監査の視点でデータ活用やデジタル化の問題に取り組みや経済産業省の「Society5.0における新たなガバナンスモデル検討会」などにも参加するPwCあらた有限責任監査法人パートナー久禮由敬氏と、AI・機械学習やクラウドに精通するPwCコンサルティング合同会社パートナー中山裕之氏が、「AI×監査」をテーマに、話し合った。
そもそも「監査」とは何か
〜「それってホント?」に応え「信頼」を得る手段〜
中山:今日は「AI×監査」をテーマにお話を進めたいと思います。監査役監査、会計監査、内部監査、システム監査、セキュリティ監査など、「監査」という言葉は、ビジネスのさまざまな領域で耳にします。その一方で、「監査」の歴史や内容についてよくご理解いただいている方は、それほど多くはないかもしれません。
久禮:「監査」の歴史は一説によると、紀元前4000年代の古代エジプトに遡るといわれていますね。国家が集めた物資が、倉庫で適切に管理されているかどうか、倉庫番とは別の者が保管記録と現物とを照合して確認し、もし不一致があると罰せられていたそうです。「みんなのものが、きちんと管理・保管されているのか」という視点で公会計という考え方が芽生えたということです。
また、十字軍の遠征を契機に、ヨーロッパ内での商業の活発化から複式簿記の活用・発展があり、出資者と経営者、監査人という今の財務諸表監査に近い形が生まれてきました。さらに、その後の大航海時代には、取引や出資者が複雑化・多様化し、現在の株式会社の形態が生まれ、それに伴い財務諸表監査の基礎が定まったといわれています。
中山:監査の歴史は、ある意味で、人類の歴史とともに歩んできているのですね。
久禮:そうですね。長い歴史の中で、共通しているのは、開示された情報について、「それってホント?」という読み手の疑問に答える手段として、監査が利用されている、ということです。例えば、株式会社について考えた時、出資した一人一人が会社に行き、帳簿と実態とを確かめていては大変な作業になります。
調べる方も、調べられる方も、本業に集中できなくなりますし、これは現実的ではありません。そのため、独立した立場で、かつ、専門性のある人が監査人となり、出資者や取引先、広い意味で社会といっても良いかもしれませんが、そうした関係者を代表して、経営者の報告内容に虚偽やミスがないかを確かめる、という「社会の中の仕組み」を作り上げてきたわけです。
中山:なるほど。人間は意図せずミスしてしまうこともあれば、魔が差して意図的な虚偽表示をしてしまうこともありますね。
久禮:はい。もうちょっと一般化すると、開示されている情報について、情報の読み手による判断に影響を与えてしまうような、重大な意図的な虚偽(不正)や、重要なミス(誤謬)がないかどうかを、監査人が確認し、関係者に報告する、というプロセスになります。
シンプルに言えば、委託者と受託者の間にある「疑念」や「不信感」を解消するための手段の1つが「監査」であり、関係者で合意した基準をもとにして、そのルールに照らして実際はどうなっているのかを確かめるのが「監査人」の役割です。社会のために、信頼を付与する、ということですね。監査の種類としては、監査役監査や会計監査のように法律に規定されているものもあれば、内部監査やシステム監査等のように必ずしも法定されていないものの、自主的に行われるものもあります。
テクノロジーの発展とともに進化する監査
中山:監査の歴史で、先ほど大航海時代の話に触れていただいたのですが、この時代は、やはり複式簿記と活版印刷の影響が大きかったでしょうか。
久禮:グーテンベルクの活版印刷技術の発明と普及とは、500年以上前に起きた「情報革命」ですよね。情報流通スピードが圧倒的に変わり、人々の知識欲も思考スピード劇的に変わったため、影響は大きかったと言えるでしょう。このため、「それってホント?」という視点も内容も大幅に進化していき、それにこたえる監査も、複式簿記の発展とともに精緻化してきたと言えます。
中山:いま、私たちは、ビッグデータやAIの利活用によって、いわゆる「情報革命」の真っただ中にいますが、昔の人類もそういう変化に対応してきた、ということですね。
久禮:そうです。デジタル社会の進展に伴い、暗号資産が登場し、株券や契約書、請求書等も電子化され、多様なサービスがネットワーク経由で利用できるようになっています。さまざまな書類や情報がデジタル化される中で、社会からの監査に対する期待や監査のやり方が大きく変わっているのを、日々実感しています。
中山:特に、ここ1~2年は、COVID-19が非常に大きな影響を与えているのではないでしょうか。
久禮:はい。不確実性が高い状況の中で、将来をどう予測しているのか、変化に対応できる備えはあるのかなど、これまで以上に確かめたくなる事項がたくさん出てきます。
「確かめる」という行為、すなわち、監査業務の真髄は、現地・現場・現物にあります。しかしながら、緊急事態宣言が発令されるなど制約がある 中で、なかなか現地・現場に行けない。そこで、今までの監査手法・手続きに加えて、データ分析を活用したり、さまざまなデジタルツールを駆使したり することが求められます。私たちも、そうしたリモート監査の腕を磨きあげ、デジタル証憑の真贋を見抜く技を鍛えて、監査を行っています。
「AI×監査」の2つの意味
