ポイント

  • ISAE 3402は審査期間内の内部統制を報告し、SOC 1は報告様式で同様の情報を伝える
  • 両者は異なる利用者企業の期待値と規制要件に対応するため、実務上は両方を発行することもある
  • ISAE 3402 Type IIはSOC 1 Type II相当、ISAE 3402 Type IはSOC 1 Type I相当
  • ISA 402.9は、利用者監査人がISAE 3402またはSOC 1報告書を使用する際、報告書が自身のアサーションに関連する期間と統制目的をカバーしているかを評価することを求めている。報告期間が利用者企業の決算期とずれている場合(例:報告書が9月末まで、決算期が12月末)、利用者監査人はギャップ期間について補完的手続を実施しなければならない

定義と役割

ISAE 3402はサービス提供者の内部統制を評価する国際基準である。監査対象機関(通常はサービス提供者)の経営者が、内部統制を有効に設計・運用していることを、保証の担い手(監査人)が報告する。報告書の読者は利用者企業と監査人である。
SOC 1(System and Organization Controls 1)は、AICPAが開発した報告様式である。サービス提供者の内部統制に対する監査人の所見を、利用者企業に報告するための標準的な形式である。SOC 1は様式であり、基準そのものではない。監査人はAICPA基準に従ってSOC 1報告書を作成する。

対比表

| 要素 | ISAE 3402 | SOC 1 |
|------|-----------|-------|
| 発行国 | ヨーロッパ中心(グローバル採用) | 米国中心 |
| 基準体系 | IAASB(IFAC傘下)の国際基準 | AICPA基準 |
| 報告様式 | A様式、B様式(定型) | Type I、Type II(AICPAが規定) |
| 対象機関 | サービス提供者 | サービス提供者 |
| 報告書の内容 | 内部統制の有効性、リスク、制限 | 内部統制の有効性、リスク、テスト結果 |
| 読者 | 利用者企業、監査人、経営者 | 利用者企業、監査人 |
| 審査期間 | 通常6か月以上(Type II) | 通常6か月以上(Type II) |
| 発行言語 | 各国の言語、英語 | 英語が主流 |

実務で両者の区別が重要な理由

サービス提供者が多国籍企業の場合、ヨーロッパの利用者企業はISAE 3402報告書を、アメリカの利用者企業はSOC 1報告書を求める。同一のサービス提供者が両方の報告書を発行することは珍しくない。利用者企業の監査人は、どの報告書を受け取ったかによって、その後の監査手続が変わる。
ISAE 3402報告書を受け取った場合、利用者監査人は監基報(ISA)530に従ってサンプリングを実施する。SOC 1報告書を受け取った場合、利用者監査人はAICPA基準に従う。どちらの基準を適用するかで、必要な追加手続の種類と量が異なる。

具体例:複数の報告書発行

クラウド会計システム提供企業「テラスウェア」を考える。本社はオランダ、利用者企業はヨーロッパに100社、米国に50社。
テラスウェアはISAE 3402 Type II報告書を発行し、オランダの監査法人がこれを発行する。対象となるサービスは、クラウド会計データの処理、保存、レポート生成である。審査期間は2024年1月1日から2024年12月31日。報告書には、データセキュリティ、変更管理、バックアップと復旧、アクセス制御の4つのコントロール領域が含まれる。
同時にテラスウェアはSOC 1 Type II報告書も発行する。米国の監査法人がAICPA基準に従ってこれを作成する。審査期間は同じ。対象コントロールは同じだが、報告書の形式と用語が異なる。
ヨーロッパの利用者企業のうち1社(ドイツの出版社「ムルダー・フェアラーク」)の監査人は、ISAE 3402報告書を受け取った。この監査人は監基報330に従い、テラスウェアのコントロール有効性テストの結果を信頼できる十分な証拠として評価した。サンプリングを実施する必要はないが、報告書の記述内容が信頼できるかどうかを評価する手続を追加した。具体的には、テラスウェアのシステムで実際にデータロックが機能しているかを、利用者企業のデータで再度検証した。
文書化ノート:ヨーロッパの利用者監査人の調書には「ISAE 3402 Type II報告書を受け取り、コントロール有効性テストの設計と結果をレビュー。追加手続として、取引日時データのロック機能を利用者企業のサンプルで検証。結果は一貫」と記載
米国の利用者企業のうち1社(テキサスの物流企業「ダッシング・ロジスティクス」)の監査人は、SOC 1 Type II報告書を受け取った。この監査人はAICPA基準に従い、テスト手続の結果と監査人の結論をレビューした。AICPA基準ではサンプル外での追加テストが異なる頻度で求められるため、この監査人は報告書の結論に加えて、システムログの独立した検証を実施した。
ダッシング・ロジスティクス側の記述:「SOC 1 Type II報告書を受け取った。AICPA基準に準拠したテスト。クラウド層と顧客層の分離、暗号化、アクセスログのテストを確認。報告書結論に追加検証なし。内部統制の信頼性は十分と判定」
結論:同一のサービス提供者、同一の審査期間、同一の対象コントロールであっても、報告書の基準体系が異なると、利用者監査人が後続の監査手続でとるべきアクション、信頼度、追加テストの必要性が異なる。

実務上の重要な誤解

ISAE 3402とSOC 1の違いは、単なる様式の違いではない。基準体系、期待される保証水準、コントロール評価の粒度が異なる。
まず、ISAE 3402を受け取った利用者監査人が、SOC 1的な期待(例:監査人テストの具体的な方法と結果の詳細記載)をISAE 3402報告書に求めることは誤りである。ISAE 3402報告書では、経営者が内部統制の有効性を説明し、監査人がそれを確認する。SOC 1報告書では、監査人がテスト手続と結果を直接記載する傾向が強い。
次に、利用者監査人が「どちらでもいい」と考えることも誤りである。受け取った報告書の基準に応じて、その後の監査手続の設計が変わる。ISAE 3402報告書に対して、SOC 1的な追加テストをするのは浪費である。逆にSOC 1報告書に対して、ISAE 3402的な経営者による説明を求めるのは無意味である。

関連用語

  • Type I報告書: ある時点におけるサービス提供者の内部統制の設計妥当性を報告。ISAE 3402 Type I、SOC 1 Type Iの両者が存在。
  • Type II報告書: 一定期間におけるサービス提供者の内部統制の有効性を報告。テスト結果を含む。
  • 利用者企業: サービス提供者からサービスを受けている企業。ISAE 3402報告書の読者。
  • サービス提供者: クラウドサービス、給与計算、決済処理など、他社に代わって重要な機能を実行する企業。
  • AAF(Audit and Assurance Framework): ISAE 3402と同様の目的で使われることがある古い用語。英国で使われたが、現在はISAE 3402に統一。

実務に役立つ監査の知見を毎週お届けします。

試験対策ではありません。監査を効率化する実践的な内容です。

290以上のガイドを公開20の無料ツール現役の監査人が構築

スパムはありません。私たちは監査人であり、マーケターではありません。