Definition
「先方からType I報告書が届きました」と利用者企業の経理から連絡が入る。期末監査の最中、3月決算の繁忙期。報告書を開くと対象期間が「2024年12月15日時点」の1日だけ。利用者監査人としてこの1日のスナップショットで年間の給与計算統制に依拠できるか、正直、毎回ここで手が止まる。CPAAOBの令和6年度モニタリングレポートでも、サービス組織報告書の検討が形骸化している事例が指摘された。
Key takeaways
- Type I報告書は「特定時点」の設計と実装を確認する。期間全体の運用有効性は範囲外 - 1営業日のテストでは利用者監査人の依拠根拠として弱い。最低でも数週間の対象期間が実務的な目安 - 設計評価のみで運用テストを省いた報告書はType I未満。審査でも引っかかる
---
ISAE 3402段落A23が分けた2つの世界
ISAE 3402報告書は2つのタイプに分かれる。Type Iは「特定の日付時点、または特定の期間」(段落A23)の設計と実装を扱う。Type IIは期間全体の運用有効性を扱う。「特定の日付時点」という文言が肝。1日でも形式上は成立してしまう。
受託会社(BPO企業、クラウド基盤提供者、給与計算代行業者など)が利用者企業に対して「うちの統制は機能している」と示すための文書だ。段落A7以降で、監査人が設計の妥当性を評価し、実装が確認できた旨を記載する。
ここで多くの新人が混乱する。Type Iにも「運用テスト」があるのではないか、と。実務では限定的なウォークスルーを実施することが多いが、これはType IIで言う「運用有効性のテスト」とは別物。Type Iの運用要素は「設計どおりに実装されているか」の確認止まり。期間にわたる一貫した運用の検証ではない。
利用者監査人はこの報告書を受け取り、リスク評価に組み込む。報告書の有用性は対象期間の長さに直結。1日のスナップショットでは、それ以外の期間で統制が機能した保証はない。
---
Worked example: Berger GmbH(ドイツの給与計算処理センター)
クライアント概要: ドイツ上場企業向けに給与計算・社会保険手続を代行する受託会社。2024年6月30日時点のType I報告書を発行。従業員約180名、年間処理給与データ約2,500件。
段階1:報告書の対象時点と対象統制の選定 受託会社は「給与計算の正確性」「アクセス制御」「月次決算処理の承認」の領域を選定。報告書の対象時点は2024年6月30日。
調書ノート:Type I報告書は「報告書が対象とする日付:2024年6月30日時点」と明記する。Type IIと混同して「2024年1月から6月の期間」と書くと、利用者監査人から「これはType IIなのか、Type Iなのか」という確認が入る。
段階2:統制設計の妥当性評価 監査人は、各統制(給与計算システムへのアクセス制限、支払前のマネージャー承認、月次の給与サマリー)が、受託会社の経営目標達成のために設計されているかを確認した。
給与計算システムのアクセス制限を確認。全従業員がシステムにログインする際、部門別の権限に基づいてモジュールへのアクセスが制限される。経営企画部門の従業員は給与額を変更できない。設計上、この制限は存在する。
調書ノート:「2024年6月30日時点のシステムコンフィグレーション確認書を入手。給与計算モジュールへのアクセスは職務別権限テーブルに基づく。経営企画部門のユーザーIDは給与額変更権限なし。設計評価完了。」
段階3:実装の確認 Type Iなので、設計どおりに実装されているかを確認する。期間全体の運用テストは実施しない。
報告書日(2024年6月30日)時点でのシステム設定とアクセスログを取得。経営企画部門ユーザーが給与額変更モジュールにアクセスできない状態が、実際のシステムで再現できるか確認。テストユーザーで擬似ログインを試行(経営企画部門の権限プロファイル)。給与額変更画面へのアクセスは拒否された。
調書ノート:「2024年6月30日時点で、設計書どおりの権限制御が稼働中であることを確認。テストアカウントを用いた擬似アクセスで、想定どおりブロックされた。実装確認完了。」
