ISAE 3402 とは何か

ISAE 3402「サービス組織の内部統制に関する保証業務」は、利用者エンティティ(監査対象)とサービス組織(IT アウトソーシング会社、給与計算会社等)の間で実施される保証業務を規定している。
サービス組織が利用者エンティティの財務報告に関連するサービスを提供する場合、利用者監査人はサービス組織の統制に依拠せざるを得ない。ISAE 3402.7 は、「サービス組織監査人は、サービス組織の統制の設計および運用に関する保証を提供する」と定めている。
この基準が存在する理由は明確である。利用者監査人が、直接アクセスできないサービス組織の統制について監査証拠を入手するため。クラウド会計システム、給与アウトソーシング、資産管理サービス等、現代の企業活動に不可欠なサービスの統制評価を可能にする。
ISAE 3402.12 は、サービス組織監査人に対し「サービス組織の統制目標およびそれに関連する統制の記述が適切に作成されているか」を評価するよう求める。これが Type I 業務の核心部分である。

Type I と Type II の基本的相違

Type I 報告書と Type II 報告書は、評価期間と評価内容で明確に異なる。
Type I 報告書(設計評価):
Type II 報告書(設計および運用評価):
利用者監査人の視点では、Type I は「統制が存在するか」、Type II は「統制が実際に機能したか」を示す。財務諸表監査において依拠する場合、Type II 報告書が必要となることが多い。
ISAE 3402.30 は、Type II 業務でのテスト手続について、「統制の運用有効性について十分かつ適切な監査証拠を入手するため」の手続実施を求めている。

  • 評価基準日:特定日時点
  • 評価対象:統制の設計および実装の適切性
  • ISAE 3402.A26 では「統制が適切に設計され実装されているかの意見」を求める
  • 運用有効性は評価しない
  • 評価期間:最低6か月間
  • 評価対象:統制の設計、実装、運用有効性
  • ISAE 3402.A27 では「統制が期間を通じて有効に運用されたかの意見」を求める
  • テスト結果と例外事項を詳細記録

サービス組織統制の評価要件

統制目標の設定


ISAE 3402.16 は、「サービス組織の経営者が統制目標およびそれに関連する統制を識別・記述する」責任を規定している。サービス組織監査人は、この記述の妥当性を評価する。
一般的な統制目標は以下を含む:

補完的利用者統制


ISAE 3402.18 は、「統制目標の達成に必要な補完的利用者統制がある場合、それを明確に記述する」よう求める。これは重要な概念である。
サービス組織の統制だけでは不十分で、利用者エンティティ側でも特定の統制実施が前提となる場合がある。例えば、給与計算サービスでは「利用者エンティティが正確な勤怠データをタイムリーに提供する」ことが前提条件。
利用者監査人は、この補完的利用者統制が自社で適切に実施されているかを確認する必要がある。

テスト手続の実施


Type II 業務では、ISAE 3402.42 に基づき各統制について運用テストを実施する。
テスト手続の要件:
ISAE 3402.A54 は、「IT 統制については、自動化統制の継続的運用を前提として手続を設計する」よう指導している。

  • アクセス管理(承認されたユーザーのみシステムアクセス可能)
  • データ処理の完全性(全取引が正確に処理・記録される)
  • 変更管理(システム変更が承認・テストされる)
  • バックアップ・復旧(データの可用性が確保される)
  • 統制の性質に応じた適切なテスト手法の選択
  • 評価期間を通じたテストのタイミング分散
  • 例外事項の詳細な文書化と影響評価
  • 統制の補償的機能の検討

実務適用例

田中クラウドサービス株式会社 は、中小企業向けに会計システムのクラウドサービスを提供している。年間売上高42億円、利用企業数約8,000社。ISAE 3402 Type II 報告書の取得を検討中。
主要統制目標とテスト手続:
統制目標1:論理アクセス管理
統制目標2:データ処理の完全性
統制目標3:バックアップ・復旧
結論:田中クラウドサービスの統制は設計・実装において適切で、2024年4月1日から9月30日まで有効に運用された。重要な例外事項は発見されなかった。利用者監査人は、補完的利用者統制(データ入力統制)の評価が別途必要。

  • 統制記述:承認されたユーザーのみが会計データにアクセス可能
  • テスト手続:新規ユーザー登録25件の承認記録確認、四半期アクセス権限レビュー4回の実施確認
  • 文書化ノート:テスト対象抽出基準、テスト実施日、確認者名を記録
  • 統制記述:仕訳データの完全性と正確性が自動統制により確保される
  • テスト手続:月次処理10回の統制レポート確認、エラーログ分析12回実施
  • 文書化ノート:システムログの保存期間、エラー件数、是正措置を記録
  • 統制記述:日次バックアップ実施と月次復旧テストによりデータ可用性確保
  • テスト手続:日次バックアップ180回の成功確認、月次復旧テスト6回の結果確認
  • 文書化ノート:バックアップ成功率、復旧時間、失敗時の対応手順を記録

実務チェックリスト

  • 報告書の種類確認 - Type I(設計評価)またはType II(設計・運用評価)の明記、ISAE 3402.49に基づく意見表明の確認
  • 評価期間の妥当性 - Type II の場合最低6か月間の評価期間、重要な統制変更時期の包含確認
  • 統制目標の網羅性 - 財務報告に関連する全ての重要プロセスの統制目標設定確認
  • 補完的利用者統制 - 自社で実施すべき補完統制の識別と評価実施確認
  • 例外事項の評価 - Type II での例外事項の性質・頻度・是正措置の妥当性評価
  • 最重要事項 - 利用者監査人としてサービス組織統制への依拠度を慎重に判断し、必要に応じて追加手続を実施すること

よくある間違い

  • 統制テスト不足: Type II 業務で統制の運用テストが形式的で、実際の有効性を検証していない場合がある
  • 補完統制の見落とし: 利用者エンティティ側で実施すべき補完的利用者統制を評価せず、サービス組織統制のみに依拠してしまう
  • 評価期間の不適切性: 財務諸表監査の期間と ISAE 3402 報告書の評価期間が一致せず、統制証拠として不十分になる
  • 例外事項の影響評価不備: ISAE 3402.49に基づく意見形成時に、発見された例外事項の個別影響と累積影響を区別せず、統制目標の達成状況への影響を定量的に評価していないケース

関連コンテンツ

実務に役立つ監査の知見を毎週お届けします。

試験対策ではありません。監査を効率化する実践的な内容です。

290以上のガイドを公開20の無料ツール現役の監査人が構築

スパムはありません。私たちは監査人であり、マーケターではありません。