SOC報告書は3分類
SOC報告書には、いくつかの種類があります。保証対象や報告先によって分類が行われていますが、この分類は、米国公認会計士協会(AICPA)で定めたカテゴリー区分、SOC1、SOC2、SOC3が広く定着しています。また、米国外でも類似の制度があり、日本でも、同種の報告書が存在しています。しかし、この制度は、米国から発展した経緯もあり、SOCという略称の知名度が高いため、日本でもSOC1、SOC2、SOC3に相当する報告書として、SOCの略称が一般的に使われています。なお、SOC1、SOC2、SOC3という呼称は、米国で登録商標になっているため、厳密にいえば、米国基準に基づいて発行された報告書を指すことになります。ただし、日本基準及び国際基準とも同等の保証業務になるため、その保証レベルに差異がある訳ではありません。
対象となる内部統制
表のとおり、SOC1は財務報告に関連する内部統制を対象としており、財務諸表監査のために利用されることを前提とした報告書になります。SOC2及びSOC3は、財務報告に関連しない領域を含む内部統制を対象としていますが、このことは、財務報告に関連する内部統制も含まれることを意味しているため、SOC2の場合、財務諸表監査でも利用できる場合があります。ただし、報告書に必要とする情報が網羅的に含まれているかどうかなど、利用できるか否かの整理が必要になります。
SOC2とSOC3の違い
SOC2及びSOC3の保証対象はセキュリティ等5つのカテゴリーとなりますが、SOC2は想定利用者が限定されているのに対して、SOC3は不特定多数が利用できることを想定したレポートになります。また、SOC3はWebサイト上でレポートが公開されることが想定されます。
SOC2は、何らかの監査で利用されることを想定しているほか、規制当局などへの報告用としても利用されることが想定されています。そのため、SOC1と同様に具体的な内部統制の状況や受託会社監査人の実施した手続の内容等が記載されますが、SOC3は広く一般ユーザー向けとして、理解しやすい概要情報として報告書は構成されます。実務では、SOC2報告書を作成しているサービス事業者が、それに加えてSOC3報告書を作成していることが通例です。ただし、SOC2報告書を取得していれば、その実績をもって、十分ユーザー側のニーズが満たされることも想定されるため、SOC3の報告書を発行しているケースは多くないと言えます。なお、SOC3は広告宣伝目的としては有効かと思われます。
適用基準とは?
上記の表にある適用基準とは、各報告書に関わる実務上の指針になります。日本基準・国際基準・米国基準の3種類がありますが、日本のSOC1、SOC2及びSOC3に相当する基準は個別指針であり、一般指針である保証実3000と一緒に適用されることになります。また、日本の基準は、国際基準と整合させて作成されているため、実態として保証実3402とISAE3402、保証実3000とISAE3000は大きな相違はありません。
各実務指針では、実務において準拠すべきガイドラインが示されていますが、それだけでは判断に迷うことがあるため、各種Q&Aも発行されています。同様に、米国でも詳しいガイドラインとして、SOC1 GuideやSOC2 Guideが発行されています。米国の各ガイドラインはかなり詳細な記述がされており、日本の実務においても、参考にしている実態があります。