Definition
正直、入所した頃は「外注先=相手の問題」だと思っていた。クライアントが給与計算をADP風の業者に投げていても、銀行振込の処理を信託銀行に任せていても、こちらは利用者側の帳簿だけ見ればいいのだろうと。これが審査でいちばん指摘される箇所。CPAAOBの2024年度モニタリングレポートでは、ISAE 3402報告書を入手していながら期末月のカバー期間外をスキップしていた事例が、繰り返し名指しされている。
重要なポイント
- サービス提供組織が引き受けるサービスは、利用者企業の内部統制の一部を代替または補完し、財務報告の信頼性に直接効いてくる - 利用者の監査人は、ISAE 3402号に基づくType IまたはType IIの報告書を入手し、サービス提供組織の統制が機能しているか評価する - サービス提供組織側で統制欠陥が見つかれば、利用者企業レベルでのリスク評価とテスト計画の見直しは避けられない
仕組み
監基報の建前と現場の感覚にはズレがある。ISA 315.14は、利用者企業の外部に置かれたシステムおよび処理について、当該システムが利用者企業の財務報告に与える影響まで評価せよと求めている。文字通り読めば、外注先のサーバ室まで歩いていけということだ。実務ではそこまでできない。だから利用者の監査人は、次の3経路でサービス提供組織の統制有効性を判定することになる。
第一に、ISAE 3402号Type IまたはType IIレポートの入手と分析。第二に、サービス提供組織への実地監査(現地視察、スタッフへのヒアリング、統制テストの実施)。第三に、利用者企業レベルでの補足的テスト(サービス提供組織の処理結果の検証、独立したデータ抽出、金融機関との直接確認)。第四に、上記を組み合わせて期末月のカバレッジを埋める。経験上、Type II報告書の対象期間が期末2〜3か月をカバーしていないのは普通にある話で、「報告書あり=OK」と調書に書いてしまうとここで止まる。
ISAE 3402号は、サービス提供組織自身が監査可能性を証明するための唯一の手段ではない。Type I報告書は特定時点のスナップショットであり、継続的な統制運用の証拠としては弱い。年度通期のType II報告書(監査期間を通じた運用有効性の評価)を入手するのが基本形になる。
具体例: タナカ物流株式会社
クライアント: 日本の中堅食品流通企業、2024年度、売上890百万円、IFRS報告企業
タナカ物流は全国配送センターを5拠点運営する傍ら、仙台・福岡・名古屋の3カ所では外部の温度管理物流企業(クールロジスティクス東北)に冷蔵商品の保管・配送を委託している。年間委託額は約42百万円。
ステップ1:外部処理の特定 監査計画段階で、仙台・福岡・名古屋の3拠点における販売循環での在庫評価リスクを再評価する。クールロジスティクス東北は単なる運送会社ではなく、実質的な「在庫保管・管理」を担当しており、期末在庫数量の確認手続や、冷蔵品の劣化リスク評価に直接関与している。 文書化ノート:リスク評価メモに「サービス提供組織:クールロジスティクス東北、対象資産:冷蔵商品在庫、対象主張:実在性・評価」と記載。
ステップ2:ISAE 3402報告書の入手と評価 クールロジスティクス東北のISAE 3402 Type II報告書(監査対象期間:2024年1月〜10月)を入手した。報告書では、「在庫数量の日次確認」「冷蔵庫温度の継続的監視」「月次の品質検査」の3つの統制が記述されている。当監査年度の期末(12月)がType II報告書の対象期間外であるため、期末2ヶ月間(11月〜12月)のコントロール有効性を別途確認する必要があると判断した。 文書化ノート:ISAE 3402報告書評価シートに「カバー期間外リスク:期末2ヶ月間、対応:クールロジスティクス東北への直接照会および遠隔実地確認」と記載。
ステップ3:補足的テストの実施 期末在庫の物理的確認(キウイフルーツ保管センター視察)を実施する際、クールロジスティクス東北のマネージャー立会いのもとで、倉庫内温度記録装置、在庫台帳システムへのアクセス権限、棚卸表の承認ルートを検証した。合わせて、タナカ物流本社のERP上に記録された「クールロジスティクス東北からの引き取り実績」と、クールロジスティクス東北の月次請求書上の「保管数量」の一致性を検証した。 文書化ノート:実地確認ワークペーパーに「温度記録:-18℃〜-22℃で維持、ズレなし」「ERP引き取り数量と請求書保管数量の差異:3パレット、確認結果:返却処理済み」と記載。
