Type2レポートの対象期間の設定について
― 初年度は3カ月が多いが、短すぎると意見表明に影響も ―
SOC2 Type2レポートの取得にあたっては、「対象期間(評価対象とする期間)」をどの程度の長さに設定するかが重要な検討事項となります。
■ 初年度(第1期)は短めの設定が一般的
実務上、SOC2取得の初年度(1期目)については、保証業務実務指針 3702 A29の(1)や(2)の定めを適用して、3カ月間程度の短期間で対象期間を設定するケースが多く見受けられます。
(保証業務実務指針 3702 A29.) A29.想定利用者にとって有益なものとするため、タイプ2の報告書は、通常、6か月以上の期間を対象とする。対象期間が6か月未満の場合、受託会社監査人は、受託会社監査人の保証報告書に対象期間が6か月より短い理由を記載することが適切と考えることがある。以下の場合には、報告書の対象期間が6か月未満になることがある。
(1) 内部統制に対する報告書を発行する日と保証業務契約締結日が近いため、6か月間より短い期間を対象とした運用評価手続しか実施できない場合 (2) 受託会社が業務を行っていた期間(又は特定のシステム若しくはアプリケーションが運用されていた期間)が6か月より短い場合 (3) 内部統制に重要な変更が行われ、かつ、報告書の発行を6か月遅らせること、又は変更前と変更後の双方のシステムを対象とした報告書を発行することが実務的でない場合
■ 短すぎる期間設定のリスク
一方で、対象期間をあまりに短く設定すると注意が必要です。
というのも、SOC2では、Trust Services Criteria(TSC)に基づいて構築されたコントロールが、実際にその期間中に「発生」して初めて監査証拠として確認されるからです。
たとえば、年1回実施されるコントロールや、四半期単位で運用される統制が、対象期間中に実施されていない場合、監査人が十分な証拠を得られず、無限定適正意見(クリーンオピニオン)を表明できない可能性があります。
このような事態を避けるためにも、対象期間の設定については、必ず監査法人と相談しながら慎重に決定することが重要です。
■ 2期目以降は原則「1年間」
初年度を終えた2期目以降は、原則として1年間を対象期間とするのが一般的です。
一定期間の安定運用実績を証明することが、SOC2レポートの信頼性につながるためです。
■ まとめ:期間設定は「監査証拠が十分に得られるか」がカギ
短い期間で早期にレポートを取得したいというニーズはよく理解できますが、あくまで「監査人が十分な証拠を収集できるか」が意見表明の前提です。
とくに初年度は、スケジュール・運用実績・監査対象の統制の特性などを踏まえた、戦略的な期間設計が重要となります。
(関連するリンク)