ISAE 3402 브리지 레터: 목적과 템플릿

브리지 레터가 필요한 경우

ISAE 3402.49는 서비스 조직 통제 증거가 연속적이지 않을 때 추가 증거를 요구한다. SOC 1 보고서가 감사 대상 기간 전체를 커버하지 못하면 그 공백을 메워야 한다. 기준서가 말하는 것은 이것뿐이다. 어떻게 메울지는 감사인의 판단이다.

실무에서 브리지 레터가 필요해지는 상황은 크게 두 가지다.

첫째는 시기적 공백이다. 이전 SOC 1이 2023년 12월 31일에 끝나고 새 보고서가 2024년 7월 1일에 시작한다면 1월부터 6월까지 6개월간 증거가 없다. 서비스 조직이 감사법인을 교체하면서 새 Type II 준비 기간이 길어지는 경우에도 같은 문제가 생긴다.

둘째는 통제 환경의 중대한 변화다. 서비스 조직이 핵심 IT 시스템을 전면 교체했거나 조직 구조를 개편한 경우다. 보고서 기간 내라 하더라도 변화의 성격에 따라 추가 확인이 필요할 수 있다.

ISA 402.12는 사용자 감사인에게 서비스 조직 통제의 지속적 운영에 대한 적절한 증거 확보를 요구한다. 브리지 레터는 그 증거를 제공하는 수단 중 하나일 뿐이다. 유일한 수단이 아니다.

ISAE 3402 요구사항과 경영진 책임

ISAE 3402.A69가 브리지 레터의 근거 문단이다. 서비스 조직 경영진은 통제 시스템의 설계와 운영에 대한 책임을 진다. SOC 1 보고서 기간이 끝났다고 이 책임이 사라지는 것은 아니다.

브리지 레터는 경영진의 서면 진술이다. 네 가지를 확인해야 한다. 이전 보고서에 기술된 통제가 계속 운영되고 있는지. 통제 환경이나 시스템에 변경이 있었는지. 변경이 있었다면 그 내용과 시기는 무엇인지. 발견된 통제 결함이 있다면 그 영향과 교정 조치 상태는 어떤지.

솔직히 경영진이 자발적으로 결함을 공시하는 경우는 드물다. "변경 없음, 결함 없음"이라고 받으면 일단 의심부터 해야 한다. ISAE 3402.18(c)는 통제 운영에 대한 충분하고 적절한 증거를 요구한다. 한 줄짜리 확인서는 이 기준을 충족하지 못한다.

브리지 레터에 들어가야 하는 것

"모든 통제가 잘 운영되고 있습니다"로는 안 된다. 구체적이고 검증 가능한 정보가 있어야 한다.

헤더에는 서비스 조직명, 브리지 기간(시작일~종료일), 이전 SOC 1 보고서 참조번호와 기간, 후속 보고서 예상 기간을 명시한다.

통제 환경 확인에서는 브리지 기간 동안 핵심 인사 변동이 있었는지, 조직 구조가 바뀌었는지, 정책이 수정되었는지를 개별적으로 진술해야 한다. "변화 없음"이면 "변화 없음"이라고 써도 되지만 어떤 영역을 점검했는지 범위를 밝혀야 한다.

운영 통제 상태는 통제 목적별로 기술한다. "CO-1 접근 권한 관리: 지속 운영, 월별 모니터링 수행"처럼 이전 SOC 1의 통제 참조번호와 연결해야 한다. 통제 12개를 한 문장으로 뭉뚱그리면 감리에서 "구체적 확인 부재"로 지적받는다.

시스템 변경사항은 IT 시스템, 애플리케이션, 네트워크 보안, 데이터베이스에 대해 변경 일자, 변경 내용, 승인 절차, 테스트 결과까지 기록해야 한다.

식별된 결함은 정직하게 공시한다. 발생 시기, 영향 범위, 교정 조치 내용, 완료 일자를 각각 기술한다. 결함을 숨기면 나중에 감리에서 더 큰 문제가 된다.

실무 적용 예시

클라우드솔루션 코리아(가명)는 클라우드 기반 급여 처리 서비스를 제공한다. 2024년 3월부터 8월까지 5개월간의 브리지 기간에 대한 확인서를 작성하는 상황이다.

1단계. 기간과 범위 정의

"당사는 2024년 3월 1일부터 2024년 8월 31일까지의 기간 동안 당사의 급여 처리 시스템에 대한 내부 통제의 지속적 운영에 관해 다음과 같이 확인합니다."

문서화 노트: 날짜와 서비스 범위를 정확히 명시하여 브리지 기간을 특정한다

2단계. 통제 환경 변화 평가

"브리지 기간 동안 다음 변경사항이 발생했습니다: (1) 2024년 5월 15일 급여 시스템 버전 3.2로 업그레이드, (2) 2024년 7월 1일 IT 보안 관리자 교체, (3) 2024년 8월 10일 신규 데이터 백업 절차 도입, (4) 2024년 8월 20일 접근 권한 정책 개정."

