重要なポイント

  • ユーザー企業の監査人は、被監査会社が使用するサービス提供者の統制を直接監査することはできません
  • ISAE 3402タイプII報告書は、一定期間にわたるサービス提供者統制の有効性について監査証拠を提供します
  • ユーザー企業の監査人は、受け取った報告書の信頼性を評価し、被監査会社の財務報告に関連する統制リスクを判断します
  • サービス提供者統制の欠陥は、ユーザー企業の監査範囲にギャップを生じさせる可能性があります

仕組み

ISAE 3402.A1は、サービス提供者(service organization)が提供する処理やシステムについて定義しています。ユーザー企業とは、こうしたサービス提供者のサービスを利用する企業のことです。典型的な例として、給与計算会社、クラウド会計システムプロバイダ、資産管理サービス企業が挙げられます。
ユーザー企業の監査人は、ISAE 3402に基づく報告書を入手することで、直接監査が困難なサービス提供者統制について、第三者監査人の意見を活用できます。重要な点は、ISAE 3402.18が「ユーザー企業の監査人は、サービス提供者に関連する内部統制の理解を得るために十分な監査証拠を取得しなければならない」と明記していることです。報告書の受け取りだけでは足りず、その信頼性を評価し、自社の監査計画に反映させる必要があります。
タイプI報告書は、基準日時点のサービス提供者統制の設計適切性を報告します。タイプII報告書は、一定期間(通常6カ月以上12カ月以下)にわたる統制の有効性を報告するため、ユーザー企業の監査人にはより高い保証価値があります。ただし、報告書の発行日から監査基準日までの期間が長い場合、その間の統制リスクをユーザー企業の監査人が追加的に検討する必要があります。

事例:フジシステムズ株式会社

被監査会社: フジシステムズ株式会社(東京都渋谷区、売上32億円、IFRS報告者)
売上債権の大部分が、クラウド型の請求・収金システム「BillCloud」を通じて処理されています。同社は全売上の約85%をBillCloudで管理しており、システム提供者はスウェーデンのクラウド企業です。
ステップ1:サービス提供者統制の識別
ISAE 3402に基づくタイプII報告書を入手しました。クラウドシステム提供者の監査人が、6カ月間にわたる統制テストを実施した結果です。
文書化ノート:監査調書に、サービス提供者名、報告書の種類(タイプII)、報告期間(2024年1月~2024年6月)、監査人名を記載
ステップ2:報告書の信頼性評価
報告書発行日は2024年7月。当社の監査基準日は2024年9月末です。2カ月間のギャップがあります。ISAE 3402.A17によれば、この期間のサービス提供者統制リスクをユーザー企業の監査人が追加的に検討する必要があります。同社の経理責任者に対し、この2カ月間に統制の変更がなかったこと、重大なシステム障害がなかったことを確認するヒアリングを実施しました。
文書化ノート:ヒアリング記録を監査調書に添付。質問事項は「7月から9月までの間、システムが停止したことはないか」「統制の仕様に変更があったか」「重大なエラーが検出されたか」の3点
ステップ3:売上計上プロセスへの適用
BillCloudの統制が有効であるという報告書の意見を受けて、当社の売上計上テストの範囲を決定しました。ISAE 3402タイプII報告書により、請求書の生成、請求日の記録、顧客への送付のプロセスが有効に機能していることが保証されています。ただし、フジシステムズ側で実施すべき統制(例えば、請求内容と売上実績の照合)については、依然として当社がテストする必要があります。
文書化ノート:監査調書のマトリクスに、「BillCloud統制(有効)」と「フジシステムズ内部統制(テスト対象)」の区分けを明記。売上98件をサンプリングし、請求金額の妥当性を検証
結論: タイプII報告書により、売上計上の大部分のプロセスリスクが低減されたため、詳細テスト範囲を売上の10%のサンプリングに限定できました。報告書がなければ、母集団全体に対して統計的サンプリング(約15%)が必要となり、監査効率が大きく低下していました。

レビュアーと実務家の誤解

  • 誤解1: ISAE 3402報告書を受け取れば、サービス提供者統制について監査証拠を取得したと考える
  • 実際には、ISA 500が要求する「十分で適切な監査証拠」の評価は、ユーザー企業の監査人が実施しなければなりません。報告書の信頼性(発行人の独立性、監査範囲の適切性、期間のギャップ)を自ら判断することが必須です。国際的な監査実務では、タイプII報告書を鵜呑みにして、追加的な検証を省く事例が頻繁に指摘されています。
  • 誤解2: タイプI報告書とタイプII報告書の保証価値が同等だと認識している
  • ISAE 3402.A7は、タイプI報告書は「基準日の時点での」設計適切性のみを報告すると明記しています。タイプII報告書は「一定期間にわたる」有効性を報告するため、ユーザー企業の監査人にとってはより価値があります。ただし、報告期間とユーザー企業の監査基準日のズレが生じやすく、このギャップへの対応が実務上の盲点になりやすいポイントです。
  • 誤解3: サービス提供者統制の欠陥が報告されていない場合、ユーザー企業側で追加的なテストは不要だと考える
  • ISAE 3402の報告書は、監査人の検討範囲内の統制のみを記載します。ユーザー企業固有のリスク(例えば、クラウドシステムの設定ミス、本社側の承認プロセスの不備)は、ユーザー企業の監査人が直接評価する必要があります。

関連する概念

---

  • サービス提供者統制(Service Organization Control): ISAE 3402報告書の対象となるプロセスレベルの統制。ユーザー企業の監査人は、これらの統制がユーザー企業のアサーションレベルのリスクをどの程度低減しているかを評価する必要があります。
  • タイプII報告書: 一定期間にわたるサービス提供者統制の有効性を報告する形式。ISAE 3402.A4によれば、報告期間は最短で6カ月です。
  • 内部統制環境(Control Environment): ISAE 3402.15は、サービス提供者の統制環境がユーザー企業のリスク評価に与える影響を述べています。プロセスレベルの統制の有効性を判断する前提となる要素です。
  • 内部統制の評価(Assessment of Internal Control): ISA 315と組み合わせて、ユーザー企業の監査人はサービス提供者統制をリスク評価プロセスに組み込みます。

実務に役立つ監査の知見を毎週お届けします。

試験対策ではありません。監査を効率化する実践的な内容です。

290以上のガイドを公開20の無料ツール現役の監査人が構築

スパムはありません。私たちは監査人であり、マーケターではありません。