学習内容

- ISAE 3402とIDW PS 951の相違点と実務での適用判断 - WPK監査人資格とサービス機関監査の接点 - Type IとType IIの選択基準、文書化の要件 - ドイツ固有の報告様式と国際様式の使い分け

ISAE 3402とドイツ監査基準の接点

ISAE 3402は2011年に発効した国際保証業務基準で、サービス機関の内部統制に関する保証業務を規定している。ドイツではIDWがこの基準を採用し、IDW PS 951として公表した。

IDW PS 951はISAE 3402の要件を基礎としつつ、ドイツの法的要件に合わせて調整されている。最も目立つ違いは報告様式。ISAE 3402は国際標準の報告書形式を求めるが、IDW PS 951はドイツ商法(HGB)と監査人会計士法(WPO)に基づく様式も許容する。

WPKは監査人の資格と業務品質を監督する法定機関で、ISAE 3402業務を行う監査人にはWPKへの登録と継続的専門教育(CPE)の充足が必要になる。品管レビューではISAE 3402業務も検査対象に含まれる。

Type IとType IIの選び方

ISAE 3402.A51が報告書の種類を定めている。Type I報告書は特定時点での内部統制の設計について意見を表明する。Type IIは一定期間における設計と運用有効性の両方について意見を出すもの。

利用者監査人からすると、Type IIのほうが使い勝手がよい。ISAE 3402.18は、利用者監査人がリスク評価とリスク対応手続を決定する際にType IIの証拠を利用できると定めている。Type Iには運用テストの証拠がないため、利用者監査人が自ら追加手続を組まなければならない。

報告期間の設定もここで決まる。ISAE 3402.A54は最低6か月を推奨しているが、ドイツの実務では12か月が標準。利用者監査人の年次監査期間と合わせるため。

ERPサービス会社の内部統制監査:シュナイダーシステムズの事例

シュナイダーシステムズ(Schneider Systems GmbH)は中堅企業向けにクラウド型ERPを展開するハンブルクの会社。売上高42百万ユーロ、従業員180名。150社の顧客企業がこのシステム上で財務データを処理している。

業務の受諾とリスク評価

顧客の財務報告に関連するコントロールのみを対象とし、HR機能とCRM機能は除外した。ISAE 3402.25に基づき、誤謬や不正により内部統制が無効化されるリスクを評価。重要性の閾値は、顧客企業群の総売上高を基準に各社の水準を考慮して設定した。

文書化ノート: 業務契約書にサービス機関と監査人の責任範囲を明記。業務範囲変更の手続きも記載。

内部統制の理解と評価

受注から請求までの業務プロセスを詳細に文書化し、自動化コントロールと手作業コントロールを識別した。ITGCではアクセス管理、変更管理、データバックアップの統制を重点的に評価。補完的利用者統制については、顧客企業が実施すべき統制の設計が妥当かどうかを確認した。

文書化ノート: 各コントロールに番号を付与し、テスト手続との対応関係を明確にしておく。

Type II報告書に向けた運用テスト

ISAE 3402.A69に基づき、年間を通じて25サンプルを選定。月次のばらつきを考慮して層別化した。自動化コントロールは設定の継続性を、手作業コントロールは承認の証跡を確認。2件のアクセス権限変更で承認が遅延したが、業務への影響を評価し軽微と判断。調書には例外の根本原因分析、経営陣への報告時期、改善措置の実施状況を記録した。

繁忙期にこの手の例外が出ると、軽微かどうかの判断に毎回悩む。基準上は「軽微」で通るが、品管からは「なぜ軽微と言えるのか」と詰められるのが現場の実態。

軽微な例外を除きコントロールは有効に運用されていたため、Type II報告書では無限定意見を表明した。

実務チェックリスト

1. サービス機関の業務がISAE 3402の適用範囲内か、WPK資格を有する監査人が従事するか(業務受諾前に確認) 2. 顧客の財務報告に直接影響するシステムとプロセスに限定し、ISAE 3402.A18の除外項目を明確にする 3. Type IIでは最低6か月、実務上は12か月間を設定し、利用者監査人の監査期間との整合性を確保する 4. ISAE 3402.A40に基づき、利用者企業が実施すべき統制を報告書に記載する 5. IDW QS 1の要件に従い、業務レベルの品質管理手続を回す 6. 報告書の利用者を業務受諾時に特定し、報告書の配布範囲を契約書で定めておく(ここが最も見落とされやすい)

よくある問題

範囲の設定ミスが頻出する。財務報告に間接的にしか関連しないプロセスまで含めてしまい、業務が膨れる。IDW PS 951は直接的関連性を重視しており、対象を絞り込む根拠になる。

補完的利用者統制の記載が曖昧なケースも多い。利用者監査人が依拠できない報告書になると、報告書の価値が大幅に落ちる。WPKの品管レビューでも頻繁に指摘される項目。

関連コンテンツ

- ISAE 3402用語集 - Type I・Type II報告書の違いと適用基準 - 内部統制監査ツールキット - サービス機関監査の文書化テンプレートとチェックリスト - 品質管理基準と監査業務 - IDW QS 1とISQM 1の要件の比較

実務に役立つ監査の知見を毎週お届けします。

試験対策ではありません。監査を効率化する実践的な内容です。

290以上のガイドを公開20の無料ツール現役の監査人が構築

スパムはありません。私たちは監査人であり、マーケターではありません。