Definition
正直、本音を言うと、若手の頃にSaaSベンダーの担当者から「うち、SOC 2あります」と口頭で言われて、それで安心して調書に「サービス機関のコントロール環境は信頼できる」と書いたことがある。レポートそのものは見ていないんです。後年の品管レビューで、まさにその一行が指摘された。「実際のレポートを入手していない、または入手しているが内容を確認していない」という形で、CPAAOBの2024年度モニタリングレポートにも同種の事例が並ぶ。SOC 2レポートとは、サービス機関(クラウド事業者、SaaSベンダー、データセンター等)のセキュリティ・可用性・処理の整合性・機密性・プライバシーの各コントロールを、独立した監査人が検証した報告書。発行はAICPA系の枠組みに基づく。ISA 402(監基報402)「サービス機関を利用する事業体の監査」の証拠源として日常的に使う。
キーポイント
- SOC 2はType IとType IIに分かれる。前者は一時点の記述、後者は最低6か月(実務的には9〜12か月)にわたる運用テスト。 - Type IIの方がType Iより監査証拠としての強度は高い。ただし「Type IIだから安心」ではない。テスト窓口の偏り(Q1/Q2に集中、Q3/Q4は対象外)は珍しくない。 - 評価対象はTrust Services Criteria(TSC)の5領域から選ぶ建てつけ。ベンダーが自分に都合のよい領域だけを選んでいる場合がある。 - クライアントが古いレポートを参照し、評価対象範囲の外にあるリスクに気づかない。これが現場で最も多い失敗パターン。
---
仕組み
クライアントが古いレポートを参照し、評価対象範囲の外にあるリスクに気づかない。順序を入れ替えるとこうなる。サービス機関の利用ありと判定された瞬間、ISA 402.5は「サービス機関のコントロールがどの程度、被監査会社の財務報告に関連する内部統制の一部を構成しているか」を理解するよう要求する。理解、です。評価ではない。理解した上で、必要なら追加手続を打つ。SOC 2 Type IIは、その理解を裏付ける証拠として使える。あくまで「使える」。自動的に十分になるわけではない。
ISA 402.20は、サービス機関のコントロールの種類と運用有効性を把握するよう求めている。Type Iしかない場合、運用有効性についての証拠はゼロ。Type IIで補えるのは、対象期間の限り。被監査期間との重複がないなら、その差は調書で埋めるしかない。経験上、ここを文章で1行でも触れていない調書は、後で必ず質問が来る。
実際に何が起きるか。新人スタッフが「SOC 2 Type IIあります」と書かれた契約書を見つける。次にPDFを開く。表紙に「2024年3月期」とある。被監査会社の決算は12月。9か月のズレ。ここで止まれるかどうか。止まれず、そのまま「サービス機関のコントロールは有効」と書いて出すと、品管レビューでも金融庁モニタリングでも、確実に拾われる。
---
実例:田中システム提供株式会社
クライアント: 日本の中堅食品製造業、売上12億円、IFRS適用、給与計算と販売管理をクラウドに移行済。
背景: 給与計算と売上計上のキー処理を外部SaaS(田中システム提供株式会社)が担う。監査人は、給与債務と売上計上の発生・記録経路を理解する必要がある。
ステップ1:SOC 2レポートの取得と確認
クライアントから田中システム提供のSOC 2 Type IIレポート(2024年3月31日付)を入手。対象期間は2023年4月1日〜2024年3月31日。評価されたTSCはセキュリティ、処理の整合性、機密性。ここで一つ。プライバシーが選ばれていない。給与データを扱うのに、です。本音を言うと、これは赤旗。ベンダーがTSCを「自分に都合のよい組み合わせ」で選んでいる典型例。second-order的に言うと、TSCの選択それ自体がベンダー側のリスク選択であり、利用側の監査人がここを問わないと、評価対象から外された領域のリスクは見えない。
調書ノート:「田中システム提供のSOC 2 Type IIレポート(2024年3月31日付)を監査ファイルに添付。対象期間:2023/4〜2024/3。評価範囲:SC・PI・CM。プライバシー(P)は対象外。理由をベンダー側に照会済。給与データの取り扱いリスクについては別途、直接テストで補完する。」
ステップ2:carve-out subservice organizationの確認
