目次
- ISAE 3402におけるコントロール・マトリクスの役割 - Key/Non-Key分類の判断基準 - マトリクス構造の設計方法 - 実践例:給与計算センターのコントロール・マトリクス - 実務チェックリスト - よくある間違い - 関連コンテンツ
ISAE 3402におけるコントロール・マトリクスの役割
ISAE 3402.42は、サービス組織の内部統制について、「その目的を達成するために重要なコントロール」を識別するよう求めている。単にコントロールを一覧にするだけでは足りない。各コントロールの重要度を評価し、調書で示す必要がある。
コントロール・マトリクスはこの要件を満たす文書化ツール。各コントロールがどのリスクに対応し、そのコントロールが機能しなかった場合に何が起きるかを明示する。利用者監査人が依拠するのは「重要なコントロール」のみ。
ISAE 3402.A80では、重要なコントロールの識別にあたり、代替コントロールの存在を考慮要因に挙げている。1つのコントロールが倒れても他のコントロールがリスクを軽減するなら、そのコントロールの重要度は下がる。
コントロール・マトリクスが果たす3つの機能
コントロール・マトリクスは監査手続きの土台となる文書で、役割を同時に3つ担っている。
1つ目は、統制環境の全体像を示すこと。サービス組織内のどこにどのようなコントロールがあり、それがどのリスクに対応しているかを俯瞰できる。2つ目は、重要度評価の透明性を確保すること。Key/Non-Keyの分類根拠が明確でなければ、利用者監査人は依拠の判断ができない。
3つ目は、テスト手続きとの対応関係を明らかにすること。重要なコントロールには詳細なテストが要る。重要でないコントロールは軽微なテストで済む。マトリクスがこの区別を見せる。
Key/Non-Key分類の判断基準
ISAE 3402.A81は、コントロールの重要性を評価する際の考慮事項を示している。「そのコントロールがなければ、関連する統制目的が達成されない可能性」が主要な判断基準。
Key分類の条件は4つ。1つ目、特定のリスクに対する唯一または主要な対応策であること。代替コントロールが存在しない、または不十分な場合。2つ目、そのコントロールが機能しなかった場合、財務報告に直接的な影響を与えること。
3つ目、複数のアサーション(実在性、完全性、期間帰属、評価)に影響すること。影響範囲の広いコントロールほど重要度が高い。4つ目、コントロールの頻度と処理される取引量。毎日実行され、大量の取引を処理するコントロールは重要度が高くなる。
判断フローチャート
分類の判断は以下の順序で行う。
ステップ1:このコントロールが対応するリスクを特定する。ISAE 3402.23に基づき、財務報告の各アサーションに対するリスクを洗い出し済み。そのリスクの中で、このコントロールがカバーするものは何か。
ステップ2:代替コントロールの存在を確認する。同じリスクに対応する他のコントロールがあるか。ある場合、それらは十分に有効か。
ステップ3:失敗時の影響を評価する。このコントロールが機能しなかった場合、財務諸表の虚偽表示リスクはどの程度上昇するか。代替コントロールでカバーできるか。
ステップ4:取引量と頻度を考慮する。処理する取引の金額的重要性と、コントロールの実行頻度。
この4ステップを経て、KeyかNon-Keyの判断を下す。レビューで一番指摘が多いのがここの根拠欄の薄さなので、マトリクスに必ず書き込む。
マトリクス構造の設計方法
使えるコントロール・マトリクスには7つの列が要る。各列が特定の情報を持ち、全体として監査証拠を構成する。
列1:コントロール番号 — 一意の識別子。「C001」のような連番が一般的。テスト手続きの文書でこの番号を参照する。
列2:統制目的 — このコントロールが達成しようとする目的。「給与支払の承認」「アクセス権限の管理」など、動詞+目的語の形で記載。
列3:コントロール内容 — 具体的な手続きの説明。「誰が」「何を」「いつ」「どのように」を含む。曖昧な記述は避ける。
列4:コントロールタイプ — Preventive(予防的)、Detective(発見的)、IT dependent(IT依存的)、Manual(手動)の分類。テストの性質に影響する。
列5:実行頻度 — Daily、Weekly、Monthly、As required など。頻度が高いほど重要度評価に影響。
列6:Key/Non-Key分類 — 重要度の判定結果。
列7:分類根拠 — なぜその分類になったかの理由。7列のうちこれが心臓部。
分類根拠の書き方
