受託業務に係る内部統制の保証業務(SOCR)

外部への委託業務に係る内部統制の状況を把握し、その有効性の評価に利用する報告書(保証業務実務指針3402/AT-C320に基づく報告書)をはじめ、Trustサービス(情報システムの信頼性や電子商取引の安全性などに係る内部統制についての保証)など、第三者機関としての報告業務(System and Organization Controls Reporting、以下SOCR)を提供します。

チーム

梅澤 泉
梅澤 泉
EY新日本有限責任監査法人 Technology Risk事業部 副事業部長 パートナー

委託業務に係る内部統制の状況を把握し、その有効性の評価に資する保証報告書(保証業務実務指針3402/AT-C320、以下「保証実3402/AT-C320 」)をはじめ、Trustサービス(情報システムの信頼性などに係る規準)に係る保証報告書の発行など、EYは第三者機関としての報告サービス(SOCR)を提供します。ISO規格に基づくISO20000-1、ISO27001、ISO27017、ISO27018、ISO27701等の認証業務や、手続実施結果のみを事実に則して報告する「合意された手続」業務(Agreed-Upon Procedures Engagements)も提供するほか、政府情報システムのためのセキュリティ評価制度(ISMAP:イスマップ)における監査機関としてISMAP情報セキュリティ監査業務も提供します。

公認会計士等(公認会計士または監査法人)が提供する保証業務である保証実3402/AT-C320保証業務について以下に紹介します。

  • 保証実3402報告書は、日本公認会計士協会(JICPA)の保証業務実務指針3402「受託業務に係る内部統制の保証報告書に関する実務指針」に基づき、受託会社監査人が提供する保証業務です。

  • AT-C320報告書は、アメリカ公認会計士協会(AICPA)監査基準委員会公表のAT-C Section 320「Reporting on an Examination of Controls at a Service Organization Relevant to User Entities' Internal Control Over Financial Reporting」に基づき、受託会社監査人が提供する保証業務です。
     

保証実3402/AT-C320報告書の利用

保証実3402/AT-C320報告書は、財務諸表監査および内部統制監査において、委託会社監査人が内部統制の評価に利用するとともに、委託会社の内部統制に係る経営者評価に利用できます。

委託会社においては、以下のメリットが期待されます。

  • 財務諸表監査および内部統制監査への対応の効率化

  • 内部統制に係る経営者評価の効率化

受託会社においては、以下のメリットが期待されます。

  • 受託会社監査人への監査対応の効率化

  • 委託会社との良好なコミュニケーションおよび信頼関係の構築

  • 競合他社との差別化

保証実3402/AT-C320報告書の作成・利用イメージ

保証実3402/AT-C320報告書は次のような関係で成り立っています。

system and organization controls reporting socr 01

保証実3402/AT-C320報告書の種類

保証実3402/AT-C320報告書には、次の2種類があります。

タイプ1 : 内部統制のデザインに関する保証報告書 (時点評価)
タイプ2 : 内部統制のデザインおよび運用状況に関する保証報告書(期間評価)


保証実3402/AT-C320報告書発行までの流れ

評価対象期間を1月~12月(1年間)とした場合、保証実3402/AT-C320報告書(タイプ2)が発行されるまでの標準的なスケジュールは次のようになります。

system and organization controls reporting socr 02

広がる保証報告書の選択肢

顧客ニーズの多様化および業務委託のグローバル化に伴い、受託業務の内部統制に係る保証報告書も多様化しています。受託会社にとって、顧客ニーズを捉え、適切な報告書を作成することにより顧客との信頼関係を強固にすることが可能になります。

広がる保証報告書の選択肢

※1 米国公認会計士協会
※2 日本公認会計士協会「保証業務実務指針3402『受託業務に係る内部統制の保証報告書に関する実務指針』」
※3 米国公認会計士協会 “Attestation Standards (Clarified) 320 ”
※4 国際監査・保証基準審議会(IAASB)
International Standard on Assurance Engagements
“ISAE3402, Assurance Reports on Controls at a Service Organization”
※5 日本公認会計士協会「保証業務実務指針3852『受託業務のセキュリティ、可用性、処理のインテグリティ、機密保持及びプライバシーに係る内部統制の保証報告書に関する実務指針』」
※6 米国公認会計士協会 “Attestation Standards (Clarified) 105, 205”

EYの関連サービス

受託業務のセキュリティ、可用性、処理のインテグリティ、機密保持、プライバシーに係る内部統制の保証業務(SOC2 / SOC2+)
企業は、クラウドサービスをはじめとする外部のリソースを積極的に活用しなければ、厳しい競争環境に生き残れません。また、外部にサービスを提供する企業は、自らのサービスの適切さや有効性を外部に対して示す必要があります。こうした状況下、受託業務に係る内部統制の保証報告書のうちでも、特にセキュリティ、可用性、処理のインテグリティ、機密保持、プライバシーを扱うSOC2 / SOC2+報告書は、業務を委託する側と受託する側双方のニーズに対応するものとして、多くの企業に利用されています。
続きを読む

チーム

梅澤 泉

EY新日本有限責任監査法人 Technology Risk事業部 副事業部長 パートナー
セクターを横断してデータ・プロテクション・リーダーを務める。データ管理およびコントロールを専門とする。
Tokyo, JPN

最新の見解

クラウドサービスの利用にSOC報告書が必要とされる理由

SOC報告書の種類や用途のほか、クラウドサービスの利用企業がSOC報告書を利用する上で留意すべき点について、解説します。

梅澤 泉

「受託業務に係る内部統制の保証報告書」を利用した外部委託先の内部統制の評価における8つのポイント

クラウドサービスやデータセンターの利用が広がる中、これらのサービスを利用する側の会社は、外部委託先の内部統制の運用の有効性を評価しなければならないことがあります。そのため、その評価方法を理解することが重要になります。

梅澤 泉

SOC1米国新基準(AT-C 320)における4つの変更点

米国公認会計士協会のSOC1新基準であるAT-C Section 320(AT-C 320)の、旧基準AT Section 801(SSAE16)からの主な変更点について解説します。

梅澤 泉
    お問い合わせ
    より詳しい情報をご希望の方はご連絡ください。

    EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。