ISAE 3402 브리지 레터: 목적과 템플릿

브리지 레터가 필요한 경우

ISAE 3402.49는 서비스 조직의 내부 통제에 대한 증거가 연속적이지 않을 때 추가 증거의 필요성을 규정합니다. 사용자 감사인은 서비스 조직 통제가 사용자 기업 재무제표에 미치는 영향을 평가해야 하지만, SOC 1 보고서만으로는 전체 감사 기간을 다루지 못할 수 있습니다.
브리지 레터가 필요한 상황은 다음과 같습니다:
시기적 공백: 이전 SOC 1 보고서가 2023년 12월 31일에 끝나고 새로운 보고서가 2024년 6월 30일에 시작한다면, 2024년 1월부터 5월까지 6개월간의 공백이 발생합니다.
보고서 변경: 서비스 조직이 감사법인을 교체하면서 새로운 Type II 보고서 준비 기간 동안 임시 확인이 필요한 경우입니다.
시스템 업그레이드: 서비스 조직이 주요 IT 시스템 업그레이드를 진행하면서 통제 환경에 중대한 변화가 있었던 기간을 다루어야 할 때 사용합니다.
이런 공백 기간 동안 사용자 감사인은 ISA 402.12에 따라 서비스 조직 통제의 지속적 효과성에 대한 적절한 감사 증거를 확보해야 합니다.

ISAE 3402 요구사항과 경영진 책임

ISAE 3402.A69는 브리지 레터의 법적 기반을 제공합니다. 서비스 조직 경영진은 내부 통제 시스템의 설계와 운영 효과성에 대한 책임을 집니다. 이 책임은 SOC 1 보고서 기간이 끝난 후에도 계속됩니다.
브리지 레터는 경영진의 서면 진술로서 다음 네 가지 핵심 확인을 포함해야 합니다:
통제 지속성: 이전 SOC 1 보고서에서 기술된 통제가 계속 운영되고 있으며 설계상 효과적으로 작동하고 있다는 확인입니다.
변경사항 공시: 통제 환경, 프로세스, 또는 시스템에 중요한 변경이 있었다면 그 내용과 시기를 상세히 기술해야 합니다.
결함 보고: 발견된 통제 결함, 그 영향, 교정 조치, 현재 상태를 포함해야 합니다.
모니터링 증거: 브리지 기간 동안 수행된 내부 통제 모니터링 결과를 기술합니다. ISAE 3402.18(c)는 운영 효과성에 대한 충분하고 적절한 증거 확보를 요구하며, 사용자 감사인이 실질적 절차를 줄일 수 있을 만큼 구체적인 내용이 필요합니다.
ISAE 3402.18(c)는 서비스 조직이 통제 목적을 달성하기 위해 설계된 통제의 운영 효과성에 대한 충분하고 적절한 증거를 확보하도록 요구합니다. 브리지 레터는 이 증거의 한 형태로 작용합니다.

브리지 레터의 핵심 구성 요소

실제로 쓸 수 있는 브리지 레터는 구체적이고 검증 가능한 정보를 제공해야 합니다. 일반적인 확인문이나 표준 문구만으로는 충분하지 않습니다.
헤더 정보
통제 환경 확인
브리지 기간 동안 통제 환경에 변화가 없었음을 확인합니다. 여기에는 핵심 인사의 변동, 조직 구조 변경, 정책 수정이 포함됩니다.
운영 통제 상태
이전 SOC 1 보고서에 기술된 각 통제 목적별로 통제가 계속 운영되고 있음을 확인합니다. 단순히 "모든 통제가 정상 운영되고 있습니다"라고 하지 말고 구체적 통제 영역을 명시해야 합니다.
시스템 변경사항
IT 시스템, 애플리케이션, 데이터베이스, 네트워크 보안에 대한 변경사항을 상세히 기술합니다. 변경 일자, 변경 내용, 승인 절차, 테스트 결과를 포함해야 합니다.
식별된 결함과 교정조치
브리지 기간 중 발견된 통제 결함을 정직하게 공시해야 합니다. 각 결함에 대해 발생 시기, 영향 범위, 교정 조치, 완료 일자를 기술합니다.

