SOC報告書は、企業や個人等にサービスを提供している事業者の業務が、有効な内部統制のもと行われているかどうか、知ることができる報告書になります。例えば、ユーザーがあるクラウドサービスを利用したいと考えた時に、そのクラウドサービス事業者が、SOC2報告書を提供していれば、それを入手することで、具体的な内部統制の状況について、知ることができます。
SOCは、System and Organization Controlsの略となります。過去は、ユーザーから業務を受託しサービスを提供する「受託会社」のことを示す、Service Organization Controlsの略としてSOCだったのですが、より広い概念が含まれる略語に変更されています。Systemの用語が含まれている通り、SOC報告書は、ITの要素が多く含まれることが多いです。そのため、公認会計士の業務として、違和感があるかも知れませんが、昨今の監査法人では、会計士以外のITスペシャリストが数多く所属するほか、ITスキルを保持する会計士も増えています。独立性の保持や品質管理機能を有する監査法人は、内部統制の評価を行う第三者機関として、最も適切な組織とも言えるでしょう。
下図では、財務諸表監査で利用されるSOC1報告書の関係当事者について説明をしています。クラウドサービスなどを利用している会社(委託会社)の財務諸表監査において、そのサービス事業者(受託会社)が提供するシステムの評価が必要になることが良くあります。委託会社及びその監査人は、受託会社へシステム評価の協力を依頼して、直接サービス事業者へ監査に行くケースも考えられますが、委託会社と受託会社に資本関係がある場合などを除いて、通常は、難しいことが考えられます。そこで、受託会社の監査人(監査法人等)に、保証業務として、このSOC報告書を発行してもらえると、委託会社及びその監査人はその報告書を監査に利用することができます。
クラウドサービスなどは、多くのユーザーが利用していると想定されますが、そのSOC報告書をユーザーが共通利用できるため、費用対効果の観点から有益となります。なお、SOC2報告書やSOC3報告書でも同様の関係図が描かれますが、対象となる内部統制や想定する報告書の利用者が異なってきますので別の解説(こちら)を参照してください。
SOC1報告書の関係図
このSOC報告書ですが、残念ですが、すべてのクラウドサービス事業者や受託業務を提供している事業者がSOC報告書を提供しているものではありません。理由としては、SOC報告書のユーザーニーズが多くない場合、費用対効果が見込まれないためと思われます。
もともと、米国でスタートした制度であるため、米国では広く普及していますが、日本ではまだ認知度は高いとは言えません。会計士業界の中でも、制度の内容を熟知している人は多くありません。ですが、昨今では、オンプレミスの従来型のシステムから、クラウドサービスの利用へどんどん変化しており、企業は外部サービスの利用の機会が増加しています。よって、監査上のニーズも高まることが想定され、また、具体的な内部統制の状況を情報提供するSOC報告書は、ベンダー選定プロセスの判断要素としても、有益な情報源になるものと思います。
※SOCは、もともと当該制度の発祥の地である米国での呼称ですが、日本でもこの呼び名が定着している現状があるため、日本及び国際基準での同種の報告書制度も含めて、この呼称を用いて解説しています。