IPO準備企業におけるSOC報告書の意義と活用~監査上、クラウドサービスにSOC報告書が求められる理由~

会計等の業務システムをクラウドで利用するIPO準備企業が増えている。データの管理運用を委託している場合、クラウドサービスが内部統制の評価対象として含まれる可能性があり、その際に有効なのがSOC報告書だ。SOC報告書とは何か?種類と目的は?監査時の有効性は?独立受託会社監査人・トーマツに聞いた。
2021年6月18日

1.クラウドサービスにおける内部統制の有効性はどう担保するのか

クラウドサービスが普及し、企業でも様々な業務で活用されるようになりました。Microsoft AzureやAmazon Web Service(AWS)などのデータセンター機能を持つクラウドサービスや、最近では会計システムや給与システム等の業務システムもクラウドサービスとして提供されています。

IPO準備段階の企業においては、中核機能(コアビジネス)に資源を集中するために、非中核機能を外部に委託するケースが増えています。たとえば、サーバー不要でコストも安いクラウドサービスを利用することがありますが、これもデータの管理運用を外部に委託していることになります。

外部委託を利用する場合、内部統制上の観点から気を付けなければならないことがあります。
それは外部委託をした場合でも責任の所在は委託会社(自社)にあるため、受託会社が委託会社の内部統制の評価対象として含まれる可能性があるということです。

しかし受託会社は別の組織であるため、委託会社が内部統制の構築・評価を受託会社に適用することは困難と言わざるを得ません。コアビジネスに集中するためにクラウドサービスを利用しているにも関わらず、受託会社のリスク管理に手間がかかってしまえば本末転倒です。そこで活用されるのが、受託会社が提供するクラウドサービスの内部統制の有効性を保証する「SOC報告書」です。

内部統制評価範囲とSOC報告書の活用
▲内部統制評価範囲とSOC報告書の活用

SOC報告書によってクラウドサービスの内部統制の有効性が担保されている部分に関しては、監査上依拠できる可能性があります。

2.SOC報告書とは何か?種類、目的、違い

SOC報告書とは何でしょうか?その種類、目的、違いについて確認します。
SOCは、System and Organization Controlsの略称で、受託会社(Service Organization)における内部統制保証報告やサイバーセキュリティに関する内部統制保証報告の枠組みとして定義されています(米国公認会計士協会(AICPA))。
そして保証する内容や利用用途によって、SOC報告書は3種類に分けられています。

デロイトトーマツ「SOC報告書の種類」より
▲デロイトトーマツ「SOC報告書の種類」より

SOC1は委託会社の財務報告にかかる受託会社の内部統制を保証しています。
監査時にまず監査法人から提出を求められるのはSOC1です。報告書の利用者は受託会社の経営者と委託会社とその会計監査人に限定されているため、クラウドサービス契約前にクラウドサービスプロバイダにSOC1報告書を希望したとしても、提供してもらうことはできません。

SOC2は財務報告に関連しない領域を含み、受託業務における受託会社のセキュリティ・機密保持・可用性・プライバシー・処理のインテグリティ(トラストサービス規準)にかかる内部統制の有効性を保証しています。セキュリティインシデントの高まりなどを背景に、財務報告に関わらずとも企業の運営上重要な上記5項目も担保することが求められています。報告書の利用者は、SOC1と違い受託会社・委託会社だけでなく受託業務の内容を知りたい企業なども想定されています。そのため契約を検討しているクラウドサービスプロバイダにSOC2報告書を希望すると、提供してもらうことができます。

SOC3はSOC2と同様に財務報告に関連しない領域を含みます。SOC2報告書の内容が詳細であることに対してSOC3報告書は概要のみ記載されています。報告書の利用者は限定されていませんが、SOC2報告書を作成しているクラウドサービスプロバイダでもSOC3報告書を作成していない場合があります。

3.クラウド時代におけるSOC報告書の重要性

SOC報告書の有無は委託会社であるIPO準備企業の内部統制にどのような影響を与えるのでしょうか?