〜「Audit with AI」と「Audit for AI」〜
中山:現在の監査の世界は、見方を変えればテクノロジーの進化の中でデジタル化を味方につける挑戦を繰り返してきた結果なのですね。
久禮:私たちは、まさに、その挑戦の真っただ中にいます。デジタル化が進むものをどうやって監査するのか。デジタル技術を使って、どのように監査の質を高めていくか。特にAIを使った監査には大きな可能性があると感じています。
私たちは「AI×監査」には、二つの意味があると考えています。一つは、「Audit(監査) with AI」、もう一つは「Audit for AI」です。前者はAIを活用して監査を行うこと、後者はAIのための監査です。
「Audit with AI」の現状と未来
中山:それは面白い考え方です。まずは、「AI×監査」の一つ目の意味、「Audit with AI」から、詳しく聞きたいと思います。今、監査業務におけるAI活用の現状はどうなっているのでしょうか。
久禮:AIを使った監査は、世界的に進化しています。わかりやすい例では、伝票のチェックがあります。会計帳簿は、会計伝票の積み上げでできています。この一つ一つの会計伝票の起票・承認・転記については、意図的な虚偽や意図せざる誤謬(ミス)が起こりやすい特定の業務、会計事象や仕訳のパターンがあります。
従来は、大量の伝票を全てチェックできませんでしたので、サンプリングなどを行って全体の虚偽表示を推測していました。しかし最近は、データ分析を使えば、全ての伝票を見ることができます。そして、さらにその虚偽表示やミスのパターンを学習させてAIを活用すれば、全件を見た上で、「これは普通ではないな」「これはおかしいのでは」といった伝票を非常に高い確率で効率よく発見できるようになりました。
中山:なるほど、人海戦術だけで監査していた時代とは明らかに精度の違うレベルの監査ができますね。そうすると、例えば若手の公認会計士でも、AIの力を借りることによってベテランに近いチェックができるようになるのでしょうか。
久禮:可能性は十分にあると思います。私たちの法人でも、AIを活用した監査手続きの研究・実践のみならず、VRを活用した社員研修等にも力を入れています。監査には判断を伴う業務が多いため、人間の役割は非常に重要なのですが、AIを武器にして、監査人が今までとは違う時間の使い方や確かめ方をしていく、というプロセスが大切だと思います。
例えば、経営者の方との議論・質問・対話の時間を増やすことで、課題を正確にキャッチし、その解決のためにさまざまなシミュレーションを用意して未来予測をしながら進めていく。その中でうまくテクノロジーを活用していけば、監査の奥行きが広がりますし、それによって社会から寄せられるさまざまな期待にも応えていけるのだと感じます。
例えば、原油価格が1%上昇したら調達価格はどうなるのか、金利や為替が1%変動したら最終損益はどうなるのか、昨今でいえば、COVID-19に対する緊急事態宣言の開始ないしは解除が企業経営に与えるインパクトはどんなものかなど、前提・シナリオを基にしたシミュレーションの中にAIの力を融合させていくことが重要です。
ビジネスモデルがデジタル化・複雑化していく中で、アナログだけの時代にはなかった新しいリスクも生まれてきています。こうした新しいリスクに、アナログとデジタルの総力戦で向き合うことも有効でしょう。
「Audit for AI」の現状と未来
中山:AIはあくまでもツールであって、それを使いこなせるかどうかは人間次第ということになりますね。次に、「AI×監査」の二つ目の意味、「Audit for AI」については、いかがでしょうか。
久禮:これは、まさに新しい世界、新しいジャンルの監査だと思います。AIの利活用が進むにつれて、「AIのやっていることがよくわからない」「AIはブラックボックスで困る」という話が出てきています。従前の監査が「それってホント?」に向き合うための手段であったとすると、「そもそも何なの?」というお題に向き合っている感じです。資本市場にとどまらず、クルマの自動運転やドローンの自動運航など、本当にそれは大丈夫なのか、だけでなく、そもそもその仕組みはどうなっているのか、という点が加わっています。
自動運転を取ってみると、人間と自動車の間のマン・マシン・コミュニケーションだけでなく、自動車と信号機、走行している自動車同士のマシン・マシン・コミュニケーションも常にそのプロセスに介在しています。こう考えると、AIに対する監査というのは、言葉にすると簡単なのですが、実は対象が極めて広く、Society5.0で言うところの社会全体のデジタル・アーキテクチャーそのものの中に、監査という機能が埋めこまれていく可能性が出てきます。
中山:私は、経営のさまざまな局面でAIの活用を促進するコンサルティングを行っています。幅広い業務やビジネスモデルにAIが組み込まれ、継続的に学習を重ねながらいろいろな作業を自動化するようになったときに、AIそのものがいわば恣意的に動いてしまうリスクもあるように感じています。AIが暴走しないのかどうかを、きちんと管理・監督し、監査する必要は、確かにありそうです。
