保証業務実務指針 3000 実務ガイダンス第4号
受託業務に係る内部統制の保証報告書に関するQ&A(実務ガイダンス)
2 0 1 9 年 8 月 1 日
改正 2 0 2 2 年 1 0 月 1 3 日
日 本 公 認 会 計 士 協 会
監査・保証基準委員会
(実務ガイダンス:第 21 号)
目 次
頁
Ⅰ 本実務ガイダンスの適用範囲 ...................................................... 2
1.適用範囲 ...................................................................... 2
2.背景 .......................................................................... 2
Ⅱ Q&A .......................................................................... 3
Q1 保証業務実務指針 3402 で想定される業務 ....................................... 3
Q2 受託会社監査人の独立性 ...................................................... 4
Q3 保証業務契約書に入れるべき項目 .............................................. 4
Q4 全社統制に必要な手続 ........................................................ 5
Q5 運用評価手続において逸脱が発見された場合の重要性 ............................ 6
Q6 再受託会社 .................................................................. 7
Q7 受託会社が業務を再委託している場合の考慮事項 ................................. 8
Q8 システムの変更 ............................................................... 9
Q9 対象期間に内部統制の実施を必要とする事象が発生していない場合(その1) ....... 9
Q10 対象期間に内部統制の実施を必要とする事象が発生していない場合(その2) ...... 10
Q11 保証報告書の宛先 ............................................................ 11
Q12 想定利用者 .................................................................. 11
Q13
ISAE3402 との相違 ........................................................... 14
Q14 他の委員会報告との関係 ...................................................... 15
Q15 利用期間の差異 .............................................................. 16
2023/8
《Ⅰ 本実務ガイダンスの適用範囲》
《1.適用範囲》
1.本実務ガイダンスは、保証業務実務指針 3402「受託業務に係る内部統制の保証報告書に関する
実務指針」に基づき保証業務を実施する際又は保証報告書を利用する際に理解が必要と思われる
事項について、Q&A方式によって解説を提供し、会員の理解を支援するために作成されたもの
である。
2.本実務ガイダンスの適用に際し関連する報告書又は実務指針は、主に以下のとおりである。
・ 保証業務実務指針 3000「監査及びレビュー業務以外の保証業務に関する実務指針」
・ 保証業務実務指針 3402「受託業務に係る内部統制の保証報告書に関する実務指針」
・ 品質管理基準報告書第1号「監査事務所における品質管理」
・ 監査基準報告書 402「業務を委託している企業の監査上の考慮事項」
本実務ガイダンスは、監査事務所による品質管理の方針及び手続の整備・運用並びに個々の保
証業務の実施に関して追加的な要求事項を設定するものではない。また、会員が遵守すべき基準
等に該当しない。2019 年8月1日時点の最新情報に基づいている。
《2.背景》
3.受託業務に係る保証報告書の作成業務は、監査基準委員会報告書第 18 号「委託業務に係る統制
リスクの評価」(2000 年3月 22 日 2003 年1月 16 日改正)において、受託会社監査人が受託会
社の受託業務に係る内部統制に関する報告書を作成し、委託業務に係る統制リスクの評価に委託
会社監査人が利用することが定められ、受託会社監査人の責任及び独立性、意見表明に当たって
の指針等も示されていた。
その後、新起草方針に基づく監査基準委員会報告書の改正に伴い、受託会社の受託業務に係る
内部統制の保証報告書に関する業務の指針は、監査基準委員会報告書とは独立した保証業務に関
する実務指針として提供されることとなり、監査・保証実務委員会実務指針第 86 号「受託業務に
係る内部統制の保証報告書」が 2011 年 12 月 22 日に公表された。
4.監査・保証実務委員会実務指針第 86 号は、国際保証業務基準 3402「受託業務に係る内部統制の
保証報告書」(International Standard on Assurance Engagements 3402, ASSURANCE REPORTS ON
