AIを活用したContinuous Auditing（継続的監査）で不正会計は見抜けるか

最近、将来の監査の在り方として継続的監査（Continuous Auditing）という概念を聞くことが多くなりました。そこでは監査人のデータ処理能力や分析能力の向上に伴い、適時に海外子会社なども含めた幅広い範囲で異常な取引を検知する姿が描かれ、そういった時代における監査人の役割について議論がなされています。
本稿では、このContinuous Auditingという概念について、現時点で技術的にどこまで可能なのか、そして何ができないのか、不正会計の手口を踏まえて具体的に検討するとともに、将来の財務報告の在り方についても検討したいと思います。

学術研究の世界では、Continuous Auditingの概念は古くからあり、30年前のGroomer and Murthy（1989）やVasarhelyi and Halper（1991）において提唱されたのが始まりともいわれています。Continuous Auditingの定義自体はさまざまですが、よく引用されるものはカナダ勅許会計士協会^※1（CICA）と米国公認会計士協会^※2（AICPA）のスタディグループによる研究報告における定義で、「経営者が責任を有する主題に対し、独立監査人がその基礎となる事象の発生と実質的に同時もしくは短期間のうちに監査報告書の形で書面による保証を提供する方法論」とされています（CICA／AICPA（1999））。
Continuous Auditingの概念は古くからあるものの、これまでは内部監査の文脈で触れられることが多く、監査法人や公認会計士による外部監査において将来の監査の在り方として意識されるようになったのは日本公認会計士協会（2016）などごく最近です。背景としては、外部監査に当たって継続的に大量のデータを受領、保存し、統計処理や異常検知などを行うためのサーバーなどのシステムインフラの整備や一連の処理の自動化、データ分析手法の開発などの技術的な課題の解決が、近年のテクノロジーの進展により現実味を帯びてきたことが考えられます。
学術研究において、Continuous Auditingがこれまでの伝統的な監査とどう変わるのかという点について検討がなされています。Vasarhelyi et al.（2012）では内部監査を想定したものですが、＜表1＞のような観点から監査の発展度を段階的に評価するAudit Maturity Modelを提唱しています。＜表1＞では継続的に何を監査・保証するかという検証内容についてあまり触れられておりませんが、Vasarhelyi et al.（2004）が検証の高度化について以下の四つのレベルに分類しています。

こういった検証をデータ分析などにより自動的、継続的に行うことで、監査人は異常の発見ではなく、発見された異常の調査に時間を割くというのが基本的な発想です。またさらにBumgarner and Vasarhelyi（2015）ではContinuous Assurance（継続的保証）としてContinuous Data Audit（継続的データ監査）、Continuous Control Monitoring（継続的統制モニタリング）、Continuous Risk Monitoring and Assessment（継続的リスクモニタリング・調査）、Continuous Compliance Monitoring（継続的コンプライアンスモニタリング）といった要素を包含するフレームワークが説明されています。

内部監査においてはHardy and Laslett（2015）、Alles et al.（2008）などでContinuous Auditingを実務に導入した事例が紹介されています。何を検証するのか、どこまでやるかという点についてばらつきがありますが、Continuous Auditingのプロセスの大きな流れについてはChan and Vasarhelyi（2011）が参考になります。同論文では手続きの自動化（Automated Audit Procedures）、データモデリングとベンチマークの構築（Data Modeling／Benchmarks）、データ分析（Data Analytics）、報告（Audit Report）の四つのステージにプロセスを分け、＜図1＞のような形で説明をしています。

さらにContinuous Auditingの導入により七つの視点で伝統的な監査がいかに変化していくかという点も検討されています（＜表2＞参照）。

Chan and Vasarhelyi（2011）では、内部監査と外部監査双方で同様のContinuous Auditingが重複して導入されるのは効率的ではなく、大量のデータを扱う必要性やモニタリング、テストが頻繁にあることから内部監査においてContinuous Auditingが実装されるのが望ましいと述べられています。一方で外部監査ではハイレベルな分析や内部監査の証跡のモニターができるため、役割としては内部監査のContinuous Auditingシステムの独立した検証者という位置付けになるかもしれないと述べられています。

