SOC報告書を利用する側で、留意しなければならない事項の一つとして、相補的な内部統制があります。相補的な内部統制は、日本公認会計士協会の実務指針では「受託業務をデザインする段階で、委託会社において整備されることを受託会社が想定する内部統制であり、受託会社のシステムに関する記述書において統制目的の達成に必要な内部統制として識別され、記載されるもの」と定義されていますが、この記述がSOC報告書に記載されている場合(第3部に記載される。)、報告書の利用者は目を通しておく必要があります。
受託会社であるベンダーは、ユーザー側で行うアクションが正当であることを前提に、業務を行います。例えば、クラウドサービスにアクセスする人は、ユーザー側で適切に承認された人に限定されていなければなりません。このアクセス権の管理は、ユーザー側で行う内部統制であるため、「そのような統制は、相補的な内部統制として、ユーザー責任になりますよ」といった注意喚起の情報と言えるでしょう。
よって、この相補的な内部統制の記載がある場合は、報告書の利用者側で、必要に応じて、その内部統制が有効に機能しているか確かめておく必要があります。
ユーザー側の相補的な内部統制
上記では、ユーザー側の相補的な内部統制を説明しましたが、これ以外に再受託会社の相補的な内部統制もあります。再受託会社とは、SOC報告書を提供するサービス事業者(受託会社)が、一部のシステムについて外部のサービスを使っている場合、その外部サービスを提供する事業者になります。
再受託会社の内部統制は、サービス事業者(受託会社)の管理下にないことがあるため、SOC報告書にその記載がある場合、その内部統制は報告書の評価対象範囲となりますという注意喚起になります。
例えば、サービス事業者が外部のデータセンターを利用している場合、そのデータセンター側で行われる内部統制については、再受託会社の内部統制として評価対象外となり、データセンター側で行わることが想定される内部統制が、記述書に記載されます。この再受託会社の相補的な内部統制がユーザー側で重要であると判断される場合は、当該再受託会社(データセンター)側でもSOC報告書を提供してもらうなどの対応が求められます。サービス事業者側でも、その点を考慮して、従来からSOC報告書を提供しているデータセンターを最初から利用するなどの対応を行うことが適切と思われます。