
IPO Forum~IPO審査最前線、審査する側・される側、双方の視点で語る~-IPO Forum 2025/2/21-
SOC報告書とは、「System and Organization Controls」の略称で、アウトソーシング業務(外部委託)において、受託会社が委託会社に提供するサービスなどの受託業務に係る内部統制の有効性および第三者機関による評価結果をまとめた報告書です(「受託会社の内部統制に係る保証報告書」とも呼ばれます)。
第三者機関とは独立受託会社監査人(監査法人・公認会計士)を指します。独立受託会社監査人は、米国公認会計士協会(AICPA)、国際監査・保証基準審議会(IAASB)または日本公認会計士協会(JICPA)が定める基準(採用する基準は国ごとに異なる)やガイダンスをもとに、監査を行い検証します。保証が得られた受託業務は、SOC報告書にその旨が表明されます。SOC報告書を得られた受託業務は高いレベルでの内部統制の有効性が担保されたと言えます。
昨今クラウドサービスが普及し、企業でも様々な業務で活用されるようになりました。Microsoft AzureやAmazon Web Service(AWS)などのデータセンター機能を持つクラウドサービスだけでなく、会計・給与などの業務システムもクラウドサービス化しています。
また企業側の意識も変わっており、中核機能(コアビジネス)に資源を集中するために、クラウドサービスを活用してデータの管理運用を外部に委託するケースが増えています。
しかし、クラウドサービスのような外部委託を利用する場合、内部統制上の観点から注意しなければいけないことがあります。それは外部委託している場合でも、責任の所在は「委託会社」(下図、委託会社)にあるため、受託会社〔下図、受託会社(クラウドサービス運営会社)〕のクラウドサービスにおける内部統制の有効性について、委託会社側での評価が必要になる可能性がある、ということです。
クラウドサービス運営会社はもちろん別組織ですので、委託会社がクラウドサービス運営会社に対して内部統制の構築・評価を適用することは困難です。コアビジネスに集中するためにクラウドサービスを利用しているにも関わらず、委託会社のリスク管理が増えてしまっては本末転倒です。
そこで活用されるのが、受託会社が提供する、受託業務に係る内部統制の有効性を保証する「SOC報告書」です。
SOC報告書によって、クラウドサービスの内部統制の有効性が担保されている部分に関しては、監査上、依拠できる可能性があります。
SOC報告書は、保証内容や利用用途によって「SOC1」、「SOC2」および「SOC3」の3種類に分類されています。
SOC1は、委託会社の財務報告に係る受託会社の内部統制の有効性を保証しています。SOC1報告書は、受託会社によって取得され、委託会社によって活用されます。受託会社であるアウトソーシング事業者とは、具体的には、資産運用や、データセンター、クラウドサービス運営会社、給与計算等の代行業者などが該当します。
監査法人による監査の際に、まず提出を求められるのがSOC1報告書です。報告書の利用者は、受託会社の経営者と委託会社とその会計監査人に限定されています。クラウドサービス契約前にクラウドサービス運営会社にSOC1報告書を希望しても提供してもらうことはできません。
SOC2 は、財務報告に関連しない領域を含んでおり、米国公認会計士協会(AICPA)が定めたトラストサービス規準(Trust Service Criteria)に従って、受託会社の受託業務における「セキュリティ」「可用性」「機密保持」「処理のインテグリティ(完全性)」「プライバシー」の5つの対象範囲に係る内部統制の有効性を保証しています。
アウトソーシング事業で使用している機器・ソフトウェア・情報に対する論理的及び物理的なアクセス管理を通じて、未承認のアクセス、利用または変更から保護されていることを指します。セキュリティに係る内部統制が保証されることは、次に挙げる項目の予防・発見につながります。
可用性とは、システムが継続して稼働できる能力のことです。アウトソーシング事業で使用している機器・ソフトウェア・情報が、契約やSLA(サービスレベル契約)、その他の合意書での取り決め通りに操作でき、かつ利用できることを指します(たとえば、契約が24時間365日であれば、その通りに利用可能)。
アウトソーシング事業において機密と指定された情報が、最終的に廃棄(又は除外)されるまで、合意した通りの方法(たとえば、指定された方式で暗号化されているなど)で機密保持されていることを指します。
アウトソーシング事業が提供する業務処理・システム処理は、利用者の処理権限が適時に付与され、完全・正当・正確・タイムリーに処理が実施されることを指します。
