相補的な内部統制
SOC2報告書を利用する際には、留意すべき事項の一つとして「相補的な内部統制」があります。 相補的な内部統制とは、日本公認会計士協会の実務指針において「受託業務をデザインする段階で、委託会社において整備されることを受託会社が想定する内部統制であり、 受託会社のシステムに関する記述書において、統制目的の達成に必要な内部統制として識別され、記載されるもの」と定義されています。
つまり、受託会社(ベンダー)は、委託会社(ユーザー)側が適切なアクションを取ることを前提に業務を行います。 例えば、クラウドサービスにアクセスする人が、ユーザー側で適切に承認された人に限定されている必要があります。 このアクセス権の管理はユーザー側で行う内部統制であり、そのような統制は「相補的な内部統制」としてSOCレポート上で示され、ユーザーの責任として注意喚起がなされます。
同様に、「再受託会社の相補的な内部統制」も存在します。再受託会社とは、SOC報告書を提供するサービス事業者(受託会社)が、一部のシステムについて外部のサービスを利用している場合、その外部サービスを提供する事業者です。 再受託会社の内部統制は、サービス事業者(受託会社)の管理下にないことがあるため、統制目的の達成に必要な内部統制については、注意喚起のためSOC2報告書上に記載されます。 実務上は、AWSが再受託会社として取り扱われることが多く、AWSにおける内部統制が再受託会社の相補的な内部統制として記載されているケースが多く見受けられます。