タグ: SOC1

投稿日:

評価規準-SOC1の規準

 内部統制を評価する際には、評価の物差しとなる規準(クライテリア)が必要になります。この物差しについては、SOC報告書の種類によって異なります。

 財務報告に関連する内部統制を対象として作成されるSOC1報告書には、SOC2のTrustサービス規準のように、リスト化されたクライテリアと呼べるようなものはありません。しかし、記述書を作成し、適切に内部統制が整備・運用されているかの評価について、利用できる一定の物差しがないと実務では困ってしまいます。

 SOC1では、この規準と呼べるものが、実は受託会社確認書に記載されています。以下に実務指針に添付されている記載例を抜粋していますが、その記述に、「当社は以下の規準を使用しました。」として規準内容を列挙しています。

 見た目、これが規準なのだろうか?と思われるかもしれませんが、ここに記載されている内容は、財務諸表監査において監査法人等が遵守すべき監査基準報告書に記載されている内容と整合している記述になっています。つまり、監査法人等は、この記述書に記載されているような内容を踏まえて、監査クライアントの内部統制を理解し、特定の内部統制の評価手続を行っているのです。

受託会社確認書の記載例(保証実 3402付録1より抜粋)


受託会社確認書

〇〇〇〇株式会社

(中略)

(1)×頁から×頁の記述書には、×年×月×日から×年×月×日までの全期間(以下「対象期間」という。)にわたり、委託会社の取引を処理している[受託業務の種類又は名称]のシステム(委託会社の相補的な内部統制を除く。)が適正に表示されております。この確認に当たって、当社は以下の規準を使用しました。    

① 記述書が、以下の事項を考慮し、当社のシステムがどのようにデザインされ、業務に適用されていたかを表示していること。

  • 提供した業務の種類(処理された取引種類が含まれることがある。)
  • 取引の開始から、記録、処理、必要に応じた修正、委託会社のために作成された報告書への転記に至る手続(ITによるものか、又は手作業によるものかを問わない。)
  • 取引の開始、記録、処理、報告に使用された会計記録、裏付け情報及び特定の勘定(誤った情報の修正と、情報が委託会社のために作成された報告書へどのように転記されたかを含む。)
  • 取引以外の重要な事象や状況を当社のシステムにより把握し対応した方法
  • 委託会社のための報告書を作成するために用いたプロセス
  • 当社の利用する再受託会社によって実施された業務(除外方式を適用している旨の明示を含む。)
  • 関連する統制目的及び当該統制目的を達成するためにデザインされた内部統制
  • 当社のシステムをデザインする段階で、委託会社において整備されることを当社が想定する内部統制(記述書に記載した統制目的の達成に必要な場合に、当社のみでは達成できない特定の統制目的と関連付けて記述書において識別されるもの)
  • 当社の統制環境、リスク評価プロセス、情報システム(関係する業務プロセスを含む。)と伝達、統制活動、監視活動の側面のうち、委託会社の取引の処理及び報告に関連するもの
    ・・・

(2)記述書に記載された統制目的に関連する当社の内部統制(委託会社の相補的な内部統制を除く。)は、対象期間にわたって、適切にデザインされ、有効に運用されております。この確認に当たって、当社は以下の規準を使用しました。

① 記述書に記載された統制目的の達成を妨げるおそれがあるリスクを識別したこと。
② 識別した内部統制が記載されているとおりに運用された場合、当該リスクが低減され、記載された統制目的が達成されたという合理的な保証を提供したこと。
③ 内部統制が、対象期間にわたって、適切な権限と適性を有する者が実施する手作業による内部統制の適用を含め、デザインされたとおりに一貫して適用されていたこと。

各略称の個別名称はこちら
投稿日:

