設例:田中物流株式会社 田中物流株式会社(売上高:148億円、従業員280名、本社:大阪市)は、欧州子会社の配送業務を米国の3PLプロバイダーに委託している。委託範囲は在庫管理、出荷処理、売上計上の一連のプロセス。2024年12月期監査で、以下の2つの報告書を入手した: ステップ1:報告書の範囲確認 SOC 1報告書は米国子会社分のみを対象とし、欧州子会社の配送プロセスは含まれていない。ISAE 3402報告書はグローバル統制として欧州オペレーションも対象に含む。 監査調書への記載:「SOC 1の対象範囲制限により、欧州子会社分は別途統制テスト実施」 ステップ2:テスト期間のギャップ分析 SOC 1の対象期間(1月〜9月)には、監査対象期間の最終四半期(10月〜12月)が含まれない。この3か月について、追加的な証拠取得が必要。 監査調書への記載:「第4四半期分の統制運用状況について、経営陣への質問書と月次レポートにより補完的証拠を取得」 ステップ3:例外事項の評価 ISAE 3402報告書で識別された例外:出荷承認統制の3件の例外(全274件のサンプル中)。各例外とも金額的影響は軽微だが、統制の信頼度評価に影響。 監査調書への記載:「出荷承認統制の設計は有効だが、運用面で改善余地あり。実証手続でカバー」 ステップ4:追加手続の実施 SOC 1報告書の制約を補完するため、欧州子会社の在庫実査を期末日に実施。また、期末売上カットオフテストのサンプルサイズを通常の1.5倍に拡大。 監査調書への記載:「サービス組織統制の制約により、実証手続重視のアプローチに変更」 結論: ISAE 3402報告書をメインの証拠とし、SOC 1報告書は参考情報として位置付け。サービス組織統制の評価は「部分的に依拠可能」との結論に到達。
目次
基準フレームワークの相違
AICPA SOC 1:米国基準による認証
SOC 1報告書はAICPA(米国公認会計士協会)のSSOAE 18基準に基づいて作成される。AT-C Section 320および402が詳細要件を定めており、主に米国GAAPまたはIFRSを適用する財務報告に関連する内部統制を対象とする。
重要な点は、SOC 1の証拠基準がAICPAの保証基準に依拠していることだ。SSAO 1(旧AT 101)に基づき、「合理的な基礎」での意見形成が求められるが、この「合理的」の定義がISAE 3402のものと一致するとは限らない。
ISAE 3402:国際基準による保証業務
ISAE 3402はIAASBが発行する国際保証業務基準の一部で、ISA 315(企業及び企業環境の理解)との整合性が明確に図られている。特に、ISAE 3402.18項は利用者監査人に対し、サービス監査人の報告書が自らの監査業務に与える制約を理解するよう求めている。
この基準は2010年7月の発効以降、欧州のほぼ全ての司法管轄区で採用されている。日本では監査・保証実務委員会実務指針第86号「サービス・オーガニゼーションに関連する内部統制の保証報告書を利用する監査人の監査上の取扱い」で準拠を求めている。
保証水準と証拠要件の違い
サンプリングアプローチの相違
SOC 1では、統計的サンプリングまたは判断サンプリングのいずれも許容される。サンプルサイズは監査人の職業的専門家としての判断に委ねられ、明確な最小基準はない。
ISAE 3402.A82からA84項では、統制テストの性質と範囲について、より具体的な指針を提供している。サンプル選択には代表性が要求され、テスト対象期間全体をカバーする必要がある。単一時点でのテストは原則として運用有効性の証拠にならない。
報告期間と継続性
SOC 1のタイプII報告書では、最低6か月のテスト期間が一般的だが、AICPA基準では3か月でも許容される場合がある。一方、ISAE 3402では、利用者監査人のリスク評価に資するため、通常12か月のテスト期間を前提とする。
この違いは、年度監査での利用可能性に直結する。SOC 1の6か月報告書だけでは、残り6か月の統制運用状況について追加的な証拠取得が必要になる。
例外事項の報告要件
ISAE 3402.54項は、識別された例外事項について、その原因、頻度、利用者組織への潜在的影響を詳細に記載するよう求めている。単に「例外が発見された」では不十分で、利用者監査人が追加手続の必要性を判断できる情報が必要だ。
SOC 1では例外事項の記載要件がより柔軟で、サービス監査人の判断による記載が認められる。結果として、同じ例外でもSOC 1とISAE 3402では記載の詳細度が異なることがある。
