SOC2取得支援コンサル業者選定のポイント
SOC2をはじめとする内部統制の検証においては、最終的な結論(無限定適正意見(いわゆるクリーンオピニオン)なのか限定付意見なのか、意見不表明なのかの判断基準が、監査人によって異なる場合があります。これは、内部統制が一律の“正解”を持たない性質を有しており、企業ごとの総合的な統制の状況や組織体制に応じて、監査人が整備状況や運用の有効性を個別に判断するという特性によるものです。
そのため、たとえ評判の良いコンサルティングファームに依頼し、その指示に沿って内部統制の構築等対応を進めたとしても、それが監査人の求める「十分な対応」に達していない場合があります。逆に、必要以上の「過剰対応」を行ってしまい、不要なコストをかけてしまうリスクも存在します。
このような背景を踏まえると、まずは監査法人に対してReadiness Check(事前調査)を依頼するのが望ましいと言えます。特に、SOC2に関して十分な実績と知見を有する監査法人を選ぶことで、SOC2取得プロセスの精度と効率が格段に向上します。(なお、監査法人は独立性の確保が求められるため、内部統制の実行支援や証跡の収集代行といった業務は行えません。この点についてはあらかじめ理解しておく必要があります。)
したがって、SOC2レポートを効率的かつ確実に取得したい場合には、監査人の検証方針や評価基準を十分に理解している支援業者を選定するか、あるいは、そもそも監査法人にreadiness checkを依頼することが極めて重要です。