効果的なコントロール・マトリクスには7つの列が必要です。各列が特定の情報を提供し、全体として監査証拠を構成します。 列1:コントロール番号 - 一意の識別子。「C001」のような連番が一般的。テスト手続きの文書でこの番号を参照します。 列2:統制目的 - このコントロールが達成しようとする目的。「給与支払の承認」「アクセス権限の管理」等、動詞+目的語の形で記載。 列3:コントロール内容 - 具体的な手続きの説明。「誰が」「何を」「いつ」「どのように」を含む。曖昧な記述は避ける。 列4:コントロールタイプ - Preventive(予防的)、Detective(発見的)、IT dependent(IT依存的)、Manual(手動)の分類。テストの性質に影響します。 列5:実行頻度 - Daily、Weekly、Monthly、As required等。頻度が高いほど重要度評価に影響。 列6:Key/Non-Key分類 - 重要度の判定結果。 列7:分類根拠 - なぜその分類になったかの理由。これが最も重要な列です。
目次
目次
ISAE 3402におけるコントロール・マトリクスの役割
ISAE 3402.42は、サービス組織の内部統制について、「その目的を達成するために重要なコントロール」を識別するよう求めています。単純にコントロールを列挙するのではなく、各コントロールの重要度を評価し、文書化することが必要です。
コントロール・マトリクスはこの要件を満たす文書化ツール。各コントロールがどのリスクに対応し、そのコントロールが機能しなかった場合に何が起きるかを明示します。利用者監査人が依拠するのは「重要なコントロール」のみです。
ISAE 3402.A80では、重要なコントロールの識別において「代替コントロールの存在」を考慮要因として挙げています。1つのコントロールが機能しなくても他のコントロールがリスクを軽減するなら、そのコントロールの重要度は下がります。
コントロール・マトリクスが果たす4つの機能
コントロール・マトリクスは監査手続きの土台となる文書です。3つの役割を同時に担います。
まず、統制環境の全体像を示すこと。サービス組織内のどこにどのようなコントロールがあり、それがどのリスクに対応しているかを俯瞰できます。次に、重要度評価の透明性を確保すること。Key/Non-Keyの分類根拠が明確でなければ、利用者監査人は依拠の判断ができません。
3つ目は、テスト手続きとの対応関係を明らかにすること。重要なコントロールには詳細なテストが必要。重要でないコントロールは軽微なテストで済みます。マトリクスがこの区別を明確にします。
4つ目は、利用者監査人への情報提供を構造化すること。ISAE 3402.A55が示すように、利用者監査人はType IIレポートのコントロール記述に基づいて依拠判断を行います。マトリクスがKey/Non-Keyの分類根拠を明示していれば、利用者監査人は自社の監査戦略に必要なコントロールを迅速に特定できます。
Key/Non-Key分類の判断基準
ISAE 3402.A81は、コントロールの重要性を評価する際の考慮事項を示しています。「そのコントロールがなければ、関連する統制目的が達成されない可能性」を主要な判断基準とします。
Key分類の条件は4つです。第一に、特定のリスクに対する唯一または主要な対応策であること。代替コントロールが存在しない、または不十分な場合です。第二に、そのコントロールが機能しなかった場合、財務報告に直接的な影響を与えること。
第三に、複数のアサーション(実在性、完全性、期間帰属等)に影響すること。影響範囲の広いコントロールほど重要度が高い。第四に、コントロールの頻度と処理される取引量。毎日実行され、大量の取引を処理するコントロールは重要度が高くなります。
判断フローチャート
分類の判断は以下の順序で行います。
ステップ1:このコントロールが対応するリスクを特定する。ISAE 3402.23に基づき、財務報告の各アサーションに対するリスクを洗い出し済みです。そのリスクの中で、このコントロールがカバーするものは何か。
ステップ2:代替コントロールの存在を確認する。同じリスクに対応する他のコントロールがあるか。ある場合、それらは十分に有効か。
ステップ3:失敗時の影響を評価する。このコントロールが機能しなかった場合、財務諸表の虚偽表示リスクはどの程度上昇するか。代替コントロールでカバーできるか。
ステップ4:取引量と頻度を考慮する。処理する取引の金額的重要性と、コントロールの実行頻度。
この4ステップを経て、Keyまたは Non-Keyの判断を下す。判断根拠は必ずマトリクスに記載します。
マトリクス構造の設計方法
効果的なコントロール・マトリクスには7つの列が必要です。各列が特定の情報を提供し、全体として監査証拠を構成します。
列1:コントロール番号 - 一意の識別子。「C001」のような連番が一般的。テスト手続きの文書でこの番号を参照します。
列2:統制目的 - このコントロールが達成しようとする目的。「給与支払の承認」「アクセス権限の管理」等、動詞+目的語の形で記載。
列3:コントロール内容 - 具体的な手続きの説明。「誰が」「何を」「いつ」「どのように」を含む。曖昧な記述は避ける。
列4:コントロールタイプ - Preventive(予防的)、Detective(発見的)、IT dependent(IT依存的)、Manual(手動)の分類。テストの性質に影響します。