ステップ4:監査意見への影響評価 補足的テストの結果、クールロジスティクス東北の統制は設計・運用面で有効であると判断した。ISAE 3402報告書の対象期間外2ヶ月間についても、直接確認を通じて同等の統制が機能していることを確認できた。期末在庫の評価額42百万円(全在庫の約5%)について、固有の監査リスクは許容範囲内と判定した。
判定の振れ幅: サービス提供組織の統制が不十分であれば、選択肢は限られる。当該在庫の全件確認(抽出テストから全数テストへの変更)、外部確認の実施、減損テストの追加。タナカ物流の場合は調書設計を組み直さずに済んだが、現場では「補足的テストを増やす」だけで凌ごうとして審査で戻されるケースが多い。
サービス提供組織で見落としやすい3つの罠
Tier 1:国際的な検査事例 PCAOB(米国公開企業会計監視委員会)は、利用者企業の監査人がISAE 3402報告書を入手していながら、報告書の対象期間が期末までカバーしていないことを認識せず、期末月の統制テストを実施していないケースを繰り返し指摘している(2023年PCAOB Report on Auditing Standards No. 1: Auditing standards)。報告書上の「カバー期間外」は自動的に「低リスク」を意味しない。
Tier 2:標準との乖離 監基報315号(ISA 315.14)は「利用者企業の外部のシステムおよび処理について、その影響を評価する」と書いているだけ。多くのチームは、ISAE 3402報告書の存在を確認して「チェック完了」としがちだが、Type I報告書(特定時点のスナップショット)は継続的な統制運用を証明しない。年度通期のType II報告書の入手が基本形。正直、繁忙期に丁寧にやり切るのは難しい論点でもある。
Tier 3:文書化の実務ギャップ サービス提供組織の関与領域と関与内容を「事前リスク評価メモ」に明記する実務が薄いまま流れていることが多い。「外注あり」という認識だけでは、後続の監査調整段階で期末オフバランス取引(サービス提供組織への返却)の漏れ検出につながりにくい。調書を読み返した審査担当が最初に止まるのもここ。
サービス提供組織と利用者企業の監査人の関係
利用者企業の監査人(User Auditor)とサービス提供組織の監査人(Service Auditor)は、異なる目的で異なる報告書を作成する。両者の報告書は相補関係にある。
- サービス提供組織の監査人: ISAE 3402に基づいて、サービス提供組織の統制が「その目的を達成しているか」を評価し、Type I(特定時点)またはType II(期間を通じた運用)報告書を発行する - 利用者企業の監査人: 監基報315号に基づいて、サービス提供組織の統制欠陥が「利用者企業の財務報告に及ぼす影響」を評価する
利用者の監査人は、ISAE 3402報告書の内容を信頼できるかどうかを自ら判断する責任を負う。報告書の発行日、対象期間、統制の記述の正確性、監査人の独立性。これらを検証してから、監査計画に組み入れる。
関連用語
- Type I報告書: サービス提供組織の特定時点におけるコントロール設計の適切性を評価するISAE 3402報告書。継続的な運用有効性の証拠にはならない - Type II報告書: サービス提供組織の一定期間におけるコントロール運用有効性を評価するISAE 3402報告書。利用者企業の監査人が最も信頼できる証拠形態 - 内部統制: 利用者企業が目的達成のために設計・運用する統制。サービス提供組織が一部を代替する場合、双方の統制を統合的に評価する必要がある - リスク評価: 監基報315号に基づく実施手続。サービス提供組織の関与領域では、外部リスク要因を含めた評価が必須 - ISAE 3402: サービス提供組織の統制有効性を証明するための国際的保証基準。利用者の監査人による内部統制評価の基礎資料 - トランザクション処理: 利用者企業の取引サイクル(売上・購買・給与など)。サービス提供組織が一部または全部を処理する場合、当該サイクルでのリスク評価を調整する
関連ツール
ciferiのISAE 3402統制マトリクス・エクセルテンプレートを使うと、サービス提供組織の統制記述、利用者企業への影響範囲、補足的テストの必要性を一元管理できます。ISAE 3402統制評価テンプレートで、サービス提供組織ごとのリスク領域を可視化してください。
---