CONTROLS AT A SERVICE ORGANIZATION。以下「ISAE3402」という。)を参考として要求事項及び適
用指針から構成される体系的な実務指針として策定された。しかしながら、公表当時、我が国に
おいては、国際保証業 務基準 3000「過去財務情報の監査又はレビ ュー以外の保証業務」
(International Standard on Assurance Engagements(ISAE)3000 (Revised), Assurance
Engagements Other than Audits or Reviews of Historical Financial Information。以下
「ISAE3000」という。)に相当するような監査及びレビュー業務以外の保証業務に関する一般規範
となる指針が公表されていなかった。そのため、監査・保証実務委員会実務指針第 86 号は、ISAE3000
の要求事項を参考とし、その一部に相当する規定を追加して策定された。
5.2017 年 12 月に、ISAE3000 を参考として、我が国における保証業務に関する一般規範として保
証業務実務指針 3000 が公表された。これに伴い、監査・保証実務委員会実務指針第 86 号につい
ても、従前と同様、ISAE3402 を参考とした体系的な構成を維持するものの、保証業務実務指針 3000
- 1 –
との適合修正(保証業務実務指針 3000 と重複する要求事項の削除等)を行い、また、実務上の観
点から必要な箇所の見直しを行うこととした。その結果、監査・保証実務委員会実務指針第 86 号
改正後の実務指針の内容は、ISAE3402 に相当する規定により構成されることが改正前に比べて明
確になったことを踏まえ、改正後の実務指針には保証業務実務指針 3402 の呼称を冠し、新たな実
務指針として、公表することとした。
6.監査・保証実務委員会実務指針第 86 号の公表後、受託業務に係る内部統制の保証報告書の業務
は、年金資産運用、給与計算、情報システム等の領域を中心に広く行われている。このような実務
の進展の下で、監査・保証実務委員会実務指針第 86 号を実務に適用するに当たって、特定の事項
に関する取扱いや基本的な考え方を明らかにして欲しいという会員からのニーズが醸成されてき
た。本会においては、上記のような保証業務実務指針 3402 の公表の機を捉えてこのような会員の
ニーズのうち主要なものに対応し、会員の実務の参考に資するため、本実務ガイダンスを策定し
公表することとした。
具体的には、保証業務実務指針 3402 において対応したもの(再受託会社や相補的統制に関する
受託会社確認書記載例及び保証報告書文例、並びに経営者確認書記載例の提供等)以外の主要な
事項について、その取扱いや基本的な考え方を以下に見られるようにQ&A方式で解説すること
としている。
≪Ⅱ Q&A≫
Q1 保証業務実務指針 3402 で想定される業務
保証業務実務指針 3402 で想定される業務にはどのようなものがありますか。
保証業務実務指針 3402 は、委託会社の財務報告に関連する業務を提供する受託会社を対象とし
ており(保証実 3402 第3項参照)、保証業務実務指針 3402 の対象として想定される受託業務とし
ては、以下の解説に示すような業務が想定されます。
(解説)
保証業務実務指針 3402 は、委託会社の財務報告に関連する業務を提供する受託会社を対象とし
ており、想定される業務としては、資産運用業務、年金制度の加入者及び受給者等の管理業務を委
託する年金制度管理業務、給与計算業務、アプリケーションサービスプロバイダー、クラウドサー
ビス、経理代行業務、電子決済業務、信用金庫・銀行等の共同システムセンター業務、物流センタ
ー業務など数多く想定されます。
なお、給与計算業務等、情報システムへの依存度が高いと考えられる受託業務においては、受託
業務におけるITの利用されている領域、範囲に応じて、全般統制を記述書の対象に含めることが
あります。
- 2 –
Q2 受託会社監査人の独立性
受託業務に係る内部統制の保証業務を提供する受託会社監査人は、委託会社に対しても独立性が
求められるのでしょうか。
受託会社監査人は、受託会社に対して独立性が求められますが、委託会社に対して独立性を保持
することは要求されていません(保証実 3402 の A5 項参照)。
(解説)
受託会社監査人は、我が国における公認会計士に関する職業倫理に関する規定を遵守することが
求められており、受託業務に係る内部統制に関する保証業務においては、日本公認会計士協会が公
表する独立性に関する指針第2部 監査業務以外の保証業務における独立性を遵守することが求め
られています。したがって、業務実施者は保証業務の依頼人である主題情報に責任を負う者から独
立することが求められています。なお、一体方式の場合には、保証業務実務指針 3402 に照らせば、
受託会社監査人は受託会社のみならず、再受託会社からも独立性が求められることになります。
しかし、独立性に関する指針第2部 監査業務以外の保証業務における独立性において、想定利
用者に対して独立性を保持することは要求されておらず、したがって、保証業務実務指針 3402 A5
項は委託会社に対して独立性を保持することは要求していません。
Q3 保証業務契約書に入れるべき項目
業務契約書に最低限入れるべき項目にはどのようなものがあるでしょうか。
受託会社と受託会社監査人は保証業務の業務条件について合意する必要があります(保証実 3000
第 27 項参照)。保証業務の契約条件について合意された内容は、法令等において十分かつ詳細に規
定されているものを除き、保証業務契約書に十分かつ詳細に記載することが求められています(保
