SOC2とは_SOC1やSOC3との比較
現状
SOC1報告書は、受託会社(サービス提供会社)が提供する業務に関する内部統制について、監査法人または監査事務所が評価し、その結果をまとめた報告書です。この点はSOC2と共通しています。
ただし、SOC1報告書の対象は、委託会社(サービスを利用する会社)の財務報告に関わる内部統制であるのに対し、SOC2では情報セキュリティやプライバシー保護といった非財務的な側面の内部統制が評価の対象となります。
また、報告書の利用者にも違いがあります。SOC1報告書は、主に委託会社とその監査人が利用することを想定しています。一方、SOC2やSOC3の報告書は、委託会社だけでなく、その見込み顧客(将来的にサービスを利用する可能性のある企業)も想定された利用者に含まれる点が特徴です。
SOC3報告書は、SOC1やSOC2とは異なり、受託会社(サービス提供会社)が自社のウェブサイトなどを通じて、一般の利用者向けに広く公開できる、簡潔な形式の報告書です。
このため、SOC3では内部統制に関する記載は全体的な概要にとどまり、SOC2報告書に含まれるような詳細な統制内容や監査人による評価手続き・結果は含まれません。
| SOC1 | SOC2 | SOC3 | |
|---|---|---|---|
| 報告書の主題 | 受託会社の財務報告に係る内部統制 | 受託業務における受託会社の以下の項目(トラストサービス基準)に係る内部統制 ▪️セキュリティ ▪️可用性 ▪️処理のインテグリティ ▪️機密保持 ▪️プライバシー |
|
| 想定利用者 | 委託会社、委託会社の監査人 | 委託会社、予想される委託会社、委託会社又は委託会社に係る規制当局など | 不特定多数 |
| 報告書の構成 | TypeⅠ:委託業務に係るシステムの記述、ならびに内部統制のデザインの適切性に関する報告書 TypeⅡ:委託業務に係るシステムの記述、ならびに内部統制のデザインの適切性および運用状況の有効性に関する報告書(内部統制のテスト手続およびテスト結果を含む) | 概要報告書のみ | |
| 再受託会社の扱い | 業務委託会社の記述書は、下記いずれの方式も採用可能 (a)除外方式 (b)一体方式 ※ただし除外方式の場合でも、再受託会社のサービスの性質の情報を提供する | 無限定適正意見を受けるためには、重要なすべての再受託会社の内部統制を含む必要があるが、委託会社の重要な内部統制は含まれてならない | |