Definition
正直、入所して数年、ISAE 3402のタイプII報告書を受け取った時点で「サービス提供者統制についての監査証拠は揃った」と扱っていたんです。報告書の発行人を確認し、報告期間を調書に転記し、サインオフ。それで終わり。本音を言うと、自分の事務所だけの話ではないはず。報告書がない領域を直接テストする手段は事実上ないので、報告書が手元に届いた瞬間に「もうこれ以上は無理」という空気が現場に流れる。ところが、ISAE 3402.18が要求しているのは報告書の受領ではなく、サービス提供者に関連する内部統制の理解を得るために十分な監査証拠を取得すること。受領と理解は違うんですよね。
重要なポイント
- ISAE 3402.18は、ユーザー企業の監査人に対し、サービス提供者統制の理解について十分な監査証拠の取得を求めている。報告書の受領そのものは証拠の取得ではない。 - タイプII報告書は一定期間(通常6カ月から12カ月)にわたる運用評価を含むため、設計適切性のみを扱うタイプI報告書よりも保証価値が高い(ISAE 3402.A4、A7)。 - 報告期間末日と被監査会社の決算日との間にギャップがある場合、その期間の統制リスクはユーザー企業の監査人が独自に検討する必要がある(ISAE 3402.A17)。 - サービス提供者統制とユーザー企業内部統制は別物。報告書がカバーするのは前者のみで、後者は依然としてユーザー企業の監査人がテストする領域。
仕組み
経験上、現場で起きることはほぼいつも同じ。タイプII報告書が届く、チームはそれを「結論的証拠」として扱う、自社のスコーピングはスキップされる、調書には報告書の表紙と意見書だけがファイルされる。これがユーザー企業監査における最大の実態的リスクだと思っているんです。
ISAE 3402.18が定めているのは異なる順序。まずサービス提供者の利用範囲を被監査会社のアサーションレベルで識別し、次に入手した報告書の信頼性を評価し、最後に残存リスクと自社統制テスト範囲を決める。報告書はインプットの一つで、結論ではない。
報告書の信頼性評価には灰色領域がある。発行人の独立性と適格性、報告書の意見の種類(無限定か除外事項付きか)、報告期間とユーザー企業の監査基準日のズレ、サブサービス機関がカーブアウトかインクルーシブか。このうちズレへの対応が、品管レビューで最も指摘を受けやすい論点です。ISAE 3402.A17は、ギャップが生じる場合に追加手続が必要だとは言っているが、何カ月のギャップで何をすべきかまでは書いていない。判断の余地がある分、調書に判断根拠を残さないと審査で詰められる。
ところがタイプIとタイプIIの違いが現場で混同されることが少なくない。ISAE 3402.A7が明確にしているのは、タイプIは基準日時点の設計のみ、タイプIIは期間にわたる運用有効性。設計だけが報告されている統制を「有効に機能している」と扱った調書は、JICPAの品質管理レビューで繰り返し指摘されている類型。
事例:フジシステムズ株式会社
被監査会社: フジシステムズ株式会社(東京都渋谷区、売上32億円、IFRS報告者、3月決算)
売上債権の85%が、スウェーデン本社のクラウド型請求・収金システム「BillCloud」を経由して処理される。BillCloudの提供者は外部監査人によるISAE 3402タイプII報告書を毎年発行している。
ステップ1:サービス提供者統制の識別とスコーピング
被監査会社のアサーションレベル(売上の発生、網羅性、正確性、期間帰属)について、BillCloudが担う統制と、フジシステムズが内部で担う統制を切り分ける。ここを最初にやらないと、報告書の意見が適用される範囲を誤読することになる。
文書化ノート:マトリクスに、アサーション × 統制(BillCloud側/フジシステムズ側)の対応関係を記載。BillCloud側の統制9件、フジシステムズ側の統制4件
ステップ2:報告書の信頼性評価
入手したタイプII報告書を読み込んだところ、複雑なところが2点あった。
第一に、報告期間が2024年1月1日から2024年6月30日。フジシステムズの監査基準日は2025年3月31日。期間末日から監査基準日まで9カ月のギャップ。
第二に、報告書には除外事項があった。「請求金額計算の自動チェック」という統制カテゴリについて、報告期間の最後の1カ月(2024年6月)について有効性が認められなかったという記載。理由は、システム更新時の設定変更により、一部の取引種類で自動チェックが無効化されていたため。
この2点を、当初のスコーピング前提に戻して再評価する必要があった。
文書化ノート:報告書の表紙、意見書、除外事項の該当ページを調書に添付。除外事項の影響を受けるアサーション(売上の正確性)を識別
