キーポイント
- SOC 2(Service Organization Control)レポートは2種類が存在:Type I(一時点での記述と監査)とType II(期間にわたる運用有効性の検査)。
- Type IIレポートは監査人が9ヶ月以上の運用テストを実施するため、クライアント企業の内部統制評価に最も信頼性が高い。
- SOC 2レポートの評価対象は5つの信頼サービス基準(TSC):セキュリティ、可用性、処理の整合性、機密性、プライバシー。金融機関や規制対象企業は少なくともセキュリティとプライバシー評価を求める。
- 被監査会社が「SOC 2対応」と契約書で謳っていても、実際のレポート日付とスコープを確認する必要がある。多くのクライアント企業は古いレポートを参照し、評価対象範囲の外にあるリスクに気づかない。
仕組み
ISA 402は、サービス機関のコントロール環境をどのように評価するかを定めている。SOC 2レポートはこの要件を直接的に満たす証拠の一つ。
監査人の立場からは、被監査会社がサービス機関(例えば給与計算システム、銀行取引システム、決済ゲートウェイ)に依存している場合、ISA 402.5はサービス機関のコントロールを含めた全体的なリスク評価が必要であると求めている。SOC 2 Type IIレポートは、そのサービス機関がセキュリティとプライバシーのコントロールをどの程度、どの期間にわたって運用しているかを記載する。報告書には監査人による記述的陳述と、そのコントロールの有効性テストの結果が含まれる。
サービス機関のコントロールを自社で直接監査する代わりに、既存のSOC 2レポートを証拠として使用することで、監査工数を削減できる。ただし、レポートの日付、対象期間、評価対象のコントロール範囲を必ず確認する。ISA 402.20は、サービス機関のコントロールが被監査会社の主要な取引処理に関連している場合、サービス機関のコントロールの種類と有効性を把握する必要があると述べている。Type Iレポート(特定日時点での記述のみ)では、その後の期間におけるコントロール運用状況が不明である。Type IIレポート(最低9ヶ月の運用テスト結果を含む)の方が、監査証拠として信頼性が高い。
実例:田中システム提供株式会社
クライアント: 日本の中堅食品製造業、売上12億円、IFRS適用企業、給与計算と販売管理をクラウドシステムで運用。
背景: クライアント企業の給与計算および売上計上処理が外部SaaS事業者(田中システム提供株式会社)のプラットフォーム上で実行されている。監査人は、このシステムを通じた給与債務と売上計上がどのように発生・記録されているかを評価する必要がある。
ステップ1:SOC 2レポートの取得と確認
クライアント企業から田中システム提供のSOC 2 Type IIレポート(2024年3月31日報告)を入手した。レポートの対象期間は2023年4月1日~2024年3月31日。評価されたコントロール領域はセキュリティ、処理の整合性、プライバシー。
ドキュメンテーションノート:「田中システム提供のSOC 2 Type IIレポート(2024年3月31日)を監査ファイルに添付。対象期間:2023/4~2024/3。評価範囲:SC(セキュリティ)、PI(処理の整合性)、CM(機密性)。Type IIであることを確認し、期間の重複がクライアント企業の監査対象期間と合致するか検証。」
ステップ2:コントロール目標との対応を検証
監査人は、田中システム提供のレポートに記載されたコントロール目標が、クライアント企業の給与計算と売上計上のリスク評価に対応しているか確認した。例えば、ISA 402.A38が例示するサービス機関のコントロール(「システムへのアクセス制限」「取引の承認と検証」「例外処理」)がレポートの対象に含まれているかチェック。
ドキュメンテーションノート:「リスク評価の結果、給与計算に関連する主要なリスク(給与額の正確性、給与計上のタイミング)に対応するコントロール目標が、田中システム提供のSOC 2レポートのセクション3『処理の整合性』に記載されていることを確認。例:『給与データの整合性を確保するため、システムは入力値の範囲チェックと承認ワークフローを実行する』。」
ステップ3:監査人の意見の質を評価
レポートに添付されている監査人(独立監査法人)の意見書を精査した。Type IIレポートであれば、監査人はコントロールの運用有効性について明示的な意見を述べている。もしレポートが「コントロールは適切に設計されているが、運用有効性については検査していない」と述べていれば、それはType Iレポートの特性である。その場合、監査人による追加のテストが必要になる。
ドキュメンテーションノート:「監査法人からの意見:『田中システム提供が実施したセキュリティコントロール(ユーザアクセス管理、データ暗号化、監査ログ記録)は、2024年3月31日までの対象期間を通じて、有効に運用されていた。』Type IIの明示的な有効性意見であることを確認。」
ステップ4:時間差による追加確認
SOC 2レポート(2024年3月31日報告)がクライアント企業の被監査期間(2024年1月1日~12月31日)をカバーしていない期間(4月~12月)がある。この期間について、監査人はどのようなテストを追加で実施するかを判断した。短期間(数ヶ月)であれば、クライアント企業に対する直接的なテスト(システム内のアクセスログの抽出、給与計算の月次照合など)で対応できる。長期間であれば、サービス機関に対する直接確認が必要になる。
ドキュメンテーションノート:「SOC 2レポート対象期間:2023/4~2024/3。クライアント企業の被監査期間:2024/1~2024/12。時間差4ヶ月あり。追加テスト方針:2024年4月~12月について、給与計上ファイル500件のサンプリング実施。各給与額がシステム内で正しく計上されているか、承認ワークフローを通じているか、例外処理ログをクライアント企業のシステム管理者から直接確認。」
