목차

1. 언제 ISAE 3402를 적용하고 언제 SOC 2를 적용하는가 2. 핵심 차이점: 신뢰 서비스 원칙 vs 관리 목적 3. 결정 프레임워크: 어떤 기준을 선택할 것인가 4. 실무 적용: 글로벌 SaaS 회사 사례 5. 실무 체크리스트 6. 흔한 실수 7. 관련 콘텐츠

언제 ISAE 3402를 적용하고 언제 SOC 2를 적용하는가

ISAE 3402의 적용 범위

ISAE 3402.1에 따르면 이 기준은 서비스 조직에서 사용자 기업을 위해 수행하는 서비스의 통제에 대한 보증업무를 다룬다. 핵심은 사용자 기업의 재무보고와 관련된 내부통제다.

ISAE 3402가 적용되는 상황은 명확하다. 서비스 조직이 사용자 기업의 재무보고에 영향을 미치는 서비스를 제공하고, 사용자 기업의 감사인이 해당 통제를 신뢰해야 하며, 보고서가 감사 목적으로 사용되는 경우다.

유럽 대부분의 국가에서 ISAE 3402는 ISA와 함께 국가 기준으로 채택되었다. 한국에서는 국제보증업무기준서 3402로 채택되어 사용된다.

SOC 2의 적용 범위

SOC 2는 AICPA가 제정한 기준으로 신뢰 서비스 기준(Trust Services Criteria)에 따라 서비스 조직의 시스템을 평가한다. 보안, 가용성, 처리 무결성, 기밀성, 개인정보보호의 다섯 영역을 다룬다.

SOC 2가 선택되는 상황은 다르다. 미국 내 서비스 조직이거나 주요 고객이 미국 기업인 경우, IT 보안과 운영 통제에 중점을 두는 경우, 규정 준수나 계약상 요구사항을 충족해야 하는 경우다.

지역별 선호도와 규제 요구사항

유럽 연합 내에서는 ISAE 3402가 기본이다. 회원국이 IAASB 기준을 채택했기 때문이다. 미국 기업은 SOC 2를 요구하는 경우가 많다. 클라우드 서비스 제공업체는 때로 두 보고서를 모두 발행해야 하는 상황에 처하는데, 솔직히 이런 이중 보고서 상황이 비용과 일정 면에서 가장 까다롭다.

핵심 차이점: 신뢰 서비스 원칙 vs 관리 목적

통제 목적의 접근법

ISAE 3402.13에서는 서비스 조직 경영진이 명시한 통제 목적을 기반으로 한다. 통제 목적은 사용자 기업의 재무보고와 직접 관련된 내부통제에만 초점을 맞춘다. 경영진이 설정하므로 업무마다 범위가 달라진다.

SOC 2는 미리 정해진 다섯 가지 신뢰 서비스 원칙을 사용한다. 서비스 조직이 해당 원칙을 선택하지만 기준 자체는 고정되어 있다. 이 차이가 실무에서 가장 큰 혼동을 만든다. ISAE 3402는 맞춤형이고 SOC 2는 표준화된 프레임워크다.

보고서 구조의 차이

ISAE 3402 보고서는 Type I(특정 시점의 통제 설계)과 Type II(일정 기간의 통제 설계 및 운영 효과성)로 구분된다. 보고서에는 서비스 조직의 시스템 기술, 통제 목적, 관련 통제 활동, 테스트 결과가 포함된다.

SOC 2도 Type I과 Type II로 구분되지만 신뢰 서비스 기준에 따라 구성된다. 각 원칙별로 기준점과 관련 통제가 매핑되고 예외사항과 경영진 응답이 포함된다.

사용자 범위

ISAE 3402 보고서는 주로 사용자 기업의 감사인이 사용한다. ISA 402.8에 따라 감사인은 서비스 조직의 통제가 사용자 기업의 내부통제에 미치는 영향을 평가해야 한다.

SOC 2 보고서는 사용자층이 더 넓다. 감사인만이 아니라 규정 준수 팀, 위험 관리 부서, 계약 상대방까지 사용한다. 이 점이 두 보고서의 근본적 성격 차이를 만든다.

결정 프레임워크: 어떤 기준을 선택할 것인가

1단계: 서비스 조직의 위치 확인

유럽 내 서비스 조직이라면 ISAE 3402가 기본 선택이다. 국가별 감독기관이 IAASB 기준을 채택했고 현지 감사인에게 익숙한 기준이다.

미국 내 서비스 조직이라면 SOC 2가 일반적이다. PCAOB나 주 회계위원회의 감독을 받는 감사인이 수행하며 미국 기업이 계약에서 요구하는 경우가 많다.

2단계: 주요 사용자 기업의 위치와 요구사항 파악

사용자 기업이 주로 유럽에 위치한다면 ISAE 3402가 효율적이다. 해당 감사인이 ISA 402에 따라 서비스 조직 통제를 평가할 때 직접 사용할 수 있다.

미국 상장기업이 주요 고객이라면 SOC 2가 필요할 수 있다. 특히 SOX 404 준수를 위해 SOC 2 보고서를 요구하는 경우가 많다.

3단계: 보고서 사용 목적 명확화

재무제표 감사 목적이라면 ISAE 3402가 적합하다. ISA 402.A1에서 규정하는 서비스 조직 통제 이해 및 평가 목적과 직접 연결된다.

규정 준수, 계약 요구사항, IT 보안 평가가 목적이라면 SOC 2가 더 적절할 수 있다. 이런 경우가 아닌데 SOC 2를 선택하면 불필요한 비용과 시간이 발생한다.

