監査業務におけるAIへの対応と活用事例

Ⅰ はじめに

EY新日本有限責任監査法人（以下、EY新日本）では毎年、「監査品質に関する報告書」^※1の中でAIを含む最先端のテクノロジーを活用した監査業務の変革について掲載しています。『情報センサー』では2024年12月より、各取組みの最新状況を解説しています。

第3回となる本稿では、監査業務におけるAIへの対応と活用事例に関して説明します。生成AIをはじめとしたAIの利用が拡大する中で、EY新日本がAssurance 4.0を推進する上でAIをどのように活用しているのか、AIのリスクにどのように対応しているのか、AIの活用が顧客である監査クライアントにどのような付加価値をもたらすのかについて解説します。

近年、生成AIをはじめとするAIの利用が広まっており、企業においても業務効率化や生産性の向上という視点から企業価値創出という視点まで幅広い観点でその活用が始まっています。EYの調査^※2によると、89%のCEOがAIを活用した重要な投資を行った、あるいは向こう1年間で行う予定であると答えています。利用の使途はさまざまであり、意思決定のためのデータの分析・推定・予測や自動処理、生成AIを用いたソフトウェア開発などがよく挙げられます。経理財務部門での活用の検討も始まっており、会計基準や各社の会計方針の調査・要約、将来予測・計画、データの照合を含む決算処理の自動化、買掛金処理の自動化、売上や財務パフォーマンスの傾向分析の自動化、経営者による財政状態及び経営成績の検討と分析の記述の自動化などの検討が挙げられます。

※1　EY新日本有限責任監査法人　監査品質に関する報告書

※2　EY調査、CEOは人工知能（AI）の可能性を確信する一方、その社会的、倫理的、セキュリティ上のリスクを懸念

Ⅱ AIを活用して財務報告を作成した場合の監査対応

財務報告プロセスにAIを活用した場合についてどのように監査を行うのか、EYではグローバルレベルでその方法論の策定を行い、AIアシュアランスフレームワークとしてEYのプロフェッショナル向けにリリース^※3しました。企業ではAIを用いないITシステムによる自動化・効率化や、統計モデルを用いた見積りについては従前から行われており、財務報告の信頼性を確保するために情報システムに対する内部統制（IT統制）が構築、運用されています。AIを用いたシステムであっても情報システムであることに変わりはないため、監査においてもITに係る業務処理統制（ITAC）やITに係る全般統制（ITGC）といった内部統制が整備、運用されていることを評価することになります。

一方で伝統的な機械学習や、生成AIを含む多くのAIは学習データに基づき数理モデルによる推論を行うという性質上、その回答や出力は確率的なものであり、常に正確であるとは保証されません。以下のように、さまざまな原因でAIを用いた結果が本来の目的に沿わないものとなるリスクがあります。

① 推論を行う実際のデータが学習データと乖離（かいり）している
② データの処理や管理が適切ではない
③ 数理モデルがインプットとアウトプットを適切に表現できていない
④ 学習方法が適切ではない
⑤ モデルやアルゴリズムの検証がなされていない
⑥ データ間の関係性が時間を経て変化してしまいモデルが劣化している
⑦ AIの推論が目的適合的に利用されていない

EYのAIアシュアランスフレームワークは9つのAI原則、4つのリスクカテゴリー、3つのガバナンス領域にわたりAIのリスクを評価し、内部統制の構築に資するものとして、信頼のできるAIと堅固なガバナンスのためのガイドラインとなっています（＜図1＞参照）。これを用いることで監査においてもAIの利用がビジネス戦略やビジネスモデルにおいてどう位置付けられているかを理解し、財務報告プロセスにおいてAIの利用から重要な虚偽表示が生じるリスクを識別し、このリスクに対応する内部統制の評価に役立てることができます。

AIアシュアランスフレームワークだけでなく、監査や保証のためのケイパビリティの強化についても取組みを進めています。EYではグローバルレベルで組織の再編があり、日本においても2024年7月1日にIT （テクノロジーリスク）プロフェッショナル500名がコンサルティング会社から監査法人に加わりました。これまでAIを活用した分析ツールの設計、開発、展開などを行っていた部署（AIラボ）との連携を強化することで、AIを含むIT監査の体制を強化し、今後より活用が進むと考えられる財務報告プロセスにおけるAIを活用した監査へ備えています（＜図2＞参照）。

当然ITプロフェッショナルだけでなく、監査・保証業務に従事する会計士もクライアントの財務・非財務報告におけるAI活用に対応し、ビジネス戦略やビジネスモデルに照らしたAIの位置付けの理解やそのリスクの識別、リスクに対応するガバナンスや内部統制についてITプロフェッショナルとともにクライアントと議論ができるよう、必要な素養を身に付ける必要があります。さらに加えて、膨大なデータに向き合い、監査の品質を高めてクライアントにインサイトを提供するために監査人はAIや統計的な知見を活用し、膨大なデータからパターンを識別して異常を見抜くためのデータ分析のリテラシーも必要となります。このようなリテラシーを高め、来るべきAI時代に対応できる人材を育成するための教育プログラムの整備・運用についても取り組んでいます。

