*連載【第1回】はこちら 

 組織が誕生したその瞬間から人類を悩ませてきた不正問題は、新しいステージに入った。事業のグローバル化や大規模化に伴い、より巧妙で大胆な不正行為が、いまこの瞬間も組織を蝕んでいるおそれがある。

 進化する脅威に立ち向かうためには、革新的なテクノロジーを活用したダイナミックなアプローチが欠かせない。連載第2回となる今回は、AI監査による不正検知と防止の最前線を追う。

進化する
デジタル監査ソリューション

編集部(以下青文字):連載第1回にて、貴社の髙波博之理事長は「AI監査による不正検知は、言わば人間ドックと同じ。重大な病気が進行する前に発見して手を打つべき」だと述べています。具体的には、企業でどのような病気、つまり不正が起こりやすいのでしょうか。

坂寄:KPMGの調査では、直近3年の間に3社に1社の割合で不正が発覚していて、これは2016年の前回調査に比べて増加傾向にあります。報道などでは損害額が大きい海外子会社の事案がどうしても目立ちますが、国内子会社でも同様に、多くの不正が発覚しています。

 一口に不正と言っても、内容はさまざまです。国内外ともに最も多いのが「横領」ですが、近年は「情報漏洩」も増加しています。また国内では、「製品・性能の偽装」も目立つようになっています。そうした中でも我々監査法人に期待されているのが、粉飾決算などの「会計不正」への対応です。

細井:他の多くの不正と同様、会計不正も、親会社本体と比べて内部統制が脆弱になりがちな子会社で、数多く発生します。

 たとえば海外子会社では、長期にわたって一人の役員や従業員が特定の業務を行うことにより権限が集中するなど、属人的な業務運営になりがちです。本社の目が届かず、日本から派遣された現地トップも詳細がわからずに、実質的には現地人材に任せ切りというケースも珍しくありません。

 そのため、ひとたび不正が発生すると発見までに時間を要し、損害が拡大する傾向があります。たとえ事業規模が小さくても、ノンコア事業でも、多額の損失が発生することはありますし、金額が大きくなると訂正・公表という事態になるため、レピュテーション毀損のダメージ、資本市場への影響等は避けられません。

 最新のデジタル監査は、そうした不正の検知にどのような威力を発揮しますか。

細井:不正というのは、発覚した後に振り返ると、何かしらの兆候があるものです。裏を返すと、その兆候を見逃さなければ、いち早く手を打ち、事態悪化を回避できます。ただし、兆候を見逃さないといっても人の手では限界があり、すべての会計データや取引をチェックすることは不可能です。

 そこで大きな効果を発揮すると期待されているのが、デジタル監査です。デジタルテクノロジーを用いて客観的にデータ上の兆候をとらえ、それが何を示しているかを、私たち会計士が専門的な知見と蓄積した経験に基づいて判断するものです。

宇宿:我々のデジタル監査における不正検知のためのソリューションは、大きく3つの階層に分かれています。

  1つ目は、「マクロレベルの不正リスク検知」モデルです。不正があった財務諸表の特徴を教師データとして機械学習し、それと近い特徴を持つ財務諸表は、不正が発生しているリスクが高いと評価します。その教師データには、過去10年以上の財務・非財務データと不正の有無、さらに不正の発見と関連が強いと考えられる変数を用いています。 従来の不正リスク検知モデルでは参照可能な変数が限られていましたが、機械学習を用いることで膨大な数の変数を使って検知性能を上げることに成功しました。大局的に不正リスクを捕捉するという観点からは、実用に足る十分な精度が得られるレベルに達しています。

左|坂寄 圭 中央|細井友美子 右|宇宿哲平
KEI SAKAYORI 2001年、監査法人太田昭和センチュリーKPMG国際部入所後、幅広い業種のグローバル企業の監査業務に従事。ロサンゼルス事務所赴任を経て、帰国後は監査調書の電子化など、さまざまなプロジェクトに従事。2019年よりDigital Innovation部副部長として、デジタル技術を活用した監査の変革全般を担当。 
YUMIKO HOSOI 1993年、朝日監査法人(現あずさ監査法人)入所後、さまざまな業種の監査業務に従事。その中で不正による訂正事案を経験。2014年からリスクマネジメント部にも所属し、不正が発覚した監査業務のコンサルテーション、異常点発見のためのリスクシナリオなどに関する法人内研修を担当。
TEPPEI USUKI  早稲田大学大学院理工学研究科情報ネットワーク専攻修了。データサイエンティスト。幅広い業種の会計監査の経験とコンピュータサイエンスのスキルを活用し、会計監査におけるデータ分析の設計、手法開発をリード。一橋大学宮川大介准教授とAI/機械学習を活用した会計不正検知の共同研究にも従事。

