カテゴリー: SOC1

投稿日:

評価規準-SOC1の規準

 内部統制を評価する際には、評価の物差しとなる規準(クライテリア)が必要になります。この物差しについては、SOC報告書の種類によって異なります。

 財務報告に関連する内部統制を対象として作成されるSOC1報告書には、SOC2のTrustサービス規準のように、リスト化されたクライテリアと呼べるようなものはありません。しかし、記述書を作成し、適切に内部統制が整備・運用されているかの評価について、利用できる一定の物差しがないと実務では困ってしまいます。

 SOC1では、この規準と呼べるものが、実は受託会社確認書に記載されています。以下に実務指針に添付されている記載例を抜粋していますが、その記述に、「当社は以下の規準を使用しました。」として規準内容を列挙しています。

 見た目、これが規準なのだろうか?と思われるかもしれませんが、ここに記載されている内容は、財務諸表監査において監査法人等が遵守すべき監査基準報告書に記載されている内容と整合している記述になっています。つまり、監査法人等は、この記述書に記載されているような内容を踏まえて、監査クライアントの内部統制を理解し、特定の内部統制の評価手続を行っているのです。

受託会社確認書の記載例(保証実 3402付録1より抜粋)


受託会社確認書

〇〇〇〇株式会社

(中略)

(1)×頁から×頁の記述書には、×年×月×日から×年×月×日までの全期間(以下「対象期間」という。)にわたり、委託会社の取引を処理している[受託業務の種類又は名称]のシステム(委託会社の相補的な内部統制を除く。)が適正に表示されております。この確認に当たって、当社は以下の規準を使用しました。    

① 記述書が、以下の事項を考慮し、当社のシステムがどのようにデザインされ、業務に適用されていたかを表示していること。

  • 提供した業務の種類(処理された取引種類が含まれることがある。)
  • 取引の開始から、記録、処理、必要に応じた修正、委託会社のために作成された報告書への転記に至る手続(ITによるものか、又は手作業によるものかを問わない。)
  • 取引の開始、記録、処理、報告に使用された会計記録、裏付け情報及び特定の勘定(誤った情報の修正と、情報が委託会社のために作成された報告書へどのように転記されたかを含む。)
  • 取引以外の重要な事象や状況を当社のシステムにより把握し対応した方法
  • 委託会社のための報告書を作成するために用いたプロセス
  • 当社の利用する再受託会社によって実施された業務(除外方式を適用している旨の明示を含む。)
  • 関連する統制目的及び当該統制目的を達成するためにデザインされた内部統制
  • 当社のシステムをデザインする段階で、委託会社において整備されることを当社が想定する内部統制(記述書に記載した統制目的の達成に必要な場合に、当社のみでは達成できない特定の統制目的と関連付けて記述書において識別されるもの)
  • 当社の統制環境、リスク評価プロセス、情報システム(関係する業務プロセスを含む。)と伝達、統制活動、監視活動の側面のうち、委託会社の取引の処理及び報告に関連するもの
    ・・・

(2)記述書に記載された統制目的に関連する当社の内部統制(委託会社の相補的な内部統制を除く。)は、対象期間にわたって、適切にデザインされ、有効に運用されております。この確認に当たって、当社は以下の規準を使用しました。

① 記述書に記載された統制目的の達成を妨げるおそれがあるリスクを識別したこと。
② 識別した内部統制が記載されているとおりに運用された場合、当該リスクが低減され、記載された統制目的が達成されたという合理的な保証を提供したこと。
③ 内部統制が、対象期間にわたって、適切な権限と適性を有する者が実施する手作業による内部統制の適用を含め、デザインされたとおりに一貫して適用されていたこと。

各略称の個別名称はこちら
投稿日:

相補的な内部統制

 SOC報告書を利用する側で、留意しなければならない事項の一つとして、相補的な内部統制があります。相補的な内部統制は、日本公認会計士協会の実務指針では「受託業務をデザインする段階で、委託会社において整備されることを受託会社が想定する内部統制であり、受託会社のシステムに関する記述書において統制目的の達成に必要な内部統制として識別され、記載されるもの」と定義されていますが、この記述がSOC報告書に記載されている場合(第3部に記載される。)、報告書の利用者は目を通しておく必要があります。

 受託会社であるベンダーは、ユーザー側で行うアクションが正当であることを前提に、業務を行います。例えば、クラウドサービスにアクセスする人は、ユーザー側で適切に承認された人に限定されていなければなりません。このアクセス権の管理は、ユーザー側で行う内部統制であるため、「そのような統制は、相補的な内部統制として、ユーザー責任になりますよ」といった注意喚起の情報と言えるでしょう。

 よって、この相補的な内部統制の記載がある場合は、報告書の利用者側で、必要に応じて、その内部統制が有効に機能しているか確かめておく必要があります。

ユーザー側の相補的な内部統制

complementaty

 上記では、ユーザー側の相補的な内部統制を説明しましたが、これ以外に再受託会社の相補的な内部統制もあります。再受託会社とは、SOC報告書を提供するサービス事業者(受託会社)が、一部のシステムについて外部のサービスを使っている場合、その外部サービスを提供する事業者になります。

 再受託会社の内部統制は、サービス事業者(受託会社)の管理下にないことがあるため、SOC報告書にその記載がある場合、その内部統制は報告書の評価対象範囲となりますという注意喚起になります。