※3　EY、新たなアシュアランステクノロジーのケイパビリティ導入により信頼と信用を強化

Ⅲ 財務報告にとどまらないAIへの信頼付与

EYでは財務諸表監査業務で培った保証業務のノウハウを生かし、財務報告プロセスにおけるAIの利用に限らず、企業におけるAIのガバナンスの構築支援や独立第三者の立場からのAIマネジメントシステムの認証に取り組んでいます。 

最新のEYの調査によると、生成AIにおける最も重要な優先事項として46%の企業がリスクを緩和するためのデータガバナンスを挙げている^※4など、AIの利用の広がりに伴いリスク管理に対する意識が高まっています。大規模言語モデルを用いた生成AIにより流ちょうな表現で人間とコミュニケーションを取れるようになったことから、その悪用のリスクについても従来の伝統的な機械学習や自然言語処理の利用と比して各段に高くなっています。もっともらしく虚偽の情報を伝えるハルシネーションと呼ばれる現象はよく知られるところですが、それだけでなく、意図的な偽情報や誤情報の発信や不当な偏見及び差別を助長するような出力により個人の権利・利益に重大な影響を及ぼしたり、社会を不安定化、混乱させたりするようなリスクも指摘されています。2024年4月に経済産業省及び総務省より公表された「AI事業者ガイドライン（第1.0版）」^※5にはAIの開発や利用における基本的な理念や原則等が示されています。その中で、開発者、提供者、利用者いずれかの形でAIの事業活動を担う事業者はAI 活用に伴う社会的リスクの低減を図るべく、安全性・公平性といった価値を確保し、個人情報の不適正な利用等の防止をはじめとするプライバシー保護やAIシステムの脆弱（ぜいじゃく）性等による可用性の低下及び外部からの攻撃といったリスクに対応するセキュリティ確保を行うことが求められています。これらを実現するために、システムの検証可能性を確保しながらステークホルダーに対する適切な情報を提供することにより透明性を向上させ、アカウンタビリティを果たすことがうたわれています。

EY新日本ではクライアントが経営ビジョンや事業戦略に基づきAIを有効に利活用するためにAI事業者ガイドラインや憲法、知的財産関連法令及び個人情報保護法をはじめとする関連法令、AIに係る個別分野の既存法令等を遵守し、適切にリスクを管理するためのガバナンスの構築の支援を行い、社会におけるAIへの信頼向上に取り組んでいます。特にAIサービスの開発者・提供者・利用者のニーズを踏まえ、AI事業者ガイドラインを用いたAIガバナンスの第三者評価サービスも開始しました^※6。

さらに、EYではこれまでも独立第三者の立場からSOCレポート、ISMAP、ISMS認証などの提供を通じ、ITシステムの内部統制の有効性の保証やセキュリティレベルの評価、情報セキュリティマネジメントシステムの認証を行ってきました。今後AIがITシステムに組み込まれ活用される中で、AIに対する保証、評価、認証のための基準整備も進むと考えられます。ISOにおいてはAIマネジメントシステムについての規格がISO42001^※7として公表されており、各国でISO認証機関が認証業務の開始に向けて、準備を進めています。EYではグローバルなISO認証機関であるEY CertifyPoint^※8が認証業務やトレーニング業務の提供に向けて準備を進めています。

※4　最新テクノロジーの導入により変革を実現するには

※5　経済産業省「『AI事業者ガイドライン（第1.0版）』を取りまとめました」www.meti.go.jp/press/2024/04/20240419004/20240419004.html（2025年1月31日アクセス）

※6　AI 事業者ガイドラインを用いた AI ガバナンスの第三者評価サービス

※7　経済産業省「AIマネジメントシステムの国際規格が発行されました」www.meti.go.jp/press/2023/01/20240115001/20240115001.html（2025年1月31日アクセス）

※8　ISOマネジメントシステム認証、導入およびトレーニング

Ⅳ 監査におけるAIの活用事例

EY新日本では2016年にAI活用事例である有価証券報告書を用いた不正会計予測モデルの導入^※9に始まり、AIを用いてリスクのある通例でないパターンを識別するさまざまなツールをこれまでに開発、展開しています。具体的には特許を取得した仕訳の異常検知、長期請負工事などの進捗（しんちょく）度の異常検知、小売業の店舗などの拠点損益の異常検知、子会社財務諸表の異常検知、金融機関の自己査定における債務者区分の異常検知、業務フローの記録（イベントログ）の異常検知など、分析の対象もさまざまな財務データ、非財務データにわたっています。2024年決算監査においては約350社で利用され、42社のKAMにこれらのツールを用いた分析を行っている旨が記載されています。

