重要ポイント

  • サブサービス組織の統制が機能不全の場合、被監査会社の財務報告の信頼性そのものが失われるため、監査人の評価対象となる
  • サブサービス組織の評価忽視は、国際検査データでも日本の検査指摘でも最も頻繁に指摘される監査品質欠陥の一つ
  • Type I報告書(統制の設計と運用効果)またはType II報告書(運用効果のみ)の内容次第で、監査人が実施すべき追加手続が決まる
  • 被監査会社自体がサブサービス組織の出力を月次で照合・検証する監視統制を設けていなければ、ISAE 3402報告書だけでは統制リスクの十分な評価にならない

仕組み

監基報620第A28は、被監査会社がサブサービス組織を利用している場合、監査人はその統制環境を評価する責務を持つと定めている。サブサービス組織がシステム利用者の資金管理を担当しているなら、その資金管理プロセスの統制は、被監査会社自体の統制の一部として扱われる。言い換えれば、サブサービス組織の統制の失敗は、被監査会社の重要な虚偽表示リスクをもたらす。
監査人がサブサービス組織の統制を直接検査することは稀である。代わりに、監査人は以下のいずれかの方法を選択する。第一に、被監査会社のマネジメントがサブサービス組織の統制を既に評価している場合、その評価結果と根拠文書の十分性を検査する。第二に、サブサービス提供者が発行したISAE 3402報告書(Type IまたはType II)を入手し、その報告書で識別されたコントロール例外や既知の制限事項が、被監査会社の財務報告リスクに影響するか判断する。ISAE 3402報告書が利用可能な場合、監査人はその報告書の範囲、報告書発行日、及び被監査会社の決算日との時間的ギャップを慎重に検証する必要がある。報告書が6ヶ月以上前の発行日であれば、その統制が現在でも有効であるかの立証を別途に行う義務が生じる。

事例:給与計算サービス提供者を利用する製造業

事例企業:佐藤機械工業株式会社、東京都、FY2024売上11億2,000万円、IFRS適用事業体
佐藤機械工業は従業員840名を擁する製造業者であり、給与計算と福利厚生管理を外部サービス提供者である「ペイロール・システムズ・ジャパン」に全面委託している。ペイロール・シスステムズは毎月の給与データを受け取り、税務計算、社会保険料計算、給与振込手続きを実行する。給与関連の帳簿記録は全てペイロール・システムズのクラウドプラットフォーム内で発生する。
監査人は以下のステップを実行した。
ステップ1:サブサービス組織の識別と統制スコープの確定
被監査会社に対し、給与計算業務の全工程がペイロール・システムズに依存していることを確認した。給与データの入力元(佐藤機械の人事システム)からペイロール・システムズへのデータ転送、計算実行、銀行振込実施に至るまで、一連の統制がサブサービス組織内で動作していることを文書化した。監査調書:給与計算統制マップにサブサービス提供者依存箇所を明示。
ステップ2:ISAE 3402報告書の入手と検証
ペイロール・システムズが2024年8月31日付のISAE 3402 Type II報告書を発行していることを確認した。報告書には、給与計算の正確性、アクセス権限の管理、月次照合手続について、12ヶ月間の運用テストが記載されていた。報告書の対象期間は2024年1月から8月までであり、被監査会社の決算日(2024年12月31日)までに4ヶ月のギャップが存在していた。監査調書:ISAE 3402報告書のコピーと範囲分析。
ステップ3:報告書発行後の統制変更の確認
監査人はペイロール・システムズに対し、2024年9月以降に給与計算プロセスの重大な変更が加わったか否かを確認する質問状を発送した。回答により、2024年10月1日から新しい税務申告ルーチンが導入されたことが判明した。この新ルーチンは給与計算の出力値に影響するため、監査人はその新ルーチンの動作を被監査会社のテストデータで独立して検証した。監査調書:サブサービス提供者の変更通知と検証テスト結果。
ステップ4:給与額の妥当性テスト
被監査会社の人事データ(基本給、手当、税務控除額)とペイロール・システムズの出力(実際の給与振込額)を照合した。サンプリング対象を200名分(全840名の約24%)として、給与計算の正確性を立証した。監査調書:給与テスト作業表。各サンプルについて基本給から振込額までの計算ロジックを段階的に検証。
ステップ5:月次照合手続の検査
被監査会社の経理担当者が実施する月次照合(給与計算データと銀行振込データの突合)のプロセスと根拠文書を5ヶ月分検査した。照合チェックシートに承認印があるか、不一致の例外処理が記録されているかを確認した。監査調書:月次照合証拠。
結論として、監査人はISAE 3402 Type II報告書に基づきサブサービス組織の統制が十分に機能していると判断し、かつ報告書発行後の新ルーチン導入に対して独立した検証テストを実施することで、決算日までの期間における統制継続性を立証した。このアプローチにより、サブサービス組織に依存する給与計算の信頼性を監査上の証拠で裏付けることができた。