相補的な内部統制

 SOC報告書を利用する側で、留意しなければならない事項の一つとして、相補的な内部統制があります。相補的な内部統制は、日本公認会計士協会の実務指針では「受託業務をデザインする段階で、委託会社において整備されることを受託会社が想定する内部統制であり、受託会社のシステムに関する記述書において統制目的の達成に必要な内部統制として識別され、記載されるもの」と定義されていますが、この記述がSOC報告書に記載されている場合(第3部に記載される。)、報告書の利用者は目を通しておく必要があります。

 受託会社であるベンダーは、ユーザー側で行うアクションが正当であることを前提に、業務を行います。例えば、クラウドサービスにアクセスする人は、ユーザー側で適切に承認された人に限定されていなければなりません。このアクセス権の管理は、ユーザー側で行う内部統制であるため、「そのような統制は、相補的な内部統制として、ユーザー責任になりますよ」といった注意喚起の情報と言えるでしょう。

 よって、この相補的な内部統制の記載がある場合は、報告書の利用者側で、必要に応じて、その内部統制が有効に機能しているか確かめておく必要があります。

ユーザー側の相補的な内部統制

complementaty

 上記では、ユーザー側の相補的な内部統制を説明しましたが、これ以外に再受託会社の相補的な内部統制もあります。再受託会社とは、SOC報告書を提供するサービス事業者(受託会社)が、一部のシステムについて外部のサービスを使っている場合、その外部サービスを提供する事業者になります。

 再受託会社の内部統制は、サービス事業者(受託会社)の管理下にないことがあるため、SOC報告書にその記載がある場合、その内部統制は報告書の評価対象範囲となりますという注意喚起になります。

 例えば、サービス事業者が外部のデータセンターを利用している場合、そのデータセンター側で行われる内部統制については、再受託会社の内部統制として評価対象外となり、データセンター側で行わることが想定される内部統制が、記述書に記載されます。この再受託会社の相補的な内部統制がユーザー側で重要であると判断される場合は、当該再受託会社(データセンター)側でもSOC報告書を提供してもらうなどの対応が求められます。サービス事業者側でも、その点を考慮して、従来からSOC報告書を提供しているデータセンターを最初から利用するなどの対応を行うことが適切と思われます。

各略称の個別名称はこちら
投稿日:

SOC報告書の記載内容

 SOC報告書は、ユーザーに利用してもらうことを前提に構成されていますが、どこにどのような情報が載っているのかユーザーは基礎知識として、知っていた方が良いでしょう。そこで、以下に、SOC報告書にどのような内容が記載されているのか解説します。なお、ここでは、SOC1及びSOC2を対象にして説明しています。

第1部 受託会社監査人の保証報告書※1

 受託会社監査人の保証報告書は、監査法人等の意見などを記載したものです。一定のひな形が定められており、実務ではそれを修正するような形で報告書が作成されます。そのため、どの監査法人等が作成する報告書も一様に見えますが、ときに普通でない意見が付されている場合がありますので、要注意です。普通でないとは、限定意見や不適正意見などを指します。このような意見だった場合は要注意で、必ず限定や不適正等になった根拠やその内容が記載されていますので、その内容について十分に確かめることが必要になります。なお、実務では事前に保証報告書を取得する前に、適切な内部統制を整備・運用する準備を行うことが通例であるため、限定意見や不適正意見などになるケースはまれです。

第2部 受託会社確認書※1

 ユーザーへのサービス提供に関して、内部統制を整備し業務に適用し、有効に運用する責任は、あくまでも受託会社にあるため、その責任を果たしている旨を定型的なひな形を利用して、簡潔にまとめたものになります。必要な事項が記述書に記載されていること、リスクが識別され、リスクを低減する統制が整備されていること、整備された統制が有効に運用されていることについて、記載されます。

第3部 記述書※2

 受託会社が提供しているサービスで、SOC報告書の評価対象範囲となる受託業務の説明、受託会社の会社レベルの内部統制、評価対象範囲における受託業務に係る個別の内部統制になどついて、記述されます。ISMSなどの認証では得られない情報が記載されていますので、ユーザー側は、期待しているサービスレベルを達成しているのか、具体的に整備されている内部統制の記述を見て確認することができます。

