重要なポイント

  • タイプI報告書は特定期間のコントロール設計と運用有効性の両方を評価する
  • 最短は1営業日でも可能だが、実務では数週間から数ヶ月の期間評価が多い
  • 検査指摘で最も多いのはテスト対象期間が短すぎる場合(6営業日程度)と、設計評価のみで運用テストを省いた報告書
  • ISAE 3402.A25に基づき、タイプI報告書の証拠能力は本質的に限定的であるため、ユーザー企業の監査人がISA 402.8の「十分かつ適切な監査証拠」要件を満たすには、対象期間外について追加の実証手続を計画する必要がある

仕組み

ISAE 3402 報告書は2つのタイプに分かれる。タイプIは一定期間のコントロール設計と運用有効性の双方を扱う。段落A23では「タイプI報告書は、特定の日付時点、または特定の期間を通じて」という制限を明示している。
サービス提供者(BPO企業、クラウド基盤提供者、給与計算代行業者等)がユーザー企業に対して「わが社のコントロールは機能している」という確証を与える文書。段落A7以降で、監査人がコントロール設計の適切性を評価したうえ、限定的だが実運用のテストも実施した旨を記載する。
運用テストの量はタイプIとタイプIIで異なる。タイプIでは通常、対象期間内の数件から十数件のトランザクションをサンプル選定してテストする。十分な期間にわたるテストではなく、むしろ「この期間内にコントロールが実際に機能した痕跡がある」という証拠を集める。段落A25ではこの違いを「タイプI報告書は、設計と運用の有効性の証拠は限定的である」と述べている。
ユーザー企業の監査人はこの報告書を受け取り、自らのリスク評価に組み込む。しかし報告書の有効性は、評価期間の長さとテスト対象の幅に大きく依存する。1営業日の評価では、たとえ設計が適切でもそれ以降の期間のコントロール有効性は何も保証されない。

Worked example: Berger GmbH(ドイツの給与計算処理センター)

クライアント概要: ドイツ上場企業向けに給与計算・社会保険手続を代行するサービス提供者。2024年1月から6月期間のタイプI報告書を発行。従業員約180名、年間処理給与データ約2,500件。
段階1:評価対象期間と対象コントロールの選定
サービス提供者は「給与計算の正確性」「アクセス制御」「月次決算処理の承認」の3領域を選定。評価期間は2024年1月1日から6月30日(6ヶ月間)。
文書化ノート:タイプI報告書はこの時点で「報告書が対象とする期間:2024年1月1日〜6月30日」と明記することが必須。期間が短すぎると、後続ユーザー企業の監査人から「この期間のテストだけで全年のコントロール有効性は判断できない」という指摘を受ける。
段階2:コントロール設計の適切性評価
監査人は、各コントロール(給与計算システムへのアクセス制限、支払前のマネージャー承認、月次の給与サマリー)が、サービス提供者の経営目標達成のために十分に設計されているか確認。
給与計算システムのアクセス制限をテスト:全従業員がシステムにログインする際、部門別の権限に基づいてモジュールへのアクセスが制限されるか。経営企画部門の従業員が給与額を変更できないか。設計上、この制限は存在する。
文書化ノート:「2024年6月30日時点のシステムコンフィグレーション確認書を入手。給与計算モジュールへのアクセスは職務別権限テーブルに基づく。経営企画部門のユーザーIDは給与額変更権限なし。設計評価完了。」
段階3:運用有効性テスト
タイプIなので、設計の評価だけでなく、実際にこれらのコントロールが動いたか、の証拠を集める。ただし期間全体をテストするのではなく、サンプルを選定。
給与計算システムのアクセスログから、2024年1月から6月の月次給与計算実施日(全6回)を特定。各月のうち1回を抽出し、その日のアクセスログで「誰が、何にアクセスしたか」を確認。
6ヶ月間で6回のテスト実施。結果:全てのインスタンスで、給与額変更操作は経営企画部門ユーザーから発生していない。設計通り機能している。
文書化ノート:「2024年1月、2月、3月、4月、5月、6月の給与計算実施日を確認。各月1営業日を選定(合計6営業日)。該当日付のアクセスログを入手し、給与額変更操作を抽出。対象期間中、経営企画部門からの給与額変更操作はゼロ。テスト結果:有効性確認。」
段階4:報告書の記載
ISAE 3402タイプI報告書として発行。「わが社のコントロール(給与計算正確性、アクセス制限、月次承認)は、2024年1月1日から6月30日の期間において、設計と運用の観点から有効に機能している」と述べる。ただし報告書の末尾には限定的な記載:「本報告書は対象期間中のテスト結果に基づくもの。対象期間外の期間については、コントロール有効性を保証するものではない」
文書化ノート:「報告書での限定的記載は段落A25に準拠。タイプI報告書には、この限定をユーザー企業監査人が理解できるよう明記することが実務的慣行。」
結論: タイプI報告書は「ある期間のコントロール設計と一部の運用テスト」を組み合わせたもの。全期間のテストではないが、選定された期間内での実績に基づいている。ユーザー企業の監査人がこの報告書を受け取った場合、「この6ヶ月間の給与計算は、コントロール根拠で監査リスクを低減できるが、年間全体や期首期末の3ヶ月については別途テストが必要」という判断になる。

