ISAE 3402 ギャップ分析：4つの実例で逸脱から意見表明まで

目次

• ISAE 3402の意見形成プロセス
• 逸脱の分類と重要性評価
• タイプ1とタイプ2の意見形成の違い
• 実例1：軽微な逸脱 - 無限定意見
• 実例2：重要な逸脱 - 限定的意見
• 実例3：広範囲な不備 - 不適正意見
• 実例4：証拠制約 - 意見不表明
• 実務チェックリスト
• よくある判断ミス

ISAE 3402の意見形成プロセス

ISAE 3402.56は、サービス監査人に対し、識別された逸脱を「個別に、かつ全体として」評価するよう求めている。この二段階評価が意見形成の核心となる。
個別評価では、各逸脱がそれぞれの統制目的に与える影響を判断する。軽微（minor）、重要（material）、広範囲（pervasive）の3段階で分類する。全体評価では、すべての逸脱を総合して、記載されたコントロールが「適切に記載され、適切に設計されているか」「有効に運用されているか」を判断する。
ISAE 3402.A83は、統制目的を達成するために「代替コントロールや補完的コントロールを考慮する」よう明記している。1つのコントロールが機能しなくても、同じ統制目的を達成する他のコントロールが有効であれば、その統制目的は達成されている。

タイプ1とタイプ2の判断基準の差異

逸脱の分類と重要性評価

ISAE 3402では、財務諸表監査とは異なる重要性の概念を使用する。金額ベースの重要性ではなく、統制目的の達成への影響で判断する。

軽微な逸脱（Minor Exceptions）

重要な逸脱（Material Exceptions）

広範囲な逸脱（Pervasive Exceptions）

• 証拠書類の保管場所の記載誤り
• 承認者のサインが1日遅れ（システムは正常に制御機能を発揮）
• 手続書の軽微な記載不備（実際の手続は適切に実施）
• 月次照合手続が2か月間実施されず
• 重要な承認プロセスが一部の取引で回避された
• システムアクセス権限の定期見直しが6か月間実施されず
• ITセキュリティコントロールの根本的な欠陥
• 経営陣による内部統制の無効化
• 統制環境全体に影響する組織的な問題

タイプ1とタイプ2の意見形成の違い

タイプ1レポートの意見形成

タイプ2レポートの意見形成

• 記載された統制活動が実在する
• 統制活動が統制目的達成のために適切に設計されている
• 設計上の重要な不備が存在しない
• 重要な設計不備が存在するが、広範囲ではない
• 一部の統制目的が達成されない可能性がある
• 代替統制で一部が補完されている
• 0-2%：軽微な逸脱として評価
• 3-7%：重要な逸脱として評価
• 8%以上：広範囲な逸脱として評価

実例1：軽微な逸脱 - 無限定意見

クライアント：東京ロジスティクス株式会社（フォワーディング事業）

識別された逸脱

統制目的への影響評価

結論

• 要求：毎月末日までに全システムアクセス権限をレビュー
• 実際：12か月中3か月で翌月2日にレビューを実施
• 文書化ノート：逸脱率25%だが、遅延は2日以内、レビューの品質に影響なし
• 要求：日次で船積書類とシステムデータを照合
• 実際：土日祝日の照合が翌営業日に実施される場合あり
• 文書化ノート：年間36回の遅延、すべて翌営業日には完了
• 遅延はあったが、権限レビューは完全に実施された
• 不適切なアクセス権限は1件も発見されず
• 文書化ノート：統制目的は実質的に達成されている
• 照合手続の遅延による実際の誤りは発見されず
• 遅延期間中も自動統制が機能
• 文書化ノート：統制目的への実質的な影響なし

実例2：重要な逸脱 - 限定的意見

クライアント：関西システムサービス株式会社（クラウドホスティング事業）

識別された重要な逸脱

統制目的への影響評価

代替統制の評価

結論

• 要求：週次でバックアップデータの復元テストを実施
• 実際：4か月間（16週）復元テストが実施されず
• 文書化ノート：期間中にデータ障害が1件発生、復旧に8時間を要した
• 要求：システム変更前に情報セキュリティ責任者の承認を取得
• 実際：緊急変更30件中12件で事後承認
• 文書化ノート：事後承認率40%、うち2件で軽微なセキュリティリスクが発生
• バックアップ検証不備により、データ復旧能力が確認できない期間が存在
• 実際のデータ障害で復旧に想定以上の時間を要した
• 文書化ノート：統制目的の達成に重要な影響あり
• 承認プロセス回避により、不適切な変更のリスクが増大
• 実際にセキュリティインシデントが複数発生
• 文書化ノート：統制目的の達成に重要な影響あり