独立受託会社監査人(SOC報告書を発行する立場)の有限責任監査法人トーマツ 伊藤 哲也氏にクラウド時代におけるSOCの重要性についてお話を伺いました。

3-1.SOC報告書はなぜ誕生したのか

SOC報告書は元々アメリカで生まれました。

アメリカでは業務の外部委託が日本よりもずいぶん前から当たり前に行われていました。委託会社には受託会社の管理は自社の義務であるとの認識があり、受託会社のモニタリングも委託会社と受託会社の間で行っていました。しかし委託会社が増えると、受託会社としては個別対応することが困難になってきます。そこでより効率的に受託業務を行うために、自社の内部統制の有効性を担保する報告書を作成することにしました。これがSOC報告書の前身です。

そして2000年代前半に世界を騒がせたエンロン・ワールドコム事件が起こります。このときを教訓に内部統制の仕組みが注目され、有効性の担保は第三者がすべきという流れになりました。そしてその後、外部委託の際に受託会社の内部統制の有効性も担保するために、独立受託会社監査人によって受託会社の内部統制の有効性を担保するSOC報告書が誕生したのです。

SOC誕生の経緯を語る、トーマツ伊藤氏
▲SOC誕生の経緯を語る、トーマツ伊藤氏

3-2.内部統制報告制度を機に日本でもSOC報告書が普及

2008年になり、日本の上場企業にもJ-SOX(内部統制報告制度)が適用されました。その時にSOC報告書も注目を集め、主に金融機関で取得が進みました。そして近年急速にクラウド化が進んだことを背景にクラウドサービスプロバイダを中心に再び広がりを見せています。

年々SOC報告書を取得するクラウドサービスプロバイダは増えており、上場企業においても受託会社にSOC報告書の提出を求めるケースが増えています。財務諸表監査に直接影響するSOC1だけでなく、昨今では情報セキュリティに対する意識の高まりでSOC2のニーズも高まっています。

3-3.IPO準備段階のシステムリプレイスではSOC報告書を取得したサービスを選定すべきか

IPO準備段階の企業様からこのような質問をされることがあります。
「上場に向けてオンプレミスの会計システムからクラウド会計システムに入れ替えたいが、SOC報告書は必要なのでしょうか?」
監査法人目線のお答えとしては、SOC報告書の有無ではなく内部統制の有効性を担保できるかどうかに尽きます。

監査法人が監査意見を出すときには必ず会計システムは見ています。そして財務諸表の数値と数値が出てくるまでのプロセスに係る内部統制の有効性はどう担保しますか?と質問します。そのときに外部委託している部分に関しては、SOC報告書があれば評価の目途が立ちますねという話になるわけです。SOC報告書がないと監査的にNGということではありませんが、外部委託している部分をどのように担保するのかを考えることになり、担保するために時間も費用も余分にかかってしまう可能性があります。

IPOという大きな目標に向けてコアとなるビジネスに力を入れる段階においては、業務システム及び管理部門の人材に潤沢なコストはかけられません。会計処理のトランザクションが少ないときは自社での管理も可能かもしれませんが、企業規模が拡大するにつれて無理が生じる可能性があります。
監査法人としては、経営者がIPOという目標に向けて真摯に向き合い、成長しようとしているのか、その手段として外部委託を利用したときのリスクを理解し適切に対応が出来るのか、そこを見ています。

また、クラウドサービスプロバイダは決して安くない費用と時間をかけてSOC報告書を取得しています。委託会社であるIPO準備企業がその証明と同じレベルの内部統制の有効性を別の方法で担保することはあまり現実的ではありません。

IPO準備会社がまずすべきことは、コアビジネスに集中することです。将来の事業規模拡大を見据え、内部統制報告制度上耐えられるシステム・サービスを選択することを推奨します。そのための手段としてSOC報告書を取得しているクラウドサービスが有効であれば利用すべきでしょう。

IPO準備企業はまずコアビジネスに集中することが重要と語るトーマツ伊藤氏
▲IPO準備企業はまずコアビジネスに集中することが重要と語るトーマツ伊藤氏

3-4.SOC報告書があればよいわけではない、2つの留意点

SOC報告書を取得しているクラウドサービスが内部統制報告制度上有効に作用することは間違いありませんが、気を付けなければならないポイントがあります。

(1)自社で利用中のサービスが実はSOC報告書の対象外
SOC報告書は提供されるサービス単位で取得されます。
「この会社はSOC報告書を取得していますか?」と質問をいただくことがありますが、これは間違いです。自社で利用しているサービスが実はSOC報告書の対象外だったというケースは少なくありません。
また、IaaSサービスを利用されている場合に、リージョン(データの保存場所・地域)ごとにSOC報告書を取得しているケースもあります。利用しているサービスがSOC報告書を取得していると思っていたら、実は自社のデータ保存先のリージョンが対象外だったということもあり得ます。
自社の利用しているサービスがSOC報告書を取得しているかを必ず確認しましょう。

