Definition
3月決算の上場会社、監査チームに経理から「受託会社からType II報告書をもらったので統制依拠で行きたい」と提案が入る。報告書を確認すると対象期間は2024年4月1日から9月30日の6ヶ月間。当期は4月から3月の12ヶ月。半年分のType IIで、年間の統制依拠を結論づけられるか。CPAAOBの令和6年度モニタリングレポートでも、サービス組織報告書の対象期間と監査対象期間のギャップが論点として挙がった。
ISAE 3402.A23が定めた期間統制の証明方法
ISAE 3402は2つのレポートタイプを定めている。タイプIレポート(Type I Report)は特定時点における統制の設計と実装を報告する。タイプIIレポートは期間全体で統制の設計と運用有効性を検証する。ISAE 3402.A23では、Type IIレポートが対象期間中に統制がどの程度有効に機能したかを検証するよう定めている。
対象期間の長さが論点になる。実務では12ヶ月が標準的だが、6ヶ月のType IIレポートも珍しくない。経験上、6ヶ月の報告書は「短期実績」として扱う。利用者企業が年間通じた依拠を主張しても、対象外の6ヶ月分は別途検討が必要。監査基準報告書(監基報)402は、利用者監査人が受託会社報告書の対象期間と監査期間のギャップを評価するよう求めている。
監査人は十分な運用テストを実施して、統制の一貫性を証明する。ISAE 3402.A53は、運用テストの対象選択および検証方法について監査人の専門的判断を求めている。サンプル数、抽出方法、例外発生時の対応。これらが調書で説明できないと審査で引っかかる。
実践的な事例:ドイツの給与計算受託会社
クライアント: Lohnwesen Consulting GmbH、所在地:ライプツィヒ、従業員数:45名。給与計算受託会社として北欧および中東欧の企業100社以上にサービス提供。FY2023年度レポート対象期間:2023年1月1日から2023年12月31日。
ステップ1:対象期間の設定と文書化 対象期間を12ヶ月間に設定し、当初の適格性評価(competence assessment)を実施。監査人は給与計算アウトソーシングの標準的なリスクファクター(アクセス制御、データセキュリティ、計算精度、月次納期遵守)を識別。調書に「統制環境評価:給与計算の4大リスク領域を確認。各領域に対応統制が存在することを検証」と記載。
ステップ2:統制運用テストの対象と標本抽出 月次の給与処理500件のうち、監査人が抽出した60件(12%)に対して以下をテスト。 - 承認前チェックリストの完成度:60件中59件で承認者署名あり、1件で承認漏れ(異常値のため当初設計の有効性に疑義なし) - 銀行振込前のダブルチェック:60件全て実施確認 - 月次監査証跡ログの保存:60件分のログが保存期間内(最低1年)に保管されていることを確認
各テストについて文書化:「当月の給与処理から無作為に5件選定、承認チェックリスト・ダブルチェック・ログ保存の3要素を確認。3要素が機能していることを以下の添付書類で証拠づけ」。
ステップ3:統制設計と運用有効性の総合評価 計画段階での設計評価と、12ヶ月間の運用テスト結果を統合。「統制は設計どおりに機能し、重大な逸脱はない。1件の承認漏れは月次体制の過剰負荷時(10月)に発生したが、翌月以降は再発していない」と記載。
結論: このレポートはType IIであり、対象期間全体での統制運用実績に基づいている。利用者企業は、年度を通じた統制への信頼をこのレポートに置くことができる。ただし対象期間と利用者企業の決算期間が一致していることが前提。ずれている場合は、ギャップ期間の追加手続が必要になる。
監査人と利用者企業がよく誤解する点
