EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
会計分野においても、不正リスク対応に係るデータアナリティクス(DA)が、不正調査のみならす、昨今の会計監査や企業の不正リスクモ二タリングにも活かされている。これらの経験を踏まえ、本稿では、企業のDAを活用した不正リスクモ二タリングの実例や導人にあたっての実務上の留意点、今後の展望について論ずる。
EY Japan Forensic&Integrity Services Leader
※所属・役職は記事公開当時のものです。
※この記事は、「企業会計10月号」(中央経済社、P45~52)の寄稿記事を掲載したものです。
米国でコンピュータが導入されたのは1954年のこと(1)であり、コンピュータを利用した監査に関する最初の書籍は1961年に出版された(2)。その後、1970年代以降、パーソナルコンピュータの普及により電子データ処理が容易になり、CAAT(Computer Assisted Audit Techniques :コンピュータ利用監査技法)の利用が大きく進み、現在に至っている。一方、日本企業の会計不正はここ数年で増加の一途をたどり、特に海外を含むグループ会社の不正も増加し、グルーブガバナンスの強化が経営課題の1つとなっている。企業の不祥事の状況を踏まえ、重大な不正発見に関する監査法人に対する社会からの期待が高まっているが、複雑化する会計不正に対して、従来型のCAATは必ずしも十分なものとはいえなかった。このような背景を踏まえ、会計の分野においても、テクノロジーの進化とともに、より効果的なデータアナリティクス(以下「DA」という。) を活用した不正リスクへの対応が求められている。
筆者も会計監査において1990年代からデータベースソフトを使って会計データから異常取引を抽出していたが、最近では、第三者委員会などの不正調査においてBI (Business Intelligence)ツールやAI(Artificial Intelligence)を用いたDAを活用しており、その知見は、昨今の会計監査のDXや企業の不正リスク対応にも活かされている。不正を発見・予防することは本当に難しいことであるが、 DXの進展はすべてを解決するものではないにせよ、大きな一歩をもたらすものと考える。以上の経験を踏まえ、本稿では、企業のDAを活用した不正リスクモニタリングの実例や導入にあたっての実務上の留意点、今後の展望について論ずることとしたい。
図表1 異常値と不適切会計・不正の関係
そもそも、「不正」というのは、意図的に虚偽の処理を行うことをいうのであって、虚偽の処理を誤って行う場合は「誤謬」ということになる。したがって、虚偽の処理をもって直ちに「不正」と断ずるのは避けるべきである。
本稿では、「不正」と「誤謬」を包含して「不適切な会計処理」と称することとするが、DAで検出できるのは、財務情報の推移や相関関係等から異常と思われるもの(異常値)であって、必ずしも「不適切な会計処理」であるとは限らない。すなわち、経済実態を伴った異常値であることは十分に考えられ、事実、実務において検出された異常値のほとんどはこれに該当する。これを図で表すと図表1のようになる。したがって、通常、不正リスク対応におけるDAは異常点の検出にとどまることに留意が必要である。これは検出された異常点の内容を確かめないと、モニタリングが完結しないことを意味する。
(1) マクロアプローチとミクロアプローチ
企業会計においてDAを活用したモニタリングを行うにあたり、その対象となるデータはどのようなものがあるか。これらは大きくマクロアプローチとミクロアプローチにより大別される。
マクロアプローチは、ある会計期間(たとえば年次、四半期、月次)の財務諸表(貸借対照表や損益計算書、キャッシュフロー計算書など)の推移分析である。
一方、ミクロアプローチは、一定期間における仕訳データやその上流である売上や購買といった取引ベースのデータ、在庫の明細データなどを分析し、異常な取引・資産を抽出するというものである。
これらのアプローチは、モニタリングの目的やアナリティクスに期待する効果から使い分けされるものである。
(2) データの入手と理解
対象となるデータによって、DAの実施可能性も大きく変わってくる。たとえば、月次や四半期の財務諸表のデータであれば、連結決算用のパッケージデータや月次の合計残高試算表を用いることで、容易に入手することが可能である。
一方、総勘定元帳や補助元帳のデータとなると、わざわざ会計システムからエクスポートする必要がある。これが国内本社だけであれば、データの人手はIT部門との協議を行えば比較的容易に行うことができようが、海外子会社のデータとなると一苦労である。さらに、後述のとおり、グループ各社によって会計システムがバラバラということになると、取引データの内どのカラムが何の情報なのか、日付情報1つとっても取引日、データ処理日など様々な情報が人力されているので、カラムの情報内容を1つひとつ定義して理解しないと正しい分析ができないため、その労力は相当なものとなる。
