監査対応をしているので個人的には馴染みのあるSOC報告書について
社内向けに記事を書いたことはあるのですが、Qiitaにもまとめておこうと思います!
SOC報告書とは
SOC(Service Organization Contro)
SOC報告書とかSOCレポートと呼ばれているもの。
SOC報告書とは、受託会社(サービスを提供している企業)における管理・セキュリティの状況を監査法人や公認会計士が客観的に評価した報告書のこと。
引用:https://biz.moneyforward.com/erp/basic/1985/
SOCレポートには1,2,3と種類がある。
SOC1:委託会社(サービスを利用する企業)の財務報告に関連する受託会社の内部統制を評価した内容。
受託会社が委託会社へSOC1レポートを提出し、
委託会社も監査人にSOC1レポートを提出する。
これによって個社ごとに監査対応をする必要がないので負担が減ります。
また、第三者からの評価を得ていることで、自身でちゃんとできてますよ。
と言うより信頼性も増しますね!
SOC2:セキュリティに重点を当てた内容。
SOC3:SOC2と同様の評価基準だが、簡易的で一般的に公開できる内容。
SOCレポートにはTypeがある
Type1:内部統制のフロー(運用手順やルール)のみを見られ、評価を受けます。
Type2:内部統制のフロー+運用を継続して出来ているかについて評価を受けます。
運用を継続してできているかの確認のため6か月以上の評価期間となっています。
ブリッジレターとは
SOC報告書の評価期間とお客様の会計期間のズレが生じた期間を補完する報告書。
残余保証報告やギャップレターといった記載がされていることもあるようです。
SOC報告書の評価対象期間が1~12月(2024/1~12)
委託会社の会計期間が4~3月の場合、(2024/4~2025/3)
4~12月分については2024年のSOC報告書で満たしていますが、1~3月分の評価が確認できません。
2025/1~3のブリッジレターを監査法人に提出します。
ブリッジレターには評価対象期間以降に内部統制に重要な変更の有無についての内容が記載されています。
おわりに
以上、ぐぐればもっと詳細書いてあるページもあるので、まとめ終わり。
もう3年前位に書いた社内向けの記事はまだSOCについて知識が浅い状態で学びながら書いていたので
「監査」って名前だけで何か堅苦しそうで内容が難しく感じたし
受託会社、委託会社、とか監査法人が、とか最初はすぐに理解できなかったな~
と記事を書いた時の気持ちを思い出して少し懐かしくなりました。