Fit & Gapを通じて現状の整理と対応方針が固まった後は、システム記述書の作成に進みます。

SOC2報告書におけるシステム記述書(Section 3)は、受託会社自身が作成するものであり、監査(検証)の対象となる中核的なドキュメントです。

記述にあたっては記述規準(DCセクション200)が存在しますが、その内容は抽象度が高く、「どこまで書けば十分なのか」「どの粒度で整理すべきか」といった判断は一律ではありません。また、最終的には監査(検証)を前提とした記述とする点も見逃せないポイントです。

---

システム記述書作成の進め方

① テンプレートをもとに記述を開始

弊社は、これまでの支援実績をもとに作成したテンプレートをご提示しております。

このテンプレートは、記述規準(DCセクション200)に沿って必要な構成要素を整理したものであり、「どのセクションで何をどの程度の粒度で記載するのか」が分かるようにしています。テンプレートはあくまで記載例として、完成イメージを持つためのものであり、自社のサービス内容やシステム構成、内部統制の実態に即して記述を進めていきます。

実務上は、記述の箇所に応じて関与すべき部門や担当者が異なります。例えば、システム構成に関する部分はエンジニアやインフラ担当、全社的統制に関する部分は情報システム部門や管理部門が関与すべきといった形で、一人の担当者が全ての記載を担当することは稀です。

どの部分をどういった役割の方に任せるべきか実態に応じて検討いただくことになりますが、その際の考え方については、必要に応じてご相談いただくことも可能です。

② タッチポイントを設けたレビューと方向修正

記述書は全体の分量が多いため、全て完成してレビューを依頼するのではなく、一定の区切りごとにタッチポイントを設けながら進める方法がいいと考えております。

実務上、SOC2対応の窓口となる担当者に作業が集中したり、ある部分を任せていたものの、その部分で進捗が止まってしまうといったケースも見られます。

そのため、事前にレビュー会のようなイメージで定期的なタッチポイントを設定し、都度方向性をすり合わせておくことで、後工程で大きく書き直す必要が生じることを防ぎやすくなります。

また、記述を進める中で追加の確認が必要な事実が出てきた場合には、ヒアリングを通じて早い段階で把握できることもメリットの一つです。

③ 最終レビューと記述の調整

全体の記述が揃った段階で、最終的なレビューを行います。

ここでは、個別の記述内容だけでなく、全体としての一貫性や記載内容のバランスを確認します。特に多くの担当者が関与している場合には、同じことを意味していても表現が異なったり、前段で (以下「XX」とする)と定義づけたルールが徹底されていないなどの点も確認すべきポイントとなります。

あわせて、各記載事項の根拠となるエビデンスとの対応関係も確認します。記述内容と実際の運用を示す資料との間に齟齬がないかを見ておくことで、その後の検証フェーズでの対応コストを軽減できます。

---

まとめ

システム記述書の作成では、抽象的な規準をどのように自社の記述に落とし込むか、内部統制をどの程度の粒度で記載するか、相補的統制(委託者・再受託者)をどのように位置づけるかといった点で判断が求められます。これらはテンプレートだけで解決できるものではなく、実際の運用を踏まえて考える必要があります。

システム記述書の作成は、単に文章を整える作業ではなく、自社のサービスと統制をどのように説明するかを整理していくプロセスです。Fit & Gapで整理した内容を前提としつつ、記述として落とし込んでいく中で、追加で確認すべき点や見直すべき点が出てくることも少なくありません。

また、テンプレートをそのまま流用したような記述ではなく、自社の実態に即した内容として表現されているかどうかが、結果として記述の分かりやすさや、利用者からの信頼感にもつながります。

弊社では、テンプレートの提示にとどまらず、実務に即した観点でのコメントやレビューを通じて、システム記述書の作成をご支援しています。