目次
1. ISAE 3402の意見形成プロセス 2. 逸脱の分類と重要性評価 3. タイプ1とタイプ2の意見形成の違い 4. 実例1:軽微な逸脱 - 無限定意見 5. 実例2:重大な逸脱 - 限定的意見 6. 実例3:広範囲な不備 - 不適正意見 7. 実例4:証拠制約 - 意見不表明 8. 実務チェックリスト 9. よくある判断ミス
ISAE 3402の意見形成プロセス
ISAE 3402.56は、サービス監査人に対し、識別された逸脱を「個別に、かつ全体として」評価するよう求めている。この二段階評価が意見形成の核心。
個別評価では、各逸脱がそれぞれの統制目的に与える影響を判断する。軽微(minor)と重大(material)の区分が基本で、広範囲(pervasive)に至るかどうかは全体評価で判定する仕組みだ。全体評価では、すべての逸脱を総合して、記載されたコントロールが「記述どおりに設計されているか」「有効に運用されているか」を判断する。
ISAE 3402.A83は、統制目的を達成するために「代替コントロールや補完的コントロールを考慮する」よう明記している。1つのコントロールが機能しなくても、同じ統制目的を達成する他のコントロールが有効であれば、その統制目的は達成されたと評価できる。品管の審査(EQR)でもこの点は必ず確認される。
タイプ1とタイプ2の判断基準の差異
タイプ1レポートでは設計有効性のみを評価する。コントロールが「理論上」その統制目的を達成できるかどうかが判断基準であり、実際の運用テストは行わない。
タイプ2レポートでは設計有効性と運用有効性の両方を評価する。コントロールが期間中を通じて「実際に」有効に運用されたかを判断する。この違いが意見形成に直結する。以下、T1・T2と表記する。
逸脱の分類と重要性評価
ISAE 3402では、財務諸表監査とは異なる重要性の概念を使う。金額ベースではなく、統制目的の達成への影響で判断する点が特徴である。
軽微な逸脱(minor exceptions)
統制目的の達成を妨げない逸脱。 - 証拠書類の保管場所の記載誤り - 承認者のサインが1日遅れ(システムは正常に制御機能を発揮)
重大な逸脱(material exceptions)
統制目的の達成に影響するが、統制環境全体を無効化するほどではない逸脱。 - 月次照合手続が2か月間実施されず - 承認プロセスが一部の取引で回避された - システムアクセス権限の定期見直しが6か月間未実施 - 手続書の軽微な記載不備だが実際の手続は問題なく実施
広範囲な逸脱(pervasive exceptions)
複数の統制目的にわたって影響し、統制環境の信頼性を根底から損なう逸脱。 - ITセキュリティコントロールの根本的な欠陥 - 経営陣による内部統制の無効化
タイプ1とタイプ2の意見形成の違い
T1レポートの意見形成
設計有効性のみを評価するため、コントロールの文書レビューとプロセスのウォークスルーが主な証拠となる。キーパーソンへの質問で補足する。
無限定意見の要件は、記載された統制活動が実在し、統制目的達成のために設計されており、設計上の逸脱が軽微にとどまること。限定的意見は、設計不備が存在するが広範囲ではなく、一部の統制目的が達成されない可能性がある場合に出す。
T2レポートの意見形成
運用有効性も評価するため、サンプリングテストと例外の定量的評価が追加される。期間を通じた一貫性の検証も必要となる。
運用テストの例外率評価は目安として次のとおり。0-2%なら軽微な逸脱、3-7%なら重大な逸脱、8%以上なら広範囲な逸脱として評価する。ただしこれらのしきい値は例示であり、統制の性質と重要度により調整が必要だ。経験上、例外率だけで意見を決める監査人がいるが、それは危険である。
実例1:軽微な逸脱 - 無限定意見
クライアント:東京ロジスティクス株式会社(フォワーディング事業)
