ここでは、SOC報告書の構成について解説します。なお、SOC3は特殊な報告書になるため解説を割愛します。
SOC報告書には、ある一時点の整備状況だけ評価を行うタイプ1と呼ばれる報告書と特定の期間の整備・運用状況の評価を行うタイプ2の報告書に分かれます。SOC1及びSOC2のタイプ2の報告書は、図の通り5部構成になっています。なお、第5部の「その他の情報提供」がない場合は、作成されないため、4部構成になります。タイプ1の場合は、運用評価手続が行われないため、第4部は作成されません。
第5部のその他の情報提供ですが、監査人の手続の中で逸脱が発見され、その対応状況等についての説明を行う場合や、新システムやシステム変更の将来計画、ユーザーが関心を持つ可能性がある後発事象(報告書の評価対象期間後に発生するもの)などがある場合、作成されます。
SOC報告書の構成
タイプ1とタイプ2は時点評価と期間評価の違いがあり、その利用目的も変わってきます。ユーザーが単純に整備状況の評価だけ確かめることを目的としている場合は、タイプ1で十分ですが、ユーザーが監査で手続の代替として利用したい場合は、通常、運用評価手続が含まれていることが必要なので、タイプ2の報告書を求めることになります。
タイプ1を発行する場合として、例えば、受託会社がタイプ2の準備をしている段階で、早期にSOC報告書を取得したことを公表したい場合や、前年の評価において、逸脱事項があったが、報告書の発行日までにその逸脱事項の改善が間に合わず、レポートの記載を含めることができなかったときに、改善対応が終了した時点で、一旦外部評価を受けたい時などに利用することが考えられます。