不正事例に学ぶ　子会社のリスク管理のポイント　第13回　AI・デジタル×監査

コロナ禍における、リモートワークの進展や海外渡航制限によって、これまでの子会社管理の手法が適用できないケースもあり、AIを含むデジタル技術の必要性は更に高まっています。
株式会社 KPMG FASが上場会社を対象として実施した調査においても、不正の防止・発見のためAIが「有効」と回答した企業は約半数を占めました。一方で、その「有効性は不明」と回答した企業も約4割となっており、不正対策としてAIを活用している企業は2％に止まっています。
本連載最終回である今回は、AIおよびデジタル技術を活用した子会社管理を行う際の考え方・留意点について説明します。

子会社管理において、規模の大きな子会社だけを検討の対象とするケースや、前期や予算との比較はするものの、どのような点に注目して、どのような対応をするかについて「経験と勘」に頼っているケースは多くあります。「経験と勘」を活用するということ自体は悪いことではなく、実際この「経験や勘」が威力を発揮して、不正を発見するということもあります。一方、この「経験と勘」には弱点があります。それは、暗黙知ゆえ、そのノウハウをうまく引き継ぐことが難しい点です。また、個人の能力に頼っているため、会社の規模が大きくなったり、子会社の数が多くなったりしたときに、網羅的に対応することが困難になるということもあります。この結果、海外のあまり着目されていなかった子会社で不正が横行し、いつの間にか大きな不正になっていたというような問題が起こり得ます。さらには、これまでの子会社管理において、現物を見たうえで対面で話をするということが不正を発見するための万能な手段とされていることもあります。現物を見て対面で対話をするということは、非常に有用な不正発見の手段ではありますが、遠隔での対応ができず、どうしても頻度が1年に1回、四半期に1回といったものになり、早期に発見することが難しくなりがちです。
AI・デジタル技術は、万能薬ではありませんが、うまく活用すればこのような課題を克服できる可能性があります。

AI・デジタル技術を活用した子会社管理は、どのような効果をもたらすのか、またそれを実現するには何が必要か、そしてそこにはどういった限界があるのでしょうか。
まず、メリットとしては以下のようなものが挙げられます。

1. 属人化防止
   これまで属人的に行われていたことの一部を自動化したり、専門家等の知見をスムーズに取り入れたりすることが可能になります。
2. 「見逃し」防止
   発覚した不正の中には、長年にわたって行われていたが、比較的規模の小さな子会社であったため、見逃されていたというケースも多くあります。AI・デジタル技術は、網羅的にデータを投入してモニタリングすることで、このような見逃しを防止する効果が期待できます。
3. 遠隔地対応
   海外の子会社で大きな不正が発生する事例は後を絶ちませんが、その原因の一つとして、子会社のガバナンスが現地に任せきりになり、親会社の目が行き届いていないということが挙げられます。さらに足元では、新型コロナウイルス感染症の影響で、海外への渡航が制限され、海外へ直接赴いて管理するということが困難になってきています。AI・デジタル技術を活用することで、海外子会社からでもデータを入手して、モニタリングするということが可能になります。
4. 早期の問題発見
   より粒度の細かいデータを、より高頻度に分析することが可能になります。例えば、月次や日次の頻度でリスク分析や異常検知を行うことで、問題が大きくなる前に早期に発見し、対応できる可能性があります。
5. 牽制効果
   上に挙げたような、メリットを活用し、適時にリスクが高いエリアを特定し対応することで、子会社のマネジメントや従業員に「自分は見られている」という意識を持たせる牽制効果が期待できます。

子会社管理においてAI・デジタル技術を活用するために、何かしらのAIソフトを買ってきて、インストールしたら終わりというわけにはいきません。実際には地道な積み上げが必要であり、そのステップには以下のようなものがあります。

