監査人の意見について
監査人の意見(Section 1)は、SOC2レポートの中でも最も重要なセクションの一つであり、監査人が行った検証の結果に基づく意見が記載されるパートです。
一般的には、問題が認められなかった場合に表明される「無限定適正意見(いわゆるクリーンオピニオン)」が示されます。
一方で、状況によっては以下のような除外事項付き意見が表明される場合もあります:
- 限定付意見
一部に問題があるものの、全体としては適正であると判断された場合など。 - 意見不表明
必要な証拠を十分に入手できなかった場合などで、意見を表明できないケース。
たとえば、以下のような場合には、限定意見や意見不表明となる可能性があります:
- 重要な点において、受託会社のシステムの記述が正確でないと判断された場合
- 内部統制が、すべての重要な点において適切に設計されていないと判断された場合
- 内部統制が、すべての重要な点において有効に運用されていないと判断された場合
- 監査に必要な、十分かつ適切な証拠を入手できなかった場合
(監査人の意見の記載例_TYPE2クリーンオピニオンの場合)
受託会社のシステムに係るセキュリティ、可用性、処理のインテグリティ及び機密保持(注1)の記述書並びに内部統制のデザイン及び運用状況に関する独立受託会社監査人の保証報告書
○○○○株式会社(受託会社) 御中
XX監査法人 代表社員/業務執行社員 XXXXX
範囲
当監査法人は、××頁から××頁に記載されている、××年×月×日から××年×月×日までの期間(以下「対象期間」という。)にわたり○○○○株式会社(以下「受託会社」という。)の「[受託業務の種類又は名称]のシステムの記述書」(以下「記述書」という。)に対して、米国公認会計士協会のDCセクション200, 2018 “Description Criteria for a Description of a Service Organization’s System in a SOC 2® Report”に規定されている規準(以下「記述規準」という。)に準拠して記述書並びに米国公認会計士協会「受託業務のセキュリティ、可用性、処理のインテグリティ、機密保持及びプライバシーに係る内部統制の評価のためのTrustサービス規準」( Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy)のうち、セキュリティ、可用性、処理のインテグリティ及び機密保持の規準(以下「適用される規準」という。)に基づいて、受託会社のサービスコミットメント及びシステム要求事項を充足するという合理的な保証を提供する内部統制のデザインの適切性及び運用状況の有効性について報告する業務を実施した。
記述書には、適用される規準に基づいて、記述書に記載された受託会社のサービスコミットメント及びシステム要求事項は、受託会社の内部統制とともに、受託会社の内部統制のデザインにおいて想定された委託会社の相補的な内部統制が適切にデザインされ、有効に運用されている場合のみ、充足される旨が記載されている。当監査法人の手続は、委託会社の相補的な内部統制にまで及ぶものではない。また、当監査法人は、委託会社の相補的な内部統制のデザインの適切性や運用状況の有効性を評価していない。
受託会社の責任
受託会社の責任は、記述書及び記述書に添付される××頁の受託会社確認書を作成し(記述書と受託会社確認書の網羅性、正確性及び表示の方法を含む。)、記述書が対象とする業務を提供し、適用される規準を選択し、受託会社のサービスコミットメント及びシステム要求事項を充足するという合理的な保証を提供する内部統制を記述書に記載し、受託会社のサービスコミットメント及びシステム要求事項の充足を脅かすリスクを特定し、受託会社のサービスコミットメント及びシステム要求事項を充足するという合理的な保証を提供するための内部統制をデザインし、業務へ適用し、更に有効に運用することにある。
職業倫理、独立性及び品質管理
当監査法人は、日本公認会計士協会の公表する倫理規則及びその他の職業倫理に関する規定を遵守して業務を実施した。当該規則及び規定は、誠実性、客観性、職業的専門家としての能力及び正当な注意、守秘義務並びに職業的専門家としての行動の原則、並びに独立性に関する規定を提供している。また、当監査法人は、日本公認会計士協会が公表した品質管理基準報告書第 1号「監査事務所における品質管理」に準拠して、職業的専門家としての基準及び適用される法令等の遵守に関する方針又は手続を含む品質管理システムを整備及び運用して業務を実施した。
受託会社監査人の責任