アウトソーシング事業者が保有する個人情報が、「一般に公正妥当と認められたプライバシー原則(GAPP)」における規準を充足して、収集・利用・保持・開示および廃棄されることを指します。
SOC2報告書の利用者は、SOC1とは異なり、受託会社・委託会社だけでなく、受託業務の内容を知りたい企業なども想定されています。契約を検討している段階のクラウドサービスがある場合は、クラウドサービス運営会社に、SOC2報告書を提供してもらいましょう。ただし、SOC2報告書の保証範囲は、セキュリティ以外は任意のため、5つの対象範囲のどこまでが含まれるか確認が必要です。
SOC3は、SOC2と同様に受託業務における受託会社のセキュリティ等5つの項目に係る内部統制の有効性を保証しています。ただしSOC2報告書の内容が詳細であることに対して、SOC3報告書は概要のみ記載されていること、報告書の利用者が限定されていないことなどの違いがあります。また、SOC2報告書を作成しているクラウドサービス運営会社でもSOC3報告書を作成していない場合があります。
SOC 1・SOC2報告書については、ある一時点の内部統制の有効性を評価するType1と一定期間(6か月以上)の運用状況を評価するType2の2種類が用意されています。
監査時に監査法人からSOC報告書の提出が求められる場合、状況に応じてType1でよいときもあれば、Type2を求められる時もあります。
クラウドサービス運営会社にはType1・Type2のどちらも提供可能か確認しましょう。
実際の監査では、監査法人から会計期間に即した期間が保証されているSOC報告書の提出が求められます。しかし、SOC報告書の評価期間と委託会社の会計期間が必ずしも一致するわけではありません。評価対象外の期間については、別途「ブリッジレター(またはロールフォワードレター)」の提出を求められる場合があります。
ブリッジレターとは、評価対象外の期間に対して、評価期間以降に内部統制の重要な変更がないことを表明する文書のことです。クラウドサービス運営会社がブリッジレターを作成し、委託会社に提供します。
たとえば、SOC報告書の評価期間が20x1年1月~12月、委託会社の会計期間が20x1年4月~20x2年3月の場合、20x2年1月~3月が評価対象外の期間になります。この場合は、20x1年1月~12月までのSOC報告書と評価対象外の20x2年1月~3月のブリッジレターを監査法人に提出します。
ただ、委託会社の会計期間とSOC報告書の評価期間のずれが大きい場合は、ブリッジレターでの対処も難しいケースがあり、監査法人と相談が必要です。
なぜSOC報告書は誕生し、日本で普及したのでしょうか。IPO準備段階の企業はSOC報告書を活用すべきなのでしょうか。独立受託会社監査人の有限責任監査法人トーマツ 伊藤 哲也氏にお話を伺いました。
SOC報告書は、元々アメリカで生まれました。
アメリカでは業務の外部委託が、日本よりもずいぶん前から当たり前に行われていました。
委託会社には、受託会社の管理は自社の義務であるとの認識があり、受託会社のモニタリングも委託会社と受託会社の間で行っていました。しかし、委託会社が増えると、受託会社としては個別対応することが困難になってきます。そこでより効率的に受託業務を行うために、受託会社が自社の内部統制の有効性を担保する報告書を作成することにしました。これがSOC報告書の前身です。
このような流れのなかで、2001年に世界を騒がせた「エンロン・ワールドコム事件」(ニューヨーク証券取引所に上場していたエンロン社が、大手監査法人アーサー・アンダーセンを巻き込んで不正な会計処理を行っていた事件。この事件でエンロン社は破綻し、アーサー・アンダーセン監査法人も解散)が起こりました。この事件を教訓に、内部統制の仕組みが改めて見直されると共に、内部統制の有効性の担保は第三者がすべき、という流れが生まれ、2003年サーベンス・オクスリー法(SOX法)が制定されました。
そしてその後、外部委託の際に受託会社の内部統制の有効性も担保するために、独立受託会社監査人によって受託会社の受託業務に係る内部統制の有効性を担保する「SOC報告書」が誕生したのです。
2008年になり、日本の上場企業にもJ-SOX(内部統制報告制度)が適用されました。その時にSOC報告書も注目を集め、主に金融機関で取得が進みました。そして近年急速にクラウド化が進んだことを背景にクラウドサービス運営会社を中心に再び広がりを見せています。
年々、SOC報告書を取得するクラウドサービス運営会社は増えており、上場企業においても、クラウドサービス運営会社にSOC報告書の提供を求めるケースが増えています。財務諸表監査に直接影響するSOC1だけでなく、昨今では情報セキュリティに対する意識の高まりでSOC2のニーズも高まっています。
委託会社がIPO準備企業の場合、SOC報告書の有無は委託会社の内部統制にどのような影響を与えるのでしょうか?