 2つ目は、「子会社のリスク分析」です。グループ子会社の財務データを横串で分析することで他社とは異なる特徴を持つ子会社を特定したり、経験豊富な会計士によって立てられたシナリオ(どのような不正が起きるとどのような兆候が表れるか)に基づいて過去の実績データや外部データを統計的手法によって分析し、リスクをスコア化します。

 同様の手法はこれまでも用いられてきましたが、デジタルテクノロジーを活用することで、これまで不可能だったすべての子会社を対象にした全量分析が可能になり、海外子会社などの物理的にも目の届きにくい子会社に対する牽制機能が期待されます。

 そして3つ目が、「ミクロレベルでの仕訳分析とプロセスマイニング」です。取引や仕訳、業務プロセスなどのデータを可視化して統計的手法によって分析することで、異常な取引や、不審な業務プロセスを検知することができます。

 なかでも業務プロセスを可視化するプロセスマイニングは、数値データからリスクにアプローチする他の手法とは異なり、業務プロセスの観点からリスクの所在を示すのが特徴です。たとえば販売プロセスで直属の上位者から受注の承認を得る際に、通常の承認ルートをたびたび回避している社員がいれば、何か問題がありそうだと一目でわかります。

AIと会計士の力を
融合させる

 アカデミア、ITベンダー、データ分析を専門とする会社なども、AIによる不正リスク検知モデルを開発しています。監査法人が提供する意義や強みはどこにありますか。

宇宿:それは、不正を検知したり、リスクをスコア化して終わりではないという点です。なぜリスクが高いと評価されたのか、どのような不正リスクが高いのかを明らかにすることで、本当に不正が発生しているかどうかを詳しく調べるための次のアクションにつなげます。

 また、最終的に不正があったかどうかを見極めて対応を取るうえでも高度な判断が必要で、そのためにはAIと専門家である会計士のシームレスな連携が欠かせません。監査法人である我々が開発する意義は、そこにあります。

坂寄:手作業を前提にした従来の監査では、リソースの限界もあり、母集団から一部の項目を抽出して監査を行う「試査」の手法が取られていましたが、どうしても見ることができない部分が残り、往々にして、そうしたところで不正が発生していました。

 しかし、社会のデジタル化と技術の進化によって、これまで見えなかったものが見えるようになり、すべての会計処理をチェックする「精査的」アプローチが技術的に十分可能になったのです。不正行為は属人的なものであり、時代や環境が変わっても内部統制の仕組みをかいくぐって行われるという意味では、その内容に大きな変化は見られません。一方で、不正検知の手法やツールは日々進化している。つまり、不正対応は解決可能な課題になったわけです。

 ただし、誤解していただきたくないのは、AIも機械学習も我々にとってはあくまでもツールにすぎないということです。AIが異常な点を網羅的かつ客観的にあぶり出しても、なぜそうした異常が起きているかを見極める会計士の存在なしでは、不正検知にはつながらないからです。

 AIの能力が人間を超えるシンギュラリティをいち早く予見したレイ・カーツワイル博士が「AIは人類の知性を拡張するツールだ」と述べていますが、不正対応においては、このツールを存分に使いこなして社会的な価値に結び付ける主体は会計士であり、監査法人です。技術面にどうしても関心が集まりがちですが、デジタル監査の真価は、ツールであるAIと会計プロフェッショナルの力が「融合」することで最大化されます。

不正が起こらない環境を
つくり出す

 企業の最終的なニーズは未然防止にあります。不正を起こさないために、デジタル監査で何ができるのでしょうか。

細井:未然防止を実現するためには、いつどこでどのような不正が起きるのかを予測することが必要ですが、この点においてもAIや機械学習は高い効果を発揮します。不正事例を分析していくと、「動機/機会/正当化」という3つの要因が見えてきます。不正のトライアングルと呼ばれるものです。

 たとえば、業績達成のプレッシャーやインセンティブ報酬は、不正を犯す「動機」となりえます。また、人事ローテーションを行わずに長年同じ業務を一人の社員に任せ切りにすれば、そこに不正の「機会」が生じます。

 さらに、会社のための行為だから仕方がないとか、来月の売上げを今月に前倒しするだけなので誰にも迷惑はかけないはずだといった「正当化」が加わると、不正行為の蓋然性は高まるとされます。

 私たち会計士は過去の経験則に基づいて、対象企業のどこにどのように3つの要因が生じているかを考えながら異常点を探っていますが、AIや機械学習を活用してこの経験則をデータ化することによって、不正の背後にある要因をいままで以上に体系的かつ網羅的に捕捉できるようになります。

 その結果、異常点が多く見られるようであれば、業績悪化の可能性がある、属人的な経営によって管理体制が弱くなっているといったように、不正リスクが高まっていると予測され、事前に手を打つことができます。