継続的な外部監査は不要なのかというと、そうとも限りません。被監査会社における内部監査の状況はさまざまであるため、外部監査に用いるデータの提供を継続的に受けられるようになる方が、被監査会社が継続的な内部監査を導入するよりも早く実現すると考えられるためです。
外部監査でどこまでContinuous Auditingが実現可能なのか、現在の状況について当法人の事例をご紹介します。なお、先ほど説明したContinuous Auditingのパラダイムのステージ1については、あくまで被監査会社から日次やそれよりも短いサイクルで自動的、継続的にデータが当法人のデータベースに転送可能であることを前提としています。その上でステージ2のデータモデリング、ステージ3のデータ分析について、仕訳データを対象にEY Helix GL Anomaly Detector （Helix GLAD）を用いて仕訳の異常検知を日次で行うことが可能となっています。
Helix GLADは当法人で開発されたツールで^※3、特許を取得したアルゴリズムにより仕訳の異常検知を行います。具体的には機械学習を用い、勘定科目の変動パターンを学習しパターンから外れる科目の動きから、そういった動きを引き起こす異常な会計仕訳を自動的に検知するもので、収益の過大計上や費用の過少計上などの異常な仕訳を自動的に検知します。一度勘定科目の変動パターンを学習させたアルゴリズムに日次で仕訳を投入することで、毎日の仕訳の中で異常検知されたものを抽出することが可能となります。
海外子会社であっても仕訳データを日次で転送することができれば、どの子会社のどの仕訳という単位で異常を特定することができます。当法人ではマクロレベルのアプローチとして機械学習を用いた不正会計予測モデル※4に基づき、子会社の財務諸表レベルの不正会計の予測や異常の検知も行っていますが、それに比べ仕訳データの異常検知は適時にピンポイントでリスクを把握することができます。
一方で、検知された異常を検証する作業は人が行うことになる点や、現行の（外部）監査の全ての手続を自動化するには外部証憑（しょうひょう）のデジタルデータの入手可能性や見積もり等の判断など高いハードルがあるため、日次で意見表明を行う日が来るのは当分先になりそうです。

