ISAE 3402における補完的利用者実体統制（CUEC）：実例と適用方法

CUECとは何か：ISAE 3402の枠組み

ISAE 3402における統制の分類

ISAE 3402.A31は、サービス組織の統制を2つのカテゴリに分類している。第一に、サービス組織が完全に運用する統制。第二に、補完的利用者実体統制と組み合わせて運用される統制。CUECは後者の一部として、利用者実体側で必要となる統制要素である。
典型的な例は給与計算サービス。サービス組織（給与計算会社）は従業員データを処理し、給与を計算する。しかし従業員の入社・退社通知、昇給情報の承認と伝達は利用者実体（依頼企業）が担当する。この伝達統制がCUECにあたる。
ISAE 3402.A32は、CUECが統制目標の達成に必要である場合、利用者監査人がこれらの統制の設計と運用の有効性を独立して評価する責任を負うと明記している。「サービス組織の監査人が既に評価している」では不十分。利用者実体での実際の運用を確認する。

なぜCUECの評価が重要なのか

給与計算の例を続ける。サービス組織の統制がいくら厳格でも、利用者実体から誤った情報が送られれば、アウトプット（給与支払い）は不正確になる。財務諸表の人件費、未払給与の数値にも影響する。CUECの評価を怠ることは、統制リスクを適切に評価していないことを意味する。
ISAE 3402.A33は、CUECの識別に失敗した場合の帰結を示している。統制の全体像を把握できず、依拠すべき統制とその限界を正しく認識できない。結果として、実証手続の性格、時期、範囲の決定にも影響する。

CUECの識別：SOC 1報告書の読み方

報告書内でのCUEC記載箇所

Type I およびType II のSOC 1報告書には、CUECが明記される場所が決まっている。統制目標ごとに、サービス組織の統制記述の後に「Complementary User Entity Controls」または「Controls that should be implemented by user entities」のセクションが設けられる。
多くの報告書では、この記載が数行程度と簡素である。「User entities should implement controls to ensure data submitted to the service organization is accurate and complete」といった抽象的な表現が使われる。しかし、この表現から具体的な統制手続を特定し、利用者実体での運用状況を評価するのが監査人の職責。

CUECの具体化作業

抽象的なCUEC記述を具体的な統制手続に変換する。給与計算サービスを例にとる：
SOC 1報告書の記載： "User entities should maintain controls to ensure employee data changes are properly authorized before transmission to the service organization."
具体的なCUEC：
この具体化作業を経て、初めて実際の統制テストが可能になる。

新規採用、退職、昇給等の従業員情報変更時に、人事担当者以外による承認を要求する
サービス組織への伝達前に、変更内容を承認者が確認する
伝達済み情報の写しを保管し、毎月の給与レポートと照合する

CUECの評価手続

設計の有効性評価

ISAE 3402.A32に従い、まずCUECの設計が統制目標の達成に適しているか評価する。利用者実体の業務プロセスを理解し、CUECが適切な箇所に配置されているか確認する。
給与計算の例では、人事部門から経理部門、そしてサービス組織への情報の流れを追跡する。各段階で必要な承認、チェック、記録保存が設計されているか。また、例外処理（緊急時の給与変更等）についても統制が設計されているか確認する。

運用の有効性評価

設計の評価後、実際の運用状況をテストする。一定期間（通常は監査対象期間）における統制の実施状況を検証する。
典型的なテスト手続：
サンプル数は、統制の頻度と依拠の程度により決定する。日次統制であれば20～25サンプル、月次統制であれば期間中の全件または統計的サンプリングを適用する。

従業員情報変更依頼書の承認印または電子承認記録の確認
サービス組織への送信記録と承認済み変更依頼書の照合
例外事項（承認なし変更、遅延伝達等）の有無と対応状況の確認
月次給与レポートとの整合性チェック記録の査閲

実務における具体例

クライアント企業： 田中製作所株式会社（従業員150名、売上高45億円の機械部品製造業）
サービス： 給与計算および社会保険手続のアウトソーシング
サービス組織： ペイロール・サポート株式会社

ステップ1：SOC 1報告書からのCUEC抽出

SOC 1報告書の統制目標「給与計算の正確性」に記載されたCUEC：
文書化ノート：各CUECについて、田中製作所での対応する業務プロセスと責任者を特定

ステップ2：利用者実体での統制手続の確認

人事部長への質問と関連文書の入手により、以下の統制手続を確認：
文書化ノート：統制記述書を入手し、実際の業務フローと一致することを確認

ステップ3：運用有効性のテスト

2024年4月から9月の6か月間について以下をテスト：
文書化ノート：テスト結果、発見した例外事項、経営者への報告内容を記録

結論

田中製作所のCUECは適切に設計され、テスト期間中有効に運用されていた。1件の軽微な遅延（昇給情報の伝達が承認から72時間後）があったが、翌月の給与計算前に修正され、財務諸表への影響はなし。給与関連勘定の実証手続は計画通り実施できると判断。

従業員マスタデータの変更は適切に承認され、遅滞なくサービス組織に伝達される
勤怠データは承認済みタイムシートに基づいてサービス組織に提出される
毎月の給与レポートは受領後に内容を確認し、差異があれば調査される
従業員マスタ変更統制： 新規採用は社長承認、給与変更は人事部長承認、退職は総務課長承認。承認後48時間以内にサービス組織の専用システムに入力。
勤怠データ統制： 各部門長が毎月25日までに部下のタイムシートを承認。承認済みデータをExcelファイルでサービス組織に送信。
給与レポート確認統制： 毎月5日に受領する給与明細総括表を人事担当者が前月の勤怠データと照合。差異は翌営業日までにサービス組織に確認。
従業員マスタ変更12件（新規採用4件、昇給6件、退職2件）の承認記録と伝達記録を照合
各月の勤怠データ送信について部門長承認の有無を確認（6か月×5部門=30サンプル）
給与レポート照合記録6件の実施状況と差異対応記録を査閲

CUECの実務チェックリスト

SOC 1報告書の読み込み： 各統制目標に記載されたCUECを抽出し、抽象的記述を具体的手続に変換
利用者実体の業務理解： CUECに対応する実際のプロセス、責任者、頻度、文書化方法を確認
設計評価： 統制手続が統制目標の達成に適していること、業務プロセスの適切な箇所に配置されていることを評価
運用テスト： 監査対象期間における統制の実施状況をテスト（証跡確認、照合、質問）
文書化： 統制記述、テスト手続、結果、結論を監査ファイルに記録
他の監査手続への影響評価： CUEC評価の結果が実証手続の性格、時期、範囲に与える影響を考慮

よくある間違い

SOC 1報告書の記載内容をそのまま信頼し、利用者実体での独立した評価を省略: 国際的な検査では、CUEC評価の不備が頻繁に指摘される
抽象的なCUEC記述の具体化を怠り、実際にテストすべき統制手続が不明確なまま監査を進める
統制テストのサンプル数が不十分で、統制への依拠を正当化するに足る証拠が得られていない
ISAE 3402.A33の要求に反し、CUECの不備が発見された際の実証手続への影響評価を省略: CUECの運用不備は統制リスクの見直しと追加手続の必要性を意味するが、発見事項を記録するだけで監査計画の修正に反映しないケースが散見される