準備期間を費やさない場合の取得リスク
SOC2準備コンサルティングやType1から始めることを強くお勧めします。SOC2レポートでは、対象期間内におけるシステムの内部統制についての検証結果が詳しく開示されます。内部統制が十分に整備されていない状態でいきなりType2に突入すると、仮に自社で構築している内部統制は有効に運用されていたとしても、整備の時点で最低限必要な統制が整っていない旨が記載された報告書(除外事項付意見や否定的意見の報告書)になってしまいます。これでは、検証費用や時間・人的コストがかかった上に、むしろサービスの普及を妨げる結果となることが想定されます。
また、SOC2レポートの結果として、上記のように「内部統制が適切に整備されていなかった」旨の意見が表明される可能性が高くなったからといって、「問題ない」旨の意見を監査人からもらうために、都合よく検証対象期間を変更したり、問題が生じた範囲を検証範囲からはずしたりできない点については留意が必要です(保証業務実務指針 3702)。
したがって、検証期間に入る前に専門家の助言の元準備期間を十分に設け、システムに係る内部統制が適切に整備された状態になってからType1/2に入ることを強くお勧めします。