編集部からのお知らせ
PDF Report at ZDNet:「ドローン活用」
「ニューノーマル」に関する新着記事一覧

「クラウド」という業務委託のガバナンス最前線--前編:SOCRとは何か - (page 3)

吉澤亨史

2017-09-22 07:00

SOCのTypeと種類

冨樫氏: SOCには、SOC1、SOC2、SOC3の3種類があり、それぞれType1とType2の報告書があります。Type1報告書は、システム記述書に記載された「内部統制のデザイン」に関する報告書です。つまり、内部統制のための組織体制や業務の実施方法などのデザインが書かれ、一定の基準をクリアしていないと、報告書は受領できません。

 他方、Type2報告書では、デザインのみにとどまらず、運用状況も見ます。内部統制のデザイン及び運用状況に関する報告書ということです。

 また、Type1では、基準日時点での評価を行いますが、Type2では、対象期間を通じての評価を行います。評価期間は、1年間が一般的ですが、内部統制についてきちんと決まった期間にわたり実施されていたかについて、もれなく書き、そこを監査します。まず特定の一時点でのType1を実施し、その後、特定の期間でのType2を実施、あとはType2を毎年更新していく形が一般的です。

 次にSOC1、SOC2、SOC3といわれる、保証報告書の分類です。SOC1は、対象リスクは委託会社の財務諸表が誤るリスク、利用者は委託会社および委託会社監査人、利用目的は委託会社の財務諸表監査および内部統制監査となります。

 SOC2、SOC3の対象リスクは財務諸表以外となります。セキュリティ、可用性、処理のインテクリティ、機密保持、プライバシーが阻害されるリスクの中から1つ以上を選択し、スポットを当てます。利用目的は委託している会社のコンプライアンス、またはオペレーションに関連する内部統制の報告となります。

 SOC1との大きな違いは利用者です。SOC2は、限定された特定のユーザー企業として、既存顧客以外に見込み顧客も対象としており、ユーザーが、どのクラウドを使おうかと検討する場合においても有効活用できます。

 SOC3は一般ユーザー向けとして、ホームページなどにおいて表示することができます。保証報告書の枚数は数枚程度となり、記述自体はとても簡略化された内容になりますが、ユーザーが、どのクラウドを使おうかと検討する場合においても有効活用できます。


ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]