SOC報告書とは？目的、種類、IPO準備企業がSOC取得済みのクラウドサービスを利用すべき理由を解説

公開日2021/10/28 更新日2023/11/10 ブックマーク数

１．SOC報告書とは？

SOC報告書とは、「System and Organization Controls」の略称で、アウトソーシング業務（外部委託）において、受託会社が委託会社に提供するサービスなどの受託業務に係る内部統制の有効性および第三者機関による評価結果をまとめた報告書です（「受託会社の内部統制に係る保証報告書」とも呼ばれます）。

第三者機関とは独立受託会社監査人（監査法人・公認会計士）を指します。独立受託会社監査人は、米国公認会計士協会（AICPA）、国際監査・保証基準審議会（IAASB）または日本公認会計士協会（JICPA）が定める基準（採用する基準は国ごとに異なる）やガイダンスをもとに、監査を行い検証します。保証が得られた受託業務は、SOC報告書にその旨が表明されます。SOC報告書を得られた受託業務は高いレベルでの内部統制の有効性が担保されたと言えます。

２．SOC報告書の活用シーン

昨今クラウドサービスが普及し、企業でも様々な業務で活用されるようになりました。Microsoft AzureやAmazon Web Service（AWS）などのデータセンター機能を持つクラウドサービスだけでなく、会計・給与などの業務システムもクラウドサービス化しています。

また企業側の意識も変わっており、中核機能（コアビジネス）に資源を集中するために、クラウドサービスを活用してデータの管理運用を外部に委託するケースが増えています。

しかし、クラウドサービスのような外部委託を利用する場合、内部統制上の観点から注意しなければいけないことがあります。それは外部委託している場合でも、責任の所在は「委託会社」（下図、委託会社）にあるため、受託会社〔下図、受託会社（クラウドサービス運営会社）〕のクラウドサービスにおける内部統制の有効性について、委託会社側での評価が必要になる可能性がある、ということです。

クラウドサービス運営会社はもちろん別組織ですので、委託会社がクラウドサービス運営会社に対して内部統制の構築・評価を適用することは困難です。コアビジネスに集中するためにクラウドサービスを利用しているにも関わらず、委託会社のリスク管理が増えてしまっては本末転倒です。

そこで活用されるのが、受託会社が提供する、受託業務に係る内部統制の有効性を保証する「SOC報告書」です。