SOC2レポート –レポートの構成–
報告書の構成内容は以下の通りで、50~100ページ程度の報告書となります。
項目 | 説明 |
---|---|
独立監査人の意見 | 独立監査人が実施した手続の結果についてサマリーが記載されます。 (例:適正意見、限定付適正意見など) |
経営者の意見表明 | 経営者の意見表明として「受託会社確認書」が作成され、対象事項や統制責任についてなどの前提事項が記載されます。 |
システムに関する記述(次表参照) | システム構成要素(例:インフラ、人員、データなど)や関連する内部統制に関する要旨が記載されます。 |
独立監査人の運用評価手続及び評価結果 | 独立監査人が実施した監査手続、及び結果の概要(サンプル件数や発見事項を含む)が記載されます。 |
その他の情報 | SOC2対象期間後の後発事象や、発見事項に対する企業の対応等が記載される。 |
“システムに関する記述”に記載する主な内容は以下の通りです。
項目 | 説明 |
---|---|
提供される業務の種類 | 会社によって提供される業務の内容が記載されます。 |
主要なサービスコミットメント及びシステム要求事項 | 委託会社の顧客等に対して約束されたコミットメントと、それを達成するために必要なシステムの要求事項が記載されます。 |
業務提供に利用されるシステムの構成要素 | SaaS事業者が業務を遂行するために必要なインフラストラクチャー、ソフトウェア、人員、手続き、データについて記載されます。 |
識別されたインシデントの内容 | 関連するインシデントについて記載されます。 |
統制環境、リスク評価、情報と伝達、監視活動及びITへの対応 | 統制環境、リスク評価、情報と伝達、監視活動及びITへの対応に関する内容が記載されます。 |
システムに関する内部統制 | SaaS事業者のサービスコミットメント及びシステム要求事項が満たされることについて、合理的な保証を提供するためにデザインされた関連する内部統制が記載されます。 |
相補的な委託者の内部統制 | SaaS事業者での内部統制は、ユーザー側が適切なアクションを取ることを前提にしており、そのユーザーサイドで対処すべき事項を記載します。 |
相補的な再受託会社の内部統制 | SaaS事業者での内部統制は、委託先側が適切なアクションを取ることを前提にしており、その委託先側で対処すべき事項を記載します。 |