アドバイザリー

データ分析導入による内部監査の高度化(1)

2014.06.05
並木 智之
並木 智之
新日本有限責任監査法人
ITリスクアドバイザリー部 マネージャー
公認情報システム監査人、システム監査技術者、ITコーディネーター
当法人にて現在以下の業務を担当している。
  • データ分析導入による内部監査高度化支援
  • CAAT(コンピュータ利用監査技法)の研修コンテンツ作成および講師
  • 監査業務効率化ツールの仕様策定
  • IT統制に関する内部統制構築支援

※当稿の内容は先進的な取組みであり、筆者の個人的な見解が含まれています。

はじめに

近年、企業の取扱データ量の増大や海外関連会社における不正取引の増加傾向に対応するため、データ分析を活用した内部監査に対する要請が増えています。監査基準委員会報告書520 A3にも、「多様な手法が分析的手続を実施するために利用される。これらの手法は、単純な比較の実施から高度な統計的手法を用いた複雑な分析の実施まで多岐にわたる。」とあります。しかし、実情は、データ分析ツールを活用できる人材がいない、データ分析のノウハウがない、などの理由で内部監査にデータ分析を適用している実例は少ないのではないでしょうか。

ここでは、データ分析導入による内部監査の高度化について解説しています。データの単純比較、さらには、各種統計分析モデルの監査への組込みといった、内部監査高度化の必要性を理解していただきたいと思います。

データ分析の導入メリット

  1. サンプリングリスクの低減
    サンプリングによる試査ではなく、母集団全体を網羅的に精査・分析することで、過誤採択・過誤棄却というリスクを排除し、サンプリングでは困難だった異常値を捕捉することが期待できます。
  2. 監査品質の向上
    監査の事前準備の中で監査対象部門に関するデータを分析し、分析結果(異常値や不正の兆候)を実査で確認することで、監査品質の向上が期待できます。
  3. 監査手続効率化
    データ分析の検証手続きを自動化することで、検証手続きが効率化されるほか、属人化の軽減が期待できます。

データ分析の手順

データ分析は仮説検証を繰り返しながら進めていきますが、大きな流れとしては、次の通りとなります。

1. 分析領域の検討
 
2. シナリオ※1構想の検討
 
3. 分析に必要なデータの検討
 
4. データの入手
 
5. データの概要把握
 
6. データ加工・クレンジング
 
7. データ分析の実行
 
8. データ分析結果の検討

今回は、外注費と関連する不正を例として、初めて内部監査にデータ分析を導入するケースについて、解説していきます。

1. 分析領域の検討

内部監査の重点項目について、どのようにデータ分析を組み込めばよいかを検討し、データ分析目的を決めます。例えば、「海外子会社の不正対策」を重点項目としている場合は、「海外子会社への訪問前準備」などが考えられます。

なお、初めて内部監査にデータ分析を導入する場合は、データ分析の対象領域を小さくした「プロトタイプ型」をお勧めします。データ分析は仮説検証を繰り返しながら進めるため、分析領域を大きく取ってデータ量が膨大となった場合、整っていないデータ分析環境では処理に時間がかかってしまい、仮説検証作業が困難となります。使い慣れたツール、例えばEXCELが動く程度のデータ量から始めるとよいでしょう。

【分析領域の検討例】

  • データ分析目的:データから不正の兆候を捉え、モニタリングに生かす
  • 対象システム:購買管理システム
  • 対象プロセス:購買プロセス
  • 対象期間:2012/01/01から2013/12/31

2. シナリオ構想の検討

次にデータ分析のシナリオ構想を決めます。データ分析目的を達成するために、どのようなデータや分析手法を用いるとよいか、などの方針・仮説を立てることになります。

この工程の段階では、まだデータを入手していないので、データの傾向に基づいた分析はできません。具体的なデータ分析手法についてはデータ入手後、データの特性に応じて、適宜シナリオを修正・調整し、仮説検証を繰り返す中で、効果的な分析結果を目指しながら決定することになります。

【シナリオ構想の検討例】

  • 仮説:外注費が割高な案件の中にはキックバックの可能性がある
  • テスト手法:請求明細から外注費が割高な案件を統計的に抽出する

3. 分析に必要なデータの検討

IT部門からテーブル一覧表およびテーブル項目一覧表を入手します。この一覧表とシナリオ構想をインプットにして、必要なデータは何か、そのデータはどのシステムから出力できるか、データを出力する際に技術的な制約はあるか、データの量はどの程度になるか、分析に必要なテーブル項目はどれか、などを検討します。テーブルやテーブル項目の意味が記載されているテーブル一覧表およびテーブル項目一覧表を入手できれば必要なデータの検討に便利です。

