AIを活用した監査リスク管理の事例

はじめに

近年における企業環境の急速な変化は、さまざまな監査上のリスクを生じさせており、監査を取り巻くステークホルダーによる監査品質への期待も高まっています。また、新型コロナウイルス感染症(COVID-19)の影響でリモート監査が余儀なくされている状況や、企業のデジタルトランスフォーメーション(DX)の進展と、BI(Business Intelligence)およびETL(Extract、Transform、Load)ツールの普及によるIT環境の整備も後押しとなり、これまでの伝統的な監査手法からデータアナリティクスを用いた新たな監査手法、特にAIの活用について検討を始める企業が増加しています。AIを用いた監査手法の研究開発も進み、実際に業務への適用まで進んだ事例も出始めています。

本稿では、最近の事例をもとに各手法の目的や対象データを整理し、監査実務への適用上の留意点を解説します。

1 AIを活用した監査におけるリスク管理の事例の分類

AIを活用した監査におけるリスク管理の事例は、分析対象とするデータの粒度によって、おおむね取引単位(ミクロレベル)と会社・事業拠点等での集約単位(マクロレベル)に分類できます。また、分析対象データに応じて異なる目的の分析があり、具体的には図表1のとおりです。

AIを活用する手法として、広義ではルールベースによるアプローチと、狭義では機械学習のアプローチがあります。本稿では広義の意味で捉え、両アプローチを対象とします。

図表1:AIを活用した監査におけるリスク管理の分析対象データの分類

評価レベル 分析対象データ 主な目的
取引単位(ミクロ) GL(General Ledger)、仕訳
  • 取引レベルで不正や誤謬のリスクの高いサンプルの抽出
  • 事業拠点・業務プロセスのリスク評価
  • 継続モニタリング・継続監査の導入
SL(Subledger)、販売、購買、経費、在庫データ等
会社、事業拠点、勘定科目単位(マクロ) 子会社等の連結パッケージ、BS/PL等の非公表データ
  • 事業拠点ごとのリスク評価
  • 監査対象拠点や重点監査項目の選定
有価証券報告書、決算短信等の公表財務・非財務データ
  • 被監査会社の不正リスク評価
  • 新規取引先の受け入れ、投資先の選定
その他 従業員、取引先等との電子メール、チャット等の非構造化データ
  • 不正、法令違反、ハラスメント等の早期発見と早期対応による被害の拡大防止、発生因子の抑制等

出所:筆者作成

2 監査のリスク管理におけるAI活用の2つの効果

監査におけるAIの活用事例の多くは、主に(1)監査人の工数の削減と、(2)監査人が容易に気づくことのできない知見の獲得を目的としています。

(1)監査人の工数の削減

監査人が一定のルールに基づき監査対象データを収集、加工、突合し、判断を繰り返している場合には、AIの利用により監査人の作業を半自動化し、工数を削減する余地があります。監査人の工数を削減することで、さらに高度な分析や判断に集中することが可能になります。このため、限られた監査資源がさらに活用され、間接的に監査品質の向上に役立つでしょう。実務的にも、導入効果が得やすいため、監査DXの中で最初に自動化に取り組む企業が多いようです。具体的な事例を1つ紹介しましょう。

事例1:立替経費の摘要欄のクラスタリングによる監査の効率化

監査対象部門の従業員の立替経費の精算について、監査人がその立替経費明細データを入手し、リスクの高い取引を抽出して詳細な検証を実施しています。その際、自然言語処理と機械学習を用いて、明細データの摘要欄に含まれるキーワードの組み合わせを抽出して類似取引を集約し、監査人がそのキーワードの組み合わせの内容をもとにリスクの低いグループを検証対象外と判断します。特に海外拠点の監査では、明細データの摘要欄が現地の言語で記載されている場合が多く、当該手法の導入により翻訳の手間が削減され、効率化されています。

(2)監査人が容易に気づくことのできない知見の獲得

監査人が容易に気づくことのできない知見の獲得を目的としたAIの活用には、経験豊富な監査人の暗黙知を形式知化する①ルールベースによるアプローチと、監査人が予期できない、または、人間の認識力を超えた判断を目的とした②機械学習・異常検知によるアプローチの2つがあります。

① ルールベースによるアプローチ

監査人の経験値はさまざまであり、実務上、監査の属人性により品質のばらつきが課題となります。この課題に対処するため、監査人の経験や勘など言語化されていない暗黙知をルールとして形式知化し、監査対象とする取引等の抽出、リスク評価を行うというルールベースの取り組みがあります。近年では、データを直感的に抽出、加工、格納できるETLツールの普及により、このようなルールベースによる分析手法の導入が容易になっています。当該手法の適用事例を踏まえた実務上のメリット・デメリットは図表2のとおりです。また、ルールベースのアプローチの具体的な事例も1つ紹介します。