1. データの整備
   AI・デジタル技術は、データを活用するための技術とも言えます。その力を発揮するには、正しいデータ、適切な粒度のデータ、適時に利用できるデータが重要になります。ただし、このようなデータがしっかり揃ってから後続のステップを始めるというアプローチは、データをどのように利用するかが見えないまま迷走するケースも多いため、まずは、現在あるデータの分析から初めて必要なデータを明確にしていくというアプローチが有効です。
2. データの理解・基礎的な分析
   ある程度データが整備されている状態でも、本当にどのようなプロセスを経てどのようなデータが蓄積されているかを理解できていないことは多くあります。例えば、子会社によって、実はデータの入力ルールが異なり、同じ名前のデータでも異なる意味の情報が入っているというケースもあります。そのため、データの意味を理解することが重要になります。また、合わせて基礎的なデータの分析を行うことにより、異常の有無や傾向を把握します。この際、3～5年といった長期における指標の動きを分析すると、前期や当期の予算との比較だけでは気づかなかったような傾向を把握できます。この基礎的なデータ分析の段階では、可視化が有効です。データを可視化するためのソフトウェアを活用し、全体像を把握したうえで、様々な切り口でデータを見ることにより、データの理解を深めます。
3. 仮説の構築
   ビジネス・内部統制・データの理解に基づいて、不正が起きたときにどのような現れ方をするかについて仮説を構築します。このステップでは、実際には前のステップの基礎的な分析と並行して仮説の構築を行うことが多いです。仮説を構築する際は、検知したいものが不正が起きた兆候なのか、本連載第4回（ No.3472 ）「不正のトライアングル」で述べられているような不正が起きやすい状況、例えば、予算に対するプレッシャーが非常に高まっている状態なのかを意識することも重要です。実際には、基礎的な分析と仮説の構築のプロセスの中で、問題の原因が把握でき、対応策も見えてくるという場合もあり非常に重要なステップとなります。
4. 仮説に基づいた判定モデル（AI）の構築
   次に、仮説に基づいて、異常を検知するための判定モデル（AI）を構築します。このモデルには、仮説をルールとして直接プログラムするタイプ（ルールベース）と、データに基づいて学習したモデルを作成するタイプ（機械学習ベース）があります。機械学習ベースのAIの方が優れているように聞こえるかもしれませんが、実際には次の章で挙げるような難点もあり、これらの2つのタイプはうまく使い分ける必要があります。
5. 結果の評価・仮説の更新・改善
   作成した判定モデルは、その結果を評価し、場合によっては仮説を更新し改善していく必要があります。作成したモデルと結果が一見よく見えても、実際にはデータの問題やアルゴリズムの問題により、おかしな結果となっているということは良くあることです。そのため、作成した判定モデルの結果が、これまでの経験と相反する部分はどこか、その理由は何かといったことを慎重に検討する必要があります。

少なくとも現時点では、AI・デジタル技術は子会社管理における万能薬ではなく、次のような限界・留意点があります。

1. Concept drift
   AIの多くは、設定した仮定や過去のデータから学習した内容に基づいて予測や異常検知を行いますが、過去の前提・仮定が通用しなくなってしまい、結果として予測や異常検知がうまくできず、異常なものを異常でないと判別する、逆に異常でないものが異常と判別するということが起こり得ます。この現象をConcept driftと呼びます。新型コロナウイルスの影響は、これまでの前提を大きく覆す可能性があり、まさにConcept Driftが起きている可能性が十分にあります。このような環境下では、利用しているAIが引き続き正しく機能しているかのモニタリングをすることが求められます。もし、機能していないと判断された場合は、それでも不変の部分を見極める、新たな仮定を設定するということが必要になります。
2. 元データの改ざん
   リスクを評価する際に利用するデータ自体を改ざんされ、正しくリスク評価ができないということが考えられます。このリスクに対応するには、データがどのように作成されているかを理解し、データが改ざんされるリスクを評価することや、複数の観点を使って、データの整合性を見ることが重要となります。
3. 結果の解釈・活用
   特に機械学習ベースのAIの場合、予測は当たるが、「なぜそのような結論に至ったか」が見えない、いわゆるブラックボックス化してしまうものもあります。実務上は、リスクが高いエリアを見つけて、その対応策を考える必要がありますが、この「なぜ」が分からないと対応が難しいケースがあり、従来の「勘」による対応と同様の問題に突き当たることがあります。解釈のための手法は色々と研究・開発されていますが、それらを活用するためには、手法の理解に加えて、ビジネスやデータの理解が重要となります。

AI・デジタル技術の発展により、子会社のリスク管理はどのように進化していくでしょうか。
一つは、過去のデータから学習するAIが常にアップデートされ、一つ一つの取引を実行するごとに、リスクを検証することが可能になるかもしれません。すでに、ある企業では、過去の修正された仕訳の履歴情報を活用し、誤っているリスクが高い仕訳をアラートする機能を実装しています。これがさらには不正やビジネス的にリスクが高い取引をアラートするようなものへと進化していくことが考えられます。
また、データから学習するAIがリスクの高さをアラートするだけではなく、その対応策や改善策に対する示唆を与えるように進化していくことが考えられます。これを実現するには、AIの解釈可能性を向上することや、AIで因果関係を解き明かすということが必要となりますが、このエリアは現在盛んに研究されていますので、将来的には実現する可能性は十分にあると考えられます。ただし、これらのAIが完全自動ですべての問題を把握し、対応までしてくれるという未来はまだまだ先で、まずはこれらのAIをうまく活用できる組織・人が必要となります。

13回にわたり、不正事例の実態について解説いたしました。新型コロナウイルスは社会構造にも大きな変化をもたらし、企業の事業環境が変わる中で、これまで認識されていなかったリスクの検知や、新たな手法による不正の発見というニーズは高まっています。あずさ監査法人ではこれまで以上に、社会からの期待に応え、インサイトのある監査を提供できるよう取り組んでいきます。

^※本記事は、「週刊 経営財務」No.3492号（2021.02.01号）に掲載されたものです。本記事の掲載については、税務研究会の許諾を得ています。無断での複写・転載は禁じます。

有限責任 あずさ監査法人
Digital Innovation部 　ディレクター　宇宿 哲平