SOC2 (System and Organization Controls for Service Organizations)
クラウドサービスベンダーを含む外部委託業者に対して、情報セキュリティに係る内部統制を評価し、SOC保証報告書として提供します。
チーム
受託者責任の遂行を可視化
常に変化する市場や厳しい競争環境の中、多くの企業は自らの経営資源をより効率的に活用するため、業務の外部委託を進めてきました。こうした動きは、企業(委託会社)に一定の成果をもたらしてきましたが、同時に、外部委託先の管理という課題を、より深刻化させることになりました。一方、業務を受託する側(受託会社)は、外部委託に関連する法規制、ガイドラインの整備などを背景に、委託会社のより厳しい目にさらされ、対応の負荷が高まっています。
こうした状況下、受託業務に係る内部統制の保証報告書は、委託会社と受託会社の双方のニーズに対応するものとして、多くの企業に利用されています。
EYができること
SOC2報告書の利用メリット
SOC2は、財務諸表監査や内部統制監査において、委託会社監査人が内部統制の評価に資するとともに、委託会社の内部統制に係る経営者評価にも利用可能です。
SOC2報告書の利用スキーム
SOC2報告書の構成(※1)
報告書は「受託会社監査人の意見」、「受託会社の経営者の確認書」、「システムの記述」、「監査人が実施した運用評価手続とその結果」(※2)の4つのパートで構成されます。「システムの記述」のパートには受託会社がデザイン(整備)し、運用する内部統制の仕組みが詳細に記述されます。
※1 報告書の構成はSOC2+保証報告書の場合も同様です。
※2 デザインの評価と運用状況の評価を実施するタイプ2報告書の場合。デザインの評価のみを行うタイプ1報告書には、このパートはありません。
SOC2報告書発行までのロードマップ例
Trustサービスの原則と規準
SOC2は、選択する1つまたは複数のTrustサービスの原則と規準に基づいて評価、提供されます。SOC2はTrustサービスの原則と規準に、任意の評価規準を追加することができます(SOC2+)。
SOC2報告書に係るEYの強み
私たちは受託会社監査人として、貴社の負担を最小限に抑え、委託会社にとって利用価値の高い高品質な報告書の作成を実現します。
第三者評価(SOCR/ISMAP/ISO)
委託業務に係る内部統制の状況を把握し、その有効性の評価に資する保証報告書(保証業務実務指針3402/AT-C320、以下「保証実3402/AT-C320 」)をはじめ、Trustサービス(情報システムの信頼性などに係る規準)に係る保証報告書の発行など、EYは第三者機関としての報告サービス(SOCR)を提供します。
ISO規格に基づくISO20000-1、ISO27001、ISO27017、ISO27018、ISO27701等の認証業務や、手続実施結果のみを事実に則して報告する「合意された手続」業務(Agreed-Upon Procedures Engagements)も提供するほか、政府情報システムのためのセキュリティ評価制度(以下、ISMAP:イスマップ)における監査機関としてISMAP情報セキュリティ監査業務も提供します。
チーム
お問い合わせ
詳細をご希望の場合はお問い合わせください。