アウトソーシング事業者向け内部統制評価支援 SOC保証報告書(System and Organization Controls Reporting)

業務のグローバルアウトソーシングが急速に拡大している中、その戦略上、サービスプロバイダーにおける業務・プロセス・処理結果への信頼性と透明性の向上が不可欠です。

クラウドサービスの活用をはじめ、情報システムの開発、保守、運用や、企業にとって重要なビジネスプロセスの外部委託の拡大に伴い、業務を受託する側(以下、受託会社)への情報セキュリティや受託業務の品質について、リスク管理態勢や内部統制の高度化要求が高まっています。

受託会社では内部管理態勢の強化を推し進めるとともに、SSAE18や保証業務実務指針3402などの第三者保証の報告書を取得し委託会社へ開示しているものの、受託サービスの商品価値向上に十分に活用できていない事例が見受けられます。

PwCでは、保証報告書を価値の高いものにするために、単に第三者保証報告書を発行するだけでなく、どのようなステークホルダーに対してどのような保証を得るべきか、さまざまな監査を通じた知見やグローバルの事例を用い、保証スキームの計画段階から第三者保証制度を活用した受託サービスの強化を支援します。

SOC 1:財務報告に関連する内部統制の保証報告

外部に委託した業務における財務報告に関連する内部統制を受託会社が文書化した上で、その内容が現状を正しく反映していることと、その統制手続が遵守された場合に統制目的が達成されることを独立した監査人が評価し、報告書を発行します。

本報告書は、国際保証業務基準(ISAE3402)に基づき策定された下記の指針・基準に基づき発行します(※本サービスは、旧SSAE16、旧SAS70、旧18号、旧86号に該当します)。

  • 日本公認会計士協会(JICPA) 監査・保証実務委員会 保証業務実務指針3402「受託業務に係る内部統制の保証報告書に関する実務指針」(※旧18号、旧86号)
  • 米国公認会計士協会(AICPA) 保証業務基準書第18号(SSAE18)「受託会社の統制に関する報告」(※旧SSAE16、旧SAS70)

なお、本報告書は、委託会社の財務報告に関連して、受託会社監査人が、下図の各事項について意見を表明する報告書であり、TypeIとTypeIIの2種類があります。

TypeIは、基準日時点での評価となり、一方、TypeIIは期間を対象とした評価となります。

SOC 2とSOC 3:財務報告目的以外の保証報告

財務報告目的の保証業務以外にも、さまざまな保証業務があり、その代表的なものとしてSOC 2ならびにSOC 3報告書があります。

クラウドベースのストレージソリューションの登場と利用の増加に伴い、機密データの管理やセキュリティに対する保証要求がますます高まっています。

SOC 2においては、統制が適切に設計されていることおよびその統制が有効に運用されていることを評価するための規準はTrustサービス規準(セキュリティ、可用性、処理のインテグリティ、機密保持、プライバシー)となり、一般的にクラウドサービスプロバイダーなどが満たさなければならない規準が定義されています。

SOC 2報告書またはSOC 3報告書では、規制当局とその他ステークホルダーの非財務報告に係わる内部統制保証に関する要求を満たすため、セキュリティ・可用性・処理の完全性・機密保持・およびプライバシーなどのコントロールに焦点を当てます。

米国のクラウドサービスプロバイダーを中心に普及が進んでいましたが、最近では日本でもSOC 2報告書の検討/取得が進んでいます。

SOC 3においては、パブリック認証局における統制が適切に設計されていることおよびその統制が有効に運用されていることを評価するための規準は、認証局のためのWebTrustの原則と規準、認証局のためのWebTrust-SSL 基本要件保証規準となり、パブリック認証局などが満たさなければならない規準が定義されています。また、業界で準拠が求められているガイドラインなどの項目を、評価対象として追加することも可能です。

  • 日本公認会計士協会(JICPA)
    • 保証業務実務指針3702「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」
    • セキュリティ、可用性、処理のインテグリティ、機密保持及びプライバシーに関するTrustサービス規準
  • 米国公認会計士協会(AICPA)
    • System and Organization Controls (SOC) reports
    • SOC 2 Report : Report on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality or Privacy
    • SOC 3 Report : Trust Services Criteria for General Use Report
    • 2018 Description Criteria for a Description of a Service Organization’s System in a SOC 2® Report (With Revised Implementation Guidance — 2022)

SOC 2+:業界で準拠が求められているガイドラインや契約上の義務に対応した保証報告

PwCは、従来のSOC 1およびSOC 2報告を超え、利害関係者のニーズを満たすSOC報告の進化をリードして来ました。

SOC 2を拡張し、業界で準拠が求められているガイドラインなど、利用顧客のニーズに応じた規準を追加的に評価対象項目として組み込んだ、ベンダー保証報告(SOC 2+)を提供します。受託会社はこのレポートを利用することで、利用顧客からの問い合わせへの対応を省力化することができます。

幅広い保証報告サービス(SOC 1、SOC 2および3、SOC 2+および合意された手続きなど)を提供することで、受託会社は、顧客が期待し必要とする信頼と透明性を、既存顧客および潜在顧客に提供することができます。

第三者保証制度を活用できていますか?