日次やリアルタイムに取引レベルで異常が検知されることでより適時にリスクを把握でき、また人間の行う業務をよりリスクの高い領域に集中させることができるようになります。不正会計の検知についてもKuhn and Sutton（2006）ではWorldComの不正がContinuous Auditingで見抜けたかどうかという検討がなされています。WorldComが属するテレコム業界ではアナリストは回線費用と収益の比率（E／R ratio）に着目することからWorldComはこれを低い水準に抑えるために、営業費用を資本的支出として分類、買収により獲得した会社の資産をのれんとして計上、買収により獲得した資産の評価時に将来の費用を織り込んで評価減を行う、貸倒引当金計算の操作などを行っていたようです。それぞれの手口について残高や比率の過去の推移、業界水準との比較、ルールベースによる特定のパターンの仕訳の検知などで発見できたかもしれないとしています。また、Kogan et al.（2014）ではヘルスケア業界の購買データを用いた取引量の予測に基づく異常検知モデルを提唱し人為的に作成した異常データを検出できるかという検証をしています。
もっとも、Continuous Auditingにおける異常検知手法やその有効性について実際の不正事例による実証分析は学術研究においてもあまりなく、Kogan et al.（2014）では検証に利用できるようなデータが一般に公開されていないことが原因として挙げられています。不正会計のあった会社の仕訳や補助元帳を含む詳細データの共有は社会的課題かもしれません。
一方で、継続的・リアルタイムに監査を行うという目標を考えた際、異常検知までを自動で行ったところで、そこから先の検証を人が行う際に時間を要する上、検証が仮に自動化されたとしても不正を見抜けるかどうかは分かりません。例えば、会社が循環取引により売上を水増ししていた場合、不自然な売上の増加や仕入（在庫）単価の上昇などで異常を検知することができたとしても、売上や仕入の証憑通りに記帳がされているかを確認するだけでは証憑自体は真正なものであるので、循環取引全体のスキームに気付かない場合があります。売上を行う会社と仕入を行う会社が連結グループ内の異なる会社の場合にはさらに難易度が上がります。有償支給による外注加工の取引金額の操作、偽造された証憑による架空売上や架空仕入、期末日をまたいで戻す約束が付された売上や実質的に金融取引（融資）と見なすべき売上など、他にもさまざまなケースが考えられますが、こういった不正の手口の場合、外部証憑自体は記帳内容と齟齬（そご）がなく、それだけを見ても取引の経済的実態を把握できないことも多いため、そもそも外部証憑に当たって異常を検証するという方法論自体に限界があります。
引当金や将来キャッシュ・フロー、工事の進捗（しんちょく）率や滞留在庫の評価、その他の見積もりの部分での不正のケースでは主観的な見積もりや判断に基づくものであるため、仮に異常が検知されたところで、情報量で劣る監査人が判断根拠として提示された情報に隠された不正を探り当てるのはやはり難易度が高いものになります。
このほか、工事原価の案件間での付け替えなど通常であれば内部統制により適正性が担保されているものでも、組織ぐるみの不正の場合にはチェック機能が働かないため、不正の手口として利用されます。こういった組織ぐるみの不正で内部統制が無効化されてしまう状況では、仮に異常が検知されても不正を特定することは難しいものになります。

現在のContinuous Auditingが想定する異常検知のアプローチは、検知された異常から不正の発見につなげる部分に高いハードルがあると指摘しました。また、取引量が膨大となり精査ができない現代の監査のアプローチの中では内部統制が有効に機能していないと監査が成り立たない状況ですが、実際には経営者による不正や担当者の共謀など組織ぐるみの不正において内部統制は機能しないという限界があり、近年の組織的な不正を防止するものではありませんでした。
将来ブロックチェーンに全ての取引が記録されるようになればその情報は改ざんできないので不正もなくなる、という言説も見られますが、先ほど議論したように経済的実態は外部証憑を見ても把握ができないため、仮にブロックチェーンに取引情報を記録したところで循環取引による不正は実行可能です。また中央集権化された記録機関等の仕組みを設けない限り虚偽の取引情報を記録することすら可能なので入力後にいくら改ざんができずとも不正会計の防止には役立たなさそうです。
ではテクノロジーがどれだけ進化しようとも、われわれの世界から不正会計はなくならないのでしょうか。この点について業務のアウトソースが進むことで、自社で会計操作ができる余地が徐々になくなっていくのではないかと考えられます。例えば預金や有価証券は銀行や証券会社に現物の管理を委ねており、銀行や証券会社の残高報告書は実態にあった残高であることの強い証拠として利用されています。今後会社が商品の販売プラットフォームやサービス提供者と利用者をマッチングするような取引プラットフォームを利用して在庫の管理や収益の認識、場合によっては取引相手が自社グループ企業かどうかの自動判断に基づく内部取引や循環取引の判定や取引額の妥当性検証なども委託するようになると、棚卸資産、売掛金、買掛金、売上、売上原価などの勘定については第三者たるプラットフォーマーからの経済的実態（現物の流れ）にあった会計報告や開示情報を利用することができるため会計操作の余地が減ると考えられます。
見積もりの部分についても会計基準の現在のトレンドは経営者の主観をできるだけ取り込むような形になっていますが、統計的な手法を用いて標準化することで精度を維持しながら客観性や検証可能性を確保するというアプローチに変われば、前述のプラットフォームを運営する第三者があらかじめ定められた統計手法によって見積もりも行うという時代が来るかもしれません。