SOC 1レポート

主要ポイント

SOC 1レポートは、監査人がサービス組織の内部統制評価時に最初に要求する書類である。
Type I（特定時点での統制設計の有効性）とType II（一定期間における統制の運用有効性）の2つの形式がある。
ISA 402.A19では、利用者企業の監査人がSOC 1レポートの信頼性を評価する際に、サービス組織監査人の能力と独立性を確認することを求めている。
SOC 1レポートの対象期間と被監査会社の会計期間にギャップがある場合、ISA 402.A25に基づき、監査人はギャップ期間に関する追加手続を検討しなければならない。

仕組み

SOC 1レポートはサービス組織側の監査人が作成する。金融機関のデータセンター、クラウド会計ソフト提供企業、給与計算アウトソーシング事業者など、顧客の財務記録または取引を処理・保管する組織が対象となる。
ISA 402の利用者企業の監査人（つまり、被監査企業の監査を担当する監査人）は、サービス組織の内部統制に依存する場合、そのサービス組織の統制評価が必要である。SOC 1レポートはこの評価を外部から取得する最も直接的な手段である。
Type Iレポートは、特定の日付（通常は期末）におけるサービス組織の統制設計が適切であるかを述べている。統制が実際に機能したかどうかは含まない。Type IIレポートは、6ヶ月以上の期間にわたり統制がどの程度有効に運用されたかを記載する。ISA 402.A25では、利用者企業の監査人が「Type Iレポートのみでは、十分な監査証拠を得られない可能性がある」と述べている。ほとんどの状況でType IIが必要である。
サービス組織監査人による記述（管理上の説明）には、テスト対象の統制、テスト期間、テスト結果が含まれる。利用者企業の監査人はこの記述を読み、自社の監査の範囲内で信頼できるかを判断する。信頼性評価の要点はISA 402.16で定義されている。信頼できない、または不適切な記述であれば、利用者企業の監査人は追加的な監査手続を実施しなければならない。

実践例：テクノロジー企業でのSOC 1活用

被審査企業： ドイツの医療機器メーカー、ハイデルベルク所在、従業員280名、売上€58M、IFRS報告。年度監査実施中（FY2024）。
状況： 企業の給与計算と時間管理システムをスイスのクラウド型アウトソーシング企業に委託している。給与の適切性テスト、給与計算の精度確認が監査で必須である。
Step 1: SOC 1レポートの要求
監査人は、被審査企業の財務負責者に対して、サービス組織（給与計算事業者）のSOC 1レポートの提供を要求した。
文書化ノート：「給与計算統制に関するSOC 1 Type IIレポート（2023年10月1日〜2024年9月30日）」を監査ファイルに添付。サービス組織監査人の名前、監査事務所、独立性陳述書を確認。
Step 2: サービス組織監査人の能力と独立性の評価
ISA 402.16に基づき、監査人はサービス組織監査人の専門的能力、独立性、監査事務所の評判を確認した。大手事務所による監査であり、給与計算システム監査の経験が豊富であることを確認。外部的な独立性侵害（例：サービス組織が給与計算事業者の大株主である）もないことを確認した。
文書化ノート：「サービス組織監査人の能力評価」シートに、事務所ランキング、当該監査人の年数、同様の監査経験を記録。独立性陳述書をスキャン。
Step 3: SOC 1記述内容の検討
SOC 1 Type IIレポートの「統制環境」「リスク評価プロセス」「給与計算ロジックの承認」「システムアクセス制御」「月次与表の検証」についての記述を読み、被審査企業の給与処理に該当する統制がカバーされているかを確認。記述の日付（2024年3月現在のレビュー）と被審査企業の期末（2024年9月30日）の間隔が6ヶ月以内であることを確認。
文書化ノート：「SOC 1記述の関連性評価」に、カバー期間、記述日、被審査企業に適用される統制項目3つ（「給与マスターデータ変更承認」「月次給与計算プロセス」「給与振込確認」）をリスト化。
Step 4: サービス組織監査人による監査人の意見
サービス組織監査人は、SOC 1レポート内で、記述された統制が適切に設計されており、テスト期間（2023年10月1日〜2024年9月30日）を通じて有効に運用されていたことを述べている。意見に除外事項（「以下の点を除き」）がないかを確認。除外事項がある場合、そのリスクが被審査企業の給与処理に直接影響するかを判断。この例では除外事項なし。
文書化ノート：「サービス組織監査人の意見」ページをコピー。意見が無制限（unqualified）であることを確認し、日付（2024年3月15日）と署名者の資格をチェック。
Step 5: 利用者企業の監査手続の範囲決定
SOC 1 Type IIレポートの内容、サービス組織監査人の能力と独立性、意見の内容に基づき、被審査企業の給与処理監査で以下を実施する方針を決定：(1) 給与マスターデータサンプルの実査（月次チェンジログから抽出、5件の給与額変更について変更承認証跡を確認）、(2) 月次の給与計算ロジック検証（3ヶ月分の給与計算ファイルをダウンロードし、数式の整合性をテスト）。SOC 1で記述された統制が有効に運用されていると仮定し、利用者企業監査人は詳細なシステム監査（アクセス制御全体のレビュー、ネットワークセキュリティ評価）は実施しない判断。
文書化ノート：「サービス組織統制への依存度評価」シートに、SOC 1に基づく評価結論「給与計算統制は有効性が高い」と、それに基づく監査手続の縮減内容を記載。
結論： SOC 1 Type IIレポートにより、給与計算統制の大部分がサービス組織監査人によって評価・テスト済みであることが確認された。利用者企業の監査人は、この証拠に基づき、被審査企業自体の給与処理テストを標準的なリスク水準で実施することが正当化される。報告書では、サービス組織統制への依存について注記するかどうかをISA 560の基準に基づき判断（通常は注記不要、ただしサービス組織の統制に重大な改善が必要な場合は注記する可能性）。

