EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
企業は、クラウドサービスをはじめとする外部のリソースを積極的に活用しなければ、厳しい競争環境に生き残れません。また、外部にサービスを提供する企業は、自らのサービスの適切さや有効性を外部に対して示す必要があります。
こうした状況下、受託業務に係る内部統制の保証報告書のうちでも、特にセキュリティ、可用性、処理のインテグリティ、機密保持、プライバシーを扱うSOC2 / SOC2+報告書は、業務を委託する側と受託する側双方のニーズに対応するものとして、多くの企業に利用されています。
常に変化する市場や厳しい競争環境のなか、多くの企業は自らの経営資源をより効率的に活用するため、業務の外部委託を進めてきました。こうした動きは、企業(委託会社)に一定の成果をもたらしてきましたが、同時に、外部委託先の管理という課題を、より深刻化させることになりました。一方、業務を受託する側(受託会社)は、外部委託に関連する法規制、ガイドラインの整備などを背景に、委託会社のより厳しい目にさらされ、対応の負荷が高まっています。
こうした状況の下、受託業務に係る内部統制の保証報告書は、委託会社と受託会社の双方のニーズに対応するものとして、多くの企業に利用されています。EYは、受託会社の内部統制を評価し、上記の受託業務に係る内部統制の保証報告書を発行するサービスを提供しています。詳細は以下をご覧ください。
SOC2は「Trustサービス規準」(AICPA)(※1)に基づいて提供されます。また、SOC2+は「Trustサービス規準」に加え、任意の評価規準を追加することができます。例えば、米国の医療保険の相互運用性と責任に関する法令「HIPAA」、日本の個人情報保護委員会が公表している「特定個人情報の適正な取扱いに関するガイドライン」、FISC(※2)の「金融機関等コンピュータシステムの安全対策基準」を追加するなど、報告書の利用者のニーズに合わせたカスタマイズが可能です。SOC2およびSOC2+は、幅広いリスクに対応しています。
(※1) AICPA:米国公認会計士協会
(※2) FISC:金融情報システムセンター
Trustサービスの原則と規準 |
概要 |
---|---|
セキュリティ |
システムは未承認のアクセス、利用又は変更に対して保護されている |
可用性 |
システムは、コミット又は合意したとおりに、操作でき、かつ、利用できる |
処理のインテグリティ |
システム処理は完全、正当、正確、適時かつ権限付与されている |
機密保持 |
機密として設定された情報が、コミット又は合意したとおりに、保護されている |
プライバシー |
パーソナル・インフォメーションは、企業のプライバシー通知におけるコミットメント及び「Trustサービスの原則と規準」の「プライバシーに関する原則と規準」に定められた規準を充足して、収集、利用、保護、開示及び廃棄される |
報告書は「受託会社の経営者の確認書」「受託会社監査人の意見」「システムの記述」「監査人が実施した運用評価手続きとその結果」(※4)の4つのパートで構成されます。「システムの記述」のパートには受託会社がデザイン(整備)し、運用する内部統制の仕組みが詳細に記述されます。
(※3) 報告書の構成はSOC2+保証報告書の場合も同様です。
(※4) デザインの評価と運用状況の評価を実施するType2報告書の場合。デザインの評価のみを行うType1報告書には、このパートはありません。
SOC 2のガイドラインは、2011年5月に米国公認会計士協会(AICPA)より公表されました。
当時、SOC 2ガイドを起草したクリス・ホルトマンが、米国の動向を交えながら紹介しています。
受託業務に係る内部統制の保証業務(SOCR)
外部への委託業務に係る内部統制の状況を把握し、その有効性の評価に利用する報告書(保証業務実務指針3402/AT-C320に基づく報告書)をはじめ、Trustサービス(情報システムの信頼性や電子商取引の安全性などに係る内部統制についての保証)など、第三者機関としての報告業務(System and Organization Controls Reporting、以下SOCR)を提供します。
続きを読む
EYの最新の見解
「受託業務に係る内部統制の保証報告書」を利用した外部委託先の内部統制の評価における8つのポイント
クラウドサービスやデータセンターの利用が広がる中、これらのサービスを利用する側の会社は、外部委託先の内部統制の運用の有効性を評価しなければならないことがあります。そのため、その評価方法を理解することが重要になります。
米国公認会計士協会のSOC1新基準であるAT-C Section 320(AT-C 320)の、旧基準AT Section 801(SSAE16)からの主な変更点について解説します。