4단계: 비용 대비 효과 분석

두 기준 모두 필요하다면 ISAE 3402를 먼저 수행하는 것이 효율적이다. ISAE 3402의 통제 테스트 결과를 SOC 2에서 상당 부분 재사용할 수 있다. 반대로는 어렵다. SOC 2의 신뢰 서비스 기준 구조가 ISAE 3402의 맞춤형 통제 목적과 일치하지 않기 때문이다.

실무 적용: 글로벌 SaaS 회사 사례

> 디지털솔루션 코리아 주식회사 > > - 매출: 420억 원 (2023년) > - 업종: 클라우드 기반 ERP 소프트웨어 제공 > - 고객: 유럽 중소기업 800개사, 미국 중소기업 200개사 > - 본사: 서울, 데이터센터: 독일 프랑크푸르트 > > 상황: 주요 고객 중 일부가 SOC 2 보고서를 요구했으나 대부분의 유럽 고객 감사인은 ISAE 3402 보고서를 요청했다.

1단계: 서비스 범위 식별 문서화 노트: 고객별 서비스 계약서 검토, 재무보고에 미치는 영향 분석

디지털솔루션의 ERP 시스템은 고객사의 매출, 매입, 재고, 급여 처리를 담당한다. 직접적으로 재무제표 작성에 영향을 미치므로 ISAE 3402 범위에 해당한다.

2단계: 통제 목적 설정 (ISAE 3402.13) 문서화 노트: 경영진 인터뷰 결과, 통제 목적 승인 문서

경영진이 명시한 통제 목적은 네 가지다. 승인된 거래만 시스템에 입력되는 것, 모든 거래가 정확하고 완전하게 처리되는 것, 거래 데이터가 승인 없이 변경되지 않는 것, 시스템 접근이 적절히 제한되는 것이다.

3단계: 통제 활동 식별 및 테스트 문서화 노트: 통제 매트릭스 작성, 샘플링 방법론 문서화

각 통제 목적별로 관련 통제를 식별하고 설계 효과성을 평가했다. Type II 업무로 6개월간 운영 효과성을 테스트했다.

4단계: 보고서 작성 및 배포 문서화 노트: 무한정 의견 발행, 사용자 기업 감사인 대상 배포

ISAE 3402 Type II 보고서를 발행하여 유럽 고객의 감사인이 ISA 402.12에 따라 사용할 수 있도록 했다. 미국 고객 중 SOC 2를 요구하는 경우에는 별도 업무로 진행했다.

결과: 주요 고객사 10개의 감사인이 서비스 조직 통제에 대한 별도 테스트 없이 감사를 완료할 수 있었다. 보고서 준비 기간은 3개월, 총 비용은 1.2억 원이었다.

실무 체크리스트

1. 서비스 조직 위치와 적용 기준을 확인한다. 유럽/아시아 태평양 지역이면 ISAE 3402를 우선 검토하고 미국이면 SOC 2를 우선 검토한다. ISA 402.8에 따른 감사인 요구사항을 파악한다.

2. 주요 사용자 기업의 지역적 분포를 분석한다. 유럽 고객 비중 70% 이상이면 ISAE 3402를 선택하고 미국 고객 비중 70% 이상이면 SOC 2를 선택한다. 혼재 시 두 보고서 모두 필요한지 검토한다.

3. 재무보고 연관성을 평가한다. 서비스가 고객사 재무제표에 직접 영향을 미치면 ISAE 3402가 적합하고, IT 보안이나 운영 통제 중심이면 SOC 2를 고려한다. ISAE 3402.4에 따른 적용 범위를 확인한다.

4. 통제 목적과 신뢰 서비스 원칙을 매핑한다. ISAE 3402는 경영진이 명시한 통제 목적을 사용하고 SOC 2는 해당하는 신뢰 서비스 원칙을 선택한다. 두 프레임워크 간 중복 영역을 식별한다.

5. 보고서 사용자와 목적을 명확화한다. 감사 목적이면 ISAE 3402가 ISA 402와 직접 연계된다. 규정 준수 목적이면 SOC 2가 더 광범위한 요구사항을 충족한다.

6. 서비스 조직의 위치와 주요 고객층이 기준 선택의 80%를 결정한다. 나머지는 비용 대비 효과와 사용 목적에 따라 조정한다.

흔한 실수

고객이 요청한 기준을 무조건 적용하는 실수가 가장 많다. SOC 2를 요청했지만 유럽 기반 서비스 조직에서는 ISAE 3402가 더 적절한 경우가 많다. 필드에 나가기 전에 적용 기준을 검토해야 한다. 이 판단을 빼먹으면 조서를 처음부터 다시 작성해야 하는 상황이 온다.

지역적 선호도를 무시하는 실수도 빈번하다. 미국 회계법인에서 ISAE 3402 보고서를 검토할 때 추가 교육이 필요할 수 있고, 유럽 감사인이 SOC 2를 처음 접할 때도 마찬가지다.

재무보고 연관성을 오판하는 경우도 있다. IT 보안 통제라고 해서 무조건 SOC 2는 아니다. 해당 통제가 재무데이터 처리와 관련되면 ISAE 3402 범위일 수 있다.

관련 콘텐츠

- ISAE 3402 업무 수행 가이드 - 국제 보증 기준의 핵심 요구사항과 실무 적용 방법 - 서비스 조직 통제 평가 도구 - 통제 목적 설정과 테스트 계획 수립을 위한 실무 템플릿 - ISA 402 사용자 기업 감사 - 사용자 기업 감사인이 서비스 조직 보고서를 사용하는 방법

실무 감사 인사이트를 매주 받아보세요.

시험 이론이 아닙니다. 감사를 빠르게 만드는 실질적인 내용입니다.

290개 이상의 가이드 게시20개 무료 도구현직 감사인이 구축

스팸 없음. 저희는 감사인이지 마케터가 아닙니다.