これらのデータの人手の困難さやデータの内容の把握は、DAを行ううえで、実務上、大変重要な問題となる。 DA を実施する際の時間のほとんどが実はこのデータ入手やデータの理解にかかることは、意外と世の中で知られていない。
(1) Lookback方式
次に間題となるのが、DAの適時性である。現在、一般的にDAとして用いられている方法は、過去の一定期間のデータを収集して分析する方式(本稿では「Lookback 方式」と称することとする)である。
Lookback方式によるDAは、対象となるデータを取り出し、データ分析を行うため、リアルタイムに分析を行うことはできず、過去の結果を分析するにとどまる。したがって、たとえば、贈賄リスクを考慮してある役務取引の妥当性を事前に検討する際に、過去の部門や取引先、取引国などのデータ分析の結果と同期させるような、取引の意思決定に役立てようとする場合には、Lookback方式では限界がある。
一方、Lookback方式は分析のためのシステムプログラムが比較的容易に行えることから導入しやすく、追加で様々な分析を加えることも容易にできることから、現在実務上のほとんどのDAはこの方式となっている。
(2) Continuous Auditing
取引をリアルタイムで分析し、異常値をアラートとして検出するのがContinuous Auditing(以下「CA」という。) であり、従来型のCAAT(前述のLookback方式)では不可能なリアルタイムかつ自動的に問題点を把握できる点がメリット(3)として挙げられている。
現在、この実現に向けて検討が行われているところであるが、事前の設定にコストがかかる点や、プログラムの更新を弾力的に実施できない等、実務上、導入に向けて課題は山積している。将来的にはCAは主流になるかもしれないが、まずはLookback方式で異常点を適切に把握できるようになることから始めるべきであろう。また、ツールの完成度がまだ発展段階にあるなかで、これらに大きく依存するという形がモニタリングとして十分かという問題もあるが、これについてはⅡ2において後述する。
(1) グループ会社の粉飾リスクに対するモニタリング
グループ子会社における粉飾会計などの不適切会計を検出するための方法として、四半期ごとの連結パッケージデータを分析して、複数の不正シナリオに基づく異常な会計数値の変動を早期に検出する事例がある。
これは、規模が小さく、財務的重要性がないグループ会社においても、知らないうちに不適切な会計処理が行われ、累積で連結グループの重要性を超える規模となった結果、過年度訂正処理が必要となった事例もあり、こうした重要性のないグループ会社に対するモニタリングの方法としては有効なアプローチの1つである。
また、マクロアプローチにより検出された異常点の内容を検証するために、各子会社から取引データを取り寄せ、これをミクロアプローチにより分析して、異常取引の有無を検証するというモニタリングを行っている事例も見られる。
(2) 架空経費等に対するモニタリング
昨今、海外子会社において経営陣・従業員による架空請求や利益相反取引などの不祥事が発生していることに加え、コロナ禍により本社から往査によるモニタリングが困難となっていることも相まって、子会社の経費や購買取引データを分析して、架空請求や利益相反取引のリスクの高い取引を抽出して内容を検証するというモニタリングを行う企業が増えてきている。
具体的には、各子会社の数年分の会計データ(試算表、販管費データ、買掛金データ)を分析し、以下のようなリスクの高い取引を抽出し、取引の実在性や妥当性を検討するというものである。
実際に、このようなモニタリングで不正が検出されるケースも見られるところである。
(1) グループ会社における会計システムの統一
「日本企業のグループ会社は異なる会計システムを使っている」ということは、以前からよく耳にしていたが、これはグループ会社へのDAを推進するうえでは大きな障害の1つとなる。グループ会社ごとに会計システムが異なると、収集するデータのフォーマットが異なるため、それぞれデータ収集のプログラム化を図る必要があり、DAの導入を妨げる大きな要因となっている。したがって、同一のERP会計システムをグループ全体に導入する動きは多くの企業で対応が始まっているところである。
(2) 会計システム統一のその先
