ISAE 3402における2つの報告方式

ISAE 3402.A68は、サービス監査人に対して2つの報告方式のいずれかを選択するよう求めている。カーブアウト方式(carve-out method)とインクルーシブ方式(inclusive method)。この選択は報告書の表題だけでなく、利用会社監査人の追加手続の必要性を決定する。

カーブアウト方式の特徴


カーブアウト方式では、サービス組織が利用するサブサービス組織のコントロールを報告範囲から除外する。ISAE 3402.35(a)に基づき、サービス監査人はサブサービス組織の統制活動を評価しない。代わりに報告書の記述部分で、サブサービス組織の性質と統制目標への関連性のみを記載する。
利用会社の経営者は、除外されたサブサービス組織に関して別途情報を入手する必要がある。多くの場合、これは追加のSOC 1報告書またはサブサービス組織から直接提供される統制証明書を意味する。

インクルーシブ方式の特徴


インクルーシブ方式では、サブサービス組織のコントロールを含めてサービス組織の統制環境を評価する。ISAE 3402.35(b)は、サービス監査人に対してサブサービス組織で実施されるコントロールの設計有効性と運用有効性の両方を検証するよう求めている。
この方式の報告書は、利用会社とその監査人にとってより統制情報を提供する。ただし、サービス監査人の作業量は増加し、報告書作成期間も長くなる傾向がある。

方式選択が監査手続に与える影響

カーブアウト方式の場合


利用会社の監査人は、除外されたサブサービス組織について独立して情報を収集する必要がある。監基報402.A26は、利用会社監査人に対して次のいずれかの手続を求めている:
多くの場合、最初のオプション(報告書の入手)が現実的な選択肢となる。しかし追加の報告書入手には時間とコストが発生する。

インクルーシブ方式の場合


サブサービス組織のコントロールが既に評価済みのため、利用会社監査人の追加手続は大幅に軽減される。監基報402.15は、利用会社監査人に対してサービス監査人報告書の適切性と十分性を評価するよう求めているが、サブサービス組織に関する別途の証拠収集は不要となる。
ただし、利用会社監査人はサービス監査人報告書でカバーされている期間とコントロールの範囲が、自らの監査意見形成に十分かどうかを判断する必要がある。

  • サブサービス組織の監査人が発行した報告書の入手と評価
  • サブサービス組織での統制テストの直接実施
  • サブサービス組織から提供される統制証明書の検証
  • 監基報402.A28に基づき、サブサービス組織の統制に依拠せず、利用会社側の代替的実証手続で対応

実務例:給与処理サービスでの比較

設定: 田中製造株式会社(売上520億円、従業員2,800名)が給与計算業務をプロセッシングサービス株式会社(架空)に委託。プロセッシングサービスは税額計算を税務システム株式会社(架空)のクラウドサービス経由で実施している。

カーブアウト方式での監査対応

インクルーシブ方式での監査対応


この結果、インクルーシブ方式では監査コストを約20万円削減し、監査完了を2週間短縮できた。

  • 報告書の確認: プロセッシングサービスの監査人報告書を入手。報告書は「給与データの処理に関する内部統制」をカバーするが、税務システムでの税額計算コントロールは除外されている。
  • 追加証拠の収集: 税務システム株式会社から別途SOC 1報告書を入手するか、税額計算の正確性に関する独立したテスト手続を実施。
  • 文書化ノート: カーブアウト方式により除外された税額計算統制については、税務システム株式会社のType II報告書(2024年1月-12月)を入手し評価した。重要な統制の不備は識別されていない。
  • 追加コスト: 税務システムのSOC 1報告書入手に15万円、評価作業に監査時間8時間を追加計上。
  • 報告書の確認: プロセッシングサービスの監査人報告書を入手。報告書は税務システムでの税額計算コントロールを含む給与処理の全工程をカバー。
  • 追加手続: 税務システムに関する別途の証拠収集は不要。プロセッシングサービスの報告書の評価のみで十分。
  • 文書化ノート: プロセッシングサービスのType II報告書はインクルーシブ方式で作成されており、税務システムでの税額計算コントロールを含む給与処理の全工程をカバーしている。統制テストの結果、重要な不備は識別されていない。

実務チェックリスト

  • 報告書の表題確認: ISAE 3402報告書の表題に「carve-out」または「inclusive」の記載があることを確認する
  • 範囲の文書確認: 報告書の記述部分でサブサービス組織の取扱いを特定する
  • 追加手続の計画: カーブアウト方式の場合は除外されたサブサービス組織への対応策を監査計画書に記載する
  • コスト見積の更新: 追加報告書の入手や直接テストに要する時間とコストを見積もる
  • 期間の整合性確認: 複数の報告書を使用する場合は対象期間が監査期間と整合していることを確認する
  • 最重要項目: 方式の選択はサービス監査人が決定するため、利用会社監査人は与えられた報告書の方式に応じて監査アプローチを調整する

よくある間違い

  • PCAOB検査データによると、 利用会社監査人の28%がカーブアウト方式の報告書に対する追加手続を不十分に実施している
  • サブサービス組織の統制評価を サービス組織の評価と混同し、リスク評価が不適切になるケース
  • 報告書の対象期間と 監査期間のギャップを見落とし、期間外の統制リスクを考慮しない問題
  • ISAE 3402.35(a)の開示要件に反し、 カーブアウト方式でサブサービス組織の性質と統制目標への関連性の記述が不十分な報告書を受領しても、追加情報を求めずにそのまま依拠してしまう問題

関連コンテンツ

実務に役立つ監査の知見を毎週お届けします。

試験対策ではありません。監査を効率化する実践的な内容です。

290以上のガイドを公開20の無料ツール現役の監査人が構築

スパムはありません。私たちは監査人であり、マーケターではありません。