第4部 運用評価手続とその結果※2

 第3部に記載された内部統制から、主要な内部統制について選定し、その運用評価手続を実施した結果について記載します(選定していない内部統制は整備状況だけ確かめられる。)。運用評価手続に際して、逸脱事項があれば、その内容も記載されます。この第4部は、特定時点の整備状況の評価を行うタイプ1の報告書には含まれません。
 運用評価対象とした手続実施に際して、発見された逸脱事項は必ず記載することになっていますが、逸脱事項が発見されても、他の内部統制が有効であった場合など、全体として内部統制が有効に機能していたと判断される場合は、特に第1部で表明される意見に影響を及ぼしません。

第5部 その他の情報提供

 第4部で逸脱事項が指摘された場合、その逸脱事項に対する受託会社側からの改善状況などの説明が記載されます。改善の状況が分かる前向きな情報として捉えると良いと思います。
 上記のほか、将来予定されるシステムの変更など、ユーザー側に有益と思われる情報が必要に応じて提供されますが、どちらも該当事項がない場合は、第5部全体が作成されないことになります。

※1 第1部と第2部の順番は、SOC1報告書の場合となります。SOC2報告書では、SOC2 Guide上で並びが逆になります。

 

※2 第4部には第3部に記載される内容と同じ情報が記載されるため、重複を避け第3部の記載を一部省略し、第4部のみに記載される場合があります。

各略称の個別名称はこちら
投稿日:

SOC報告書の構成とタイプ

 ここでは、SOC報告書の構成について解説します。なお、SOC3は特殊な報告書になるため解説を割愛します。

 SOC報告書には、ある一時点の整備状況だけ評価を行うタイプ1と呼ばれる報告書と特定の期間の整備・運用状況の評価を行うタイプ2の報告書に分かれます。SOC1及びSOC2のタイプ2の報告書は、図の通り5部構成になっています。なお、第5部の「その他の情報提供」がない場合は、作成されないため、4部構成になります。タイプ1の場合は、運用評価手続が行われないため、第4部は作成されません。

 第5部のその他の情報提供ですが、監査人の手続の中で逸脱が発見され、その対応状況等についての説明を行う場合や、新システムやシステム変更の将来計画、ユーザーが関心を持つ可能性がある後発事象(報告書の評価対象期間後に発生するもの)などがある場合、作成されます。

SOC報告書の構成

報告書の構成

 タイプ1とタイプ2は時点評価と期間評価の違いがあり、その利用目的も変わってきます。ユーザーが単純に整備状況の評価だけ確かめることを目的としている場合は、タイプ1で十分ですが、ユーザーが監査で手続の代替として利用したい場合は、通常、運用評価手続が含まれていることが必要なので、タイプ2の報告書を求めることになります。

 タイプ1を発行する場合として、例えば、受託会社がタイプ2の準備をしている段階で、早期にSOC報告書を取得したことを公表したい場合や、前年の評価において、逸脱事項があったが、報告書の発行日までにその逸脱事項の改善が間に合わず、レポートの記載を含めることができなかったときに、改善対応が終了した時点で、一旦外部評価を受けたい時などに利用することが考えられます。

各略称の個別名称はこちら
投稿日:

日本基準の変遷

 日本基準については、実務指針の管理番号が度々変更され、混乱している人もいるかもしれませんので、解説しておきたいと思います。

 日本においても米国の制度にならって、受託業務の内部統制等に関わる報告書は3つに分類され、実務指針の番号を取って、過去にSOC1に相当するレポートとして18号及び86号報告書、SOC2に相当するレポートとしてIT7号報告書、SOC3に相当するレポートとしてIT2号報告書がありました。「86号」「IT7号」「IT2号」と2桁以内の数値のためか、比較的覚えやすかったと思います。

