ってくる」ことは、生成系AIだと異なることとなる。同じプロンプトで訊いても、同じ文言で質問をしても、異なる表現だったり実質的に異なる答えが返ってくることがある。しかもそれは、次の瞬間に同じことをやっていてもである。

それでいて、生成系AIであるので、人間と同様、「なぜその答えを答えたのか」ということが、完全にはわからないこととなる。

目的論の立場をとって自分の現在の言動をすべて説明できると思い込んでいる人間、一生懸命に説明可能性に置き換えて完全を目指す人間もいるが、勘違いも甚だしい。

これは(旧来型の)内部統制の門番からすると危機的状況である。

なぜならプロセスを完全かそれに近くマネジメントすることを前提としている内部統制が、プロセスを理解できていない部分があり、もっと言えばプロセスの中身についてほとんど何もわかってない状況になるからである。同じインプットを現時点と1秒後にしても、異なる人が同じインプットを同時に行っても、回答が微妙に異なることなり、その原因がわからない状態に陥る。

この「プロセスマネジメント危機」、もっと正確に言うと、「プロセスわかった気になってるけどわからん危機」が到来している。

正確に言うと、金太郎飴の発想の内部統制は、制御可能性のあるものを前提としていると同時に、制御可能な範囲しか見たい場面も多々あり、また制御可能な範囲を見誤っていることも多々あるので、本来は完全かそれに近いプロセスマネジメントは成立し得ないのであるが、その成立し得ない度合いをかなり拡張する概念やツールが生成系AIである。

そこに乗っかって面白がって付き合えるプロセスマネージャーなのか、面食らって思考停止で終わる旧プロセスマネージャーなのかはかなり分かれてくるなと感じるし、先日に記事にしたような「重箱の隅をつついてリスクが云々」しかできない人は、旧来型の内部統制が重要な環境にポジションを変えたほうが良いのではと思う。リスクは小さくてもマイナスのペイオフが発生したときにマイナスの影響がとんでもなく大きい領域、例えば原発の会社などである。

逆に、答えが一定ではないしプロセスもカオスの中にあることを受け入れて面白がって付き合える、広義のクリエイティビティを発揮することが重要な環境においては、重箱の隅をつつくだけ系の人がいると全員のQOLもROIも下がり、本来の「変動性に身を晒す」ことによる耐久性や成長を阻害してしまうこととなる可能性がある。(詳しくはニコラス・タレブ氏の『反脆弱性』を読んでほしい。)

プロセス設計・実装のヲタク、カオス好きの自分としては楽しみでしょうがない。本来のカオスから、色々な指標やITツールを通じた可視化を通じた「世の中が理解できている感」や「全能感」が勘違いであることを強制的にぶり返しつつも、そのカオスのなかでまたプロセスをリビルドできる絶好の機会である。