SOC1について
SOC1報告書とは
SOC1レポートは、財務報告に影響を与える業務を外部から受託している企業が、自社の内部統制が適切に整備・運用されていることを第三者(監査法人など)によって証明するレポートです。
受託業務が委託会社の財務諸表に影響を及ぼす場合に求められるものであり、委託会社やその監査人にとって、財務報告の信頼性を支える重要な資料となります。
SOC1レポートには以下の2種類が存在します:
タイプ1(Type 1):特定時点における統制の「整備状況」を評価
タイプ2(Type 2):一定期間(通常6〜12か月)にわたる「整備および運用状況」を評価
SOC1で想定される業務とは?
SOC1は、あらゆる受託業務が対象となるわけではなく、委託会社の財務諸表に影響を与える業務が評価対象となります。代表的な業務として、次の2つが挙げられます。
-
クラウドシステムプロバイダー業務
例:会計クラウドシステム提供会社(フリー、マネーフォワード等)や販売管理クラウドシステム提供会社、倉庫管理システム提供会社等
-
年金制度管理業務・給与計算業務等の事務受託業務
たとえば、年金制度管理では、加入者・受給者の情報管理や資産運用管理(投資契約、約定処理、残高照合、レポート作成など)が対象となり、給与計算業務では、給与支給の正確性や処理の正当性が評価対象となります。これらはいずれも、委託会社の財務報告に直接関わるプロセスを含んでいることから、SOC1の対象業務の一例とされます。このほかにも、財務報告に影響を及ぼす受託業務は多数存在しており、業務の性質に応じて個別に判断されます。
SOC1の対象となる統制とは?
SOC1では、業務の性質に応じて対象となる統制の範囲が異なります。大きく分けて、以下の2つの視点があります。
1. IT全般統制(ITGC)を中心に評価されるケース
クラウドシステムプロバイダーのように、財務処理を支える基盤システムそのものを提供している業務では、以下のようなIT全般統制が評価の中心となります。
- アクセス管理
- 開発・変更管理
- 運用管理等
これらは、システムの安定稼働やデータの保全性・整合性を確保するうえで極めて重要な統制です。
2. 業務処理統制(プロセス統制)を中心に評価されるケース
一方、年金管理や給与計算業務などのプロセス型の受託業務では、具体的な業務プロセスの中での統制が評価の中心となります。
例:
- 年金資産運用:投資判断や約定管理、報告書作成におけるチェック体制
- 給与計算:給与計算の正確性、異常値チェック、支払いの承認プロセス
これらのケースでは、IT全般統制も部分的に評価されることはありますが、業務プロセスにおける統制の有効性が主要な評価対象となります。
SOC1レポートの想定利用者
SOC1レポートは、貴社の業務を利用しているお客様(委託会社)やその監査人に対して提供する資料です。
お客様の財務報告に影響を与える業務を請け負っている場合、SOC1レポートは「内部統制がしっかりしている会社かどうか」を示す客観的な証明になります。
SOC1レポート取得のメリット(受託会社の立場から)
1. お客様や関係者からの信頼性向上
SOC1レポートは、公認会計士による第三者評価に基づく正式な保証報告書です。
「財務報告に関わる統制が整っており、きちんと運用されている会社である」という信頼をお客様に与えることができます。
2. 監査対応の効率化
お客様(委託会社)やお客様の監査人から「統制状況を確認させてほしい」と求められた場合、SOC1レポートがあれば、個別対応の負担を大幅に削減できます。
同じ内容を毎回説明する必要がなく、信頼性ある資料として一括提示できます。
3. 営業面での競争優位性
大企業や金融機関など、内部統制を重視する顧客ほど、取引先に対してSOC1レポートの提出を求める傾向があります。
SOC1を取得していること自体が「一定水準の統制体制が整った企業」である証拠となり、新規顧客開拓や大型案件受注の際の大きなアピールポイントになります。
SOC1のブリッジレター(ロールフォワードレター)とは?
ブリッジレター(ロールフォワードレター)とは、SOC1タイプ2報告書の対象期間終了後から委託会社の会計期間終了日までの間における受託会社の内部統制に関する状況について説明した文書を指します。
SOC1のタイプ2報告書の対象期間は、受託会社の内部統制が有効に運用されていたかを示す重要な証拠となりますが、受託会社が定めた対象期間が委託会社の会計期間と完全に一致しないケースが多く存在します。そのため、委託会社の監査人が委託会社の会計監査を実施する際、報告書対象期間外の統制状況について追加の監査証拠を必要とすることがあります。この際に活用されるのがブリッジレター(ロールフォワードレター)です。
なぜブリッジレター(ロールフォワードレター)が必要か?
