【USCPA試験】勉強中

USCPA試験 SOCレポートとは?種類、内容、各レポートの違い、出題対策

USCPA試験 SOCレポートとは?種類、内容、各レポートの違い、出題対策
知りたい君
知りたい君
USCPA(米国公認会計士)試験の勉強中だよ。

AICPAのBlueprintsが2021年7月に改正されて、SOCレポートに関する出題が増えると聞いたよ。

SOCレポートってどんなのか知りたいよ。

どこ
どこ
どこは、ワシントン州のUSCPA(米国公認会計士)だよ。

2021年7月のUSCPA試験の変更では、AUDとBECで、SOCレポートに関するトピックが追加されているよ。

今後SOCレポートに関する出題が増えるだろうね。

SOCレポートとは何か、なぜ重要視されるようになったのか、USCPAがSOCレポートについて理解しておいた方がいいことについて見ていこうね。

 

 

2021年7月のUSCPA試験の変更は、データ、テクノロジー、ビジネスプロセスに焦点が当てられています。

ビジネスプロセスや、情報システム内の取引の流れを理解しているかが、これまで以上に問われるようになります。

その一環で、SOCレポートについての出題もAUDとBECで増えてくると思いますので、SOCレポートについて、USCPA受験生のみなさんは、しっかり理解しておいた方がいいでしょう。

 

 

1.SOCレポートとは

まず、「SOCレポート」とは何なのか見ていきましょう。

 

(1)SOCレポートは何なのか?

「SOCレポート」とは、受託監査人が、受託企業の内部統制を監査する際に作成するレポートのことです。

たとえば財務諸表監査で、情報システムの内部統制が見たいけれど、クライアント(委託企業)は外部に委託しているので把握していないということがありえます。

そんなときに、委託企業の監査人(委託監査人)が、委託先に直接監査に行くということになってしまうと、受託企業は、お客さん(委託企業)の数だけ監査人(委託監査人)が監査に来て、監査対応が大変になります。

受託企業が「SOCレポート」を取っておけば、それをお客さん(委託企業)に渡して、お客さん(委託企業)が自分の監査人(委託監査人)に渡せばいいことになります。

監査を受ける負荷を減らせるのが、SOCというしくみなのです。

SOCは、System and Organization Controlsの略で、システムと組織の統制のことです。

関連して、以下のような登場人物がいますので、英語でも覚えておきましょう。

  1. 受託企業:Service Organization
  2. 委託企業:User Organization
  3. 受託監査人: Service Auditor
  4. 委託監査人: User Auditor

 

(2)SOCレポートが発行されるメリット

また、「SOCレポート」が発行されることによるメリットは、以下の通りです。

「SOCレポート」のメリット

  1. 受託企業は、顧客の信頼を得て、より大きな市場シェアと競争力を得ることができる(競合他社と差別化できる)。
  2. 受託企業は、AICPAのガイダンスと基準に基づいて実施される独立監査人の報告書により、利害関係者の信頼と透明性を確保することができる。
  3. 1回の監査で、複数の顧客のさまざまな監査要求を満たすことができる。
  4. SOCレポートに依存することで、他の監査やコンプライアンスの調査をする必要がなくなり、クライアントのコストを削減する。

 

(3)CPAがSOCレポートを理解する必要性

データやIT関連プロセスを外部に委託する企業が増えています。

「SOCレポート」を使用し、受託企業を評価することは、CPAにとって不可欠なスキルとなってきました。

 

CPAは、特定の状況に対し、適切な「SOCレポート」の種類を選択できる必要があります。

また「SOCレポート」の読み方を理解し、重要な情報を特定して解釈できる必要もあります。

 

「SOCレポート」は、テクノロジーを中心とした21世紀の状況において、ビジネスプロセスやコントロールの委託の影響を評価する上で重要な役割を果たします。

CPAが「SOCレポート」を理解する必要性が高まっています。

 

2.SOCレポートの種類と内容

つぎに、「SOCレポート」の種類と内容を見ていきます。

 

AICPAでは、受託企業対象の「SOC for Service Organization」として、3つの内部統制の保証報告の枠組み、SOC1、SOC2、SOC3を定めています。

また、サプライチェーン事業に係る受託企業対象の「SOC for Supply Chain」や、サイバーセキュリティ管理対象の「SOC for Cybersecurity」も公表しています。

詳しくは、こちらを参照してください☟

System and Organization Controls: SOC Suite of Services(システムと組織の統制)

 

