Definition
正直に言うと、Type Iレポートしか入手していないのに「サービス組織のコントロールに依拠した」と調書に書いている案件は、思った以上に多い。Type Iは過去の特定日時点における設計の意見にすぎず、運用の有効性は対象外である。Type IIは最低6か月にわたる運用とその有効性を報告し、ユーザー企業の監査人が依拠するための基礎となる。両者ともISAE 3402に準拠する。
主要ポイント
> - Type Iは「設計」を、Type IIは「運用有効性」を報告する。監査人が依拠するのはほぼ常にType IIである > - Type IIにはサービス監査人の意見が含まれ、ユーザー企業の監査人が依拠する根拠となる > - 期間中に逸脱(例外)が記載されている場合、ユーザー企業の監査人はその影響を自ら評価する
仕組み
ISAE 3402はコントロール報告書を段階的に定めている。Type IレポートはISAE 3402.38で「述べられた日付におけるサービス組織のシステムの設計の適切性に関する意見を含む」と規定されている。設計の適切性とは、各リスクに対応するコントロールが理論上備わっているかである。設計があるかどうかは確認できる。ただし、それが実際に運用されたか、どの程度有効だったかは分からない。
Type IIレポートはこれを一段進める。ISAE 3402.39に基づき、サービス監査人は最低6か月の期間にわたって運用とその有効性を検証する。検証は文書化と再テストを通じて行われる。期間中に逸脱が生じた場合は、その逸脱がレポートに記載され、重要度と頻度が説明される。
Type IIにはサービス監査人の意見書が添付される。ISAE 3402.45に基づき、ユーザー企業の監査人はこの意見書を用いて依拠の判断を行う。Type Iしか受領していない場合、依拠の根拠としては不足する。サービス組織のコントロールが期間中に実際に機能していたかの検証がないためである。
実施例: 日本の給与計算サービス提供者
被監査会社: 佐藤電子工業株式会社、東京都渋谷区、売上45億円、従業員480名、給与計算業務全体を給与計算ASPに委託している。
状況: 佐藤電子工業の監査人は、給与計算システムのコントロール環境について理解する必要があった。当該ASP事業者から両タイプのレポートが存在していた。
Step 1:Type Iレポートの受領と評価 ASP事業者のサービス監査人が発行したType Iレポートでは、2024年3月31日時点におけるコントロール環境の設計の適切性について意見が述べられていた。給与計算データの入力検証、賃金計算の二重確認、未払賃金控除チェックなど、設計上のコントロールは整っていた。
文書化:監査プログラムに「ASP事業者のコントロール環境を概観。Type Iレポートの意見は設計の適切性に限定されることを確認。運用有効性の検証はType IIで確認予定」と記載。
Step 2:Type IIレポートの要求と受領 ただ、これだけでは佐藤電子工業の監査人は不足だと判断した。給与計算は高リスク領域。設計があるだけでは足りず、実際に運用されているか、どの程度有効に機能しているかの検証が必要だった。ASP事業者にType IIレポートを要求した。
Type IIレポートでは、2023年10月1日から2024年9月30日までの12か月間、コントロールがどう運用されたかが記載されていた。
文書化:調書に「Type IIレポートの受領を確認。期間は12か月。対象とするリスクと各コントロールの対応関係を整理」と記載。
Step 3:例外(逸脱)の確認と影響評価 Type IIレポートを精読すると、賃金計算の二重確認プロセスで3件の逸脱が記載されていた。2024年4月、7月、8月、確認者が確認手続を実施せず、責任者の指示で直接支給処理に回された件数である。各件は給与総額のわずか0.8%相当だった。それでも逸脱があった事実は変わらない。
佐藤電子工業の監査人は、(1) 逸脱の性質(確認手続の省略)、(2) 金額的重要性(いずれも単発、各月の給与総額の1%未満)、(3) 原因(人員欠勤による業務量増加)、(4) ASP事業者による対応策(追加の研修と手続の見直し)を順に検討した。結論として、逸脱は監査意見に直結する影響はないと判断したが、給与計算の内部統制に対する全体的な評価は「有効であるが改善余地あり」に留めた。
