ISAE 3402 対 SOC 1

ポイント

- ISAE 3402は審査期間内の内部統制を報告し、SOC 1は報告様式で同様の情報を伝える - 両者は異なる利用者企業の期待値と規制要件に対応するため、実務上は両方を発行することもある - ISAE 3402 Type IIはSOC 1 Type II相当、ISAE 3402 Type IはSOC 1 Type I相当

定義と役割

ISAE 3402はサービス提供者の内部統制を評価する国際基準である。監査対象機関（通常はサービス提供者）の経営者が、内部統制を有効に設計・運用していることを、保証の担い手（監査人）が報告する。報告書の読者は利用者企業と監査人である。

SOC 1（System and Organization Controls 1）は、AICPAが開発した報告様式である。サービス提供者の内部統制に対する監査人の所見を、利用者企業に報告するための標準的な形式である。SOC 1は様式であり、基準そのものではない。監査人はAICPA基準に従ってSOC 1報告書を作成する。

対比表

判断が始まる場所

判断が始まるのはここから。 ISAE 3402報告書を受け取った利用者監査人が、テスト手続の具体的記載がSOC 1より簡素であることを理由に「追加手続が必要」と判断するか、それとも「基準体系が異なるだけ」と判断するかで、監査工数が大きく変わる。監基報402（サービス組織を利用する被監査会社に関連する監査上の考慮事項）は両報告書を認める。しかし「どちらの基準を前提にどの程度の証拠を得たか」の文書化を要求している。ここを曖昧にしたまま進むと、繁忙期の後半で追加手続の要否が問題になる。

実務で両者の区別が重要な理由

サービス提供者が多国籍企業の場合、ヨーロッパの利用者企業はISAE 3402報告書を、アメリカの利用者企業はSOC 1報告書を求める。同一のサービス提供者が両方の報告書を発行することは珍しくない。利用者企業の監査人は、どの報告書を受け取ったかによって、その後の監査手続が変わる。

ISAE 3402報告書を受け取った場合、利用者監査人は監基報（ISA）530に従ってサンプリングを実施する。SOC 1報告書を受け取った場合、利用者監査人はAICPA基準に従う。どちらの基準を適用するかで、必要な追加手続の種類と量が異なる。

具体例：複数の報告書発行

クラウド会計システム提供企業「テラスウェア」を考える。本社はオランダ、利用者企業はヨーロッパに100社、米国に50社。

テラスウェアはISAE 3402 Type II報告書を発行し、オランダの監査法人がこれを発行する。対象となるサービスは、クラウド会計データの処理、保存、レポート生成である。審査期間は2024年1月1日から2024年12月31日。報告書には、データセキュリティ、変更管理、バックアップと復旧、アクセス制御の4つのコントロール領域が含まれる。

同時にテラスウェアはSOC 1 Type II報告書も発行する。米国の監査法人がAICPA基準に従ってこれを作成する。審査期間は同じ。対象コントロールは同じだが、報告書の形式と用語が異なる。

ヨーロッパの利用者企業のうち1社（ドイツの出版社「ムルダー・フェアラーク」）の監査人は、ISAE 3402報告書を受け取った。この監査人は監基報330に従い、テラスウェアのコントロール有効性テストの結果を信頼できる十分な証拠として評価した。サンプリングを実施する必要はないが、報告書の記述内容が信頼できるかどうかを評価する手続を追加した。具体的には、テラスウェアのシステムで実際にデータロックが機能しているかを、利用者企業のデータで再度検証した。

文書化ノート：ヨーロッパの利用者監査人の調書には「ISAE 3402 Type II報告書を受け取り、コントロール有効性テストの設計と結果をレビュー。追加手続として、取引日時データのロック機能を利用者企業のサンプルで検証。結果は一貫」と記載

米国の利用者企業のうち1社（テキサスの物流企業「ダッシング・ロジスティクス」）の監査人は、SOC 1 Type II報告書を受け取った。この監査人はAICPA基準に従い、テスト手続の結果と監査人の結論をレビューした。AICPA基準ではサンプル外での追加テストが異なる頻度で求められるため、この監査人は報告書の結論に加えて、システムログの独立した検証を実施した。

