ナレッジ

SOC報告書の種類

米国公認会計士協会(AICPA)では、System and Organization Controls(SOC)として、業務受託会社(Service Organization)における内部統制保証報告やサイバーセキュリティに関する内部統制保証報告の枠組みを定義しています。

SOC報告書の種類

AICPAでは、「SOC for Service Organization」として、業務受託会社(アウトソーシング企業)向けに3つの内部統制の保証報告の枠組み、SOC1、SOC2およびSOC3を定めています。(詳細は下表参照)

また、業務受託会社以外にも様々な企業で利用可能な「SOC for Cybersecurity」として、サイバーセキュリティ管理態勢に関する内部統制保証報告の枠組みが新たに提供されています。

今後、「SOC for Vendor Supply Chains」として、サプライチェーンにおけるサイバーセキュリティリスクにかかわる内部統制の保証報告の枠組みも提供される予定です。

内部統制に関する報告の枠組み

*1 ISAE3402:ASSURANCE REPORTS ON CONTROLS AT A SERVICE ORGANIZATION
*2 ISAE3000: ASSURANCE ENGAGEMENTS OTHER THAN AUDITS OR REVIEWS OF HISTORICAL FINANCIAL INFORMATION
*3 Statement on Standards for Attestation Engagements 18 : 「 AT-C Section 105 - Concepts Common to all Attestation Engagements」、「 AT-C Section 205 – Examination Engagements」、「AT-C Section 320 - Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting」

お役に立ちましたか?