段階4:報告書の記載 ISAE 3402 Type I報告書として発行。「当社の統制(給与計算正確性、アクセス制限、月次承認)は、2024年6月30日時点において、適切に設計され、実装されている」と述べる。報告書の末尾には限定的な記載。「本報告書は対象日時点のテスト結果に基づくもの。対象日以外の期間については、統制の運用有効性を保証するものではない」
調書ノート:「報告書での限定的記載は段落A23・A25に準拠。Type I報告書には、この限定を利用者監査人が理解できるよう明記することが実務慣行。利用者監査人がType IIと誤解しないよう、対象が日付時点であることを冒頭で明示。」
Type I報告書は「ある時点の統制設計と実装の確認」にすぎない。期間中の運用テストではない。利用者監査人がこの報告書を受け取った場合の判断はこうなる。「この日付時点では設計と実装が確認できたが、年間の統制有効性については別途テストが必要」。
---
What reviewers and practitioners get wrong
Type I報告書を「期間の運用有効性」を示すものとして扱う。 これが利用者監査人サイドで最も多い誤読だ。Type Iは「ある時点」の報告書。年間を通じた運用有効性は範囲外。CPAAOBや海外規制当局の検査でも、Type I報告書を根拠に運用有効性に依拠した結論を出した調書が指摘されている。段落A25で「Type I報告書の証拠能力は限定的」と明示しているのは、この誤読を防ぐため。年間の依拠を得たいなら、Type II報告書を要求する。
設計評価のみで実装確認を省く。 Type Iは「設計と実装」の両方を扱う報告書である。設計だけ確認して実装を見ない調書は、Type I未満。段落A7では「Type I報告書は設計と実装について意見を述べるもの」と明記している。実装確認なしでType I報告書を発行すれば、それはType I未満の報告書。審査担当社員から「これはType Iの要件を満たしているのか」という質問が必ず入る。これは審査で最も指摘されやすい項目の一つ。
---
Type I report vs. Type II report
| 側面 | Type I | Type II |
|---|---|---|
| 対象範囲 | 特定の日付時点の設計と実装 | 一定期間の設計、実装、運用有効性 |
| 対象期間 | 1日(時点) | 通常6ヶ月以上、12ヶ月が標準 |
| 運用テスト | 実施しない(実装確認のみ) | 期間全体にわたる運用テストが必須 |
| 報告書の信頼性 | 対象日時点に限定 | 対象期間中の運用有効性まで証明 |
| 利用者監査人の依拠度 | リスク評価で限定的に加味 | 統制依拠の調書設計が可能 |
| コスト | Type IIより低い | より高い |
---
エンゲージメントで分岐点になる場面
利用者監査人が受託会社から報告書を受け取る場面で決定的になる。給与計算代行業者からType I報告書が届いた場合、監査人は「この時点での設計と実装は確認できた」と読む。年間全体の給与計算正確性を判断するには、複数時点のType I報告書を集めるか、Type II報告書(期間カバー)を要求するかを検討する。Type II報告書があれば「受託会社の統制は期間中に有効」と結論でき、給与計算トランザクションへの監査手続を縮小できる場合がある。Type Iしかなく、対象が決算日だけに限定されていれば、監査人は「対象日以外の期間は統制の信頼性が不明」として追加テストを計画する。
---
関連用語のインラインリンク
本エントリを執筆する際、「Type II Report」「ISAE 3402」「Management assertion」「Control environment」「User auditor」への自然なリンクを本文内に挿入してください。特に「ISAE 3402段落A23が分けた2つの世界」セクションで受託会社と利用者監査人の関係に言及する際、「User auditor」へのリンクが有効です。また「段落A25」で「限定的な証拠」に言及する際、「Type II Report」との対比リンクを入れることで、読者の理解が深まります。
---