リスク評価におけるAI活用について

監査計画とは監査の基本的な方針の策定や詳細な監査計画の作成を行うことで（監査基準委員会報告書（以下、監基報）300.2）、この中でリスク評価の手続についても計画を作成します（監基報300.8）。このリスク評価手続は財務諸表全体レベルの重要な虚偽表示リスクと、アサーションレベル（財務諸表項目レベル、すなわち取引種類、勘定残高及び注記事項に関連するアサーションごと）の重要な虚偽表示リスクを識別し評価する基礎を得るためのもので（監基報315.4）、経営者への質問や分析的手続、記録や文書の閲覧などさまざまな手続きが要求されています（監基報315.5）。ここで要求されている分析的手続としてさまざまなデータ分析が行われています。
日本公認会計士協会が2018年に公表した「監査業務におけるITの活用事例」では以下のような分析例が紹介されています。

企業環境を理解することは、監査のリスクアプローチにおいて重要です。この企業環境の理解において、IT の活用を行っています。

• 会社の財務指標等をグラフ化し、会社の業績推移や売上の構成割合等を視覚的に把握する。
• 各勘定科目や会計単位等の増減を視覚化して勘定科目別のリスク評価を行う。
• 外部情報提供会社から業界情報を収集し、競合他社等の状況等を入手する。
• 特定商品群の店舗別の売上構成比率を分析し、往査拠点選定に活用する。
• 月次推移（事業部門別、ユーザID別、勘定科目別）や日付分析によって、特性を分析する。
• 重点往査拠点の選定に資するために、仕訳の全データを基に、セグメント別、事業部門別、勘定科目別の数値を集計する。
• 売上高、売掛金、現金及び預金等の相関関係を分析する。

こういった分析はグラフから人の目で状況把握がなされることが多く、グラフの解釈に幅が出る可能性があります。グラフの縦軸と横軸をどうするかもさまざまな可能性があり、全ての組み合わせを確認することは大変な作業になります。より高度なデータ分析や機械学習を用いることでグラフでは表現できない複数の要素を多角的に考慮する、アルゴリズムに基づき機械的に着目すべき動きを特定する、またこういった一連の分析を自動的に、継続的に行うことが可能となります。

分析的手続は通例でない取引又は事象、金額、比率及び傾向の存在を識別するのに有益であり、識別された通例でない又は予期せぬ関係は、重要な虚偽表示リスク、特に不正による重要な虚偽表示リスクを監査人が識別する際に役立つことがあるとされています（監基報315.A14）。財務諸表の勘定科目間および財務・非財務情報の間で通例でない関係を見つけ、リスクを識別するには比率の推移を時系列で確認するなどの伝統的な手法に加えてさまざまな手法が考えられます。
一つは不正会計予測モデルを用いたリスクの評価です。これは財務比率、財務・非財務情報の比率やフラグとして表現できる非財務情報のまとまり（特徴量）が、過去の不正や訂正事例にどう関係しているか機械学習を用いてモデル化することで、不正・訂正事例と類似するような財務・非財務情報の「通例でない関係」があった際にそれを検知するものです。手作業では財務・非財務情報の関係性は二つの情報の比率が異常を示していないかを見るだけでも組み合わせは膨大になってしまいます。その上、ある比率が異常を示したとしてもそれが不正・訂正と関連性が高いというエビデンスが無いため空振りも多いという問題がありました。不正会計予測モデルを用いることで実データ（エビデンス）に基づき特徴量がどういう関係を示した際に不正・訂正となっていたか、というパターンを識別することができ、より効率的効果的に重要な虚偽表示リスクを識別することができます。
不正会計予測モデルは不正・訂正データが少なくデータが偏っていること、また年度ごとに個社のデータを一つのデータポイントとして扱う場合、同じ会社のデータは強い時系列相関があります。また訂正も複数年度にわたることが多いため、モデルの学習や交差検証（学習に使ったものとは異なる検証用データによる精度の測定）時に工夫をしないと訂正が生じる財務・非財務のパターンを学習させるのではなく、訂正が生じた会社を単に学習したために交差検証が良く見えているだけというような結果に陥りやすいという難しさがあります。
なお、当法人では2016年6月から不正会計予測モデルの運用を始めており^※1、日本はもとより世界の中でも最も早くこういった技術を取り入れた会計事務所の一つです。
このほか裁量的発生高など利益調整研究で用いられている指標も通例でない傾向を把握するための一つの視点として有用でしょう。会計利益と営業キャッシュ・フローの差として表現される会計発生高を説明するモデルを幾つかの財務項目を用いて推定し、その残差の部分を裁量的発生高と呼んでいます。実際に過去の訂正事例などを確認すると裁量的発生高が大きく振れているケースが多いことが分かります。
＜図1＞はある企業の（標準化した）修正ジョーンズモデルによる裁量的発生高の推移を横軸に年度、縦軸に平均0、標準偏差1で標準化した裁量的発生高を取って赤線で表し、そのグラフに重ね合わせて横軸に会社数、縦軸に標準偏差を取って同業他社の裁量的発生高をヒストグラムとして表示したものです。黄色い丸で囲った2014、2015、2016年度は後に訂正されることになるのですが、裁量的発生高が大きく上振れしていることが確認できます。

