この記事で学べること

  • EU AI法の4段階リスク分類と監査AIシステムの該当性判定
  • 高リスクAIシステムに該当する場合の具体的コンプライアンス要件
  • 日本の監査法人がEUクライアントに対してAI監査ツールを使用する際の法的留意点
  • 監基報220号改訂版の品質管理要件とAI法要件の統合方法

この記事で学べること

  • EU AI法の4段階リスク分類と監査AIシステムの該当性判定
  • 高リスクAIシステムに該当する場合の具体的コンプライアンス要件
  • 日本の監査法人がEUクライアントに対してAI監査ツールを使用する際の法的留意点
  • 監基報220号改訂版の品質管理要件とAI法要件の統合方法

EU AI法の基本フレームワーク

EU AI法(規則2024/1689)は、AIシステムを4つのリスクカテゴリーに分類している。監査テクノロジーの多くは「高リスクAIシステム」に該当する。

監査AI技術の分類基準


監査で使用されるAIシステムは、その機能により異なるリスクレベルに分類される:
高リスク該当の可能性が高いシステム:
限定リスクまたは最小リスクの可能性があるシステム:
この分類は、AIシステムが監査人の専門的判断にどの程度影響を与えるかで決まる。監基報200号が求める「合理的な保証」の判断プロセスに直接関与するシステムほど、高リスクに分類される可能性が高い。

適用スケジュールと段階的施行


EU AI法の施行は段階的に行われる:
監査事務所は2027年8月までに、使用するAIシステムの分類確認と必要な対応を完了させる必要がある。ただし、新しくAIシステムを導入する場合は、導入時点で適用される規制に即座に準拠しなければならない。

  • 財務諸表の重要な虚偽記載リスクを自動判定するツール
  • サンプリング戦略をAIが決定するシステム
  • 異常取引の検出と重要性評価を組み合わせたツール
  • クライアントの継続企業の前提に関する自動判定システム
  • 基本的な計算補助ツール(重要性計算機等)
  • 文書管理システムのAI検索機能
  • 標準的な監査調書テンプレート生成ツール
  • 2025年8月2日:禁止されたAI慣行の規制開始
  • 2026年8月2日:汎用AI基盤モデルの規制開始
  • 2027年8月2日:高リスクAIシステムの本格規制開始

高リスクAIシステムの要件

AIシステムが高リスクに分類された場合、以下のコンプライアンス要件を満たす必要がある。

技術文書とリスク管理


必要な文書化:
これらの要件は、監基報220号改訂版(2025年12月15日施行)の品質管理システムと統合して管理することが現実的だ。同改訂版では、IT環境の監視と品質リスクへの対応が強化されており、AI関連リスクもこの枠組みで管理できる。

人間による監視と透明性


高リスクAIシステムには、人間による効果的な監視が義務付けられている:
監視の具体的要求:
この要求は監基報500号の監査証拠に関する要求と整合している。AIが提供する情報も監査証拠の一種として、監査人が評価・検証する必要がある。

データガバナンスと訓練データ管理


AIシステムの訓練データには厳格な品質要件が課される:
日本の監査法人がEU域内のクライアントデータでAIシステムを訓練する場合、これらの要件に加えてGDPRの越境データ移転規制も考慮する必要がある。

  • AIシステムの設計仕様と訓練データの詳細
  • アルゴリズムの決定ロジックと限界の明記
  • 監査用途での想定パフォーマンス指標
  • システム障害時の代替手順
  • AIの出力を監査人が検証可能な形で提示
  • システムが不確実性の高い判断を行う場合の警告機能
  • 監査人がAIの推奨を覆す仕組みの提供
  • AI判定の根拠を監査調書で説明可能な形での記録
  • バイアスの特定と軽減措置
  • データの代表性確保
  • 個人データ保護規則(GDPR)との整合性
  • 訓練データの出所と品質の文書化

実例:AIリスク評価システムの運用

田中監査法人の事例
田中監査法人は、売上500億円の製造業クライアント向けに、AIを活用したリスク評価システムを開発している。このシステムは、クライアントの財務データと業界データを分析し、監基報315号に基づく重要な虚偽記載リスクの識別と評価を半自動化する。
ステップ1:システム分類の確定
文書化:AIシステム分類評価書にて、本システムが監査人の専門的判断に直接影響を与える高リスクシステムであることを記録。
ステップ2:技術文書の整備
文書化:品質管理システムファイルの「IT環境」セクションにて一元管理。
ステップ3:人間監視システムの構築
文書化:各監査調書に「AI判定検証」欄を追加し、監査人の判断プロセスを記録。
ステップ4:データガバナンスの確立
文書化:データ管理規程を改定し、AI関連データの取扱いルールを明記。
結果: 田中監査法人は、EU AI法の要件を満たしながらAI技術を活用したリスク評価を継続している。年間の追加コンプライアンス費用は約300万円だが、監査効率の向上により投資は回収されている。

  • 使用する財務指標(流動比率、負債比率、売上総利益率)の選定根拠を明記
  • 業界ベンチマークデータの収集方法と更新頻度を文書化
  • AIモデルの精度指標(適合率92%、再現率88%)を記録
  • AIが「高リスク」と判定した勘定科目について、シニアマネージャーによる再検証を必須化
  • システムの信頼度が70%未満の判定については警告を表示
  • 監査人がAI判定を変更した場合、その理由を監査調書に記録
  • 訓練データに使用する業界データの匿名化処理を実施
  • 四半期ごとにモデル精度の再検証を実施
  • クライアントデータの保存期間を監査調書保存期間と同一に設定

実務チェックリスト

  • 現在使用中のAI監査ツールのリスク分類を完了する(監基報220号改訂版の品質リスク評価と同時実施)
  • 高リスクシステムについて、EU AI法要求項目への適合性評価を実施する(技術文書、リスク管理、データガバナンス)
  • AIシステムの監視手順を監査マニュアルに組み込む(監基報500号の監査証拠要求と整合させる)
  • AI関連の品質リスクを事務所の品質管理システムに統合する(2025年12月15日の監基報220号改訂版施行に合わせる)
  • EUクライアントを持つ場合、データ越境移転とAI法の両方への対応策を整備する
  • 最重要事項:AIに依存した監査判断の根拠説明能力を確保する - 規制当局の検査で最も重視される項目

よくある誤解

  • 「基本的な計算ツールは規制対象外」という思い込み - 重要性計算にAIを使用し、その結果が監査戦略に直接影響する場合、高リスク分類の可能性がある。
  • 「日本の事務所は関係ない」という誤認 - EUクライアントへのサービス提供や、EUで開発されたAIツールの使用時には適用される。
  • 「2027年まで対応不要」という先延ばし - 新システム導入時は即座に適用されるため、計画的な準備が必要。
  • 「AIの出力を全件レビューすれば規制対応は完了」という誤解 - EU AI法第14条は、単なる出力レビューではなく、システム設計段階から人間が監視に関与する仕組みを求めている。監基報500号.A31の「情報の信頼性」評価と組み合わせ、AIの判定根拠そのものを検証する体制の構築が必要。

関連リンク

実務に役立つ監査の知見を毎週お届けします。

試験対策ではありません。監査を効率化する実践的な内容です。

290以上のガイドを公開20の無料ツール現役の監査人が構築

スパムはありません。私たちは監査人であり、マーケターではありません。