目次
1. ISAE 3402報告書の基本構造 2. Type IとType II報告書の評価方法 3. 統制の記載内容と運用テストの評価 4. 実務例:給与計算サービスの報告書レビュー 5. 実務チェックリスト 6. よくある誤り 7. 関連資料
ISAE 3402報告書の基本構造
ISAE 3402.38は、サービス監査人がサービス機関の記載内容、統制目標の達成状況、統制の運用テスト結果を報告するよう求めている。報告書の主要セクションは、経営者の記載書、サービス監査人の意見、統制の記載、テスト結果と例外の4つ。 監基報315.A63は、サービス機関の統制を理解することを監査人の責任と位置づけている。報告書全体を読まないと、どの統制がどの財務諸表項目に関連するのか判断できないんですよ。 報告書の期間も評価軸になる。ISAE 3402.44はType II報告書で最低6か月間の運用テストを求めており、監査対象期間との重複が不十分な場合は追加手続が必要。
Type IとType II報告書の評価方法
Type I報告書は特定時点での統制の整備状況のみ。Type II報告書は期間にわたる統制の運用状況まで含む。監基報402.14はType II報告書を入手できない場合の追加手続を規定している。
Type I報告書の評価要素
統制の記載内容が具体的で実行可能かを確認する。「承認統制」のような抽象的な記載では、実際に何が行われているのか判断できない。ISAE 3402.A94は統制の記載に実行者、頻度、証跡を含めるよう求めている。 統制目標と個別統制のマッピングも見る。1つの統制目標に対し複数の統制が設定されている場合、それぞれの役割を整理して調書に残しておく。Type II報告書の評価要素
運用テストの性質と範囲を評価する。ISAE 3402.A140は統制の頻度に応じたサンプル数の考慮を求めており、日次統制で年間3件のテストでは足りない。 例外の性質と頻度の評価が次の論点。例外が「軽微」と分類されていても、その判断根拠を確認する必要がある。本音を言うと、例外の原因が構造的な問題(人員不足、システム制約)のときは、翌期も同じ指摘が出る確率が高い。統制の記載内容と運用テストの評価
監基報315.16は、統制環境、リスク評価プロセス、情報システム、統制活動、モニタリングの5つの構成要素を定めている。ISAE 3402報告書でも同様の構造で統制が整理される。
統制記載の評価ポイント
実行頻度が明記されているかを最初に見る。「定期的に」「適切に」のような表現では統制の信頼性を判断できない。 例外処理の方法が記載されているか。システム統制でダウンタイムが発生した場合の代替統制があるかを確認しておく。 権限分離が設計されているか。同一人物が取引の承認と記録を両方行える設計では、統制としての有効性は限定的になる。運用テストの評価ポイント
テスト項目の選定根拠を確認する。リスクの高い期間や取引タイプを意図的に選んでいる場合、バイアスが生じる可能性がある。 テスト手続が統制の性質と整合しているか。承認統制のテストで署名の存在のみを確認し、承認者の権限を検証していない場合は不十分。 再実行テストの結果が記載されているかもチェックする。証跡の査閲だけでなく、統制を実際に再実行したテストの方が証拠力は高い。経験上、ここの記載が薄いType II報告書は、依拠の前提で再考する価値がある。実務例:給与計算サービスの報告書レビュー
> 設例企業: 田中製作所株式会社(製造業、従業員300名、年商45億円)は、クラウド型給与計算システム「ペイロール・ソリューションズ株式会社」を利用している。同社のISAE 3402 Type II報告書(2023年4月〜2024年3月)をレビューする。 > > Step 1: 報告書の対象範囲を確認する。給与計算、賞与計算、年末調整、社会保険手続が含まれる。退職金計算はカーブアウト(対象外)となっている。 > > 文書化:「給与関連統制は報告書でカバー。退職金は別途直接テスト必要」 > > Step 2: 統制目標を財務諸表項目にマッピングする。「給与データの正確性」は人件費の実在性と正確性に関連。「給与台帳へのアクセス制限」は人件費の網羅性に関連。 > > 文書化:「統制目標1-3は人件費に直接影響。統制目標4-5は未払費用に影響」 > > Step 3: 例外を評価する。月次給与計算での承認統制で3件の例外(承認の遅延)が発見された。いずれも金額への影響はなく、翌営業日に承認が完了している。 > > 文書化:「例外3件、金額影響なし。統制の実質的有効性に問題なしと判断」 > > Step 4: 依拠の程度を決定する。給与計算統制への依拠を「高」とし、実証手続(分析的手続と詳細テスト)の範囲を通常レベルに設定する。 > > 文書化:「ISAE 3402報告書に依拠し実証手続を通常レベルで実施」
実務チェックリスト
1. 報告書の対象範囲と監査対象期間の重複を確認する。重複期間が6か月未満なら、監基報402.16に基づく追加手続を検討。 2. 統制目標と財務諸表項目のマッピングを調書化する。各統制目標がどの監査アサーションに関連するのかを明記。 3. 例外の性質、頻度、原因を評価し影響を判断する。「軽微」の分類が適切か、原因が一時的か構造的かを切り分ける。 4. サブサービス機関のカーブアウトがある場合の影響を評価する。カーブアウト部分に対する別途統制テストの必要性を判断。 5. 統制への依拠の程度と実証手続の範囲を決定し調書に残す。監基報330.7に基づく実証手続の性質、時期、範囲への影響を記録。 6. 報告書の記載内容から監査上の留意点を識別する。ISAE 3402.47に基づく経営者への推奨事項から潜在的リスクを拾う。
よくある誤り
- 報告書の結論のみを確認し統制の詳細を読まない。品管部門のレビューで最もつっつかれる不備の1つ。 - Type IとType IIの区別を理解せず同じ評価手続を適用する。Type I報告書では追加的な統制テストが必要な場合が多い。 - 例外を「軽微」として一律に無視する。例外の累積的影響や原因の構造性を評価しないまま結論づけるのは危険。
関連資料
- 監査重要性の設定と文書化: サービス機関統制の不備が重要性の判断に与える影響 - 監基報315内部統制評価ツール: サービス機関統制と企業統制の関係性の整理に活用 - 監基報402サービス機関を利用する企業の監査: サービス機関監査の全体的なアプローチ