サブサービス組織

重要ポイント

- サブサービス組織の統制が崩れた瞬間、被監査会社の財務報告そのものが揺らぐ - 検査で最も頻繁に指摘される項目の一つ。指摘された後の追加手続は、繁忙期の最終週に降ってくる - Type IとType IIで、後続手続の重さがまったく変わる - ISAE 3402報告書は監査人の判断の代替ではなく、入口にすぎない

仕組み

監基報620第A28は、被監査会社の統制環境を評価する責務を監査人に課している。現場では、ISAE 3402報告書を入手したところで調書がほぼ完成する。この乖離が、検査指摘の温床になっているんですよね。

サブサービス組織が利用者企業の資金管理を担っているなら、その資金管理プロセスの統制は被監査会社自体の統制の一部として扱われる。サブサービス側の統制失敗は、即、被監査会社の重要な虚偽表示リスクに転化する。これは順序の話ではなく、同時の話だ。

監査人がサブサービス組織の統制を直接検査することは稀。代わりに監査人が選ぶ道は、おおむね二つに絞られる。一つは、被監査会社のマネジメントが既に評価している場合、その評価結果と根拠文書の十分性を検査するルート。もう一つは、サブサービス提供者が発行したISAE 3402報告書を入手し、報告書で識別されたコントロール例外や既知の制限事項が被監査会社の財務報告リスクに影響するか判断するルート。

経験上、揉めるのはここから先だ。報告書の対象期間が決算日より6ヶ月以上前のもの。Aパートナーは「ISAE 3402 Type II報告書があれば、決算日までのギャップは『質問状＋経営者確認』で十分」と判断する。理由は、追加手続で発見される統制変更の頻度が低く、コスト対効果に見合わないというもの。Bパートナーは「6ヶ月以上のギャップがあれば、ロールフォワードテストを必ず実施する」と主張する。理由は、報告書発行後の重大な統制変更が検査指摘の常連だから。両方とも合理的な根拠がある。うちの事務所では、業種と統制の重要度で線を引いているが、それでもパートナー間で割れることがある。

なぜギャップが軽視されやすいのか。原因は二つある。繁忙期のスケジュール圧力（「ISAE 3402を入手した時点で時間切れ」）と、Type II報告書を「魔法のチケット」と見なす方法論的バイアス。前者は予算の問題、後者は思考の問題。後者の方が根が深い。

監基報620は「被監査会社の内部統制の評価」を要求しているが、現場の実態は「ISAE 3402報告書の所有確認」に矮小化されている。報告書は判断の代替ではない。入口にすぎない。

事例：給与計算サービス提供者を利用する製造業

事例企業：佐藤機械工業株式会社、東京都、FY2024売上11億2,000万円、IFRS適用事業体

佐藤機械工業は従業員840名を擁する製造業者で、給与計算と福利厚生管理を「ペイロール・システムズ・ジャパン」に全面委託している。月次の給与データを受け取り、税務計算、社会保険料計算、給与振込手続きまで、すべてサブサービス側で完結する。給与関連の帳簿記録は、ペイロール・システムズのクラウドプラットフォーム内で発生する構造。

監査人が踏んだステップは次の通り。

ステップ1：サブサービス組織の識別と統制スコープの確定 給与計算業務の全工程がペイロール・システムズに依存していることを、被監査会社へのヒアリングで確認した。給与データの入力元（佐藤機械の人事システム）からペイロール・システムズへのデータ転送、計算実行、銀行振込実施に至るまで、一連の統制がサブサービス組織内で動作していることを文書化。調書：給与計算統制マップにサブサービス提供者依存箇所を明示。

ステップ2：ISAE 3402報告書の入手と検証 ペイロール・システムズが2024年8月31日付のISAE 3402 Type II報告書を発行していることを確認。報告書には、給与計算の正確性、アクセス権限の管理、月次照合手続について、12ヶ月間の運用テストが記載されていた。報告書の対象期間は2024年1月から8月まで。被監査会社の決算日（2024年12月31日）まで4ヶ月のギャップ。調書：ISAE 3402報告書のコピーと範囲分析。

ステップ3：報告書発行後の統制変更の確認 監査人はペイロール・システムズに対し、2024年9月以降に給与計算プロセスの重大な変更が加わったか否かを確認する質問状を発送。回答により、2024年10月1日から新しい税務申告ルーチンが導入されたことが判明した。

