SOC 1 vs ISAE 3402: 유럽 감사인을 위한 차이점 가이드

기준서 체계와 법적 근거

ISAE 3402: 국제 보증 기준

ISAE 3402는 IAASB가 발행한 국제보증업무기준이다. 이 기준은 서비스 조직의 내부통제 시스템에 대한 보증업무를 규정한다.

ISA 402.9는 서비스 조직을 이용하는 기업의 감사에서 서비스 감사인 보고서를 어떻게 사용해야 하는지 규정한다. 보고서가 적절한 기준에 따라 작성되었는지, 서비스 감사인이 적격한지 평가해야 한다.

유럽에서 ISAE 3402는 EU 감사규정과 회원국 법률의 뒷받침을 받는다. 상장회사 법정감사에서 ISAE 3402 보고서는 직접적으로 수용 가능한 증거이다.

SOC 1: 미국 증명 기준

SOC 1은 AICPA의 AT-C 320 "서비스 조직에서 수행되는 내부통제 보고"를 따른다. 이 기준은 미국 회계기준과 증명업무 체계 내에서 작동한다.

AT-C 320은 SSAE 18의 일부로 미국 내 서비스 조직 통제 평가에 특화되어 있다. 국제적 적용을 염두에 두지 않았다.

법적 수용 가능성 차이

유럽 상장회사 감사에서 두 보고서의 법적 지위는 다르다. ISAE 3402 보고서는 직접 수용된다. SOC 1 보고서는 추가 평가가 필요하다.

보고서 구조와 내용 차이

통제 목적의 서술 방식

ISAE 3402는 경영진이 서술한 통제 목적을 그대로 사용한다. 서비스 감사인은 이 목적이 적절한지만 평가한다. 표준화된 통제 목적 체계는 없다.

SOC 1은 COSO 체계나 기타 인정된 통제 구조를 명시적으로 참조하는 경우가 많다. 통제 목적이 더 구체적이고 측정 가능하게 서술된다.

테스트 절차의 투명성

ISAE 3402.47은 서비스 감사인이 수행한 테스트의 성격과 시기, 범위를 상세히 기술하도록 요구한다. 각 통제에 대해 구체적인 테스트 절차가 명시되어야 한다.

SOC 1 보고서는 테스트 절차를 더 일반적으로 서술하는 경우가 많다. "문서 검토 및 질문"처럼 넓은 표현을 사용한다.

예외사항 보고

두 기준 모두 발견된 예외사항을 보고해야 한다. 하지만 심각도 분류와 영향 평가 방식이 다르다.

ISAE 3402는 예외사항이 통제 목적 달성에 미치는 영향을 명시적으로 평가한다. 보상 통제의 존재와 효과성도 고려한다.

서비스 감사인 자격 요건

독립성 기준

ISAE 3402는 IESBA 윤리강령의 독립성 요건을 따른다. 서비스 조직과 서비스 감사인 간의 재정적, 사업적 관계가 엄격하게 제한된다.

SOC 1은 AICPA 독립성 기준을 적용한다. 미국 기준은 일부 영역에서 국제 기준보다 허용적이다. 솔직히 이 차이를 간과하고 SOC 1 보고서를 그대로 수용하는 팀이 적지 않다.

전문역량 요구사항

ISAE 3402.24는 업무팀이 서비스 조직의 업무와 해당 내부통제를 이해하기에 충분한 역량을 보유해야 한다고 규정한다. 복잡한 IT 환경의 경우 전문가 참여가 필요하다.

SOC 1도 유사한 요구사항이 있지만 미국 시장의 서비스 조직에 특화된 경험을 더 중시한다.

실무 적용 예시

김앤파트너스 회계법인이 대한금융서비스 주식회사(매출 850억 원)의 2024년 감사를 수행한다. 고객사는 급여 처리를 미국 소재 Global Payroll Solutions Inc.에 위탁했다.

