重要ポイント
- ISAE 3402レポート(Type IまたはType II)は、サービス機関が顧客企業の財務報告に与える影響を評価する証拠となる。 - Type IIレポートは統制の設計と運用有効性の両方を検証するため、親会社の監査人が実務上依拠できる水準にある。Type Iは設計の評価のみ。 - サービス機関レポートの形式・スコープの誤解は、親企業の監査で最も頻繁に検出される問題の1つ。 - 正直、レポートを「もらったから安心」で済ませているチームは想像以上に多い。
仕組み
サービス機関とは、他の企業のために財務上の取引や残高を処理する外部の事業体を指す。給与計算会社、クラウド事業者、決済センター、在庫保管業者が典型例。
ISAE 3402.A1に基づき、監査人はまず統制の設計を評価し、次に試査期間を通じた運用有効性を確認する。この2段階がType IレポートとType IIレポートを分ける。Type Iは設計評価のみ。サービス機関の経営者が作成した記述に対して、統制が目的に沿って設計されているかを評価する。運用テストは含まない。Type IIは設計に加え、一定期間(通常6〜12ヶ月)にわたる統制の運用有効性をテストする。親企業の監査人がサービス機関の統制に依拠して自らの手続を縮小できるのは、Type IIレポートがある場合に限られる。
ISAE 3402.A16はレポートに含めるべき情報の範囲を定めている。統制の目的、設計、試査期間中の有効性に加え、統制が機能しなかった場合はその旨の明記が必要。親企業の監査人が「管理上の例外」(人的ミスによる一時的な不備)と「設計上の欠陥」(統制自体の不備)を区別できるよう、記述の粒度が問われる。
具体例:給与計算アウトソーシングのISAE 3402レポート
企業:田中物流システムズ株式会社(東京、給与計算アウトソーシング、年間手数料売上2,800万円)
田中物流システムズは大手製造業の従業員約500名分の給与計算、年末調整、社会保険手続きを一括処理している。親企業の監査人は、この外注先の統制にどこまで依拠できるかを判断しなければならない。
統制環境の理解
田中物流システムズの監査人(A監査法人)はISAE 3402.A5に基づき、以下4つの統制が設計されていることを確認した。(1) 従業員データベースへのアクセスは承認された給与担当者のみに限定、(2) 給与計算システムの変更は全てテスト環境で事前検証、(3) 月次の給与支払い後に従業員給与台帳と銀行送金記録を照合、(4) 照合の差異は翌営業日までに調査・是正を記録。統制の記述はサービス機関の業務記述書とシステムマニュアルから抽出し、調書に保管する。
設計評価
A監査法人はISAE 3402.A12に沿って、各統制が親企業の財務報告リスクに対処しているかを評価した。給与は売上高に次ぐ費用勘定であり、不正な変更や未承認のデータ削除は誤謬に直結する。設計評価の結論:統制は目的に合致。調書には「統制目的:給与データの未認可変更の防止」「設計手段:アクセス権の制限とシステムログ」の対応表を作成する。
運用有効性テスト(Type IIの場合)
Type IIレポートでは、A監査法人は2024年1月から12月の12ヶ月間にわたり統制の運用を確認する。月次照合統制について12回分のサンプルを抽出し、(1) 給与台帳と銀行送金記録が実際に照合されているか、(2) 照合担当者の承認日時がシステムに記録されているか、(3) 差異が検出された場合の調査・是正記録があるか、(4) 是正が翌月の処理に反映されているかを検証した。各月の証拠スクリーンショットを調書に添付する。
除外事項の明記
ISAE 3402.A20に沿い、A監査法人はレポートの対象から除外した機能を明記した。税務申告書の作成、勤続年数管理システム、社員教育はスコープ外。調書のスコープセクションに「本レポートは給与計算と社会保険手続きのみを対象とする」と記載する。「その他のシステムは対象外」のような曖昧な除外記述では、品管レビューで差し戻される。
