目次

1. 基準フレームワークの相違 2. 保証水準と証拠要件の違い 3. 決定フレームワーク:いつ、どちらを使うか 4. 実務例:欧州クライアントでの適用事例 5. 実務チェックリスト 6. よくある間違い 7. 関連リンク

基準フレームワークの相違

AICPA SOC 1:米国基準による認証

SOC 1報告書はAICPA(米国公認会計士協会)のSSOAE 18基準に基づいて作成される。AT-C Section 320および402が詳細要件を定めており、主に米国GAAPまたはIFRSを適用する財務報告に関連する内部統制が対象となる。

正直なところ、見落としやすいのがSOC 1の証拠基準だ。AICPAの保証基準(旧AT 101)に基づき「合理的な基礎」での意見形成が求められるが、この「合理的」の定義がISAE 3402のものと一致するとは限らない。

ISAE 3402:国際基準による保証業務

ISAE 3402はIAASBが発行する国際保証業務基準の一部である。ISA 315(企業及び企業環境の理解)との整合性が図られており、ISAE 3402.18項は利用者監査人に対し、サービス監査人の報告書が自らの監査業務に与える制約を理解するよう求めている。

2010年7月の発効以降、欧州のほぼ全ての司法管轄区で採用済み。日本では監基報86号(サービス・オーガニゼーションに関連する保証報告書の利用に関する実務指針)がこの基準への準拠を求めている。CPAAOBの検査でもSOC 1とISAE 3402の取り扱いの区別は確認対象になる。

保証水準と証拠要件の違い

サンプリングアプローチの相違

SOC 1では統計的サンプリングでも判断サンプリングでも許容される。サンプルサイズは監査人の職業的判断に委ねられ、明確な最小基準はない。

ISAE 3402.A82からA84項では、統制テストの性質と範囲について具体的な指針を示している。サンプル選択には代表性が求められ、テスト対象期間全体をカバーしなければならない。単一時点のテストは運用有効性の証拠にならない。経験上、ここがSALYで調書を回す時に一番引っかかるポイントである。

報告期間と継続性

SOC 1のタイプII報告書では最低6か月のテスト期間が一般的だが、AICPA基準では3か月でも許容されることがある。ISAE 3402では利用者監査人のリスク評価に資するため、通常12か月のテスト期間が前提となる。

年度監査への影響は大きい。SOC 1の6か月報告書だけでは残り6か月分の統制運用状況について追加の証拠取得が必要になり、繁忙期の作業量が跳ね上がる。

例外事項の報告要件

ISAE 3402.54項は、識別された例外事項について原因と頻度、利用者組織への潜在的影響を詳細に記載するよう求めている。「例外が発見された」だけでは不十分で、利用者監査人が追加手続の要否を判断できるだけの情報がなければならない。

SOC 1は例外事項の記載要件がより柔軟である。サービス監査人の判断で記載レベルが決まるため、同じ例外でもSOC 1とISAE 3402では詳細度に差が出る。本音を言うと、SOC 1の例外記載だけで統制依拠の判断をするのは怖い。

決定フレームワーク:いつ、どちらを使うか

欧州での監査業務において、どちらの報告書を受け入れるかの判断基準を整理する。

ISAE 3402を優先すべき場合

- 監査業務がEU域内の法人で、現地規制当局がISAE 3402準拠を推奨している - サービス組織が収益認識や資金管理など財務プロセスの中核を担っている - 前年度の監査で統制依拠アプローチを採用し、同程度の保証水準が必要

SOC 1を条件付きで受け入れる場合

- サービス組織が米国企業で、ISAE 3402報告書の入手が実質的に困難 - SOC 1がタイプII報告書で、テスト期間が最低12か月をカバーしている - 補完的統制テストを別途実施する計画がある

いずれも不十分な場合

- サービス組織に対する直接的な調査(ISA 402.19項による代替手続) - 統制依拠アプローチの放棄と実証手続の拡大

最終的な判断軸は、監査リスクの水準とサービス組織が担う業務プロセスの重要度である。収益の20%以上を外部委託しているなら、より厳格な証拠基準の適用を検討すべきだろう。

実務例:欧州クライアントでの適用事例

設例:田中物流株式会社

田中物流株式会社(売上高148億円、従業員280名、本社大阪市)は、欧州子会社の配送業務を米国の3PLプロバイダーに委託している。委託範囲は在庫管理から出荷処理、売上計上までの一連のプロセス。2024年12月期監査で、以下の2つの報告書を入手した。

1. SOC 1タイプII報告書(2024年1月1日〜9月30日、9か月間) 2. ISAE 3402タイプII報告書(2024年4月1日〜2025年3月31日、12か月間)

ステップ1. 報告書の範囲確認 SOC 1は米国子会社分のみが対象で、欧州子会社の配送プロセスは含まれていない。ISAE 3402はグローバル統制として欧州オペレーションも対象に含む。 調書記載例:「SOC 1の対象範囲制限により、欧州子会社分は別途統制テスト実施」

ステップ2. テスト期間のギャップ分析 SOC 1の対象期間(1月〜9月)には監査対象期間の最終四半期(10月〜12月)が含まれない。この3か月分は追加の証拠取得が必要になる。 調書記載例:「第4四半期分の統制運用状況について、経営陣への質問書と月次レポートにより補完的証拠を取得」

ステップ3. 例外事項の評価 ISAE 3402報告書で識別された例外は出荷承認統制の3件(全274件のサンプル中)。各例外とも金額的影響は軽微だが、統制の信頼度評価には影響する。 調書記載例:「出荷承認統制の設計は有効だが、運用面で改善余地あり。実証手続でカバー」

ステップ4. 追加手続の実施 SOC 1の制約を補完するため、欧州子会社の在庫実査を期末日に実施。期末売上カットオフテストのサンプルサイズも通常の1.5倍に拡大した。 調書記載例:「サービス組織統制の制約により、実証手続重視のアプローチに変更」

ISAE 3402報告書をメインの証拠とし、SOC 1は参考情報に位置付け。サービス組織統制の評価は「部分的に依拠可能」との結論に到達した。

実務チェックリスト

調書で確認すべき6つのポイント。

1. 報告書の基準準拠性。AICPA SSAE 18かISAE 3402か、基準名と段落番号を記録する 2. 対象期間の妥当性。監査対象期間をフルカバーしているか、ギャップがあれば補完手続を計画する 3. タイプの確認。タイプIは設計有効性のみ、タイプIIは運用有効性も含む。業務に必要なレベルか確認 4. 例外事項の影響評価。識別された例外が監査意見に与える影響を文書化する 5. 補完的統制の存在。利用者組織側の統制(承認、照合、レビュー等)が機能しているかテストする 6. 証拠価値の区別。SOC 1とISAE 3402ではリスク評価上の証拠価値が異なる。同等扱いしない

よくある間違い

関連リンク

- サービス組織統制の評価 - 用語集:統制環境の基本概念と評価手法 - ISAE 3402監査調書テンプレート:段階的なレビュー手順と文書化様式 - SOC報告書vs.内部統制評価の使い分け:統制評価の全体フレームワーク

実務に役立つ監査の知見を毎週お届けします。

試験対策ではありません。監査を効率化する実践的な内容です。

290以上のガイドを公開20の無料ツール現役の監査人が構築

スパムはありません。私たちは監査人であり、マーケターではありません。