不正会計予測モデルは全ての財務・非財務情報を勘案して財務諸表全体としてリスクを評価したのに対し、財務諸表の勘定科目一つに着目し他の科目や非財務情報との関係性、他社との比較などを通じて通例でない関係を特定する際も機械学習の活用が有効です。
この場合、勘定科目の変動額は全ての科目を合わせれば複式簿記の原則により貸借一致するという内的な関係性に着目して対象となる会社の月次もしくは四半期ごとの科目の変動関係をモデル化し、モデルに基づいた今期の変動額の予測値に対して実際の変動額が予期せぬ数値、すなわち予測に用いた他の科目と予期せぬ関係となっているものを検知するというアプローチが考えられます。
類似のものでよりシンプルなアプローチとして、科目の変動額の分散共分散を推定し、他の科目の動きを踏まえた上で一つ一つの科目の動きが一定の想定幅を超えているものを検知する、というものが考えられます。
科目の変動額の予測に外的関係を用いるということも考えられますが、説明力の高い変数を見つける必要があります。監基報315.A13で例示されているように、売場面積や販売数量と強い相関があるような場合にはこういった変数との関係性をモデルとして推定しておき、今期の期待値を計算し予期せぬ関係があれば検知するということが可能となります。
さらに、他社比較の要素を考慮するということも考えられます。他社と比較可能性を確保するために総資産比率の形に変換するということが一般的になされます。それぞれの指標について同業他社の分布の中で分析対象となる会社の位置が外れ値に当たるのか判断することで異常検知が可能となります。外れ値の判断に当たっては分布の平均・標準偏差を用いたシンプルなものから複数の指標を多次元分布として考慮するもの、また分布の形も一つ（または特定の数）の山（正規分布）を想定しないものなどさまざまなものがあり、同業他社の指標がどう分布しているのかという実態に即して手法を選ぶことになります。

これまでの分析を子会社（セグメント、事業部門、店舗なども考えられます）単位で行うことで重点往査拠点の選定やリスクの高い子会社の識別、またその中でも勘定科目レベルでリスクの高い項目の識別に役立てることができます。金額的な重要性が低く監査対象としなかった海外子会社で不正が生じるというケースも、子会社の財務諸表の不正リスクを評価できるようになると事前に対応ができる可能性が高まります。
子会社の財務・非財務情報に基づき作成した指標はベンチマークとして同業他社の指標に加えて、他の子会社の指標の分布と比較し外れ値に当たるかどうか判断することができます。＜図2＞はある指標について全ての子会社を年度ごとにプロットしたものです。ベンチマークとなる同業他社のヒストグラムに比べて大きく上振れ・下振れしている子会社は、その指標が表す関係が通例でない可能性があり、異常検知の技術によりこういったリスクの識別を効率的効果的に実施することができます。

なお、この手法は銀行の監査において自己査定のサンプル選定の際にも応用が可能です。前述の子会社を債務者と読み替えれば、融資先の財務諸表をもとに同様に財務諸表レベル、科目レベルでリスクの評価や異常検知を行うことで不自然な動きのあった融資先、という視点での抽出が可能となります。

リスク評価手続は財務諸表全体レベルや、取引種類、勘定残高及び注記事項に関連するアサーションレベルの重要な虚偽表示リスクを識別し評価するためのものです。従ってその粒度は取引種類や勘定残高といったレベルになります。しかし、リスクの識別に当たっては総勘定元帳や補助簿、補助元帳、ERPシステム上のイベントログなどのデータに対して機械学習を活用することでより高い精度で通例でない取引または事象を捉えることができ、結果として関連する取引種類や勘定残高というレベルでのリスクの識別・評価に役立ちます。
例えば、当法人で2017年11月より運用している仕訳の異常検知アルゴリズム（EY Helix General Ledger Anomaly Detector）^※2は勘定科目間の日次の変動の関係性をモデル化し、科目ごとに日次の計上額がモデルに基づく予測と乖離する日を特定します。このほか、売上明細や仕入明細、売掛金や買掛金の元帳などに基づくデータに対しては仕入先と得意先のパターンや仕入計上・売上計上・買掛金の支払い・売掛金の回収などのパターンに基づき異常検知により通例でないパターンを識別することができます。
さらにプロセスマイニング^※3に利用される内部の取引承認フローのステップごとに生成されるERPシステムのイベントログも異常検知を用いることで自動的に通例でない内部フローによる取引や、必要な承認がない取引などを識別し、リスクのある取引種類や勘定を識別することができます。
こういった詳細なデータを用いたリスク評価は粒度が細かいというだけでなく、ERPシステムと異常検知のシステムを接続することで継続的にリスク評価を更新することができます。継続的なリスク評価が広まることでリスク評価の手続とリスク対応の手続のタイムラグが短くなり、よりきめの細かい、またタイムリーなリスク対応が可能になると考えられます。

AI（機械学習）は監査の計画段階におけるリスク評価手続においても有効で、分析的手続を高度化し効率的効果的に通例でない関係を見つけることで重要な虚偽表示リスクの識別のヒントを与えてくれます。
一連の分析処理を手作業でやっている場合にはこれをシステム化しERPシステムから各子会社の財務データを継続的に自動取得できるようにし、異常検知まで自動化することで効率的にリスク評価を更新し適時にリスク対応の手続を実施することができるようになります。
もちろんリスク評価手続は分析的手続だけで終わるものでなく、また異常検知のデザインが適切でなければ人間であればすぐに気付くであろう通例でない関係を見逃してしまう可能性もあります。しかし、月次もしくはより高い頻度で海外含む子会社全ての財務諸表のリスクを定期的に識別し、人間ではカバーしきれない数の膨大な組み合わせで関係性の分析が可能、また3個以上の要素の関係性も分析ができるなど、より高度なリスク識別を効率的に行う非常に有効な手段と考えられます。