(2)SOC報告書を取得しているクラウドサービスを利用すれば、委託会社は内容を把握しなくてもよい?
外部委託しているサービスがSOC報告書を取得していた場合でも、SOC報告書があるから大丈夫と安易に考えてしまうのは危険です。SOC報告書では財務報告もしくはセキュリティや機密保持等の決められた項目に関する内部統制の有効性は保証しているものの、それ以外の部分は保証していません。
またSOC報告書では受託会社の関連する内部統制に加えて、委託会社の相補的な内部統制の存在を前提に評価し保証しています。
SOC報告書の内容のすべてを網羅的に理解するというよりも、SOC報告書ではどのような前提で何が保証されているのか、本質を理解することは必要です。

3-5.SOC報告書はIPO実現に向けた手段の一つ

IPO準備企業はまずコアビジネスに集中することが重要と語るトーマツ伊藤氏
▲今後、監査法人に求められる保証業務の範囲は広がる

クラウド時代の今、クラウドサービスのニーズはますます高まっています。それに伴い財務諸表の信頼性担保やセキュリティインシデントへの対応の観点から、SOC報告書の重要性は確実に増していくでしょう。
しかしあくまでもSOC報告書は事業運営を円滑に進めるための手段の一つです。まずは自社のビジネスを確固たるものに仕上げること、そしてIPOという大きな目標に向かう上で必要な手段を選んでいくことが肝要です。監査法人としても、IPOを目指して邁進する企業や経営者に対して、SOC保証業務のように監査以外でも貢献できるサービスを展開していきたいですね。


■ トーマツが提供する保証報告書サービス
・SOC1 保証報告書サービス
・SOC2/SOC2+ 保証報告書サービス

■ 奉行シリーズのSOC報告書に関する情報はこちら
奉行シリーズSOC2報告書

回答者
有限責任監査法人トーマツ リスクアドバイザリ―事業本部<br>アシュアランス パートナー/公認会計士・公認情報システム監査人(CISA) 伊藤 哲也氏
有限責任監査法人トーマツ リスクアドバイザリ―事業本部
アシュアランス パートナー/公認会計士・公認情報システム監査人(CISA) 伊藤 哲也氏
公認会計士として財務諸表監査を担った後、システム監査部門にてIT関連の案件に従事。1997年より米国ニューヨークのオフィスへ赴任。帰国後は、グローバル企業や大手の金融機関のIT統制の評価を中心に財務諸表監査業務、SOC1等の保証業務を担当するとともに、システムの信頼性や統合業務の監査、アドバイザリー案件にも多く携わっている。また、日本公認会計士協会のIT委員会の元副委員長、監査保証実務委員会、監査基準委員会等の専門委員を担当した経験を持つ。現在、日本のIT監査・アシュアランス業務の事業ユニット長を務める。
コラム一覧に戻る
公式Twitter
おすすめコラム・セミナー情報を通知します
IPOコラムランキング
IPOとは何か
上場準備のスケジュール~上場実現に向けて直前々期以前から申請期までの全体像と優先対応事項を把握~
IPO(新規上場)に必要な業績とは!市場別にみる売上高・経常利益【2020年版】
資本政策①「基礎知識編」
資本政策②「ストックオプション編」
開催中の無料セミナー
Web
Web
2年目のコロナ、筋肉質な海外子会社管理体制の構築-グローバル企業が勘定奉行クラウドGlobal Editionを選択した理由-

2021年7月27日 10:30~11:30
Web
Web
IPO座談会【弁護士活用編】~顧問または社外役員としての弁護士の役割とは?~

2021年8月4日 13:30~15:00
Web
Web
パワハラ対策の質問に弁護士が答えるセミナー ~2,500名に聞いた人事労務の課題を、企業側弁護士が斬る!~

2021年8月19日 13:30~15:30
Web
Web
失敗しないための資本政策

2021年8月20日 13:30~15:15
Web
Web
グレーゾーン解消! テレワークにおける正しい労務対策(LIVE配信)

2021年8月23日 10:30~11:45
Web
Web
IPOに向けての法務対応

2021年8月30日 13:30~15:00
Web
Web
建設業における労務のお悩みに弁護士が答えるセミナー

2021年8月31日 13:30~15:30
Web
Web
IPOでこう変わる税務会計から財務会計へ(全2回)

2021年9月7日・14日 13:30~15:30
Web
Web
2年目のコロナ、筋肉質な海外子会社管理体制の構築-グローバル企業が勘定奉行クラウドGlobal Editionを選択した理由-

2021年9月15日 10:30~11:30
イベントレポートを見る
お気軽にご相談ください

自社に合う製品が分からない、導入についての詳細が知りたい… OBCでは専任のスタッフがあなたの疑問にお応えいたします。

ご検討のお客様専用ダイヤル

0120-121-250

10:00〜12:00/13:00〜17:00
(土・日・祝日を除く)