ISAE 3402における2つの報告方式

ISAE 3402.A68は、サービス監査人に対して2つの報告方式のいずれかを選択するよう求めている。カーブアウト方式(carve-out method)とインクルーシブ方式(inclusive method)である。この選択は報告書の表題だけでなく、利用会社監査人の追加手続の必要性を決定する。

カーブアウト方式の特徴

カーブアウト方式では、サブサービス組織のコントロールを報告範囲から除外する。ISAE 3402.35(a)に基づき、サービス監査人はサブサービス組織の統制活動を評価しない。報告書の記述部分にはサブサービス組織の性質と統制目標への関連性のみを記載する形だ。

利用会社の経営者は、除外されたサブサービス組織に関して別途情報を入手しなければならない。経験上、追加のSOC 1報告書かサブサービス組織から直接得られる統制証明書を意味するケースがほとんどである。

インクルーシブ方式の特徴

インクルーシブ方式では、サブサービス組織のコントロールを含めてサービス組織の統制環境を評価する。ISAE 3402.35(b)が根拠条項だ。サービス監査人はサブサービス組織で実施されるコントロールの設計有効性と運用有効性の両方を検証する。

この方式の報告書は、利用会社とその監査人にとって統制情報の網羅性が高い。ただし、サービス監査人の作業量は増加し、報告書作成期間も長くなる傾向がある。

方式選択が監査手続に与える影響

カーブアウト方式の場合

利用会社の監査人は、除外されたサブサービス組織について独立して情報を収集する必要がある。監基報402.A26は次の手続を求めている。

1. サブサービス組織の監査人が発行した報告書の入手と評価 2. サブサービス組織での統制テストの直接実施 3. サブサービス組織から得られる統制証明書の検証 4. 利用会社側で実施可能な代替的実証手続の検討

正直、最初のオプション(報告書の入手)が現実的な選択肢になることがほとんどだ。ただし追加報告書の入手には時間とコストが発生する。繁忙期に「サブサービス組織のSOC 1が届かない」と焦るのは、この業務の風物詩と言っていいだろう。

インクルーシブ方式の場合

サブサービス組織のコントロールが既に評価済みのため、利用会社監査人の追加手続は大幅に軽減される。監基報402.15はサービス監査人報告書の十分性を評価するよう求めているが、サブサービス組織に関する別途の証拠収集は不要となる。

ただし、利用会社監査人はサービス監査人報告書でカバーされている期間とコントロールの範囲が、自らの監査意見形成に十分かどうかを判断しなければならない。ここを見落とすと審査で差し戻される。

実務例:給与処理サービスでの比較

田中製造株式会社(売上520億円、従業員2,800名)が給与計算業務をプロセッシングサービス株式会社(架空)に委託。プロセッシングサービスは税額計算を税務システム株式会社(架空)のクラウドサービス経由で実施している。

カーブアウト方式での監査対応

プロセッシングサービスの監査人報告書を入手する。報告書は「給与データの処理に関する内部統制」をカバーするが、税務システムでの税額計算コントロールは除外されている。

税務システム株式会社から別途SOC 1報告書を入手するか、税額計算の正確性に関する独立したテスト手続を実施する。品管からも「サブサービス組織の評価漏れがないか」と確認が入るので、調書には判断過程を丁寧に残す。

文書化ノート例:カーブアウト方式により除外された税額計算統制については、税務システム株式会社のType II報告書(2024年1月-12月)を入手し評価した。統制の不備は識別されていない。

追加コストとして税務システムのSOC 1報告書入手に15万円、評価作業に監査時間8時間を追加計上。

インクルーシブ方式での監査対応

プロセッシングサービスの監査人報告書を入手する。報告書は税務システムでの税額計算コントロールを含む給与処理の全工程をカバーしている。

税務システムに関する別途の証拠収集は不要だ。プロセッシングサービスの報告書評価のみで足りる。

文書化ノート例:プロセッシングサービスのType II報告書はインクルーシブ方式で作成されており、税務システムでの税額計算コントロールを含む給与処理の全工程をカバーしている。統制テストの結果、不備は識別されていない。

インクルーシブ方式では監査コストを約20万円削減し、監査完了を2週間短縮できた。

実務チェックリスト

1. ISAE 3402報告書の表題に「carve-out」または「inclusive」の記載があることを確認する 2. 報告書の記述部分でサブサービス組織の取扱いを特定する 3. カーブアウト方式の場合は除外されたサブサービス組織への対応策を監査計画書に記載する 4. 追加報告書の入手や直接テストに要する時間とコストを見積もる 5. 複数の報告書を使用する場合は対象期間が監査期間と整合していることを確認する 6. 方式の選択はサービス監査人が決定するため、利用会社監査人は与えられた報告書の方式に応じて監査アプローチを調整する。審査の段階で方式の妥当性について指摘を受けることもあるため、計画段階で論点整理が必要となる

よくある間違い

利用会社監査人の28%がカーブアウト方式の報告書に対する追加手続を不十分に実施している(CPAAOB検査データ)。この手続を省略すると、審査やJICPA品質管理レビューで指摘される。

サブサービス組織の統制評価をサービス組織の評価と混同するケースも散見される。リスク評価が不十分になり、結果として監査意見の基礎が揺らぐ。

報告書の対象期間と監査期間のギャップを見落とすのも典型的な誤りだ。期間外の統制リスクを考慮していない調書は、品管レビューで必ず論点になる。

関連コンテンツ

- ISAE 3402 Type I vs Type II報告書の違い: 報告書の種類による利用会社監査人への影響の違い - サービス組織統制評価ツール: 利用会社監査人向けのリスク評価ワークシート - 監基報402 実装ガイド: サービス組織に関する監査手続の適用方法

実務に役立つ監査の知見を毎週お届けします。

試験対策ではありません。監査を効率化する実践的な内容です。

290以上のガイドを公開20の無料ツール現役の監査人が構築

スパムはありません。私たちは監査人であり、マーケターではありません。