Definition
SOC 1はサービス提供者の財務報告に関連する内部統制を報告し、SOC 2はセキュリティ・可用性・処理の完全性を評価し、SOC 3は一般ユーザー向けの簡潔な報告書である。いずれもAICPA(米国公認会計士協会)が定めたサービス組織制御報告書であり、被監査会社またはその利用企業の監査人が評価対象とする可能性がある。管轄はAICPA Service Organization Control Reports。
3つのレポートの仕組み
正直、SOC報告書の違いがわからず、クライアントに「SOC 2をください」と言われて、SOC 1との区別がつかないまま作業した経験は、新人の頃の誰にでもある。私の事務所でも、入所2年目のスタッフが給与アウトソーサーのSOC 2報告書を調書に添付してきて、審査で差し戻された事例があった。財務報告の統制評価にSOC 2は使えない。ここが最初の関門。
SOC報告書はすべてサービス提供者の内部統制を第三者監査人が検証する仕組みである。AICPA AT-C セクション105は、監査人が統制の設計・運用有効性を評価し、年次報告書として発行することを定めている。
SOC 1(正式名:サービス提供者の財務報告に関連する内部統制に関する監査人の報告)は、利用企業の財務報告プロセスに影響を及ぼすサービス機能に限定される。例えば給与処理アウトソーサーの場合、給与計算・支払・税務申告に関する統制が対象。SOC 2は統制目標が異なる。セキュリティ(システムへのアクセス制御)、可用性(システムが必要な時間に利用可能)、処理の完全性(処理が正確・完全・時間内に完了)、機密性(権限のない者がデータにアクセスしない)、プライバシー(個人情報が適切に処理される)の5カテゴリーで評価される。SOC 3はSOC 2と同じ5カテゴリーを対象とするが、対外的な信用供与目的で詳細な監査結果を公開しない簡潔版。
現場の感覚で言うと、SOC 1報告書がない場合、利用企業の外部監査人は当該サービス提供者の機能が自社の財務報告システムに組み込まれている度合いに応じて、追加の検証手続(デュアルデーティング手続またはサービス提供者への直接質問)を実施することになる。SOC 2報告書がない場合でも給与計算の正確性やシステムの可用性を評価することはできるが、独立した第三者検証を欠くため、手続量が増加する。SOC 3報告書は利用企業の監査人にとって証拠価値が低い(公開情報であり、詳細な統制評価が含まれていないため)。
3つのレポートを並べて
| 判断軸 | SOC 1 | SOC 2 | SOC 3 |
|---|---|---|---|
| 主な評価対象 | 財務報告に関連する内部統制 | セキュリティ・可用性・完全性 | セキュリティ・可用性・完全性(簡潔版) |
| 利用者 | 被監査会社の外部監査人、利用企業の監査人 | 利用企業のリスク管理部門、規制当局、顧客 | 一般ユーザー、取引先 |
| 報告の詳細さ | 詳細(統制の設計・運用有効性を個別に評価) | 詳細(統制の仕様・テスト結果を含む) | 簡潔(統制の全体的な概観を述べるのみ) |
| 監査人による使用 | 頻繁(ISA 402の根拠として引用) | 条件付き(ただしセキュリティが財務報告に直結する場合) | 例外的(詳細不足) |
| 報告書の公開性 | 通常、限定公開(利用企業のみに共有) | 限定公開(契約当事者のみに共有) | 公開(一般的に利用可能) |
| 評価期間 | 通常、1年間 | Type I(特定時点)またはType II(最低6ヶ月) | Type II(最低6ヶ月) |
監査実務で使い分ける場面
SOC報告書の有無と種類が監査計画に影響を与える最も顕著な場面は、グループ監査またはアウトソーシング機能が重要な場合。
