受託業務に係る内部統制の保証業務(SOCR)を利用することで、企業は顧客(およびその外部監査人)、投資家、経営陣、規制当局、その他のステークホルダーに対して、内部統制に焦点を当てた信頼性のある情報を提供できます。これにより、受託会社はリスクに関する信頼性の高い情報を求める顧客ニーズに効率的に対応できます。
SOC1は、情報システムを運用して財務報告を支援するビジネスプロセス業務を提供する企業(受託会社)が、顧客やその外部監査人に提出する報告書であり、自社の業務提供プロセスと統制に対する信頼の構築をサポートします。
SOC2/SOC3は、企業のシステムにおけるセキュリティ、プライバシー、機密保持、可用性、処理のインテグリティに影響を及ぼす企業の統制について、情報と保証を必要とする幅広いユーザーのニーズに応えます。
SOC for Cyberは、企業の全社的なサイバーセキュリティリスク管理プログラムに関する情報と保証を必要とする、幅広いユーザーのニーズに応えます。
SOC for Supply Chainは、商品の生産、製造、流通について企業のシステムと統制に関する情報と保証を必要とするステークホルダーのニーズに応える報告書で、サプライチェーンにおけるリスクの理解を深めます。
EYのチームは、限定的保証業務またはSOC報告書などの合理的保証業務の実施に先立ち、システム記述のような保証の対象に関わるドラフト文書の事前評価業務も提供しています。
合意された手続き(AUP : Agreed Upon Procedures)業務は、企業と報告を受ける第三者との間で合意された統制テストやその他の手続きを実施し、独立した立場から結果を報告するものです。
企業は、AUPにより、統制テストやその他の手続きに関する独立かつ事実に基づいた結果について、報告を受ける第三者に提示することができます。EYのチームは、企業と第三者が合意した一連の手続きを実施し、その結果と関連する所見を報告します。
ISAE3000は、監査人、企業、第三者が合意した監査に関連する手続き(非財務情報に関連するもの)についての報告です:
- ISAE3000統制テスト - 手続きと統制テストを実施し、ISAE3000規格に従った保証報告書を作成する
- ISAE3000実行支援とトレーニング - 手続きの実行に関するトレーニングを提供し、ISAE3000規格に従った保証報告を作成する