レポートを読み進めると、田中システム提供がデータセンター運用を別の事業者(仮にABCクラウド)に委託しており、ABCクラウドは「carve-out」として記述されている。つまり、ABCクラウドのコントロールは田中システム提供のSOC 2の対象に含まれていない。物理セキュリティ、ネットワーク分離、バックアップ、災害復旧——どれも田中システム提供のレポートでは検証されていない。ここで、ABCクラウド単独のSOC 2レポートを別途入手するか、こちら側で直接テストするかの判断が要る。経験上、ベンダーは「ABCクラウドにもSOC 2があります」と即答するが、レポートそのものを出してくるのは2割。残り8割は、追加で問い合わせるか、こちらで代替手続を打つことになる。
調書ノート:「田中システム提供のSOC 2にABCクラウドはcarve-out subservice org として記載。物理・ネットワーク・DRはレポート対象外。ABCクラウドのSOC 2(2024年通期)を追加入手。なければ被監査会社のシステム管理者経由でログ抽出と運用記録の閲覧で代替。」
ステップ3:監査人の意見書の確認
田中システム提供のレポートに添付された監査人意見を精査。発行者は中堅監査法人。Big4ではない。ここでパートナー間の議論になる。
ステップ4:時間差の補完
被監査期間は2024年1月1日〜12月31日。SOC 2の対象期間は2023年4月1日〜2024年3月31日。重複は2024年1〜3月の3か月のみ。残り9か月(2024年4〜12月)は別途手続。給与計上ファイルから500件サンプリングし、システム内のアクセスログ・承認ワークフロー・例外処理ログをクライアントの管理者から直接取得。ここまでやってようやく「サービス機関の利用に関する監査証拠は十分」と書ける。
調書ノート:「重複期間:2024/1〜3。残り9か月は直接テスト。サンプル500件、給与計算ファイルから抽出。アクセスログ・承認ワークフロー・例外処理を確認。」
結論: SOC 2 Type IIは強力な証拠。ただし、carve-outとTSC選択と時間差、この3点を調書で言語化していなければ、「レポートを入手した」事実だけでは何も終わっていない。
---
パートナー間の意見の相違
非Big4が発行したSOC 2レポートをどう扱うか。ここで実際にパートナー間の判断が割れる。
Aパートナー:レポートに記載されたAICPA基準への準拠声明と独立性の宣言を信頼する立場。「監査法人の名前で内容を判定するのは差別的だし、合理性がない。AICPA基準は基準であって、誰が適用しても同じ結果が出るはず。発行者がBig4でなくとも、独立性宣言と準拠声明があれば、利用側で重ねてテストする必要はない」。
Bパートナー:発行者の規模・経験を問わず、財務諸表監査に重要な影響を持つコントロールについては利用側でも直接テストする立場。「正直、過去にBig4以外のSOC 2で、運用テストの母集団がそもそも小さすぎて意見の根拠が薄かった事例を複数見ている。発行者の独立性宣言は最低限の前提であって、それだけで監査証拠としての十分性は担保できない。中堅・小規模法人のSOC 2は、レポートの記載内容と実際の運用テストの厚みを、こちらで読み込む必要がある」。
これが二次的な洞察にもつながる。SOC 2の信頼度は「Type IIかどうか」だけで決まらない。発行者の検査能力、TSCの選択、carve-outの範囲、テスト窓口の時期、サンプルサイズ。この5つを調書で評価していなければ、Type IIの一行を引用しただけの信頼は、品管審査では持たない。
---
歪んだインセンティブ — テスト窓口の偏り
SaaSベンダーには、営業サイクル上、Type IIをできるだけ早く出したい強い圧力がかかる。新規顧客の調達条件としてSOC 2 Type IIを要求されるから。結果として、運用テストの窓口がQ1〜Q2に集中し、Q3〜Q4はテスト対象から外れる事例が出る。9か月の運用テストといっても、その9か月がどこに置かれているかで証拠の意味は変わる。クライアント企業の繁忙期(決算前後)が含まれていなければ、その時期の運用有効性については、SOC 2は何も語っていない。
これは構造的な圧力。ベンダー個社の問題ではない。SaaS市場の調達慣行が、テスト窓口の前倒しを誘発する。利用側の監査人は、対象期間の「位置」を必ず確認する。期末を含むかどうか。繁忙期を含むかどうか。含まないなら、その期間は別途。
---
監査人と実務者がよく間違えること
- 誤り第1段階(規制水準): ベンダーが「SOC 2あります」と口頭・営業資料で謳っているだけで、実際のレポートを入手していない、入手していても内容を読み込んでいない。ISA 402.20が求めるサービス機関のコントロールの「設計と運用有効性の把握」は、PDFを開かずには成立しない。