証実 3000 第 27 項参照)。なお、契約書の作成に当たっては、法規委員会研究報告第 16 号「監査及
びレビュー等の契約書の作成について」を参照することが考えられます。
(解説)
業務契約書において、以下の条項を含めることが考えられます。なお、(1)及び(6)から(12)までに
ついては、法規委員会研究報告第 16 号「監査及びレビュー等の契約書の作成について」を参照に作
成することが考えられます。
(1) 受嘱者の適格要件及び利害関係
(2) 保証業務の目的・範囲
保証業務目的及び対象とする範囲を記載します。範囲については、タイプ1又はタイプ2、
対象期間(タイプ1の場合は基準日)、対象となる業務、再受託会社がある場合に一体方式か
除外方式かなどを記載します。
(3) 受嘱者の責任
保証業務実務指針 3402 第 52 項(7)を参考に受託会社監査人の責任を記載します。
- 3 –
(4) 委嘱者の責任
保証業務実務指針 3402 第 12 項(2)①から⑥までを参考に受託会社の責任を記載します。な
お、保証業務実務指針 3402 第 12 項(2)①から③までに関連して、受託会社確認書の草案を別
紙として添付することも考えられます。
(5) 保証報告書の様式及び内容
受託会社監査人の保証報告書の想定される様式や内容を記載します。保証業務実務指針
3402 付録2の文例を参照することも考えられます。また、保証報告書の提出時期、想定利用
者とその目的なども記載することが考えられます。
(6) 報酬の額及び経費の負担
(7) 受嘱者の業務責任者の通知
(8) 守秘義務
(9) 契約の解除・終了
(10) 暴力団排除条項
(11) 損害賠償
(12) 裁判の管轄
Q4 全社統制に必要な手続
いわゆる全社統制について、どのような手続を行えばよいのでしょうか。
受託会社監査人は、いわゆる全社統制についても、記述書を入手して通読し、記述が適正に表示
されているかどうかを評価する必要があります(保証実 3402 第 20 項参照)。
(解説)
記述書には、受託会社の統制環境、リスク評価プロセス、情報システム(関連する業務プロセスを
含む。)と伝達、監視活動の側面のうち、受託業務に関連するものが記載され全社統制と呼ばれます
(保証実 3402 第 15 項(1)⑧参照)。
全社統制の具体的な内容は、監査基準報告書 315「重要な虚偽表示リスクの識別と評価」《付録1
内部統制の構成要素》において解説されていますが、記述書には、例えば以下の内容が記載される
ことがあります。
・ 統制環境:経営方針、経営理念、ガバナンス、組織と職務分掌、人事
・ リスク評価プロセス:リスク管理態勢
・ 情報システムと伝達:内部通報制度
・ 監視活動:内部監査
受託会社監査人は、記述書を入手して通読し、全社統制に関する記述が適正に表示されているか
どうかを評価する必要があります(保証実 3402 第 20 項参照)。また、適正に表示されているかどう
かの評価において、受託会社監査人は、質問とその他の手続を組み合わせて実施することにより、
全社統制が適用されているかどうかについても評価しますが、その他の手続には、観察又は記録や
- 4 –
文書の閲覧を含む必要があります(保証実 3402 第 21 項参照)。
なお、統制目的に係るリスクの軽減に関して関連性の低い全社統制の記載については、デザイン
や運用の評価は求められていないものと考えられます。
Q5 運用評価手続において逸脱が発見された場合の重要性
運用評価手続において逸脱を発見した場合、重要性はどのように考えればよいのでしょうか。
運用評価手続において、逸脱を発見した場合、受託会社監査人の運用評価手続の記述において重
要性は考慮されず、逸脱の事実が全て開示されます。一方で、受託会社監査人の保証報告書におい
ては、当該逸脱の及ぼす影響について量的要因と質的要因の両方の観点から重要性を検討し、意見
を表明します(保証実 3402 第 18 項、A17 項及び A18 項)。
(解説)
受託会社監査人が運用評価手続の過程で逸脱を発見した場合、保証業務実務指針 3402 の A18 項に
記載のとおり、その重要性に関係なく運用評価手続の記述において全て開示することとされていま
す。これは発見された逸脱が、特定の委託会社又はその監査人にとっては重要ではなかったとして
も、別の委託会社又はその監査人にとっては重要である可能性があるため、受託会社監査人が重要
性を考慮することなく、逸脱の事実を利用者に開示することが有用であると考えられるからです。
一方で、保証業務実務指針 3402 の A17 項に記載のとおり、内部統制の運用状況の有効性に対する
受託会社監査人の意見表明に当たっては、受託会社監査人は当該逸脱の量的要因と質的要因の両方
の検討をしなくてはなりません。量的要因としては、サンプリングにおける予想逸脱率と実際の逸
脱率を用いて逸脱の重要性を評価します。また、質的要因の検討とは、発見した逸脱に対して例え
ば以下の事項を検討することが考えられます。
・ 内部統制に与える影響及び統制目的に与える影響
・ 広範な内部統制及び統制目的に影響を与えるものであるか。
・ 当該逸脱が発見された統制に対する代替的統制や補完的統制の有無
・ 原因が意図的なものであるか。
・ 違法行為、不正の兆候を示すものであるか。
これらの事項について、例えば、情報システムにおいて発見された逸脱が多数の業務処理統制
に影響を及ぼすような全般統制の逸脱であるかどうか、または、上席者の実施する内部統制の逸
脱が発見されている場合において下位者の実施する内部統制の逸脱が発生する可能性が高まって
いないかを、具体的に検討することがあります。
量的要因及び質的要因を考慮した結果、逸脱の意見に及ぼす影響が重要ではないと判断される場
