Definition

Type Iは「設計」を、Type IIは「運用有効性」を報告する。監査人が要求するのはほぼ常にType IIである。

主要ポイント

Type Iは「設計」を、Type IIは「運用有効性」を報告する。監査人が要求するのはほぼ常にType IIである。
Type IIはサービス提供者の監査人による同意をユーザー企業の監査人に提供し、対象となるアサーション全体について信頼を構築する。
コントロール例外(テスト対象期間中の逸脱)がType IIレポートに記載されると、ユーザー企業の監査人はその影響を詳しく検討する必要が生じる。
ISAE 3402.39に基づき、Type IIレポートの対象期間が被監査会社の報告期間と合致しない場合(例:報告書が9月末までで決算が12月末)、ユーザー企業の監査人はギャップ期間のコントロール有効性について追加手続を実施しなければならない。

仕組み

ISAE 3402はコントロール報告書を段階的に定めている。Type Iレポートはサービス提供者のコントロール環境がある特定日時点で設計されているかを確認するものにすぎない。ISAE 3402.38は「Type Iレポートは、述べられた日付におけるサービス提供者のシステムの設計の適切性に関する意見を含む」と述べている。設計の適切性とは、理論上、コントロールがそれぞれのリスクに対応しているかどうかのことである。しかし設計を確認するだけでは、実際にそのコントロールが運用されているか、運用されている場合にどの程度有効に運用されているかは分からない。
Type IIレポートはこれを一歩進める。ISAE 3402.39に基づき、サービス提供者の監査人は最低6か月の期間にわたり、コントロールが実際に運用されたこと、そして効果的に運用されたことを検証する。検証は信頼できる文書化と再テストを通じて行われる。期間中に逸脱が生じた場合、その逸脱はレポートに記載され、重要度と頻度が説明される。
Type IIレポートは通常、それを受け取るユーザー企業の監査人に対し、当該サービス提供者の監査人の同意も含まれる。ISAE 3402.45に基づき、この同意はユーザー企業の監査人がレポートに依拠することの道を開く。ユーザー企業の監査人がType Iレポートのみを受け取った場合、依拠することはできない。サービス提供者のコントロールが実際に機能しているかどうかの検証がないためである。

実施例: 日本の給与計算サービス提供者

被監査会社: 佐藤電子工業株式会社、東京都渋谷区、売上45億円、従業員480名、給与計算業務全体を給与計算ASPに委託している。
状況: 佐藤電子工業の監査人は、給与計算システムのコントロール環境について理解する必要があった。当該ASP事業者から両タイプのレポートが存在していた。
Step 1:Type Iレポートの受領と評価
ASP事業者の監査人が発行したType Iレポートでは、2024年3月31日時点におけるコントロール環境の設計の適切性について意見が述べられていた。給与計算データの入力検証、賃金計算の二重確認、未払賃金控除チェックなど、理論上のコントロール設計は適切に見えた。
文書化:監査プログラムに「ASP提供者のコントロール環境を概観。Type Iレポートの意見は設計の適切性に限定されることを確認。運用有効性の検証はType IIレポートで確認予定」と記載。
Step 2:Type IIレポートの要求と受領
しかし佐藤電子工業の監査人は、これだけでは十分でないと判断した。給与計算は高リスク領域である。コントロール設計だけでは足りず、それが実際に運用されているか、どの程度有効に機能しているかを検証する必要があった。ASP事業者の監査人に対してType IIレポートを要求した。
Type IIレポートでは、2023年10月1日から2024年9月30日までの12か月間、コントロールがどう運用されたかが記載されていた。
文書化:監査調書に「Type IIレポートの受領を確認。期間は12か月。対象とするリスクと各コントロールの対応関係を整理」と記載。
Step 3:例外(逸脱)の確認と影響評価
Type IIレポートを精読すると、賃金計算の二重確認プロセスで3件の逸脱が記載されていた。2024年4月と7月、8月に、確認者が確認手続を実施せず、責任者の指示で直接支給処理に回された件数である。各件数は給与総額のわずか0.8%相当だったが、逸脱があったことは事実である。
佐藤電子工業の監査人は、以下を検討した: (1) 逸脱の性質(確認手続の省略)、(2) 金額的重要性(いずれも単発、各月の給与総額の1%未満)、(3) 原因(人員欠勤による業務量増加)、(4) ASP事業者による対応策(追加の研修と手続の見直し)。その結果、逸脱は監査意見に直結する影響はないと判断したが、給与計算の内部統制に対する全体的な評価は「有効であるが改善可能性あり」に留めた。
文書化:「逸脱の詳細はType IIレポートX頁に記載。金額:各件0.8%未満。原因は人員変動。ASP事業者による対応方針を確認し、妥当と判断。監査意見には影響なし」と調書に記載。
結論: Type IIレポートがなければ、佐藤電子工業の監査人はこの逸脱を全く認識せずにいた。Type Iレポートだけの依拠では、設計上のコントロールが存在することしか分からず、実際に運用されているか、どの程度有効かは不明だったはずである。

