ISAE 3402

仕組み

ISAE 3402は、あるサービス監査人が証拠を提供し、別の監査人（利用者監査人）がそれに依拠できる枠組みを構築しています。利用者企業が財務報告に影響するプロセス（給与計算、年金管理、決済処理、ファンド会計）を外部委託した場合、利用者監査人はサービス組織の統制についての保証を必要とする。ISAE 3402はそのメカニズムを提供します。

サービス監査人はサービス組織のシステム記述を検証し、統制が適切にデザインされているかを評価する。Type II報告書では、統制が一定期間にわたり有効に運用されたかどうかもテストする。対象はISAE 3402.3に基づき、利用者企業の財務報告に関連する統制に限定される。業務目的やコンプライアンス目的のみに資する統制は基準の範囲外です。

ISAE 3402.13は、業務の前提条件としてサービス組織の経営者からの書面による表明を要求している。この表明がなければ、サービス監査人は報告書を発行できない。表明はシステム記述の公正な表示、統制デザインの適切性、そしてType IIの場合は期間を通じた統制の運用の有効性をカバーする。

ISAE 3402報告書は合理的保証業務であり、限定的保証や合意された手続ではない。サービス組織の財務諸表に対する監査意見でもありません。

実務例：VanderBerg Pensioenservices B.V.

クライアント：オランダの年金管理会社、運用資産EUR 2.1B、14の年金基金にサービスを提供。ISAE 3402 Type II報告書、対象期間2024年1月–12月。

システム境界：掛金処理、給付計算、加入者データ管理、投資取引記録。ISAE 3402.13に基づく経営者の表明を取得済み。記述の公正な表示、統制のデザインの適切性、運用の有効性を確認。

テスト対象統制：12の統制目的、47の個別統制。サービス監査人は12カ月間にわたる各統制の運用の有効性をテストし、サンプルを抽出して実施証跡を閲覧する。

識別された例外：1件の例外を発見。2024年4月に加入者データの変更（給与更新）が独立レビューなしに処理された。この変更は給付計算に直接影響する。サービス監査人はISAE 3402.42に基づきこの例外を報告。

報告書の結果：例外を記載した無限定意見。14の年金基金監査人（利用者監査人）は、この特定の例外が自身のアサーション・テストに影響するかを個別に評価しなければならない。文書化ノート：「該当する加入者が所属する基金の利用者監査人は、レビューなしの給与変更が給付支払額または債務計算の虚偽表示を生じさせたかをテストする。」

よくある誤解

• システム境界の過大な設定 サービス監査人がシステム境界を広く設定しすぎ、利用者企業の財務報告に影響しないプロセスまで含めることがある。ISAE 3402.9(a)は、利用者企業の財務報告に係る内部統制に関連する統制のみを対象とするよう求めている。
• テスト結果の詳細不足 NBAは、実施したテストの内容と結果についての記述が不十分な報告書があると指摘している。ISAE 3402.42は、利用者監査人が証拠の関連性と信頼性を評価するのに十分な詳細を要求しており、「統制は有効に運用された」という要約的記述だけでは不十分である。
• ISAE 3402報告書を監査意見と混同 ISAE 3402報告書はサービス組織の統制に関する保証報告書であり、サービス組織の財務諸表に対する意見ではない。利用者監査人がISA 402に基づき依拠できる証拠を提供するものである。
• 経営者の書面表明の欠如 ISAE 3402.13は業務の前提条件として書面表明を要求している。表明なしに報告書を発行することは基準違反となる。