この記事で学べること

ISAE 3402.A59からA61におけるキー・コントロール識別要件の実務適用方法
代替コントロールの存在判定と文書化要件の具体的手順
キー・非キー分類が利用企業の内部統制評価に与える影響の評価方法
金融庁およびPCAOB検査で頻出する分類エラーを回避する文書化手法

目次

ISAE 3402における分類要件

基準が求める分類基準


ISAE 3402.A59は、コントロールの重要性を評価する際の考慮事項を定めている。サービス機関の経営者が設定した統制目標の達成に対するコントロールの貢献度を判断する必要がある。単独での影響力と他のコントロールとの相互作用の両方を検討する。
ISAE 3402.A61は分類の核心を述べている。コントロールが統制目標の達成に対して個別に十分な影響を与える場合、そのコントロールはキー・コントロールとなる。判断要因は3つ:(1) 当該コントロールが対処するリスクの性質と重要性、(2) 同一の統制目標に関連する他のコントロールの存在、(3) 当該コントロールが機能しなかった場合の統制目標達成への影響度。

利用企業への影響という視点


多くのチームが見落とすのは利用企業の視点。ISAE 3402の目的は、利用企業が自社の内部統制の一部として依拠できるコントロールを識別することにある。キー・コントロールの分類ミスは、利用企業の統制環境評価を誤らせる。
利用企業の監査人は、ISAE 3402報告書のキー・コントロール分類に依拠してサブスタンティブ手続の範囲を決定する。キー・コントロールが適切に運用されていれば、関連するアサーションへの依拠度を高め、詳細テストを減らすことができる。

分類の判断基準と評価プロセス

ステップ1:統制目標とのマッピング確認


コントロール分類の前提として、各統制目標が明確に定義され、対応するコントロールがマッピングされている必要がある。統制目標は利用企業に関連性のある財務報告アサーション(実在性、完全性、正確性、期間帰属、分類)に紐づいている。
一つの統制目標に複数のコントロールが関連している場合、それぞれの貢献度を個別に評価する。コントロール間の相互補完関係と独立性を文書化する。例:請求書処理において、システムによる計算チェックと手作業による承認は、同一の正確性目標に対する異なる性質のコントロールである。

ステップ2:代替コントロールの識別と評価


代替コントロールの存在判定が分類の決定要因となる。代替コントロールとは、同一の統制目標達成に寄与し、評価対象のコントロールが機能しなくても統制目標を達成できるコントロールを指す。
有効な代替コントロールの要件:(1) 同一のリスクに対処している、(2) 独立して運用されている、(3) 十分な頻度で実施されている、(4) 同程度の精度で異常を検出できる。これらすべてを満たさない場合、代替コントロールとは認められない。

ステップ3:利用企業への影響度評価


コントロールが機能しなかった場合の利用企業への影響を3つの観点から評価する:財務数値への直接的影響、内部統制評価への影響、経営判断への影響。
財務数値への影響は、誤謬の金額的重要性と発生可能性を掛け合わせて算定する。内部統制評価への影響は、利用企業が当該コントロールに依拠している程度で判断する。経営判断への影響は、コントロール機能不全が利用企業の事業継続や戦略実行に与える影響で評価する。

実例による分類手順

設例:給与計算アウトソーシング企業


企業概要: 佐藤給与計算サービス株式会社(従業員数:1,200名、売上高:85億円、利用企業:約500社)
評価対象コントロール: 毎月末の給与計算結果に対する部門長による承認(給与総額、控除総額、支払総額の検証)
統制目標: 給与計算の正確性(利用企業の人件費計上額の正確性アサーションに対応)
Step 1: コントロール詳細の把握
Step 2: 代替コントロールの評価
Step 3: 機能不全時の影響評価
Step 4: 分類判断

  • 実施頻度:毎月末(月次給与計算完了後)
  • 実施者:給与計算部門長(課長級、10年以上の経験)
  • 実施内容:総支給額と前月比較、法定控除率の確認、純支給額の妥当性検証
  • 文書化: コントロール記述書に実施者、頻度、具体的手続を記載
  • システム自動計算チェック:あり(但し設定エラーのリスクあり)
  • 利用企業による月次照合:一部企業のみ実施
  • 上位承認者による再承認:なし
  • 文書化: 代替コントロール一覧表を作成し、各々の限界を記録
  • 直接的影響:給与計算エラーによる利用企業の人件費誤計上(月次で最大数百万円規模)
  • 間接的影響:利用企業の月次決算プロセスの遅延
  • 法的影響:所得税、社会保険料の誤計算による利用企業のコンプライアンス違反リスク
  • 文書化: 影響度評価シートに金額レンジと発生確率を記載
  • 代替コントロールの有効性:限定的(システムチェックのみでは不十分)
  • 利用企業への影響:重大(人件費は多くの利用企業で重要な費目)
  • 結論:キー・コントロール
  • 文書化: 判断根拠を分類判断書に記載し、マネージャー承認を取得

実務上のチェックリスト

  • 統制目標の明確性確認 - 各統制目標が利用企業の財務報告アサーションに直接関連づけられているか。ISAE 3402.A52の要件に照らして妥当性を検証する。
  • コントロール記述の具体性 - 「承認する」ではなく「何を」「どのように」承認するかまで文書化されているか。実施頻度、実施者の権限、使用する情報源を明記する。
  • 代替コントロールの独立性評価 - 同一人物が実施する複数のコントロールを代替コントロールとして扱っていないか。独立性の欠如は代替コントロールとしての有効性を無効化する。
  • 利用企業固有のリスク考慮 - 業界固有の規制要求や利用企業の事業特性がコントロールの重要性に与える影響を評価したか。画一的な分類ではなく、個別性を反映する。
  • 分類変更の影響評価 - 前年度からの分類変更がある場合、利用企業への影響と変更理由を文書化したか。継続性の観点から正当化できる理由が必要。
  • 最重要チェック - そのコントロールが明日から機能しなくなった場合、利用企業の月次決算にどの程度の影響を与えるか。この問いに明確に答えられない場合、追加評価が必要である。

よくある分類ミス

システムの過信: 自動化されたコントロールを無条件にキー・コントロールとして分類する。システム設定の変更、データ入力エラー、例外処理の不備等により、自動化コントロールも機能不全となる可能性がある。
形式的な承認の重視: 承認印が押されていることをもってキー・コントロールとする。実際の承認者が実質的な検証を行っているか、承認の基準が明確かを確認せずに分類すると、見せかけのコントロールを重要視することになる。
利用企業の多様性無視: 500社の利用企業がいる場合でも、画一的な分類を適用する。製造業とサービス業では同一のコントロールに対する依拠度が大きく異なる場合があり、業界特性を考慮した評価が必要である。
ISAE 3402.A61の代替コントロール評価の省略: 同一の統制目標に対する代替コントロールの存在を確認せず、すべてのコントロールをキーに分類する。代替が有効であれば一方は非キーとなり得るが、この判断を文書化しないためレビューで指摘される。

関連コンテンツ

  • ISAE 3402内部統制評価ガイド - サービス機関における内部統制の基本概念と評価手法
  • ISAE 3402文書化ワークブック - キー・非キー分類を含む統制評価の標準化テンプレート
  • 内部統制の不備と重要な欠陥の判定基準 - 統制不備の評価における重要性判断の実務アプローチ

実務に役立つ監査の知見を毎週お届けします。

試験対策ではありません。監査を効率化する実践的な内容です。

290以上のガイドを公開20の無料ツール現役の監査人が構築

スパムはありません。私たちは監査人であり、マーケターではありません。