김앤파트너스 회계법인이 대한금융서비스 주식회사(매출 850억 원)의 2024년 감사를 수행합니다. 고객사는 급여 처리를 미국 소재 Global Payroll Solutions Inc.에 위탁했습니다.

목차

목차

기준서 체계와 법적 근거

ISAE 3402: 국제 보증 기준


ISAE 3402는 국제감사보증기준위원회(IAASB)가 발행한 국제보증업무기준입니다. 이 기준은 서비스 조직의 내부통제 시스템에 대한 보증업무를 규정합니다.
ISA 402.9는 서비스 조직을 이용하는 기업의 감사에서 서비스 감사인 보고서를 어떻게 사용해야 하는지 규정합니다. 보고서가 적절한 기준에 따라 작성되었는지, 서비스 감사인이 적격한지 평가해야 합니다.
유럽에서 ISAE 3402는 EU 감사규정과 회원국 법률의 뒷받침을 받습니다. 상장회사 법정감사에서 ISAE 3402 보고서는 직접적으로 수용 가능한 증거입니다.

SOC 1: 미국 증명 기준


SOC 1은 미국공인회계사협회(AICPA)의 AT-C 320 "서비스 조직에서 수행되는 내부통제 보고"를 따릅니다. 이 기준은 미국 회계기준과 증명업무 체계 내에서 작동합니다.
AT-C 320은 SSAE 18(증명업무기준서 18호)의 일부로, 미국 내 서비스 조직 통제 평가에 특화되어 있습니다. 국제적 적용을 염두에 두지 않았습니다.

법적 수용 가능성 차이


유럽 상장회사 감사에서 두 보고서의 법적 지위는 다릅니다. ISAE 3402 보고서는 직접 수용됩니다. SOC 1 보고서는 추가 평가가 필요합니다.

보고서 구조와 내용 차이

통제 목적의 서술 방식


ISAE 3402는 경영진이 서술한 통제 목적을 그대로 사용합니다. 서비스 감사인은 이 목적이 적절한지만 평가합니다. 표준화된 통제 목적 체계는 없습니다.
SOC 1은 COSO 프레임워크나 기타 인정된 통제 체계를 명시적으로 참조하는 경우가 많습니다. 통제 목적이 더 구체적이고 측정 가능하게 서술됩니다.

테스트 절차의 투명성


ISAE 3402.47은 서비스 감사인이 수행한 테스트의 성격, 시기, 범위를 상세히 기술하도록 요구합니다. 각 통제에 대해 구체적인 테스트 절차가 명시되어야 합니다.
SOC 1 보고서는 테스트 절차를 더 일반적으로 서술하는 경우가 많습니다. "문서 검토 및 질문"처럼 포괄적 표현을 사용합니다.

예외사항 보고


두 기준 모두 발견된 예외사항을 보고해야 합니다. 하지만 심각도 분류와 영향 평가 방식이 다릅니다.
ISAE 3402는 예외사항이 통제 목적 달성에 미치는 영향을 명시적으로 평가합니다. 보상 통제의 존재와 효과성도 고려합니다.

서비스 감사인 자격 요건

독립성 기준


ISAE 3402는 국제윤리기준위원회(IESBA) 윤리강령의 독립성 요건을 따릅니다. 서비스 조직과 서비스 감사인 간의 재정적, 사업적 관계가 엄격하게 제한됩니다.
SOC 1은 AICPA 독립성 기준을 적용합니다. 미국 기준은 일부 영역에서 국제 기준보다 허용적입니다.

전문역량 요구사항


ISAE 3402.24는 업무팀이 서비스 조직의 업무와 해당 내부통제를 이해하기에 충분한 역량을 보유해야 한다고 규정합니다. 복잡한 IT 환경의 경우 전문가 참여가 필요합니다.
SOC 1도 유사한 요구사항이 있지만, 미국 시장의 서비스 조직에 특화된 경험을 더 중시합니다.

실무 적용 예시

김앤파트너스 회계법인대한금융서비스 주식회사(매출 850억 원)의 2024년 감사를 수행합니다. 고객사는 급여 처리를 미국 소재 Global Payroll Solutions Inc.에 위탁했습니다.

