サービス機関監査報告書の評価方法：監基報402利用者監査人チェックリスト

「外部監査人が見ているから大丈夫」は調書として持たない

新人の頃の私と同じ間違いを、現場では今もよく見る。SOC報告書が届く。表紙のサービス機関監査人のレターヘッドを見る。「無限定意見」の文字を確認する。それで終わり。実際には、ここから利用者監査人の仕事が始まるはずなのに。

監基報402.8は、利用者監査人がサービス機関監査人の報告書から十分かつ適切な監査証拠を入手する責任を定めている。報告書が存在するという事実が証拠なのではない。報告書の中身を読んで、そこに記述されたコントロールが、自分のクライアントの財務諸表アサーションに対応しているかを判断したときに、初めて証拠になる。

ここで重要なのが、調書がストーリーを語るかどうか。SOC報告書を綴じただけの調書は、ストーリーを語っていない。「自分はこの報告書のどこを読み、何を確認し、どこに限界があると判断したか」を書いて初めて、調書として成立する。

Type 1とType 2、そして経験上の違い

Type 1報告書は特定日時点でのコントロール記述と設計の適切性を扱う。Type 2は一定期間にわたる運用の有効性まで含む。教科書ではここまで。

経験上、財務諸表監査でType 1に依拠できる場面はほぼない。設計が良くても、運用されていなければアサーションへの安心感は得られないんですよ。Type 1で済むのは、サービス機関のコントロールがクライアントの内部統制全体に占める比重が低く、かつ実証的手続でカバーできる場合だけ。「サービス機関がType 1しか出さない」と言われたら、それは依拠範囲を縮小するか、自分でテストするかの判断ポイント。

カバー期間のギャップは6ヶ月ルールでは語れない

監基報402.A24は、サービス機関監査人の報告書のカバー期間と利用者の会計期間の関係を検討するよう求めている。教科書では「6ヶ月以上のギャップは追加手続が必要」と書かれることが多い。

ところが現場では、この6ヶ月という数字が独り歩きする。3月決算のクライアントで、SOC報告書のカバー期間が4月から9月までだとする。後半の10月から3月まで、つまり6ヶ月のギャップ。多くの調書はここで「ブリッジレター（橋渡し書面）をサービス機関から入手しました」で終わる。

正直なところ、ブリッジレターは経営者確認書のサービス機関版にすぎない。「あの期間も同じようにコントロールを運用していました」というサービス機関の経営者の言明。それで足りるかは、ギャップ期間中の取引の重要性とコントロールへの依拠度で決まる。

サービス機関監査人にとっての「軽微」が、利用者にとって致命的になるとき

ここが二次的洞察。SOC報告書には例外事項のセクションがある。サービス機関監査人は各例外事項に「軽微」「中度」「重大」のような分類を付すことが多い。問題は、その分類はサービス機関全体の視点での重要性であって、私のクライアントの財務諸表における重要性ではないということ。

監基報402.17は、例外事項について利用者監査人が独自に評価するよう求めている。基準は読めばわかる。ところが監査法人の方法論テンプレートは、SOC報告書の例外事項一覧をそのまま転記して「サービス機関監査人が軽微と判断」「依拠可」で終わる設計になっていることが多い。これが構造的な歪みを生む。

誰も読まない「補完的利用者統制」セクション

SOC報告書のどこかに、必ず「Complementary User Entity Controls」（補完的利用者統制、CUEC）のセクションがある。日本語訳では「利用者組織が実施することが想定されるコントロール」等と書かれる。これがSOC報告書を実際に使えるかどうかを決めるのに、誰も読まない。

経験上、CUECには以下のような前提が書かれている。「利用者は、給与マスタ変更依頼書の承認者を限定し、その承認記録を保管していること」「利用者は、月次の給与計算結果と人事システムの登録データを照合していること」。

これらが利用者側で本当に実施されているかを確認するのが、利用者監査人の仕事。サービス機関のコントロールがどれだけ堅牢でも、CUECが機能していなければ、SOC報告書の安心感は文字通り紙の上だけ。

現場で起きること

実際には、CUECのセクションは報告書の60ページ目あたりに小さい字で書かれている。テンプレートに沿って調書を作ると、ここを読み飛ばしても警告は出ない。だから、SOC報告書に依拠した監査の指摘は、CUEC関連が圧倒的に多い。CPAAOBの過年度モニタリングレポートでも、SOC関連の指摘の柱はCUECの未検証だった。

見解の分岐：例外事項を見つけたとき、サービス機関監査人と直接話すべきか

ここで実務者の間で見解が分かれる。SOC報告書で利用者のアサーションに影響する例外事項を見つけたとする。Aパートナーは「サービス機関監査人と直接コンタクトを取り、追加情報を入手すべき」と言う。理由は、サービス機関監査人は利用者の財務諸表アサーションを念頭に置いて報告書を書いていない以上、補足情報なしには判断できないから。

