ISAE 3402におけるキー・コントロールと非キー・コントロール：すべてのレビューコメントの原因となる分類

ISAE 3402における分類要件

基準が定める判断要素

ISAE 3402.A59は、コントロールの重要性を評価する際の考慮事項を定めている。サービス機関の経営者が設定した統制目標に対して、そのコントロールがどの程度貢献するかを判断する。単独での影響力と、他のコントロールとの相互作用。両方を検討しなければならない。

A61が分類の核心。コントロールが統制目標の達成に対して個別に十分な影響を与えるなら、キー・コントロールとなる。判断要素は4つ：当該コントロールが対処するリスクの性質と重要性、同一の統制目標に関連する他のコントロールの有無、当該コントロールが機能しなかった場合の統制目標達成への影響度、そして利用企業が当該コントロールに依拠する程度。

利用企業の視点を見落とす問題

経験上、チームが分類で詰まるのは利用企業への影響を考えていないとき。ISAE 3402の目的は、利用企業が自社の内部統制の一部として依拠できるコントロールを識別すること。分類ミスは利用企業の統制環境評価を誤らせる。

利用企業の監査人はISAE 3402報告書のキー・コントロール分類に依拠してサブスタンティブ手続の範囲を決める。キー・コントロールが運用されていれば、関連するアサーションへの依拠度を高め、詳細テストを減らせる。逆に言えば、本来キーであるべきコントロールを非キーに分類すると、利用企業の監査人が必要な詳細テストを省略するリスクが生まれる。

分類の判断基準と評価プロセス

統制目標とのマッピング確認

コントロール分類の前提として、各統制目標が明確に定義され、対応するコントロールがマッピングされていなければならない。統制目標は利用企業に関連性のある財務報告アサーション（実在性、完全性、正確性、期間帰属）に紐づく。

一つの統制目標に複数のコントロールが関連している場合、それぞれの貢献度を個別に評価する。コントロール間の相互補完関係と独立性を調書に記録する。請求書処理を例にとると、システムによる計算チェックと手作業による承認は、同一の正確性目標に対する異なる性質のコントロール。前者がシステム設定エラーで機能しなくなったとき、後者が代替として成立するかどうかが分類の分岐点になる。

代替コントロールの識別と評価

代替コントロールの存在判定が分類の決定要因。代替コントロールとは、同一の統制目標達成に寄与し、評価対象のコントロールが機能しなくても統制目標を達成できるコントロールを指す。

有効な代替コントロールの要件は4つ。同一のリスクに対処していること、独立して運用されていること、十分な頻度で実施されていること、同程度の精度で異常を検出できること。1つでも欠ければ代替コントロールとは認められない。ここで「独立して運用されている」の判断が現場では一番難しい。同一人物が実施する2つのコントロールを「代替」と呼べるかどうか。CPAAOBの検査ではこの点を繰り返し指摘されている。

利用企業への影響度の評価

コントロールが機能しなかった場合の利用企業への影響を、財務数値への直接的影響と内部統制評価への影響の2軸で評価する。

財務数値への影響は、誤謬の金額的重要性と発生可能性を掛け合わせて算定する。内部統制評価への影響は、利用企業が当該コントロールに依拠している程度で判断する。繁忙期に500社分の利用企業への影響を個別に評価する時間はない。だからこそ、統制目標ごとに「このコントロールが明日止まったら何が起きるか」を1文で書けるようにしておく。書けないなら分類根拠が足りていない。

実例による分類手順

給与計算アウトソーシング企業の設例

佐藤給与計算サービス株式会社（従業員数1,200名、売上高85億円、利用企業約500社）を想定する。

評価対象コントロールは、毎月末の給与計算結果に対する部門長による承認。給与総額、控除総額、支払総額の検証を含む。統制目標は給与計算の正確性（利用企業の人件費計上額の正確性アサーションに対応）。

まずコントロール詳細を把握する。実施頻度は月次、実施者は給与計算部門長（課長級、10年以上の経験）、実施内容は総支給額と前月比較、法定控除率の確認、純支給額の妥当性検証。調書にはコントロール記述書として実施者、頻度、具体的手続を記載する。

次に代替コントロールを評価する。システム自動計算チェックはあるが、設定エラーのリスクがある。利用企業による月次照合は一部企業のみ。上位承認者による再承認はない。代替コントロール一覧表を作成し、各々の限界を記録しておくこと。

機能不全時の影響はどうか。直接的影響として、給与計算エラーによる利用企業の人件費誤計上が月次で最大数百万円規模になりうる。間接的影響として利用企業の月次決算プロセスが遅延する。所得税や社会保険料の誤計算は利用企業のコンプライアンス違反リスクに直結する。影響度評価シートに金額レンジと発生確率を記載する。

分類判断。代替コントロールの有効性は限定的（システムチェックのみでは不十分）。利用企業への影響は大きい（人件費は多くの利用企業で金額的に重要な費目）。結論はキー・コントロール。判断根拠を分類判断書に記載し、マネージャー承認を取得する。

実務上のチェックリスト

1. 各統制目標が利用企業の財務報告アサーションに直接関連づけられているか。ISAE 3402.A52の要件に照らして妥当性を検証する。

2. コントロール記述に「何を」「どのように」承認するかまで含まれているか。「承認する」だけでは品管から差し戻される。実施頻度、実施者の権限、使用する情報源を明記すること。

3. 代替コントロールの独立性は確保されているか。同一人物が実施する複数のコントロールを代替として扱っていないか確認する。独立性の欠如は代替としての有効性を否定する。

4. 業界固有の規制要求や利用企業の事業特性が分類に与える影響を評価したか。製造業とサービス業では同一のコントロールへの依拠度が異なる。SALYで前年の分類をそのまま踏襲していないか見直す。

5. 前年度からの分類変更がある場合、利用企業への影響と変更理由を調書に記録したか。継続性の観点から正当化できる理由が必要になる。

6. そのコントロールが明日から機能しなくなった場合、利用企業の月次決算にどの程度の影響を与えるか。この問いに1文で答えられなければ、追加評価が必要。

よくある分類ミス

自動化されたコントロールを無条件にキー・コントロールとして分類するケースが多い。システム設定の変更やデータ入力エラー、例外処理の不備により、自動化コントロールも機能不全になりうる。「システムがやっているから大丈夫」という根拠は調書に書けない。

承認印が押されていることだけをもってキー・コントロールとする分類も危うい。実際の承認者が実質的な検証を行っているか。承認の基準は明確か。見せかけのコントロールを重要視する結果になっていないか。JICPA品質管理レビューでは、承認の実質性がない統制を「キー」と分類した事例が繰り返し指摘されている。

利用企業が500社いる場合に画一的な分類を適用してしまう問題もある。製造業とサービス業では同一のコントロールに対する依拠度が大きく異なることがある。業界特性を考慮した評価が必要だが、現実には全社個別に評価する余裕はない。せめて利用企業を業種別にグルーピングし、グループごとの影響度を評価する。それだけでも査閲で「なぜ画一的なのか」と問われたときの回答になる。