サービス

SOC報告書 / クラウド・アシュアランス

サービス・オーガニゼーション・コントロール2(SOC2)は、サービス・オーガニゼーション(クラウド事業者等のサービス提供会社)の統制のセキュリティ、可用性、処理のインテグリティー、機密保持、およびプライバシーについて、サービス監査人が意見表明する事を認めた米国公認会計士協会(AICPA)の基準を利用して提供される、新しい内部統制の保証義務の仕組みです。

SOC報告書の種類

米国公認会計士協会(AICPA)が定めた米国アテステーション業務基準第16号(SSAE16)の関連として、AICPAは、(1) 業務受託会社(Service Organization)による多様なニーズ及び報告の必要性に対応し、(2) 外部委託に関するリスク評価を含む業務委託会社のニーズに対する有意義な情報を提供することを意図して、業務受託会社の内部統制(Service Organization Control)に関する報告の枠組みとして、SOC1、SOC2及びSOC3を定めました。

 SOC1は、「業務受託会社(サービス提供会社)の経営者によるシステムの記述、並びに内部統制のデザインの適切性及び運用状況の有効性に関する報告書」を発行するための実務上の指針であり、即ちSSAE16を指しています。SOC1に基づき、業務受託会社が当該受託サービスの内部統制に対する検証を受け、業務委託会社にSOC1報告書を提出しているケースは日本でも多く見受けられます。

 しかしながら、SSAE16を始め、日本公認会計士協会が定める監査・保証実務委員会実務指針第86 号、国際会計士連盟(IFAC)の国際監査・保証基準審議会(IAASB)が定める国際保証業務基準3402(ISAE3402)のいずれも、基準が対象とするのは「財務報告に関連する」部分だけであるため、例えばセキュリティや機密保持に関する内部統制、処理のインテグリティ(堅牢性・完全性)に関する業務運営の内部統制などは対象にすることができません。

 SOC2、SOC3は、これらの問題に対する解決策の一つとして、その枠組みを提供しています。

内部統制に関する報告の枠組み

 

SOC1

SOC2

SOC3

報告書の主題

業務委託会社の財務報告に係る業務受託会社の内部統制を対象とした報告書

業務受託会社のセキュリティ、可用性、処理のインテグリティ、機密保持、またはプライバシーを主題としたコンプライアンスや業務運営の内部統制についての報告書

検証の基準

SSAE No.16(AT801-Reporting on Controls at a Service Organization)

AT101 (AT Section 101 - Attest Engagements)

報告書の構成

タイプ1:受託業務に係るシステムの記述、並びに内部統制のデザインの適切性に関する報告書  または
タイプ2:受託業務に係るシステムの記述、並びに内部統制のデザインの適切性 及び運用状況の有効性に関する報告書 (内部統制のテスト手続及びテスト結果を含む)

概要報告書のみ

再委託会社の扱い

業務受託会社の記述書は、下記いずれの方式も採用可能
(a)除外方式    (b)一体方式
(但し除外方式の場合でも、再受託会社のサービスの性質の情報を提供する)

無限定適正意見を受けるためには、重要な全ての再受託会社の内部統制を含む必要があるが、委託会社の重要な内部統制は含まれてはならない 

意図されている報告書の利用者

受託会社の経営者、及び委託会社とその財務諸表監査人 

下記について知識を有する者(利用制限はあるが、SOC1より制限されない)
(1)報告書に含まれるサービスの性質
(2)内部統制とその限界
(3)規準<criteria>と経営者の内部統制がその規準をどのように扱っているか 

誰でも (配布制限なし) 

クラウド・アシュアランスに対するデロイトの強み

クラウドコンピューティングが企業ITとして浸透していくにつれて、企業はこれまでにない経営環境の変化に直面します。クラウドサービスの利用に対する不安を取り除き、顧客からの信用を勝ち取るために、情報セキュリティを始めとする技術的リスクへの対応に加えて、より大局的な視点から、企業は何を選択できるでしょうか。

(550KB,PDF)