ISA 402：監査におけるサービス組織の報告書の利用

ISA 402の基本要件と適用範囲

サービス組織とは何か

Type IとType IIレポートの違い

実務上の主要な検討事項

対象期間の評価

例外事項とコントロール不備の評価

限定意見のあるレポートの扱い

• Gap が3か月以下：利用者組織での補完的コントロールをテストするか、残高確認を実施
• Gap が3～6か月：サービス組織に直接照会し、重要な変更がないことを確認
• Gap が6か月超：Type IIレポートの証拠価値が制限される。独立した実証手続が必要
• 例外の根本原因：システム障害、人的エラー、設計上の欠陥
• 発生パターン：一時的な問題か、継続的な弱点か
• 補完的コントロール：利用者組織側で例外の影響を軽減するコントロールがあるか

実例：投資顧問サービスを利用する投資会社の監査

鈴木投資顧問株式会社のケース
鈴木投資顧問株式会社は、運用資産85億円の投資会社で、ポートフォリオ管理を外部の資産管理会社（田中アセットマネジメント）に委託している。田中アセットマネジメントは投資判断、注文執行、評価業務を担当。2024年12月期の監査で、以下のサービス組織関連証拠を入手した：
ステップ1： サービス組織の特定と重要性の評価
文書化：サービス組織一覧表に田中アセットマネジメントを記載。投資評価プロセスの80%をカバーすることを注記。
ステップ2： SOC 1 Type IIレポートの入手と評価
文書化：2024年1月1日から9月30日までの9か月間をカバーするType IIレポートを入手。監査期間12か月との差異3か月を特記。
ステップ3： 対象期間の gap に対する追加手続
文書化：10～12月について、投資評価の独立再計算を四半期末残高に対して実施。価格ソースをBloombergで独立検証。
ステップ4： コントロール例外の評価
文書化：レポートに記載された3件の例外事項を評価。注文執行の承認遅延2件（1日以内に解消）、評価システムの一時的ダウン1件（4時間、手動バックアップで対応）。いずれも100万円未満の影響。
レビューアは対象期間のgapへの対応手続と例外事項の影響評価を確認できる。

実務チェックリスト

• サービス組織の網羅的な識別：契約一覧から財務報告プロセスに関与するすべてのサービス組織を特定する（ISA 402.9）
• Type IIレポートの入手：可能な限りType IIレポート（運用有効性の評価を含む）を入手し、Type Iレポートは追加手続と組み合わせて使用する
• 対象期間の整合性確認：サービス組織の報告期間と監査期間を比較し、gap が3か月超の場合は追加手続を計画する
• 例外事項の詳細分析：Type IIレポートのすべての例外事項について、性質、頻度、根本原因を文書化し、重要性基準値との関係で影響を評価する
• 補完的コントロールの評価：利用者組織でサービス組織のコントロール不備を補う統制が存在するかテストする
• 最重要確認事項：サービス組織への依存度が高い場合、Type IIレポートは必須。証拠不足のリスクを甘く見積もらない

監査人が陥りやすい誤り

• 対象期間の gap を過小評価：3か月程度なら問題ないと判断し、追加手続を実施しない。実際には重要な統制変更が生じている可能性がある
• 例外事項の影響分析が表面的：レポートに記載された例外を読むだけで、利用者組織への具体的な影響を分析しない
• Type Iレポートへの過度な依存：運用有効性の証拠なしに、設計評価のみで十分と判断する
• サービス組織からType 2報告書を入手後、ISA 402.15に基づく補完統制のテストを省略し、報告書のカバー範囲外リスクへの対応手続を設計していないケース

関連リンク

• 重要性の基準値設定ツール: サービス組織関連の虚偽表示リスクを考慮した重要性計算
• ISA 315リスク評価チェックリスト: サービス組織を含む内部統制の理解と評価
• 監査証拠の十分性・適切性ガイド: サービス組織からの証拠の品質評価方法
• 監基報315リスク評価ガイド — サービス組織利用企業のリスク評価における留意点