久禮:そうですね。「Audit for AI」のポイントは、「AIの倫理」、すなわち「AIガバナンス」から始まるのだと思います。国家や企業、組織がAIを活用するときの、自分たちなりの方針や原則、ルールが非常に大事なのです。さらにAIガバナンスは自分たちの自己規律としてどう構築するかということに加えて、そのガバナンスをどうやって外部のステークホルダーに理解してもらえるかも大切です。
その上で、AIのリスクを最小化するには、何の領域でどう使っているかが説明できなければいけません。使う側がブラックボックスを作らないようにする必要があります。最近では、世界各国でAIガバナンスについての検討が進んでおり、日本でも2021年7月に「AI原則実践のためのガバナンス・ガイドラインver.1.0」が公開されています。
「人間とAIのダイバーシティ&インクルージョン」
〜重要性を増す説明責任〜
中山:今日お話してきた「AI×監査」は、これからも非常に大きな可能性を秘めていると思います。AIを使った監査にしても、AIに対する監査にしても、人間がそれをすんなりと理解し、腹落ちさせられるのか、ということが大切になりそうですね。社会として、「AI×監査」を、どのように活用し、受け入れられるのかという点が大きなチャレンジになるような気がします。
久禮:その通りだと思います。社会の中でAIの利活用がどれだけ進んでいくにしても、「最後は人間がわかっている」ということが極めて大事です。リスクマネジメントについて企業経営者の方と意見交換をさせていただく際に、「委任と放任とは天と地ほどの違いがある」という話題になることがありますが、これは、AIについても当てはまると思います。「なんだかよくわからないけれど、AIに任せておけば大丈夫なはず」と安心してしまうのではなく、「自分たちはAIをこのように使っている。AIがブラックボックスになっているわけではない」といえるようにならなければいけません。
中山:まさしく、「AIガバナンス」の真髄を発揮すべき領域であり、今まで以上に「説明責任」が重要視されるようになると感じます。
久禮:はい。日本では昨年「デジタルガバナンス・コード」が策定・公表され、まさに官民を挙げて、DX(デジタルトランスフォーメーション)が急激に加速しています。さらに、この6月には、コーポレートガバナンス・コードも改訂され、国内外で経営の透明性に関する説明責任に寄せられる期待が大きくなっています。
そもそもAIは、どのようなシーンで活用するかによって、影響も効果も大きく変わります。利用環境は、クラウドなのか、オンプレミスなのか。データプライバシーは絡むのか、絡まないのか。RPAは使っているのか、使っていないのか。さらに、サイバー空間につながっているのか、つながっていないのか。データはどのように作成・収集・管理・消去されているのかなど、さまざまな変数があります。
こうした状況について、1つずつに光を当てると、クラウド・ガバナンス、プライバシー・ガバナンス、RPAガバナンス、セキュリティ・ガバナンス、データ・ガバナンスという概念が生まれ、これらは静的で伝統的なデジタルガバナンスとして「ITガバナンス」と呼ぶことができます。
一方、最近は環境の全てに密接に関係する要素として「AIガバナンス」と呼ばれるものが出てきています。さらに、これらのガバナンスをきちんと同期化させるものとして「ガバナンス・オブ・ガバナンス」という表現も使われるようになってきました。静的で伝統的なITガバナンスに加えて、動的で革新的なAIガバナンスをはじめとしたさまざまなガバナンスを組み合わせ、包括的なガバナンスを実現させることで、「人間とAIのダイバーシティ&インクルージョン」を進めていくのが、今後大切になると思います。
社会全体で挑戦する「アジャイル・ガバナンス」
〜「AI×監査」から透けて見える未来〜
中山:イノベーションが活発化し、変化の激しい世界で、「ガバナンス・オブ・ガバナンス」を実現していくのは大変な作業です。自社で規律付けをする、その上で、本当に正しいのかという疑問や不安に応えるべく、第三者にもわかりやすく説明できることが、これからの課題になりますね。
久禮:Society5.0では「政府」「企業」だけでなく、「コミュニティ」「個人」も含めてステークホルダーの役割が大きく変わります。今起きている変化を踏まえると、これからは環境が安定的な時代に提唱されてきた「コンプライ・オア・エクスプレイン」(原則から外れる場合にだけ説明する)という姿勢だけではなく、「コンプライ・アンド・エクスプレイン」(原則に従う場合でも説明する)という姿勢も求められるようになると思います。
企業や組織は、Plan-Do-Check-ActionというPDCAサイクルを高速で回しながら、新しいイノベーションを生み出した際に、「これまでのルールにはこのようにコンプライします。ルールがそぐわないところは、自分たちはこう対応します」とか、「こういう新しいルールを提唱します」という形で、説明責任を臨機応変に、かつ、継続的に果たしながら、経営していくスタイルが求められるでしょう。
中山:まさに社会全体での「アジャイル・ガバナンス」の実現が望まれます。「AI×監査」の進化に、引き続き注目していきたいと思います。
関連情報
DXが加速するSociety5.0への挑戦──デジタルガバナンス・コードの先にあるもの
https://www.pwc.com/jp/ja/knowledge/prmagazine/pwcs-view/202109/34-01.html