ISA 402：サービス組織の報告書を監査でどこまで使えるか

ISA 402の基本要件と適用範囲

サービス組織の判定で詰まるのは「単純委託」との境界

ISA 402.8は、サービス組織を「利用者組織のために、利用者組織の内部統制の一部となるサービスを提供する第三者の組織」と定義している。給与計算会社、データセンター、投資顧問、貸出処理業者は典型例。

問題はその外側。クラウド会計ソフト（freee、マネーフォワード）の利用は単純委託か、サービス組織か。実態は両方の要素を含む。経営者がデータをアップロードして集計だけ任せている場合は単純委託寄り。会計仕訳の自動仕訳ロジックに依存している場合はサービス組織寄り。判断の物差しは、サービスが利用者組織の財務報告プロセスに組み込まれているかどうか。組み込まれているなら、ISA 402.9に基づき十分かつ適切な監査証拠を入手しなければならない。

Type IとType II：教科書には書かれていない実務上の差

SOC 1 Type Iレポートは、特定日現在のコントロールの設計と実在を評価する。Type IIレポートは、一定期間における設計、実在、運用有効性を評価する。ISA 402.12は利用者監査人にType IIレポートの使用を推奨している。運用有効性の証拠が含まれるため。

教科書の説明はここまで。現場ではもう一段細かい話がある。Type Iレポートしか入手できない場合、運用有効性の証拠を独自に入手する必要があるが、実証手続だけでは埋められない論点が残る。たとえばサービス組織側の権限分掌の運用有効性を、利用者組織側でテストすることは構造上不可能。Type Iしか出ないサービス組織は、それ自体が監査リスクの増加要因。継続するか、サービス組織を変えてもらうかの判断をクライアントに迫る場面が出てくる。

実務上の主要な検討事項

対象期間：3か月のギャップが境界線

ISA 402.14は、サービス組織の監査人の報告書が利用者監査人の監査期間に適合しているかを評価するよう求めている。完全な重複が理想だが、実務上は困難な場合が多い。部分的な重複でも使用可能だが、追加手続が必要。

対象期間に gap がある場合の対応： - Gap が3か月以下：利用者組織での補完的コントロールをテストするか、残高確認を実施 - Gap が3〜6か月：サービス組織に直接照会し、重要な変更がないことを確認 - Gap が6か月超：Type IIレポートの証拠価値が制限される。独立した実証手続が必要

ここで現場の実態を書く。3月決算のクライアントで、サービス組織のSOC 1レポートが暦年ベース（1〜12月）で発行されると、9か月の重複と3か月のギャップが構造的に発生する。これは個別案件の問題ではなく、暦年と3月決算の差から来る業界全体の論点。3か月のギャップを残高確認で埋める手続が、繁忙期の調書で漏れる。レビューで真っ先に詰まるのがここ。

例外事項：性質と原因の分析が浅くなる罠

Type IIレポートに例外事項が記載されている場合、ISA 402.16は、その性質と原因、発生頻度、補完的コントロールの存在を評価するよう求めている。例外事項が記載されているレポートを見て、「軽微」と判断して通り過ぎるのが最も多い失敗パターン。

評価の視点： - 例外の根本原因：システム障害、人的エラー、設計上の欠陥のいずれか - 発生パターン：一時的な問題か、継続的な弱点か - 補完的コントロール：利用者組織側で例外の影響を軽減するコントロールがあるか

ここで一つ意見を書く。例外が「人的エラー1件」と記載されている場合、AパートナーとBパートナーで判断が割れる。Aパートナーは「1件なら影響軽微」と判断する。Bパートナーは「人的エラーはコントロール設計の弱さを示唆する」として根本原因を追跡する。経験上、後者のほうが品管レビューを通る可能性が高い。理由は単純で、品管はサンプルサイズではなく、判断プロセスの記録を見るから。書ける構造があると、書く判断が出る。

限定意見のあるレポート：範囲制限と不備で対応が分かれる

サービス組織の監査人が限定意見を表明した場合、ISA 402.17は、限定の理由と監査への影響を詳細に評価することを求めている。範囲の制限による限定と、実際のコントロール不備による限定では対応が異なる。

範囲の制限による限定：追加の実証手続で代替証拠を入手できる場合があるコントロール不備による限定：利用者組織でのテストを強化し、実証中心の手続に移行

実態として、限定意見のあるType IIレポートを「使える」と判断して進める案件が多い。判断のプロセスが調書に残っていない場合、品管で「なぜこのレポートで足りると判断したか」を問われる。

実例：投資顧問サービスを利用する投資会社の監査

鈴木投資顧問株式会社のケース

鈴木投資顧問株式会社は、運用資産€85百万の投資会社で、ポートフォリオ管理を外部の資産管理会社（田中アセットマネジメント）に委託している。田中アセットマネジメントは投資判断、注文執行、評価業務を担当。2024年12月期の監査で、以下のサービス組織関連証拠を入手した。

ステップ1： サービス組織の特定と重要性の評価 調書メモ：サービス組織一覧表に田中アセットマネジメントを記載。投資評価プロセスの80%をカバーすることを注記。

ステップ2： SOC 1 Type IIレポートの入手と評価 調書メモ：2024年1月1日から9月30日までの9か月間をカバーするType IIレポートを入手。監査期間12か月との差異3か月を特記。

ステップ3： 対象期間の gap に対する追加手続 調書メモ：10〜12月について、投資評価の独立再計算を四半期末残高に対して実施。価格ソースをBloombergで独立検証。

ステップ4： コントロール例外の評価で予想外の論点

レポートに記載された3件の例外事項を評価していたところ、評価システムの一時的ダウン1件（4時間、手動バックアップで対応）について、手動バックアップの結果が10月末（Gap期間内）の評価額に反映されている可能性が浮上した。当初は「軽微」として処理する予定だったが、Gap期間との関係で追加手続を実施。 調書メモ：手動バックアップで処理された取引を抽出し、再計算を実施。€10,000未満の影響を確認。Gap期間の追加検証として記録。

このアプローチで、サービス組織の証拠不足をリスクの濃淡に応じて補完。判断プロセスを記録した調書が審査を通った。

実務チェックリスト

1. サービス組織の網羅的な識別：契約一覧から財務報告プロセスに関与するすべてのサービス組織を特定する（ISA 402.9）

2. Type IIレポートの入手：可能な限りType IIレポート（運用有効性の評価を含む）を入手し、Type Iレポートは追加手続と組み合わせて使用する

3. 対象期間の整合性確認：サービス組織の報告期間と監査期間を比較し、gap が3か月超の場合は追加手続を計画する

4. 例外事項の詳細分析：Type IIレポートのすべての例外事項について、性質、頻度、根本原因を文書化し、重要性基準値との関係で影響を評価する

5. 補完的コントロールの評価：利用者組織でサービス組織のコントロール不備を補う統制が存在するかテストする

6. 最重要確認事項：サービス組織への依存度が高い場合、Type IIレポートは必須。証拠不足のリスクを甘く見積もらない

監査人が陥りやすい誤り

- 対象期間の gap を過小評価：3か月程度なら問題ないと判断し、追加手続を実施しない。実際には重要な統制変更が生じている可能性がある

- 例外事項の影響分析が表面的：レポートに記載された例外を読むだけで、利用者組織への具体的な影響を分析しない。例外の性質と利用者組織側の取引タイミングの関係を必ず追跡する

- Type Iレポートへの過度な依存：運用有効性の証拠なしに、設計評価のみで十分と判断する