ISAE 3402ブリッジレター：目的とテンプレート

ブリッジレターとは何か

ISAE 3402は、サービス組織が利用者組織の財務報告に関連する内部統制について保証を出す国際基準である。レポートの対象期間（通常12か月）と利用者組織の会計年度末との間にタイミングのずれが生じることは珍しくない。

監基報315号では、利用者組織の監査人がサービス組織から入手すべき情報について要件を定めている。同報告書A46項は、最新のISAE 3402レポート発行後にサービス組織で発生した変更について、追加的な情報入手を求めるもの。

ブリッジレターはこの要件を満たす手段にすぎない。サービス組織の経営者が作成し、以下の情報を記載する：

- 最新レポート発行後のコントロール変更 - 新たに識別されたコントロール欠陥 - システムアップグレードや担当者変更の影響 - 例外事項の発生状況と対応策

なぜブリッジレターが必要なのか

ISAE 3402レポートは通常、前年度の状況を反映したもの。2024年3月期の監査において、最新レポートが2023年12月31日で終了している場合、2024年1月から3月までの期間にギャップが生じる。この期間中にシステム変更や人事異動があれば、レポートの関連性は低下するだろう。

現場では、期末日時点での内部統制の有効性評価が求められる。公認会計士・監査審査会（CPAAOB）による検査では、サービス組織統制の評価不備が指摘事項の上位に位置する。追加手続なしに前年度レポートに依拠すれば、監査リスクは増大する一方である。

国際的な検査動向も同じ傾向を示す。PCAOB（米国公開会社会計監視委員会）の2023年検査レポートでは、サービス組織統制の評価においてタイムギャップの検討不備が指摘された。正直なところ、どの法域でも指摘パターンは驚くほど似ている。

ブリッジレターの構成要素

基本情報セクション

ブリッジレターには以下の基本情報を記載する。

対象期間は、最新ISAE 3402レポートの終了日から現在日付までの期間を明記する。「2023年12月31日終了レポートから2024年3月31日まで」といった形で特定すること。

責任者として、サービス組織内でコントロール変更を承認する権限を持つ者の氏名・役職を記載する。CEO、CFO、あるいは統制責任部門の部門長が署名者となるケースが多い。

ブリッジレターがカバーするサービス範囲を、最新ISAE 3402レポートとの関連で明記する。新しいサービスが追加された場合は、その旨も明確にすること。

変更事項の詳細

ソフトウェアのアップグレード、ハードウェア交換、データセンター移転、ネットワーク構成変更等の物理的・論理的変更を記載する。変更時期と変更理由、影響範囲を述べること。

キーパーソンの退職や新規採用、職責変更についても記載が求められる。ISAE 3402レポートで言及されたコントロール責任者の変更は必須記載事項にあたる。

業務フローの変更、承認権限の変更、外部委託先の変更、新規システム導入等、コントロール環境に影響する変更も漏らさず記載すること。

例外事項の報告

最新レポート発行後に発見されたコントロール不備について、発見時期、原因、影響度、対応策を記載する。

前回レポートで指摘された不備の是正状況も更新が必要となる。完了済みか進行中かを明記すること。

実践例：田中情報システム株式会社

田中情報システム株式会社（売上高120億円、従業員数800名）は、中堅企業向けにERP運用サービスを展開している。2023年12月31日終了のType IIレポートを2024年2月28日に発行済み。同社の2024年第1四半期（以下「Q1」）におけるブリッジレターの例を見てみよう。

1. 対象期間の設定

対象期間は2024年1月1日から2024年3月31日まで（最新ISAE 3402レポート終了日の翌日からQ1末まで）となる。

文書化ノート：期間の定義を調書の統制評価セクションに記載

2. システム変更の評価

2024年2月15日にDBサーバーをOracle 12cから19cにアップグレード。バックアップとリストア機能のテストを2月20日から22日に実施した。ダウンタイムは計画通り4時間以内に収束。

文書化ノート：アップグレード時のコントロールテスト結果をブリッジレター添付資料として保管

3. 人事変更の確認

システム管理部長（前回レポートのキーコントロール責任者）が2024年1月31日付で退職。後任として副部長を昇格させ、2月1日から職務開始。引き継ぎ期間は3週間である。経験上、キーパーソン交代時の引き継ぎ期間が2週間未満だと品管レビューで問題になりやすい。

文書化ノート：引き継ぎ完了確認書をブリッジレター関連証跡として整理

4. 例外事項の報告

2024年3月5日、アクセス権限管理システムで権限削除の遅延が1件発生。退職者のアクセス権が退職日から3営業日後まで残存していた。即座に削除し、当該期間中のアクセスログを確認したところ、不正アクセスは検出されなかった。本音を言うと、権限削除の遅延は中堅規模のサービス組織で最も頻出する例外事項だろう。

文書化ノート：例外発生時のログ解析結果とその後の改善策をブリッジレター証跡ファイルに保存

実務チェックリスト

1. ISAE 3402レポート終了日と監査対象期間末日の差が3か月以上ある場合、ブリッジレターの必要性を検討する 2. システム、人事、プロセス、外部委託の4領域でチェックし、監基報315号A46項の要件を満たす 3. サービス組織の権限者（通常はCレベル役員）による署名を確保する 4. ブリッジレターの裏付けとなる証拠書類を監査ファイルに整理保管する 5. ブリッジレターで十分か、追加手続が必要かを利用者監査人と事前協議する 6. 最も見落としやすい点として、ブリッジレターはISAE 3402レポートの代替ではなく補完。レポート自体の信頼性が前提条件

よくある不備事項

• 曖昧な期間設定がまず目につく。「最近」「しばらくの間」といった表現では、監査証拠として不十分である。日付が明記されていないブリッジレターはCPAAOBの検査で証拠能力を否定されたケースもある。

• システム変更が記載されているにもかかわらず、内部統制への影響が評価されていないパターンも多い。記載だけでは調書として成立しない。