Key分類の根拠として通るのは以下のような記述。
「給与支払承認の唯一のコントロール。代替手段は存在せず、失敗時は不正支払のリスクが直接的に上昇する。月次で200万円以上の支払を処理。」
「システムアクセス権限設定の主要コントロール。バックアップコントロール(ログ監視)は事後発見的であり、予防効果は限定的。全取引処理に影響。」
Non-Key分類の根拠例:
「支払データの二重チェックの一部。主要チェック(C003)に加えた補完的手続き。単独での失敗は影響限定的。」
「月次照合手続きの補助。システム自動照合(C008)が主要コントロールであり、こちらは確認的性質。」
実践例:給与計算センターのコントロール・マトリクス
田中給与計算サービス株式会社は、従業員1,200名を抱える中堅企業向けに給与計算アウトソーシングを請け負っている。売上高は年間4.8億円。クライアントは製造業を中心に35社。以下が実際のマトリクス構築手順。
ステップ1:統制目的の設定 文書化ノート:ISAE 3402.23に基づく統制目的を6つ設定。給与データの完全性、正確性、承認、タイムリーな処理、アクセス制限、データ保護。
ステップ2:コントロールの識別 文書化ノート:業務フローを追跡し、各統制目的に紐づくコントロールを24個識別。予防的コントロール16個、発見的コントロール8個。
ステップ3:Key/Non-Key分類の実施
| コントロール番号 | 統制目的 | コントロール内容 | タイプ | 頻度 | 分類 | 分類根拠 |
|---|---|---|---|---|---|---|
| C001 | 給与データ承認 | 給与マスタ変更時の部門長承認とシステム記録 | Manual | As required | Key | 給与変更の唯一の承認プロセス。代替承認経路なし。失敗時は不正変更の直接リスク。月平均150件の変更処理 |
| C002 | アクセス制限 | 給与システムへの論理的アクセス制御 | IT dependent | Continuous | Key | 全給与データへのアクセスを制御する基幹コントロール。バイパス手段なし。失敗時は機密データ漏洩の直接リスク |
| C003 | 計算正確性 | 給与計算結果の自動チェック機能 | IT dependent | Daily | Key | 計算エラー検出の主要手段。手動レビュー(C004)は補完的。日次1,200名分の処理をカバー |
| C004 | 計算正確性 | 給与計算結果の手動サンプルレビュー | Manual | Weekly | Non-Key | 自動チェック(C003)の補完手続き。サンプルベース(5%)のため網羅性限定的 |
ステップ4:マトリクスの検証 文書化ノート:24個のコントロールのうち、Key分類は9個、Non-Key分類は15個。Key分類の妥当性を統制目的別に再検証。各統制目的に最低1つのKeyコントロールが存在することを確認。
結論: このマトリクスにより、重要なコントロール9個は詳細テスト、非重要コントロール15個は限定的テストという計画が明確になった。利用者監査人への報告において、依拠可能なコントロールが特定されている。
実務チェックリスト
以下のチェックリストを調書完成前に確認してほしい。
1. 全コントロールにKey/Non-Key分類とその根拠を記載 — ISAE 3402.42の要件。分類根拠のないコントロールは評価不能。
2. 各統制目的に最低1つのKeyコントロールが存在 — Non-Keyコントロールのみの統制目的は、その目的の達成に疑義。
3. Key分類の根拠に「代替コントロールの評価」を含める — ISAE 3402.A80の考慮事項。代替手段の有無が分類に直接影響。
4. コントロール番号がテスト手続き文書と一致 — マトリクスとテスト結果の紐づけ。番号の不一致は文書化の不備を示す。
5. IT依存的コントロールにITGC(IT全般統制)との関連を明記 — ISAE 3402.A84の要件。IT統制の依存関係を明確化。
6. 最重要事項:Key分類されたコントロールの失敗が財務報告に与える直接的影響を具体的に記述 — これがマトリクスの品質を決定する。
よくある間違い
関連コンテンツ
- ISAE 3402用語集 - サービス組織の内部統制保証業務の基本用語と定義 - コントロール・マトリクステンプレート - Excelベースの実務用テンプレート、Key/Non-Key判定支援機能付き - ISAE 3402テスト手続き設計ガイド - マトリクス完成後のテスト計画立案方法