当監査法人の責任は、実施した手続に基づき、記述書及び当該記述書に記載されたサービスコミットメント及びシステム要求事項に関連する内部統制のデザインの適切性と運用状況の有効性に対する意見を表明することにある。
当監査法人は、日本公認会計士協会が公表した保証業務実務指針3702「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」に準拠して業務を実施した。
当該実務指針は、当監査法人に、全ての重要な点において、記述書が記述規準に基づいて表示されているかどうか、及び適用される規準に基づいて受託会社のサービスコミットメント及びシステム要求事項を充足する内部統制が適切にデザインされ、有効に運用されているかどうかについて合理的な保証を得るための手続を計画し実施することを求めている。実施した手続の種類、時期及び範囲は受託会社監査人の判断により行われ、これには、不正又は誤謬による重要な虚偽表示リスクの評価を含んでいる。
当監査法人は、意見表明の合理的な基礎となる十分かつ適切な証拠を得たと判断している。
受託会社のシステムに関する記述書並びに内部統制のデザインの適切性及び運用状況の有効性について実施する手続には、以下が含まれる。
- 会社のシステム、サービスコミットメント及びシステム要求事項の理解
- 手続を実施し、記述書が記述規準に準拠して表示されていることに関する証拠を入手すること。
- 手続を実施し、適合する Trust サービス規準に基づき会社のサービスコミットメント及びシステム要求事項が充足されているという合理的な保証を提供するように記述書に記載された内部統制が適切にデザインされているかどうかに関する証拠を入手すること。
- 記述書が記述規準に準拠して表示されていないリスク及び適合する Trust サービス規準を充足する内部統制が適切にデザインされていない又は有効に運用されていないリスクを評価すること。
- 適合する Trust サービス規準に基づき記述書に記載された内部統制に関して運用状況をテストすること。
- 記述書の全体的な表示の妥当性を評価すること。
なお、上記以外にも状況に応じ必要と判断した手続を含んでいる。
受託会社の内部統制の限界
記述書は、広範囲の報告書の利用者に共通するニーズを満たすために作成されている。したがって、記述書には、個々の利用者がその特定の環境において重要と考える受託会社のシステムの全ての側面が含まれているわけではない。
また、受託会社の内部統制は、内部統制の性質及び固有の限界により、必ずしも適用される規準に基づいてサービスコミットメント及びシステム要求事項を充足し、合理的な保証を提供するように運用されない可能性がある。
さらに、内部統制のデザインの適切性及び運用状況の有効性の評価に基づき将来を予測することには、受託会社の内部統制が不適切になる又は機能しなくなるというリスクが伴う。
意見
当監査法人の意見は、上記の範囲、責任及び限界等を踏まえて形成されている。当監査法人が意見形成において使用した規準は、××頁の受託会社確認書に記載されている。
当監査法人の意見は次のとおりである。
- 記述書は、対象期間にわたってデザインされ業務に適用されている[受託業務の種類又は名称]システムを、全ての重要な点において記述規準に基づいて表示している。
- 記述書に記載された受託会社の内部統制は、その内部統制が対象期間にわたって有効に運用されていれば、適用される規準に基づいて受託会社のサービスコミットメント及びシステム要求事項を充足するという合理的な保証を提供するように、対象期間にわたって、全ての重要な点において適切にデザインされている。
- 記述書に記載された受託会社の内部統制は、適用される規準に基づいて受託会社のサービスコミットメント及びシステム要求事項を充足するという合理的な保証を提供するように、対象期間にわたって、全ての重要な点において有効に運用されている。
運用評価手続の記述
運用評価手続を実施した特定の内部統制と、当該運用評価手続の種類、時期及び結果は、××頁から××頁に記載されている。
想定利用者と目的
本保証報告書及び××頁から××頁に記載された運用評価手続の記述は、利用者として、受託会社並びに、対象期間に受託会社の[受託業務の種類又は名称]システムを使用する委託会社、予想される委託会社、委託会社の監査人及び委託会社又は受託会社に係る規制当局のみを想定している。また、想定利用者は、委託会社自身が運用する内部統制に関する情報を含めたその他の情報と共に、本保証報告書及び上記の運用評価手続の記述を利用するための十分な理解を有することが想定されている。
(参考リンク)