SOC1報告書の対象期間と委託会社の会計期間に差異がある場合、委託会社の監査人は、報告書対象期間外の内部統制について追加的な証拠を入手する必要が生じます。ロールフォワードレターは、この報告書対象期間終了後の期間に、内部統制や統制環境に重要な変更があったかどうかを明らかにするものであり、委託会社監査人にとって有用な情報源となります。
具体的には、ブリッジレター(ロールフォワードレター)には通常、以下のような内容が記載されています。
報告書の対象期間終了日以降に重大な統制環境の変更があったかどうか
内部統制に重要な変更(情報システム、業務プロセス、担当者の異動等)が発生したかどうか
なお、ブリッジレター(ロールフォワードレター)はあくまでも内部統制の変更の有無について受託会社が記述したものであり、監査人による運用評価手続が行われたものではない点に留意する必要があります。
SOC1の対象期間設定の重要性
SOC1の対象期間設定は非常に重要です。委託会社監査人がタイプ2の報告書を利用する際、対象期間が委託会社の会計期間とほとんど重ならない場合には、監査証拠としての有効性が制限されることがあります。
しかし、実務上、全ての委託会社の会計期間に完全に揃えることは困難です。そのため、特に重要な取引先や、多くの委託会社の会計期間末が特定の月に集中している場合には、それらの期間を考慮してSOC1報告書の対象期間を設定することが効果的です。このような配慮を行うことで、多くの委託会社の監査証拠として、より有効に活用されることが期待されます。
SOC1レポートの監査基準の違い
SOC1レポートは、作成にあたって準拠する監査基準により、主に日本(保証実務指針第3402号)、米国(SSAE18)、国際(ISAE3402)の3つに分類されます。
企業の顧客層や取引先の所在地に応じて、どの基準を採用するかを事前に検討することが、適切なレポート作成の第一歩となります。
| 分類 | 主題 | 基準: 米国公認会計士協会 |
基準: 日本公認会計 士協会 |
基準: 国際監査・保 証基準審議会 |
|---|---|---|---|---|
| SOC1 |
財務報告に係る内部統制 |
SSAE18(AT-CSection 105・205・320) |
保証実 3402 | ISAE3402 |
SOC1取得までの期間
SOC1レポートの取得は、通常以下の3つのステップで進みます。
①準備期間 → ②Type1報告書取得 → ③Type2報告書取得
① 準備期間(SOC1取得の前提整備)
この段階では、SOC1報告書で無限定の適正意見を得られる水準まで統制の整備・運用体制を底上げしておくこと必要があります。 統制の整備状況や、改善に必要な社内リソースの有無は企業ごとに異なりますが、少なくとも2~3か月程度の準備期間を見込んでおくことが一般的です。
② Type1報告書の取得
準備が整ったら、次にType1報告書の取得に進みます。
Type1では、「統制が適切に整備されていること」を特定時点で評価します。取得にはおおよそ1か月程度の期間を見込む必要があります。
※なお、委託会社(お客様)からType1の報告書提出が求められていない場合など、状況によってはType1を省略し、Type2から開始するケースもあります。
③ Type2報告書の取得
Type2では、整備された統制が一定期間にわたって有効に運用されていたか(=対象期間)を評価します。
この対象期間は、原則6か月以上とされており、報告書としての信頼性を確保するためにも十分な期間が必要です。
さらに、対象期間の終了後には、監査法人による検証・報告書作成のためにおおよそ2か月程度が必要となります。
そのため、Type2報告書の取得には、対象期間の開始から最短でも約8か月を見込む必要があります。(対象期間を12か月に設定した場合は、全体で約1年2か月程度かかる想定です。)
取得スケジュールの例(Type2対象期間:6か月の場合)
仮に、2025年5月に準備を開始し、Type2の対象期間を6か月と設定した場合、以下のようなスケジュールになります:
- 準備期間:2025年5月 ~ 2025年7月
- Type1報告書の取得:2025年8月(評価基準日:2025年7月末)
- Type2報告書の取得:2026年3月(対象期間:2025年8月 ~ 2026年1月)
SOC1取得までのコスト
SOC1レポートの取得には、以下の3ステップに応じたコストが発生します。
| フェーズ | 概要 | 費用目安(税抜) |
|---|---|---|
| 準備支援 |
SOC1取得に向けたレディネスチェック(fit and gap分析及びレポーティング支援) |
約300万円 |
| Type1報告書発行 |
特定時点での統制整備状況の評価 |
約200万円 |
| Type2報告書発行 |
一定期間にわたる統制運用状況の評価 |
約500万円 |
※Type1/Type2報告書の発行については、メネサイド株式会社 代表取締役・及川翔太が代表社員を務める令和監査法人にて実施いたします。上記金額には、監査法人による監査費用も含まれております。
上記に記載した費用は、あくまで一般的な目安であり、実際の金額は個社の状況によって変動いたします。たとえば、すでにISMSなどの認証を取得している場合や、内部統制が一定程度整備されている場合には準備工数が抑えられる可能性があります。一方で、内部統制やシステムの構成が複雑であったり、業務の範囲が広く、関係する内部統制やシステムが多数存在する場合には、統制の評価に時間と労力を要するため、コストが増加することもあります。
そのため、正確なお見積もりをご希望の場合は、ぜひお気軽にお問い合わせください。