目次

規制フレームワークと適用範囲

ISAE 3402の位置付け


ISAE 3402(国際保証業務基準3402号)は、国際監査・保証基準審議会(IAASB)が公表する国際基準。サービス機関における内部統制の記述および整備・運用状況の保証を目的とする。ISAE 3402.1は「財務報告に係る内部統制に関する保証報告書」と定義している。
適用範囲は全世界。欧州、アジア太平洋、アフリカ、南米の監査法人と利用者企業で受け入れられる。日本公認会計士協会も保証業務実務指針3402号として採用済み。

SOC 2の位置付け


SOC 2(Service Organization Control 2)は、米国公認会計士協会(AICPA)が定める信託サービス基準(Trust Services Criteria)に基づく報告書。セキュリティ、可用性、処理の完全性、機密保持、プライバシーの5つの信託サービス原則を評価対象とする。
適用範囲は主に米国とカナダ。米国の監査法人と利用者企業では標準的に受け入れられるが、他の地域では認知度が限定的。

報告対象の違い

ISAE 3402の評価対象


ISAE 3402.9は評価対象を「利用者企業の財務報告に関連する内部統制」と規定。具体的には売上計上、仕入債務管理、資金管理、データ処理等、利用者企業の財務諸表項目に直接影響する統制活動を対象とする。
統制目標は利用者企業の監査人が設定。ISAE 3402.A8に基づき、統制目標は利用者企業の財務報告リスクと直結する必要がある。セキュリティ統制も、財務データの正確性と完全性に寄与する範囲で評価対象となる。

SOC 2の評価対象


SOC 2は信託サービス原則(TSC)に基づく5つの領域を評価する。セキュリティ(必須)、可用性、処理の完全性、機密保持、プライバシー。財務報告との関連性は二次的。ITセキュリティとプライバシー保護が主要な焦点。
統制目標はAICPAが定めるTSC基準に従う。サービス機関が独自に追加目標を設定することは可能だが、TSC基準を下回ることはできない。

報告書の構成と利用制限

ISAE 3402報告書の構成


ISAE 3402報告書は以下の構成を持つ:
利用制限はない。報告書は利用者企業とその監査人が自由に参照可能。第三者への開示も制限されない。

SOC 2報告書の構成


SOC 2報告書の構成:
利用制限が存在する。SOC 2報告書は「制限利用報告書」に分類され、特定の利害関係者(利用者企業、規制当局、監査人等)のみが利用可能。一般開示は想定されていない。

  • 経営者確認書(ISAE 3402.54):サービス機関経営者による統制の記述と評価の確認
  • 統制の記述:サービス内容、統制目標、統制活動の詳細記載
  • 保証業務実施者の報告書:独立した保証意見と実施手続の記載
  • 統制のテスト結果(Type 2の場合):個別統制のテスト手続と結果
  • 独立監査人の報告書:AICPA基準に基づく意見表明
  • 経営者確認書:5つのTSC領域に関する経営者の責任確認
  • 統制の記述:信託サービス原則ごとの統制活動
  • テスト結果(Type 2の場合):統制の運用テストと例外事項

実践的な選択基準

クライアントの実例: 田中データサービス株式会社
ステップ1: 利用者企業の所在地を確認する
利用者企業の監査人がどの監査基準を使用するか調査。日本企業の監査人は監基報(日本版ISA)を使用するため、ISAE 3402報告書を受け入れる。東南アジア企業の監査人もISAベースの監査基準を使用している場合が多い。
文書化注記: 利用者企業リストと各社監査人の使用基準を監査調書に記載
ステップ2: サービス内容と統制目標を整理する
給与計算サービスは利用者企業の人件費、法定福利費、預り金に直接影響。これらは財務諸表項目そのもの。ISAE 3402の適用範囲に該当する。
文書化注記: サービス内容と影響する財務諸表項目の対応表を作成
ステップ3: 費用対効果を比較する
ISAE 3402 Type 2報告書の作成費用: 約800万円(初年度)、約500万円(次年度以降)
SOC 2 Type 2報告書の作成費用: 約1,200万円(初年度)、約700万円(次年度以降)
ISAE 3402は国際的な受け入れ範囲が広く、費用も抑制的。田中データサービスの場合、ISAE 3402が最適解。
文書化注記: 費用比較表と選択根拠を記録
結論: 利用者企業の所在地が日本と東南アジア中心であり、サービス内容が財務報告に直結するため、ISAE 3402 Type 2報告書を選択。費用対効果も良好で、国際的な認知度も高い。

  • 所在地: 東京
  • 事業内容: 給与計算代行サービス
  • 利用者企業: 日本企業200社、東南アジア企業50社
  • 年間売上高: 45億円
  • 従業員数: 280名

実務チェックリスト

米国中心ならSOC 2、欧州・アジア中心ならISAE 3402を検討
データ処理、資金移動、売上計上等はISAE 3402、ITセキュリティ単独はSOC 2
受け入れ可能な報告書タイプと必要な統制領域を確認
一般開示が必要ならISAE 3402、制限利用で問題なければSOC 2も選択肢
初年度と次年度以降の費用、利用者企業数、国際展開計画を考慮
地理的分布が最も重要な判断基準となる

  • 利用者企業の所在地をマッピングする(ISAE 3402.A5準拠)
  • サービス内容の財務報告関連性を評価する
  • 利用者企業の監査人に事前確認する
  • 報告書の利用制限要件を確認する
  • 費用対効果を定量的に比較する
  • 最重要事項: 利用者企業の事業所在地が選択の決定要因

よくある判断ミス

  • 利用者企業の確認不足: 報告書完成後に利用者企業の監査人が受け入れを拒否。事前確認が不可欠。
  • 費用のみでの判断: 安価な報告書でも受け入れられなければ意味がない。受け入れ可能性を最優先にする。
  • サービス範囲の誤解: ITセキュリティ統制と財務報告統制を混同。ISAE 3402は財務報告関連統制のみが対象。
  • 報告書の対象期間と監査期間の不整合: ISAE 3402.A54が推奨する最低6か月の評価期間と利用者企業の会計期間が一致しておらず、ギャップ期間に対する追加手続の検討を怠る。

関連コンテンツ

実務に役立つ監査の知見を毎週お届けします。

試験対策ではありません。監査を効率化する実践的な内容です。

290以上のガイドを公開20の無料ツール現役の監査人が構築

スパムはありません。私たちは監査人であり、マーケターではありません。