ISAE 3402 vs SOC 2: 고객사에 어떤 보고서가 필요한가요?

언제 ISAE 3402를 적용하고 언제 SOC 2를 적용하는가

ISAE 3402의 적용 범위

ISAE 3402.1에 따르면 이 기준은 서비스 조직에서 사용자 기업을 위해 수행하는 서비스와 관련된 통제에 대한 보증업무를 다룹니다. 핵심은 사용자 기업의 재무보고와 관련된 내부통제입니다.
ISAE 3402가 적용되는 상황:
유럽 대부분의 국가에서 ISAE 3402는 ISA와 함께 국가 기준으로 채택되었습니다. 한국에서는 ISAE 3402가 국제보증업무기준서 3402로 채택되어 사용됩니다.

SOC 2의 적용 범위

SOC 2는 미국공인회계사협회(AICPA)가 제정한 기준으로, 신뢰 서비스 기준(Trust Services Criteria)에 따라 서비스 조직의 시스템을 평가합니다. 보안, 가용성, 처리 무결성, 기밀성, 개인정보보호라는 다섯 가지 영역을 다룹니다.
SOC 2가 선택되는 상황:

지역별 선호도와 규제 요구사항

유럽 연합 내에서는 ISAE 3402가 일반적으로 선호됩니다. 회원국들이 IAASB 기준을 채택했기 때문입니다. 반면 미국 기업들은 SOC 2를 요구하는 경우가 많습니다. 클라우드 서비스 제공업체들은 때로 두 보고서를 모두 받아야 하는 상황에 처합니다.

서비스 조직이 사용자 기업의 재무보고에 영향을 미치는 서비스를 제공
사용자 기업의 감사인이 서비스 조직의 통제를 신뢰해야 함
보고서가 감사 목적으로 사용됨
미국 내 서비스 조직이거나 주요 고객이 미국 기업
IT 보안과 운영 통제에 중점
규정 준수나 계약상 요구사항을 충족하기 위한 목적

핵심 차이점: 신뢰 서비스 원칙 vs 관리 목적

통제 목적의 접근법

ISAE 3402.13에서는 서비스 조직의 경영진이 명시한 통제 목적을 기반으로 합니다. 이 통제 목적들은 사용자 기업의 재무보고와 직접 관련된 내부통제에만 초점을 맞춥니다.
SOC 2는 미리 정해진 다섯 가지 신뢰 서비스 원칙(보안, 가용성, 처리 무결성, 기밀성, 개인정보보호)을 사용합니다. 서비스 조직은 해당하는 원칙을 선택하지만, 기준 자체는 고정되어 있습니다.

보고서 구조의 차이

ISAE 3402 보고서는 Type I(특정 시점의 통제 설계)과 Type II(일정 기간의 통제 설계 및 운영 효과성)로 구분됩니다. 보고서에는 서비스 조직의 시스템 기술, 통제 목적, 관련 통제 활동, 테스트 결과가 포함됩니다.
SOC 2 보고서도 Type I과 Type II로 구분되지만, 신뢰 서비스 기준에 따라 구성됩니다. 각 원칙별로 기준점(criteria)과 관련 통제가 매핑되고, 예외사항과 경영진 응답이 포함됩니다.

사용자 범위

ISAE 3402 보고서는 주로 사용자 기업의 감사인이 사용합니다. ISA 402.8에 따라 감사인은 서비스 조직의 통제가 사용자 기업의 내부통제에 미치는 영향을 평가해야 합니다.
SOC 2 보고서는 더 넓은 사용자층을 대상으로 합니다. 감사인뿐 아니라 규정 준수 팀, 위험 관리 부서, 계약 상대방 등이 사용합니다.

결정 프레임워크: 어떤 기준을 선택할 것인가

1단계: 서비스 조직의 위치 확인

유럽 내 서비스 조직이라면 ISAE 3402가 기본 선택입니다. 국가별 감독기관들이 IAASB 기준을 채택했고, 현지 감사인들에게 익숙한 기준입니다.
미국 내 서비스 조직이라면 SOC 2가 일반적입니다. PCAOB나 주 회계위원회의 감독을 받는 감사인들이 수행하며, 미국 기업들이 계약에서 요구하는 경우가 많습니다.

2단계: 주요 사용자 기업의 위치와 요구사항 파악

사용자 기업이 주로 유럽에 위치한다면 ISAE 3402가 효율적입니다. 해당 감사인들이 ISA 402에 따라 서비스 조직 통제를 평가할 때 직접 활용할 수 있습니다.
미국 상장기업이 주요 고객이라면 SOC 2가 필요할 수 있습니다. 특히 SOX 404 준수를 위해 SOC 2 보고서를 요구하는 경우가 많습니다.