ここで論点が複雑化する。新ルーチンの動作を被監査会社のテストデータで独立検証したところ、200件中2件で計算誤差が発覚した。経営者は「軽微な丸め誤差で、四半期末までに修正済み」と主張。監査人側の判断は割れた。「サブサービス側のシステム変更が影響範囲全体に及ぶ可能性」と捉えるなら、追加サンプリングが必要。「修正済みかつ金額的に重要性以下」と捉えるなら、現状の証拠で足りる。最終的に監査人は、変更が給与計算ロジックの中核に触れていること、誤差発生率が1%であり過去の不良率より高いことを根拠に、追加サンプル300件の独立テストを実施する判断を下した。調書：サブサービス提供者の変更通知、初回検証テスト、追加テスト結果、判断根拠メモ。

ステップ4：給与額の妥当性テスト 被監査会社の人事データ（基本給、手当、税務控除額）とペイロール・システムズの出力（実際の給与振込額）を照合した。サンプリング対象は200名分（全840名の約24%）。各サンプルについて基本給から振込額までの計算ロジックを段階的に検証。調書：給与テスト作業表。

ステップ5：月次照合手続の検査 被監査会社の経理担当者が実施する月次照合（給与計算データと銀行振込データの突合）のプロセスと根拠文書を5ヶ月分検査した。照合チェックシートに承認印があるか、不一致の例外処理が記録されているか。審査担当からも追加で1ヶ月分の再レビュー指示が入った。調書：月次照合証拠と審査コメント対応。

監査人は最終的に、ISAE 3402 Type II報告書とステップ3の追加検証を組み合わせて、サブサービス組織の統制が決算日まで継続的に機能していたと結論付けた。判断のキモは、報告書だけで満足せず、新ルーチン導入の影響を独自にテストし、誤差発覚後にサンプルを拡張した点。報告書は出発点であって、ゴールではないという原則が、この事例では具体的な追加手続として現れた。

レビュアーと実務家が誤解しやすい点

- ISAE 3402報告書の時間的ギャップの軽視：Type II報告書の対象期間が決算日より大きく前の場合、報告書取得だけで手続を終了するチームが多い。事後期間の統制継続性の立証は別問題。監基報620第A28は「被監査会社の内部統制の評価」を要求しており、報告書発行後の重大な変更は追加手続の対象になる。CPAAOBの検査指摘では、ISAE 3402報告書の時間的制限への無視がサブサービス組織評価における最頻出の欠陥として繰り返し挙がっている。現場の感覚で言うと「報告書を綴じただけで終わらせていた」ということ。

- 被監査会社の管理手続の過少評価：サブサービス提供者の統制が有効でも、被監査会社自体が月次の突合検査や異常値モニタリングを実施していなければ、サブサービス側の統制失敗を早期に検知できない。被監査会社側の監視統制（detective control）は独立した評価が必要。監基報600第5項は「監視統制の有効性」を明示的に求めている。私が新人で入所したころは、この層を完全にスキップしていた調書を何度も見た。

- Type I報告書での手続不足：Type I報告書は統制の「設計」の妥当性しか報告していない。「運用効果」は対象外。Type Iしか入手できない場合、監査人はサブサービス提供者による実際の統制運用を独立して検証する責務を負う。Type I＝統制テスト完了、と読み替える誤読は今も根強い。

関連用語

- ISAE 3402報告書：サービス提供者が自らの統制の設計と運用効果を第三者に報告する独立確認報告書。Type IとType IIの報告形式がある。

- 内部統制の評価：被監査会社が有する統制環境、リスク評価、統制活動、情報と通信、監視活動を監査人が検査するプロセス。

- サービス提供者：被監査会社が経営上の特定機能（給与計算、在庫管理、請求書処理、税務申告）を委託する外部機関。

- システム利用者の責務：ISAE 3402の用語。被監査会社はサブサービス組織の提供するシステムを利用する側として、その統制を理解し、その有効性をモニタリングする責務を持つ。

- 監視統制：既存の統制の運用効果を継続的に評価し、問題を検知する統制活動。定期的な照合検査、例外リスト、管理層のレビューなどが該当。

- 関連当事者取引：被監査会社がサブサービス提供者の親会社または関連法人である場合、IFRS 24号の関連当事者取引開示要件が適用される。

関連ツール

ciferiのISAE 3402ワークシート（NVコスのサービス提供者評価版）は、サブサービス組織の統制を段階的に評価するためのチェックリストです。被監査会社のマネジメント評価とISAE 3402報告書の範囲分析を一体で文書化できます。

---