サービス機関報告書の基本要件

報告書の種類と適用範囲


監基報402.8は、利用者監査人がサービス機関監査人の報告書から十分かつ適切な監査証拠を入手する責任を定めている。報告書にはType IとType IIの2種類がある。Type I報告書は特定日時点でのコントロールの記述と設計の適切性を扱う。Type II報告書は一定期間にわたるコントロールの運用の有効性も含む。
財務諸表監査においては、通常Type II報告書が必要となる。運用の有効性に関する証拠がなければ、コントロールに依拠した監査アプローチは採用できない。ただし、サービス機関のコントロールが利用者の内部統制に重要な影響を与えない場合、Type I報告書でも十分な場合がある。

報告書の適時性とカバー期間


監基報402.A24は、サービス機関監査人の報告書のカバー期間と利用者の会計期間の関係を検討するよう求めている。理想的には、サービス機関の報告期間が利用者の会計期間と一致する。しかし実務上は、部分的な重複や短いギャップが存在することが多い。
6ヶ月を超える期間のギャップがある場合、追加的な監査手続が必要となる。これには、ギャップ期間における重要な変更の有無の確認、代替的なコントロールの評価、または直接的なテストの実施が含まれる。

報告書評価の具体的手順

ステップ1:適用範囲の妥当性確認


サービス機関報告書が利用者の財務報告に関連する全てのサービスをカバーしているかを確認する。給与処理サービスの例では、基本給計算、残業代計算、税額計算、支給額計算の全工程が含まれているかを検証する。
部分的なカバレッジしかない場合、カバーされていない領域に対する代替的手続を計画する必要がある。また、複数のサブサービス組織を利用している場合、それぞれの報告書の入手が必要となることがある。

ステップ2:コントロール目標とアサーションの対応


各コントロールが財務諸表のどのアサーション(実在性、網羅性、評価・測定、期間帰属、分類・理解可能性)に対応するかを整理する。給与費用であれば、期間帰属が最も重要となる。人件費の計上月が正確である必要がある。
サービス機関のコントロールと利用者のコントロールの境界を明確にする。利用者が従業員の勤務時間データを提供し、サービス機関がそれを基に給与を計算する場合、勤務時間の正確性は利用者の責任となる。

ステップ3:例外事項の重要性評価


発見された例外事項(コントロールの不備)について、性質、原因、頻度、影響額を分析する。システム障害による処理遅延と計算ロジックの誤りでは、監査への影響が大きく異なる。
例外事項が利用者の財務諸表に与える潜在的影響を金額的に見積もる。サービス機関が修正措置を講じている場合、その有効性も評価する。

実務適用例:田中商事株式会社

企業概要: 田中商事株式会社(東京都、売上高85億円、従業員450名)は、外部サービス機関「ペイロール・ソリューションズ株式会社」に給与計算業務を委託している。
サービス内容: 月次給与計算、賞与計算、年末調整、社会保険料計算
報告書評価プロセス:
結論:例外事項は軽微であり、利用者のCUECが適切に機能しているため、サービス機関のコントロールに依拠した監査アプローチを継続可能と判断。

  • カバー期間確認: SOC 1 Type II報告書のカバー期間は2024年4月1日から2024年9月30日。田中商事の会計年度は2024年4月1日から2025年3月31日のため、後半6ヶ月はカバーされていない。文書化:カバー期間のギャップに対する追加手続を計画する。
  • コントロール評価: 給与マスタの変更承認、給与計算の検証、支払データの伝送に関する18のコントロールを確認。そのうち3つのコントロールで例外事項を発見。文書化:各コントロールの監査上の重要性と例外事項の影響を記録する。
  • 重要な例外事項: 従業員マスタファイルの変更について、1件の承認漏れが発見された(影響額:月額給与差額12万円)。サービス機関は翌月に修正し、再発防止策を導入。文書化:修正内容と再発防止策の妥当性を確認した旨を記録する。
  • CUEC評価: 田中商事の人事部が行う勤務時間データのレビューと承認プロセスを確認。タイムカード記録と給与システム入力データの照合が月次で実施されている。文書化:CUECの設計と運用を独立してテストした結果を記録する。

実務チェックリスト

以下のチェックリストを現在の監査業務で使用してください:

  • 報告書の基本事項確認: Type IまたはType II報告書か、監査期間は利用者の会計期間と整合するか(監基報402.A24)
  • 適用範囲の妥当性: 報告書が利用者の財務報告に関連する全サービスをカバーしているか、サブサービス組織の報告書も必要か
  • コントロール目標の対応: 各コントロールが関連するアサーションを明確化し、利用者とサービス機関の責任分界点を文書化
  • 例外事項の評価: 発見事項の性質、頻度、修正状況を確認し、財務諸表への潜在的影響を見積り
  • CUEC の検証: 補完的利用者統制の設計と運用の有効性を独立して評価
  • 最重要点: サービス機関のコントロールに依拠する範囲が、入手した監査証拠の範囲と一致していることを確認する

よくある間違い

  • サービス機関監査人の報告書を受け取っただけで、内容の詳細な検討を省略する(金融庁は2023年の検査で、報告書の実質的な評価不足を指摘)
  • カバー期間のギャップに対する追加手続を実施せず、期間全体にわたるコントロールの有効性を仮定する
  • CUECの独立した評価を省略し、利用者の自己申告のみに依存する
  • サブサービス組織の包含型/除外型の判断誤り: 報告書がサブサービス組織について包含型(inclusive method)で報告しているか除外型(carve-out method)かの確認を怠り、監基報402.A21で求められるカバー範囲の追加評価を省略する

関連コンテンツ

実務に役立つ監査の知見を毎週お届けします。

試験対策ではありません。監査を効率化する実践的な内容です。

290以上のガイドを公開20の無料ツール現役の監査人が構築

スパムはありません。私たちは監査人であり、マーケターではありません。