重要なポイント

  • タイプII報告書は統制のデザインの適切性と運用の有効性の両方を対象とする
  • 報告書の対象期間が事業年度全体をカバーしない場合、ギャップ期間の追加手続が必要( (b))
  • 例外事項の評価は個別の統制目的と監査主張に関連づけて行う

仕組み

ISAE 3402.13はサービス監査人にタイプII業務において2つの目的を達成するよう求めている。第一に統制目的に関連する内部統制のデザインの適切性に関する意見の表明、第二に当該統制が一定期間にわたり有効に運用されたかどうかに関する意見の表明である。対象期間は通常6か月以上であり、12か月が一般的である。

タイプII報告書は5つの主要セクションで構成される。サービス監査人の意見書、サービス組織の記述書(システムと統制のデザインの説明)、統制目的と関連する統制の記載、テスト手続の記載と結果、及びサービス監査人が識別した例外事項の記載である。ISAE 3402.A30~A34はテスト手続について照会、観察、再実施、検証の各手法を列挙している。

利用者監査人はISA 402に基づきタイプII報告書を利用する。ISA 402.12は、報告書の対象期間が利用者企業の事業年度全体をカバーしているか、例外事項が利用者監査人の監査に影響するか、及び補完的な利用者企業統制が有効かを評価するよう求めている。報告書の対象期間が利用者企業の事業年度全体をカバーしない場合、ISA 402.12(b)はギャップ期間について追加の証拠を入手するよう求めている。

実務例:Fiorini Payroll Services S.r.l.

被監査会社の業務委託先:イタリアの給与計算サービス企業。利用者企業:ベルギーの製造業Vanden Broeck N.V.、2025年度、従業員420名、給与関連費用2,400万EUR。利用者監査人はVanden Broeckの給与費用と関連負債の監査にタイプII報告書を利用する。

ステップ1 — 報告書の入手と対象期間の確認
FioriniのタイプII報告書はPwCが発行し、対象期間は2025年1月1日~2025年9月30日である。Vanden Broeckの事業年度は12月末日であるため、10月~12月の3か月間がギャップ期間となる。ISA 402.12(b)に基づきギャップ期間の対応が必要である。
監査調書への記載:報告書の発行元、発行日、対象期間、及びギャップ期間を記録する。利用者企業の事業年度との対比を明示する。

ステップ2 — 例外事項の評価
報告書には3件の例外事項が記載されていた。(1) 給与計算の承認手続で42件中2件が承認なしに処理された(統制目的:給与計算の権限)、(2) データバックアップで365日中3日間バックアップが失敗した(統制目的:データ完全性)、(3) アクセス権レビューで退職者1名のアクセスが2週間遅れて無効化された(統制目的:論理アクセス)。利用者監査人は各例外事項について、影響する監査主張(正確性、網羅性、実在性)を評価し、補償統制の有無を確認した。承認なしの2件はVanden Broeckの従業員であり、同社の内部承認フローが補償統制として機能していた。
監査調書への記載:各例外事項の内容、影響する統制目的と監査主張、補償統制の評価結果を記録する。例外事項1件で報告書全体への依拠を否定するものではないことを明記する。

ステップ3 — ギャップ期間への対応
10月~12月のギャップ期間について、利用者監査人はISA 402.12(b)に基づき以下の手続を実施した。Fioriniの経営陣に対し、報告書対象期間後の統制変更の有無を照会。12月の給与計算データ20件を抽出し、入力データ(労働時間、基本給)とFioriniの計算結果を突合。差異はゼロであった。
監査調書への記載:ギャップ期間の追加手続の内容、サンプルサイズ、テスト結果を記録する。Fioriniの経営陣からの回答書を保管する。

結論:タイプII報告書の例外事項は補償統制により利用者監査人の監査に重大な影響を及ぼさないと判断された。ギャップ期間については追加手続により統制の継続的な有効性が確認された。

よくある誤解

  • 例外事項があれば報告書に依拠できないという誤解 例外事項の存在は報告書全体の信頼性を否定するものではない。利用者監査人は各例外事項が影響する統制目的と監査主張を評価し、補償統制の有無を確認する。限定的な例外事項であれば依拠は可能である。
  • ギャップ期間への対応を省略する ISA 402.12(b)は報告書の対象期間が事業年度全体をカバーしない場合に追加証拠を求めている。12か月中9か月のみカバーする報告書では、残り3か月の統制の有効性を別途確認する必要がある。この手続の省略は査察で頻繁に指摘される。
  • タイプIとタイプIIの混同 タイプI報告書はある一時点でのデザインの適切性のみを対象とし、運用の有効性はテストしない。利用者監査人が統制への依拠を計画する場合、タイプII報告書が必要である。タイプI報告書で統制依拠の根拠とするのは不十分である。
  • 補完的利用者企業統制の検証漏れ ISAE 3402報告書は多くの場合、特定の補完的利用者企業統制(CUEC)が有効であることを前提としている。利用者監査人がCUECの有効性を検証しなければ、サービス組織の統制のみでは統制目的が達成されない。

関連用語

  • タイプI報告書:一時点でのデザインの適切性のみを対象とする報告書
  • ISAE 3402:サービス組織の内部統制に関する保証業務の国際基準
  • サービス組織:利用者企業に代わってサービスを提供する外部委託先
  • SOC 1報告書:SSAE 18に基づく米国版のサービス組織統制報告書

実務に役立つ監査の知見を毎週お届けします。

試験対策ではありません。監査を効率化する実践的な内容です。

290以上のガイドを公開20の無料ツール現役の監査人が構築

スパムはありません。私たちは監査人であり、マーケターではありません。