Definition
EU AI法(AI Act)は、人工知能システムが監査・会計業務で用いられるときに、いかなる規制対象か定める。この法は、AIシステムのリスクレベルに応じた要件を段階的に設ける。
仕組み
EU AI法(AI Act)は、人工知能システムが監査・会計業務で用いられるときに、いかなる規制対象か定める。この法は、AIシステムのリスクレベルに応じた要件を段階的に設ける。
「高リスク」に分類されるAIは、監査調書の準備、不正リスク評価、または継続企業の前提判断に直接作用する可能性がある。この場合、準拠性評価(適合性評価)を事前に実施し、監査人の判断を支援する能力、出力の可追跡性、およびシステムの堅牢性を文書化する。EU規則2024/1689の第4編第5章は、高リスクシステムに対する監査人の具体的責任を定めている。
「限定的リスク」または「最小限のリスク」に分類されるAIは、より簡潔な記録で足りる。ただし、いずれの分類であれ、その出力が最終的な監査判断に組み込まれる場合には、適切性の根拠を記載する必要がある。
多くの監査法人は、生成AIツール(ChatGPT、Claude、あるいは内部構築のモデル)をリスク評価ツールや調書作成補助として活用しているが、これらがEU AI法上いずれの分類に該当するかを事前に判定していない。この判定(「リスク分類」)が施行要件の第一段階。判定後、必要に応じて準拠性評価の計画と実施が続く。
実務例:ベルカー監査法人
クライアント: オランダ製造業、FY2024、売上€58M、IFRS準拠。
背景: ベルカー監査法人は、ISA 315(改訂2019)のリスク評価段階で、生成AIを用いて過去3年間の財務比率分析を自動化している。このツールは、異常値の検出と変動の説明文草案を生成する。品質管理ファイルに、このAIツールの使用については記載されていない。
ステップ1:AIシステムの分類
事務所の品質管理部門は、EU AI法の定義に基づき、このツールの用途を再評価する。財務分析と比率異常値の検出は、監査判断の材料(不正の可能性、継続企業の懸念、説明責任性の判定)に直接影響を与える。したがって、このツールは「高リスク」に分類される。
文書化ノート:「AIリスク分類シート」に、ツール名、用途、分類根拠、施行日時期を記載。
ステップ2:準拠性評価の計画
高リスク分類を受けたため、事務所は以下の項目を評価する:(a) AIシステムの出力の正確性(過去12ヶ月のサンプル100件について、生成した異常値フラグと実際の監査発見の関連性をテスト)、(b) トレーサビリティ(ユーザーがAIの推奨を採択または却下した記録が保持されているか)、(c) 能力の制限(AIが認識できない特定の業界リスクがないか、例えば業界固有の粉飾手法)。
文書化ノート:「準拠性評価チェックリスト」に各項目のテスト結果と結論を記載。
ステップ3:継続的なモニタリング
評価完了後、事務所は四半期ごとのレビューをスケジュールする。各レビューでは、(a) AIの推奨が実際の監査判断とどの程度乖離しているか、(b) クライアント固有の異常(新規部門、M&A、異常な取引)がAIモデルで十分に識別されているか、を確認する。
文書化ノート:「AI出力モニタリングログ」に、四半期ごとのサマリーと修正措置(あれば)を記載。
結論: 事務所は、このAIツールの使用が規制上許容されることを証明し、かつその出力の根拠を全ての監査ファイルに記載した。これにより、EU AI法施行後(2025年12月)の監査規制への対応準備が完了した。
監査人とレビュアーがよく誤解する点
- 監基報レベルの指摘(第1段階): 金融庁は2024年度のモニタリングレポートで、AI/自動化ツールの品質管理ファイルへの記載不足を、複数業務で指摘した。特に生成AIを用いた分析結果が、監査判断の根拠として直接使用されている場合、その適切性判断のプロセスが文書化されていないケースが多い。これはIQM 1(品質管理)の第13項で要求される「定期的な監視」の不履行に該当する。
- EU AI法の分類判定遅延(第2段階): 多くの事務所は、「AIの分類判定は施行が近づいてから実施すればよい」と想定している。しかし、高リスク分類を受けた場合、準拠性評価に3〜6ヶ月を要する。施行日(2025年12月)から逆算すると、分類判定は2025年5月までに完了すべき。現状、半数以上の事務所で判定が開始されていない。
- 社内開発AIと既成ツールの混同(第3段階): ChatGPTなど既成の生成AIツールと、事務所が社内構築したAIシステムは、EU AI法上の規制対象が異なる。既成ツールについては、ベンダーの準拠性評価書を要求する必要があり、社内開発システムについては事務所が自ら評価を実施する義務がある。この区別を経営層に説明できていない事務所が多い。
- AI出力への過度な依存(第4段階): EU AI法はAIの出力に対する人間の監督(human oversight)を要求している。監査人がAIの異常値フラグをそのまま監査判断に転用し、独自の分析を省略すれば、ISA 200.15が求める「職業的懐疑心」の欠如と評価される。AIの出力は判断材料であり、判断そのものではない。
国際基準との関連性
EU AI法の施行は、欧州監査委員会(EAAB)の実装ガイダンスおよび国別の規制当局(AFMなど)の指示に基づいて段階的に進む予定である。オーストラリア(ASA 220修正案)、シンガポール(SSA 220補足ガイダンス)、英国(FRC Guidance on Quality Management)も同様の監視要件を検討中である。ただし、EUの枠組みが最も具体的であり、実装スケジュールが明確に定められている。
関連用語
- 準拠性評価(Conformity Assessment): 高リスクAIシステムについて、EU AI法が要求する事前・継続的な評価プロセス。監査人は、このプロセスの結果と根拠を監査調書に記載する必要がある。
- IQM 1(品質管理): 監査法人全体の品質管理に関する国際基準。AI/自動化ツールの定期的な監視と有効性評価を要求する。
- リスク分類(Risk Classification): EU AI法上、AIシステムを「禁止」「高リスク」「限定的リスク」「最小限のリスク」に分類するプロセス。監査法人は、自社で使用するAIについて、この分類を完了させなければならない。
- ISA 315(改訂2019)リスク評価: 監査上のリスク評価段階で、生成AIやデータ分析ツールが多用されている領域。EU AI法の準拠性評価は、この段階のAI使用と密接に関連する。
- 監基報とAI対応: 日本の監査基準(監基報)も、AI活用に伴う品質管理要件の拡張を検討中(金融庁の2024年度報告)。EU AI法の動向は、日本の今後の基準改定の参考例となる。
- 継続企業の前提判断とAI: ISA 570(改訂2024)では、継続企業の評価が厳格化された。この段階でAIツール(予測分析、キャッシュフロー予測モデル)を使用する場合、EU AI法の準拠性要件が適用される可能性がある。
関連するCiferiツール
本用語集を補完するツールはまだ開発中であるが、監査法人向けの「AI/自動化ツール リスク分類ワークシート」を近期内に公開予定である。このワークシートでは、貴事務所が使用するAIシステムの一覧化、リスク分類の判定根拠、準拠性評価の計画立案をサポートする。
---