文書化:「逸脱の詳細はType IIレポートX頁に記載。金額:各件0.8%未満。原因は人員変動。ASP事業者による対応方針を確認し、妥当と判断。監査意見には影響なし」と調書に記載。
結論: Type IIレポートがなければ、佐藤電子工業の監査人はこの逸脱を全く認識せずにいた。Type Iだけの依拠では、設計上のコントロールが存在することしか分からず、実際に運用されているか、どの程度有効かは不明だったはずである。これが審査の場で最も問われる箇所。
レビュアーが見落とすこと
- CPAAOBの国際基準準拠性レビューでは、Type IIレポートのサービス監査人の意見書が不十分なまま依拠している事例が指摘されている。 意見書の範囲が限定的(「以下のコントロールについてのみ」等)の場合、ユーザー企業の監査人は全体的な依拠を主張できない。Type IIを受領しても、意見の範囲を明示的に確認し、調書に記載する実務が必要となる。ISAE 3402.45を参照。
- 実装上の誤り:Type Iから全体的に依拠する。 Type IレポートはISAE 3402.38で「設計の適切性」の意見に限定される。これだけでは、ユーザー企業の監査人がISA 402.8に基づいて形成する「充分かつ適切な監査証拠」には該当しない。Type IIなしでType Iから全体的に依拠する調書が、CPAAOBの内部統制監査のレビューで問題とされている。経験上、この誤りは新人インチャージの最初の繁忙期に多発する。
- 逸脱記載の見落とし。 Type IIに逸脱が記載されている場合、その逸脱がユーザー企業の監査人の手続に与える影響を調書で明示していない事例が多い。逸脱があっても重要性が低い場合もある。ただし、その判断過程を文書化する必要がある。
Type Iレポート vs Type IIレポート(対比表)
| 観点 | Type Iレポート | Type IIレポート |
|---|---|---|
| 報告時点 | ある特定日時点(例:3月31日) | 一定期間(最低6か月) |
| 対象 | コントロールの設計の適切性 | 設計の適切性と運用有効性 |
| サービス監査人による検証 | 設計のみ。運用は対象外。 | 期間中の運用と有効性を検証。テスト、再テスト。 |
| 逸脱の記載 | なし(設計のみのため逸脱が発生しない) | あり。期間中に生じた逸脱(例外)を記載。 |
| ユーザー企業の監査人による依拠 | ISA 402に基づく充分かつ適切な証拠としては不足。 | ISA 402.8の要件を満たす。意見書がある場合、依拠可能。 |
| 査察での質問 | 「なぜType Iだけで十分と判断したか」と指摘される場合がある。 | 受領していれば、依拠の根拠として認められやすい。 |
区別が実務で重要な理由
ISAE 3402.8で明示されている。サービス組織のコントロールが被監査会社の財務報告に有効に組み込まれている場合、ユーザー企業の監査人は「ISAE 3402に準拠して実施されたType IIレポートに関するサービス監査人の意見書を入手することを目的とすべき」と述べられている。Type Iはこの要件を満たさない。
被監査会社の監査人がType Iしか受領していない場合、そのコントロールに依拠する根拠を形成するには、自ら追加手続(サービス組織のコントロール運用状況の直接テスト等)を実施することになる。これは多くの場合、コスト増につながる。
Type IIがあれば、サービス監査人の検証と意見書を利用でき、ユーザー企業の監査人は本来集中すべき領域に資源を配分できる。
関連用語
- ISA 402 グループ企業の監査: サービス組織のコントロール報告書を評価する親基準 - 内部統制の有効性評価: Type IIが検証する運用有効性の概念 - 監査調書: Type I / Type IIの受領と評価を記載する場所 - ISA 402 依拠の根拠: Type IIから依拠を形成する方法 - サービス監査人: Type I / Type IIを発行する監査人 - コントロール逸脱: Type IIに記載される運用上の例外
---