서비스 조직명과 주소
브리지 기간 명시 (시작일과 종료일)
이전 SOC 1 보고서 참조번호와 기간
후속 SOC 1 보고서 예상 기간

실무 적용 예시

클라우드솔루션 코리아 주식회사 브리지 레터
상황: 클라우드 기반 급여 처리 서비스를 제공하는 클라우드솔루션 코리아 주식회사가 2024년 3월부터 8월까지 5개월간의 브리지 기간에 대한 확인서를 작성합니다.
1단계: 기간과 범위 정의
"당사는 2024년 3월 1일부터 2024년 8월 31일까지의 기간 동안 당사의 급여 처리 시스템에 대한 내부 통제의 지속적 운영에 관해 다음과 같이 확인합니다."
문서화 노트: 정확한 날짜와 서비스 범위를 명시하여 브리지 기간이 명확하게 정의되도록 기술
2단계: 통제 환경 변화 평가
"브리지 기간 동안 다음 변경사항이 발생했습니다: (1) 2024년 5월 15일 급여 시스템 버전 3.2로 업그레이드, (2) 2024년 7월 1일 IT 보안 관리자 교체, (3) 2024년 8월 10일 신규 데이터 백업 절차 도입."
문서화 노트: 각 변경사항의 구체적 일자와 내용을 기록하여 사용자 감사인이 영향을 평가할 수 있도록 상세 기술
3단계: 통제 운영 상태 확인
"이전 SOC 1 보고서(2023년 12월 31일 종료)에서 기술된 12개 통제 목적 모두에 대해 관련 통제가 지속적으로 운영되었습니다. 특히 접근 권한 관리(CO-1), 데이터 처리 정확성(CO-3), 백업 및 복구(CO-8) 통제는 월별 모니터링을 통해 효과성을 확인했습니다."
문서화 노트: 통제 참조번호를 사용하여 이전 SOC 1 보고서와의 연결성을 명확히 하고, 모니터링 빈도를 기술
4단계: 결함 공시와 교정조치
"2024년 6월 중 접근 권한 검토 과정에서 퇴직한 직원 1명의 시스템 접근 권한이 적시에 해지되지 않은 사실을 발견했습니다. 해당 접근 권한은 2024년 6월 20일 즉시 해지되었으며, 접근 권한 해지 절차에 자동화 검증 단계를 추가했습니다."
문서화 노트: 결함의 구체적 내용, 발견 시기, 교정 조치 완료 일자와 개선된 절차를 모두 기록
5단계: 경영진 확인과 서명
"상기 진술은 당사가 보유한 기록과 정보를 바탕으로 작성되었으며, 모든 중요한 사항이 공시되었음을 확인합니다."
이 브리지 레터는 사용자 감사인이 5개월간의 통제 공백을 메우는 데 필요한 구체적이고 검증 가능한 정보를 제공합니다.

사용자 감사인의 평가 체크리스트

브리지 레터를 받은 사용자 감사인은 ISA 402.19에 따라 그 적절성과 신뢰성을 평가해야 합니다.
1. 완성도 검토
2. 구체성 평가
3. ISA 402.20 추가 절차 고려
브리지 레터만으로 충분한 증거를 얻을 수 없다면 다음 절차를 수행해야 합니다:
4. 위험 평가 업데이트
5. 문서화 요구사항
6. 후속 조치
브리지 레터에서 중요한 결함이나 변경사항이 공시되었다면 새로운 SOC 1 보고서가 발행될 때까지 지속적 모니터링을 고려해야 합니다.

브리지 기간이 명확하게 정의되어 있는가
이전 SOC 1 보고서와의 연결점이 명시되어 있는가
경영진의 책임자가 서명했는가
작성 일자가 적절한 시점인가
일반적 확인문이 아닌 구체적 통제별 진술이 있는가
변경사항이 상세히 기술되어 있는가 (일자, 내용, 승인자)
결함이 있다면 솔직하게 공시되어 있는가
교정조치의 완료 여부와 시기가 명시되어 있는가
서비스 조직 방문하여 통제 테스트 수행
내부감사 부서의 브리지 기간 내 작업 검토
핵심 통제 담당자와의 면담 실시
시스템 로그나 모니터링 보고서 검토 요청
공시된 변경사항이 사용자 기업에 미치는 영향 평가
결함이 사용자 기업의 재무제표 위험에 미치는 영향 분석
필요시 추가 실질적 절차 설계 및 실행
브리지 레터 사본을 감사조서에 포함
평가 결과와 결론을 기록
추가 절차 수행 시 그 결과 문서화
사용자 기업 경영진과의 소통 내용 기록

일반적인 실수와 개선 방법

표준 템플릿의 무분별한 사용
많은 서비스 조직이 일반적인 브리지 레터 템플릿을 그대로 사용하면서 구체적 상황을 반영하지 않습니다. "모든 통제가 효과적으로 운영되었습니다"라는 식의 포괄적 진술은 사용자 감사인에게 유의미한 정보를 제공하지 못합니다.
변경사항 과소 공시
사소해 보이는 변경사항도 누적되면 통제 환경에 중요한 영향을 미칠 수 있습니다. 시스템 패치, 정책 수정, 인사 변동을 모두 평가하여 중요한 것은 공시해야 합니다.
결함 은닉 시도
브리지 기간 중 발견된 통제 결함을 공시하지 않으면 사용자 감사인의 위험 평가를 왜곡시킵니다. 솔직한 공시와 적절한 교정조치가 장기적으로 더 나은 결과를 가져옵니다.