コントロール宣告

主要なポイント

- コントロール宣告は、サービス提供者の統制が利用者企業の内部統制目的を満たしているかを検証する文書。 - タイプIレポートは特定日のコントロール設計、タイプIIレポートは一定期間の運用実績が対象。 - 監査調書にレポートのコピーを綴じただけで「依拠OK」と書く調書、品管の指摘で何度も見てきた。 - 検証期間と監査年度の重複部分の中で、例外がある月とない月を分けて評価しないと審査で戻される。

---

仕組み

ISAE 3402レポートを受け取って、対象期間と監査年度の重複だけ見て「依拠OK」と判断する調書、繁忙期にはまだ多い。本音を言うと、入所3年目までは自分もそうしていた。

ISAE 3402のコントロール宣告は、サービス提供者のIT環境、財務処理、データセキュリティのうち、利用者企業の財務報告に関連する統制の有効性を評価する（ISAE 3402.A1－A15）。監査人は設計された統制が実装されているか、実装された統制が一定期間機能していたかを検証する流れ。

タイプI報告書は特定日のスナップショット。「2025年3月31日現在、給与処理コントロールは下記の目的に対応する設計に従っている」という形。タイプIIレポートは運用実績を示す。「過去12か月間、同じ統制が有効に機能しており、例外は文書化されている」という形になる。

利用者企業の監査人は、被監査会社が給与計算業者やクラウド会計システム、決済銀行などのサービス提供者を利用している場合、コントロール宣告を評価しなければならない。ISAE 3402.A39では、サービス提供者の統制環境の説明が十分か、証拠が検証期間全体をカバーしているかの判断が要求されている。実際には、レポートが手元にあっても「検証期間が監査年度の何%重複しているか」「例外の月別分布はどうか」まで踏み込んで書かれた調書は、品管レビューで一定数しか確認できないのが現場の感覚。

---

具体例：ドイツの給与計算アウトソーシング企業

クライアント名： Grunwald Logistik GmbH（ドイツ、ドレスデン所在、従業員780名、2024年度売上€38.5M）

シナリオ： 同社は給与計算をLohnservice AG（ドイツの第三者給与計算業者）に完全アウトソース。2024年度監査において、Grunwald Logistikの監査人はLohnservice AG発行のISAE 3402タイプII報告書を取得した。

ステップ1：レポート取得と検証期間の確認 Lohnservice AGのISAE 3402タイプIIレポートは、2023年6月1日から2024年5月31日までの12か月間が対象。監査調書に記載：「取得日2024年9月15日。検証期間は監査対象年度（2024年1月1日－12月31日）の95%をカバーしており、許容範囲内と判断」

ステップ2：対応するコントロールのマッピング レポートで対象となるコントロール目的は5つ。(1) 従業員データの正確性、(2) 給与計算の正確性、(3) 税務・社会保険控除の正確性、(4) 支払い実行の正確性、(5) 給与関連ファイルへのアクセス管理。Grunwald Logistikの監査人は、被監査会社の給与処理内部統制リスク評価とLohnservice AGのコントロール目的をマッピングする。監査調書に記載：「給与計算エラーリスク（リスク評価で高と判定）に対応する統制は、Lohnservice AGレポートのセクション3.2（給与計算の正確性）で対象。12か月間有効と報告。例外なし。」

ステップ3：コントロール記述と証拠の整合性確認 Lohnservice AGレポートでは「月次の給与計算確認レビューは、支払い実行前に給与計算担当者から独立した者が実施しサインオフされる」と記述されている。同レポート添付の監査証拠例では、2024年2月、4月、8月、11月の給与ファイルレビュー記録が示されている。監査調書に記載：「4か月分のサンプル検証で、記述と実績の整合性を確認。追加実証手続の必要性なしと判定」

ステップ4：例外の評価 Lohnservice AGレポートのセクション4では、検証期間内の例外が3件報告されている。うち2件はタイムシート入力遅延による給与計算1日遅延。1件は新入社員の税務申告書未提出に起因する税務控除誤り（手作業修正）。例外の月次頻度を計算すると、0.25件/月（年率換算3件）。監査調書に記載：「例外の金額的影響は1件あたり€400－€2,500。Grunwald Logistikの給与総額€2.8Mに対し、影響額は許容誤差額（€35,000）を下回る。よって、統制の有効性を損なうものではないと判定」

