サービス提供組織

重要なポイント

サービス提供組織が提供するサービスは、利用者企業の内部統制の一部を代替または補完し、財務報告の信頼性に直接影響する
利用者企業の監査人は、ISAE 3402号に基づくType IまたはType IIの報告書を入手し、サービス提供組織の統制が機能しているか評価する必要がある
サービス提供組織のコントロール欠陥が発見された場合、利用者企業レベルでのリスク評価とテスト計画の変更が不可避となる
サービス提供組織の変更（例えば、給与計算の委託先の切り替え）は、変更期間中の統制の空白期間を生じさせるため、期中の統制テスト計画の再設計が必要となる

仕組み

サービス提供組織は、給与計算処理、銀行口座管理、在庫管理システム、税務申告書作成支援など、様々な形態で存在する。重要な点は、提供されるサービスが利用者企業の「トランザクション処理」や「データ保管」に関わるかどうかである。
ISA 315.14（改訂2019）は、監査人に対し、利用者企業の外部に存在するシステムおよび処理について、当該システムが利用者企業の財務報告に与える影響を評価するよう求めている。単にサービス提供組織の存在を認識するだけでなく、そのサービスがどの取引サイクル（売上、購買、給与など）に関与しているかを特定し、その領域でのリスク評価を調整する必要がある。
ISAE 3402号は、サービス提供組織自身が監査可能性を証明するための唯一の手段ではない。利用者企業の監査人は、次の3つの方法でサービス提供組織の統制有効性を評価できる。(1) ISAE 3402号Type IまたはType IIレポートの入手と分析、(2) サービス提供組織への実地監査（現地視察、スタッフへのヒアリング、統制テストの実施），(3) 利用者企業レベルでの補足的テストの実施（サービス提供組織の処理結果の検証、独立したデータ抽出、金融機関との直接確認など）。

具体例: タナカ物流株式会社

クライアント: 日本の中堅食品流通企業、2024年度、売上890百万円、IFRS報告企業
タナカ物流は全国配送センターを5拠点運営する傍ら、仙台・福岡・名古屋の3カ所では外部の温度管理物流企業（クールロジスティクス東北）に冷蔵商品の保管・配送を委託している。年間委託額は約42百万円。
ステップ1：外部処理の特定
監査計画段階で、仙台・福岡・名古屋の3拠点における販売循環での在庫評価リスクを再評価する。クールロジスティクス東北は単なる運送会社ではなく、実質的な「在庫保管・管理」を担当しており、期末在庫数量の確認手続や、冷蔵品の劣化リスク評価に直接関与している。
文書化ノート：リスク評価メモに「サービス提供組織：クールロジスティクス東北、対象資産：冷蔵商品在庫、対象主張：実在性・評価」と記載。
ステップ2：ISAE 3402報告書の入手と評価
クールロジスティクス東北のISAE 3402 Type II報告書（監査対象期間：2024年1月～10月）を入手した。報告書では、「在庫数量の日次確認」「冷蔵庫温度の継続的監視」「月次の品質検査」の3つの統制が記述されている。当監査年度の期末（12月）がType II報告書の対象期間外であるため、期末2ヶ月間（11月～12月）のコントロール有効性を別途確認する必要があると判断した。
文書化ノート：ISAE 3402報告書評価シートに「カバー期間外リスク：期末2ヶ月間、対応：クールロジスティクス東北への直接照会および遠隔実地確認」と記載。
ステップ3：補足的テストの実施
期末在庫の物理的確認（キウイフルーツ保管センター視察）を実施する際、クールロジスティクス東北のマネージャー立会いのもとで、倉庫内温度記録装置、在庫台帳システムへのアクセス権限、棚卸表の承認ルートを検証した。合わせて、タナカ物流本社のERP上に記録された「クールロジスティクス東北からの引き取り実績」と、クールロジスティクス東北の月次請求書上の「保管数量」の一致性を検証した。
文書化ノート：実地確認ワークペーパーに「温度記録：-18℃〜-22℃で維持、ズレなし」「ERP引き取り数量と請求書保管数量の差異：3パレット、確認結果：返却処理済み」と記載。
ステップ4：監査意見への影響評価
補足的テストの結果、クールロジスティクス東北の統制は設計・運用面で有効であると判断した。ISAE 3402報告書の対象期間外2ヶ月間についても、直接確認を通じて同等の統制が機能していることが確認された。結論として、期末在庫の評価額42百万円（全在庫の約5%）について、固有の監査リスクは許容範囲内であると判定した。
結論： サービス提供組織の統制が不十分であれば、単に「補足的テストを増やす」のではなく、当該在庫の全件確認（抽出テストから全数テストへの変更）、外部確認の実施、または減損テストの追加が必要になる。タナカ物流の場合、適切なテスト設計により監査効率と監査品質が両立した。

監査人と実務者が見落としやすい点

Tier 1：国際的な検査事例 PCAOB（米国公開企業会計監視委員会）は、利用者企業の監査人がISAE 3402報告書を入手していながら、報告書の対象期間が期末までカバーしていないことを認識せず、期末月の統制テストを実施していないケースを繰り返し指摘している（2023年PCAOB Report on Auditing Standards No. 1: Auditing standards）。報告書上の「カバー期間外」は自動的に「低リスク」を意味しない。
Tier 2：標準との乖離 ISA 315.14では「利用者企業の外部のシステムおよび処理について、その影響を評価する」と記載されている。多くのチームは、ISAE 3402報告書の存在を確認して「チェック完了」としがちだが、Type I報告書（特定時点のスナップショット）は継続的な統制運用を証明しない。年度通期のType II報告書（監査期間を通じた運用有効性の評価）の入手が基本形である。
Tier 3：文書化の実務ギャップ サービス提供組織の関与領域と関与内容を「事前リスク評価メモ」に明記する実務が不足している傾向がある。「外注あり」という認識だけでは、後続の監査調整段階で期末オフバランス取引（サービス提供組織への返却）の漏れ検出につながりにくい。