SOC2 (System and Organization Controls for Service Organizations)

> テクノロジーリスク

クラウドサービスベンダーを含む外部委託業者に対して、情報セキュリティに係る内部統制を評価し、SOC保証報告書として提供します。

受託者責任の遂行を可視化

常に変化する市場や厳しい競争環境の中、多くの企業は自らの経営資源をより効率的に活用するため、業務の外部委託を進めてきました。こうした動きは、企業(委託会社)に一定の成果をもたらしてきましたが、同時に、外部委託先の管理という課題を、より深刻化させることになりました。一方、業務を受託する側(受託会社)は、外部委託に関連する法規制、ガイドラインの整備などを背景に、委託会社のより厳しい目にさらされ、対応の負荷が高まっています。

こうした状況下、受託業務に係る内部統制の保証報告書は、委託会社と受託会社の双方のニーズに対応するものとして、多くの企業に利用されています。

EYができること

SOC2報告書の利用メリット

SOC2は、財務諸表監査や内部統制監査において、委託会社監査人が内部統制の評価に資するとともに、委託会社の内部統制に係る経営者評価にも利用可能です。

SOC2報告書の利用メリット

SOC2報告書の利用スキーム

SOC2報告書の利用スキーム

SOC2報告書の構成(※1)

報告書は「受託会社監査人の意見」、「受託会社の経営者の確認書」、「システムの記述」、「監査人が実施した運用評価手続とその結果」(※2)の4つのパートで構成されます。「システムの記述」のパートには受託会社がデザイン(整備)し、運用する内部統制の仕組みが詳細に記述されます。

※1 報告書の構成はSOC2+保証報告書の場合も同様です。

※2 デザインの評価と運用状況の評価を実施するタイプ2報告書の場合。デザインの評価のみを行うタイプ1報告書には、このパートはありません。

SOC2報告書発行までのロードマップ例

SOC2報告書発行までのロードマップ例

Trustサービスの原則と規準

SOC2は、選択する1つまたは複数のTrustサービスの原則と規準に基づいて評価、提供されます。SOC2はTrustサービスの原則と規準に、任意の評価規準を追加することができます(SOC2+)。

Trustサービスの原則と規準

SOC2報告書に係るEYの強み

私たちは受託会社監査人として、貴社の負担を最小限に抑え、委託会社にとって利用価値の高い高品質な報告書の作成を実現します。

SOC2報告書に係るEYの強み

第三者評価(SOCR/ISMAP/ISO)

委託業務に係る内部統制の状況を把握し、その有効性の評価に資する保証報告書(保証業務実務指針3402/AT-C320、以下「保証実3402/AT-C320 」)をはじめ、Trustサービス(情報システムの信頼性などに係る規準)に係る保証報告書の発行など、EYは第三者機関としての報告サービス(SOCR)を提供します。
ISO規格に基づくISO20000-1、ISO27001、ISO27017、ISO27018、ISO27701等の認証業務や、手続実施結果のみを事実に則して報告する「合意された手続」業務(Agreed-Upon Procedures Engagements)も提供するほか、政府情報システムのためのセキュリティ評価制度(以下、ISMAP:イスマップ)における監査機関としてISMAP情報セキュリティ監査業務も提供します。

詳細ページへ

  • SOC1 (System and Organization Controls for Service Organizations)

    資産運用・管理等の受託業務を取り巻く環境においては、受託会社が顧客の信頼を得るために、受託者責任を全うした結果の報告資料として、独立第三者による受託会社の内部統制に係る保証報告書( 保証実3402 / SSAE 18 / ISAE 3402 、以下SOC1 ) が活用されています。また、クラウドコンピューティングをはじめ、IT においても受託業務が広がる一方で、受託業務のブラックボックス化等の委託会社の抱く懸念の払拭(ふっしょく)が受託業務のカギとなります。受託者責任の遂行結果を目に見える形で委託会社に示す事により、受託業務の獲得または継続につなげる事が可能となります。
     

    詳細ページへ

     

  • SOC2 (System and Organization Controls for Service Organizations)

    常に変化する市場や厳しい競争環境の中、多くの企業は自らの経営資源をより効率的に活用するため、業務の外部委託を進めてきました。こうした動きは、企業(委託会社)に一定の成果をもたらしてきましたが、同時に、外部委託先の管理という課題を、より深刻化させることになりました。一方、業務を受託する側(受託会社)は、外部委託に関連する法規制、ガイドラインの整備などを背景に、委託会社のより厳しい目にさらされ、対応の負荷が高まっています。こうした状況下、受託業務に係る内部統制の保証報告書は、委託会社と受託会社の双方のニーズに対応するものとして、多くの企業に利用されています。

     

  • 政府情報システムのためのセキュリティ評価制度(ISMAP)

    政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program: 以下ISMAP:イスマップ)は、政府が求めるセキュリティ要求事項を満たしているクラウドサービスをあらかじめ評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、もってクラウドサービスの円滑な導入に資することを目的とした制度です。
     

    詳細ページへ

     

  • ISOマネジメントシステム認証、導入およびトレーニング

    ISOマネジメントシステム認証、導入、またはトレーニング業務は、ISO規格およびその他の確立された認証の枠組みに従って、マネジメントシステムの導入または認証業務を提供します。

    EY CertifyPoint B.V.は、2002年に設立されたEYの事業体であり、オランダに本部を置く、認定済みの独立性と公正性を備えた認証機関です。EY CertifyPointを通じて、EYのチームはリード・インプレメンターとリード・オーディターのコースを提供し、複数のISO規格に関する企業内の人材の認証もしています。
     

    詳細ページへ

     

EY Japan Assurance Hub

EY Japan Assurance Hub

時代とともに進化する財務・経理に携わり、財務情報のみならず、非財務情報も統合し、企業の持続的成長のかじ取りに貢献するバリュークリエーターの皆さまにお届けする情報ページ 

詳細ページへ

 

お問い合わせ

詳細をご希望の場合はお問い合わせください。