서비스기관 보고서 검토 방법 (SOC/ISAE 3402)

SOC 1 보고서는 다섯 가지 주요 섹션으로 구성됩니다. 경영진의 확인서에서 통제시스템에 대한 설명을 시작하고, 서비스감사인의 독립적 검증 의견이 뒤따릅니다. 경영진의 확인서는 통제목적의 적정성과 통제 설계 및 운영의 효과성에 대한 경영진의 평가를 포함합니다. Type II 보고서에서는 명시된 기간 동안 통제가 의도된 대로 운영되었다는 경영진의 확인이 추가됩니다.

서비스기관 감사 프레임워크

KSA 402의 기본 요구사항

KSA 402.9는 감사인이 서비스를 이용하는 기업의 내부통제에 대한 충분한 이해를 얻을 것을 요구합니다. 서비스기관의 서비스가 고객 기업의 정보시스템과 관련이 있고 재무보고에 영향을 미치는 경우, 해당 서비스와 관련된 통제환경을 파악해야 합니다.
서비스기관 보고서는 두 가지 형태로 제공됩니다. Type I 보고서는 특정 시점의 통제 설계를 다루고, Type II 보고서는 일정 기간 동안의 통제 운영 효과성을 포함합니다. KSA 402.16은 감사인이 서비스기관에서 수행한 업무의 성격과 범위, 그리고 도출된 결론을 평가할 것을 요구합니다.

서비스감사인의 역할과 책임

ISAE 3402는 서비스감사인이 서비스기관의 통제에 대해 합리적 확신을 제공하는 프레임워크를 설정합니다. 서비스감사인은 경영진이 서술한 통제목적의 적정성과 통제 설계의 적절성을 평가합니다. Type II 보고서의 경우, 명시된 기간 동안 통제가 효과적으로 운영되었는지도 테스트합니다.
서비스감사인의 책임은 명확히 제한됩니다. 고객기업에서 구현해야 하는 상호보완적 통제나 고객기업의 전반적 통제환경은 서비스감사인의 검토 범위에 포함되지 않습니다.

SOC 보고서의 핵심 구성요소

SOC 1 보고서는 다섯 가지 주요 섹션으로 구성됩니다. 경영진의 확인서에서 통제시스템에 대한 설명을 시작하고, 서비스감사인의 독립적 검증 의견이 뒤따릅니다.
경영진의 확인서는 통제목적의 적정성과 통제 설계 및 운영의 효과성에 대한 경영진의 평가를 포함합니다. Type II 보고서에서는 명시된 기간 동안 통제가 의도된 대로 운영되었다는 경영진의 확인이 추가됩니다.
시스템 설명은 서비스의 경계, 주요 업무프로세스, IT 환경, 그리고 관련된 통제활동을 상세히 기술합니다. 이 섹션에서 상호보완적 고객사 통제(CUEC) 목록을 확인할 수 있습니다.
서비스감사인의 의견은 통제목적의 적정성, 통제 설계의 적절성, 그리고 Type II의 경우 운영 효과성에 대한 결론을 제시합니다. 적정의견, 한정의견, 부정의견, 의견거절 중 하나의 형태를 취합니다.

서비스기관 보고서 검토 실무

실제 사례: 강남정보시스템 주식회사

강남정보시스템은 중견기업 대상 급여처리 서비스를 제공하는 회사입니다. 연매출 45억 원 규모로 150개 고객사의 급여계산, 세무신고, 인사정보 관리를 담당합니다. 2024년 6월 30일 기준 SOC 1 Type II 보고서를 검토해보겠습니다.
1단계: 보고 기간과 서비스 범위 확인
보고 기간은 2024년 1월 1일부터 6월 30일까지 6개월입니다. 서비스 범위는 급여계산, 원천징수 신고, 퇴직금 적립 관리로 한정됩니다.
조서 기록: 보고 기간과 우리 감사 기간의 중첩 여부, 서비스 범위가 고객사의 핵심 프로세스를 포함하는지 문서화.
2단계: 통제목적과 CUEC 분석
보고서에 명시된 16개 통제목적 중 "급여 마스터 변경사항의 승인"이 핵심입니다. CUEC 목록에서 "고객사는 급여 마스터 변경을 위한 승인 매트릭스를 유지해야 함"이라고 명시되어 있습니다.
조서 기록: 각 CUEC에 대해 고객사의 실제 통제 구현 여부와 테스트 결과를 매핑.
3단계: 예외사항 평가
통제 ID SC-15 "시스템 접근 로그의 월별 검토"에서 3건의 예외가 발견되었습니다. 2월과 4월에 로그 검토가 지연되고, 5월에는 검토를 수행하지 않았습니다.
조서 기록: 예외 발생 시기와 우리 고객사에 미치는 잠재적 영향, 보완적 통제의 존재 여부.
4단계: 서비스감사인 의견 분석
서비스감사인은 통제 설계에 대해 적정의견을 표명했으나, 운영 효과성에 대해서는 SC-15의 결함으로 인해 한정의견을 제시했습니다.
조서 기록: 한정의견의 구체적 사유와 우리 감사에 미치는 영향 평가.
강남정보시스템의 SOC 보고서는 전반적으로 신뢰할 수 있지만, 접근 통제 모니터링의 결함이 있어 추가적인 실질적 절차가 필요합니다.

서비스기관 통제 평가 체크리스트

보고 기간 적절성: SOC 보고서의 기간이 감사 대상 기간과 충분히 중첩되는지 확인하십시오. 최소 9개월 이상 중첩되어야 합니다.
CUEC 완전성 테스트: 상호보완적 고객사 통제 목록의 모든 항목이 고객사에서 실제로 구현되고 운영되는지 테스트하십시오. KSA 402.17 참조.
예외사항 영향 평가: 각 예외사항이 특정 거래유형이나 계정 잔액에 미치는 구체적 위험을 평가하고 문서화하십시오.
서비스감사인 자격 검증: 서비스감사인의 독립성과 전문성을 확인하십시오. ISAE 3402 준수 여부를 점검하십시오.
통제환경 변화 파악: SOC 보고서 발행 후 현재까지 서비스기관의 주요 변화(시스템 업그레이드, 인수합병 등)를 파악하십시오.
가장 중요한 점: 서비스기관 보고서는 자체적으로 감사증거를 제공하지 않습니다. 고객사의 통제와 결합되어야만 전체적인 통제 효과성을 판단할 수 있습니다.

흔한 실수들

• CUEC 미검토: 서비스감사인 의견만 확인하고 상호보완적 고객사 통제의 구현 여부를 테스트하지 않는 경우가 많습니다.
• 예외사항 과소평가: 서비스감사인이 "중요하지 않음"으로 분류한 예외도 특정 고객사에게는 중요할 수 있음을 간과하는 실수입니다.
• 보고 기간 갭 무시: SOC 보고서와 감사 기간 사이의 갭에서 발생한 통제 변화나 사건을 확인하지 않는 경우입니다.
• 하위 서비스기관 미검토: KSA 402.13에 따르면 서비스기관이 또 다른 서비스기관(하위 서비스기관)을 이용하는 경우, 포괄적 방법(inclusive method)과 분리 방법(carve-out method) 중 어떤 방식으로 보고서가 작성되었는지 확인하고 분리 방법인 경우 하위 서비스기관에 대한 별도 절차를 수행해야 합니다.