年商85億円、従業員450名。対象システムはグローバル貨物管理システム。監査期間は2024年4月1日から2025年3月31日。
識別された逸脱
逸脱1は月次アクセス権限レビューに関するもの。毎月末日までに全システムアクセス権限のレビューが求められるが、12か月中3か月で翌月2日にレビューを実施していた。逸脱率25%だが、遅延は2日以内でレビューの品質に影響なし。
逸脱2は貨物データ照合手続に関するもの。日次で船積書類とシステムデータを照合する手続だが、土日祝日の照合が翌営業日に実施される場合があった。年間36回の遅延で、すべて翌営業日には完了。
統制目的への影響評価
統制目的1「システムアクセスの管理」について。遅延はあったが、権限レビューは完全に実施された。不適切なアクセス権限は1件も発見されていない。統制目的は実質的に達成されている。
統制目的2「貨物データの正確性確保」について。照合手続の遅延による実際の誤りは発見されず、遅延期間中も自動統制が機能していた。統制目的への実質的な影響なし。
調書の記載
両逸脱とも軽微と判定。統制目的の達成に実質的な影響を与えず、代替統制も有効に機能している。無限定意見を表明。
実例2:重大な逸脱 - 限定的意見
クライアント:関西システムサービス株式会社(クラウドホスティング事業)
年商120億円、従業員280名。対象システムは顧客データ管理プラットフォーム。監査期間は2024年4月1日から2025年3月31日。
識別された逸脱
逸脱1はデータバックアップ検証に関するもの。週次でバックアップデータの復元テストを実施する手続だが、4か月間(16週)復元テストが未実施だった。期間中にデータ障害が1件発生し、復旧に8時間を要している。
逸脱2は変更管理承認プロセスに関するもの。システム変更前に情報セキュリティ責任者の承認を取得する手続だが、緊急変更30件中12件で事後承認となっていた。事後承認率40%で、うち2件で軽微なセキュリティリスクが発生。
統制目的への影響評価
統制目的1「データの可用性確保」について。バックアップ検証不備により、データ復旧能力が確認できない期間が存在する。実際のデータ障害で復旧に想定以上の時間を要した。materialと判定。
統制目的2「システム変更の統制」について。承認プロセス回避により、不適切な変更のリスクが増大した。実際にセキュリティインシデントが複数発生している。materialと判定。
代替統制の評価
データセンター側での独立したバックアップシステムが機能しており、完全な統制破綻は回避されている。ただし顧客データの機密性・完全性に関する統制目的の一部は達成されていない。
調書の記載
逸脱が複数の統制目的に影響しているが、統制環境全体を無効化するほどではない。限定的意見を表明。
実例3:広範囲な不備 - 不適正意見
クライアント:大阪ペイメント株式会社(決済代行サービス)
年商65億円、従業員180名。対象システムは決済処理プラットフォーム。監査期間は2024年4月1日から2025年3月31日。
識別された広範囲な不備
不備1はITセキュリティ統制の根本的欠陥。管理者権限の分離が実施されておらず、本番環境への直接アクセスも制限されていない。セキュリティパッチの適用は6か月間停止していた。ITセキュリティの基盤的統制が機能不全である。
不備2は取引承認プロセスの無効化。高額取引の承認限度額設定が機能しておらず、システム管理者が承認プロセスを回避可能な状態にあった。承認履歴の改ざん防止機能も無効化されている。取引統制の根幹が損なわれた状態だ。
不備3は監視・監督機能の欠如。異常取引の検知システムが2か月間停止し、ログ監視も実施されていなかった。予防統制・発見統制ともに機能不全。
統制目的への影響評価
統制目的1「取引の承認と記録」は、承認プロセスの根本的な欠陥により達成不可。代替統制も存在しない。
統制目的2「データのセキュリティ確保」は、ITセキュリティ統制の欠陥により達成不可。機密性・完全性・可用性すべてにリスクがある。