監査人とレビュアーがよく誤解する点

Tier 1：国際的な検査知見
PCAOB（米国）は2023年の検査報告書で、利用者企業の監査人がSOC 1レポートの有効期限（テスト期間の終了日と被審査企業の期末の間隔）を適切に評価していないケースを複数指摘した。特にType IIレポートの場合、テスト終了日から被審査企業の期末までの期間が長い場合（通常6ヶ月を超える場合）、追加手続の実施を検討すべきと述べられている。日本の公認会計士協会（JICPA）は同様の指摘を国内の検査レポートで公表していないが、ISA 402.A25の「十分性」要件を適用すれば、この原則は共通している。
Tier 2：基準違反の実践的な誤り
利用者企業の監査人が、SOC 1 Type Iレポート（特定時点のみ）で統制の有効性を確認したと誤解し、追加的なテストを実施しないケースがある。ISA 402.16(b)では、サービス組織監査人による評価を「十分な監査証拠」として受け入れるためには、(i) 監査人の専門的能力、(ii) 独立性、(iii) 記述と意見の信頼性が必要と述べられている。Type Iレポートは「一時点での統制設計の有効性」のみを報告するため、運用有効性を立証しない。利用者企業の監査人は、Type Iレポートのみに依存する場合、自社で運用有効性テストを実施するか、Type IIレポート取得を待つかの判断を文書化する義務がある。多くの監査ファイルでこの判断が欠落している。
Tier 3：文書化実務の典型的なギャップ
SOC 1レポートの「制限事項」（Restrictions）を監査人が読まないケースが多い。サービス組織監査人は、SOC 1レポートに「本レポートは被監査企業の指定する利用者企業のみを対象に作成された」という通知を記載する。この通知には、(1) レポート内容をサービス組織以外の第三者に提示してはならない、(2) サービス組織の経営者の明示的な承認なしにレポートを変更してはならない、という法的制限が含まれることがある。利用者企業の監査人は、この制限を認識し、監査ファイルに記録すべき責任がある。

主要ポイント

仕組み

実践例：テクノロジー企業でのSOC 1活用

監査人とレビュアーがよく誤解する点

関連する概念