図表1では、財務諸表監査で利用されるSOC1報告書の関係当事者について説明をしています。クラウドサービスなどを利用している会社(委託会社)の財務諸表監査において、そのサービス事業者(受託会社)が提供するシステムの評価が必要になることが良くあります。委託会社及びその監査人は、受託会社へシステム評価の協力を依頼して、直接サービス事業者へ監査に行くケースも考えられますが、委託会社と受託会社に資本関係がある場合などを除いて、通常は、難しいことが考えられます。そこで、受託会社が自社のクラウドサービスに係る内部統制評価について第三者の保証を得てもらえると、委託会社及びその監査人はその報告書を監査に利用することができます。また、クラウドサービスなどは、多くのユーザーが利用していると想定されますが、そのSOC報告書をユーザーが共通利用できるため、費用対効果の観点から有益となります。
BDO三優監査法人は、独立した第三者としての立場から、当該SOC報告書を発行する業務を提供しております。 また、SOC報告書の取得に向けての予備調査サービスを提供しております。
【図表1 SOC1報告書の関係図】
なお、図表1について、SOC2報告書やSOC3報告書でも同様の関係図が描かれますが、対象となる内部統制や想定する報告書の利用者が異なってきますので別の解説(SOC報告書の種類)を参照してください。
このSOC報告書ですが、 もともと、米国でスタートした制度であるため、米国では広く普及していますが、日本ではまだ認知度は高いとは言えません。ですが、昨今では、オンプレミスの従来型のシステムから、クラウドサービスの利用へどんどん変化しており、企業は外部サービスの利用の機会が増加していますので、監査上のニーズが高まってきています。 また、具体的な内部統制の状況を情報提供するSOC報告書は、ベンダー選定プロセスの判断要素としても、有益な情報源になるものと思います。
※SOCは、もともと当該制度の発祥の地である米国での呼称ですが、日本でもこの呼び名が定着している現状があるため、日本及び国際基準での同種の報告書制度も含めて、この呼称を用いて解説しています。