仮にこれらの問題が同一のERPシステムの導入により解決したとしても、今度は入力されているデータのレベルが必ずしもグループ会社間で整合していないため、分析結果に影響を及ほしてしまう場合がある。DAによるグループ会社のモニタリングを行ってみると、異常な取引の検出のみならず、各社で入力されているデータの精度やルールがバラバラになっていることがクローズアップされることが多い。たとえば、摘要欄については、記載内容のキーワードを活用した分析が異常取引の抽出において有効な方法の1つと考えられるが、各社もしくは担当者ごとに記載のレベルの相違や記載がない場合が多く見られると、そのような分析の有効性は大きく損なわれることとなる。したがって、モニタリングにおいてどのような分析を行うかも想定のうえ、グループ内のアカウンティング・ポリシーや仕訳入力における記載情報のルールを定めて運用させる必要がある。
(3) データ処理プロセス
また、データ処理プロセスをどのように行うかによっても取引データの内容が大きく異なることがある。たとえば、経費を支払先別に分析しようとしても、購買モジュールを通して支払ったものであれば、未払計上を通じて支払先が区分できる一方、購買モジュールを通さずに預金から支払って経費計上と預金の減少の会計仕訳だけで処理している場合、経費と支払先を紐付けることが困難となる。
このようなデータ処理プロセスの違いは、会社においてどのような経費や購買処理においてどう適用するか定義すべきであるが、海外子会社においては、業務処理の煩雑性から、必ずしもこの徹底がなされていない。そのため、DAにおいて、支払先別の経費を集計しようとしても、支払先の情報がブランクとなって分析ができなくなることが生じることがある。
(1) 分析ツールは万能か
「DAを活用した不正モニタリング」と聞くと、多くの方はボタン1つで不正が検知できると思うかもしれないが、実務はそう簡単ではない。また、仮にボタン1つで検知できるとして、果たしてそれはモニタリングとして本当に有効なのであろうか。
DAを活用したモニタリングについて、よく車の運転に例えて説明しているが、運転手は、車の速度やエンジンの回転音、社内外の音、窓からの景色など、五感で感じたこれらの情報を総合的に判断して、ハンドルを操作し、アクセル・ブレーキの強弱を使い分けて車を進めている。これはDAによって検出された様々な情報の取扱いと類似していると考えられ、モニタリング担当者も、複数の情報を総合的に判断して異常値を検出している。
さて、車も、クラッチやギア変速を運転者が操作しなければならなかったマニュアル車はとうの昔にオートマチック車にとって代わられ、今や、自動運伝の車も開発され、商用化される時代となった。では、会計に係るDAツールも自動運転車のようなものが存在するのであろうか。実際にプログラムを行って企業に提供すると、思いのほかデータ分析の結果を読み取るのが難しいことに気がつく。すなわち、エッジを効かせた分析を行おうとすると、考慮すべき情報が多くなり、車を運転する際の熟練のドライバーのような人材が必要となるというわけである。車の世界では、より簡単に安全に運転できるように多額の研究開発コストがかけられ、オートマチック車が上市され、現在では運転自体もAIが人に代ろうとしている時代であるのに比べると、不正リスクモニタリングのDAツールは、自動運転車はおろかオートマチック車ともいいがたいというのが実情である。
しかし、仮にAIで異常値が適切に検知されるようなものになったとしても問題は残るであろう。すなわち、なぜその異常が検知されたのか、ブラックボックスになってしまい、それを検証しようとしても、原因がわからないということである。また、他にも見落としがないか検討しようとしても、同様にブラックボックスとなっており、心証を得にくいという問題も生じる。
以上のように、不正リスクモニタリングの分野においては、完全な自動運転が実現するという状況はまだまだ先の話のようであるから、的確に運転をこなせる人材、すなわち、データを読み取る力を持つ人材をいかに確保できるかが、企業の真のモニタリング体制を強化するうえで重要となる。目の前の現実世界においては、分析ツールはまだまだ万能ではないのである。
(2) AIの活用について
DAにおけるAIの活用は、多くの企業の関心が高いところであり、世の中がこれに大きな期待を寄せている。一方で、AIには過度な期待がかかっており、AIが検出したものだけで済むかというと、現状での答えはNOである。
残念ながら、今の技術では、少なくとも会計分野においてAIが人間と同じように不正の判別を独自に行うことは期待できない。会計不正はいろいろなパターンがあり、何が不正となるのか、仕訳の組み合わせを含め定義が難しい。また、1つの企業で発生する会計不正の数は極めて限定的であり、いわゆる教師データとして活用するには数が少なすぎる。そのため、不正検知のAI活用の実務対応としては、マクロアプローチにおける不正発生企業の財務的特色を検知する方法や、ミクロアプローチにおいて仕訳の発生パターンから異常値を検出するようなものにとどまっているのが実情である。