レビュアーと実務家が誤解しやすい点

  • ISAE 3402報告書の時間的ギャップの軽視: Type II報告書の対象期間が決算日より大きく前のものである場合、監査人は報告書取得だけで手続を終了し、事後期間の統制継続性の立証を怠るケースが散見される。監基報620第A28は「被監査会社の内部統制の評価」を要求しており、報告書発行後の重大な変更は追加手続の対象となる。国際的な検査機関の指摘によれば、ISAE 3402報告書の時間的制限への無視が、サブサービス組織評価における最も一般的な監査欠陥である。
  • 被監査会社の管理手続の過少評価: サブサービス提供者の統制が有効であるとしても、被監査会社自体が月次の突合検査や異常値モニタリングを実施していなければ、サブサービス提供者の統制失敗を早期に検知できない。被監査会社側の監視統制(detective control)は独立した評価が必要である。監基報600第5項は「監視統制の有効性」を明示的に求めており、多くの監査チームがこの層の統制テストを省略している。
  • Type I報告書での手続不足: Type I報告書は統制の「設計」の妥当性のみを報告し、「運用効果」は報告していない。Type I報告書を所有する被監査会社の場合、監査人はサブサービス提供者による実際の統制運用を独立して検証する責務を負う。多くの監査チームはType I報告書を取得した時点で、統制テストを実施できたと誤認している。

関連用語

  • ISAE 3402報告書: サービス提供者が自らの統制の設計と運用効果を第三者に報告する独立確認報告書。Type IとType IIの報告形式がある。
  • 内部統制の評価: 被監査会社が有する統制環境、リスク評価、統制活動、情報と通信、監視活動の5要素を監査人が検査するプロセス。
  • サービス提供者: 被監査会社が経営上の特定機能(給与計算、在庫管理、請求書処理)を委託する外部機関。
  • システム利用者の責務: ISAE 3402の用語。被監査会社はサブサービス組織の提供するシステムを利用する側として、その統制を理解し、その有効性をモニタリングする責務を持つ。
  • 監視統制: 既存の統制の運用効果を継続的に評価し、問題を検知する統制活動。定期的な照合検査、例外リスト、管理層のレビューなどが該当する。
  • 関連当事者取引: 被監査会社がサブサービス提供者の親会社または関連法人である場合、IFRS 24号の関連当事者取引開示要件が適用される。

関連ツール

ciferiのISAE 3402ワークシート(NVコスのサービス提供者評価版)は、サブサービス組織の統制を段階的に評価するためのチェックリストを提供しており、被監査会社のマネジメント評価とISAE 3402報告書の範囲分析を一体で文書化できます。

実務に役立つ監査の知見を毎週お届けします。

試験対策ではありません。監査を効率化する実践的な内容です。

290以上のガイドを公開20の無料ツール現役の監査人が構築

スパムはありません。私たちは監査人であり、マーケターではありません。