例外3件を「金額が小さいから無視」と判断するパターン、監査調書のレビューで一番ひっかかるところ。例外が発生した月が監査年度内なのか、検証期間のうち監査年度外（2023年6月－12月）なのかで、依拠の意味合いが変わる。

結論： Lohnservice AGのコントロール宣告により、サービス提供者側の統制が年度全体にわたり有効に機能していたことが確認された。例外も統制範囲内と評価され、Grunwald Logistikの給与処理リスクに関する追加実証手続は不要と判定。

---

依拠判定で外す3つのパターン

1. 検証期間が監査年度をカバーしきれていない コントロール宣告の対象期間が監査年度の重複部分で6か月以下の場合、依拠は困難。サービス提供者にレポート再発行を頼むと数週間かかる。繁忙期にそれを待つ余裕がない事務所では、不完全なカバー期間でも「実質OK」と判断するインセンティブが働く。金融庁検査では「検証期間の十分性が確認されていない」と書かれる。現場の感覚で言うと「うちの繁忙期に間に合わなくてレポート届く前に意見出した」という話。

2. コントロール記述と実証が矛盾している ISAE 3402レポートでは「月次レビュー」と書かれているが、添付証拠が四半期レビューのみという調書、品管部門でよく見る。利用者企業の監査人はこの矛盾を検出し、追加質問や実証手続を実施する責任を負う。レポートの本文だけ読んで、添付の証拠サンプルまで突き合わせていないケースが多い。

3. 例外の月別分布を分析していない ISAE 3402レポートが例外を列挙していても、その例外がどの月に発生したかを監査年度と照らし合わせていない調書は、審査で戻される。利用者企業の監査人は、例外の性質と頻度を自社のリスク評価に照らして再評価する責任を負う。

審査での実体験になるが、Aパートナーは検証期間が会計年度の80%を超えていれば追加手続なしで依拠する。Bパートナーは10月-12月の3か月分が抜けていれば、その期間の実証手続を必ず追加する。両方とも理屈は通る。事務所内でも統一された判断基準がないのが実態で、これが品管レビューの指摘事項として頻出する理由でもある。

---

タイプIレポートとタイプIIレポートの区別

利用者企業の監査人がコントロール宣告に依拠する場合、タイプIIレポートのほうが実証的価値が高い。タイプIレポートは、サービス提供者の統制環境の初期状態を理解する参考情報として、追加実証手続と組み合わせて使うのが妥当。経験上、タイプIだけで依拠OKと判定した調書は、審査でほぼ確実に戻される。

ISAE 3402依拠の最大のレバレッジは、レポート取得日ではなく、検証期間と監査年度の重複部分の中で「例外がない月」と「例外がある月」を分けて評価することだ。月別分布を可視化すると、依拠範囲が自動的に絞り込まれる。

---

関連用語

- ISAE 3402: サービス提供者の統制環境に対する独立監査人の限定的保証報告基準。コントロール宣告はこの基準に基づき発行される。

- タイプIレポート: コントロール宣告のうち、特定日時点での統制設計の妥当性と実装状況のみを対象とするもの。

- タイプIIレポート: コントロール宣告のうち、一定期間の統制運用実績を対象とするもの。監査人の依拠度が高い。

- 利用者企業: サービス提供者が提供するサービスを利用し、その結果が自社の財務報告に影響する企業。

- 内部統制に関する監査意見: 被監査会社の内部統制の有効性について監査人が表明する意見。SOX 404などの規制に基づくケースが多い。

- 限定的保証: 合理的保証より低い水準の保証であり、証拠収集範囲がより限定的なもの。ISAE 3402は限定的保証報告書。

- サービス提供者: 外部委託先として、被監査会社の財務処理やITシステムを担う組織。給与計算業者、クラウド会計サービス、データセンター運営者などが該当。

---

関連する ciferi ツール

ISAE 3402 監査マトリックス: サービス提供者のコントロール宣告をマッピングし、利用者企業の内部統制リスクとの対応関係を整理するツール。検証期間の妥当性判定、例外の月別分布分析、追加実証手続の必要性判定を自動計算する。

---