ステップ3:ギャップと除外事項への対応
9カ月のギャップについて、サービス提供者の経理担当者に対し、2024年7月から2025年3月までの間にBillCloudの統制設計に変更がなかったか、重大なシステム障害がなかったか、設定変更の事実があったかをヒアリングした。本音を言うと、ヒアリングだけで9カ月をカバーするのは弱い。そこで、フジシステムズ側の月次の請求金額照合(請求総額と売上計上総額の突合)の調書をフジシステムズから入手し、9カ月分すべてレビューした。差異は0.3%以内、説明可能。
除外事項への対応はもっと厳しかった。報告期間最後の1カ月(2024年6月)に自動チェックが無効化されていたということは、その期間の請求データが計算誤りを含む可能性がある。被監査会社のアサーション(正確性)に直接影響する。フジシステムズの2024年6月分の売上について、サンプル件数を通常の3倍に拡大し、請求金額を契約書と取引データから再計算した。差異なし。
文書化ノート:除外事項の影響評価ペーパー、再計算サンプル35件のテスト結果、月次照合レビューの結果を調書化
ステップ4:自社統制テストへの反映
BillCloudの統制が(除外事項を除き)有効と評価できたため、フジシステムズ側の売上計上テストの範囲を縮小した。請求書の生成・送付・記録のプロセスはBillCloud側でカバーされる前提で、フジシステムズが担う統制(契約書ベースの請求内容の妥当性確認、入金消込の承認)に絞ってテストを実施。
結論: タイプII報告書により、売上計上プロセスの大部分は実証手続のサンプル数を縮小できた。除外事項とギャップへの追加手続のコストを差し引いても、報告書がない場合の母集団全体に対する統計的サンプリングと比べて約40%の効率化。報告書を「有効」と読むだけでなく、除外事項とギャップを真面目に詰めた分、調書の説得力も高い。
レビュアーと実務家の誤解
- 誤解1: タイプII報告書を入手したことが、ISA 500の「十分かつ適切な監査証拠」の取得そのものだと考える - 報告書はインプット。証拠としての十分性・適切性の評価は、ユーザー企業の監査人の責任であり続ける。報告書の発行人の独立性、報告期間、意見の種類、除外事項、サブサービス機関の扱い。これらを自分で読んで判断していない調書は、品管レビューで止まる。CPAAOBの検査でも頻繁に指摘される論点。
- 誤解2: 報告期間末日と監査基準日のギャップへの対応について、業界に統一見解があると考える - ここは正直、パートナー間でも見解が分かれる。Aパートナーは「2カ月程度のギャップなら、サービス提供者へのヒアリングで足りる。なぜなら統制設計の変更がほぼ起こらない期間だから」と判断する。Bパートナーは「2カ月でもブリッジレターを入手すべきだ。なぜならヒアリングは口頭証拠で、書面の保証とは強度が違うから」と判断する。どちらも合理的。事務所内のファーム指針が決めている部分が大きいので、判断根拠を調書に残すことが審査で生き残る条件になる。
- 誤解3: 報告書に除外事項がなければ、サービス提供者統制についてユーザー企業側で追加検討すべきことはないと考える - そうではない。報告書がカバーするのは、サービス提供者の監査人がスコープに入れた統制のみ。ユーザー企業固有のリスク(クラウドシステム上の設定パラメータの妥当性、本社側の承認権限の運用、データインテグレーションのエラー)は依然としてユーザー企業の監査人の領域。なぜユーザー企業がここを忘れがちかというと、結局のところ、サービス提供者統制を直接テストする手段がない以上、第三者の報告書だけが「届くもの」になる。届くものを過大評価する構造的バイアス。
関連する概念
- サービス提供者統制(Service Organization Control): ISAE 3402報告書の対象となるプロセスレベルの統制。アサーションレベルのリスクをどの程度低減するかの評価は、ユーザー企業の監査人側に残る。
- タイプII報告書: 一定期間にわたる運用有効性を報告する形式。報告期間は最短で6カ月(ISAE 3402.A4)。設計のみを扱うタイプI(ISAE 3402.A7)とは保証価値が異なる。
- 内部統制環境(Control Environment): ISAE 3402.15は、サービス提供者の統制環境がユーザー企業のリスク評価に与える影響を述べている。プロセスレベル統制の前提となる要素。
- 内部統制の評価(Assessment of Internal Control): ISA 315と組み合わせて、サービス提供者統制をリスク評価プロセスに統合する。
---