1단계: 서비스 조직 보고서 입수

Global Payroll Solutions로부터 SOC 1 Type II 보고서를 받았다. 보고 기간은 2024년 1월 1일부터 12월 31일까지이다.

문서화 노트: 서비스 조직 보고서 사본을 조서에 첨부. 보고 기간과 감사 기간의 일치성 확인.

2단계: 보고서 기준 평가

SOC 1 보고서는 AT-C 320 기준을 따라 작성되었다. ISA 402.9에 따라 이 기준이 감사 목적에 적절한지 평가해야 한다.

문서화 노트: SOC 1과 ISAE 3402의 주요 차이점을 조서에 기록. 적절성 판단 근거 명시.

3단계: 서비스 감사인 평가

서비스 감사인은 Martinez & Associates CPA이다. AICPA 회원이며 SOC 보고서 작성 경험이 10년 이상이다. 독립성 확인서를 검토했다.

문서화 노트: 서비스 감사인의 자격과 독립성을 별도 조서에 문서화. AICPA 독립성 기준이 IESBA 기준과 상충하는지 평가.

4단계: 통제 테스트 갭 분석

SOC 1 보고서의 통제 테스트와 감사에서 요구되는 테스트를 비교했다. 급여 데이터의 완전성 테스트가 부족했다.

문서화 노트: 갭 분석 결과를 매트릭스로 정리. 추가 테스트가 필요한 영역을 식별.

5단계: 추가 테스트 수행

서비스 조직 통제의 갭을 보완하기 위해 사용자 통제를 테스트했다. 월별 급여 총액 대사와 개별 직원 급여 승인 절차를 확인했다.

문서화 노트: 사용자 통제 테스트 결과를 별도 조서에 정리. 서비스 조직 통제와의 상호보완 관계를 설명.

SOC 1 보고서와 추가 사용자 통제 테스트를 통해 급여 프로세스에 대한 충분한 감사 증거를 확보했다.

실무 체크리스트

1. 서비스 조직 보고서의 기준 확인. ISAE 3402인지 SOC 1인지 표지에서 확인하고 적용된 기준서 번호를 조서에 기록한다.

2. 서비스 감사인의 자격 평가. 공인회계사 자격과 서비스 조직 감사 경험, 해당 업종 전문성을 독립적으로 확인한다.

3. 독립성 기준 검토. AICPA 기준(SOC 1)인지 IESBA 기준(ISAE 3402)인지 확인하고 유럽 감사에서 수용 가능한 수준인지 평가한다.

4. 통제 목적과 테스트 갭 분석. 보고서의 통제 테스트가 ISA 402.17에서 요구하는 수준을 충족하는지 매트릭스로 비교 분석한다.

5. 보고 기간 적절성 확인. 서비스 조직 보고서의 대상 기간이 감사 대상 기간과 일치하는지, 갭 기간에 대한 추가 절차 필요성을 판단한다.

6. SOC 1 보고서는 미국 기준이므로 유럽 상장회사 감사에서 단독으로 의존해서는 안 된다. 반드시 사용자 통제 테스트로 보완해야 한다.

흔한 실수

- SOC 1과 ISAE 3402를 동등하게 취급하는 경우. 국제 감사에서 SOC 1 보고서를 ISAE 3402와 같은 수준으로 신뢰하면 안 된다. 추가 평가와 보완 테스트가 필요하다.

- 서비스 감사인 독립성 미확인. SOC 1 보고서의 AICPA 독립성 기준이 국제 기준과 다를 수 있음을 간과하는 경우이다. 별도 독립성 평가가 필요하다.

- 보고 기간 갭 무시. 서비스 조직 보고서의 대상 기간이 감사 대상 기간보다 짧은 경우 갭 기간에 대해 추가 절차를 수행하지 않는 실수이다.

- 품관실 리뷰에서 SOC 1 수용 근거 누락. 보고서 유형 차이를 인지하고도 조서에 수용 근거를 남기지 않아 감리 시 지적받는 사례가 있다.