- 誤り第2段階(基準適用): Type IをType IIと同等に扱う。Type Iは特定日時点の「設計の記述」だけを監査人が確認したもの。運用有効性についてのテスト結果はゼロ。被監査期間が長いのにType Iだけで進めるのは、ISA 402.6の要件を満たしていない。
- 誤り第3段階(文書化): SOC 2レポートを監査ファイルに挟むだけ。どのコントロール目標がどのリスクに対応するか、carve-outは何か、TSCの選択はなぜそれか、時間差はどう埋めたか。これらが調書に書かれていない。CPAAOB検査の現場感覚で言うと「証拠の鎖が切れている」。「サービス機関のコントロール環境は適切」という一文だけでは、どの段落のどのコントロールを根拠にしたかが追えない。
---
SOC 2 Type I vs Type II
| 側面 | Type I | Type II |
|---|---|---|
| 対象期間 | 特定日時点(例:2024年3月31日) | 最低6か月、実務的には9〜12か月(例:2023/4〜2024/3) |
| 監査内容 | コントロールの設計の妥当性。記述の確認のみ。 | 設計に加えて運用有効性。期間中のコントロール動作のテスト。 |
| 監査人の意見 | 「コントロールは設計されている。」 | 「コントロールは有効に運用されていた。」 |
| 被監査会社の用途 | 初期評価、契約前確認。運用実績は問わない場面で使う。 | 年次外部監査の主要証拠。ISA 402の要件に直接対応。 |
| 金融機関・規制対象企業の受け入れ | 不可、または追加テスト必須。 | 最低要件は満たすが、対象期間の位置と被監査期間との時間差を別途埋める。 |
---
監査実務での注意点
SOC 2は証拠の源泉であって、監査の結論ではない。ISA 402.21は、サービス機関のコントロール環境を踏まえて被監査会社のリスク評価をどう調整するか、その判断責任は利用側の監査人にあると述べている。
実務上、最低限の確認事項。
1. 発行者の検査能力: 発行はAICPA系の枠組みに準拠した監査人。ただし発行者の規模・経験・テスト設計の質はばらつく。Big4以外のSOC 2を扱う場合、レポート本文のテスト設計(サンプル数、テスト窓口、例外件数)を読み込む。
2. TSCの選択範囲: 5つのうち何が選ばれているか。何が選ばれていないか。給与・売上・決済等のクライアント側の主要処理に対応する領域がカバーされているか。
3. carve-outの有無: subservice organizationがcarve-outになっている場合、その範囲のコントロールはレポートの対象外。別ルートで証拠を確保する。
4. 対象期間の位置: 開始日・終了日。被監査期間との重複。繁忙期を含むかどうか。
5. マネジメント陳述書との突合: SOC 2に「可用性99.9%保証」とあっても、被監査会社が「システム停止で給与計上が1日遅延した」と言っているなら、その差を調査。
---
関連する用語
- ISA 402(サービス機関): サービス機関のコントロール環境を利用側監査人がどう考慮するかを定める基準。SOC 2はISA 402の応用例。
- 内部統制(被監査会社): 被監査会社が、サービス機関のコントロール環境を含めた全体の内部統制環境をどう構成しているか。ISA 315はこの全体像の把握を求めている。
- carve-out vs inclusive method: SOC 2の記述方式。carve-outはsubservice orgのコントロールを対象外とする方式、inclusiveは対象に含める方式。利用側の対応はこの選択で大きく変わる。
- Trust Services Criteria(TSC): SOC 2の評価対象領域。セキュリティ、可用性、処理の整合性、機密性、プライバシーの5つから選択。選択それ自体がベンダー側のリスク選択である点に留意。
- 監査人の責任: ISA 402.A1では、サービス機関のコントロール環境の「直接評価」と「既存評価(SOC 2等)の利用」のいずれかを選択できると述べている。SOC 2は証拠の源泉。最終判断は利用側の監査人。
---
関連コンテンツ
- ISA 402 ガイド: サービス機関のコントロール評価の全体像 - 内部統制評価チェックリスト: 被監査会社の内部統制環境を評価するツール - サービス機関リスク評価マトリクス: サービス機関の特性に応じたリスク評価の優先順位付けワークシート
---