合には、除外事項として取り扱わず、無限定の意見が表明されることとなります。
- 5 –
Q6 再受託会社
受託会社が業務を再委託している場合、再受託会社として識別すべき場合はどのようなときでし
ょうか。
受託会社が業務を再委託しており、当該再委託先を再受託会社として識別すべきと考えられるの
は、再委託先の提供する業務が委託会社の財務報告に係る重要な内部統制に関連している場合です。
(解説)
再受託会社とは、委託会社の財務報告に係る内部統制に関連すると思われる業務を委託会社に提
供する会社が、受託業務の一部を他の会社に再委託する場合の当該他の会社をいいます(保証実 3402
第8項(7)参照)。再受託会社の提供する業務に関し、保証報告書上の取扱いとして一体方式又は除
外方式のいずれかを決定する上で、再委託先が再受託会社として識別されているかどうかについて
は、慎重に検討する必要があります(保証実 3402 第 52 項(3)③参照)。
考慮すべき事項の例は下記のとおりです。これらの例は全ての考慮事項を網羅するものではなく、
また、以下の項目の全て又は一部の項目を満たすことにより一律に再受託会社に該当するというも
のでもありません。再委託先を再受託会社として識別するか否かは、受託会社が当該業務の状況に
基づき決定し、受託会社監査人が受託会社の決定の妥当性について職業的専門家としての判断の下
で検討することとなります。
・ 再委託先が実施した手続の結果について、会社側ではモニタリング等を通じて確かめること
ができず、再委託先の実施結果に依拠しなければならない状況であるか。
・ 会社が提供する業務だけでは統制目的が達成できず、再委託先の業務が統制目的の達成のた
めに必須であるか。
・ 再委託先が、受託会社に提供する情報の網羅性や正確性に対する内部統制を有効に運用して
いることが想定されるか。
・ 再委託先の提供する業務は、委託会社の財務報告に係る内部統制に関連したものであるか。
・ 再委託先が、委託会社や委託会社から業務を受託している会社の情報システムに関わってい
る場合、再委託先の提供する業務が、委託会社の財務報告に係る業務処理統制に影響すること
が想定されるか。
(具体例)
前提:X社…委託会社
A社…X社から業務を受託している会社(受託会社)
B社…再委託先(A社の受託している業務の一部を再受託している。)
B社が提供するサービス
B社の提供する業務がX社の財務報告に
係る重要な内部統制に関連しているか。
B 社 を 再 受 託 会 社
と し て 識 別 す る 可
能性
B社は、X社の財務数値を含む電子フ
B社によって提供されるサービスは、レ
高
ァイルを印刷し、当該レポートをX社
ポート内の情報がX社の財務諸表に組み
- 6 –
B社が提供するサービス
B社の提供する業務がX社の財務報告に
係る重要な内部統制に関連しているか。
B 社 を 再 受 託 会 社
と し て 識 別 す る 可
能性
に送付する。レポートの情報は、X社
込まれているため、X社の財務報告に対
の財務諸表に組み込まれている。
する内部統制に関連しており、B社の内
A社はレポートに対する内部統制を
部統制を考慮せずには、X社の財務報告
運用しておらず、B社はレポートの網
に係る統制目的を達成できないと考えら
羅性及び正確性に対する内部統制を
れる。
有効に運用していることが想定され
る。
B社は、X社の財務数値を含む電子フ
A社はレポートの網羅性及び正確性に対
低
ァイルを印刷し、当該レポートをX社
する内部統制を有効に運用していること
に送付する。レポートの情報は、X社
が想定されるため、B社の内部統制を考
の財務諸表に組み込まれている。
慮せずとも、X社の財務報告に係る統制
A社はレポートの網羅性及び正確性
目的を達成できると考えられる。
に対する内部統制を有効に運用して
いることが想定される。
B社は、A社が管理するX社の過年度
B社が実施する文書保管及び記録保存サ
低
の会計に関する帳簿及び資料を自社
ービスはX社の財務報告に係る内部統制
倉庫に保管する。
に関連する度合いが低く、A社の内部統
制のみで、X社の財務報告に係る統制目
的を達成できると考えられる。
A社は、X社からの受託業務に使用す
A社からの指示を、アプリケーションシ
高
るアプリケーションシステムの開発
ステムに適切に反映するためのA社の内
をB社に委託する。B社ではA社から
部統制が有効に運用されていることが想
の指示を受け、システム開発を実施す
定されておらず、B社の内部統制を考慮
るとともに、B社内で構築されている
せずには、X社の財務報告に係る統制目
テスト及び承認プロセスを経てA社
的を達成することはできないと考えられ
に提供する。A社では、B社から提供
る。
されたアプリケーションシステムを
そのまま適用している。
A社は、X社からの受託業務に使用す
A社からの指示を、アプリケーションシ
低
るアプリケーションシステムの開発
ステムに適切に反映するためのA社の内
をB社に委託する。B社ではA社から
部統制が有効に運用されていることが想
の指示を受け、システム開発を実施
定されており、B社の内部統制を考慮せ
し、A社に提供する。A社は、受入テ
ずとも、X社の財務報告に係る統制目的
ストを実行し、本番環境へのリリース
を達成できると考えられる。
可否を自ら承認する。
- 7 –
B社が提供するサービス
B社の提供する業務がX社の財務報告に
係る重要な内部統制に関連しているか。
B 社 を 再 受 託 会 社
と し て 識 別 す る 可
能性
A社は、X社がインターネット事業に
A社の提供するアプリケーションは、B
高
おいて使用するクラウドベースのデ
社の運用する全般統制によって継続的に
ータ処理機能を用いたアプリケーシ
