目次

目次

ISAE 3402におけるブリッジレターの要件

ISAE 3402第73項は、記述日以降に入手した情報について規定している。「記述の終了日以降、監査人の報告書日までの期間において、サービス提供者のシステムに重要な変更があったことを認識した場合、監査人は追加手続を実施しなければならない」。
この条項が示すのは期間制限ではなく、変更の評価義務だ。基準は監査人に対し、中間期間中の変更が以下に該当するかを判断するよう求める:
第74項は追加手続の範囲を定める。監査人は「変更の性質と範囲を理解し、そのような変更が監査人の報告書に対する影響を評価する」必要がある。ここでも期間への言及はない。

なぜ期間制限が必要とされるのか


実務上の問題は証拠の劣化にある。記述期間の終了から時間が経過するほど、以下の要因により監査証拠の信頼性が低下する:
しかし、この劣化速度はサービス内容により大幅に異なる。給与計算サービスのような定型業務では6ヶ月後でも証拠が残存する。資金移動や投資判定のような高リスク業務では1ヶ月後でも証拠収集が困難になる。

  • コントロールの追加、修正、除去
  • 処理の重要な変更
  • 人員配置やシステム環境の重要な変化
  • 統制環境への重要な影響
  • 担当者の記憶の曖昧化
  • システムログや取引記録の循環・削除
  • 組織体制の変化による説明責任者の交代
  • 内部統制の実態と文書化された手続の乖離拡大

3ヶ月慣行の起源と制約

「3ヶ月」慣行は実務上の経験則として確立されたが、明確な基準上の根拠は存在しない。その起源を辿ると、以下の要因が複合的に作用している。

PCAOB実務からの影響


米国のSOX法監査実務において、内部統制の評価期間に関するPCAOB指針が「四半期」を一つの区切りとして言及している。SSAE 16(ISAE 3402の米国版)実務もこの影響を受け、「3ヶ月を超える場合は追加手続の範囲を拡大する」というファーム内指針が形成された。
しかし、これは法的要件ではなく実務指針だった。2010年代に入り、国際的な監査法人がこの慣行をIFAC基準下の実務にも適用し始めたが、ISAE 3402自体に3ヶ月の条文は挿入されなかった。

証拠劣化の経験的分析


大手監査法人の内部研究では、統制テストの証拠が有効性を失う期間を分析している。この結果、多くのサービス業務で「90日」前後を境として証拠収集の困難度が急激に上昇することが確認された。
ただし、この分析はサービス内容に依存する。高頻度取引(決済、資金移動)では30日、低頻度取引(年次報告、税務申告支援)では180日が境界値となることも多い。

リスク・効率バランスの実務判断


3ヶ月慣行の実際の機能は、監査リスクと監査効率のバランシングにある。この期間を超えると、ブリッジレターの手続費用が新規ISAE 3402業務の費用に近づく。クライアントの立場からは、コスト効率性を失ったブリッジレターより新規業務を選択する合理性がある。

実務例:高橋会計監査法人のブリッジレター判定

企業: 東京データ処理サービス株式会社
事業内容: 製造業向け在庫管理システム運営
前回ISAE 3402報告書日: 2023年12月31日
新報告書要求日: 2024年7月31日
ギャップ期間: 7ヶ月

ステップ1:変更の性質評価


監査調書記載事項:主要なシステム変更3件を確認。在庫評価ロジックの修正(4月実装)、アクセス権限体系の変更(6月実装)、新規クライアント向けインターフェース追加(7月実装)。
高橋監査法人チームは、7ヶ月間の主要変更を洗い出した。在庫評価ロジックの修正は、棚卸資産の簿価計算に直接影響する。これは利用者の財務報告に重要な影響を与える変更に該当する。

ステップ2:証拠入手可能性の評価


監査調書記載事項:4月および6月の変更について、システムログは保存されているが、担当者2名が退職済み。代替証拠として設定変更の承認メールと事後レビューレポートが利用可能。
証拠の劣化状況を評価した結果、直接の担当者からの説明は困難だが、文書化された変更手続と事後検証結果により十分な心証を得られると判断した。

ステップ3:追加手続の範囲決定


監査調書記載事項:在庫評価ロジックについてはウォークスルー1件、サンプルテスト5件を実施。アクセス権限については新旧対比表の査閲と権限付与承認手続のテスト3件を実施。
変更箇所に対し、理解とテストを組み合わせた手続を実施。新規インターフェースについては軽微な変更と判断し、ウォークスルーのみで十分とした。

ステップ4:結論と報告書への影響


高橋監査法人は、追加手続の結果に基づき、ブリッジレターの発行が可能と結論付けた。ただし、通常のISAE 3402業務と比較して手続範囲が制約されることを報告書で明記した。
監査調書記載事項:制約事項として以下を記載。(1) 2024年1月1日から7月31日までの期間について完全な統制テストは実施していない、(2) 証拠の一部が間接証拠に依拠している、(3) 変更箇所以外の統制については前回報告書の結論に依存している。

ブリッジレター実施時の実務チェックリスト

  • 変更ログの完全性確認: 記述期間終了日以降の全ての変更(システム、人員、手続、環境)をリスト化し、重要性判定を実施する。ISAE 3402第74項の要求事項。
  • 証拠入手戦略の策定: 各変更について、直接証拠の入手可能性を評価し、代替証拠(メール、ログ、承認記録)の利用可否を判定する。
  • 追加手続の文書化: 通常のISAE 3402手続との差異を明確にし、制約事項を調書に記載する。将来の品質レビューで説明可能な記録を残す。
  • クライアント期待値の調整: ブリッジレターは完全なISAE 3402業務ではないことを説明し、制約事項について事前に合意する。
  • 報告書文言の検討: 制約事項を適切に表現し、利用者が制約を理解できる文言を使用する。
  • 最も重要な判断基準: 期間の長さではなく、変更の重要性とそれに対する証拠収集可能性が判定の中核となる。機械的に「3ヶ月以内」で判断しない。

よくある判断ミス

  • 期間のみでの可否判定: 「4ヶ月だから不可」という機械的判断。実際は変更内容と証拠の問題。PCAOB検査では期間より変更評価の適切性を重視する傾向。
  • 変更の過小評価: 「システム設定の微調整」として重要な変更を見落とす。利用者の財務報告への影響を基準に判定する必要がある。
  • 制約事項の開示不足: 通常のISAE 3402業務との差異を明確にせず、利用者に誤解を与える報告書文言を使用する。
  • ISAE 3402第74項の追加手続範囲の不備: 変更箇所を特定しても、ウォークスルーとサンプルテストの組み合わせ設計が不十分で、変更後の統制が実際に運用されたかの検証が欠落するケースがある。

関連コンテンツ

実務に役立つ監査の知見を毎週お届けします。

試験対策ではありません。監査を効率化する実践的な内容です。

290以上のガイドを公開20の無料ツール現役の監査人が構築

スパムはありません。私たちは監査人であり、マーケターではありません。