Service organization -Type 2 reportはCR変更のEvidence- USCPA
以下に該当する Services は Audit に関連する。
- Information system
- Business process
- Financial reporting
- Safeguard
☆給与計算や記帳代行などは Audit に関連する Services だが、清掃などの Services は関連しない。
Services organization に Services を依頼している Client は、User entity や User organization と呼ばれる。それらに Audit を行っている Auditor は、User auditor とよばれる。
それに対して Service organization の Auditor は Service auditor とよばれる。Service auditor が作成する Service organization の Control の Report を SOC report という。
Services organization が User entity に Provide している Services は、
○Objective
Service auditor の Objectives として、まずは以下についての Reasonable assurance を Obtain することがある。
・Services organization’s system の Management description が、Service organization’s system が Specified period の間に Design 、Implement されていることを、Faily に Present している。
・Services organization’s system の Management description に記載されている Control objectives に関連する Controls が、Control objectives を Achieve するという Reasonably assurance を Provide するために、Suitably に Design されている。(Control が Specified period の間に Effectively に Operate されていたのなら)
・Specified period の間、Services organization’s system の Management description に記載されている Control objectives が Achieve されているという Reasonably assurance を Provide するために、Controls が Effectively に Operate されている。
上記について、Written report にて Opinion を Express 。
○Precondition
Service organization の Management は、以下についての Responsibility を Acknowledge して Accept 。
・
Services organization’s system の Management description と、Completness と Accuracy を含んだ Management assertion と、それらの Method of presentation の、Prepare・Management assertion の Reasonalbe basis
・Criteria の Select 、それを Assetion に State
・Control objectives の Specify 、それを Services organization’s system の Management description に State
・Risk の Identify
・Services organization’s system の Management description に Accompany する Written assertion の Provide 。それらを User entity にも Provide 。
○Report
Service auditor は Report を発行する。Type 1 report と Type 2 report がある。
・Title には、Independent を記載
・Engagement の Circumstances で Require されている Appropriate addressee
・Identification
・Services organization’s system の Management description 、System が Perform する Function
・Management assertion で Identify されている Criteria
・Other information
・Subservice organization が Perform した Services と Carve-out method もしくは Inclusive method を使用したかどうか。
・User entity の Internal control over financial reporting に関連すると思われる Controls と Control objectives
・Services organization’s system の Management description が Complementary な User entity control の Need に refer していたら、Service auditor は Complementary な User entity control の Effectiveness の Design と Operate の Evaluate は行っていないことと、 User entity control が Effectively に Design と Operate されているときだけ Control objectives が Acheive されることを State 。
・Management’s assertion への Reference と、Management’s responsibility
・Service auditor の Responsibility
Service auditor の Responsibility は、 Services organization’s system の Management description が Fairly に Present されていることに、Opinion を Express すること。
Type 2 では、Service auditor’s examination にもとづいた Management’s description に記載されている Related control objectives を Achieve するための Controls の Design の Suitability と Controls の Operating effectiveness にたいする Opinion を Express
・Inherent limitation
Control の Inherent limitations の Description 。Service organization で Present されている Inhrent risk limitations は Include する必要はない。
・Test of controls
Type 2 では、Test of control の Description への Reference
Type 1 では、Controls の Operating effectivenss には、Any procedures も Perform していないことを State 。
・Service auditor の Opinion
Service organization’s system の Management’s description が Service organization’s system の Designed and implemented について Fairly に Present (Type 1 は Specified date 時点、Type 2 は Specified period 時点)
Controls が Effectively に Operate されていると Control objectives が Achieve されるという Reasonable assurance を Provide するために、Services organization’s system の Management description に State されている Control objectives に関連している Controls が Suitably に Design されている。(Type 1 は Specified date 時点、Type 2 は Specified period 時点)
Complementary user entity controls の Application が、Services organization’s system の Management description に State されている Related control objectives の Achieve に
必要なとき、その Effect の Statement
Complementary subservice controls の Application が、Services organization’s system の Management description に State されている Related control objectives の Achieve に必要なとき、その Effect の Statement
Type 2 では、Services organization’s system の Management description に State されている Control objectives が Achieve されたという Reasonable assurance を Provide するための Effectively に Operate された Controls 、も追加。
・Report の Restriction use の Allert
Report は、Service organization の Management 、User entities 、User entities の Auditor のためだけに、Intend されたもの。
Specified parties 以外には、Intend されていない。
・Signature
・City and state
・Report date
○Consideration
User auditor は Service organization について以下のことを考慮する。
- The classes of transactions in the user entity’s operations that are significant to the entity’s financial statements