運用されることが想定されるため、B社
ョンを運用しており、当該データ処理
の内部統制を考慮せずには、X社の財務
機能はB社により提供されている。A
報告に係る統制目的を達成できないと考
社は、クラウドベースのデータ処理機
えられる。
能に対する一定の内部統制を運用し
ているが、アプリケーションの搭載さ
れているサーバーの運用については、
B社の運用する全般統制に依拠して
いる。
A社は、X社がインターネット事業に
A社の提供するアプリケーションは、A
低
おいて使用するクラウドベースのデ
社による日常的モニタリングを通じて管
ータ処理機能を用いたアプリケーシ
理が行われ、継続的に運用されることが
ョンを運用しており、当該データ処理
想定されるため、B社の内部統制を考慮
機能はB社により提供されている。こ
せずとも、X社の財務報告に係る統制目
れらのデータ処理機能に係る開発、変
的を達成できると考えられる。
更及び運用業務に関しては、A社内の
所定の執務エリアで実施されており、
B社の作業はA社による日常的モニ
タリングを通じて管理が行われてい
る。
Q7 受託会社が業務を再委託している場合の考慮事項
受託会社が業務を再委託している場合、委託会社及び委託会社監査人としてはどのような対応が考
えられますか。
再受託会社が提供する業務が委託会社にとって重要であれば、委託会社及び委託会社監査人は、
当該業務に対する保証報告書を入手する、又は自ら評価することを検討します(監基報 402 第 17 項
及び A38 項参照)。
(解説)
受託会社が業務を再委託しており、当該再委託先を再受託会社として識別する場合、委託会社及
び委託会社監査人としては、委託会社の観点から当該再受託会社の提供する業務の重要性を検討す
ることになります。
- 8 –
委託会社にとって、再受託会社の提供する業務が重要である場合、委託会社及び委託会社監査人
は、再受託会社の内部統制の評価を検討しなければなりません。受託会社監査人が再受託会社を含
めて一体方式の保証報告書を発行していれば、当該一体方式の保証報告書を入手しますが、受託会
社の保証報告書が除外方式で作成されており、再受託会社の受託会社監査人が別途、再受託会社が
提供する業務に関して保証報告書を発行している場合は、受託会社を通じて再受託会社の保証報告
書を入手することが考えられます。
受託会社監査人が一体方式の保証報告書を作成しておらず、かつ再受託会社が独自に保証報告書
を作成していない場合は、委託会社監査人は委託会社及び受託会社を通じて再受託会社に保証報告書
の発行を要請する、又は委託会社監査人が自ら再受託会社の内部統制を評価する必要性を検討します。
Q8 システムの変更
タイプ2の報告書において、受託会社のシステムに変更があった場合の記述書の記載として、どの
ようなものが考えられますか。
タイプ2の報告書において、受託会社のシステムに変更があった場合、利用者及び受託会社監査
人が、受託会社のシステムの変更の内容を理解できるように、記述書の対象期間における変更前後
の内容を明瞭に記載する必要があります(保証実 3402 第 15 項(2)参照)。
(解説)
例えば、以下のように変更前後の期間に分けて、受託会社のシステムを記載する方法が考えられ
ます。
例:(×年×月×日以前)
○○○○○○。
(×年×月×日以降)
□□□□□□。
また、単に組織変更や部署名の変更のみであり、実質的なシステムの内容に変更がない場合は、
その旨をまとめて記載することも考えられます。
なお、受託会社のシステムの変更が多岐にわたり理解が困難な場合、利用者が全体としてどのよ
うな変更が生じているのかを理解する、または、受託会社監査人がシステムの変更について記述書
に適切に記載されているか検討する上で、記述書にシステムの主要な変更の要約を記載することが
考えられます。
Q9 対象期間に内部統制の実施を必要とする事象が発生していない場合(その1)
運用評価手続の記述において、対象期間に実施されていない内部統制について、どのように記載
すればよいでしょうか。
対象期間に内部統制を必要とする事象が発生しておらず、実施されていない内部統制が存在する
場合、例えば、受託会社監査人は、当該事実について受託会社からの回答を得るとともに、運用評価
- 9 –
手続の記述において、当該内部統制が対象期間に実施されていない旨及び受託会社監査人は当該内
部統制に係る運用評価手続を行っていない旨を記載します(保証実 3402 第 53 項参照)。
(解説)
受託会社監査人は、対象期間に内部統制を必要とする事象が発生しておらず実施されていない内
部統制について運用評価手続上の記載を行うに当たり、内部統制が実施されていなかったことを受
託会社監査人が保証するかのような誤解を想定利用者に与えないよう、記載方法に留意することが
重要です。
例えば、受託会社監査人は、受託会社への質問等を通じて、対象期間に内部統制を必要とする事
象が発生しておらず当該内部統制が実施されていない旨の回答を受けた場合は、運用評価手続の記
述において、受託会社から当該回答を得た旨及び受託会社監査人は当該内部統制に係る運用評価手
続を行っていない旨を記載します。また、運用評価手続の記述に対応して、受託会社が当該内部統
制を実施していない旨を記述書へ記載することがあります。この場合には、対象となる内部統制が
実施されていない旨について経営者確認書において確認を求めることがあります。
なお、内部統制を必要とする事象が発生しているにもかかわらず、当該内部統制が実施されてい
ない場合には、逸脱として取り扱うことになりますので、内部統制を必要とする事象が発生してい
るかどうか、慎重な検討を行うことに留意することが重要です。
Q10 対象期間に内部統制の実施を必要とする事象が発生していない場合(その2)
