SOC1とSOC3との違いについて
分類 (米国公認会計士協会) | 主題 | 基準:米国公認会計士協会 | 基準:日本公認会計士協会 | 基準:国際監査・保証基準審議会 |
---|---|---|---|---|
SOC1 | 財務報告に係る内部統制 | SSAE18(AT-CSection 105・205・320) | 保証実 3402 | ISAE3402 |
SOC2 | Trust サービス規準に係る内部統制 | SSAE18(AT-CSection 105・205) | 保証実 3702 | ISAE3000 |
SOC3 | 同上 | 同上 | 同上 | 同上 |
SOC1報告書もアウトソーシング事業者(受託会社)が提供するサービスに関する内部統制について、監査法人または監査事務所が評価し、提出する報告書です。
この点はSOC2と共通していますが、SOC1報告書では委託会社の財務報告に関わる範囲が対象となっているのに対し、SOC2では情報セキュリティやプライバシーなどの内部統制が対象となる点が異なります。
SOC3報告書は、SOC1やSOC2とは異なり、受託会社が自社のウェブサイトなどで広く公開できる形式の報告書です。
そのため、受託会社の内部統制に関する記載は全体的な概要にとどまり、詳細な内部統制の内容や監査人の評価手続きおよび結果は含まれません。
クラウドサービス事業者がSOC2報告書とともにSOC3報告書を取得し、他の基準や規格への適合状況と併せて自社のウェブサイトで公開するケースが多く見られます。