レビュアーが見落とすこと

  • FRCおよび国際監査基準の実務解釈では、Type IIレポートの「同意」文が不十分な場合が指摘されている。 同意文が限定的(「以下のコントロールについてのみ」等)であった場合、ユーザー企業の監査人は全体的な依拠を主張できない。Type IIレポートを受け取っても、同意の範囲を明示的に確認し、調書に記載する実務が散見される。ISAE 3402.45を参照。
  • 実装上の誤り:Type Iレポートから全体的に依拠する。 Type IレポートはISAE 3402.38で「設計の適切性」の意見に限定される。これだけでは、ユーザー企業の監査人がISA 402.8に基づいて形成する「充分かつ適切な監査証拠」には該当しない。Type IIレポートなしでType Iレポートから全体的に依拠する調書が、金融庁の内部統制監査のレビューで問題とされている。
  • 逸脱記載の見落とし。 Type IIレポートに逸脱が記載されている場合、その逸脱がユーザー企業の監査人の手続に与える影響を調書で明示していない事例が多い。逸脱があっても重要性が低い場合もあるが、その判断過程を文書化する必要がある。

Type Iレポート vs Type IIレポート(対比表)

| 観点 | Type Iレポート | Type IIレポート |
|---|---|---|
| 報告時点 | ある特定日時点(例:3月31日) | 一定期間(最低6か月) |
| 対象 | コントロールの設計の適切性 | 設計の適切性と運用有効性 |
| サービス提供者の監査人による検証 | 設計のみ。運用は対象外。 | 期間中の運用と有効性を検証。テスト、再テスト。 |
| 逸脱の記載 | なし(設計なので逸脱がない) | あり。期間中に生じた逸脱(例外)を記載。 |
| ユーザー企業の監査人による依拠 | ISA 402に基づく充分かつ適切な証拠として不十分。 | ISA 402.8の要件を満たす。監査人の同意がある場合、依拠可能。 |
| 査察での質問 | 「なぜType Iだけで十分と判断したか」と指摘される場合がある。 | Type IIレポートを受け取っている場合、依拠の根拠として認められやすい。 |

区別が実務で重要な理由

ISAE 3402.8で明示されている。サービス提供者のコントロールが被監査会社の財務報告に有効に含まれている場合、ユーザー企業の監査人(被監査会社の監査人)は「ISAE 3402に準拠して実施されたType IIレポートについて、提供者の監査人の同意を受け取ることを目的とすべき」と述べられている。Type Iレポートはこの要件を満たさない。
もし被監査会社の監査人がType Iレポートのみ受け取った場合、そのコントロールに依拠する根拠を形成するには、自ら監査人が追加手続(サービス提供者のコントロール運用状況の直接テスト等)を実施する必要がある。これは多くの場合、コスト増につながり、サービス提供者に対して独自のテストを要求する実務につながる。
Type IIレポートがあれば、サービス提供者の監査人の検証と同意を利用でき、ユーザー企業の監査人は本来、集中すべき領域に資源を配分できる。

関連用語

---

実務に役立つ監査の知見を毎週お届けします。

試験対策ではありません。監査を効率化する実践的な内容です。

290以上のガイドを公開20の無料ツール現役の監査人が構築

スパムはありません。私たちは監査人であり、マーケターではありません。