Definition
2024年の繁忙期、ある中堅監査法人のマネージャーが品管レビューで指摘された。生成AIで比率分析を自動化していたが、品質管理ファイルにAIツールの記載が一切なかったのである。金融庁の2024年度モニタリングでも同様の文書化ギャップが複数指摘されており、この問題は一事務所に限った話ではない。
仕組み
EU AI法は、AIシステムが監査・会計業務で用いられるとき、いかなる規制対象か定める。リスクレベルに応じた要件を段階的に設けるのが特徴だ。
「高リスク」に分類されるAIは、調書の準備、不正リスク評価、継続企業の前提判断に直接作用する可能性がある。この場合、準拠性評価(適合性評価)を事前に実施し、AIの判断支援能力と出力の可追跡性を文書化する。EU規則2024/1689の第4編第5章は、高リスクシステムに対する監査人の具体的責任を定めている。
「限定的リスク」または「最小限のリスク」に分類されるAIは、より簡潔な記録で足りる。ただし、いずれの分類であれ、出力が最終的な監査判断に組み込まれるなら、その根拠を調書に記載する必要がある。
正直、多くの監査法人は生成AIツール(ChatGPT、Claude、あるいは内部構築モデル)をリスク評価や調書作成補助として使っているが、EU AI法上の分類を事前に判定していない。この「リスク分類」が施行要件の第一段階であり、判定後に準拠性評価の計画と実施が続く。
実務例:ベルカー監査法人
クライアントはオランダ製造業、FY2024、売上€58M、IFRS準拠。
ベルカー監査法人は、ISA 315(改訂2019)のリスク評価段階で、生成AIを用いて過去3年間の財務比率分析を自動化している。ツールは異常値の検出と変動の説明文草案を生成するが、品管ファイルにはこのAIツールの使用が記載されていなかった。
AIシステムの分類
事務所の品管部門がEU AI法の定義に基づきツールの用途を再評価した。財務分析と比率異常値の検出は、監査判断の材料(不正の可能性、継続企業の懸念)に直接影響を与える。このツールは「高リスク」に分類される。
文書化ノートとして「AIリスク分類シート」に、ツール名、用途、分類根拠、施行日時期を記載。
準拠性評価の計画
高リスク分類を受けたため、事務所は以下の項目を評価する。(a) AIの出力精度(過去12ヶ月のサンプル100件で、生成した異常値フラグと実際の監査発見の関連性をテスト)、(b) トレーサビリティ(AIの推奨を採択・却下した記録が保持されているか)、(c) 能力の制限(AIが認識できない業界固有のリスク、たとえば製造業特有の粉飾手法がないか)、(d) モデルのバージョン管理と更新履歴の追跡可能性。
文書化ノートとして「準拠性評価チェックリスト」に各項目のテスト結果と結論を記載。
継続的なモニタリング
評価完了後、事務所は四半期ごとのレビューをスケジュールする。レビューでは、AIの推奨と実際の監査判断の乖離度合い、クライアント固有の異常(新規部門、M&A、異常な取引)がAIモデルで十分に識別されているかを確認する。
文書化ノートとして「AI出力モニタリングログ」に四半期サマリーと修正措置(あれば)を記載。
事務所は、このAIツールの使用が規制上許容されることを証明し、その出力の根拠を全ての監査ファイルに記載した。
監査人とレビュアーがよく誤解する点
- 金融庁は2024年度のモニタリングレポートで、AI・自動化ツールの品管ファイルへの記載不足を複数業務で指摘した。生成AIの分析結果が監査判断の根拠として直接使用されている場合に、そのプロセスが文書化されていないケースが目立つ。IQM 1第13項が要求する「定期的な監視」の不履行に該当する。
- 多くの事務所は「AIの分類判定は施行が近づいてから」と想定しているが、高リスク分類を受けた場合の準拠性評価には3〜6ヶ月かかる。施行日(2025年12月)から逆算すると、分類判定は2025年5月までに完了すべきである。現状、半数以上の事務所で判定が開始されていない。本音を言うと、繁忙期が明けてから着手しようという空気が業界全体にあるが、スケジュールは待ってくれない。
- ChatGPTなど既成の生成AIツールと、事務所が社内構築したAIシステムはEU AI法上の規制対象が異なる。既成ツールについてはベンダーの準拠性評価書を要求する必要があり、社内開発システムは事務所自ら評価を実施する義務がある。この区別を経営層に説明できていない事務所が多い。
国際基準との関連性
EU AI法の施行は、EAABの実装ガイダンスおよび国別の規制当局(AFMなど)の指示に基づいて段階的に進む予定である。オーストラリア(ASA 220修正案)、シンガポール(SSA 220補足ガイダンス)、英国(FRC Guidance on Quality Management)も同様の監視要件を検討中だ。ただしEUの枠組みが最も具体的であり、実装スケジュールが明確に定められている。日本ではCPAAOB・JICPAがAI関連の品質管理要件拡張を検討中であり、EU AI法の動向は監基報改定の参考例となるだろう。
関連用語
- 準拠性評価(Conformity Assessment): 高リスクAIシステムについてEU AI法が要求する事前・継続的な評価プロセス。監査人はこの結果と根拠を調書に記載する必要がある。 - IQM 1(品質管理): 監査法人全体の品質管理に関する国際基準。AI・自動化ツールの定期的な監視と有効性評価を要求する。 - リスク分類(Risk Classification): EU AI法上、AIシステムを「禁止」「高リスク」「限定的リスク」「最小限のリスク」に分類するプロセス。監査法人は自社で使用するAIについて、この分類を完了させなければならない。 - ISA 315(改訂2019)リスク評価: 監査上のリスク評価段階で、生成AIやデータ分析ツールが多用されている領域。EU AI法の準拠性評価はこの段階のAI使用と密接に関連する。 - 監基報とAI対応: 日本の監査基準(監基報)もAIに伴う品管要件の拡張を検討中である(金融庁の2024年度報告)。EU AI法の動向は日本の今後の基準改定に影響を与える。 - 継続企業の前提判断とAI: ISA 570(改訂2024)では継続企業の評価が厳格化された。この段階でAIツール(予測分析、キャッシュフロー予測モデル)を使用する場合、EU AI法の準拠性要件が適用される可能性がある。
関連するCiferiツール
監査法人向けの「AI・自動化ツール リスク分類ワークシート」を開発中である。このワークシートでは、貴事務所が使用するAIシステムの一覧化、リスク分類の判定根拠、準拠性評価の計画立案をサポートする予定だ。
---