受託企業対象のSOCレポートは、以下の3つの種類があります。

SOCレポートの種類

  1. SOC1:委託企業の財務報告に係る内部統制(ICFR)に関連する受託企業の統制に関するレポート
  2. SOC2:セキュリティ、可用性、処理の整合性、機密性、プライバシーに関連する委託企業の統制に関するレポート
  3. SOC3:セキュリティ、可用性、処理の整合性、機密性、プライバシーに関連する委託企業の統制に関する一般利用レポート

 

(1)SOC1レポート

「SOC1レポート」は、受託企業が委託されている業務の中で、委託企業の財務報告に係る内部統制の適切性・有効性を対象とした保証報告書です。

監査人が手続きを実施した結果と意見が表明されます。

 

レポートの対象

  1. サービス組織の財務報告に係る内部統制(ICFR)に基づく
  2. 組織が定義した統制目的および活動を含む

レポートの検証の基準

SSAE 第18号(AT-C 320)

レポートの種類

  1. タイプ1:コントロールの設計と実施を対象とする。
  2. タイプ2:統制の設計、実施、運用の有効性をカバーする。

レポートの利用者

  1. 受託企業の経営者
  2. 委託企業と委託監査人

「SOC1レポート」は、資産運用や、データセンター、システム管理、給与計算などの業務を中心に多くの受託企業が発行しており、委託企業の財務諸表監査の中で利用されています。

タイプ1は、「ある特定の一日を評価するもの」であり、タイプ2は、「最低半年以上の期間を評価するもの」です。

期間が短いタイプ1よりも、期間の長いタイプ2の方が、取得に時間と労力がかかります。

タイプ2の方が、より信頼性が高いと考えられます。

 

(2)SOC2レポート

「SOC2レポート」は、受託企業が記述したセキュリティ、機密保持、可用性、処理の完全性、プライバシーに関連する内部統制を対象とした保証報告書です。

監査法人が手続きを実施した結果と意見を表明します。

 

レポートの対象

5つのトラストサービス基準に基づいています。

  1. セキュリティ:システムは、物理的・論理的な不正アクセスから保護
  2. 可用性:システムは、設計した通りに運用・利用可能
  3. 処理の整合性:システムは、完全・正確・適時に処理
  4. 機密保持:機密扱いとされた情報が、保証または合意した通りに保護
  5. プライバシー:企業の個人情報規定ならびにAICPA/CICAが発行した「一般に公正妥当と認められるプライバシー原則」に基づき、個人情報が収集、利用、保持、開示、破棄

レポートの検証の基準

SSAE第18号(AT-C 105、205)

レポートの種類

  1. タイプ1:コントロールの設計と実施を対象とする。
  2. タイプ2:統制の設計、実施、運用の有効性をカバーする。

レポートの利用者

  1. 受託企業の経営者
  2. 委託企業
  3. 受託業務の内容や運用される基準等を理解したい企業や団体など

財務諸表に直接関連しない、セキュリティ、機密保持、個人の情報などに重点を置いた保証が「SOC2レポート」です。

たとえば、個人情報が漏れたとすると、漏れた時点では財務諸表上の数字に影響はありませんが、損害賠償請求をされたら、損害賠償金を払ったり、引当金を積むなどの対応が必要となり、財務諸表にも影響が出ます。

財務報告目的とは直接的には関係しないけれど、保証がほしいという場合に、お墨付きを与えるのが「SOC2レポート」です。

 

「SOC1レポート」と同じようにタイプ1とタイプ2があります。

また、「SOC2レポート」の使用は制限されます。

 

(3)SOC3レポート

「SOC3レポート」は、セキュリティに関連する内部統制について合理的な保証を提供します。

監査法人が手続きを実施した結果と意見は表明されません。

 

レポートの対象

5つのトラストサービス基準に基づいています。

  1. セキュリティ:システムは、物理的・論理的な不正アクセスから保護
  2. 可用性:システムは、設計した通りに運用・利用可能
  3. 処理の整合性:システムは、完全・正確・適時に処理
  4. 機密保持:機密扱いとされた情報が、保証または合意した通りに保護
  5. プライバシー:企業の個人情報規定ならびにAICPA/CICAが発行した「一般に公正妥当と認められるプライバシー原則」に基づき、個人情報が収集、利用、保持、開示、破棄

レポートの検証の基準

SSAE第18号(AT-C 105、205)

レポートの特徴

  1. 内部統制の記述は限られる
  2. 内部統制とシステムの記述は限定的
  3. 非常に短い

レポートの利用者

  1. 不特定多数の利用者

「SOC3レポート」は、概括的な記載となっており、報告書としては、非常に短く、あっさりとしています。

システムがトラストサービス基準を達成しているかどうか情報を提供する、一般用のレポートです。

 