事例2:購買取引データから想定リスクの高い取引を抽出し、事業部ごとのリスク評価をする

詳細については図表3を参照してください。

図表2:ルールベースによる分析アプローチの実務適用上のメリット・デメリット

メリット デメリット
  1. 経験豊富な監査人の知見や過去の不正事例に基づく効果的なルールを全量データに適用し、監査品質を大きく向上可能
  2. 分析結果の属人性の排除
  3. ETL/BIツール等を利用した実装が容易かつ自動化や横展開が可能
  4. ルール自体や検出理由が明確であり、監査対象部門やマネジメントへの説明が容易
  5. 取引レベルでリスクを数値化し、集計・可視化することで監査計画や監査報告にも利用可能
  1. 想定リスクの識別や適用ルールの策定に監査人の豊富な知見が必要
  2. 業務やシステム上のデータに見識のあるビジネスアナリストの協力が必要
  3. ルール自体の有効性の評価が困難
  4. 監査人が予期せぬリスクには対応が困難
  5. 入手可能なデータ次第で実装可能なルールに制約あり
  6. 検出取引が大量となる可能性

出所:筆者作成

出所:筆者作成

② 予期しない、または、人間の認識力の限界を超えた判断(機械学習・異常検知によるアプローチ)

ルールベースによるアプローチでは、経験豊富な監査人が予期し得ないリスクには対応が困難になるというデメリットがあります。また、監査人は人間であるため、集中力や時間に制約があり、通常の監査対象となる多次元データの認知が困難であるという特性もあります。これらの課題には、機械学習と異常検知を用いたアプローチが有効であり、適用事例を踏まえた実務上のメリット・デメリットは図表4のとおりです。加えて、異常検知の技術を仕訳データに適用した事例と、企業グループ全体レベルで子会社の分析に機械学習を活用した事例を紹介します。

図表4:機械学習および異常検知を利用したメリット・デメリット

メリット デメリット
  1. ルールベースでは対応が困難な監査人の予期し得ないリスクにも対応可能
  2. 分析結果の属人性の排除
  3. 経験豊富な監査人でも分析が困難な多次元データにも対応可能
  4. 学習データの蓄積で検出力の向上も可能
  1. 検出データが大量となる可能性あり
  2. AIのブラックボックス化により検出理由の理解が困難な場合があり、監査対象部門やマネジメントの理解が得難い
  3. 高性能マシン環境や運用保守コストを要する

出所:筆者作成

事例3:仕訳データにおける異常検知

仕訳データの異常検知は、会計監査を中心に研究開発が行われており、監査実務への適用も進んでいます(図表5)。具体的な手法の例として、仕訳が有する標準的なデータ項目(計上日、勘定科目、金額、起票日、起票者、承認者など)や、仕訳パターン(仕訳の借方・貸方勘定科目の組み合わせ)といった、さまざまな切り口で見た他の仕訳との乖離状況から外れ値を検出するものがあります。異常と判定された仕訳は不正または誤謬のリスクが高く、その異常度の大きさは異常スコアとして算定できるため、スコアの高いものから追加の検証をするなど効率的かつ効果的な監査の実施が可能となります。

出所:筆者作成

事例4:不正予測モデルと裁量的発生高による子会社リスク評価

上場企業の有価証券報告書の訂正報告書や証券取引等監視委員会から課徴金納付命令の勧告がなされた事例をもとに、XBRLや市販の上場/非上場企業の財務データ・指標などから企業の不正リスクを機械学習で予測する取り組みがあります。また、現金収入の裏づけがないため企業の質の低い利益とされる営業キャッシュフローと会計上の利益との差のうち、経営者が利益調整を目的として裁量で計上した額(以下、裁量的発生高)を監査上の1つのリスクと見なし、他社の財務諸表の数値間の関係性から機械学習で予測するリスク評価の取り組みがあります。上記の不正リスクスコアや裁量的発生高を用いた企業レベルでのリスク評価は、子会社の連結パッケージにも適用し、子会社間や時系列、業界平均等と比較することで、リスクの高い監査対象拠点や重点監査項目の選定に利用されています(図表6)。

出所:筆者作成

3 おわりに

本稿で解説してきたAI活用のためのルールベースと機械学習のアプローチにはそれぞれメリットとデメリットがあり、特に検証対象となる取引が大量に検出される可能性がある点は実務適用上の課題と言えるでしょう。監査人がフォローアップ可能な件数まで対象を絞り込むためには、より有効なルールを作成するだけでなく、両手法を組み合わせて監査対象のリスクを評価し、かつBIツール等を用いた全量データの可視化と監査人による探索的なデータ分析の実施が効果的です。そのためには、BIツール等を使った監査人のデータ分析スキルの向上だけでなく、監査対象のビジネス、システム、データ、業務プロセスの深い理解が重要です。


執筆者

PwCあらた有限責任監査法人
ガバナンス・リスク・コンプライアンス・アドバイザリー部
シニアマネージャー 吉澤 豪