列5:実行頻度 - Daily、Weekly、Monthly、As required等。頻度が高いほど重要度評価に影響。
列6:Key/Non-Key分類 - 重要度の判定結果。
列7:分類根拠 - なぜその分類になったかの理由。これが最も重要な列です。
分類根拠の書き方
Key分類の根拠として認められるのは以下のような記述です:
「給与支払承認の唯一のコントロール。代替手段は存在せず、失敗時は不正支払のリスクが直接的に上昇する。月次で200万円以上の支払を処理。」
「システムアクセス権限設定の主要コントロール。バックアップコントロール(ログ監視)は事後発見的であり、予防効果は限定的。全取引処理に影響。」
Non-Key分類の根拠例:
「支払データの二重チェックの一部。主要チェック(C003)に加えた補完的手続き。単独での失敗は影響限定的。」
「月次照合手続きの補助。システム自動照合(C008)が主要コントロールであり、こちらは確認的性質。」
実践例:給与計算センターのコントロール・マトリクス
田中給与計算サービス株式会社は、従業員1,200名を抱える中堅企業向けに給与計算アウトソーシングを提供します。売上高は年間4.8億円。クライアントは製造業を中心に35社。以下が実際のマトリクス構築手順です。
ステップ1:統制目的の設定
文書化ノート:ISAE 3402.23に基づく統制目的を6つ設定。給与データの完全性、正確性、承認、タイムリーな処理、アクセス制限、データ保護。
ステップ2:コントロールの識別
文書化ノート:業務フローを追跡し、各統制目的に関連するコントロールを24個識別。予防的コントロール16個、発見的コントロール8個。
ステップ3:Key/Non-Key分類の実施
| コントロール番号 | 統制目的 | コントロール内容 | タイプ | 頻度 | 分類 | 分類根拠 |
|---|---|---|---|---|---|---|
| C001 | 給与データ承認 | 給与マスタ変更時の部門長承認とシステム記録 | Manual | As required | Key | 給与変更の唯一の承認プロセス。代替承認経路なし。失敗時は不正変更の直接リスク。月平均150件の変更処理 |
| C002 | アクセス制限 | 給与システムへの論理的アクセス制御 | IT dependent | Continuous | Key | 全給与データへのアクセスを制御する基幹コントロール。バイパス手段なし。失敗時は機密データ漏洩の直接リスク |
| C003 | 計算正確性 | 給与計算結果の自動チェック機能 | IT dependent | Daily | Key | 計算エラー検出の主要手段。手動レビュー(C004)は補完的。日次1,200名分の処理をカバー |
| C004 | 計算正確性 | 給与計算結果の手動サンプルレビュー | Manual | Weekly | Non-Key | 自動チェック(C003)の補完手続き。サンプルベース(5%)のため網羅性限定的 |
ステップ4:マトリクスの検証
文書化ノート:24個のコントロールのうち、Key分類は9個、Non-Key分類は15個。Key分類の妥当性を統制目的別に再検証。各統制目的に最低1つのKeyコントロールが存在することを確認。
結論: このマトリクスにより、重要なコントロール9個について詳細テスト、非重要コントロール15個について限定的テストの計画が明確になった。利用者監査人への報告において、依拠可能なコントロールが特定されている。
実務チェックリスト
以下のチェックリストを監査調書完成前に確認してください。
- 全コントロールにKey/Non-Key分類とその根拠を記載 - ISAE 3402.42の要件。分類根拠のないコントロールは評価不能。
- 各統制目的に最低1つのKeyコントロールが存在 - Non-Keyコントロールのみの統制目的は、その目的の達成に疑義。
- Key分類の根拠に「代替コントロールの評価」を含める - ISAE 3402.A80の考慮事項。代替手段の有無が分類に直接影響。
- コントロール番号がテスト手続き文書と一致 - マトリクスとテスト結果の紐づけ。番号の不一致は文書化の不備を示す。
- IT依存的コントロールにITGC(IT全般統制)との関連を明記 - ISAE 3402.A84の要件。IT統制の依存関係を明確化。
- 最重要事項:Key分類されたコントロールの失敗が財務報告に与える直接的影響を具体的に記述 - これがマトリクスの品質を決定する。
よくある間違い
- Key/Non-Key分類の根拠記載漏れ - 金融庁のモニタリングレポートで継続的に指摘される事項。分類だけでなく、その理由の明記が必須。
- コントロールの重複記載と分類の不整合 - 類似のコントロールを複数記載し、一方をKey、他方をNon-Keyに分類する不整合。統制の実態に即した整理が必要。
関連コンテンツ
- ISAE 3402用語集 - サービス組織の内部統制保証業務の基本用語と定義
- コントロール・マトリクステンプレート - Excelベースの実務用テンプレート、Key/Non-Key判定支援機能付き
- ISAE 3402テスト手続き設計ガイド - マトリクス完成後のテスト計画立案とサンプリング手法
- ISA 402利用者監査人チェックリスト - ISAE 3402レポートを受領した利用者監査人側の評価手順。マトリクスのKey分類が利用者監査人の依拠判断にどう影響するかを解説