不正リスク対応マトリックスの作成方法：すべてのリスクと手続を紐づける

目次

1. 監基報240が要求するリスク対応の枠組み 2. 不正リスクマトリックスの基本構造 3. 実務例：田中製作所の不正リスク評価 4. 実用チェックリスト 5. よくある間違い 6. 関連コンテンツ

監基報240が要求するリスク対応の枠組み

監基報240.35は明確だ。識別された重要な虚偽表示リスク（不正によるもの）について、監査人は実証手続の性質、時期、範囲を決定する必要がある。一般的な対応では足りない。各リスクに対する具体的な手続設計が前提となる。

同基準の40項では、不正によるリスクへの全体的な対応も求めている。ところが、多くのファイルは、リスクレベルでの対応とアサーションレベルでの対応を混同する。全体対応（予見不可能性の要素、人員配置の変更等）は別途文書化。個別リスクには個別手続を対応させるべきだ。

監基報240.A52からA56は、売上認識における不正リスクへの対応手続例を詳細に示している。単なる分析的手続増加ではない。期末カットオフの詳細テスト、重要な売上取引の契約書確認、売上戻りや値引きの検証。このレベルの具体性が全てのリスクで必要になる。特に循環取引の疑義がある場合、得意先を一巡する取引フローの検証まで踏み込む。

不正リスクマトリックスの基本構造

効果的なマトリックスは4つの列を持つ。

列1：リスク説明 曖昧な記載は避ける。「売上認識の不正リスク」ではなく「四半期末直前の大口取引による売上計上時期の不適切な早期化」と書く。リスクが具体化されれば対応手続も明確になる。

列2：アサーションレベル 発生、実在性、期間帰属、評価測定、表示開示のうち、このリスクが影響するアサーション。売上早期化なら発生と期間帰属。在庫評価操作なら評価測定が主。複数のアサーションにまたがる場合はそれぞれ記載。

列3：対応手続 ここが最重要。手続名だけでなく、サンプルサイズ、閾値、実施時期まで記載する。「売上の詳細テスト」ではなく「月末3日以内に計上された1百万円超の売上取引全件について契約書・納品書・請求書の3点突合」と書く。

列4：証拠評価基準 何をもって手続が完了したと判断するか。例外があった場合の追加手続も明記。「例外なし」「例外1件未満」「例外発見時は母集団の10%に拡張」等。

効果的なマトリックスは、どの監査人が見ても同じ手続を同じ方法で実施できる詳細度を持つ。このテストは正直、誰もやりたがらない。けれど、マトリックスの粒度が粗ければ、結局レビューで差し戻される。

実務例：田中製作所の不正リスク評価

> 田中製作所株式会社 > > 事業：産業用機械製造 > 売上：85億円 > 従業員：450名 > 上場区分：東証プライム > > ステップ1：重要な不正リスクの識別 > > リスク評価手続の結果、以下3つのリスクを識別： > - 四半期末の売上前倒し計上（大口受注の出荷時期操作） > - 製品保証引当金の過少計上（利益嵩上げ目的） > - 関連当事者取引の非開示（役員関連会社との取引隠匿、循環取引の端緒を含む） > > 文書化ノート：各リスクについて監基報240.26に基づく評価プロセスを別途ワークペーパーで文書化済み > > ステップ2：マトリックス作成 > > | リスク | アサーション | 対応手続 | 証拠評価 | > |--------|-------------|----------|----------| > | 四半期末3日以内の1,000万円超売上計上時期操作 | 発生、期間帰属 | 四半期末3日以内計上の1,000万円超取引全件（予想15-20件）について①契約書②出荷指図書③運送会社の配送記録の3点照合 | 例外ゼロ、証憑不備1件でも20件に範囲拡張 | > | 製品保証引当金率の恣意的操作（過去3年実績3.2%→当年1.8%設定） | 評価測定 | ①過去5年の実際発生率算定②類似上場製造業5社のIR開示率比較③当年発生案件の個別積み上げ検証（100万円超全件） | 引当率差異±0.3%超で追加検証 | > | 役員家族経営会社との取引非開示 | 表示開示 | ①役員・主要株主の関係会社リスト入手②全役員からの確認書取得③売上・仕入先上位20社の実質支配者確認 | 未確認先なし、確認書回収率100% | > > 文書化ノート：各手続の実施者、実施予定日、予想所要時間を別途スケジュール表で管理 > > ステップ3：実施結果の評価 > > 売上前倒し：対象19件中2件で運送記録が翌四半期。追加検証の結果、いずれも社内承認プロセス遅延によるもので、売上修正不要と結論。 > > 文書化ノート：2件の例外事項について監基報240.35の要求に基づく追加評価を実施。不正の兆候なしと結論

この例では、抽象的な「不正リスクの検討」を具体的な手続に変換している。数値基準、実施方法、判定基準が明確。第三者が見ても同じ作業を同じ品質で実施できるはず。

実用チェックリスト

1. 各リスクに数値基準を設定する。「重要な取引」ではなく「1,000万円超」「売上の5%超」と閾値を明記。監基報240.35の「範囲」要件に対応。

2. 手続の実施者と日程を記載する。マトリックス作成時点で誰がいつ実施するか決める。チーム内での重複・漏れを防ぐ。

3. 例外事項の対処方法を事前に決める。「例外発見時は拡張」では足りない。何件までが許容範囲か、どのような拡張を行うかまで文書化。

4. アサーションとリスクの対応を確認する。1つのリスクが複数アサーションに影響する場合、それぞれに対応する手続を設計。監基報240.35の「性質」要件。

5. 監基報240.A52-A65の手続例を参考にする。一般的な不正シナリオの対応手続が詳細に記載されている。自社の状況に合わせて調整する。

6. 最重要事項として、マトリックス完成後、各手続が本当にそのリスクを発見できるかテストする。SALY（去年と同じ）の手続をそのまま流用していれば、当年のリスクには届かない。手続設計の妥当性確認。これなしでは意味がない。

よくある間違い

関連コンテンツ

- 監査不正リスク評価ツール：8つの典型的不正シナリオと対応手続テンプレート - 監基報240用語解説：不正リスク概念の定義と監基報240の要求事項詳細 - 内部統制評価マトリックス構築ガイド：リスクマトリックスと統制評価の連携方法