System and Organization Controls (SOC) reports are quickly becoming a necessity for building trust and giving assurance to their customers (and prospective customers) about the organization provides the services.
組織のシステムやベンダーの脆弱性に起因する侵害やインシデントの数は増加しており、多くの組織が費用のかかるサイバー犯罪から身を守ろうとしています。
今日のビジネス界では、サイバーセキュリティと内部統制がより注目・重視されており、SOC レポートも同様です。 このポッドキャストのエピソードに耳を傾けて学んでください。
SOCレポートとは何ですか?
SOCレポートとは、組織の内部統制の機能について保証することを目的としたSOC検査の結果および所見をまとめたものです。
誰がSOCレポートを発行できますか。
SOC検査は、米国公認会計士協会(AICPA)の認証基準に基づいて独立公認会計士(サービス監査人)によって実施されます。
トレッドウェイ委員会支援組織委員会(COSO)は、内部統制を「企業の取締役会、経営者、およびその他の人員によって実施され、業務、報告およびコンプライアンスに関する目的の達成に関して合理的な保証を提供するために設計されたプロセス」と広く定義しています。「
基本的に、内部統制とは、効率性を高め、責任から保護し、規制や法律に準拠するために、組織が自らの内部業務に関して実施する措置のことです。 組織は、どうすれば「SOC認定」や「SOC準拠」になることができるかを頻繁に尋ねますが、SOCレポートには認定も合格も不合格も存在しません。
SOC検査が完了すると、報告パッケージが発行され、そこには独立サービス監査人の報告書、監査人が行った検査とその結果、サービス組織の主張とシステムの説明(または統制の説明)が記載されます。 システムの記述が公正である場合(SOC1)、または記述基準に従っている場合(SOC2)、統制が適切に設計されており、統制が有効に機能している場合(タイプ2)、サービス監査人は通常望ましい結果である「無修正意見」を発表する可能性が高いです。
しかし、テストで重大な問題が見つかったり、記述が誤解を招いたり、関連情報が欠けていたりする場合、サービス監査人は、問題の広さに応じて、限定意見または不利な意見さえ発行する可能性があります。 多くの企業にとって、ベンダーに SOC レポートを要求することは、通常、優れたベンダー管理プロセスの一部であり、そのベンダーへのサービス委託に関連するリスクに対処するために組織のベンダーに対して行われるデューデリジェンスの典型的な例です。
顧客や見込み客は、サービスを外注することはできても、自分たちの情報を保護する責任があること、そして、SOC レポートは顧客にとって、あなたの会社やあなたが提供するサービスに対する信頼を築くための方法であることを覚えておくことが重要です。
以下のような場合、組織はSOCレポートを作成する必要があります。
- 「サービス組織」(ユーザー企業にサービスを提供する組織)と見なされる場合、
- 現在または将来の顧客から、組織のセキュリティや契約したサービスまたはシステムの約束の達成を脅かすリスクに対処するための内部統制について、詳しいアンケートを頻繁に求められている場合、または
- 現在または将来の顧客からSOCレポートの提出を頻繁に求められている場合です。 (
SOC 検査を完了するための一般的なスケジュールを教えてください。
SOC 検査は長いプロセスになることがあり、組織が要件を満たすためにどれだけ準備しているかによって、完了までに数か月から1年かかることもあります。
すでに強固なポリシー、手順、および内部統制を備えている組織では、プロセスは間違いなく短くなります。
それらが整っていない場合、通常、準備状況を判断し、ギャップや改善すべき領域を特定して、SOC 審査にあまり早く飛びつかないために、組織に対して準備状況の審査を行うことをお勧めします。 そうすることで、SOC レポートが完成したときに、重大な例外や欠陥が生じるのを避けることができます。
組織が積極的なアプローチを選択するにしても、SOC 検査の依頼に応じて実施するにしても、最終的には、内部統制プロセスがどれだけうまく機能しているか、改善が不可欠な領域について貴重な知識を得てほしいと思います。
SOC試験にはさまざまな種類がありますか。
はい。 これらの試験に加えて、AICPAはSOC for CybersecurityとSOC for Supply Chainを策定しています。
AICPAは、SOC Suite of Servicesと報告オプションを以下のようにブランド化しました。
| SOC for Service Organizations | |
| SOC 1 審査(タイプ1および2) |
|
| SOC 2審査(タイプ1および2) |
|
| SOC 3 審査 |
|
| SOC for Cybersecurity | |
|
|
| SOC for Supply Chain | |
|
|
SOC 1およびSOC 2レポートはユーザー企業によって最も強く要求されるので、これら2つのレポート オプションについてより詳しい概要が保証されることになりました。
SOC1レポートとは何ですか?
