内部監査でのAIの活用

Start adding items to your reading lists:
or
Save this item to:
This item has been saved to your reading list.

1. 内部監査に求められる役割

内部監査の一義的な目的は内部統制の状況の確認であり、経営に合理的な保証を提供することです。この「合理的」な保証について、どの程度まで見れば「合理的」と言えるかは議論の余地があります。

実務では、業界や会社によって内部監査の行われる範囲も程度もさまざまであるという印象を持っています。態勢を中心に見ている会社もあれば、個々の取引について不正の検知を目的にしているのに近いレベルで検証を行っている会社もあります。

いわゆる3つのディフェンスライン(フロント部門、リスク・コンプライアンス部門、内部監査部門)が整理されている会社であれば、態勢面中心の内部監査でも良いという整理ができますが、そうでない場合には内部監査に一定の検知能力(特に不正)が期待されているのが実態と思われます。

2. テクノロジーの活用

不正の発生率は内部統制の強度に依存するものの、一般的には非常に低い確率で起こっており、それを1‐2週間の往査で発見することは難しいと言わざるを得ません。そのため、監査した範囲内での保証や態勢面についての保証にとどまることも多いのです。

最近では、対象となる全取引についてテクノロジーを使って事前にスクリーニングし、怪しい取引を対象に往査の際に確認するケースが増えています。これらは一般的にCAATと呼ばれる技法で、計数情報を中心にシナリオ分析(不正シナリオ)や統計的な処理(簡単に言うと外れ値)を行い、検証対象を導き出すものです。PwCの内部監査支援でも、そういった計数面でのデータ分析や分析結果の可視化をすでに適用しているケースは多いです。

一方、不正が発生した場合における類似したアプローチに、フォレンジックというものがあります。これは事前対応型の内部監査(厳密には内部監査も一時点での事後確認です)と異なり、発覚した事案の実態解明・被害額確定や伏在している類似事案の特定を目的としています。通常、フォレンジックにおいてもテクノロジーを利用しますが、その際には文字情報(多くはメール情報)も調査・分析の対象となります。それらはデジタルフォレンジックにおいて解析されることが多いと言えます。

3. 文字情報の分析

不正を行う者が、メールなどの文字情報で記録を残すことは考えにくいという意見もあります。とはいえ、実際にそういったメールなどの文字情報が重要な実態解明に役立つことが多いことは、不祥事件調査報告書を見れば明らかです。不正が起きていないにもかかわらず、内部監査で社員メールをチェックするのはハードルが高いと考える会社も多いと思われますが、不正の発見や不適切な行動の特定、さらには態勢の実態把握にあたって有力な情報源となることは事実です。

実務的には、内部監査でメールを直接チェックすることは限定されていますが、もしそれができれば、内部監査で確認できる範囲が広がると考えられます。

それを人の目で行うのは、監査資源の制約を考えると困難ですが、先進的なテクノロジーを使うことで、対象者を特定して一定期間のメールを全件チェックすることも可能になってきています。

以下は、PwCで実際に内部監査にAIを適用してメールチェックを行った結果の一例ですが、スタッフにより1‐2週間の作業で数千件のメールチェックを行うことができました。

Responsive Recall(再現率)= 上位何%に入る教師データ/全教師データ

Responsive Precision(適合率)= 上位何%における、教師データ/件数

出典:PwCあらた有限責任監査法人

上記グラフは、AIを用いた監査(赤)と、用いていない通常監査(緑)で同数の文書を確認した場合の不正・不適正行為に関連する可能性のある文書の捕捉率を表したものです。

AIを活用した場合、文書全体の20%をみることで約85%の不正・不適正行為に関連する可能性のある文書を確認することができます。

AIを適用する上では、何が正しいデータ(不正や不適切な行為を表す可能性のあるデータ)であるかをAIに教える作業が必要です。これは一般に教師データと呼ばれ、AIは教師データに基づきリスクの高い順に点数化していくことができます。教師データは、新人監査人に教え込むのと同様にAIにも蓄積する必要がありますが、AIはそれに自己学習を加えて性能を向上させることができます。人間では監査期間内に終わらせることができない作業を知識・経験を蓄積する形で実現していくことが期待できます。

利用可能な文字情報(これはメールに限らず、業務日誌や苦情情報などさまざま)を対象にAIを適用した内部監査によって、今まで見えなかったものを見える化できる可能性があると思われます。

辻田 弘志

PwCあらた有限責任監査法人 パートナー, 東京

Email

最新のコラム ‐ GRC/ARCA Viewpoint


関連情報

Contact us

Follow us