結論: SOC 2 Type IIレポートは、サービス機関のコントロール環境を理解する上で強力な証拠となり、監査工数を大幅に削減できた。ただし、レポート日付とクライアント企業の被監査期間のズレを認識し、適切な追加テストを計画することが重要。
監査人と実務者がよく間違えること
- よくある誤り第1段階(規制当局の指摘水準): サービス機関がSOC 2対応であると口頭またはマーケティング資料で謳っているだけで、実際のレポートを入手していない、または入手しているが内容を確認していない。ISA 402.20は「サービス機関のコントロール設計と運用有効性」を把握する必要があると求めている。証拠なしでは、この要件を満たしていない。
- よくある誤り第2段階(基準の適用ミス): SOC 2 Type IレポートをType IIレポートと同じ信頼度で扱う。Type Iレポートは対象日時点での「記述」のみを監査法人が確認したもので、その後の期間におけるコントロールの実際の運用については検査していない。被監査期間が長い場合、Type Iレポートだけに依存することは、ISA 402.6(サービス機関のコントロールの有効性を評価すること)の要件に十分に対応していない。
- よくある誤り第3段階(文書化の実務的欠陥): SOC 2レポートを監査ファイルに挟んでいるが、どのコントロール目標がどのリスク評価に対応しているか、なぜそのレポートが証拠として十分なのか、どこから時間差が生じるのかを明記していない。検査官(国際的には金融監督当局、国内的には業界の懸念に基づく)は、証拠の鎖をトレースする。「サービス機関のコントロール環境は適切」という記述だけでは、具体的にどの段落のどのコントロール目標を評価の根拠にしたのかが不明である。
SOC 2 Type I vs Type II
| 側面 | Type I | Type II |
|------|--------|---------|
| 対象期間 | 特定日時点(例:2024年3月31日) | 最低9ヶ月~12ヶ月の期間(例:2023年4月1日~2024年3月31日) |
| 監査内容 | コントロールの設計の妥当性。記述的陳述と実地確認のみ。 | コントロールの設計と運用有効性。9ヶ月以上のコントロール動作の検査。 |
| 監査人の意見 | 「コントロールは適切に設計されている。」 | 「コントロールは有効に運用されている。」 |
| 被監査会社の用途 | 初期段階(新規サービス機関の評価、契約前の確認)で利用。複数月の運用実績が不足している。 | 年次外部監査の主要な証拠。ISA 402の要件を直接的に満たす。 |
| 金融機関・規制対象企業の受け入れ状況 | 受け入れない、または追加テストが必須。 | 最低要件を満たすが、レポート日付とクライアント企業の被監査期間の時間差を埋める必要あり。 |
監査実務での注意点
SOC 2レポートはサービス機関のコントロール環境を理解するための証拠だが、それ自体が被監査会社の監査を完結させるわけではない。ISA 402.21は、監査人が「サービス機関のコントロール環境を考慮し、被監査会社のリスク評価をどのように調整するか」を判断する責任があると述べている。
実務上、以下の点を確認する:
- レポート発行機関の信頼性: SOC 2レポートは通常、大手監査法人またはセキュリティ監査に特化した専門家によって発行される。発行機関が AICPA認定か、または被監査会社の大口監査人と同等の信頼度を有しているか確認。
- 評価対象コントロールの範囲: SOC 2レポートの「管理範囲」が、被監査会社の主要な取引処理をカバーしているか。例えば、給与計算を外部システムで処理する場合、給与計上に関連するコントロール(データ入力の承認、例外処理、期末調整)がレポートの対象に含まれているか。
- 時間差の管理: レポートの対象期間がクライアント企業の被監査期間と完全に一致することは稀。時間差があれば、その期間における被監査会社自身のテストを実施する。
- マネジメント陳述書との整合性: SOC 2レポートに「サービス機関は給与計算システムの可用性を99.9%以上保証する」と記載されていても、被監査会社が「システムダウンにより給与計上が1日遅延した」と述べている場合、その乖離を調査。
関連する用語
- ISA 402(サービス機関): サービス機関のコントロール環境を監査人がどのように考慮するかを定める基準。SOC 2レポートはISA 402の実務的な応用例。
- 内部統制(被監査会社): 被監査会社が、サービス機関のコントロール環境を含めた全体的な内部統制環境をどのように構成しているか。ISA 315はこの全体像の把握を求めている。
- サービス機関のコントロール(Type A / Type B): SOC 2レポートではコントロール目標を「Type A(サービス機関が所有し、設計・運用する)」と「Type B(被監査会社の側で実装が必要)」に分類することがある。ただしこれはSOC 2固有の分類で、ISA 402では規定していない。
- 監査人の責任: ISA 402.A1では、監査人はサービス機関のコントロール環境を「直接評価」することと「既存の評価(SOC 2レポート等)を利用」することの両方のアプローチを選択できると述べている。SOC 2レポートはあくまで証拠の源泉。最終的な判断は被監査会社の監査人が行う。
関連コンテンツ
- ISA 402 ガイド: サービス機関のコントロール評価の全体的なフレームワーク
- 内部統制評価チェックリスト: 被監査会社の内部統制環境を体系的に評価するツール
- サービス機関リスク評価マトリクス: サービス機関の特性に応じたリスク評価の優先順位付けワークシート