Service organization -Type 2 reportはCR変更のEvidence- USCPA

◎Service organization
 Entity によっては、一部の Services や Control を Service organization に委託している。その場合には、それらの Service や Control が、Financial statement の Audit に関連していることがある。

 以下に該当する Services は Audit に関連する。

  • Information system
  • Business process
  • Financial reporting
  • Safeguard


  ☆給与計算や記帳代行などは Audit に関連する Services だが、清掃などの Services は関連しない。

 Services organization に Services を依頼している Client は、User entityUser organization と呼ばれる。それらに Audit を行っている Auditor は、User auditor とよばれる。

 それに対して Service organization の Auditor は Service auditor とよばれる。Service auditor が作成する Service organization の Control の Report を SOC report という。

 Services organization が User entity に Provide している Services は、

○Objective
 Service auditor の Objectives として、まずは以下についての Reasonable assurance を Obtain することがある。

・Services organization’s system の Management description が、Service organization’s system が Specified period の間に Design 、Implement されていることを、Faily に Present している。

・Services organization’s system の Management description に記載されている Control objectives に関連する Controls が、Control objectives を Achieve するという Reasonably assurance を Provide するために、Suitably に Design されている。(Control が Specified period の間に Effectively に Operate されていたのなら)

Specified period の間、Services organization’s system の Management description に記載されている Control objectives が Achieve されているという Reasonably assurance を Provide するために、Controls が Effectively に Operate されている。

 上記について、Written report にて Opinion を Express 。

○Precondition

 Service auditor が、Service organization の Control についての Report の Engagement を Accept or continue するさいの前提条件。

 Service organization の Management は、以下についての Responsibility を Acknowledge して Accept 。

・Services organization’s system の Management description と、Completness と Accuracy を含んだ Management assertion と、それらの Method of presentation の、Prepare

・Management assertion の Reasonalbe basis

・Criteria の Select 、それを Assetion に State

・Control objectives の Specify 、それを Services organization’s system の Management description に State

・Risk の Identify 

・Services organization’s system の Management description に Accompany する Written assertion の Provide 。それらを User entity にも Provide 。

○Report
  Service auditor は Report を発行する。Type 1 report と Type 2 report がある。

・Title には、Independent を記載

・Engagement の Circumstances で Require されている Appropriate addressee

・Identification

 ・Services organization’s system の Management description 、System が Perform する Function
 ・Management assertion で Identify されている Criteria
 ・Other information
 ・Subservice organization が Perform した Services と 
Carve-out method もしくは Inclusive method を使用したかどうか。

  ☆Subservice organization について Report に記載しない方法が Carve-out method 

  ☆Carve-out method では、Subservice organization に対してなんらかの Procedures を実施

・User entity の Internal control over financial reporting に関連すると思われる Controls と Control objectives

・Services organization’s system の Management description が Complementary な User entity control の Need に refer していたら、Service auditor は Complementary な User entity control の Effectiveness の Design と Operate の Evaluate は行っていないことと、 User entity control が Effectively に Design と Operate されているときだけ Control objectives が Acheive されることを State 。

・Management’s assertion への Reference と、Management’s responsibility

・Service auditor の Responsibility
 Service auditor の Responsibility は、 Services organization’s system の Management description が Fairly に Present されていることに、Opinion を Express すること。

 Type 1 では、Service auditor’s examination にもとづいた Management’s description に記載されている Related control objectives を Achieve するための Controls の Design の Suitability にたいする Opinion を Express

 Type 2 では、Service auditor’s examination にもとづいた Management’s description に記載されている Related control objectives を Achieve するための Controls の Design の Suitability と Controls の Operating effectiveness にたいする Opinion を Express

・Inherent limitation
 Control の Inherent limitations の Description 。Service organization で Present されている Inhrent risk limitations は Include する必要はない。

・Test of controls
 Type 2 では、Test of control の Description への Reference

 Type 1 では、Controls の Operating effectivenss には、Any procedures も Perform していないことを State 。

・Service auditor の Opinion

 Service organization’s system の Management’s description が Service organization’s system の Designed and implemented について Fairly に Present (Type 1 は Specified date 時点、Type 2 は Specified period 時点)

 Controls が Effectively に Operate されていると Control objectives が Achieve されるという Reasonable assurance を Provide するために、Services organization’s system の Management description に State されている Control objectives に関連している Controls が Suitably に Design されている。(Type 1 は Specified date 時点、Type 2 は Specified period 時点)

 Complementary user entity controls の Application が、Services organization’s system の Management description に State されている Related control objectives の Achieve に
必要なとき、その Effect の Statement

 Complementary subservice controls の Application が、Services organization’s system の Management description に State されている Related control objectives の Achieve に必要なとき、その Effect の Statement

 Type 2 では、Services organization’s system の Management description に State されている Control objectives が Achieve されたという Reasonable assurance を Provide するための Effectively に Operate された Controls 、も追加。

・Report の Restriction use の Allert
 Report は、Service organization の Management 、User entities 、User entities の Auditor のためだけに、Intend されたもの。

 Specified parties 以外には、Intend されていない。

・Signature

・City and state

・Report date

○Consideration
 User auditor は Service organization について以下のことを考慮する。

  • The classes of transactions in the user entity’s operations that are significant to the entity’s financial statements
  • The procedures within both IT and manual systems by which the user entity’s transactions are initiated, authorized, recorded, processed, corrected as necessary, transferred to the general ledger, and reported in the financial statements
  • The financial reporting process used to prepare the user entity’s financial statements, including significant accounting estimates and disclosures