- 運用テストの過度な一般化: 月次60件の給与処理をテストした場合、「給与計算統制は有効」と結論づけてはならない。「テスト対象月における統制の設計と実装、および当該期間の抽出標本における運用有効性は確認された」と限定的に述べる。CPAAOBが2023年度モニタリング報告書で指摘したのは、このような結論の過度な拡張。現場の感覚で言うと、「全部いけてます、と書きたくなる気持ちはわかるけど、テストしたのは抽出した分だけ」ということ。 - 文書化不足による依拠度低下: ISAE 3402.A73は、統制運用テストの証拠として監査人が「十分かつ適切な監査証拠」を入手することを求めている。「統制は機能していた」だけの調書では足りない。何をテストしたか、何件テストしたか、結果はどうだったか、異常があったら何を示唆するか。これら全てを文書化すること。 - 対象期間のギャップを見落とす: 6ヶ月のType IIレポートでは、対象外の期間が必ず残る。利用者企業が「年間通じて依拠する」と主張しても、対象期間が6ヶ月であれば残り6ヶ月は別途手続が必要。監基報402はこのギャップ評価を求めている。
タイプIレポート vs タイプIIレポート
| 項目 | タイプI | タイプII |
|---|---|---|
| 対象時点 | 特定の1時点(例:決算日) | 期間全体(通常12ヶ月以上) |
| 統制検証の範囲 | 設計と実装の確認 | 設計、実装、および運用有効性 |
| 必要な運用テスト | 不要 | 必須。複数期間・複数件数のテスト |
| レポート利用者の依拠度 | 中程度。内部統制の存在のみ確認 | 高度。期間中の統制運用実績を確認 |
| 利用者企業の年間依拠構築 | 不十分。複数の時点報告が必要 | 十分。1年分の実績カバー |
タイプIIレポートが要求される理由は、統制が「在る」だけでなく、「機能する」ことの証拠が必要だから。利用者企業は受託会社の統制に依拠して財務報告判断を行うため、統制が年間通じて動作したことを監査人が検証する必要がある。
検査指摘の傾向
Tier 1(規制当局の具体的指摘): PCAOB(米国公開会社会計監視委員会)は2022年度ユーロゾーン地域監査法人監査検査報告書で、ISAE 3402(特にタイプIIレポート)に関連して「統制運用テストの対象・方法・結論に関する文書化の不十分」を重点指摘項目として掲げた。不適切な事例として「監査人が統制の有効性について『十分である』としか述べず、テスト対象月数、標本数、異常値の有無を記載していない調書」が多く見られることを指摘。CPAAOB: 「審査担当社員が監査チームとの討議や関連する監査調書に基づいた検討を十分に行うことなく」。現場の感覚で言うと、審査の先生が調書をざっと見て「OKです」で流れていた、ということ。
Tier 2(標準ルール違反の実践的誤り): ISAE 3402.A53は監査人に対し「運用有効性の判定基準を事前に設定し、テスト過程で当該基準に照らして逸脱を評価すること」を求めている。実務では「承認チェックリストのサイン漏れ1件が発生したが、重大性がない」と記載するだけで、その判定基準(なぜ1件が許容範囲か)を説明していない事例が散見される。
Tier 3(実務の文書化ギャップ): タイプIIレポート監査の計画段階で「運用テストの方針」を独立した調書に落とし込む慣行が定着していない。多くの場合、統制テスト調書そのものにテスト方針が埋もれており、監査責任者や品管・審査担当者が年間通じた検証戦略を把握しづらい状態になっている。
関連する用語
- タイプIレポート: 特定時点での統制設計と実装を報告する形式。タイプIIより限定的。 - ISAE 3402: 受託会社の内部統制に関する国際保証基準。タイプI・IIの定義の根拠。 - 内部統制の有効性: 統制がどの程度実際に機能しているかの評価。タイプIIレポートの焦点。 - 監査証拠: タイプIIレポート監査に必要な十分かつ適切な根拠。文書化の質を左右する。 - 標本抽出: タイプIIレポートの運用テストで使用される手法。統計的または非統計的。 - 受託会社監査: ISAE 3402レポート監査全般を指す概念。
関連ツール
タイプIIレポート監査調書テンプレート(ISAE 3402準拠版)は、統制運用テストの計画から実施、結論まで、段階的に文書化できるExcelテンプレート。統制リスク評価、テスト対象選定、異常値判定基準の事前設定、月次テスト実施記録、最終意見の形成まで網羅。
---