日本基準の変遷

history

 しかし、実務指針の改訂及び実務指針の管理番号体系の整理に伴い、現状では、保証実3402、保証実3702に変更され、3分類を示す略称はありません。旧IT2号については、SysTrustとWebTrustの業務についての実務指針でしたが、SysTrustは実質としてTrustサービス規準で行うSOC3と同等の業務であるため、保証実3850(3702)に取り込むこととし、WebTrustは、旧IT2号の廃止に伴い、国際基準のISAE3000で対応しています。これについては、米国制度での取り扱いに歩調を合わせたものになっています。

 SOC1に相当する保証実3402は、国際基準と同じ番号を付しているため、ある意味混乱しなくて良いのですが、SOC2に相当するレポートは、過去IT7号として徐々に知名度を上げてきた(と思われる)ところ、その後3850(経過的に3852が存在)、3702に変更されたため、覚えにくい番号になってしまったように思います。

 これに対して、米国では、日本と同じように関連する基準名や番号の変更もありましたが、一貫としてSOC1・SOC2・SOC3の分類でブランドを築きあげてきたと思います。その結果、日本の実務でも、受託業務の内部統制に関わる報告書は、一般的名称としてSOC報告書と呼ばれることが多いと思います。

各略称の個別名称はこちら
投稿日:

SOC報告書の種類

SOC報告書は3分類

 SOC報告書には、いくつかの種類があります。保証対象や報告先によって分類が行われていますが、この分類は、米国公認会計士協会(AICPA)で定めたカテゴリー区分、SOC1、SOC2、SOC3が広く定着しています。また、米国外でも類似の制度があり、日本でも、同種の報告書が存在しています。しかし、この制度は、米国から発展した経緯もあり、SOCという略称の知名度が高いため、日本でもSOC1、SOC2、SOC3に相当する報告書として、SOCの略称が一般的に使われています。なお、SOC1、SOC2、SOC3という呼称は、米国で登録商標になっているため、厳密にいえば、米国基準に基づいて発行された報告書を指すことになります。ただし、日本基準及び国際基準とも同等の保証業務になるため、その保証レベルに差異がある訳ではありません。

対象となる内部統制

 表のとおり、SOC1は財務報告に関連する内部統制を対象としており、財務諸表監査のために利用されることを前提とした報告書になります。SOC2及びSOC3は、財務報告に関連しない領域を含む内部統制を対象としていますが、このことは、財務報告に関連する内部統制も含まれることを意味しているため、SOC2の場合、財務諸表監査でも利用できる場合があります。ただし、報告書に必要とする情報が網羅的に含まれているかどうかなど、利用できるか否かの整理が必要になります。

SOC2とSOC3の違い

 SOC2及びSOC3の保証対象はセキュリティ等5つのカテゴリーとなりますが、SOC2は想定利用者が限定されているのに対して、SOC3は不特定多数が利用できることを想定したレポートになります。また、SOC3はWebサイト上でレポートが公開されることが想定されます。
 SOC2は、何らかの監査で利用されることを想定しているほか、規制当局などへの報告用としても利用されることが想定されています。そのため、SOC1と同様に具体的な内部統制の状況や受託会社監査人の実施した手続の内容等が記載されますが、SOC3は広く一般ユーザー向けとして、理解しやすい概要情報として報告書は構成されます。実務では、SOC2報告書を作成しているサービス事業者が、それに加えてSOC3報告書を作成していることが通例です。ただし、SOC2報告書を取得していれば、その実績をもって、十分ユーザー側のニーズが満たされることも想定されるため、SOC3の報告書を発行しているケースは多くないと言えます。なお、SOC3は広告宣伝目的としては有効かと思われます。

適用基準とは?

