Definition
監査証跡は3つの層で構成される。第1層は計画段階の文書である。監査範囲、サステナビリティ報告の項目選定、重要性基準値の設定方針をここに記す。ISA 300はこの段階での文書化を明示的には求めていないが、CSRD監査では被監査会社のガバナンス構造とサステナビリティ開示ポリシーの理解が不可欠だ。
監査証跡の仕組み
監査証跡は3つの層で構成される。第1層は計画段階の文書である。監査範囲、サステナビリティ報告の項目選定、重要性基準値の設定方針をここに記す。ISA 300はこの段階での文書化を明示的には求めていないが、CSRD監査では被監査会社のガバナンス構造とサステナビリティ開示ポリシーの理解が不可欠だ。
第2層は実施手続の記録である。ここが従来の監査調書と最も異なる。サステナビリティデータが「どこから」「どのように」生成されたかを時系列で記録する。例えば、スコープ3排出量の場合、外部データベースからの抽出、内部の変換ロジック、集約プロセス、最終的な報告数字への反映経路を全て追跡可能にしておく必要がある。この部分が不足している調書は、金融庁の検査でも国際的なPCAOBレビューでも最初に指摘される項目だ。
第3層は発見事項と結論の記録である。ここには監査人の評価プロセス、根拠となった証拠、不確実性をどう判断したかを記す。サステナビリティ監査は財務監査と異なり、測定不確実性が大きい分野が多い。GHG排出量、スコープ3、人権指標といった項目では、技術的な測定の限界を明記することが監査の信頼性を高める。
ESRS基準が要求する情報にアクセス権がない場合、その旨と代替的な証拠入手経路を記録する。「出所不明」のまま記録を終わらせてはならない。
具体例:メディテラネア製造業
企業: メディテラネア・インダストリアルズ社(スペイン・バルセロナ、従業員850名、FY2024)
背景: 公開大型企業に該当し、2025年のCSRD初回報告を予定している。スコープ1・2・3排出量、従業員多様性、サプライチェーン人権リスクをESRS基準で報告する予定。
ステップ1:計画段階の記録
監査計画書に「サステナビリティ報告システムの全体像」セクションを設ける。メディテラネア社は排出量計算をサードパーティツール(Envirotech Solutions)に委託している。従業員データはSAPから月次抽出。人権リスク評価は外部コンサルタント(Ethical Sourcing Ltd.)による年1回の監査に依存している。
調書記載:計画段階の意思決定サマリー: 各データストリームについて、所有部門、責任者名、検証方法、重要性基準値の適用ロジック。
ステップ2:スコープ3排出量の実施手続記録
メディテラネア社のスコープ3排出量は年間18,400トンCO2相当。サプライヤーからのスコープ1・2データ収集による。
調書ノート:提出様式は自由形式。標準化されていない。うち約30%は推定値を含む。正確性確認プロセスの詳細を下記に記す。
調書ノート:全テストケースを「データ品質テスト」タブに記載。信頼区間95%で補正後の推定排出量を再計算。
結論:スコープ3排出量18,400トンは、許容虚偽表示額(880トン、総排出量の4.8%)以下の誤謬リスクで支持される。追加テストは不要。
ステップ3:従業員多様性データの実施手続
メディテラネア社は850名の従業員について、性別・民族・年齢区分を報告する(ESRS S1-6)。データソースはSAPの人事モジュール。
調書ノート:民族情報はスペイン法の制限により記録されていない。代わりに「国籍」フィールドを使用。スペイン国籍以外を「多様性カテゴリ」として集計。
結論:報告された従業員データ(女性40%、男性60%、平均年齢42歳)は、SAPに記録された情報と一致する。ただしデータ品質はSAPの入力規律に依存しており、異動時の手入力誤りリスクが存在する。次年度への改善提案を記す。
- 供給業者リスト確認。メディテラネア社は年間450社のサプライヤーと取引。うち340社がEU域内、110社が域外(ポーランド、ルーマニア、モロッコ)。各社からのエネルギー消費データ提出様式を確認した。
- データ品質テスト。無作為抽出したサプライヤー30社(年間購入額の約60%に相当)について、報告されたエネルギー使用量をサプライヤーの公開情報と比較した。
- サプライヤーA(ポーランド・プラスチック加工):報告値74MWh、公開財務報告書の推定値68MWh。差異は8.8%。公開情報が同時期の報告か確認済み。
- サプライヤーB(モロッコ・テキスタイル):報告値220MWh、公開情報なし。代替として同業他社の単位生産当たりエネルギー原単位と比較。メディテラネア社の購入数量から逆算した標準値との乖離は12%。
- 集約エラーのテスト。Envirotech ToolsへのCSVアップロード後、ツール内での計算ロジックを確認した。係数ライブラリのバージョンを確認(IPCC第6次評価報告書対応版)。集約後の18,400トンCO2に至る計算経路を逆算でテスト。誤差なし。
- データ抽出の確認。HR部門がSAPから月次エクスポートしたCSVを確認。抽出日(2024年12月31日)、レコード数(850)、フィールド(ID、氏名、雇用区分、性別、生年月日)をチェック。
- 完全性テスト。給与台帳(別システム)の従業員総数と、SAPエクスポートの850名が一致することを確認。離職者、休職者の取扱いをHR担当者に確認。一貫性あり。
- 正確性テスト。無作為に30名を選定し、人事ファイルのコピーと照合。性別、生年月日に誤記なし。
監査人と検査官が見落とす点
- 第1層:計画段階でサステナビリティシステムの全体像を可視化できていない調書が多い。 スコープ1と3、複数の外部委託先、複数のツール間でのデータ受け渡しがあるとき、「全体の流れ」の記録がないまま個別テストを始める事務所が見受けられる。ISA 230.A12は「監査人が実施した監査手続の本質と範囲の適切な理解に必要な事項」を文書化するよう求めており、この「全体の流れ」はその基本だ。
- 第2層:外部ツール・外部データベース・外部委託先からのデータについて、「確認済み」で止まっている。 金融庁の指摘では、外部データの正確性テストの記録を求めると、サードパーティの認証(ISO 14064やISO 45001)の存在で足りると考える監査人が多いという。認証の存在と自社データの正確性は別問題だ。メディテラネア社の例でいえば、Envirotech Toolsの機関認証よりも、メディテラネア社が入力した生データの正確性こそ監査の対象である。
- 第3層:測定不確実性の記録が抽象的。 「GHG排出量は推定値を含むため測定不確実性がある」で終わる調書が多い。何がどの程度の不確実性を持つか、その不確実性が報告数字の信頼性にどう影響するか、代替的な測定方法の検討はあったか: こうした詳細な判断プロセスの記録がない。
関連用語
- ESRS基準: CSRD監査証跡の要求事項を定める国際的なサステナビリティ報告フレームワーク
- 限定的保証: CSRD監査が提供する保証水準。ISAと異なる結論基準を適用
- ISA 230 監査調書: 従来の財務監査調書の基準。CSRDでも基本的な要求事項はここから
- 監査証拠: サステナビリティデータ監査において、データの正当性を立証する情報源
- スコープ3排出量: CSRD報告でしばしば最も複雑な計算対象。監査証跡に多くの説明を要する
ツール
メディテラネア社の例のようなデータ抽出・変換・検証を体系的に文書化する場合、ISA 230準拠の監査調書テンプレートを使用することで記録の漏れを減らせる。ciferiのCSRD監査調書テンプレートは、計画・実施・結論の3層構造にあらかじめ対応している。