ブリッジレターとは何か
ISAE 3402は、サービス組織が利用者組織の財務報告に関連する内部統制について保証を提供する国際基準である。しかし、レポートの対象期間(通常12か月)と利用者組織の会計年度末との間にタイミングのずれが生じることがある。
監基報315号では、利用者組織の監査人がサービス組織から入手すべき情報について具体的な要件を定めている。同報告書A46項は、最新のISAE 3402レポート発行後にサービス組織で発生した重要な変更について、追加的な情報入手を求めている。
ブリッジレターはこの要件を満たす手段。サービス組織の経営者が作成し、以下の情報を提供する:
- 最新レポート発行後のコントロール変更
- 新たに識別されたコントロール欠陥
- システムアップグレードや担当者変更の影響
- 例外事項の発生状況と対応策
なぜブリッジレターが必要なのか
ISAE 3402レポートは通常、前年度の状況を反映している。2024年3月期の監査において、最新のISAE 3402レポートが2023年12月31日で終了している場合、2024年1月から3月までの期間にギャップが生じる。この期間中にシステム変更や人事異動があれば、レポートの関連性は低下する。
日本の監査実務では、期末日時点での内部統制の有効性評価が求められる。金融庁の公認会計士・監査審査会による検査では、サービス組織統制の評価不備が指摘事項の上位に位置する。適切な追加手続なしに前年度レポートに依拠すれば、監査リスクが増大する。
国際的な検査動向を見ても、PCAOB(米国公開会社会計監視委員会)の2023年検査レポートでは、サービス組織統制の評価において、タイムギャップの検討不備が指摘されている。オランダのAFM(金融市場庁)も同様の指摘を行っている。
ブリッジレターの構成要素
基本情報セクション
ブリッジレターには以下の基本情報を記載する:
対象期間の明確化
最新ISAE 3402レポートの終了日から現在日付までの期間を明記。「2023年12月31日終了レポートから2024年3月31日まで」といった形で特定する。
責任者の明記
サービス組織内でコントロール変更を承認する権限を持つ者の氏名・役職を記載。通常はCEO、CFO、またはCOOが署名者となる。
適用範囲の確認
ブリッジレターがカバーするサービス内容を、最新ISAE 3402レポートとの関連で明記。新しいサービスが追加された場合は、その旨を明確にする。
変更事項の詳細
システム変更
ソフトウェアのアップグレード、ハードウェア交換、データセンター移転等の物理的・論理的変更を記載。変更時期、変更理由、影響範囲を具体的に述べる。
人事変更
キーパーソンの退職、新規採用、職責変更について記載。特に、ISAE 3402レポートで言及されたコントロール責任者の変更は必須記載事項。
プロセス変更
業務フローの変更、承認権限の変更、外部委託先の変更等、コントロール環境に影響する変更を記載。
例外事項の報告
識別された不備
最新レポート発行後に発見されたコントロール不備について、発見時期、原因、影響度、対応策を記載。
是正措置の状況
前回レポートで指摘された不備の是正状況を更新。完了済み、進行中、未着手の別を明記。
実践例:田中情報システム株式会社
田中情報システム株式会社(売上高120億円、従業員数800名)は、中堅企業向けにERP運用サービスを提供している。2023年12月31日終了のType IIレポートを2024年2月28日に発行済み。同社の2024年第1四半期におけるブリッジレターの例:
1. 対象期間の設定
対象期間:2024年1月1日から2024年3月31日まで(最新ISAE 3402レポート終了日の翌日から四半期末まで)
文書化ノート:期間の定義を監査調書の統制評価セクションに記載
2. システム変更の評価
2024年2月15日にデータベースサーバーをOracle 12cから19cにアップグレード。バックアップとリストア機能のテストを2月20日から22日に実施。ダウンタイムは計画通り4時間以内に収束。
文書化ノート:アップグレード時のコントロールテスト結果をブリッジレター添付資料として保管
3. 人事変更の確認
システム管理部長(前回レポートのキーコントロール責任者)が2024年1月31日付で退職。後任として副部長を昇格させ、2月1日から職務開始。引き継ぎ期間は3週間設定。
文書化ノート:引き継ぎ完了確認書をブリッジレター関連証跡として整理
4. 例外事項の報告
2024年3月5日、アクセス権限管理システムで権限削除の遅延が1件発生。退職者のアクセス権が退職日から3営業日後まで残存。即座に削除し、当該期間中のアクセスログを確認。不正アクセスは検出されず。
文書化ノート:例外発生時のログ解析結果とその後の改善策をブリッジレター証跡ファイルに保存
結論: このブリッジレターにより、利用者組織の監査人は2024年第1四半期中のサービス組織統制の継続性を合理的に評価可能となった。システム変更は計画通り実施され、人事変更は適切な引き継ぎを伴い、例外事項は迅速に是正された。
実務チェックリスト
- タイミングの確認: ISAE 3402レポート終了日と監査対象期間末日の差が3か月以上ある場合、ブリッジレターの必要性を検討する
- 変更事項の網羅: システム、人事、プロセスの3領域でチェックし、監基報315号A46項の要件を満たす
- 責任者署名: サービス組織の適切な権限者(通常はCレベル役員)による署名を確保する
- 証跡の整理: ブリッジレターの裏付けとなる証拠書類を監査ファイルに整理保管する
- 利用者監査人との調整: ブリッジレターで十分か、追加手続が必要かを利用者監査人と事前協議する
- 最重要事項: ブリッジレターはISAE 3402レポートの代替ではなく補完である。レポート自体の信頼性が前提条件
よくある不備事項
曖昧な期間設定: 「最近」「しばらくの間」といった表現では、監査証拠として不十分。対象期間を「2023年12月31日から2024年3月31日まで」のように日付で特定する。
変更影響の未評価: システム変更が記載されているが、内部統制への影響が評価されていない。変更ごとにコントロールへの影響度を記載する。
関連コンテンツ
- ISAE 3402 Type II監査の実施ガイド: Type IIレポートの要求事項と評価プロセス
- サービス組織統制評価ツール: 利用者監査人向けの統制評価チェックリスト
- 監基報315号リスク識別手法: サービス組織を含むリスク評価の実務的アプローチ