ISAE 3402の位置づけ

「サービス組織の内部統制に関する保証業務」という正式名称が示すとおり、この基準は利用者エンティティ(監査対象)とサービス組織(ITアウトソーシング会社、給与計算会社等)の間で行われる保証業務を規定している。

サービス組織が利用者エンティティの財務報告に関連するサービスを担う場合、利用者監査人はサービス組織の統制に依拠せざるを得ない。ISAE 3402.7は「サービス組織監査人は、サービス組織の統制の設計および運用に関する保証を付与する」と定めている。利用者監査人が直接アクセスできないサービス組織の統制について、監査証拠を入手する手段がこの基準。クラウド会計システム、給与アウトソーシング、資産管理サービスなど、現代の企業活動で外部に依存するサービスの統制評価を可能にする。

ISAE 3402.12はサービス組織監査人に対し「サービス組織の統制目標およびそれに関連する統制の記述が妥当に作成されているか」を評価するよう求める。これがType I業務の核心部分になる。

Type IとType IIの根本的な違い

Type IとType IIは、評価の対象期間と内容が異なる。ここを混同すると調書の組み立てが根本から崩れる。

Type I報告書は特定日時点での統制の設計と実装を評価する。ISAE 3402.A26では「統制が妥当に設計され実装されているかの意見」を求めている。運用有効性は対象外。

Type II報告書は最低6か月間にわたり、統制の設計、実装、運用有効性を評価する。ISAE 3402.A27では「統制が期間を通じて有効に運用されたかの意見」を求めている。テスト結果と例外事項を詳細に記録しなければならない。

利用者監査人の視点では、Type Iは「統制が存在するか」を示し、Type IIは「統制が実際に機能したか」を示す。財務諸表監査で依拠するなら、Type IIが必要になることがほとんど。

ISAE 3402.30はType II業務でのテスト手続について、「統制の運用有効性について十分かつ適切な監査証拠を入手するため」の手続実施を定めている。

サービス組織統制の評価要件

統制目標の設定

ISAE 3402.16は「サービス組織の経営者が統制目標およびそれに関連する統制を識別・記述する」責任を規定している。サービス組織監査人はこの記述の妥当性を評価する。

一般的な統制目標はアクセス管理(承認されたユーザーのみシステムアクセス可能)、データ処理の完全性(全取引が正確に処理・記録される)、変更管理(システム変更が承認・テストされる)、バックアップ・復旧(データの可用性が確保される)の4領域に集約される。

補完的利用者統制の扱い

ISAE 3402.18は「統制目標の達成に必要な補完的利用者統制がある場合、それを明確に記述する」よう求めている。

サービス組織の統制だけでは不十分で、利用者エンティティ側でも特定の統制を実施する前提になることがある。給与計算サービスなら「利用者エンティティが正確な勤怠データをタイムリーに送る」ことが前提条件。利用者監査人は、この補完的利用者統制が自社で回っているかを確認する。ここの確認を飛ばすと、サービス組織のレポートに依拠した監査証拠が宙に浮く。

テスト手続の組み立て

Type II業務では、ISAE 3402.42に基づき各統制について運用テストを回す。統制の性質に応じたテスト手法の選択、評価期間を通じたテストのタイミング分散、例外事項の詳細な文書化と影響評価、統制の補償的機能の検討がそれぞれ求められる。

ISAE 3402.A54は「IT統制については、自動化統制の継続的運用を前提として手続を設計する」よう指導している。

田中クラウドサービスの事例

田中クラウドサービス株式会社は中小企業向けに会計システムのクラウドサービスを展開している。年間売上高42億円、利用企業数約8,000社。ISAE 3402 Type II報告書の取得を検討中。

統制目標1は論理アクセス管理。承認されたユーザーのみが会計データにアクセスできる設計で、新規ユーザー登録25件の承認記録確認と四半期アクセス権限レビュー4回の実施確認をテスト手続とした。テスト対象抽出基準、実施日、確認者名を調書に記録する。

統制目標2はデータ処理の完全性。仕訳データの完全性と正確性を自動統制で確保する設計で、月次処理10回の統制レポート確認とエラーログ分析12回を実施した。システムログの保存期間、エラー件数、是正措置を調書に落とす。

統制目標3はバックアップ・復旧。日次バックアップ実施と月次復旧テストによりデータ可用性を確保する設計で、日次バックアップ180回の成功確認と月次復旧テスト6回の結果を確認した。バックアップ成功率、復旧時間、失敗時の対応手順を記録する。

田中クラウドサービスの統制は設計・実装において妥当で、2024年4月1日から9月30日まで有効に運用された。大きな例外事項はなし。利用者監査人は補完的利用者統制(データ入力統制)の評価を別途行う必要がある。

実務チェックリスト

1. 報告書がType I(設計評価)かType II(設計・運用評価)かを明記し、ISAE 3402.49に基づく意見表明を確認する 2. Type IIの場合は最低6か月間の評価期間を確保し、統制に大きな変更があった時期が含まれているか確認する 3. 財務報告に関連する全ての主要プロセスに統制目標が設定されているかを確認する 4. 自社で実施すべき補完統制を識別し、評価を済ませる 5. Type IIでの例外事項の性質、頻度、是正措置の妥当性を評価する 6. 利用者監査人としてサービス組織統制への依拠度を慎重に見極め、必要に応じて追加手続を組む(ここが審査で最も突かれるポイント)

よくある間違い

Type II業務で統制の運用テストが形式的になり、実際の有効性を検証できていないケースがある。テスト手続を「やった」ことと「検証した」ことは違う。

利用者エンティティ側の補完的利用者統制を評価せず、サービス組織統制のみに依拠してしまうのも典型的なミス。レポートを受け取って安心してしまうんですよね。

財務諸表監査の期間とISAE 3402報告書の評価期間がずれているケースも散見される。ずれがあると、統制証拠としてカバーできない期間が生まれ、追加手続の設計が必要になる。

関連コンテンツ

- ISAE 3402 業務実施チェックリスト - サービス組織統制の評価から報告書作成まで段階的に実施できるワークブック - 内部統制評価 - ISAE 3402 の基礎となる統制評価の概念と実施方法 - 監査証拠の評価 - サービス組織統制から得られる監査証拠の品質評価方法

実務に役立つ監査の知見を毎週お届けします。

試験対策ではありません。監査を効率化する実践的な内容です。

290以上のガイドを公開20の無料ツール現役の監査人が構築

スパムはありません。私たちは監査人であり、マーケターではありません。