IPO準備企業の方から、このような質問をされることがあります。
「上場に向けてオンプレミスの会計システムからクラウド会計システムに入れ替えたいが、SOC報告書は必要なのでしょうか?」
監査法人目線のお答えとしては、SOC報告書の有無ではなく内部統制の有効性を担保できるかどうかに尽きます。
監査法人が監査意見を出すときには必ず会計システムを見ています。そして財務諸表の数値と数値が出てくるまでのプロセスに係る内部統制の有効性はどう担保しますか?と質問します。そのときに外部委託している部分に関しては、SOC報告書があれば評価の目途が立ちますね、という話になるわけです。SOC報告書がないと監査的にNGということではありませんが、外部委託している部分をどのように担保するのかを考えることになり、担保するために時間も費用も余分にかかってしまう可能性があります。
IPOという大きな目標に向けて、コアビジネスに力を入れる段階においては、業務システム及び管理部門の人材に潤沢なコストはかけられません。会計処理のトランザクションが少ないときは自社での管理も可能かもしれませんが、企業規模が拡大するにつれて無理が生じる可能性があります。
監査法人としては、経営者がIPOという目標に向けて真摯に向き合い、成長しようとしているのか、その手段として外部委託を利用したときのリスクを理解し適切に対応が出来るのか、そこを見ています。
また、クラウドサービス運営会社は決して安くない費用と時間をかけてSOC報告書を取得しています。委託会社であるIPO準備企業がその証明と同じレベルの内部統制の有効性を別の方法で担保することはあまり現実的ではありません。
IPO準備会社がまず行うべきことは、コアビジネスに集中することです。将来の事業規模拡大を見据え、内部統制報告制度上耐えられるシステム、サービスを選択することを推奨します。そのための手段としてSOC報告書を取得しているクラウドサービスが有効であれば利用すべきでしょう。
SOC報告書を取得しているクラウドサービスがJ-SOX上、有効に作用することは間違いありませんが、気を付けなければならないポイントがあります。
SOC報告書は提供されるサービス単位で取得されます。
「この“会社”はSOC報告書を取得していますか?」と質問をいただくことがありますが、これは間違いです。自社で利用検討中のサービスが実はSOC報告書の対象外だったというケースは少なくありません。
さらにIaaSサービスの場合、リージョン(データの保存場所・地域)ごとにSOC報告書を取得しているケースもあります。SOC報告書を取得していると思っていたら、実は自社のデータ保存先のリージョンが対象外だったということもあり得ます。検討中のクラウドサービスがSOC報告書を取得しているかどうかだけでなく、保証の対象内であることを必ず確認しましょう。
外部委託しているサービスがSOC報告書を取得していた場合でも、SOC報告書があるから大丈夫と安易に考えてしまうのは危険です。
SOC報告書では財務報告もしくはセキュリティや機密保持など決められた項目に関する内部統制の有効性は保証しているものの、それ以外の部分は保証していません。また、SOC報告書では受託会社の関連する内部統制に加えて、委託会社の相補的な内部統制の存在を前提に評価し、保証しています。
SOC報告書の内容のすべてを網羅的に理解するというよりも、SOC報告書ではどのような前提で何がどの範囲まで保証されているのか、本質を理解することが重要です。
クラウド時代の今、クラウドサービスのニーズはますます高まっています。それに伴い財務諸表の信頼性担保やセキュリティインシデントへの対応の観点から、SOC報告書の重要性は確実に増していくでしょう。
しかしあくまでもSOC報告書は事業運営を円滑に進めるための手段の一つです。まずは自社のビジネスを確固たるものに仕上げること、そしてIPOという大きな目標に向かう上で必要な手段を選んでいくことが肝要です。監査法人としても、IPOを目指して邁進する企業や経営者に対して、SOC保証業務のように監査以外でも貢献できるサービスを展開していきたいですね。