ISAE 3402 ブリッジレター：基準の中に誰も見つけることができない3ヶ月慣行

ISAE 3402におけるブリッジレターの要件

ISAE 3402第73項は、記述日以降に入手した情報について規定している。「記述の終了日以降、監査人の報告書日までの期間において、サービス提供者のシステムに変更があったことを認識した場合、監査人は追加手続を実施しなければならない」。

この条項が示すのは期間制限ではなく、変更の評価義務である。基準が監査人に求めるのは、中間期間中の変更が以下に該当するかの判断だ。

- コントロールの追加・修正・除去 - 処理の変更 - 人員配置やシステム環境の変化 - 統制環境への影響

第74項は追加手続の範囲を定める。「変更の性質と範囲を理解し、そのような変更が監査人の報告書に対する影響を評価する」必要がある。ここにも期間への言及はない。

なぜ期間制限が必要とされるのか

実務上の問題は証拠の劣化にある。記述期間の終了から時間が経過するほど、監査証拠の信頼性は落ちていく。担当者の記憶は曖昧になり、システムログや取引記録は循環・削除される。組織体制が変わって説明責任者が交代し、内部統制の実態と文書化された手続の乖離も拡大する。

本音を言うと、この劣化速度はサービス内容によって全く違う。給与計算サービスのような定型業務では6ヶ月後でも証拠が残存する。資金移動や投資判定のような高リスク業務では1ヶ月後でも証拠収集が困難になることがある。

3ヶ月慣行の起源と制約

「3ヶ月」慣行は実務家の経験則として定着したが、基準上の根拠はどこにも存在しない。その成り立ちには複数の要因が絡んでいる。

PCAOB実務からの影響

米国のSOX法監査実務で、内部統制の評価期間に関するPCAOB指針が「四半期」を一つの区切りとして言及している。SSAE 16（ISAE 3402の米国版）の実務もこの影響を受けた。「3ヶ月を超える場合は追加手続の範囲を拡大する」というファーム内指針が形成された背景である。

ただし、これは法的要件ではなく実務指針にすぎない。2010年代に入り、国際的な監査法人がこの慣行をIFAC基準下の実務にも持ち込んだが、ISAE 3402自体に3ヶ月の条文は挿入されなかった。

証拠劣化の経験的分析

大手監査法人の内部研究では、統制テストの証拠が有効性を失う期間を分析している。多くのサービス業務で「90日」前後を境として証拠収集の困難度が急激に上昇する。ここが「3ヶ月」の実質的な根拠だ。

ただし、サービス内容によって境界値は異なる。高頻度取引（決済、資金移動）では30日、低頻度取引（年次報告、税務申告支援）では180日が閾値になるケースも多い。一律の期間制限では対応できない現実がある。

リスクと効率のバランス

3ヶ月慣行のもう一つの機能は、監査リスクと監査効率のバランス確保にある。この期間を超えると、ブリッジレターの手続費用が新規ISAE 3402業務の費用に近づく。クライアント側からすれば、コストが同等なら新規業務を選んだほうが合理的だろう。繁忙期に無理にブリッジレター対応をするよりも、新規業務として計画的に実施するほうがチームの負荷も調書の品質も良い結果になる。

実務例：高橋会計監査法人のブリッジレター判定

東京データ処理サービス株式会社（製造業向け在庫管理システム運営）について、前回ISAE 3402報告書日は2023年12月31日、新報告書の要求日は2024年7月31日。ギャップ期間は7ヶ月。

変更の性質評価

調書記載事項として、主要なシステム変更を3件確認した。在庫評価ロジックの修正（4月実装）、アクセス権限体系の変更（6月実装）、新規クライアント向けインターフェース追加（7月実装）。

高橋監査法人チームは7ヶ月間の変更を洗い出した。在庫評価ロジックの修正は棚卸資産の簿価計算に直接影響する。利用者の財務報告に対する影響度は高い。

証拠入手可能性の評価

調書記載事項として、4月と6月の変更についてシステムログは保存されているが、担当者2名が退職済みと記録。代替証拠として設定変更の承認メールと事後レビューレポートを利用可能とした。

直接の担当者からの説明は得られない。文書化された変更手続と事後検証結果により心証を得られるかが論点となる。正直、7ヶ月のギャップで担当者が退職しているケースは判断が難しく、調書にどこまで代替証拠で割り切れるかの根拠を丁寧に残さないと品管で確実に引っかかる。

追加手続の範囲決定

調書記載事項として、在庫評価ロジックについてウォークスルー1件とサンプルテスト5件を実施。アクセス権限については新旧対比表の査閲と権限付与承認手続のテスト3件を実施した。

変更箇所に対して理解とテストを組み合わせた手続を実施。新規インターフェースについては軽微な変更と判断し、ウォークスルーのみで対応した。

結論と報告書への影響

高橋監査法人は追加手続の結果に基づき、ブリッジレターの発行が可能と結論付けた。ただし、通常のISAE 3402業務と比較して手続範囲の制約があることを報告書で明記している。

調書の制約事項は以下のとおり。2024年1月1日から7月31日までの期間について完全な統制テストは実施していない。証拠の一部が間接証拠に依拠している。変更箇所以外の統制については前回報告書の結論に依存している。

ブリッジレター実施時の実務チェックリスト

1. 変更ログの完全性確認として、記述期間終了日以降の全ての変更（システム、人員、手続、環境）をリスト化し、重要性判定を実施する。ISAE 3402第74項の要求事項に対応する手続である。

2. 証拠入手戦略の策定として、各変更について直接証拠の入手可能性を評価し、代替証拠（メール、ログ、承認記録）の利用可否を判定する。

3. 追加手続の文書化として、通常のISAE 3402手続との差異を明確にし、制約事項を調書に記載する。将来の品質レビューで説明可能な記録にする。

4. クライアントとの期待値調整として、ブリッジレターは完全なISAE 3402業務ではないことを説明し、制約事項について事前に合意を取る。

5. 報告書文言の検討として、制約事項を明確に表現し、利用者が制約の範囲を理解できる文言を使用する。

6. 判定の中核基準は期間の長さではなく、変更の性質とそれに対する証拠収集可能性である。「3ヶ月以内」で機械的に判断してはならない。

よくある判断ミス

期間のみでの可否判定は典型的な誤りだ。「4ヶ月だから不可」という機械的判断ではなく、変更内容と証拠の入手可能性が本来の論点である。CPAAOB検査でも期間より変更評価の妥当性を問われる傾向にある。

変更の過小評価も問題になる。「システム設定の微調整」として処理してしまい、利用者の財務報告に影響する変更を見落とすケースがある。利用者の財務報告への影響を軸に判定する。

制約事項の開示不足も頻出する。通常のISAE 3402業務との差異を明確にしない報告書は、利用者に誤解を与える。JICPAの品質管理レビューで指摘される典型パターンだ。