SOC2取得支援事業者の選定のポイント
SOC 2を含む内部統制の検証は、結論が「問題なし」なのか、「一部問題あり」なのか、あるいは「全体として問題あり」なのか、その判断基準が検証する人によって異なる場合があります。これは、内部統制そのものが一律の正解を持たず、各企業の状況に応じて整備や運用の有効性を監査人が判断する特性によるものです。
このような特性から、たとえ評判の良いコンサルティングファームと契約し、指示通りに改善を進めたとしても、それが監査人の考える「十分」に達しないケースや、逆に「過度(不要)」な対応にコストを費やしてしまう可能性があります。
そのため、SOC 2レポートを効率的に発行したいと考える場合には、監査人の検証方針を十分に理解している支援業者を選ぶことが重要です。