主要なポイント
- コントロール宣告は、サービス提供者のコントロールが利用者企業の内部統制目標を満たしているかを検証する。
- タイプIレポートは特定の日付時点のコントロール設計を対象とし、タイプIIレポートは一定期間のコントロール運用実績を対象とする。
- 監査報告書がなければ、利用者企業は自社の監査対象範囲を検査指摘のリスクから十分に防御できない。
- ほとんどの検査指摘は、不十分な検証期間または矛盾したコントロール記述から生じている。
仕組み
ISAE 3402のコントロール宣告は、サービス提供者のIT環境、財務処理、データセキュリティのいずれかで、利用者企業の金融報告に関連するコントロールの有効性を評価する(ISAE 3402.A1-A15)。監査人は、設計された統制が実装されているか、実装された統制が一定期間機能しているかを検証する。
タイプI報告書は特定の日付時点のスナップショットである。「2025年3月31日現在、マッピング・サービス・プロバイダーのペイロール処理コントロールは、以下の目的に対応するコントロール設計に従っている」というものである。タイプIIレポートは運用実績を示す。「過去12か月間、同じコントロールは有効に機能しており、例外は文書化されている」という形になる。
利用者企業の監査人は、被監査会社がサービス提供者(給与計算業者、クラウド会計システム運営者、決済銀行)を利用している場合、コントロール宣告を評価する必要がある。ISAE 3402.A39では、利用者企業の監査人は、サービス提供者のコントロール環境の説明が十分であるか、証拠が検証期間全体をカバーしているかを判断しなければならない。一部の利用者企業の監査人は、コントロール宣告がなければ、サービス提供者側のコントロールに関する十分な証拠を得られないと判断し、その旨を監査報告書に記載することもある。
具体例:ドイツの給与計算アウトソーシング企業
クライアント名: Grunwald Logistik GmbH(ドイツ、ドレスデン所在、従業員780名、2024年度売上€38.5M)
シナリオ: 同社は給与計算を Lohnservice AG(ドイツの第三者給与計算業者)に完全にアウトソースしている。2024年度監査において、Grunwald Logistik の監査人は、Lohnservice AG が発行した ISAE 3402 タイプII報告書を取得している。
ステップ1:レポート取得と検証期間の確認
Lohnservice AG のISAE 3402タイプIIレポートは、2023年6月1日から2024年5月31日までの12か月間を対象としている。監査調書に記載:「取得日2024年9月15日。検証期間は監査対象年度(2024年1月1日-12月31日)の95%をカバーしており、許容範囲内と判断」
ステップ2:対応するコントロールのマッピング
レポートで対象とされているコントロール目的は5つ。(1) 従業員データの正確性、(2) 給与計算の正確性、(3) 税務・社会保険控除の正確性、(4) 支払い実行の正確性、(5) 給与関連ファイルへのアクセス管理。Grunwald Logistik の監査人は、被監査会社の給与処理内部統制のリスク評価と、Lohnservice AG のコントロール目的をマッピングする。監査調書に記載:「給与計算エラーリスク(リスク評価で高と判定)に対応するコントロールは、Lohnservice AG レポートのセクション3.2(給与計算の正確性)で対象とされている。12か月間有効と報告。例外なし。」
ステップ3:コントロール記述と証拠の整合性確認
Lohnservice AG レポートでは、「月次の給与計算確認レビューは、支払い実行前に給与計算担当者とは独立した者が実施され、サインオフされる」と述べられている。同レポートに添付された監査証拠の例では、2024年2月、4月、8月、11月の給与ファイルのレビュー記録が示されている。監査調書に記載:「4か月分のサンプル検証により、記述と実績の整合性を確認。追加実証的手続の必要性なしと判定。」
ステップ4:例外の評価
