監査法人選定のポイント(VantaやDrata等利用時)
Vanta等のGRCツール業者は、契約時に提携先の監査法人を複数社紹介してくれることが通常です。
当コラムでは、監査法人の選定時におけるポイントをご説明します。
結論として、以下の理由から、日本拠点の監査人(監査法人)と契約することが望ましいと考えます。
- 現地の法規制や業界ガイドラインへの対応
SOC2検証の際に使用されるTrust サービス規準 (TSP Section 100)によると、自社のサービスコミットメントの達成に加え、関連する法規制や業界団体が求める産業別ガイドラインを満たすことを目的に、情報セキュリティなどの内部統制を整備・運用する必要があります。海外の監査法人は、日本独自の要求事項に対する理解が足りない、あるいは情報へのアクセス自体が限定される可能性があります。 - 言語の壁による事務対応コストの増加
VantaやDrata等のGRCツールには、日本語サポート機能がまだ十分に搭載されていません。また、ツールの仕様に関わらず、十分な規程が整備されているかを判断するのは監査人であるため、海外の監査人が日本語で作成された規程等の確認を行う際、言語の壁により、不要なコストが発生する可能性があります。 - 日本語のSOC2レポート発行が困難
海外の監査法人に日本人スタッフが在籍していることは非常に稀で、SOC 2レポートを日本語で発行することは基本的にできません。場合によっては、日本語対応のために追加の費用が生じることもあります。
以上の理由から、費用面以外のコストや付随するリスクを鑑みて、監査法人の選定をする必要があります。SOC2レポートの取得時には優先度が下がりがちですが、一度SOC2検証を開始すると毎年監査対応が必要になるため、コミュニケーションが円滑に取れるか、長期的な信頼関係を築けるかといった視点も重要です。