実例3：広範囲な不備 - 不適正意見

クライアント：大阪ペイメント株式会社（決済代行サービス）

識別された広範囲な不備

統制目的への影響評価

結論

• 管理者権限の分離が適切に実施されていない
• 本番環境への直接アクセスが制限されていない
• セキュリティパッチの適用が6か月間停止
• 文書化ノート：ITセキュリティに関する基盤的統制が機能不全
• 高額取引の承認限度額設定が機能していない
• システム管理者が承認プロセスを回避可能
• 承認履歴の改ざん防止機能が無効化されている
• 文書化ノート：取引統制の根幹が損なわれている
• 異常取引の検知システムが2か月間停止
• ログ監視が適切に実施されていない
• インシデント対応手順が文書化されていない
• 文書化ノート：予防統制・発見統制ともに機能不全
• 承認プロセスの根本的な欠陥により達成不可
• 代替統制も存在しない
• ITセキュリティ統制の欠陥により達成不可
• 機密性・完全性・可用性すべてにリスクあり
• 監視機能の停止により達成不可
• インシデント対応能力も欠如

実例4：証拠制約 - 意見不表明

クライアント：京都テクノロジー株式会社（SaaS事業）

証拠入手の制約

証拠制約の評価

結論

• 監査期間前半6か月のシステムログが削除済み
• 統制活動の運用状況を確認する証拠が入手不可
• 文書化ノート：期間の50%について運用テストが実施不可
• データセンター運営委託先がSOC 2レポートの提供を拒否
• 物理セキュリティ統制の評価が不可能
• 文書化ノート：ITセキュリティ統制の重要な部分が評価不能
• 監査期間中に情報システム部門の大幅な人事異動
• 統制活動の実施担当者が不明な期間が存在
• 手続の実施記録が適切に引き継がれていない
• 文書化ノート：4か月間について統制実施状況の確認が困難
• 顧客データ入力統制（証拠入手可能）
• 請求書発行統制（証拠入手可能）
• アクセス権限管理の一部（証拠入手可能）
• ITセキュリティ統制（外部委託先情報なし）
• システム変更統制（ログ削除により確認不可）
• バックアップ・復旧統制（担当者不明期間あり）

実務チェックリスト

• 逸脱の個別評価を完了したか
• 各逸脱を軽微・重要・広範囲に分類
• 統制目的ごとの影響度を文書化
• 代替統制の有効性を評価
• 全体評価の根拠を整理したか
• 複数の逸脱の相互関係を分析
• 統制環境全体への影響を評価
• ISAE 3402.56の要求事項を満たす結論を形成
• 意見区分の判定基準を適用したか
• 無限定：軽微な逸脱のみ
• 限定的：重要な逸脱あり、広範囲ではない
• 不適正：広範囲な逸脱により統制目的未達成
• 意見不表明：証拠制約により評価不能
• 意見表明の根拠を十分に文書化したか
• 判断プロセスを第三者が理解可能な水準で記録
• 代替案検討の経過も含めて文書化
• レビューパートナーが判断根拠を確認可能
• サービス組織との協議内容を記録したか
• 識別された逸脱について十分に協議
• サービス組織の見解と監査人の最終判断を明確化
• 最も重要な判断事項
• 統制目的の達成状況で意見を決める、逸脱の数量で決めない

よくある判断ミス

逸脱の件数で意見を決める誤り
5件の逸脱があれば限定的意見、10件なら不適正意見という機械的判断は不適切。統制目的への影響で評価する。
代替統制の検討不足
主たるコントロールに逸脱があっても、代替統制が有効であれば統制目的は達成されている。補完的コントロールの評価を省略しない。
タイプ1とタイプ2で判断基準を変えない誤り
タイプ1は設計有効性のみ、タイプ2は運用有効性も含む。同じ不備でも意見への影響は異なる。

関連コンテンツ

• ISAE 3402 重要性の判断基準 - サービス監査特有の重要性概念の解説
• ISAE 3402 テスト範囲計算ツール - 統制テスト範囲の計算
• 統制不備の文書化テンプレート - 不備の分類と報告書記載