1단계: 서비스 조직 보고서 입수


Global Payroll Solutions로부터 SOC 1 Type II 보고서를 받았습니다. 보고 기간은 2024년 1월 1일부터 12월 31일까지입니다.
문서화 노트: 서비스 조직 보고서 사본을 감사조서에 첨부. 보고 기간과 감사 기간의 일치성 확인.

2단계: 보고서 기준 평가


SOC 1 보고서는 AT-C 320 기준을 따라 작성되었습니다. ISA 402.9에 따라 이 기준이 감사 목적에 적절한지 평가해야 합니다.
문서화 노트: SOC 1과 ISAE 3402의 주요 차이점을 조서에 기록. 적절성 판단 근거 명시.

3단계: 서비스 감사인 평가


서비스 감사인은 Martinez & Associates CPA입니다. AICPA 회원이며 SOC 보고서 작성 경험이 10년 이상입니다. 독립성 확인서를 검토했습니다.
문서화 노트: 서비스 감사인의 자격과 독립성을 별도 조서에 문서화. AICPA 독립성 기준이 IESBA 기준과 상충하는지 평가.

4단계: 통제 테스트 갭 분석


SOC 1 보고서의 통제 테스트와 감사에서 요구되는 테스트를 비교했습니다. 급여 데이터의 완전성 테스트가 부족했습니다.
문서화 노트: 갭 분석 결과를 매트릭스로 정리. 추가 테스트가 필요한 영역을 식별.

5단계: 추가 테스트 수행


서비스 조직 통제의 갭을 보완하기 위해 사용자 통제를 테스트했습니다. 월별 급여 총액 대사, 개별 직원 급여 승인 절차를 확인했습니다.
문서화 노트: 사용자 통제 테스트 결과를 별도 조서에 정리. 서비스 조직 통제와의 상호보완 관계를 설명.
결론: SOC 1 보고서와 추가 사용자 통제 테스트로 급여 프로세스에 대한 충분한 감사 증거를 확보했습니다. 서비스 감사인의 역량과 독립성을 평가하여 보고서의 신뢰성을 확인했습니다.

실무 체크리스트

  • 서비스 조직 보고서의 기준 확인: ISAE 3402인지 SOC 1인지 표지에서 확인하고, 적용된 기준서 번호를 조서에 기록
  • 서비스 감사인의 자격 평가: 공인회계사 자격, 서비스 조직 감사 경험, 해당 업종 전문성을 독립적으로 확인
  • 독립성 기준 검토: AICPA 기준(SOC 1)인지 IESBA 기준(ISAE 3402)인지 확인하고, 유럽 감사에서 수용 가능한 수준인지 평가
  • 통제 목적과 테스트 갭 분석: 보고서의 통제 테스트가 ISA 402.17에서 요구하는 수준을 충족하는지 매트릭스로 비교 분석
  • 보고 기간 적절성 확인: 서비스 조직 보고서의 대상 기간이 감사 대상 기간과 일치하는지, 갭 기간에 대한 추가 절차 필요성 판단
  • 가장 중요한 사항: SOC 1 보고서는 미국 기준이므로 유럽 상장회사 감사에서 단독으로 의존하지 말 것. 반드시 사용자 통제 테스트로 보완해야 합니다.

흔한 실수

SOC 1과 ISAE 3402를 동등하게 취급: 국제 감사에서 SOC 1 보고서를 ISAE 3402와 같은 수준으로 신뢰하는 경우. 추가 평가와 보완 테스트가 필요합니다.
서비스 감사인 독립성 미확인: SOC 1 보고서의 AICPA 독립성 기준이 국제 기준과 다를 수 있음을 간과하는 경우. 별도 독립성 평가가 필요합니다.

관련 자료

실무 감사 인사이트를 매주 받아보세요.

시험 이론이 아닙니다. 감사를 빠르게 만드는 실질적인 내용입니다.

290개 이상의 가이드 게시20개 무료 도구현직 감사인이 구축

스팸 없음. 저희는 감사인이지 마케터가 아닙니다.