◎Responsibilities
 User auditor の Responsibility

○Obtain an understanding
 Internal control を含めた Services organization の Services についての Understanding を Obtain し、以下を実施する。

  • Services に関連する Control の Design と Implementation を Evaluate
  • Services の Nature と Significance についての Understanding が Sufficient か Determine


 Sufficient な Understanding をえられないときは以下を行う。

  • Service auditor の Type 1 か Type 2 report を Obtain して Read
  • Specific な Information を Obtain するために、User entity を通じて Services organization  と Contacting
  • Service organization に訪問して必要な Procedures を実施
  • Service organization の Control についての Information をえるために、Another auditor を使って Procedures を Perform


 Service auditor の Type 1 や Type 2 report を使用するさいには、Service auditor の Reputation や Independent について Inquiry

○Responding to the assessed risks of material misstatement

 Assess した RMM に対して Response

  • Audit evidence が Sufficient で Appropriate か Determine、必要なら Further audit procedures
  • Type 2 report を Obtain して Control の Operating effectiveness に関する Evidence を Obtain、もしくは Test of control

○Inquiry about fraud, noncompliance, and uncorrected misstatements

 Fraud、Noncompliance、Uncorrected Misstatements について Inquiry

 

SOC Report
 Service orgatnization は受託している Control について、Service organization control report(SOC report)を発行する。作成は Service auditor が行う。Services auditor が実施した Procedures の Scope と Nature の Description を記載する。

  ☆Internal control の Effectiveness についての Opinion は記載しない

 SOC report は3種類にわかれる。

  • SOC 1 Report
  • SOC 2 Report
  • SOC 3 Report

○SOC 1 Report
 User auditor が、Internal control を理解するためのたすけとなる。Limited use。
 They are primarily to assist financial statement auditors when processing services have been outsourced to a service provider.

 Distribution は Limited use となる。Service organization、User entities、 User auditors に限定される。

 Report は、Type 1 report と Type 2 report が作成される。

・Type 1 report
 Report on controls placed in operation。Specified date の Report。Operation の Implementation について記されている。

 以下が記載される。

  • Description of the service organization’s system
  • Assertion by management of the service organization related to the suitability of the design

・Type 2 report
 Report on controls placed in operation and Tests of operating effectiveness。Specified period の Report。
 Type 1 に加えて、Operation Effectiveness(有効性) のことも記載されるので、Control risk を変更する Evidence になる。

 Type 1 report より記載内容も増える。

  • Assertion by management of the service organization related to the operating effectiveness of the service organization’s controls.
  • Description of the service organization’s system
  • Assertion by management of the service organization related to the suitability of the design

○SOC 2 Report

 Internal control 以外の Control の評価。Report は、Type 1 report と Type 2 report が作成される。

 Distribution は Limited use となる。Service organization、User entities、 User auditors に加えてCutomers や Suppliers などの Certain other specified entities に限定される。
 They are meant for management of service organizations, user entities and certain other specified entities.

○SOC 3 Report

 Internal control 以外の Control の評価。SysTrust などが該当する。

 Distribution は Gene
ral use となり、Detail が簡略されている。Report は、Type 2 report のみ作成される。

Service organization’s auditor
 Service organization の Control を User auditor に Report する。Service auditor ともいう。
 通常 User auditor は、Service auditor が作成した  SOC Report を Reference することはない
 The user auditor does not make reference to the service auditor’s report as a basis, in part, for the user auditor’s opinion on the user entity’s financial statements.

 ただし、Service organization の業務に何か問題があり、 Opinion を Modify するときには、Service auditor に問い合わせることもある。
 The user auditor should refer to the work of a service auditor in the user auditor’s report containing a modified opinion. 

 Service auditor が Service organization の Management から、System や Control の Effectiveness n いついての Written assertion を Obtain できない場合には、Engagement を Withdraw。

Subservice organizaion
 Service organization がさらに業務を委託していたら、その委託先は Subservice organizaion となる。通常、Subservice organization については Type 1 report と Type 2 report に記載される。

・Carve-out method
 Subservice organization について Type 1 report と Type 2 report に記載しない方法を Carve-out method という。
 Carve-out method を採用していたら、Subservice organization に対して なんらかの Procedures を実施して確認をとる必要がある。

Information system に Affect する Service は Audit と関連


Service auditor が作成する Service organization の Control  report が SOC report

Service organization の Auditor report は Reference しない


Type 2 report は、Test of operating effectiveness を記載

Internal controlへのIT効果 -Audit evidenceの収集に影響- USCPA

Internal controlのObjectiveとComponents -Control activitiesはSegregation of dutiesが重要- USCPA

Internal controlのRequirementsとResponsibility -内部統制のUnderstandingとDesign評価- USCPA

Inherent limitation -内部統制の固有の限界- USCPA

Test of control -内部統制はEffectiveか- USCPA

Significant deficiencyとMaterial weakness -内部統制の欠陥- USCPA

Service organization -Type 2 reportはCR変更のEvidence- USCPA

Purchase cycle -Purchase orderはPre-numberedで- USCPA

Revenue cycle -受注から元帳入力までの内部統制- USCPA

CashのInternal control -現金入出金時の内部統制- USCPA

InvestmentのInternal control -CustodyはTrust companyに任せる- USCPA

Human resources and Payroll cycle -人事と給与支払いの内部統制- USCPA

Property, plant and equipment cycle -固定資産の購入から除却までの内部統制- USCPA

InventoryのInternal control -Physical inventory countは必ずObserve- USCPA