「SOC3レポート」は、「SOC1レポート」や「SOC2レポート」と異なり、広く公開し、自由に配布することができます。

よって、「SOC3レポート」は、「SOC2」と併せて取得し、受託企業のホームページなどで公開して、信頼性をアピールする手段としても活用されています。

 

(4)SOC1、SOC2、SOC3レポートの比較

最後に、SOC1、SOC2、SOC3の各レポートの比較をしておきます。

SOC1 SOC2 SOC3
対象 財務報告にかかる内部統制 トラストサービス基準にかかる内部統制 トラストサービス基準にかかる内部統制
検証基準 SSAE 第18号(AT-C 320) SSAE第18号(AT-C 105、205) SSAE第18号(AT-C 105、205)
種類 タイプ1とタイプ2 タイプ1とタイプ2 概要レポートのみ
利用者 限定される 限定される 限定されない

 

各レポートの比較については、USCPA試験で問われるポイントが分かりしだい、追記していきます。

 

3.2021年7月改定後のSOCレポートに関する出題

2021年7月のUSCPA試験の改定により、AUDとBECにて、SOCレポートに関するトピックが追加されています。

 

(1)AUDにおけるSOCレポートに関するトピック

AUDにおいては、SOCレポートに関するトピックが3つ追加されています。

AUDでのSOCレポートのトピック3つ

  1. SOC1®の契約とSOC2®の契約の違いを理解する。(Understand the differences between SOC 1® and SOC 2® engagements.)
  2. SOC 1® のタイプ2の 報告書を企業の財務諸表の監査に使用することの影響を含め、企業がサービス機関を利用する目的と意義を特定し、文書化する。(Identify and document the purpose and significance of an entity’s use of a service organization, including the impact of using a SOC 1® Type 2 report in an audit of an entity’s financial statements.)
  3. SOC 1® のタイプ2の 報告書を使用して、企業の財務諸表の監査で実施すべきテスト手順の性質と範囲を決定する。(Use a SOC 1® Type 2 report to determine the nature and extent of testing procedures
    to be performed in an audit of an entity’s financial statements.)

トピックの記載場所

「コンテンツエリアⅡ:リスクの評価と計画的な対応の策定」の「コンテンツグループC:企業の統制環境と、ITシステムを含むビジネスプロセスの理解」

スキルレベルについては、1つ目のトピックは記憶と理解(Remembering and Understanding)で、2つ目と3つ目のトピックは応用(Application)です。

よって、MC問題での出題となる可能性が高いと考えられます。

 

(2)BECにおけるSOCレポートに関するトピック

BECにおいては、SOCレポートに関するトピックが2つ追加されています。

BECでのSOCレポートのトピック2つ

  1. ユーザー企業のニーズに合った適切なSOCレポートを特定し、レビューすることで、対象期間、変更点、補完的なユーザ企業のコントロールといった情報を得る。(Identify the appropriate System and Organization Controls (SOC) for Service Organizations report to meet a user entity’s needs and review the SOC report to obtain information such as the period covered, modifications and complementary user entity controls.)
  2. 第三者からのSOCレポートの使用を含む、クラウドコンピューティングおよびITアウトソーシングの手配に関連するメリット、デメリット、リスクおよびその他の考慮事項を理解する。(Understand the advantages, disadvantages, risks and other considerations associated with cloud computing and IT outsourcing arrangements, including the use of System and Organization Controls (SOC) for Service Organizations reports from third parties.)

トピックの記載場所 2か所

  1. 「コンテンツエリアⅠ:企業リスク管理、内部統制、ビジネスプロセス」の  「コンテンツグループC:ビジネスプロセス」
  2. 「コンテンツエリアⅣ:情報技術」の「コンテンツグループA:情報技術の理解

スキルレベルについては、1つ目のトピックは応用(Application)で、2つ目のトピックは記憶と理解(Remembering and Understanding)です。

よって、MC問題での出題となる可能性が高いと考えられます。

 

(3)SOCレポートについて押さえておきたいこと

SOCレポートについてのトピックに対応するため、押さえておきたいことを3つ挙げます。

①SOC1とSOC2レポートの違いを理解する

USCPA試験では、SOCレポートの違いを理解し、それぞれの適切な使用方法を決定できることが求められるでしょう。

「SOC1レポート」は、委託企業の財務報告に係る内部統制に関連して、受託企業の内部統制を報告するために使用されます。

「SOC2レポート」は、受託企業の内部統制についても報告しますが、運用とコンプライアンスに関連する統制に焦点を当てています。

「SOC2レポート」は、トラストサービス基準(セキュリティ、可用性、処理の整合性、機密性、プライバシーの5つ)のうち、1つまたは複数の構成要素に関する内部統制に焦点を当てています。