 例えば、サービス事業者が外部のデータセンターを利用している場合、そのデータセンター側で行われる内部統制については、再受託会社の内部統制として評価対象外となり、データセンター側で行わることが想定される内部統制が、記述書に記載されます。この再受託会社の相補的な内部統制がユーザー側で重要であると判断される場合は、当該再受託会社(データセンター)側でもSOC報告書を提供してもらうなどの対応が求められます。サービス事業者側でも、その点を考慮して、従来からSOC報告書を提供しているデータセンターを最初から利用するなどの対応を行うことが適切と思われます。

各略称の個別名称はこちら
投稿日:

SOC報告書の記載内容

 SOC報告書は、ユーザーに利用してもらうことを前提に構成されていますが、どこにどのような情報が載っているのかユーザーは基礎知識として、知っていた方が良いでしょう。そこで、以下に、SOC報告書にどのような内容が記載されているのか解説します。なお、ここでは、SOC1及びSOC2を対象にして説明しています。

第1部 受託会社監査人の保証報告書※1

 受託会社監査人の保証報告書は、監査法人等の意見などを記載したものです。一定のひな形が定められており、実務ではそれを修正するような形で報告書が作成されます。そのため、どの監査法人等が作成する報告書も一様に見えますが、ときに普通でない意見が付されている場合がありますので、要注意です。普通でないとは、限定意見や不適正意見などを指します。このような意見だった場合は要注意で、必ず限定や不適正等になった根拠やその内容が記載されていますので、その内容について十分に確かめることが必要になります。なお、実務では事前に保証報告書を取得する前に、適切な内部統制を整備・運用する準備を行うことが通例であるため、限定意見や不適正意見などになるケースはまれです。

第2部 受託会社確認書※1

 ユーザーへのサービス提供に関して、内部統制を整備し業務に適用し、有効に運用する責任は、あくまでも受託会社にあるため、その責任を果たしている旨を定型的なひな形を利用して、簡潔にまとめたものになります。必要な事項が記述書に記載されていること、リスクが識別され、リスクを低減する統制が整備されていること、整備された統制が有効に運用されていることについて、記載されます。

第3部 記述書※2

 受託会社が提供しているサービスで、SOC報告書の評価対象範囲となる受託業務の説明、受託会社の会社レベルの内部統制、評価対象範囲における受託業務に係る個別の内部統制になどついて、記述されます。ISMSなどの認証では得られない情報が記載されていますので、ユーザー側は、期待しているサービスレベルを達成しているのか、具体的に整備されている内部統制の記述を見て確認することができます。

第4部 運用評価手続とその結果※2

 第3部に記載された内部統制から、主要な内部統制について選定し、その運用評価手続を実施した結果について記載します(選定していない内部統制は整備状況だけ確かめられる。)。運用評価手続に際して、逸脱事項があれば、その内容も記載されます。この第4部は、特定時点の整備状況の評価を行うタイプ1の報告書には含まれません。
 運用評価対象とした手続実施に際して、発見された逸脱事項は必ず記載することになっていますが、逸脱事項が発見されても、他の内部統制が有効であった場合など、全体として内部統制が有効に機能していたと判断される場合は、特に第1部で表明される意見に影響を及ぼしません。

第5部 その他の情報提供

 第4部で逸脱事項が指摘された場合、その逸脱事項に対する受託会社側からの改善状況などの説明が記載されます。改善の状況が分かる前向きな情報として捉えると良いと思います。
 上記のほか、将来予定されるシステムの変更など、ユーザー側に有益と思われる情報が必要に応じて提供されますが、どちらも該当事項がない場合は、第5部全体が作成されないことになります。

※1 第1部と第2部の順番は、SOC1報告書の場合となります。SOC2報告書では、SOC2 Guide上で並びが逆になります。

 

※2 第4部には第3部に記載される内容と同じ情報が記載されるため、重複を避け第3部の記載を一部省略し、第4部のみに記載される場合があります。

各略称の個別名称はこちら
投稿日:

SOC報告書の構成とタイプ

 ここでは、SOC報告書の構成について解説します。なお、SOC3は特殊な報告書になるため解説を割愛します。

 SOC報告書には、ある一時点の整備状況だけ評価を行うタイプ1と呼ばれる報告書と特定の期間の整備・運用状況の評価を行うタイプ2の報告書に分かれます。SOC1及びSOC2のタイプ2の報告書は、図の通り5部構成になっています。なお、第5部の「その他の情報提供」がない場合は、作成されないため、4部構成になります。タイプ1の場合は、運用評価手続が行われないため、第4部は作成されません。

 第5部のその他の情報提供ですが、監査人の手続の中で逸脱が発見され、その対応状況等についての説明を行う場合や、新システムやシステム変更の将来計画、ユーザーが関心を持つ可能性がある後発事象(報告書の評価対象期間後に発生するもの)などがある場合、作成されます。

SOC報告書の構成

報告書の構成

 タイプ1とタイプ2は時点評価と期間評価の違いがあり、その利用目的も変わってきます。ユーザーが単純に整備状況の評価だけ確かめることを目的としている場合は、タイプ1で十分ですが、ユーザーが監査で手続の代替として利用したい場合は、通常、運用評価手続が含まれていることが必要なので、タイプ2の報告書を求めることになります。

 タイプ1を発行する場合として、例えば、受託会社がタイプ2の準備をしている段階で、早期にSOC報告書を取得したことを公表したい場合や、前年の評価において、逸脱事項があったが、報告書の発行日までにその逸脱事項の改善が間に合わず、レポートの記載を含めることができなかったときに、改善対応が終了した時点で、一旦外部評価を受けたい時などに利用することが考えられます。

各略称の個別名称はこちら