相補的な内部統制
委託会社(サービス利用者)が、受託会社(サービス提供者)のSOC2報告書をレビューする際に留意すべき事項の一つとして「相補的な内部統制」があります。相補的な内部統制には、委託会社の相補的な内部統制と再受託会社の相補的な内部統制の2つがあり、どちらも運用されていることが前提として受託会社(サービス提供者)の内部統制が整備されています。
◆委託会社の相補的な内部統制
委託会社の相補的な内部統制とは、日本公認会計士協会の実務指針において「受託業務をデザインする段階で、委託会社において整備されることを受託会社が想定する内部統制であり、受託会社のシステムに関する記述書において、統制目的の達成に必要な内部統制として識別され、記載されるもの」と定義されています。
つまり、受託会社(サービス提供者)は、委託会社(サービス利用者)側が適切なアクションを取ることを前提に内部統制を構築しています。例えば、クラウドサービスにアクセスする権限が、ユーザー側で適切に承認された人に限定されている必要がある場合、このアクセス権の管理はユーザー側で行う内部統制であり、「相補的な内部統制」として記載されます。
前述の通り、受託会社は委託会社(利用者)の相補的な内部統制が有効に運用されていることを前提に自社の内部統制を構築しているため、言い換えれば、利用者側が相補的な内部統制を実施していない場合は、受託会社の内部統制は有効とは言えないということになります。従って、SOC2報告書の結論だけを見るのではなく、前提となる相補的な内部統制の有無や自社がその内部統制を実施しているのかを検討する必要があります。
◆再受託会社の相補的な内部統制
再受託会社とは、SOC報告書を提供する受託会社(サービス提供者)が、ソフトウェア・インフラストラクチャや業務について外部のサービスを利用している場合に、その外部サービスを提供する事業者のことです。再受託会社の内部統制は、受託会社(サービス提供者)の管理下にないことがあるため、責任の所在や対象範囲を明確にするためSOC2報告書上に記載されます。実務上は、AWSやArure等のクラウドプラットフォーム提供会社が再受託会社として取り扱われ、その会社が運用すべき内部統制が再受託会社の相補的な内部統制として記載されているケースが多く見受けられます。
(関連する記事)