Bパートナーは「クライアントの経営者を通じて、サービス機関に追加情報を要求するルートが正しい」と言う。理由は、監基報402は利用者監査人とサービス機関監査人の直接の連絡を要求しておらず、ベンダー管理は経営者の責任であり、その仕組みに介入すべきではないから。

私は経験上、Aパートナー寄り。ただしBパートナーの懸念も正しい。実務的には、まず経営者経由で正式に依頼し、回答が遅延または不十分であれば、経営者の同意を取った上で直接コンタクトするのが落としどころ。これは監基報の文言からは導けない、現場の判断。

実務適用例：田中商事株式会社（修正版）

企業概要： 田中商事株式会社（東京都、売上高85億円、従業員450名）。給与計算業務を「ペイロール・ソリューションズ株式会社」に委託。

サービス内容： 月次給与計算、賞与計算、年末調整、社会保険料計算

評価プロセス：

1. カバー期間： SOC 1 Type II報告書のカバー期間は2024年4月1日から2024年9月30日。田中商事の会計年度は2024年4月1日から2025年3月31日。後半の10月から3月までの6ヶ月がギャップ。サービス機関からブリッジレターを入手したが、それで完了とはしない。10月以降に給与計算ロジック（月60時間超の残業手当の割増率変更）に変更があったことが判明。これがSOC報告書のテスト範囲外で動いている。文書化：ブリッジレター入手では足りない。10月以降の変更管理コントロールについて、追加でデザインレビューと2件のサンプルテストを実施した経緯を記載。

2. コントロール評価： 給与マスタの変更承認、給与計算の検証、支払データの伝送に関する18のコントロールを確認。3つのコントロールで例外事項を発見。

3. 重要な例外事項（複雑化）： 従業員マスタファイルの変更について、1件の承認漏れ（影響額：月額給与差額12万円）。サービス機関監査人はこれを「minor finding」と分類。ところが、この承認漏れが起きたコントロールは、田中商事のCUECに記載された「マスタ変更依頼書の発行と保管」と直接対をなすコントロール。CUECが機能していれば防げる構造。田中商事の人事部に確認したところ、承認漏れの月、人事部からのマスタ変更依頼書は正しく発行されていた。つまり、サービス機関側の単独の運用ミス。

ここで判断が要る。CUECが機能していたから依拠範囲は維持できる、と読むのか。それともサービス機関の運用ミスが他の月にも潜在しており、依拠範囲を縮小すべき、と読むのか。私は後者寄りで、当該コントロールについては実証的手続を追加し、調書に判断根拠を記載した。文書化：「サービス機関監査人がminorと分類した例外事項を、利用者側のアサーションに当てはめて再評価」と明記。

4. CUEC評価： 田中商事の人事部が行う勤務時間データのレビューと承認プロセスを独立してテスト。タイムカード記録と給与システム入力データの月次照合について、12ヶ月分のうち3ヶ月分をサンプリングして検証。1件、照合表に承認サインがない月を発見。これは田中商事の内部統制不備として別途記載。

結論： SOC報告書のサービス機関側コントロールには依拠可能。ただしCUEC不備により、給与関連勘定の実証的手続を縮小する判断は見送り、当初計画通りの実証手続を維持。

実務チェックリスト

1. 報告書の基本事項： Type 1かType 2か、カバー期間は会計期間と整合するか、ギャップ期間の手続は計画されているか（監基報402.A24）。

2. 適用範囲： 報告書が利用者の財務報告に関連する全サービスをカバーしているか。サブサービス組織がカルブアウト方式で除外されていないか。除外されている場合、別途SOCの入手か代替手続が必要。

3. コントロール目標とアサーションの対応： 各コントロールが財務諸表のどのアサーションに対応するかを整理。利用者とサービス機関の責任分界点を明文化。

4. 例外事項の独自評価： サービス機関監査人の重要性分類をそのまま転記しない。利用者の財務諸表アサーションに当てはめて再評価する。

5. CUEC の独立検証： 補完的利用者統制の設計と運用を、利用者監査人として独立してテスト。SOC報告書のCUEC一覧と利用者の実際の業務を突き合わせる。

6. ブリッジ期間の手続： カバー期間ギャップに対し、ブリッジレターだけで完了させない。重要な変更の有無を別途確認。

現場でよく起きる落とし穴

- SOC報告書を入手しただけで、内容の実質的な検討を省略する。監査調書には「サービス機関監査人がテスト済み。依拠可」とだけ記載。CPAAOBの過年度モニタリングレポートでもSOC関連の指摘はこのパターン。 - カバー期間のギャップに対しブリッジレターのみで完結させ、ギャップ期間中の重要な変更を把握しない。 - CUECの独立した評価を省略し、利用者の自己申告（「やっています」という口頭確認）のみに依存する。 - サービス機関監査人による「minor」分類を、利用者側のアサーション重要性と混同する。