タグ: SOC3

投稿日:

評価規準-Trust サービス規準

 保証業務全般に言えることですが、特定の内部統制を評価するには、一定の物差しが必要となり、その評価の物差しとして、SOC2及びSOC3報告書では、Trustサービス規準が利用されています。このTrustサービス規準は、セキュリティ、可用性、処理のインテグリティ、機密保持及びプライバシーのカテゴリーから構成されていますが、すべてのカテゴリーに基づいて評価する必要はなく、受託会社が、ユーザー側のニーズなどを踏まえて、どのカテゴリーが適切か選択することになります。なお、セキュリティの規準は、共通規準となっており、必ず選択されるカテゴリーとなります。

Trustサービス規準

Trust Service Criteria

 補足ですが、ユーザーのいろいろなニーズに対応するため、Trustサービス規準に、他の規制や業界団体で利用されている規準などを加えて一緒に評価することも可能です。この種のレポートは米国ではSOC2+と呼ばれています。

 また、SOC2報告書では、報告書に含まれる記述書の記載方法について定めた、記述規準というものが別途あります。この規準で報告書に記載される内容について一定の方針が定められているため、受託会社がどのような内容を記載すれば良いのか手助けになりますし、受託会社監査人が、適切に記述書が表示されているか判断する際に役立ちます。

 Trustサービス規準と記述規準については、原文は英語になりますが、その日本語訳が日本公認会計士協会(JICPA)から公表されています。Trustサービス規準はこちら※。記述規準はこちら※。

※Trustサービス規準および記述規準については、2022年にガイダンスの一部(Trustサービス規準の着眼点および記述規準の実施ガイダンス)が更新されています。なお、規準そのものは修正されていません。JICPAの日本語訳は、当該更新について対応していません。

各略称の個別名称はこちら
投稿日:

日本基準の変遷

 日本基準については、実務指針の管理番号が度々変更され、混乱している人もいるかもしれませんので、解説しておきたいと思います。

 日本においても米国の制度にならって、受託業務の内部統制等に関わる報告書は3つに分類され、実務指針の番号を取って、過去にSOC1に相当するレポートとして18号及び86号報告書、SOC2に相当するレポートとしてIT7号報告書、SOC3に相当するレポートとしてIT2号報告書がありました。「86号」「IT7号」「IT2号」と2桁以内の数値のためか、比較的覚えやすかったと思います。

日本基準の変遷

history

 しかし、実務指針の改訂及び実務指針の管理番号体系の整理に伴い、現状では、保証実3402、保証実3702に変更され、3分類を示す略称はありません。旧IT2号については、SysTrustとWebTrustの業務についての実務指針でしたが、SysTrustは実質としてTrustサービス規準で行うSOC3と同等の業務であるため、保証実3850(3702)に取り込むこととし、WebTrustは、旧IT2号の廃止に伴い、国際基準のISAE3000で対応しています。これについては、米国制度での取り扱いに歩調を合わせたものになっています。

 SOC1に相当する保証実3402は、国際基準と同じ番号を付しているため、ある意味混乱しなくて良いのですが、SOC2に相当するレポートは、過去IT7号として徐々に知名度を上げてきた(と思われる)ところ、その後3850(経過的に3852が存在)、3702に変更されたため、覚えにくい番号になってしまったように思います。

 これに対して、米国では、日本と同じように関連する基準名や番号の変更もありましたが、一貫としてSOC1・SOC2・SOC3の分類でブランドを築きあげてきたと思います。その結果、日本の実務でも、受託業務の内部統制に関わる報告書は、一般的名称としてSOC報告書と呼ばれることが多いと思います。

各略称の個別名称はこちら
投稿日:

SOC報告書の種類

SOC報告書は3分類

 SOC報告書には、いくつかの種類があります。保証対象や報告先によって分類が行われていますが、この分類は、米国公認会計士協会(AICPA)で定めたカテゴリー区分、SOC1、SOC2、SOC3が広く定着しています。また、米国外でも類似の制度があり、日本でも、同種の報告書が存在しています。しかし、この制度は、米国から発展した経緯もあり、SOCという略称の知名度が高いため、日本でもSOC1、SOC2、SOC3に相当する報告書として、SOCの略称が一般的に使われています。なお、SOC1、SOC2、SOC3という呼称は、米国で登録商標になっているため、厳密にいえば、米国基準に基づいて発行された報告書を指すことになります。ただし、日本基準及び国際基準とも同等の保証業務になるため、その保証レベルに差異がある訳ではありません。

対象となる内部統制

 表のとおり、SOC1は財務報告に関連する内部統制を対象としており、財務諸表監査のために利用されることを前提とした報告書になります。SOC2及びSOC3は、財務報告に関連しない領域を含む内部統制を対象としていますが、このことは、財務報告に関連する内部統制も含まれることを意味しているため、SOC2の場合、財務諸表監査でも利用できる場合があります。ただし、報告書に必要とする情報が網羅的に含まれているかどうかなど、利用できるか否かの整理が必要になります。