문서화 노트: 변경사항의 구체적 일자와 내용을 기록하여 사용자 감사인이 영향을 평가할 수 있도록 한다

3단계. 통제 운영 상태 확인

"이전 SOC 1 보고서(2023년 12월 31일 종료)에서 기술된 12개 통제 목적 모두에 대해 관련 통제가 지속적으로 운영되었습니다. 접근 권한 관리(CO-1), 데이터 처리 정확성(CO-3), 백업 및 복구(CO-8), 변경관리(CO-11) 통제는 월별 모니터링을 수행했습니다."

문서화 노트: 통제 참조번호로 이전 보고서와 연결하고 모니터링 빈도를 기술한다

4단계. 결함 공시와 교정조치

"2024년 6월 중 접근 권한 검토 과정에서 퇴직한 직원 1명의 시스템 접근 권한이 적시에 해지되지 않은 사실을 발견했습니다. 해당 접근 권한은 2024년 6월 20일 즉시 해지되었으며, 접근 권한 해지 절차에 자동화 검증 단계를 추가했습니다."

문서화 노트: 결함 내용, 발견 시기, 교정 완료 일자, 개선된 절차를 모두 기록한다

5단계. 경영진 확인과 서명

"상기 진술은 당사가 보유한 기록과 정보를 바탕으로 작성되었으며, 모든 중대한 사항이 공시되었음을 확인합니다."

막상 해보면 이 5단계를 모두 충족하는 브리지 레터를 받기가 쉽지 않다. 대부분 2단계(변경사항 평가)와 4단계(결함 공시)가 빠져 있다. 서비스 조직에 요청할 때 이 구조를 템플릿으로 제공하면 양쪽 다 시간을 절약할 수 있다.

사용자 감사인 평가 체크리스트

브리지 레터를 받은 후 ISA 402.19에 따라 적절성과 신뢰성을 평가한다.

완성도부터 확인한다. 브리지 기간이 정의되어 있는가. 이전 SOC 1 보고서와의 연결점이 있는가. 경영진 책임자가 서명했는가. 작성 일자가 적절한 시점인가. 이 네 가지 중 하나라도 빠지면 보완을 요청한다.

다음은 구체성이다. 통제별 진술이 있는지, 변경사항에 일자와 내용과 승인자가 명시되었는지, 결함이 있다면 솔직하게 공시되었는지, 교정조치의 완료 여부와 시기가 기재되었는지 확인한다.

브리지 레터만으로 충분한 증거를 확보할 수 없다면 ISA 402.20에 따라 추가 절차가 필요하다. 서비스 조직을 직접 방문하여 통제를 테스트하거나, 내부감사 부서의 브리지 기간 작업을 검토하거나, 핵심 통제 담당자와 면담을 실시하거나, 시스템 로그나 모니터링 보고서를 요청한다. 필드에 나가서 직접 확인하는 것이 가장 확실하지만 시간과 비용의 제약이 있다.

공시된 변경사항이 사용자 기업 재무제표에 미치는 영향을 평가하고, 결함이 위험 평가에 미치는 영향을 분석한다. 필요하면 추가 실질적 절차를 설계한다. 모든 과정은 조서에 기록한다. 브리지 레터 사본, 평가 결과, 추가 절차 수행 결과, 사용자 기업 경영진과의 소통 내용까지.

조서가 얇아지는 실수 4가지

표준 템플릿을 그대로 쓰는 것이 첫 번째 실수다. 서비스 조직이 보내주는 기본 양식에 "모든 통제가 운영되었습니다"라는 한 줄만 있으면 그건 증거가 아니라 선언이다. 통제 목적별 진술이 없으면 돌려보내야 한다.

두 번째는 변경사항 과소 공시다. 시스템 패치, 정책 수정, 인사 변동. 사소해 보여도 누적되면 통제 환경이 달라진다. 서비스 조직은 "별거 아닌" 변경을 생략하는 경향이 있다. 감사인이 구체적으로 물어봐야 나온다.

세 번째는 결함 은닉이다. 브리지 기간 중 발견된 통제 결함을 공시하지 않으면 사용자 감사인의 위험 평가가 왜곡된다. 감리에서 나중에 드러나면 서비스 조직과 사용자 감사인 모두 문제가 된다.

네 번째는 공백 기간 자체를 계산하지 않는 것이다. SOC 1 보고서 종료일과 재무제표 마감일 사이의 정확한 일수를 조서에 기록하지 않는 팀이 있다. 공백이 몇 일인지 모르면서 브리지 절차가 충분한지 판단할 수 없다.