3つのレポートの仕組み

SOC報告書はすべてサービス提供者の内部統制を第三者監査人が検証する仕組みである。AICPA AT-C セクション105では、監査人が統制の設計・運用有効性を評価し、年次報告書として発行することを求めている。
SOC 1(正式名:サービス提供者の財務報告に関連する内部統制に関する監査人の報告)は、利用企業の財務報告プロセスに影響を及ぼすサービス機能に限定される。例えば、給与処理アウトソーサーの場合、給与計算・支払・税務申告に関する統制が対象である。SOC 2は統制目標が異なる。セキュリティ(システムへのアクセス制御)、可用性(システムが必要な時間に利用可能)、処理の完全性(処理が正確・完全・時間内に完了)、機密性(権限のない者がデータにアクセスしない)、プライバシー(個人情報が適切に処理される)の5つのカテゴリーで評価される。SOC 3はSOC 2と同じ5カテゴリーを対象だが、対外的な信用供与目的で詳細な監査結果を公開しない簡潔版である。
監査人の観点からすると、SOC 1報告書がない場合、利用企業の外部監査人は当該サービス提供者の機能が自社の財務報告システムに組み込まれている度合いに応じて、追加的な検証手続(デュアルデーティング手続またはサービス提供者への直接質問)を実施する必要がある。SOC 2報告書がない場合でも、利用企業の監査人が給与計算の正確性やシステムの可用性を評価することはできるが、独立した第三者検証を欠くため、手続量が増加する。SOC 3報告書は利用企業の監査人にとって証拠価値が低い(公開情報であり、詳細な統制評価が含まれていないため)。

3つのレポートを並べて

| 判断軸 | SOC 1 | SOC 2 | SOC 3 |
|---|---|---|---|
| 主な評価対象 | 財務報告に関連する内部統制 | セキュリティ・可用性・完全性 | セキュリティ・可用性・完全性(簡潔版) |
| 利用者 | 被監査会社の外部監査人、利用企業の監査人 | 利用企業のリスク管理部門、規制当局、顧客 | 一般ユーザー、取引先 |
| 報告の詳細さ | 詳細(統制の設計・運用有効性を個別に評価) | 詳細(統制の仕様・テスト結果を含む) | 簡潔(統制の全体的な適切性を述べるのみ) |
| 監査人による使用 | 頻繁(ISA 402の根拠として引用) | 条件付き(ただしセキュリティが財務報告に直結する場合) | 例外的(詳細不足) |
| 報告書の公開性 | 通常、限定公開(利用企業のみに共有) | 限定公開(契約当事者のみに共有) | 公開(一般的に利用可能) |
| 評価期間 | 通常、1年間 | Type I(特定時点)またはType II(最低6ヶ月) | Type II(最低6ヶ月) |

監査実務で使い分ける場面

SOC報告書の有無と種類が監査計画に影響を与える最も顕著な場面は、グループ監査またはアウトソーシング機能が重要な場合である。
被監査会社が給与・福利厚生管理をアウトソーサーに委託している場合を想定する。アウトソーサーがSOC 1報告書を発行していれば、外部監査人は給与計算プロセスの統制評価を当該報告書に依拠でき、独自の立ち入り検査を大幅に削減できる。一方、SOC 1報告書がない場合、外部監査人は給与台帳と総勘定元帳の突き合わせ、給与マスターデータの比較テスト、複数月の給与計算の詳細レビューなど、実質的なテスト手続を多数実施する必要がある。ISA 402.17は、利用企業の監査人が関連情報を得ることができない場合、追加的な手続を実施することを明記している。
セキュリティ侵害リスクが重要な事項である場合、SOC 2報告書が有用である。ただしISA 315.31では、経営者の見積りリスクとして情報システムの脆弱性を挙げている。SOC 2報告書がセキュリティ統制の有効性を第三者検証していれば、経営者による見積りプロセスの信頼性を補強する証拠となり得る。ただし、SOC 2報告書自体は会計監査の直接的な証拠ではなく、システム環境の信頼性評価の支援的資料である。

監査人と実務者がよく誤るところ

Tier 1: 規制検査の指摘
国際的な監査品質検査(PCAOB、FRC)では、サービス組織の統制評価が不十分な監査業務が指摘されている。特に、SOC 1報告書に対する監査人の依拠が無条件であると仮定した業務が対象。PCAOB 2024年検査報告書では、監査人がSOC 1報告書の発行日および評価範囲を確認せずに利用企業の監査計画を策定した事例が報告された。SOC 1報告書は通常、前年度末時点での統制評価であり、当年度の新規システム導入や統制変更を反映していない可能性がある。
Tier 2: 標準参照の実践的誤り
ISA 402.16は、利用企業の監査人がサービス提供者の統制について関連情報を得られない場合、代替的手続を実施することを求めている。多くの事務所は「SOC報告書がない場合」を「手続実施が必要」と認識しているが、SOC報告書がある場合であっても、統制の信頼性が低いと判断された場合は追加手続が必要である。例えば、SOC 1報告書がType II(6ヶ月間の運用有効性の検証)であり、当該報告書のカバー期間が監査対象年度の前半に限定されている場合、後半の統制の有効性は検証されていない。この場合、後半に関する直接質問またはテスト手続を追加する必要がある。
Tier 3: 文書化実務の不十分性
SOC 1報告書を評価する際に、当該報告書のどの統制を依拠根拠としたのか、またはどの統制を依拠の対象外としたのかを監査調書で明記する実務が定着していない。SOC報告書を「参照資料」として添付しているだけで、統制ごとの評価判断が記録されていない事例が散見される。ISA 402.A28では、監査人が利用企業の監査人の観点からサービス提供者の統制の適切性を評価することを明示しており、当該評価プロセスは調書に残す必要がある。

関連する用語

  • ISA 402(利用企業の監査人による関連情報の取得): サービス組織の統制評価方法を規定。SOC報告書の利用条件を含む。
  • サービス提供者の統制テスト: SOC報告書が利用不可の場合の代替手続。
  • Type I報告書対Type II報告書: SOC報告書の形式による評価可能性の違い。
  • 財務報告に関連する統制: SOC 1の対象範囲を定義する概念。
  • ISA 315(リスク評価): 情報システムリスクの評価要件。SOC 2報告書との関連。

実務に役立つ監査の知見を毎週お届けします。

試験対策ではありません。監査を効率化する実践的な内容です。

290以上のガイドを公開20の無料ツール現役の監査人が構築

スパムはありません。私たちは監査人であり、マーケターではありません。