What reviewers and practitioners get wrong

タイプI報告書の評価期間が不適切に短い。 国際的な監査実務では、タイプI報告書が1営業日や3営業日だけのテストで発行されるケースが指摘されている。ISAE 3402の文言上は「特定の期間」と述べているため技術的には違反ではないが、ユーザー企業監査人がこの報告書を信頼できるだけの証拠とは見なされにくい。段落A25で「限定的な証拠」と述べているのは、タイプI報告書の証拠能力が本来的に限定的だという意味で、1営業日のテストで十分という意味ではない。実務的には、対象期間が数週間以上あれば複数のサンプル抽出が可能になり、報告書の信頼性が向上する。
タイプI報告書において、設計評価のみで運用テストを省く。 タイプIとタイプIIの主要な違いの一つが「運用テストの有無」。タイプIでもテストは必須。段落A7では「タイプI報告書は設計と運用の有効性について意見を述べるもの」と明記されている。運用テストなしでタイプI報告書を発行すれば、それはタイプI未満の報告書であり、ユーザー企業監査人から「これはタイプIか」という確認を受ける。

Type I Report vs. Type II Report

| 側面 | Type I | Type II |
|------|--------|---------|
| 評価対象 | 設計と運用有効性(限定的テスト) | 設計と運用有効性(テスト) |
| 評価期間 | 通常1営業日〜数ヶ月 | 通常6ヶ月以上 |
| テスト対象トランザクション数 | 数件〜十数件(サンプル) | 期間全体の相当部分をカバー |
| 報告書の信頼性 | 限定的。期間外はカバーしない | 較的高い。期間内のコントロール有効性を較的高い確度で示す |
| 監査人の信頼度 | リスク評価で加味する度合いが低い | リスク評価で大きく加味される |
| コスト | タイプIIより低い | より高い |

When the distinction matters on an engagement

ユーザー企業の監査人がサービス提供者から報告書を受け取る場面で決定的になる。給与計算代行業者からType I報告書が届いた場合、監査人は「この期間のコントロール有効性は限定的に確認できた」と読む。だが年間全体の給与計算正確性を判断するには、期首から期末まで複数のType I報告書を集めるか、Type II報告書(全年度カバー)を要求する必要があるかを検討する。Type II報告書があれば、「サービス提供者のコントロールは年間通じて有効」と結論でき、給与計算トランザクションへの監査手続を減らせる可能性が出てくる。Type Iしかない場合、特に評価期間が2〜3ヶ月に限定されていれば、監査人は「報告期間外の期間はコントロール信頼性が不明」として追加テストを計画する。

関連用語

Type II ReportISAE 3402Management assertionControl environmentUser auditorSOC 2 Report

実務に役立つ監査の知見を毎週お届けします。

試験対策ではありません。監査を効率化する実践的な内容です。

290以上のガイドを公開20の無料ツール現役の監査人が構築

スパムはありません。私たちは監査人であり、マーケターではありません。