重要ポイント
コントロール・テストは運用テスト(operating effectiveness test)であり、デザイン・テスト(design test)とは異なる。
コントロール・テストの規模は、監査人が評価したコントロールの有効性にどの程度依存するかによって決まる。
金融庁のモニタリングレポートでは、コントロール・テストの不十分さ(サンプル規模の過小設定、テスト対象期間の短縮)が繰り返し指摘されている。
仕組み
監基報330は、監査人が重要な虚偽表示リスク(significant risks)と評価したエリアについては、コントロール・テストに依存することを許さない。一方、低リスク領域では、被監査会社の内部統制の評価結果に基づいて、実証的手続の範囲を縮小できる。この判断が全体の監査戦略の効率性を決める。
コントロール・テストの計画段階で、監査人が設定すべき項目は3つである。第1に、テストする母集団の定義(期間、対象取引)。第2に、サンプル規模の算定基準(統計的か非統計的か、許容エラー率をいくつに設定するか)。第3に、テスト実施時のドキュメント化方法(どの証拠を監査調書に残すか)。
実務では、「月次の売掛金残高確認」というコントロールをテストするとき、12ヶ月全て確認するのではなく、代表月(例えば3月、6月、9月、12月)を選定してテストすることが多い。ただし、重要な取引日(決算月、大型受注月)は全期間テストの対象となる。監基報330第8項はこの判断を監査人に委ねているが、後から「なぜ決算月を外したのか」と問われる可能性がある。テスト対象期間の選定根拠は、常に監査調書に記載する必要がある。
具体例:大志エンジニアリング有限会社
クライアント:日本の製造業、2024年度、売上7億2,000万円、IFRS適用企業。
第1段階:重要なコントロールの識別
取引サイクルの中で「請求前の注文内容確認」というコントロールが存在する。営業部門が受注データを入力した後、品質管理部門が仕様書と照合し、承認印を押す。このコントロールが失敗すると、不正な仕様の製品が出荷される可能性がある。
監査調書:「要確認」セルに承認手続きの流れを図示し、システム画面のスクリーンショット2枚を貼付。
第2段階:テスト対象の決定
営業システムのログから、年間8,400件の受注が入力されたことを確認。監査人は「重要な虚偽表示リスク」と評価したため、サンプル規模は80件に決定。内訳は、毎月5〜7件、ただし第4四半期(通常の1.5倍の発注量)は各月10件。
監査調書:「サンプル規模の根拠」セルに、許容虚偽表示額(2,160万円)÷母集団金額(7億2,000万円)= 3%の計算を示す。
第3段階:コントロール・テストの実施
選定した80件について、以下の3つの確認を実施。(1) 営業システムに入力された受注データと、品質管理部門の確認印が押された紙の承認書を突合。(2) 承認印の日付が受注日の翌営業日以内であることを確認。(3) 不承認とされた受注(却下件数)が月別集計に正しく反映されているか検証。
第4段階を実施した結果、80件中2件で承認手続きが記録されていなかった。これは母集団に外挿すると、推定エラー率は2.5%。許容虚偽表示額の3%以下であるため、このコントロールは有効と結論づけた。
監査調書:「テスト結果」セルに、80件の一覧表とエラー件数、外挿計算を記載。
結論
このコントロール・テストの結果、「請求前の注文内容確認」は設計・運用の両面で有効と判定した。したがって、売上計上サイクルの実証的手続(取引明細の照合、金額計算の再計算)の範囲を、全母集団の5%に縮小することが可能となった。テスト対象期間を代表月に限定した根拠は、「第3四半期の売上高が年間の18%を占め、取引量の変動が大きい」という点を監査調書の冒頭で説明している。
レビュアーと実務家が見落とすもの
- 金融庁モニタリングレポート(2024年度)の指摘: コントロール・テストのサンプル規模が、監査人が統計的に算定した規模より過小に設定されているケースが指摘された。理由として「予備的テストで5件サンプルし、エラーがなかったため、本テストは10件に減らした」という事例が複数報告されている。この対応は監基報330の要件に反する。予備的テストの結果は、本テストのサンプル規模を決定した時点では利用できない情報である。サンプル規模は、計画段階で固定すること。
- コントロール・テストの時間範囲の曖昧化: 「このコントロールは通年有効」と判定する監査調書が散見されるが、実際には3ヶ月間だけテストされていることがある。監基報330第7項は「監査人は、期末までの期間全体にわたるコントロールの運用有効性について、十分かつ適切な監査証拠を入手しなければならない」と明示している。期末月のみのテストでは基準要件を満たさない。
- デザイン・テストと運用テストの混同: 多くの監査チームが「コントロール所有者にインタビューし、コントロールの仕組みを理解した」という段階で、コントロール・テストが完了したと判定している。しかし監基報330の定義では、これはデザイン・テスト(IF-THEN のルールが正しく設計されているか確認する段階)にすぎない。運用テスト(実際にコントロールが機能しているか確認する段階)として、抽出した取引、ログ記録、承認痕跡を具体的に検証する必要がある。
- 前期のテスト結果への過度な依存: ISA 330.14は、前期にテストした統制を当期でもテストせずに依存することを制限している。統制環境に変更がなくても、少なくとも3年に1回は再テストが必要であり、重要なリスクに対応する統制は毎期テストしなければならない(ISA 330.15)。前期に有効だったからといって当期も有効とみなす判断は、人事異動やシステム変更を見落とすリスクがある。
関連用語
- 実証的手続(substantive procedures) コントロール・テストで「有効」と判定されたコントロールに依存する場合、実証的手続の範囲を縮小できる。逆に、コントロール・テストで複数のエラーが検出された場合、実証的手続の拡張が必須となる。
- リスク評価手続(risk assessment procedures) コントロール・テストを実施する前に、被監査会社のコントロール環境全体を評価する。この評価が不十分だと、テストすべきコントロールの優先順位が誤る。
- 虚偽表示リスク(risk of material misstatement) 被監査会社のコントロールが低いと評価された領域では、コントロール・テストに依存できないため、実証的手続に頼らざるを得ない。
- 統計的サンプリング(statistical sampling) コントロール・テストの規模決定には、監基報530の属性サンプリング方法が用いられることが多い。
- 監査証拠の十分性(sufficiency of audit evidence) コントロール・テストで入手した証拠が、設計・運用の両面における有効性を証明するに足りるかどうかの判断。
- 重要な虚偽表示リスク(significant risk) 被監査会社のコントロールで軽減できないと判定されたリスク領域では、実質的テストに集中する必要がある。