被監査会社が給与・福利厚生管理をアウトソーサーに委託している場面を想定する。アウトソーサーがSOC 1報告書を発行していれば、外部監査人は給与計算プロセスの統制評価を当該報告書に依拠でき、独自の立ち入り検査を大幅に削減できる。SOC 1報告書がない場合、給与台帳と総勘定元帳の突き合わせ、給与マスターデータの比較テスト、複数月の給与計算の詳細レビューなど、実質的なテスト手続を多数実施する必要がある。監査基準報告書(監基報)402.17は、利用企業の監査人が関連情報を得ることができない場合、追加の手続を実施することを明記している。以降は監基報と略す。
判断が生じるのはここから:SOC 1報告書があっても、当該報告書のカバー期間が監査対象年度と一致していない場合、残り期間の統制をどう評価するか。Aパートナーは「アウトソーサーの経営陣への質問と前年踏襲の確認で足りる」と判断する。Bパートナーは「残り期間について最低3ヶ月のサンプルテストを追加すべき」と主張する。前者は監査効率、後者は証拠の十分性を理由にする。どちらも筋が通る。うちの事務所では、利用企業の規模と残り期間の長さで分岐させているが、明文ルールはない。
セキュリティ侵害リスクが論点となる場面では、SOC 2報告書が有用。監基報315.31は、経営者の見積りリスクとして情報システムの脆弱性を挙げている。SOC 2報告書がセキュリティ統制の有効性を第三者検証していれば、経営者による見積りプロセスの信頼性を補強する証拠となり得る。ただし、SOC 2報告書自体は会計監査の直接的な証拠ではなく、システム環境の信頼性評価の支援的資料にすぎない。
監査人と実務者がよく誤るところ
Tier 1: 規制検査の指摘 国際的な監査品質検査(PCAOB、FRC)では、サービス組織の統制評価が不十分な監査業務が指摘されている。特に、SOC 1報告書に対する監査人の依拠が無条件であると仮定した業務が対象。PCAOB 2024年検査報告書では、監査人がSOC 1報告書の発行日および評価範囲を確認せずに利用企業の監査計画を策定した事例が報告された。SOC 1報告書は通常、前年度末時点での統制評価であり、当年度の新規システム導入や統制変更を反映していない可能性がある。
Tier 2: 標準参照の実践的誤り 監基報402.16は、利用企業の監査人がサービス提供者の統制について関連情報を得られない場合、代替の手続を実施することを求めている。多くの事務所は「SOC報告書がない場合」を「手続実施が必要」と認識しているが、SOC報告書がある場合であっても、統制の信頼性が低いと判断された場合は追加手続が必要。例えばSOC 1報告書がType II(6ヶ月間の運用有効性の検証)で、当該報告書のカバー期間が監査対象年度の前半に限定されている場合、後半の統制の有効性は検証されていない。後半については直接質問またはテスト手続を追加することになる。
Tier 3: 文書化実務の不十分性 多くの事務所がSOC報告書の評価を調書で手薄にするのは、実力不足ではなく時間予算の問題。繁忙期の調書作成時間が逼迫しているため、SOC報告書の20〜30ページを統制ごとに評価する余裕がなく、「SOC 1を参照」と一行だけ書いて済ませる(笑)。しかし監基報402.A28は、監査人が利用企業の監査人の観点からサービス提供者の統制の適切性を評価するよう明示しており、当該評価プロセスは調書に残す必要がある。SOC報告書のどの統制を依拠根拠としたのか、どの統制を依拠の対象外としたのかを統制ごとに明記していない調書は、品管レビューで差し戻される。
関連する用語
- 監基報402(利用企業の監査人による関連情報の取得): サービス組織の統制評価方法を規定。SOC報告書の利用条件を含む。 - サービス提供者の統制テスト: SOC報告書が利用不可の場合の代替手続。 - Type I報告書対Type II報告書: SOC報告書の形式による評価可能性の違い。 - 財務報告に関連する統制: SOC 1の対象範囲を定義する概念。 - 監基報315(リスク評価): 情報システムリスクの評価要件。SOC 2報告書との関連。
---