CUECとは何か:ISAE 3402の枠組み
ISAE 3402における統制の分類
ISAE 3402.A31は、サービス組織の統制を2つのカテゴリに分類している。第一に、サービス組織が完全に運用する統制。第二に、CUECと組み合わせて運用される統制。CUECは後者の一部として、利用者実体側で必要となる統制要素にあたる。
給与計算サービスを例にとるとわかりやすい。サービス組織(給与計算会社)は従業員データを処理し、給与を計算する。しかし従業員の入社・退社通知と昇給情報の承認・伝達は利用者実体(依頼企業)が担当する。この伝達統制がCUECにあたる。
ISAE 3402.A32は、CUECが統制目標の達成に必要である場合、利用者監査人がこれらの統制の設計と運用の有効性を独立して評価する責任を負うと明記している。「サービス組織の監査人が既に評価している」では不十分にすぎない。利用者実体での実際の運用を確認する。それが原則。
CUECの評価を軽視できない理由
給与計算の例を続ける。サービス組織の統制がいくら厳格でも、利用者実体から誤った情報が送られれば、アウトプット(給与支払い)は不正確になる。財務諸表の人件費、未払給与の数値にも影響が出る。正直なところ、CUECの評価は地味な作業だが、ここを省略して品管に指摘された調書を何度も見てきた。統制リスクの評価に穴が開くのはこの領域である。
ISAE 3402.A33は、CUECの識別に失敗した場合の帰結を示している。統制の全体像を把握できず、依拠すべき統制とその限界を正しく認識できない。結果として、実証手続の性格・時期・範囲の決定にも影響が及ぶ。
CUECの識別:SOC 1報告書の読み方
報告書内でのCUEC記載箇所
Type IおよびType IIのSOC 1報告書には、CUECが明記される場所が決まっている。統制目標ごとに、サービス組織の統制記述の後に「Complementary User Entity Controls」または「Controls that should be implemented by user entities」というセクションが設けられる。
報告書によっては、この記載が数行程度と簡素な場合もある。「User entities should implement controls to ensure data submitted to the service organization is accurate and complete」といった抽象的な表現にとどまることも珍しくない。この表現から具体的な統制手続を特定し、利用者実体での運用状況を評価するのが監査人の職責だ。
CUECの具体化作業
抽象的なCUEC記述を具体的な統制手続に変換する。給与計算サービスを例にとる。
SOC 1報告書の記載:"User entities should maintain controls to ensure employee data changes are properly authorized before transmission to the service organization."
これを具体的なCUECに落とし込む。新規採用・退職・昇給等の従業員情報変更時に人事担当者以外による承認を要求する統制が第一。サービス組織への伝達前に変更内容を承認者が確認する手続が第二。伝達済み情報の写しを保管し、毎月の給与レポートと照合する統制が第三。承認者不在時の代替手続も確認対象となる。
この具体化作業を経て、初めて実際の統制テストが可能になる。
CUECの評価手続
設計の有効性評価
ISAE 3402.A32に従い、まずCUECの設計が統制目標の達成に合っているか評価する。利用者実体の業務プロセスを理解し、CUECが然るべき箇所に配置されているか確認する。
給与計算の例では、人事部門から経理部門、そしてサービス組織への情報の流れを追跡する。各段階で必要な承認、チェック、記録保存が設計されているか。例外処理(緊急時の給与変更等)についても統制が設計されているかを確認する。
運用の有効性評価
設計の評価後、実際の運用状況をテストする。一定期間(通常は監査対象期間)における統制の実施状況を検証する。
典型的なテスト手続として、従業員情報変更依頼書の承認印または電子承認記録の確認がある。サービス組織への送信記録と承認済み変更依頼書の照合も行う。例外事項(承認なし変更、遅延伝達等)の有無と対応状況の確認。月次給与レポートとの整合性チェック記録の査閲。この4つが基本となる。
サンプル数は、統制の頻度と依拠の程度により決定する。日次統制であれば20~25サンプル、月次統制であれば期間中の全件または統計的サンプリングを適用する。
実務における具体例
クライアント企業は田中製作所株式会社(従業員150名、売上高45億円の機械部品製造業)。サービスは給与計算および社会保険手続のアウトソーシングで、サービス組織はペイロール・サポート株式会社である。
SOC 1報告書からのCUEC抽出
SOC 1報告書の統制目標「給与計算の正確性」に記載されたCUECは以下のとおり。従業員マスタデータの変更は承認のうえ遅滞なくサービス組織に伝達される。勤怠データは承認済みタイムシートに基づいてサービス組織に提出される。毎月の給与レポートは受領後に内容を確認し、差異があれば調査される。受領した給与明細と人事台帳との整合も確認対象となる。
各CUECについて、田中製作所での対応する業務プロセスと責任者を特定し、調書に記録した。
利用者実体での統制手続の確認
人事部長への質問と関連文書の入手により、以下の統制手続を確認した。
従業員マスタ変更統制として、新規採用は社長承認、給与変更は人事部長承認、退職は総務課長承認とされていた。承認後48時間以内にサービス組織の専用システムに入力する運用である。
勤怠データ統制として、各部門長が毎月25日までに部下のタイムシートを承認する。承認済みデータをExcelファイルでサービス組織に送信していた。
給与レポート確認統制として、毎月5日に受領する給与明細総括表を人事担当者が前月の勤怠データと照合する。差異は翌営業日までにサービス組織に確認する手続になっている。
統制記述書を入手し、実際の業務フローと一致することを確認した。
運用有効性のテスト
2024年4月から9月の6か月間について以下をテストした。
- 従業員マスタ変更12件(新規採用4件、昇給6件、退職2件)の承認記録と伝達記録を照合 - 各月の勤怠データ送信について部門長承認の有無を確認(6か月×5部門=30サンプル) - 給与レポート照合記録6件の実施状況と差異対応記録を査閲
テスト結果、発見した例外事項、経営者への報告内容を調書に記録した。
結論
田中製作所のCUECはテスト期間中、設計どおりに運用されていた。1件の軽微な遅延(昇給情報の伝達が承認から72時間後)があったが、翌月の給与計算前に修正され、財務諸表への影響はなし。給与関連勘定の実証手続は計画通り実施できると判断した。審査でも特段の追加手続は求められなかった。
CUECの実務チェックリスト
1. SOC 1報告書の読み込みとして、各統制目標に記載されたCUECを抽出し、抽象的記述を具体的手続に変換する 2. 利用者実体の業務理解として、CUECに対応する実際のプロセス、責任者、頻度、文書化方法を確認する 3. 設計評価として、統制手続が統制目標の達成に合致すること、業務プロセスの然るべき箇所に配置されていることを評価する 4. 運用テストとして、監査対象期間における統制の実施状況をテストする(証跡確認、照合、質問) 5. 文書化として、統制記述・テスト手続・結果・結論を監査ファイルに記録する 6. 他の監査手続への影響評価として、CUEC評価の結果が実証手続の性格・時期・範囲に与える影響を考慮する
よくある間違い
関連コンテンツ
- ISAE 3402用語集エントリー: サービス組織の監査基準の全体像と用語解説 - 内部統制評価ツール: 利用者実体統制の評価と文書化に使える実用テンプレート - SOC 1レポート読解ガイド: [将来の投稿:Type IとType IIの違いと監査人の活用法]