3단계: 보고서 사용 목적 명확화

재무제표 감사 목적이라면 ISAE 3402가 적합합니다. ISA 402.A1에서 규정하는 서비스 조직 통제 이해 및 평가 목적과 직접 연결됩니다.
규정 준수, 계약 요구사항, IT 보안 평가가 목적이라면 SOC 2가 더 적절할 수 있습니다. 신뢰 서비스 기준이 이런 용도에 맞게 설계되었습니다.

4단계: 비용 대비 효과 분석

두 기준 모두 필요하다면 ISAE 3402를 먼저 수행하는 것이 효율적입니다. ISAE 3402의 통제 테스트 결과를 SOC 2에서 활용할 수 있는 경우가 많습니다. 반대로는 어렵습니다.

실무 적용: 글로벌 SaaS 회사 사례

> 디지털솔루션 코리아 주식회사

매출: 420억 원 (2023년)
업종: 클라우드 기반 ERP 소프트웨어 제공
고객: 유럽 중소기업 800개사, 미국 중소기업 200개사
본사: 서울, 데이터센터: 독일 프랑크푸르트

> 상황: 주요 고객 중 일부가 SOC 2 보고서를 요구했으나, 대부분의 유럽 고객은 감사인이 ISAE 3402 보고서를 요청함.
1단계: 서비스 범위 식별
문서화 노트: 고객별 서비스 계약서 검토, 재무보고에 미치는 영향 분석
디지털솔루션의 ERP 시스템은 고객사의 매출, 매입, 재고, 급여 처리를 담당합니다. 이는 직접적으로 재무제표 작성에 영향을 미치므로 ISAE 3402 범위에 해당합니다.
2단계: 통제 목적 설정 (ISAE 3402.13)
문서화 노트: 경영진 인터뷰 결과, 통제 목적 승인 문서
경영진이 명시한 통제 목적:
3단계: 통제 활동 식별 및 테스트
문서화 노트: 통제 매트릭스 작성, 샘플링 방법론 문서화
각 통제 목적별로 관련 통제를 식별하고 설계 효과성을 평가했습니다. Type II 업무로 6개월간 운영 효과성을 테스트했습니다.
4단계: 보고서 작성 및 배포
문서화 노트: 무한정 의견 발행, 사용자 기업 감사인 대상 배포
ISAE 3402 Type II 보고서를 발행하여 유럽 고객들의 감사인이 ISA 402.12에 따라 활용할 수 있도록 했습니다. 미국 고객 중 SOC 2를 요구하는 경우에는 별도 업무로 진행했습니다.

승인된 거래만 시스템에 입력됨
모든 거래가 정확하고 완전하게 처리됨
거래 데이터가 승인 없이 변경되지 않음
시스템 접근이 적절히 제한됨

실무 체크리스트

서비스 조직 위치와 적용 기준 확인
유럽/아시아 태평양 지역: ISAE 3402 우선 검토
미국: SOC 2 우선 검토
ISA 402.8에 따른 감사인 요구사항 파악
주요 사용자 기업의 지역적 분포 분석
유럽 고객 비중 70% 이상: ISAE 3402 선택
미국 고객 비중 70% 이상: SOC 2 선택
혼재 시: 두 보고서 모두 필요 여부 검토
재무보고 연관성 평가
서비스가 고객사 재무제표에 직접 영향: ISAE 3402 적합
IT 보안/운영 통제 중심: SOC 2 고려
ISAE 3402.4에 따른 적용 범위 확인
통제 목적 vs 신뢰 서비스 원칙 매핑
ISAE 3402: 경영진이 명시한 통제 목적 사용
SOC 2: 해당하는 신뢰 서비스 원칙 선택
두 프레임워크 간 중복 영역 식별
보고서 사용자와 목적 명확화
감사 목적: ISAE 3402가 ISA 402와 직접 연계
규정 준수: SOC 2가 더 광범위한 요구사항 충족
계약상 요구사항: 고객별 명시된 기준 확인
가장 중요한 판단: 서비스 조직의 위치와 주요 고객층이 기준 선택의 80%를 결정합니다. 나머지는 비용 대비 효과와 사용 목적에 따라 조정합니다.

흔한 실수들

• 고객이 요청한 기준을 무조건 적용: SOC 2를 요청했지만 유럽 기반 서비스 조직에서는 ISAE 3402가 더 적절한 경우가 많습니다. 업무 수행 전에 적용 기준을 검토하십시오.
• 지역적 선호도 무시: 미국 회계법인에서 ISAE 3402 보고서 검토 시 추가 교육이 필요할 수 있습니다. 반대로 유럽 감사인이 SOC 2를 처음 접할 때도 마찬가지입니다.
• 재무보고 연관성 오판단: IT 보안 통제라고 해서 무조건 SOC 2는 아닙니다. 해당 통제가 재무데이터 처리와 관련되면 ISAE 3402 범위일 수 있습니다.