SOC1やSOC2レポートの作成にあたっては、基準の理解に加え、実際のフローをどのように整理し、言語化するスキルが問われます。また、保証業務の特性上、チェックリストに沿って認証を取得するような仕組みではなく、最終的には監査人による個別の判断が求められる業務です。

こういった性質を踏まえると、監査法人の選定がプロジェクトの進め方や最終的なレポートの信頼性に影響を及ぼします。

本記事では、こうした前提を踏まえ、弊社がSOC1/SOC2を含む保証業務においてどのような方針で関与しているかについてご紹介します。

---

実務を起点とした進め方とコミュニケーション

SOCレポートの作成において、記述や統制の持ち方について一意の正解があるわけではありません。そのため、SOC業務の実務に十分に精通していない状態で規準から整理を始めてしまうと、実態と乖離した記述になったり、必要以上に統制を追加してしまうことがあります。

弊社では、まず現場でどのような運用が行われているかを理解し、不足している統制がどこにあるのかを見極めながら進めていくことを重視しています。

このように実務を起点として整理を進めるためには、単に情報を収集するだけでなく、前提や背景を踏まえて対話を行うことが不可欠です。

例えば、

• 日常的には実施されているが形式的に整理されていない運用
• 担当者ごとの判断に委ねられている部分
• 他の統制で補完されているため個別には実施していない対応

といった点は、形式的な質問だけでは把握しきれません。

専門性が高い分野であるほど、用語や前提のズレがそのまま手戻りにつながるため、初期の段階から認識をすり合わせていくことが、結果として全体の効率にもつながると考えています。

---

チーム体制

会計士 × IT専門家

弊社は、SOC1やSOC2等の保証業務における実務経験を有した4大監査法人出身のメンバーを中心に構成しております。

また、内部統制の構築・評価に精通した公認会計士に加え、情報処理安全確保支援士等のIT専門家が在籍し、システムやセキュリティに関する専門性を補完しています。

専門性 × 英語力

SOCレポートは、海外企業との取引において求められるケースが多く、契約に向けたプロセスの中で英語版レポートの発行や、日本語版レポートに参考訳を付すといった対応が求められる場面もあります。

SOC2をはじめとした保証業務は、米国(AICPA)における動向を踏まえて理解する必要があります。SOC2の規準となるTrustサービス規準や記述規準(DCセクション200)についても、日本語の公式な基準が整備されているわけではなく、英語で公表された内容の参考訳を参照しているのが実情です。

また、近年活用が進んでいるGRCツールの多くは海外で開発されたものであり、主要なツールのは英語を前提とした仕様・サポートとなっています。日本語対応が進みつつあるものの、ローカリゼーションには一定の時間を要するため、英語ベースでの理解が前提です。

弊社には、米国公認会計士や海外駐在経験のあるメンバーが在籍しており、英語でのレポート作成やコミュニケーションにも対応しています。

---

GRCツールを前提とした対応について

近年では、VantaやDrataといったGRCツールを活用したSOC対応も見られるようになっています。

これらのツールは、証跡収集や統制管理の効率化に寄与するものであり、継続的なSOCレポート発行を見据えた中長期的な視点や、社内での管理のしやすさといった観点でも有用です。

一方で、Journal of Accountancyでも指摘されているように、SOC対応の「fast and easy」という訴求が広がる中で、効率性が強調されるあまり、レポートの信頼性に影響が出る可能性がある点には留意が必要です。

弊社では、こうした背景を踏まえ、効率化のメリットは取り入れつつも、品質、ひいてはSOC業務自体に対する市場からの信頼感を損なわないことを重視して対応しています。

具体的には、

• デフォルトで提示される統制記述が、自社の実態を適切に表現しているか
• Automated Testが対象となる統制と実質的に関連しているか
• デフォルトのテストだけで、十分に評価できると言えるのか

といった点について、個別に検討しています。

ツールの出力を前提に進めるのではなく、統制の実態やリスクの内容を踏まえたうえで、第三者としてどのように評価すべきかを判断しています。

効率化と品質のどちらかを優先するのではなく、SOCレポートとしての信頼性を前提に、どこまで効率化を図るかという観点で対応しています

---

まとめ

SOC1/SOC2を含む保証業務は、単に統制を整備し、ドキュメントを作成すれば完了するものではなく、最終的には第三者としての判断が前提となる業務です。

効率的に進めることだけを重視した場合、統制の実態との乖離や、レポートとしての信頼性に影響が生じる可能性がある一方で、品質のみを優先すると、過剰な対応や実務負担の増大につながります。

こうした特性を踏まえると、信頼性を担保しながら、どこまで効率化を図るかというバランスが、SOC対応全体の進め方に大きく影響します。

弊社は、専門性を有したメンバーによる密なコミュニケーションを通じて、このバランスを意識した支援を行っています。

本記事が、SOCレポート発行に向けた進め方や、監査法人の選定を検討するうえでの参考となれば幸いです。