Tips)分析対象のデータ量が多いことが予想される場合、本格的な分析に入る前に対象期間を絞るなど、限定的に扱いやすい量のデータを取得し、データの内容がシナリオ構想の意図に合っているかどうか確認することをお勧めします。

【分析に必要なデータの検討例】

  • 必要なデータ:購買明細データ
  • 出力システム:購買管理パッケージ
  • 技術的な制約:1年以上前のデータについては取得できない明細データがある
  • データ量:1年で約300万件
  • テーブル項目:伝票番号、日付、発注部署コード、仕入先コード、案件種別、費目、金額、摘要欄

4. データの入手

データ入手方法は、閲覧専用の端末をIT部門に用意してもらい、監査人自らが操作することでデータを入手するか、IT部門の方向けにデータの出力依頼を行うかのどちらかが考えられます。IT部門にデータを出力依頼する場合は、口頭で依頼するのではなく、十分な要件を満たしたデータ依頼書を用いることがポイントになります。あいまいな記述があると、データ分析の目的に合致しないデータを入手することになり、分析を進めていくうちに、再取得を依頼することになりかねません。通常、データの出力は、IT部門にとって負荷のかかる作業となりますので、慎重な依頼を心掛ける必要があります。

【データ依頼書の例】

  • 依頼目的:外注費を含む購買明細レコードから、案件種別ごとに外注費の割合を確認する
  • 依頼データ:購買明細データ
  • テーブル項目:伝票番号、日付、発注部署コード、仕入先コード、案件種別、費目、金額、摘要欄
  • 対象期間:2013/01/01から2013/12/31

5. データの概要把握

データを入手したら、データの概要を把握します。このとき、データの内容に応じて、ヒストグラムや散布図を作成する、最小値・最大値・平均値・標準偏差・件数・尖度(せんど)を確認する、などから必要な手続きを行います。この手続きのアウトプットを用いて、シナリオを調整していきます。

【データの概要把握の例】

  • 案件種別XYZの件数が一番多かった。案件種別XYZの明細内訳は外注費、材料費A、材料費B、材料費Cの組合わせだった。
  • 外注費の発生金額に傾向があるかどうか確認するため、ある1週間のデータについて、外注費をy軸、材料費A,B,Cの和をx軸にしたときの散布図を確認したところ、下図の通りであった。外注費と材料費に強い相関があったため、当初のシナリオ構想における仮説「外注費が割高な案件の中にはキックバックの可能性がある」について、仮説「外注費が材料費と比較して、割高な案件の中にはキックバックの可能性がある」と修正した上で、材料費A、B、Cの中で、どの材料費が最も外注費と相関が強いかなど、追加検証していく方針とする。
散布図概念図
(直線は単回帰分析結果)
散布図概念図

6. データ加工・クレンジング

データを分析できる形式に加工します。例えば、桁数の統一、表記の統一、西暦和暦の統一、列結合、不要な項目やレコードの除去、列を行に変換、一定の計算処理などを行います。

データの量によって、適切なツールは異なります。

数千件や数万件であればEXCELやACCESSが、使い慣れた方にはお勧めです。データ量が巨大である場合、EXCELやACCESSでは動作が不安定になる場合があります。その際はCAAT※2専用ツールなどで処理します。一般的にCAAT専用ツールの多くは処理件数に上限を設けておらず、処理速度の向上が期待できます。

【データ加工例】

  • 同一伝票番号案件につき、明細内訳単位でレコードが分かれているため、伝票番号、明細内訳を同一レコードに集約処理する。

ここまではデータ分析作業の準備にかかる手順でした。下ごしらえしてきたデータをどう料理していくか、次回はデータ分析の実行について解説します。

  • ※1データ収集からデータ分析、結論を導く作業の中で、仮説の探索・検証・分析を行います。この一連のプロセスをシナリオと呼びます。(筆者定義)
  • ※2Computer Assisted Audit Techniquesの略称。多くは「コンピュータ利用監査技法」と訳されます。

【関連リンク】




情報量は適当ですか?

文章はわかりやすいですか?

参考になりましたか?