SOCレポート利用上の留意点

会計業務の外部委託やSaaS（Software as a service）型の会計ソフトが多くの企業に浸透している昨今、SOC（System and Organization Controls）レポートという言葉を耳にする機会が増えています。とくにSaaSの新規導入プロジェクトを実行中の企業では、内部統制担当者を中心に、CFOや監査法人から「SOCレポートは取得できるか」と質問されることもしばしばあるのではないでしょうか。SOCレポートは、外部委託先やSaaSベンダーサービス提供者（以下、「外部委託先等」という）の内部統制の有効性を監査法人・公認会計士が評価した報告書です。外部委託先等の信頼性を確認できる資料のため、外部委託やクラウドサービスの普及を背景に必要性が高まっています。そこで、今回は、SOCレポートの利点を確認したうえで、利用上の留意点を検討します。

SOCレポートには、下表のとおり、保証範囲によってSOC1、SOC2、SOC3（SOC2の簡易版）の3種類が存在し、SOC1とSOC2には、保証期間によってType1とType2の2通りがあります。

これらのうち、財務報告にかかる内部統制を対象とするのがSOC1レポートで、上場企業などの運用評価が必要な企業にとっては、一定期間の運用状況を評価するType2のレポートが重宝されます。以下、SOCレポートはSOC1 Type2を前提に検討します。
SOCレポートを取得すると、外部委託先等の内部統制を企業（委託会社）が自力で評価することなく、レポートに記載されている評価で代替できることがあります。すなわち、企業が自ら外部委託先等の内部統制を評価する代わりに、監査法人・公認会計士が評価した結果に依拠することができるのです。

このように、SOCレポートには利点がありますが、その利用にあたっては、以下のような留意点があります。

1. 評価期間の相違：

   まず、企業の評価期間とSOCレポートの保証期間が一致しない場合が挙げられます。例えば、利用会社の事業年度が4月～3月であるのに対し、SOCレポートの対象期間が1月～12月である場合です。この場合、SOCレポートの評価対象期間終了（12月）後から利用会社の決算期末（3月）までの期間について、内部統制に重要な変更がない旨を表明するブリッジレターを取得する必要があります。

2. 評価対象の範囲：

   次に、SOCレポートの評価対象と企業の利用範囲とが一致しない場合です。仮にSOCレポートを発行しているベンダーの「経費精算α」というSaaSを利用している企業が、当該ベンダーに依頼して会計仕訳の機能を追加（カスタマイズ）した場合を考えてみましょう。この場合、SOCレポートが「経費精算α」の通常の機能に対して保証していても、カスタマイズした会計仕訳の機能に対しては、保証の範囲外となっています。SOCレポートは、通常、システムの標準機能を利用することを想定しているため、カスタマイズしている場合には代替的な評価を検討する必要があります。

3. 評価対象のバージョン：

   評価対象となるバージョンの確認も重要です。例えば、「会計AA」というSaaSを利用している企業が、SOCレポートを取得しようとしたところ、1つ上のバージョンである「会計AA pro」が対象であり、「会計AA」は対象でなかった、ということもあります。この点は意外と見落としがちですが、頻繁に生じている事案であり、この場合も代替的な評価を検討する必要が生じます。

4. 自社の統制目標・統制活動との一致：

   SOCレポートに記載されている統制目標・統制活動が、自社のものと一致しているか否かも確認する必要があります。例えば、ストレージサービスのアクセス管理が適正と評価されていても、当該ストレージ内のスプレッドシート単位でアクセス権を付与できる場合などは、フォルダー単位でのアクセス管理が事実上バイパスされるため、SOCレポートの評価はあまり意味を持ちません。スプレッドシートに対するアクセス管理や変更管理など追加の検討が必要です。

今回は、評価対象や評価期間を中心にSOCレポートの留意点を記載してまいりましたが、適切に利用すれば、非常に有意義なものであることは言うまでもありません。実務においては、上記の留意点などを意識しつつ、監査法人と認識を合わせながら利用することが推奨されます。