SOC2とSOC3の違い

 SOC2及びSOC3の保証対象はセキュリティ等5つのカテゴリーとなりますが、SOC2は想定利用者が限定されているのに対して、SOC3は不特定多数が利用できることを想定したレポートになります。また、SOC3はWebサイト上でレポートが公開されることが想定されます。
 SOC2は、何らかの監査で利用されることを想定しているほか、規制当局などへの報告用としても利用されることが想定されています。そのため、SOC1と同様に具体的な内部統制の状況や受託会社監査人の実施した手続の内容等が記載されますが、SOC3は広く一般ユーザー向けとして、理解しやすい概要情報として報告書は構成されます。実務では、SOC2報告書を作成しているサービス事業者が、それに加えてSOC3報告書を作成していることが通例です。ただし、SOC2報告書を取得していれば、その実績をもって、十分ユーザー側のニーズが満たされることも想定されるため、SOC3の報告書を発行しているケースは多くないと言えます。なお、SOC3は広告宣伝目的としては有効かと思われます。

適用基準とは?

 上記の表にある適用基準とは、各報告書に関わる実務上の指針になります。日本基準・国際基準・米国基準の3種類がありますが、日本のSOC1、SOC2及びSOC3に相当する基準は個別指針であり、一般指針である保証実3000と一緒に適用されることになります。また、日本の基準は、国際基準と整合させて作成されているため、実態として保証実3402とISAE3402、保証実3000とISAE3000は大きな相違はありません。
 各実務指針では、実務において準拠すべきガイドラインが示されていますが、それだけでは判断に迷うことがあるため、各種Q&Aも発行されています。同様に、米国でも詳しいガイドラインとして、SOC1 GuideやSOC2 Guideが発行されています。米国の各ガイドラインはかなり詳細な記述がされており、日本の実務においても、参考にしている実態があります。

各略称の個別名称はこちら
投稿日:

SOC報告書とは?

 SOC報告書は、企業や個人等にサービスを提供している事業者の業務が、有効な内部統制のもと行われているかどうか、知ることができる報告書になります。例えば、ユーザーがあるクラウドサービスを利用したいと考えた時に、そのクラウドサービス事業者が、SOC2報告書を提供していれば、それを入手することで、具体的な内部統制の状況について、知ることができます。

 SOCは、System and Organization Controlsの略となります。過去は、ユーザーから業務を受託しサービスを提供する「受託会社」のことを示す、Service Organization Controlsの略としてSOCだったのですが、より広い概念が含まれる略語に変更されています。Systemの用語が含まれている通り、SOC報告書は、ITの要素が多く含まれることが多いです。そのため、公認会計士の業務として、違和感があるかも知れませんが、昨今の監査法人では、会計士以外のITスペシャリストが数多く所属するほか、ITスキルを保持する会計士も増えています。独立性の保持や品質管理機能を有する監査法人は、内部統制の評価を行う第三者機関として、最も適切な組織とも言えるでしょう。

 下図では、財務諸表監査で利用されるSOC1報告書の関係当事者について説明をしています。クラウドサービスなどを利用している会社(委託会社)の財務諸表監査において、そのサービス事業者(受託会社)が提供するシステムの評価が必要になることが良くあります。委託会社及びその監査人は、受託会社へシステム評価の協力を依頼して、直接サービス事業者へ監査に行くケースも考えられますが、委託会社と受託会社に資本関係がある場合などを除いて、通常は、難しいことが考えられます。そこで、受託会社の監査人(監査法人等)に、保証業務として、このSOC報告書を発行してもらえると、委託会社及びその監査人はその報告書を監査に利用することができます。

 クラウドサービスなどは、多くのユーザーが利用していると想定されますが、そのSOC報告書をユーザーが共通利用できるため、費用対効果の観点から有益となります。なお、SOC2報告書やSOC3報告書でも同様の関係図が描かれますが、対象となる内部統制や想定する報告書の利用者が異なってきますので別の解説(こちら)を参照してください。

SOC1報告書の関係図

Scheme

 このSOC報告書ですが、残念ですが、すべてのクラウドサービス事業者や受託業務を提供している事業者がSOC報告書を提供しているものではありません。理由としては、SOC報告書のユーザーニーズが多くない場合、費用対効果が見込まれないためと思われます。

 もともと、米国でスタートした制度であるため、米国では広く普及していますが、日本ではまだ認知度は高いとは言えません。会計士業界の中でも、制度の内容を熟知している人は多くありません。ですが、昨今では、オンプレミスの従来型のシステムから、クラウドサービスの利用へどんどん変化しており、企業は外部サービスの利用の機会が増加しています。よって、監査上のニーズも高まることが想定され、また、具体的な内部統制の状況を情報提供するSOC報告書は、ベンダー選定プロセスの判断要素としても、有益な情報源になるものと思います。

※SOCは、もともと当該制度の発祥の地である米国での呼称ですが、日本でもこの呼び名が定着している現状があるため、日本及び国際基準での同種の報告書制度も含めて、この呼称を用いて解説しています。

各略称の個別名称はこちら