統制目的3「異常取引の検知と対応」は、監視機能の停止により達成不可。インシデント対応能力も欠如している。
調書の記載
本音を言うと、ここまでの不備があるクライアントに対して不適正意見を出すのは精神的にも大変だが、判断は明確である。広範囲な不備が統制環境全体に影響し、複数の統制目的が達成されていない。代替統制による補完も不可能。不適正意見を表明。
実例4:証拠制約 - 意見不表明
クライアント:京都テクノロジー株式会社(SaaS事業)
年商45億円、従業員120名。対象システムは顧客管理・請求システム。監査期間は2024年4月1日から2025年3月31日。
証拠入手の制約
制約1はシステムログの保持期間不備。監査期間前半6か月のシステムログが削除済みで、統制活動の運用状況を確認する証拠が入手できない。期間の50%について運用テストが実施不可となる。
制約2は外部委託先からの証拠入手制限。データセンター運営委託先がSOC 2レポートの開示を拒否しており、物理セキュリティ統制の評価が不可能。ITセキュリティ統制の根幹が評価できない。
制約3は人事異動による証拠散逸。監査期間中に情報システム部門の大幅な人事異動があり、統制活動の実施担当者が不明な期間が存在する。手続の実施記録が引き継がれておらず、4か月間について統制実施状況の確認が困難な状態だった。
証拠制約の評価
評価可能な統制は、顧客データ入力統制と請求書発行統制の2つ。
評価不可能な統制は、ITセキュリティ統制(外部委託先情報なし)、システム変更統制(ログ削除により確認不可)、バックアップ・復旧統制(担当者不明期間あり)の3つ。
調書の記載
証拠制約が広範囲にわたり、統制活動の有効性について十分な証拠を入手できない。意見不表明とする。繁忙期にこの状態のクライアントに当たると、正直かなりつらい。
実務チェックリスト
1. 逸脱の個別評価を完了したか。各逸脱を軽微・重大・広範囲に分類し、統制目的ごとの影響度を調書に記録し、代替統制の有効性を評価したかどうかを確認する。
2. 全体評価の根拠を整理したか。複数の逸脱の相互関係を分析し、統制環境全体への影響を評価し、ISAE 3402.56の要求事項を満たす結論を形成できているかを確認する。
3. 意見区分の判定基準を正しく使っているか。無限定は軽微な逸脱のみ。限定的は逸脱ありだが広範囲ではない場合。不適正は広範囲な逸脱により統制目的未達成。意見不表明は証拠制約により評価不能。
4. 意見表明の根拠を十分に文書化したか。判断プロセスを第三者が理解可能な水準で記録し、代替案検討の経過も含めて文書化し、審査パートナーが判断根拠を確認できる状態かどうかを確認する。
5. サービス組織との協議内容を記録したか。識別された逸脱について十分に協議し、サービス組織の見解と監査人の最終判断を明確に区分して記載しているかを確認する。
6. 最も気をつけるべき点は、統制目的の達成状況で意見を決めること。逸脱の件数で決めてはならない。
よくある判断ミス
逸脱の件数で意見を決めるのは典型的な誤りである。5件の逸脱があれば限定的意見、10件なら不適正意見という機械的判断は成り立たない。統制目的への影響で評価する。CPAAOBの検査でもこの点は繰り返し指摘されている。
代替統制の検討不足も頻出する。主たるコントロールに逸脱があっても、代替統制が有効であれば統制目的は達成されたと評価できる。補完的コントロールの評価を省略してはならない。
T1とT2で判断基準を変えない誤りもある。T1は設計有効性のみ、T2は運用有効性も含む。同じ不備でも意見への影響が異なる。
関連コンテンツ
- ISAE 3402 重要性の判断基準 - サービス監査特有の重要性概念の解説 - ISAE 3402 テスト範囲計算ツール - 統制テスト範囲の計算 - 統制不備の文書化テンプレート - 不備の分類と報告書記載