ある統制目的に関連するほとんどの内部統制について、内部統制を必要とする事象が発生してい
ない場合、どのように対応すればよいでしょうか。
次のいずれかの対応が考えられます(保証実 3402 第 16 項参照)。
(1) 保証報告書の範囲区分において当該統制目的を範囲から除く旨を記載する。
(2) 受託会社のシステムに関する記述書から当該統制目的及び関連する内部統制に関する記載
を削除するよう、受託会社に依頼する。
(解説)
ある統制目的に関連するほとんどの内部統制について、内部統制を必要とする事象が発生してい
ない場合には、当該統制目的の達成を妨げるおそれのあるリスクの程度を評価し、当該統制目的の
達成を妨げる重要なリスクが識別されないときには、当該統制目的は保証業務に関連せず、保証業
務の対象としないこととなるため、保証報告書又は記述書における上記の対応に加えて、次の対応
が考えられます。
・ (1)の場合には、受託会社確認書において、当該統制目的は対象としない旨を明示することと
なります。
・ (2)の場合には、その他の記載内容(保証実 3402 第 40 項参照)に、当該統制目的に関連して
内部統制を必要とする事象が発生していない旨、及び関連する内部統制のうち実施していない
ものを特定して記載するよう、受託会社に依頼することがあります。
- 10 –
Q11 保証報告書の宛先
受託会社監査人の保証報告書の宛先について、受託会社以外を宛先にする場合はありますか。
保証報告書の宛先は、通常、受託会社となります。契約形態によっては、受託会社以外の組織を
宛先とする場合もあります(保証実 3402 第 52 項(2)及び保証実 3000 の A162 項参照)。
(解説)
保証報告書の宛先は、通常は業務依頼者である受託会社となります。ただし、監査及びレビュー
以外の保証業務においては、業務依頼者と主題に責任を負う者が異なることがあるため、受託会社
監査人が委託会社と直接、保証業務契約を締結している場合など、契約形態により受託会社以外を
宛先とすることが適当な場合があります。また、宛先の表記については、意見の内容に関わるもの
ではないことから、受託会社の代表者や受託業務提供部門長等を宛先とすることは差し支えありま
せん。
Q12 想定利用者
受託会社監査人の保証報告書は利用者として委託会社及び委託会社監査人のみを想定しています
が、それ以外の者が保証報告書を利用することは考えられますか。
受託会社監査人が想定する利用者は、委託会社(受託会社の提供する業務を利用する会社)及び
委託会社監査人のみとなりますが、それ以外の者が利用する場合には受託会社のシステムがどのよ
うに財務報告に使用されているのかを十分に理解していることが想定されています(保証実 3402 第
52 項(5)及び A48 項参照)。
なお、提供した保証報告書の想定した利用者以外への利用や配布を明示的に制限したい場合には、
受託会社監査人は保証報告書に利用・配布の制限について記載することを検討します。
(解説)
受託会社監査人は、受託会社のシステムの性質、委託会社の財務報告に係る当該システムの使用
状況及び提供される保証報告書の性質について十分な理解と知識を有している者を利用者と想定し
た保証報告書を受託会社へ提供します(保証実 3402 の A48 項参照)。
受託会社監査人が想定する利用者以外に保証報告書が配布、利用される場合、当該保証報告書を
利用しようとする者は、自らが保証報告書を利用するための十分な理解を有しているか、また、保
証報告書がその利用目的に適合するかどうか判断を行うこととなります。
例えば、不動産関連のファンドの運用を委託会社が受託会社に委託している場合において、記述
書が株式及び債券の運用に係る受託会社のシステム(内部統制を含む。)を対象としている場合は
委託している業務と記述書の対象業務が異なるため、当該委託会社は保証報告書を利用することが
できません。
以下、保証報告書を利用できる者の例示となります。
- 11 –
<図1>
受託会社監査人は、委託会社について受託会社を通じて理解することとなり、特段説明や合意が
なければ、通常は、図1で示すように、受託会社監査人が想定する利用者は委託会社であるB社及
びB社委託会社監査人となります。
<図2>
例えば図2のように、B社がA社の提供する業務を利用して、C社へ業務を提供する場合、C社
はA社との間に契約関係はありませんが、B社を通じてA社の業務を利用しています。
- 12 –
仮にC社から見た受託会社であるB社が、再受託会社であるA社の業務について一体方式を選択
した場合、B社の委託会社であるC社及びC社委託会社監査人は、B社の保証報告書を通じてA社
の内部統制を評価することができます。
B社がA社の業務について除外方式を選択した場合でも、C社はB社を通じてA社を間接的に利
用しているため、C社及びC社委託会社監査人がA社のシステムの性質、使用状況及び保証報告書
についての十分な理解と知識を有しているのであれば、A社の保証報告書を利用することができる
と考えられます。この場合、C社はB社を通じて、A社の保証報告書を入手することになります。た
だし、C社及びC社委託会社監査人は、自己の判断において当該保証報告書を利用することとなり
ます。
また、B社は、A社から見て委託会社となるため、再受託会社であるA社の保証報告書を入手し、
A社が内部統制のデザイン時に想定した委託会社の相補的な内部統制について検討を行い、自らの
記述書に記載することも考えられます。
<図3>
図3のように、委託会社の親会社であるD社が、子会社であるB社が利用する受託会社A社が提
供する業務の評価を行う場合、D社が“自らの財務報告にA社の業務がどのように使用されている
