監査法人選定のポイント(VantaやDRATA等利用時)
Vanta等のツール業者がツール契約時に監査法人を紹介してくれると思いますが、どの監査法人に選定しようか迷われるかと思います。その際の選定のポイントについてご説明します。
以下の理由から、日本のAuditor(監査法人)を選定することを強くお勧めします。
- 日本の法規制や業界ガイドラインへの対応
各種法規制や業界団体が求める産業別ガイドラインを満たした情報セキュリティなどの内部統制を整備・運用する必要があります(TSP Section 100 — 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy)。これらに精通していない外国の監査法人では、規準への対応が不十分になるリスクがあります。 - 言語の壁による事務対応コストの増加
VantaやDRATA等のコンプライアンスツールには、日本語サポート機能がまだ十分に搭載されていません。そのため、日本語で規程を整備している企業では、外国の監査法人が規程の確認を行う際に言語の壁が生じ、無駄なコミュニケーションや手間が発生する可能性があります。 - 日本語レポートの発行が困難
外国の監査法人は日本語対応が難しいため、SOC 2レポートを日本語で発行することが非常に困難です。場合によっては、日本語対応のために追加の費用を負担する必要が生じることもあります。
以上の理由から、たとえ日本の監査法人の方が監査コストが若干高くても、品質の低下によるSOC2レポートの出し直しリスクや、追加の事務対応コストを避けるために、日本の監査法人を選定することが最善と考えます。