- The procedures within both IT and manual systems by which the user entity’s transactions are initiated, authorized, recorded, processed, corrected as necessary, transferred to the general ledger, and reported in the financial statements
- The financial reporting process used to prepare the user entity’s financial statements, including significant accounting estimates and disclosures
○Obtain an understanding
Internal control を含めた Services organization の Services についての Understanding を Obtain し、以下を実施する。
- Services に関連する Control の Design と Implementation を Evaluate
- Services の Nature と Significance についての Understanding が Sufficient か Determine
Sufficient な Understanding をえられないときは以下を行う。
- Service auditor の Type 1 か Type 2 report を Obtain して Read
- Specific な Information を Obtain するために、User entity を通じて Services organization と Contacting
- Service organization に訪問して必要な Procedures を実施
- Service organization の Control についての Information をえるために、Another auditor を使って Procedures を Perform
Service auditor の Type 1 や Type 2 report を使用するさいには、Service auditor の Reputation や Independent について Inquiry
○Responding to the assessed risks of material misstatement
- Audit evidence が Sufficient で Appropriate か Determine、必要なら Further audit procedures
- Type 2 report を Obtain して Control の Operating effectiveness に関する Evidence を Obtain、もしくは Test of control
○Inquiry about fraud, noncompliance, and uncorrected misstatements
◎SOC Report
Service orgatnization は受託している Control について、Service organization control report(SOC report)を発行する。作成は Service auditor が行う。Services auditor が実施した Procedures の Scope と Nature の Description を記載する。
☆Internal control の Effectiveness についての Opinion は記載しない
SOC report は3種類にわかれる。
- SOC 1 Report
- SOC 2 Report
- SOC 3 Report
○SOC 1 Report
User auditor が、Internal control を理解するためのたすけとなる。Limited use。
They are primarily to assist financial statement auditors when processing services have been outsourced to a service provider.
Distribution は Limited use となる。Service organization、User entities、 User auditors に限定される。
Report は、Type 1 report と Type 2 report が作成される。
・Type 1 report
Report on controls placed in operation。Specified date の Report。Operation の Implementation について記されている。
以下が記載される。
- Description of the service organization’s system
- Assertion by management of the service organization related to the suitability of the design
・Type 2 report
Report on controls placed in operation and Tests of operating effectiveness。Specified period の Report。
Type 1 に加えて、Operation の Effectiveness(有効性) のことも記載されるので、Control risk を変更する Evidence になる。
Type 1 report より記載内容も増える。
- Assertion by management of the service organization related to the operating effectiveness of the service organization’s controls.
- Description of the service organization’s system
- Assertion by management of the service organization related to the suitability of the design
○SOC 2 Report
Distribution は Limited use となる。Service organization、User entities、 User auditors に加えてCutomers や Suppliers などの Certain other specified entities に限定される。
They are meant for management of service organizations, user entities and certain other specified entities.
○SOC 3 Report
Internal control 以外の Control の評価。SysTrust などが該当する。
Distribution は Gene
ral use となり、Detail が簡略されている。Report は、Type 2 report のみ作成される。
◎Service organization’s auditor
Service organization の Control を User auditor に Report する。Service auditor ともいう。
通常 User auditor は、Service auditor が作成した SOC Report を Reference することはない。
The user auditor does not make reference to the service auditor’s report as a basis, in part, for the user auditor’s opinion on the user entity’s financial statements.
ただし、Service organization の業務に何か問題があり、 Opinion を Modify するときには、Service auditor に問い合わせることもある。
The user auditor should refer to the work of a service auditor in the user auditor’s report containing a modified opinion.
Service auditor が Service organization の Management から、System や Control の Effectiveness n いついての Written assertion を Obtain できない場合には、Engagement を Withdraw。
◎Subservice organizaion
Service organization がさらに業務を委託していたら、その委託先は Subservice organizaion となる。通常、Subservice organization については Type 1 report と Type 2 report に記載される。
・Carve-out method
Subservice organization について Type 1 report と Type 2 report に記載しない方法を Carve-out method という。
Carve-out method を採用していたら、Subservice organization に対して なんらかの Procedures を実施して確認をとる必要がある。
Service organization の Auditor report は Reference しない
Internal controlへのIT効果 -Audit evidenceの収集に影響- USCPA
Internal controlのObjectiveとComponents -Control activitiesはSegregation of dutiesが重要- USCPA
Internal controlのRequirementsとResponsibility -内部統制のUnderstandingとDesign評価- USCPA
Inherent limitation -内部統制の固有の限界- USCPA
Test of control -内部統制はEffectiveか- USCPA
Significant deficiencyとMaterial weakness -内部統制の欠陥- USCPA
Service organization -Type 2 reportはCR変更のEvidence- USCPA
Purchase cycle -Purchase orderはPre-numberedで- USCPA
Revenue cycle -受注から元帳入力までの内部統制- USCPA
CashのInternal control -現金入出金時の内部統制- USCPA
InvestmentのInternal control -CustodyはTrust companyに任せる- USCPA
Human resources and Payroll cycle -人事と給与支払いの内部統制- USCPA
Property, plant and equipment cycle -固定資産の購入から除却までの内部統制- USCPA
InventoryのInternal control -Physical inventory countは必ずObserve- USCPA