決定フレームワーク:いつ、どちらを使うか
欧州での監査業務において、どちらの報告書を受け入れるかの判断基準は以下の通り:
ISAE 3402を優先すべき場合:
SOC 1を条件付きで受け入れる場合:
いずれも不十分な場合:
判断の最終決定要因は、監査リスクの水準とサービス組織が担う業務プロセスの重要性だ。収益の20%以上を外部委託している場合、より厳格な証拠基準の適用を検討する。
- 監査業務がEU域内の法人で、現地規制当局がISAE 3402準拠を推奨している
- サービス組織が重要な財務プロセス(収益認識、資金管理、給与計算)を担当している
- 前年度の監査で統制依拠アプローチを採用し、同程度の保証水準が必要
- サービス組織が米国企業で、ISAE 3402報告書の入手が実質的に困難
- SOC 1がタイプII報告書で、テスト期間が最低12か月をカバーしている
- 追加の補完的統制テストを実施する計画がある
- サービス組織に対する直接的な調査(ISA 402.19項による代替手続)
- 統制依拠アプローチの放棄と、実証手続の拡大
実務例:欧州クライアントでの適用事例
設例:田中物流株式会社
田中物流株式会社(売上高:148億円、従業員280名、本社:大阪市)は、欧州子会社の配送業務を米国の3PLプロバイダーに委託している。委託範囲は在庫管理、出荷処理、売上計上の一連のプロセス。2024年12月期監査で、以下の2つの報告書を入手した:
ステップ1:報告書の範囲確認
SOC 1報告書は米国子会社分のみを対象とし、欧州子会社の配送プロセスは含まれていない。ISAE 3402報告書はグローバル統制として欧州オペレーションも対象に含む。
監査調書への記載:「SOC 1の対象範囲制限により、欧州子会社分は別途統制テスト実施」
ステップ2:テスト期間のギャップ分析
SOC 1の対象期間(1月〜9月)には、監査対象期間の最終四半期(10月〜12月)が含まれない。この3か月について、追加的な証拠取得が必要。
監査調書への記載:「第4四半期分の統制運用状況について、経営陣への質問書と月次レポートにより補完的証拠を取得」
ステップ3:例外事項の評価
ISAE 3402報告書で識別された例外:出荷承認統制の3件の例外(全274件のサンプル中)。各例外とも金額的影響は軽微だが、統制の信頼度評価に影響。
監査調書への記載:「出荷承認統制の設計は有効だが、運用面で改善余地あり。実証手続でカバー」
ステップ4:追加手続の実施
SOC 1報告書の制約を補完するため、欧州子会社の在庫実査を期末日に実施。また、期末売上カットオフテストのサンプルサイズを通常の1.5倍に拡大。
監査調書への記載:「サービス組織統制の制約により、実証手続重視のアプローチに変更」
結論: ISAE 3402報告書をメインの証拠とし、SOC 1報告書は参考情報として位置付け。サービス組織統制の評価は「部分的に依拠可能」との結論に到達。
- SOC 1タイプII報告書(2024年1月1日〜9月30日、9か月間)
- ISAE 3402タイプII報告書(2024年4月1日〜2025年3月31日、12か月間)
実務チェックリスト
監査調書で確認すべき6つのポイント:
- 報告書の基準準拠性:AICPA SSAE 18かISAE 3402か、基準名と段落番号を記録する
- 対象期間の妥当性:監査対象期間をフルカバーしているか、ギャップがある場合の補完手続を計画する
- タイプの確認:タイプIは設計有効性のみ、タイプIIは運用有効性も含む。業務に必要なレベルかチェック
- 例外事項の影響評価:識別された例外が監査意見に与える影響を文書化する
- 補完的統制の存在:利用者組織側の統制(承認、照合、レビュー等)が機能しているかテストする
- 最重要項目:SOC 1とISAE 3402では証拠価値が異なる。リスク評価で同等扱いしない
よくある間違い
- SOC 1タイプIを運用有効性の証拠として使用:設計有効性のみの報告書で統制依拠は不可
- 報告書の対象期間を確認せずにファイリング:期間外の統制運用について追加証拠なしでは不十分
関連リンク
- サービス組織統制の評価 - 用語集:統制環境の基本概念と評価手法
- ISAE 3402監査調書テンプレート:段階的なレビュー手順と文書化様式
- SOC報告書vs.内部統制評価の使い分け:統制評価の全体フレームワーク