ドイツにおけるISAE 3402：WPK要求事項とIDW基準

学習内容

• ISAE 3402とIDW PS 951の要求事項の相違点と適用方法
• WPK監査人資格要件とサービス機関監査の関連性
• Type IとType II報告書の選択基準と文書化要求事項
• ドイツ固有の報告様式と国際的な報告様式の使い分け

ISAE 3402とドイツ監査基準の関係

ISAE 3402は2011年に発効した国際保証業務基準で、サービス機関の内部統制に関する保証業務を規定している。ドイツではIDW（Institut der Wirtschaftsprüfer）がこの基準を採用し、IDW PS 951として公表した。
IDW PS 951はISAE 3402の要求事項を基礎としているが、ドイツの法的要求事項に適合するよう調整されている。最も重要な相違点は報告様式にある。ISAE 3402は国際的に標準化された報告書形式を求めるが、IDW PS 951はドイツの商法（HGB）と監査人会計士法（WPO）に基づく様式も許容している。
WPK（Wirtschaftsprüferkammer）は監査人の資格と業務品質を監督する法定機関である。ISAE 3402業務を実施する監査人は、WPKへの登録が必要であり、継続的専門教育（CPE）要件を満たす必要がある。WPKの品質管理レビューでは、ISAE 3402業務も検査対象となる。

Type IとType II報告書の選択

実務例：ERPサービス提供会社の内部統制監査

シュナイダーシステムズ（Schneider Systems GmbH）は中堅企業向けにクラウド型ERPソリューションを提供している。売上高42百万ユーロ、従業員180名のハンブルクに本社を置く会社である。150社の顧客企業がこのシステムで財務データを処理している。

ステップ1：業務の受諾とリスク評価

ステップ2：内部統制の理解と評価

ステップ3：Type II報告書に向けた運用テスト

• 業務の範囲設定: 顧客の財務報告に関連するコントロールのみを対象とした。HR機能やCRM機能は除外。
• リスク評価: ISAE 3402.25に基づき、誤謬や不正により内部統制が無効化されるリスクを評価。
• 重要性の設定: 顧客企業群の総売上高を基準に、各社の重要性閾値を考慮して設定。
• プロセスの文書化: 受注から請求までの業務プロセスを詳細に文書化。自動化されたコントロールと手作業のコントロールを識別。
• ITGCの評価: アクセス管理、変更管理、データバックアップの統制を重点的に評価。
• 補完的利用者統制: 顧客企業が実施すべき統制の設計適切性を評価。
• サンプリング: ISAE 3402.A69に基づき、年間を通じて25サンプルを選定。月次のばらつきを考慮して層別化。
• テスト実施: 自動化されたコントロールは設定の継続性を、手作業のコントロールは承認の証跡を確認。
• 例外の評価: 2件のアクセス権限変更で承認が遅延。業務への影響を評価し、軽微と判断。

実務チェックリスト

• 業務受諾前の確認: サービス機関の業務がISAE 3402の適用範囲内か、WPK資格を有する監査人が従事するか
• スコーピング: 顧客の財務報告に直接影響するシステムとプロセスに限定し、ISAE 3402.A18の除外項目を明確化
• 期間設定: Type II報告書では最低6か月、実務上は12か月間を設定し、利用者監査人の監査期間との整合性を確保
• 補完的利用者統制: ISAE 3402.A40に基づき、利用者企業が実施すべき統制を報告書に記載
• 品質管理: IDW QS 1の要求事項に従い、業務レベルの品質管理手続を実施
• 最重要: 報告書の利用者を業務受諾時に特定し、報告書の配布範囲を契約書で明確に定める

よくある問題

• 範囲の設定ミス: 財務報告に間接的にしか関連しないプロセスまで含めてしまい、業務が非効率になる。IDW PS 951は直接的関連性を重視している。
• 補完的利用者統制の記載不足: 利用者企業が実施すべき統制の記載が曖昧で、利用者監査人が依拠できない報告書になる。WPK品質管理レビューでも頻繁に指摘される項目である。

関連コンテンツ

• ISAE 3402用語集 - Type I・Type II報告書の違いと適用基準
• 内部統制監査ツールキット - サービス機関監査の文書化テンプレートとチェックリスト
• 品質管理基準と監査業務 - IDW QS 1とISQM 1の要求事項の比較