宇宿:さらに一歩進んで、AIを使って経験則の裏にある理論を見つけて不正発生のメカニズムを正確に理解できれば、より効果的な未然防止策が打ち出せます。

 たとえば「インセンティブ報酬だから不正が起きる」という因果関係をデータから一定レベル以上で示せれば、インセンティブ契約が関連するところを特に注意してチェックしたり、報酬制度そのものを見直したりすることで、不正防止につなげることも考えられるでしょう。

 企業にとって最も重要なのは、不正を検知することではなく、未然に防ぐことです。つまり不正が起こらない、起こせない環境をつくり出すことにあります。デジタル監査の力を最大限に引き出せば、潜在的なリスクのある環境をいち早く発見して、不正の芽を摘むことができるのです。不正対応は検知から予測、そして防止へと、確実に進化していくといえます。

不正の痕跡をあぶり出す
デジタルフォレンジックの実力

 不正のリスク要因や手口は大きく変わらなくても、ツールは変化しています。電話や書面に代わってメールやSNSが用いられるようになったことで不正の痕跡や証拠が記録され、事件発覚後に解決の突破口となったケースが多々報告されています。

細井:いまの時代、PCやスマートフォンなどのデジタル機器を使わずに不正が行われることはほとんどないと言っていいでしょう。言い換えれば、あらゆる不正の痕跡はデジタルデータの中に残っていることになります。そのため、デジタル機器に記録された情報を証拠能力を維持しながら解析する「デジタルフォレンジック」は、不正調査において高い効果を発揮しています。PCのハードディスクドライブやサーバーに記録されたデジタルデータをはじめ、スマートフォンの位置情報、監視カメラやスマートフォンなどに残る画像や動画データ、無料ネット通話やチャットなどでのやり取りなども、調査の対象になりえます。

 これまでは不正が発覚した後の事後的な対応が主で、削除されたファイルを復元したり、インターネットの閲覧状況などを分析したりすることで、事件の調査や裁判のための証拠確保に役立てられてきましたが、今後は事前の対応、つまり不正検知や予防へと活用が広がると考えられます。

 たとえば、フォレンジックの技術や知見を用いて画像を含むあらゆる領域の大量データをAIで分析することで、網羅的なリスク領域の特定が可能になります。そうなれば不正が起きる前に危機を察知して手を打つこともできます。また、証拠隠滅や改ざんが困難だとわかれば不正を踏み留まる人も出てくるはずで、牽制効果も期待されます。

 KPMGジャパンでは、2019年にフォレンジックグループデータ分析専門の部隊を新設しました。SNSや位置情報を活用した先進的な分析を行うなど、この領域の拡大を図っています。

いま、デジタル監査を
導入すべき理由

 デジタル監査や不正対策としてのAI活用に対する経営者の期待と不安は拮抗していて、投資効果を考えると後回しになりがちです。それでも、いまデジタル監査への対応を進めるべき理由はありますか。

宇宿:監査対応や不正対策のためだけと考えると難しいかもしれませんが、「経営管理の高度化」につながると考えれば判断も変わってくるのではないでしょうか。

 デジタル監査にまず必要なのが、標準化されたデータです。しかし日本企業では、グループ会社はおろか、本社内であっても事業ごとにシステムも業務プロセスもバラバラというケースがいまだに少なくありません。これでは不正リスクの比較も評価もできませんが、その困難さは業績評価や投資の意思決定においても変わらないはずです。そうとらえれば、システム統合やデータの標準化は「経営課題そのもの」だと言うことができます。

坂寄:世界中のグループ会社で、同じシステムに同じルールに則って日々データが入力され、本社が一元管理する──これがいわゆるグローバル企業が行っている世界標準の経営です。財務情報、非財務情報の集約化と標準化はグローバルで事業を行っていくうえで欠かせない経営インフラであり、日本でも先進的な企業は整備を進めています。

 同時に、世界では会計データの標準化も進行中です。世界標準の座を取ろうと各国がしのぎを削っており、このままでは日本は取り残されかねません。企業や監査法人だけでなく、国や会計士団体、ERPベンダーなども一体となって進めていく必要があります。 

 まずどこから手をつければいいでしょうか。

坂寄:我々のデジタル監査ソリューションの効果を実感するところから始めてみるのはどうでしょうか。たとえば、全子会社の財務情報や取引データを可能な範囲で監査法人と共有する。それだけで、いままで見えなかったものが見えるようになるはずです。そこに我々のプロフェッショナルとしての知見に基づくインサイトが加われば、経営課題の解決や新たな施策につながります。

 人間ドックを受けるとなれば誰でも緊張しますが、病気の発見だけでなく、病気に向かう状態、いわゆる未病をいち早く発見することで強い組織ができます。我々はそうした強い組織づくりを、最新テクノロジーと会計プロフェッショナルの力を融合したデジタル監査でバックアップしたい。不正を許さない、見逃さないという経営の強い意志を支えていきたい。それが監査法人の役割なのです。


  1. ●企画・制作:ダイヤモンドクォータリー編集部