SOC1レポートでは、特定の基準は存在しません。 サービス組織は、全体的な統制目標と、統制目標を達成するために特有の関連する統制を策定し、作成します。 SOC1報告書は、企業の財務報告に係る内部統制(ICFR)に関連するサービス機関の統制について報告することを目的としており、通常、従業員福利厚生や退職金制度、財務/秘書サービス、給与処理、支払処理、ローン債権回収などのサービスに対して実施されます。
SOC 1報告書は、サービス組織の経営陣、ユーザー企業およびその監査人に限定されています。
SOC2報告書とは何ですか。
SOC2報告書では、AICPAは、統制を評価するために使用する信託サービスの基準を指定し、組織が該当する統制と統制言語の決定を支援するために使用できる注目点を示しています。
トラストサービス基準は、
- セキュリティ、
- 可用性、
- 処理の完全性、
- 機密性、および
- プライバシーの5項目に分類されます。
SOC2審査の利用を選択する場合、セキュリティカテゴリ(「共通基準」とも呼ばれる)を利用しなければならず、その後、組織のサービス責務またはシステム要件に該当するカテゴリを追加で選択することができます。
たとえば、サービス組織がサービスレベル契約で、システムまたはソフトウェアプラットフォームが365日24時間いつでも利用可能であること、事業継続および災害復旧手順が整備され少なくとも年に一度テストされていることを概説した場合、その報告書には可用性カテゴリが関連することになります。
また、AICPAは、SOC 2報告書のシステムの説明を作成する際にサービス機関が使用しなければならない一定の基準を策定しており、これは説明基準(DC)セクション200にまとめられています。
SOC2検査は通常、データセンターのコロケーション、サービスとしてのソフトウェア(SaaS)プロバイダー、クラウドサービスプロバイダー、マネージドITサービスプロバイダーなどに対して実施されます。
これらの報告書は、システムのユーザー企業、ビジネスパートナー、見込みのユーザー企業やビジネスパートナー、およびサービス組織とそのコントロールを理解している規制当局に限定されます。
タイプ1およびタイプ2のSOCレポートの違いは何ですか。
タイプ1報告書は、指定された日付の時点で、システムの記述が公正に示されていること(SOC 1報告書)または記述基準に従っていること(SOC 2報告書)、およびコントロールが適切に設計されていることを保証するものです。 統制のウォークスルーと1つのテストが行われますが、詳細なテストは行われません。
タイプ2報告書は、指定された期間、通常は6ヶ月以上にわたって行われます。 この意見書は、統制の記述や設計の適切性、また統制の運用の有効性について保証を与えるものである。
SOCレポートの作成方法
SOC検査の実施手順は、組織が要件を満たすためにどれだけ準備しているかにより、さまざまです。 通常、サービス監査人として、SOCの審査を実施する際には、以下の4つのステップを踏むことを推奨しています。
SOC 審査ステップ2:レディネス評価の実施
会議では、組織が実施しているポリシー、プロセス、手順、またはそれらを開発または改良する必要があるかどうかを話し合います。 サービス監査人は、プロセスや手続きに関するウォークスルー、観察、問い合わせを行います。
コントロール目標や関連コントロール(SOC 1報告書)、またはSOC 2報告書の基準を満たすための特定のコントロールを開発するのは組織の責任ですが、この作業で組織を支援するために、サービス監査人は知識を共有し、助言を与え、適切なコントロール言語を推奨することができます。
サービス監査人が特定したギャップ領域は、サービス組織に報告され、SOC検査の実施前に組織が十分に準備されていることを合理的に保証するために、プロセス及び統制を改善することができるようにします。
SOC Examination Step 3: Type 1 Examination and Reporting (SOC 1 or SOC 2)
組織は、Type 2検査に移行する前にType 1検査を受けて、特定の日付の時点で統制が適切に設計・実施されていることを保証することが可能です。 しかし、統制の運用の有効性に関する詳細なテストは行われていないため、統制は単に組織のシステム記述の一部として記載されているに過ぎない。 1217>
すべての組織がタイプ1の実施を選択するわけではありませんが、あまりに早くタイプ2に移行することで発生する可能性のある複数の例外や不備を避けるために、間違いなく検討すべき選択肢の一つでしょう。
SOC Examination Step 4: Type 2 examination and reporting (SOC 1 or SOC 2)
組織がType 2検査の実施を選択した場合、計画プロセスで指定した報告期間中、サービス監査人による詳細な検査が完了することになります。
この報告書では、サービス監査人は実施したテストの説明を記載し、意見として、説明(または説明基準)の表現の公正さ、統制が適切に設計されているか、また、報告期間中に統制が有効に機能していたかどうかを再度記載します。
ウォーレン・アヴェレットのリスク、セキュリティおよびテクノロジーの専門家は、サービス提供組織と緊密に連携し、利害関係者の要件を完全に理解することで、SOC審査および認証サービスに関して、そのニーズに適したソリューションをピンポイントで提供できるようにします。
あなたの組織にとってSOCレポートがどのように見えるかについて会話を始めるために、Warren Averettのアドバイザーに連絡してもらいましょう。
このブログは2019年12月16日に公開され、2020年11月3日に最新の更新が行われました。