のか理解している”ならば、A社の保証報告書を利用できると考えられます。ただし、この場合も図
2の例と同様に、D社及びD社委託会社監査人は自己の判断において当該保証報告書を利用するこ
ととなります。
- 13 –
Q13
ISAE3402 との相違
保証業務実務指針 3402 は ISAE3402 を基礎として要求事項や適用指針を定めているようですが、
どこか異なるところはあるのでしょうか。
保証業務実務指針 3402 は ISAE3402 を基礎としていますが、主な相違は以下のとおりです。
・ 保証業務実務指針 3402 と ISAE3402 では、定めのない事項について準拠する基準が異なりま
す。保証業務実務指針 3402 は、保証業務実務指針 3000 に準拠することが求められます(保証
実 3402 第5項参照)。
・ ISAE3402 には ISAE3000 への参照箇所の記載はありませんが、保証業務実務指針 3402 では、
保証業務実務指針 3000 への参照箇所を表示しています。
・ ISAE3402 には、具体的なパターン分けによる保証報告書の文例及び経営者確認書の記載例は
ありませんが、保証業務実務指針 3402 には付録として示されています。なお、保証業務実務
指針 3402 の一体方式の保証報告書の文例においては、再受託会社を含めて受託会社等として
取り扱うこととしています。
・ 後発事象について、ISAE3402 は「…受託会社監査人の保証報告書に重要な影響を及ぼす可能
性のある事象…」としていますが、保証業務実務指針 3402 では、「…受託会社確認書に重要な
影響を及ぼす…」としています(保証実 3402 第 42 項前段参照)。また、ISAE3402 では、開示
後発事象に関する規定はありませんが、保証業務実務指針 3402 では開示後発事象の要求事項
を設けています(保証実 3402 第 42 項後段参照)。
(解説)
保証業務実務指針 3402 は保証業務実務指針 3000 に準拠することを求めており、ISAE3000 と保証
業務実務指針 3000 との相違についても合わせて理解しておくことが有用です。ISAE3000 と保証業
務実務指針 3000 との相違は、保証業務実務指針 3000 実務ガイダンス第1号「監査及びレビュー業
務以外の保証業務に係るQ&A(実務ガイダンス)」に示されています。
後発事象については、受託会社確認書における、システムに関する記述書の適正性並びに内部統
制のデザインの適切性及び運用状況の有効性の評価に関わる事項であるため、保証業務実務指針
3402 では「受託会社確認書に重要な影響を及ぼす…」としています(保証実 3402 第 42 項前段参照)。
開示後発事象については、一般に、保証業務実務指針 3402 に基づく保証報告書の対象期間は委託
会社の財務諸表の会計期間よりも何か月かずれていることが多く、よって、開示後発事象の状況を
伝達することにより、そのずれを少しでも埋めることは、金融商品取引法に基づく内部統制の評価
及び監査において報告書を利用することを考慮すると、委託会社及び委託会社監査人に有用な情報
を提供することになります。ただし、財務諸表監査の場合と異なり、開示後発事象の記載を受託会
社に義務付ける開示規則はないため、受託会社がそれらを記述書に記載していない場合は、受託会
社監査人の意見への影響を検討するのではなく、保証報告書で開示するかどうかを検討することと
なります。その重要性の判断は、タイプ1又はタイプ2の報告書の利用者に誤解を与えるか否かに
基づきます(保証実 3402 第 42 項後段参照)。
- 14 –
Q14 他の委員会報告との関係
保証業務実務指針 3402、IT委員会実務指針第2号「Trust サービスに係る実務指針(中間報告)」、
IT委員会実務指針第7号「受託業務のセキュリティ、可用性、処理のインテグリティ、機密保持
及びプライバシーに係る内部統制の保証報告書」の相違点を教えてください。
受託業務に係る内部統制を対象とする保証業務ということは共通ですが、対象とできる業務や保
証報告書の想定利用者が異なります。
(解説)
保証業務実務指針 3402 は、財務報告に係る委託会社の内部統制に関連すると思われる業務を対象
としており、委託会社の財務報告に関連しない業務は対象とできません。また、想定利用者も受託
会社の業務が財務報告にどのように使用されているかを理解している委託会社及び委託会社監査人
のみに限定されます(Q12 参照)。一方、IT委員会実務指針2号やIT委員会実務指針7号は財務
報告に関連しない業務も対象に含めることができますが、規準はそれぞれの指針で定めるものに限
定されます。対象としたい業務や規準が保証業務実務指針 3402、IT委員会実務指針7号、IT委
員会実務指針2号と適合しない場合には、保証業務実務指針 3000 による保証業務を実施することや
専門業務実務指針 4400 による合意された手続業務の実施も検討の対象となります(保証実 3402 の
A2 項参照)。
対象とする業務の特性、想定利用者の利用目的を考慮して、適切な実務指針を選択することとな
ります。
(参考)各種実務指針の種類、対象業務、規準、想定利用者、利用制限
指針
保証実 3402
IT7号
IT2号
保証実 3000
専門実 4400
種類
保証業務
保証業務
保証業務
保証業務
合 意 さ れ た 手
続
対象業務 委 託 会 社 の 財
多岐にわたる。 多岐にわたる。 多岐にわたる。 多岐にわたる。
務 報 告 に 関 連
する受託業務
規準
多岐にわたる。 付 録 4 に 示 さ
Trust サービス
多岐にわたる。 多岐にわたる。
れ て い る セ キ
又は認証局の
ュリティ、可用
ための
性、処理のイン
WebTrust で示
テグリティ、機