Lohnservice AG レポートのセクション4では、検証期間内の例外が3件報告されている。うち2件は、タイムシート入力の遅延により給与計算が1日遅延したというもの。1件は、新入社員の税務申告書の未提出に起因する税務控除の誤り(手作業で修正)。例外の月次頻度を計算すると、0.25件/月(年率換算3件)。監査調書に記載:「例外の金額的影響は1件あたり€400-€2,500。Grunwald Logistik の給与総額€2.8Mに対し、影響額は許容誤差額(€35,000)を下回る。従って、コントロールの有効性を損なうものではないと判定。」
結論: Lohnservice AG のコントロール宣告により、サービス提供者側のコントロールが年度全体にわたり有効に機能していることが確認された。例外も統制範囲内であり、サービス提供者のコントロール環境に関する十分な証拠が得られたため、Grunwald Logistik の給与処理リスクに関する追加実証的手続は不要と判定した。
検査で指摘されやすい点
- 検証期間が不十分である。コントロール宣告の対象期間が監査年度の6か月以下である場合、利用者企業の監査人が依拠することは困難である。国際的な検査データでは、この不適切な依拠が最も頻繁に指摘されている。
- コントロール記述と実証の矛盾。ISAE 3402レポートでは「月次レビュー」と述べられているが、添付証拠が四半期レビューのみの場合、記述と証拠が整合していない。利用者企業の監査人はこの矛盾を検出し、追加的な質問や実証手続を実施する必要がある。
- 例外の評価が不十分である。ISAE 3402レポートが例外を列挙していても、その例外が金銭的に重要か、コントロール目的全体に影響するかの評価なしに、依拠することは避けるべきである。利用者企業の監査人は、例外の性質と頻度を自社のリスク評価に照らして再評価する責任を負う。
タイプIレポートとタイプIIレポートの区別
| 特性 | タイプIレポート | タイプIIレポート |
|------|-----------------|-----------------|
| 対象物 | 特定の日付時点のコントロール設計 | 一定期間のコントロール運用実績 |
| 実装確認 | あり | あり |
| 運用有効性確認 | なし | あり(通常12か月間) |
| 監査人のテスト方法 | 設計の見直しと観察 | テスト、サンプリング、検証 |
| 依拠の強さ | 弱い(スナップショット) | 強い(実績に基づく) |
| 典型的な発行者 | 初期段階のサービス提供者、新規事業部門 | 成熟したサービス提供者、継続受託者 |
利用者企業の監査人がコントロール宣告に依拠する場合、タイプIIレポートのほうが実証的価値が高い。タイプIレポートは、サービス提供者の統制環境の初期状態を理解する参考情報として、追加的な実証手続と組み合わせて使用することが望ましい。
関連用語
- ISAE 3402: サービス提供者のコントロール環境に対する独立監査人の限定的保証報告基準。コントロール宣告はこの基準に基づいて発行される。
- タイプIレポート: コントロール宣告のうち、特定日時点でのコントロール設計の妥当性と実装状況のみを対象とするもの。
- タイプIIレポート: コントロール宣告のうち、一定期間のコントロール運用実績を対象とするもの。監査人の依拠度が高い。
- 利用者企業: サービス提供者が提供するサービスを利用し、その結果が自社の金融報告に影響する企業。
- 内部統制に関する監査意見: 被監査会社の内部統制の有効性について監査人が表明する意見。SOX 404などの規制に基づくことが多い。
- 限定的保証: 合理的保証より低い水準の保証であり、証拠収集範囲がより限定的である。ISAE 3402は限定的保証報告書である。
- サービス提供者: 外部委託先として、被監査会社の重要な会計処理やITシステムを提供する組織。給与計算業者、クラウド会計サービス提供者、データセンター運営者などが該当する。
関連する ciferi ツール
ISAE 3402 監査マトリックス: サービス提供者のコントロール宣告をマッピングし、利用者企業の内部統制リスクとの対応関係を整理するツール。検証期間の妥当性判定、例外の金額的影響評価、追加実証手続の必要性判定を自動計算する。