目次

目次

ISAE 3402報告書の基本構造

ISAE 3402.38は、サービス監査人がサービス機関の記載内容、統制目標の達成状況、統制の運用テスト結果を報告するよう求めている。報告書は4つの主要セクションで構成される:経営者の記載書、サービス監査人の意見、統制の記載、テスト結果と例外。
監基報315.A63は、サービス機関の統制を理解することを監査人の責任としている。報告書全体を読む必要があるのはこのため。結論部分だけでは、どの統制がどの財務諸表項目に関連するか判断できない。
報告書の期間も重要な評価要素だ。ISAE 3402.44は、Type II報告書では最低6か月間の運用テストを求めている。監査対象期間との重複が不十分な場合、追加手続が必要になる。

Type IとType II報告書の評価方法

Type I報告書は特定時点での統制の整備状況のみを対象とする。Type II報告書は期間にわたる統制の運用状況も含む。監基報402.14は、Type II報告書を入手できない場合の追加手続を規定している。
Type I報告書の評価要素:
統制の記載内容が具体的で実行可能かを確認する。「承認統制」のような抽象的な記載では、実際に何が行われるか判断できない。ISAE 3402.A94は、統制の記載に実行者、頻度、証跡を含めるよう求めている。
統制目標と個別統制のマッピングを確認する。1つの統制目標に対し複数の統制が設定されている場合、それぞれの役割を理解する必要がある。
Type II報告書の評価要素:
運用テストの性質と範囲を評価する。ISAE 3402.A140は、統制の頻度に応じたサンプル数の考慮を求めている。日次統制で年間3件のテストは不十分だ。
例外の性質と頻度を評価する。例外が「軽微」と分類されていても、その判断根拠を確認する必要がある。例外の原因が構造的な問題(人員不足、システム制約)の場合、将来も継続する可能性が高い。

統制の記載内容と運用テストの評価

監基報315.16は、統制環境、リスク評価プロセス、情報システム、統制活動、モニタリングの5つの構成要素を定めている。ISAE 3402報告書でも同様の構造で統制が整理される。
統制記載の評価ポイント:
実行頻度が明記されているか。「定期的に」「適切に」のような曖昧な表現では、統制の信頼性を判断できない。
例外処理の方法が記載されているか。システム統制でダウンタイムが発生した場合の代替統制があるかを確認する。
権限分離が適切に設計されているか。同一人物が取引の承認と記録を両方行える設計では、統制としての有効性が限定的だ。
運用テストの評価ポイント:
テスト項目の選定根拠が合理的か。リスクの高い期間や取引タイプを意図的に選んでいる場合、バイアスが生じる可能性がある。
テスト手続が統制の性質と整合するか。承認統制のテストで署名の存在のみを確認し、承認者の権限を検証していない場合は不十分だ。
再実行テストの結果が記載されているか。証跡の査閲だけでなく、統制を実際に再実行したテストの方が信頼性が高い。

実務例:給与計算サービスの報告書レビュー

> 設例企業: 田中製作所株式会社(製造業、従業員300名、年商45億円)は、クラウド型給与計算システム「ペイロール・ソリューションズ株式会社」を利用している。同社のISAE 3402 Type II報告書(2023年4月〜2024年3月)をレビューする。

> Step 1: 報告書の対象範囲を確認する。給与計算、賞与計算、年末調整、社会保険手続が含まれる。退職金計算はカーブアウト(対象外)となっている。

> 文書化:「給与関連統制は報告書でカバー。退職金は別途直接テスト必要」

> Step 2: 統制目標を財務諸表項目にマッピングする。「給与データの正確性」は人件費の実在性と正確性に関連。「給与台帳へのアクセス制限」は人件費の網羅性に関連。

> 文書化:「統制目標1-3は人件費に直接影響。統制目標4-5は未払費用に影響」

> Step 3: 例外を評価する。月次給与計算での承認統制で3件の例外(承認の遅延)が発見された。いずれも金額への影響はなく、翌営業日に承認が完了している。

> 文書化:「例外3件、金額影響なし。統制の実質的有効性に問題なしと判断」

> Step 4: 依拠の程度を決定する。給与計算統制への依拠を「高」とし、実証手続(分析的手続と詳細テスト)の範囲を通常レベルに設定する。

> 文書化:「ISAE 3402報告書に依拠し実証手続を通常レベルで実施」

実務チェックリスト

  • 報告書の対象範囲と監査対象期間の重複を確認する: 重複期間が6か月未満の場合、監基報402.16に基づく追加手続を検討
  • 統制目標と財務諸表項目のマッピングを文書化する: 各統制目標がどの監査アサーションに関連するか明記
  • 例外の性質、頻度、原因を評価し影響を判断する: 「軽微」の分類が適切か、原因が一時的か構造的かを検討
  • サブサービス機関のカーブアウトがある場合の影響を評価する: カーブアウト部分に対する別途統制テストの必要性を判断
  • 統制への依拠の程度と実証手続の範囲を決定し文書化する: 監基報330.7に基づく実証手続の性質、時期、範囲への影響を記録
  • 報告書の記載内容から監査上の留意点があれば識別する: ISAE 3402.47に基づく経営者への推奨事項から潜在的リスクを評価

よくある誤り

報告書の結論のみを確認し統制の詳細を読まない: 国際的な品質レビューで最も指摘される不備の1つ
Type IとType IIの区別を理解せず同じ評価手続を適用する: Type I報告書では追加的な統制テストが必要な場合が多い
例外を「軽微」として一律に無視する: 例外の累積的影響や原因の構造性を評価せずに判断することは不適切

関連資料

  • 監査重要性の設定と文書化: サービス機関統制の不備が重要性の判断に与える影響
  • 監基報315内部統制評価ツール: サービス機関統制と企業統制の関係性の整理に活用
  • 監基報402サービス機関を利用する企業の監査: サービス機関監査の全体的なアプローチ

実務に役立つ監査の知見を毎週お届けします。

試験対策ではありません。監査を効率化する実践的な内容です。

290以上のガイドを公開20の無料ツール現役の監査人が構築

スパムはありません。私たちは監査人であり、マーケターではありません。