 上記の表にある適用基準とは、各報告書に関わる実務上の指針になります。日本基準・国際基準・米国基準の3種類がありますが、日本のSOC1、SOC2及びSOC3に相当する基準は個別指針であり、一般指針である保証実3000と一緒に適用されることになります。また、日本の基準は、国際基準と整合させて作成されているため、実態として保証実3402とISAE3402、保証実3000とISAE3000は大きな相違はありません。
 各実務指針では、実務において準拠すべきガイドラインが示されていますが、それだけでは判断に迷うことがあるため、各種Q&Aも発行されています。同様に、米国でも詳しいガイドラインとして、SOC1 GuideやSOC2 Guideが発行されています。米国の各ガイドラインはかなり詳細な記述がされており、日本の実務においても、参考にしている実態があります。

各略称の個別名称はこちら
投稿日:

SOC報告書とは?

 SOC報告書は、企業や個人等にサービスを提供している事業者の業務が、有効な内部統制のもと行われているかどうか、知ることができる報告書になります。例えば、ユーザーがあるクラウドサービスを利用したいと考えた時に、そのクラウドサービス事業者が、SOC2報告書を提供していれば、それを入手することで、具体的な内部統制の状況について、知ることができます。

 SOCは、System and Organization Controlsの略となります。過去は、ユーザーから業務を受託しサービスを提供する「受託会社」のことを示す、Service Organization Controlsの略としてSOCだったのですが、より広い概念が含まれる略語に変更されています。Systemの用語が含まれている通り、SOC報告書は、ITの要素が多く含まれることが多いです。そのため、公認会計士の業務として、違和感があるかも知れませんが、昨今の監査法人では、会計士以外のITスペシャリストが数多く所属するほか、ITスキルを保持する会計士も増えています。独立性の保持や品質管理機能を有する監査法人は、内部統制の評価を行う第三者機関として、最も適切な組織とも言えるでしょう。

 下図では、財務諸表監査で利用されるSOC1報告書の関係当事者について説明をしています。クラウドサービスなどを利用している会社(委託会社)の財務諸表監査において、そのサービス事業者(受託会社)が提供するシステムの評価が必要になることが良くあります。委託会社及びその監査人は、受託会社へシステム評価の協力を依頼して、直接サービス事業者へ監査に行くケースも考えられますが、委託会社と受託会社に資本関係がある場合などを除いて、通常は、難しいことが考えられます。そこで、受託会社の監査人(監査法人等)に、保証業務として、このSOC報告書を発行してもらえると、委託会社及びその監査人はその報告書を監査に利用することができます。

 クラウドサービスなどは、多くのユーザーが利用していると想定されますが、そのSOC報告書をユーザーが共通利用できるため、費用対効果の観点から有益となります。なお、SOC2報告書やSOC3報告書でも同様の関係図が描かれますが、対象となる内部統制や想定する報告書の利用者が異なってきますので別の解説(こちら)を参照してください。

SOC1報告書の関係図

Scheme

 このSOC報告書ですが、残念ですが、すべてのクラウドサービス事業者や受託業務を提供している事業者がSOC報告書を提供しているものではありません。理由としては、SOC報告書のユーザーニーズが多くない場合、費用対効果が見込まれないためと思われます。

 もともと、米国でスタートした制度であるため、米国では広く普及していますが、日本ではまだ認知度は高いとは言えません。会計士業界の中でも、制度の内容を熟知している人は多くありません。ですが、昨今では、オンプレミスの従来型のシステムから、クラウドサービスの利用へどんどん変化しており、企業は外部サービスの利用の機会が増加しています。よって、監査上のニーズも高まることが想定され、また、具体的な内部統制の状況を情報提供するSOC報告書は、ベンダー選定プロセスの判断要素としても、有益な情報源になるものと思います。

※SOCは、もともと当該制度の発祥の地である米国での呼称ですが、日本でもこの呼び名が定着している現状があるため、日本及び国際基準での同種の報告書制度も含めて、この呼称を用いて解説しています。

各略称の個別名称はこちら