したがって、これらのアプローチは、不正シナリオに基づく異常検出アプローチとあわせて活用することが実務的であろう。不正シナリオに基づく異常検出アプローチにより意図した異常値を効率的に検出すると同時に 人間がシナリオによって想定する異常では図り知れない異常をAIが検知して、これを補完することが期待されるからである。
今後、様々なテクノロジーと会計インフラの向上・発展により、状況は変わっていくかもしれないが、現状においては、人と機械が補いながら進めていくこととなるのが一番のソリューションといえよう。
コロナ禍によりヒトの移動の制限やリモートワークの導入が推進されるなど、我々の働き方は大きく変わった。またこれに伴いDXの推進も行われてきたわけであるが、これらの社会の変化は、新たなリスクを生むこととなった。それが、データの真実性である。
今、会計監査において電子証拠の信ぴょう性が話題に上がっている。これはリモート監査の推進とともに、証憑についても原本を確認することが実務上困難になる場合があるというなか、証憑を電子媒体にする過程で改ざんされるリスクを想定したものである。これは、データが真実ではないということを意味し、DAの前提を揺るがす問題である。
実際にこれらの証憑の改ざんによって不正が起こっていることからも、会計監査人はこのような環境のなかで、さらに慎重な対応が求められることとなった。
一方、このような問題は企業においても同様であり、企業として何らかの対応を図る必要もまた生じてきている。特に従業員が改ざんしたPDFを証憑として会社に提出して、架空の経費を請求するという事例も今後多く出てくることであろう。企業においてもこのような環境の変化に柔軟に対応していくことが望まれる。
前述のとおり、DAを活用した不正リスクモニタリングには多くの留意事項や課題が存在するが、そこに期待する効果は大である。本稿の最初において、「不正は検知できるのか」と問題提起したが、そもそも不正リスクモニタリングの目的は不正を見つけることなのであろうか。
たしかに、不正を早期に発見して芽のうちに摘み積み取ることは、企業にとってメリットがあるであろう。しかし、本当に必要なのは、そのような不正に手を染めて結果として人生を狂わせてしまう不幸な従業員を生まないよう、「あなた、見られていますよ」という心理的牽制を働かせて、不正を行う機会を極力未然に防ぐことではないかと考える。
それには、不正リスクモニタリングをいかに幅広くグループ内に効果的・効率的に網をかけられるかが重要となり、DAは欠かせないものとなるが、DAの活用がさらに効果的となるためには、データの質の向上と幅の拡大が必要と考える。
データの質の向上は、前述のように、会計システムの統合化やプロセス・データ入力のルール化など、現在認識されている課題を愚直に現状把握して改善していくしかない。事実、DAによる不正リスクモニタリングを行って得られる結果は、異常値の検出のみならず、データの入力方法等の課題であることが多い。不正などの異常値検知だけでなく、その前提を整えるためのモニタリングも、企業は行っていく必要がある。
一方、幅の拡大については、会計仕訳や上流の販売・購買データの活用のみならず、非会計データの活用も考えられるかもしれない。事実、不正調査においては、会計仕訳や商品の数量や価格などの取引データのみならず、デジタルフォレンジックによりメールデータやスケジュール情報など直接会計に結びつかない情報も分析の対象となる。そのようなことが平時のモニタリンクで活用されることはすぐには難しいかもしれない。しかし、30年近く前に行っていた異常取引の抽出方法と比べると、現在使っているテクノロジーの進歩は目覚ましく、考えることもできなかったことが実現できていることからすると、今後、方法論も含めて、さらなる進歩が見られることは大いに期待されるところである。
コロナ禍が招いた新常態においてDXの推進は今後も否応なく進んでいくと思われるが、これらのDXの進歩と合わせて、DAツールの向上のみならず、モニタリングを実施する人材・ITインフラ・データの整備を通じて、DAを活用した不正リスクモニタリングの可能性はこれからさらに大きく拓けていくことであろう。
実務家として、この可能性を少しでも現実の企業活動において実現させるべく、これからも日々検討を重ねていく所存であるが、そのような進歩が、不正を手に染めて不幸となる従業員を生まない職場作りの実現に向けて役立っていくことを切に願うとともに、本稿がその一助となれば大変幸いである。
(注)
(1) IT委員会検収報告第48号「ITを利用した監査の展望―未来の監査へのアプローチ―」2016年3月28日、日本公認会計士協会、4頁。
(2) Felix Kaufman (1961) Electronic Data Processing and Auditing, Ronald Press.
(3) IT委員会検収報告第48号「ITを利用した監査の展望―未来の監査へのアプローチ―」2016年3月28日、日本公認会計士協会、8頁