「SOC1レポート」と「SOC2のレポート」は、統制の設計と実施について発行されることもあれば(タイプ1)、統制の設計、実施、運用の有効性を含むこともあります(タイプ2)。

 

②監査で「SOC1タイプ2レポート」を使用することの影響を理解する

USCPA試験では、監査における「SOC1タイプ2レポート」の役割を明確に理解し、レポートが関連する監査計画に与える影響を評価することが求められるでしょう。

受託企業の内部統制に関連する「SOC1タイプ2レポート」を入手することは、受託企業の内部統制が企業の統制に与える影響を評価する上で、委託企業の経営者と監査人の両方にとって有効なステップとなります。

「SOC1タイプ2レポート」で、問題や懸念が明らかになった場合、委託企業とその監査人は、問題に対処し、監査全体への影響を評価するため、さらなる時間と資源を費やす必要があります。

「SOC1タイプ2レポート」でクリーンオピニオンが出た場合は、受託企業の信頼を高め、委託企業とその監査人のさらなる負担を軽減することができます。

 

③「SOC1タイプ2レポート」を利用し、監査で実施するテスト手順の性質と程度を決定する

USCPA試験では、「SOC1タイプ2レポート」を評価するために使用される基準に精通していなければなりません。

受託企業提供するサービスの性質と程度によっては、「SOC1タイプ2レポート」は、委託企業の監査に大きな影響を与える可能性があります。

「SOC1タイプ2レポート」を入手し、委託企業の監査人がレポートに満足した場合、評価された管理リスクのレベルを低減するための証拠として利用することができます。

 

 

以上、「USCPA試験 SOCレポートとは?種類、内容、各レポートの違い、出題対策」した。

知りたい君
知りたい君
SOCレポートとは何か、なぜ重要視されるようになったのか、USCPAに求められることが分かったよ。

USCPA試験を受験する上で、SOCレポートの理解が大事だね。

どこ
どこ
SOCレポートは3種類あるから、「SOC1レポート」「SOC2レポート」「SOC3レポート」の違いは理解する。

それから、「SOC1レポート」と「SOC2レポート」は、タイプ1とタイプ2があるから、その違いも理解しておくといいね。

SOCレポートが入手できたらどうなのか、入手できなかったらどうなのかなど、よく理解しておく必要があるし、SOCレポートを発行する側としての知識も、今後は必要になると思うよ。

2021年7月改正後のBlueprintsについて、各科目ごとの内容は、以下の記事を参考にしてください。

【2021年7月改正後】USCPA試験 AUD Blueprintsの内容
【2021年7月改定後】USCPA試験 AUD Blueprint の内容USCPA(米国公認会計士)試験に関して、AICPAのBlueprintsを一読するのをおすすめしています。ですが、自分で読む余裕が無い方のために、BlueprintsのAUD部分に、どんなことが書かれているのか、特に高いスキルが必要なのはどれなのか、説明しています。...
【2021年7月改正後】USCPA試験 BEC Blueprintsの内容
【2021年7月改定後】USCPA試験 BEC Blueprint の内容USCPA(米国公認会計士)試験に関して、AICPAのBlueprintsを一読するのをおすすめしています。ですが、自分で読む余裕が無い方のために、BlueprintsのBEC部分に、どんなことが書かれているのか、特に高いスキルが必要なのはどれなのか、説明しています。...
【2021年7月改正後】USCPA試験 FAR Blueprintsの内容
【2021年7月改定後】USCPA試験 FAR Blueprint の内容(2021年10月改定も含む)USCPA(米国公認会計士)試験に関して、AICPAのBlueprintsを一読するのをおすすめしています。ですが、自分で読む余裕が無い方のために、BlueprintsのFAR部分に、どんなことが書かれているのか、特に高いスキルが必要なのはどれなのか、説明しています。...
【2021年7月改正後】USCPA試験 REG Blueprintsの内容
【2021年7月改定後】USCPA試験 REG Blueprint の内容USCPA(米国公認会計士)試験に関して、AICPAのBlueprintsを一読するのをおすすめしています。ですが、自分で読む余裕が無い方のために、BlueprintsのREG部分に、どんなことが書かれているのか、特に高いスキルが必要なのはどれなのか、説明しています。...
ABOUT ME
USCPAどこ
ワシントン州USCPA(米国公認会計士)。USCPAの立場から、USCPA試験、USCPAのキャリア、USCPAの人生設計について書いています。BIG4大手監査法人監査人→米国企業経理職@バンコク→大手グローバル企業連結決算担当。
こちらの記事もおすすめ