目次
- ISAE 3402のサンプリング要件の実際の構造 - Type IIテストで適用される基準の体系 - 正しい項番号の引用と文書化 - 実際の適用例 - チェックリスト - よくある間違い - 関連コンテンツ
ISAE 3402のサンプリング要件の実際の構造
ISAE 3402自体にはサンプリングの詳細な規定がない。A91からA99項が統制テストの証拠収集を扱うが、サンプルサイズの計算方法は示していない。
代わりに、ISAE 3402.A91は「十分かつ適切な証拠」の概念をISA 500から借用している。ISA 500.A1からA3が証拠の十分性と適切性を定義し、これがType II業務の基礎になる。
統制の運用評価テストについては、ISA 330.8からISA 330.11の要件を参照する。ISA 330.A28からA32が統制テストの性質、時期、範囲を詳述している。
サンプリング手法に関する引用順序
引用すべき項番号は4つ。ISAE 3402.A94が統制の運用評価における証拠の収集方法。ISA 330.A30が統制テストの範囲(サンプルサイズを含む)の決定要因。ISA 530.5からISA 530.8は統計的サンプリングを選択する場合のみ適用される要件。ISA 530.12からISA 530.14がサンプリング結果の評価。
ISA 530はサンプリング手法を選択した場合にのみ適用される。全数テストや特定項目選択には適用されない。ここを混同しているファイルが多い。
Type IIテストで適用される基準の体系
Type I業務では統制の設計のみを評価するため、サンプリングは発生しない。Type II業務では統制の運用評価が加わり、ここでサンプリングが必要になる。
Type II業務における統制テストの要件
ISAE 3402.A97は統制の運用評価について「統制が報告期間を通じて運用されたかどうかを確かめる証拠」を求めている。財務諸表監査のISA 330.8と同じ考え方。
ISA 330.A29は統制テストの範囲を決める際の考慮事項を列挙している。統制の適用頻度(日次、月次、四半期)、統制の自動化の程度、統制の複雑性、そして内部統制の他の要素の有効性。この4点を調書に明記しているかどうかが、審査で見られるポイント。
統制テストでのサンプリング適用の判断
毎日実行される統制(日次売上承認等)では、報告期間が12カ月なら365回の実行がある。全数テストは現実的でないため、サンプリングを使う。
月次の統制(月次決算統制等)では12回の実行。全数テストも可能だが、効率性の観点からサンプリングを使う場合もある。
四半期の統制では4回の実行。通常は全数テストを行う。
母集団の範囲とサンプリング単位
ISAE 3402.A98は「報告期間全体にわたる」証拠を求めている。母集団の範囲を定義する文言。
日次統制の場合、母集団は報告期間中の全営業日。サンプリング単位は各営業日の統制実行。
月次統制の場合、母集団は報告期間中の全ての月。サンプリング単位は各月の統制実行。
正しい項番号の引用と文書化
Type II業務のサンプリング計画書で引用すべき項番号を、実際の文書化例とともに示す。
証拠収集の要件
「ISAE 3402.A94に基づき、統制の運用評価には十分かつ適切な証拠を収集する。ISA 500.A1によると、証拠の十分性は量に関わり、適切性は関連性と信頼性に関わる。」サンプルサイズの決定
「ISA 330.A30は統制テストの範囲を決定する際の考慮要因を規定している。統制の適用頻度、自動化の程度、統制環境の有効性を考慮し、サンプルサイズを25件と決定した。」サンプリング手法の選択
「ISA 530.5に基づき、統計的サンプリング手法を適用する。母集団からの無作為抽出により、サンプリングリスクを制御する。」逸脱の評価
「ISA 530.14は、発見された逸脱がサンプリング結果に与える影響の評価を定めている。今回発見された2件の逸脱について、母集団全体への推定を行う。」実際の適用例
> 田中システム開発株式会社: 顧客データベースアクセス統制の運用評価 > > 会社概要:システム開発業、従業員180名、年売上12億円 > 統制内容:顧客データベースへのアクセスログの日次レビューと承認 > 統制頻度:営業日ベース(年間245日) > 報告期間:2024年4月1日から2025年3月31日
まずISAE 3402.A97に基づき、統制が報告期間を通じて運用されたかを確認する証拠を収集する。調書には統制の運用評価の目的を記載する。
次にISA 330.A30の考慮要因を適用し、サンプルサイズを決定する。日次統制(245回実行)、手動統制、ITGCに依存する部分あり、統制環境は有効と評価。サンプルサイズ決定の根拠を具体的に記載する。
ISA 530.7に基づき、統計的サンプリングを使用。母集団(245日)から35日を無作為抽出。抽出方法とサンプリングリスクのレベルを記載する。
35件のテストを実施し、1件で承認印の日付相違を発見。ISA 530.12に従い、母集団への推定を行う。逸脱の内容、原因分析、母集団への影響評価を詳細に記載する。
ISAE 3402.A99に基づき、統制の有効性について結論を形成。推定逸脱率2.8%は許容逸脱率5%以下のため、統制は有効に運用されていたとの結論。レビューアが確認する調書は、サンプリング計画書、テスト結果詳細、逸脱分析書、統制有効性結論書の4点。
チェックリスト
統制テストのサンプリング文書化で確認すべき項目は6つ。
1. ISAE 3402.A94を引用して証拠収集の要件を明記する。十分性と適切性の両方に言及しているか 2. ISA 330.A30の考慮要因でサンプルサイズを決定する。統制頻度、自動化度、統制環境を明記しているか 3. ISA 530の該当項番号のみを引用する。統計的サンプリングを使わない場合はISA 530を引用しない 4. 母集団と報告期間を明確に定義する。ISAE 3402.A98の「報告期間全体」の要件を満たしているか 5. 逸脱があった場合はISA 530.12-14で評価する。母集団への推定と統制有効性への影響を定量化しているか 6. サンプリング手法の選択理由を明記する。なぜその手法が統制の性質に適しているかを説明しているか
繁忙期に入ると、前年の調書をコピーしてそのまま使うケースが後を絶たない。引用項番号もそのまま引き継がれ、誰も検証しないまま審査を通過する。項番号の正確さは地味な作業だが、品管レビューで真っ先に見られるポイント。
よくある間違い
ISA 530全般を統制テストに適用する誤りが最も多い。サンプリング手法を選択していない統制テストでもISA 530を引用している。特定項目選択や全数テストにはISA 530は適用されない。
Type IとType IIの要件を混同するケースもある。Type I業務で統制テストのサンプリング要件を引用している調書がある。設計評価にはサンプリングは不要。
財務諸表監査の項番号を文脈なしに直接適用する問題もある。ISA 330の統制テスト要件をISAE 3402業務で引用する際には、なぜその項番号がISAE 3402業務に準用されるのか、文脈の説明が必要。「ISA 330.A30に基づき」と書くだけでは足りない。ISAE 3402.A94を経由してISA 330に到達する論理の道筋を調書に残す。
関連コンテンツ
- ISAE 3402統制評価ガイド: Type IとType IIの評価手法の違いについて - 統制テストツール: サンプルサイズ計算と逸脱評価の支援ツール - ISAE 3402完全ワークブック: 統制評価から報告書作成まで一貫したテンプレート集