されている規
密 保 持 及 び プ
準
ラ イ バ シ ー 規
準
想 定 利 用
受 託 業 務 を 利
委託会社、予想
広 く 一 般 に 向
業 務 実 施 者 が
業 務 依 頼 者 及
者
用 す る 委 託 会
さ れ る 委 託 会
けて提供され、
想 定 す る 利 用
び そ の 他 の 結
- 15 –
社 及 び 委 託 会
社、委託会社の
特 定 の 利 用 者
者
果の利用者
社監査人
監査人、当局
は 想 定 さ れ な
い。
利用制限 制限あり
制限あり
制限なし
制限あり
制限あり
Q15 利用期間の差異
委託会社の会計期間と受託会社のタイプ2の報告書の対象期間とが一致せず保証報告書の対象と
ならない期間が生じている場合、受託会社及び受託会社監査人は、委託会社監査人からどのよう
な要請を受けることがありますか。
委託会社の会計期間と受託会社の保証報告書の対象期間とが一致せず保証報告書の対象とならな
い期間が生じている場合、委託会社監査人は、運用評価手続の対象期間と、当該運用評価手続の実
施以後の経過期間が適切かどうか評価します(監基報 402 第 16 項(3)参照)。
その場合、委託会社監査人は、受託会社の保証報告書の対象期間外に運用されていた受託会社の
内部統制について、追加的な監査証拠を入手するか決定することとなります。また、受託会社の保
証報告書の対象期間外に発生した受託会社の内部統制の重要な変更について、追加的な証拠を入手
するか、又は追加の監査手続の実施を決定することが必要になることもあります。
受託会社及び受託会社監査人は、こうした委託会社監査人からの追加的な監査証拠の入手、追加
の監査手続の実施に対応することがあります。
(解説)
タイプ2の報告書の対象期間を委託会社の会計期間と比較するに当たり、委託会社監査人は、タ
イプ2の報告書の対象期間と委託会社監査人がその報告書への依拠を予定する期間の間に僅かな重
なりしかなかった場合には、タイプ2の報告書がより少ない監査証拠しか提供しないと結論付ける
ことがあります。この場合、当該タイプ2の報告書よりも前の期間又はそれよりも後の期間を対象
期間とするタイプ2の報告書が、追加的な監査証拠を提供することがあります。また、委託会社監
査人は、当該内部統制の運用状況の有効性について十分かつ適切な監査証拠を入手するために、受
託会社で運用評価手続を実施するか、それを実施する他の監査人を利用することが必要であると判
断することもあります(監基報 402 の A30 項参照)。
受託会社監査人の運用評価手続の対象期間が完全に委託会社の会計期間外である場合、他の手続
が実施されない限り、委託会社監査人は、委託会社の監査に関連する内部統制が有効に運用されて
いると結論付けるに当たって、当該運用評価手続に依拠することはできません。これは、受託会社
監査人が実施した運用評価手続が、内部統制の有効性に関して当期の監査証拠を提供していないこ
とによります(監基報 402 の A33 項参照)。
委託会社監査人が、タイプ2の報告書の対象期間外に発生した受託会社の内部統制の重要な変更
について、追加的な証拠を入手するか、又は追加の監査手続の実施を決定することが必要になるこ
ともあります。受託会社監査人の報告書の対象期間外に運用されていた受託会社の内部統制につい
て、どのような追加的な監査証拠を入手するかの決定に関連する要因には、以下が含まれることが
- 16 –
あります。
・ 評価したアサーション・レベルの重要な虚偽表示リスクの程度
・ 運用評価手続を実施した特定の内部統制及び運用評価手続を実施した後の当該内部統制の重
要な変更の有無(変更には情報システム、プロセス及び担当者の変更を含みます。)
・ これらの内部統制の運用状況の有効性について入手した監査証拠の程度
・ タイプ2の報告書の対象外の期間の長さ
・ 委託会社監査人が内部統制に依拠することにより削減しようとする実証手続の範囲
・ 委託会社の監視活動と統制環境の有効性(監基報 402 の A31 項参照)
対象期間外に運用されていた内部統制については、対象期間内と全く同等の監査証拠が必ずしも
求められているわけではなく、追加的な監査証拠の範囲及び内容は、委託会社監査人が上記の要因
等を考慮し、職業的専門家としての判断に基づいて決定することとなります。
追加的な監査証拠は、例えば、タイプ2の報告書の対象外の期間を含めるように運用評価手続の
対象期間を広げることや、受託会社の内部統制に係る委託会社の監視活動をテストすることにより、
入手されることがあります(監基報 402 の A32 項参照)。
対象期間末日から委託会社の会計期間末日までの期間における受託会社の内部統制の状況につい
て把握するため、タイプ2の報告書に関連して受託会社が発行する、いわゆるロールフォワード・
レター(又はブリッジ・レター)を入手して検討することも考えられます。ロールフォワード・レタ
ーには、通常、タイプ2の報告書の対象期間の最終日以降に発生した重大な統制環境の変更の有無
及び内部統制の重要な変更の有無が記載されます。
タイプ2の報告書に開示された後発事象が、委託会社監査人に、タイプ2の報告書の対象期間外
に発生した受託会社の内部統制の重要な変更について、有用な情報を提供する場合もあります。た
だし、受託会社監査人は、開示後発事象の有無について質問するのみであり、運用評価手続は行っ
ていないことについて、委託会社監査人は注意しておくことが重要です。
以 上
・ 本実務ガイダンス(2022 年 10 月 13 日改正)は、次の公表物の公表に伴う修正を反映してい
る。
- 保証業務実務指針(序)「保証業務実務指針及び専門業務実務指針並びに関連する公表物の
体系及び用語」(2022 年7月 21 日公表)
- 17 –