受託会社において、第三者保証制度の活用に関し、さまざまな課題が認識されています。

  • 保証報告書(ISAE3402/SSAE18/保証実3402)を取得しているものの、ただ取得しているだけで業務改善などに活用できていない。
  • リスク管理態勢や情報セキュリティの管理態勢を整備しているが、委託会社へのアピールや競合他社との差別化につなげられていない。
  • 保証実3402/SSAE18(AT-C320)の報告書の対象範囲・統制目的が、委託会社の利用目的を十分に考慮したものではなく、報告書の利用方法や内容について追加的な問い合わせ対応が発生している。
  • 委託会社の外部委託管理態勢の強化に伴い、新たにセキュリティ管理態勢にかかるチェックリストなどへの回答を求められており、対応負荷が高い。
  • 保証実3402/SSAE18(AT-C320)の報告書は財務報告目的の内部統制を対象としているため、財務報告目的以外の範囲について内部管理態勢の開示・保証対応に苦慮している。

ニーズの変化や全体的な枠組みの考慮不足と評価業務の単純作業化

これらの課題の主な原因は、受託サービスの内部管理態勢について、委託会社のニーズの変化や全体的な枠組みの考慮不足によるもの、評価業務の単純作業化の2点が考えられます。

委託会社のニーズの変化や全体的な枠組みの考慮不足

これまで、形式的に保証実3402/SSAE18(AT-C320)の報告書を取得していたものの、サービス・レベル・アグリーメント(SLA)やモニタリング活動、日々の報告業務との関連性や委託会社ニーズの変化について、全体的な枠組みの観点から十分に検討を実施しておらず、その結果として、保証実3402/SSAE18(AT-C320)の報告書の対象範囲・統制目的の妥当性、受託サービスの差別化につながるその他の保証業務などの必要性について見直しが十分でない場合が考えられます。

評価業務の単純作業化

保証実3402/SSAE18(AT-C320)の評価業務において、受託会社は監査法人から指示された証跡を毎回提出するのみの単純な作業となり、一方の監査法人も保証実3402/SSAE18(AT-C320)の評価範囲においてリスクがない限りは改善ポイントを受託会社に報告しないケースなど、互いに報告書発行に必要な作業を淡々と実施するだけになっていることが考えられます。

PwCを利用いただくメリット

PwCでは、評価作業の実施前に、委託会社のニーズを考慮した全体的な枠組みの検討を支援し、効果的な第三者保証制度の導入や対象範囲の決定の実現に寄与します。また、委託会社へのサポート強化に資する目的として、報告書の内容や活用に関する助言も行います。評価作業では、保証制度の範囲に限らず、管理態勢の改善効果が高いと思われる点についても積極的に報告します。

PwCのアプローチについて

STEP1 事前作業

1-1.現状把握・分析

委託会社のニーズなどの情報収集や、クライアントでこれまで取り組んでいる内部管理態勢にかかる各種活動、保証実3402/SSAE18(AT-C320)などの保証報告の実施状況などについて、インタビューや関連資料の閲覧により把握・分析を行います。

1-2.レディネスレビュー(オプション)

評価作業の実施に先立ち、対象業務における内部統制の事前診断を行い、課題の識別と解決に向けた助言を行います。

1-3.ディスカッション

クライアントの現状に基づき、委託会社のニーズを考慮した全体的な枠組みについてディスカッションを行い、第三者保証制度の活用の目的やその他の取り組みとの関連の明確化に向けて助言します。また、クライアントにおいて第三者保証制度の対象範囲(統制目的)の設定やそれらの記述書への文書化を円滑に行えるように助言します。

STEP2 評価作業

2-1.予備調査

対象業務や情報システムの環境、それらの変更計画、記述書の内容などについて調査を行います。

2-2.整備状況・運用状況の評価

整備状況評価では、規程やマニュアルの閲覧およびウォークスルーを行い、統制目的を達成できるよう統制がデザインされているか評価します。ウォークスルーでは、統制を実施している主管部署にインタビューを行い、統制の理解と評価を行います。運用状況評価は整備状況評価の評価結果に基づき、重要な統制について証跡の閲覧などによる運用状況の評価を行います。

2-3.報告書作成・納品

報告書を作成し、納品します。

STEP3 改善提言

3-1.改善点にかかるディスカッション

評価作業において把握した改善点について、保証制度の範囲に限らず報告するとともに、改善の方向性について助言します。

ホットトピック

外部委託契約から享受できる価値の劣化を克服

外部委託契約の管理に包括的なアプローチを適用し、契約再交渉・契約更改および契約終了の管理を適切に行うことを通じて、契約から享受できる価値の劣化を克服します。

ベンダー・コントロールの保証 (SOC 2+): 顧客の信頼を構築するための費用効率の高いアプローチ

サポート業務のみならず、基幹業務についても、アウトソーシングサービスの活用が急速に拡大しています。更なるコスト削減を求め、企業はコアビジネスの活動の支援に外部委託先がこれまで以上に大きな役割を果たすことを求めています。

このような環境下、受託会社に対する内部統制透明性向上の要請が強まっており、受託会社は、顧客企業からのリスク管理のための質問状への対応や現地監査への対応のため、多大なリソースを費やしています。

解決策として、ベンダーコントロール保証レポート (SOC 2+) を活用することで、受託会社も顧客企業も共に貴重な時間と資金を節約することができます。アウトソーシングのリスクを管理し、ベンダーコントロールについて保証を提供します。

SOC 2 および SOC 3: 保証報告書で顧客の信頼を構築

コスト削減および業務効率向上の手段として、アウトソーシングのグローバル市場に対する注目がますます高まっています。また委託先の業務に対する保証を得るために、顧客企業は独立監査人による SOC 保証報告を求めています。

フィンテック企業の SOC 保証報告

顧客企業のニーズに適合したSOC 2+保証報告を提供することにより、フィンテック企業はサービスを差別化し、戦略上の競争優位を手にすることができます。


{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

主要メンバー

加藤 俊直

パートナー, PwC Japan有限責任監査法人

Email