ダッシング・ロジスティクス側の記述：「SOC 1 Type II報告書を受け取った。AICPA基準に準拠したテスト。クラウド層と顧客層の分離、暗号化、アクセスログのテストを確認。報告書結論に追加検証なし。内部統制の信頼性は十分と判定」

結論：同一のサービス提供者、同一の審査期間、同一の対象コントロールであっても、報告書の基準体系が異なると、利用者監査人が後続の監査手続でとるべきアクション、信頼度、追加テストの必要性が異なる。

現場で分かれる判断：Aパートナー vs Bパートナー

ISAE 3402 Type II報告書の記述内容を「十分な監査証拠」として受け入れるか、追加の独立検証を重ねるか。この判断でパートナーの意見が割れることがある。

Aパートナー（報告書を信頼する）: ISAE 3402はIAASBの国際基準。発行監査人も相応の審査を経ている。利用者監査人が同じ統制を再テストするのは基準の重複であり、費用対効果も悪い。監基報402.18に沿って報告書の検討と利用者側の残余リスク手続を組めば十分。

Bパートナー（独立検証を追加する）: ISAE 3402報告書は発行監査人の結論を示すが、テスト手続の詳細はSOC 1ほど明示されない。被監査会社の財務数値に与える影響が大きい統制（例：取引データの整合性）は、利用者側でサンプルを引いて再確認した方が後のリスクが低い。特に金融庁の検査で「サービス組織統制への依拠根拠」を問われた時の備えになる。

どちらも監基報402の枠内。ただし、被監査会社にとって当該サービスが業務の中核に近いほど、Bパートナーのアプローチの方が品管レビューを通過しやすい傾向がある。

構造的な圧力：なぜ両報告書の区別が軽視されるか

本音を言うと、利用者監査人の視点では「報告書が出ている」というだけで依拠の前提が整う感覚になりやすい。SALYで前年の調書をコピーし、「ISAE 3402 Type II受領、依拠」と1行で済ませる調書は経験上かなりある。繁忙期にサービス提供者の国、発行監査法人、基準体系まで追うのは時間がかかる。しかし被監査会社のシステム環境は毎年変わる。去年SOC 1だった契約が今年はISAE 3402に変わる事例も珍しくない。この変化を追跡できない構造が、誤解の温床になる。

実務上の重要な誤解

ISAE 3402とSOC 1の違いは、単なる様式の違いではない。基準体系、期待される保証水準、コントロール評価の粒度が異なる。

まず、ISAE 3402を受け取った利用者監査人が、SOC 1的な期待（例：監査人テストの具体的な方法と結果の詳細記載）をISAE 3402報告書に求めることは誤りである。ISAE 3402報告書では、経営者が内部統制の有効性を説明し、監査人がそれを確認する。SOC 1報告書では、監査人がテスト手続と結果を直接記載する傾向が強い。

次に、利用者監査人が「どちらでもいい」と考えることも誤りである。受け取った報告書の基準に応じて、その後の監査手続の設計が変わる。ISAE 3402報告書に対して、SOC 1的な追加テストをするのは浪費である。逆にSOC 1報告書に対して、ISAE 3402的な経営者による説明を求めるのは無意味である。

関連用語

- Type I報告書: ある時点におけるサービス提供者の内部統制の設計妥当性を報告。ISAE 3402 Type I、SOC 1 Type Iの両者が存在。 - Type II報告書: 一定期間におけるサービス提供者の内部統制の有効性を報告。テスト結果を含む。 - 利用者企業: サービス提供者からサービスを受けている企業。ISAE 3402報告書の読者。 - サービス提供者: クラウドサービス、給与計算、決済処理など、他社に代わって重要な機能を実行する企業。 - AAF（Audit and Assurance Framework）: ISAE 3402と同様の目的で使われることがある古い用語。英国で使われたが、現在はISAE 3402に統一。

---