親企業の監査人はType IIレポートを根拠に、給与勘定の監査手続の範囲を縮小できる。縮小の程度はレポートの品質と、親企業自身が追加で実施する手続の組み合わせで判断する。
レビュアーと実務家が見落とすこと
統制の識別と範囲の不完全さは、各国の規制機関が繰り返し指摘している問題。データ処理業者やクラウドサービスの監査では、サイバーセキュリティ統制や災害復旧計画をレポートから故意に除外するケースがある。ISAE 3402.A6は、顧客企業の財務報告に関連する全ての統制をレポートに含めるよう求めている。除外するならその理由と影響を記述する。
Type IとType IIの混同も根深い。Type Iで「統制は設計されている」と確認しても、運用されているかは不明。経験上、親企業の監査人がType Iを根拠に給与監査の手続を大幅に削減し、後からサービス機関で統制不備が判明するケースは珍しくない。ISAE 3402.A16は、レポートの形式ごとに親監査人が得られる確証の水準が異なることを明示しており、調書にどちらの形式を使ったか記録していないと、審査の段階で問題になる。
除外事項の開示不足も実務では厄介。「その他のプロセスは対象外」という一行で済ませているレポートは少なくない。親企業の監査人がスコープの全容を把握できないまま依拠しているなら、その依拠自体が根拠を欠く。ISAE 3402.A20は、除外された具体的な機能(税務計算、給与明細配付、福利厚生管理、勤怠管理)の列挙を求めている。
Type Iレポート vs. Type IIレポート
| 特性 | Type I | Type II |
|---|---|---|
| 目的 | 統制が目的に沿って設計されていることを確認 | 設計の確認に加え、試査期間にわたる運用有効性を確認 |
| 監査人の手続 | 設計評価のみ。運用テストなし | 試査期間(通常6〜12ヶ月)にわたる統制の運用テストを実施 |
| 監査人の結論 | 「統制は以下のように設計されている」 | 「統制は設計されており、試査期間中に有効に機能していた」 |
| 親企業側の価値 | 限定的。運用の確証がないため、親企業側で追加テストが必要 | 高い。運用証拠に基づき、親企業の監査人は手続の縮小を検討できる |
| 発行までの期間 | スコープ画定から通常3〜4ヶ月 | 試査期間終了後に発行するため、通常6〜12ヶ月 |
Type IとType IIで監査手続がどう変わるか
Type Iのみの場合、親企業の監査人はサービス機関の統制に依拠できない。給与台帳の全取引をサンプリングしてテストする、月次の給与支払い記録を追跡する、給与計算ロジックの変更が正しく実装されたことを確認する、これらを全て自前で実施する。繁忙期にこの追加手続が加わると、チームの負荷は相当なもの。
Type IIがあれば、サービス機関が実施した統制テストの証拠に依拠でき、自らの手続を縮小できる可能性がある。監査工数とコストの差は歴然としている。
関連用語
- 内部統制の評価(ISA 315) — 親企業の監査人がサービス機関の統制環境をISA 315.13に基づいて理解するプロセス。ISAE 3402レポートはこの理解の一部を構成する。 - Type Iレポート — 統制の設計のみを評価するISAE 3402レポート。 - Type IIレポート — 設計と試査期間中の運用有効性の両方を評価するISAE 3402レポート。 - サービス機関 — 顧客企業のために財務記録に影響する取引やデータを処理する外部事業体。 - 管理上の例外 — 統制は正しく設計されているが、人的ミスにより一時的に機能しなかった事案。 - 設計上の欠陥 — 統制そのものが目的の達成に不十分であり、再設計が必要な状況。 - スコープ — ISAE 3402レポートに含まれる統制と除外される機能の境界線。
関連ツール
ciferiのISAE 3402調書テンプレートは、Type IとType IIの両レポートに対応する。統制の識別、設計評価、運用有効性テストの各段階で使用でき、統制目的、除外事項、試査期間の記載を必須フィールドとして強制する。「対象外」の一行記述では保存できない設計にしてある。