受託会社の内部統制に係る保証報告書の枠組み ~SOC1(ISAE3402/SSAE16/86号), SOC2(IT7号), SOC3(SysTrust/WebTrust/IT2号)の有効活用に向けて~
業務やシステムの一部または全部を外部へ委託する企業が増えており、外部委託先管理の重要性は高まっています。受託会社の内部統制に係る保証報告書の概要と主にSOC2/SOC3の適用に関するガイダンスについて、トピックごとに説明を行います。
業務やシステムの一部又は全部を外部へ委託する企業が増えており、外部委託先管理の重要性は高まっています。
米国では、2011年にSOC(Service Organization Controls:受託会社の内部統制)保証報告書の体系をSOC1、SOC2、SOC3の3種類に整理し、また日本ではSOC2に該当する基準として、2013年にIT7号 を公表しました。これにより、既存の財務報告に係る内部統制の報告書に加え、受託会社が提供する財務報告以外のサービスに係る内部統制に焦点を当てた保証報告書の提供が可能となり、委託会社のニーズにより広く対応することができるようになりました。
以下では、受託会社の内部統制に係る保証報告書(SOC報告書)の概要と主にSOC2/SOC3報告書の適用に関するガイダンスについて、トピックごとに説明を行います。なお、以下では、日本基準及び国際基準における報告書も含めて、SOC1、SOC2、SOC3のカテゴリ区分で総括して説明を行っています。
内容
- 受託会社の内部統制に係る保証報告書SOC報告書の概要
- SOC報告書のフレームワーク
- SOC報告書の種類
- SOC報告書のタイプ
- SOC報告書別の対象範囲の比較
- SOC2/SOC3の原則
- SOC2/SOC3の基準
- SOC2とSOC3の相違点
- SOC報告書の構造
- SOC2/SOC3レポートの実務
- コントロールとサービスによるSOC報告書の選択
- 委託会社がSOC2/SOC3を採用する際の進め方
- 委託会社によるSOC報告書評価時の主要な観点
- 受託会社がSOC2/SOC3を採用する際の進め方
- 受託会社へご提供するサービス
- まとめ