生成AIについても日本を含むEYのグローバルネットワーク全体でそれぞれ開発が進められています。EYのナレッジデータベースと連携し会計監査に関する専門的なトピックの検索や要約を行うものや、財務諸表開示のチェックをサポートするものが展開予定となっています。日本では監査の計画段階において不正リスクシナリオの検討に当たり、過去の不正事例調査に役立つ第三者委員会調査報告書のデータベースやそのデータベースに基づく壁打ちのためのBot、監査法人内の各種規程や手続きに関する情報にいち早く到達するための社内マニュアルBotなど多岐にわたります。この実現に当たっては参照元となる情報や問い合わせ内容といったテキスト情報を分割し大規模言語モデル(Large Language Model, LLM)によりベクトル化するEmbedding^※10と呼ばれる技術と、参照元となる情報の中で問い合わせ内容と類似しているものを検索し、該当する情報を用いて生成AIにより回答を生成するRAG (Retrieval Augmented Generation)と呼ばれる技術を活用しています。こういった処理に当たってはパートナーシップを結ぶMicrosoftのAzure上で提供されるAPI^※11を利用しており、プロンプトや回答が流出せず、またLLMの学習に使われないように環境が整備されています。

このほか、企業の情報開示はサステナビリティ開示やインパクト加重会計^※12など広がりを見せており、こういった財務・非財務の膨大なデータに対する新しい異常検知についても開発を進めています。衛星からの画像データなどの従来扱うのが難しかった非財務データについても近年利用が広まるマルチモーダルAI（数値・テキスト情報だけでなく画像などさまざまな情報形態を学習させることで人間の思考プロセスに近いAI）を利用することで活用が容易となっており、今後より一層の分析能力の向上を見込んでいます。

※9　不正会計予測モデルを用いた監査の品質管理の強化について

※10　テキスト情報はそのままでは数値計算ができないため、単語や文字の出現の可能性を表すモデルに基づいて文字、単語、文章などのテキストデータを数値の羅列（ベクトル）に変換することが必要となり、この変換のことをEmbeddingと呼ぶ。

※11　Application Programming Interfaceの略、複数のプログラムや機能が情報連携するための仕様。

※12　EY Japan、インパクト加重会計による非財務取組みのインパクト可視化のアドバイザリーサービスを本格化

V 監査法人におけるAIガバナンス体制の構築

EY新日本では監査におけるAIの活用を進めるに当たり、監査法人自身のAIガバナンス態勢についても構築・整備の検討を進めています。EYが公表している「責任あるAIの原則」^※13を遵守するとともに、2024年7月より合流したテクノロジーリスクのプロフェッショナルと協働し、AI事業者ガイドラインなど国内外の法令・ガイドラインに基づき、 AIガバナンス態勢の強化^※14を進めています。

2023年12月に世界初のAIマネジメントシステムの国際規格として発行されたISO42001についても対応を進めています。認証機関の要件についての規格ISO42006^※15が現在策定中であるため、この状況を見極めながら公式審査に向けて準備を進めています。

※13　倫理的かつ責任あるAIの原則へのEYの取り組み

※14　EY新日本、信頼と信用を基盤にAI活用を推進する体制を強化し、 デジタル監査・保証ビジネスを拡充

※15　ISO/IEC DIS 42006 - Information technology — Artificial intelligence — Requirements for bodies providing audit and certification of artificial intelligence management systems, iso.org/standard/44546.html（2025年1月31日アクセス）

Ⅵ おわりに

EY新日本ではこれまで、2016年にAIラボを設置して、日本で開発したAI監査ツールの特許取得やグローバル展開を積極的に進めてきました。また、2020年に専門人材を集結したアシュアランスイノベーション本部を設置し、3つの重点領域を定めて監査業務変革を4年間進めてきました。

クライアントの財務報告プロセスにAIを利用するケースが増えることが予想される中で、EY新日本はこれからも独立した第三者の立場から保証業務としてクライアントに対応し、AIガバナンスや内部統制の評価を行います。さらにEY新日本の6,000名を超えるアシュアランスプロフェッショナルがAIを活用し、財務・非財務のデータ分析能力を飛躍的に高めることで監査や保証の品質を向上させ、またクライアントへのインサイトの提供などより付加価値の高いものとしていく所存です。

AIの活用によりプロフェッショナルの生産性も高めることでウェルビーイングの向上を目指すとともに、サステナビリティなど含めた企業の情報開示が広がる中で、膨大なデータに向き合い第三者の立場から信頼（トラスト）と自信（コンフィデンス）を社会に提供し、社会における不正会計やグリーンウォッシングなどの懸念に応えていくことをも目指します。
 

注：『青山アカウンティング・レビュー 第14号』（青山学院大学大学院会計プロフェッション研究センター　2024年11月15日発行）92ページ～96ページ掲載原稿を一部編集の上、掲載しています。

会計プロフェッション研究センター - GSPA＜青山学院大学大学院　会計プロフェッション研究科＞
www.gspa.aoyama.ac.jp/research_institute/center.html