기준 간 핵심 구분

ISAE 3402와 SOC 1은 모두 서비스 조직의 통제를 평가하는 서비스 감사입니다. 그러나 관할권, 의도된 사용자, 그리고 통제 범위가 다릅니다.
ISAE 3402는 국제감사기준위원회(IAASB)에서 발행하며, 유럽, 아시아, 오세아니아, 그리고 점점 더 많은 국가에서 채택되었습니다. 서비스 조직의 재무 보고에 영향을 미치는 통제에 대해 보고합니다. 보고서는 국제 기준이므로 국경을 넘어 인정됩니다.
SOC 1은 미국의 공인회계사협회(AICPA)에서 발행하며, 미국 법인의 내부 통제에 관한 보고를 목적으로 합니다. 보고서는 미국 연방 증권 규제, 특히 SOX 404 평가와 관련된 맥락에서 사용됩니다.
실제로는 어느 기준을 따를지가 고객 계약에 명시됩니다. 미국 모기업을 가진 서비스 조직은 일반적으로 SOC 1을 요구합니다. 유럽이나 아시아 모기업은 ISAE 3402를 요구합니다. 글로벌 조직은 둘 다 발행해야 할 수 있습니다.

나란히 비교

| 차원 | ISAE 3402 | SOC 1 |
|------|-----------|-------|
| 발행 기관 | IAASB (국제감사기준위원회) | AICPA (미국공인회계사협회) |
| 적용 지역 | 국제(주로 유럽, 아시아) | 미국 중심 |
| 통제 범위 | 재무 보고에 영향을 미치는 통제 | 재무 보고 및 규제 준수 통제 |
| Type I / II | 모두 포함 | 모두 포함 |
| 보고서 수용자 | 서비스 조직의 감시인, 내부감사, 규제기관 | 서비스 조직의 감시인, 내부감사, SOX 404 평가인 |
| 감사인 자격 | ISAE 3402 경험 감사인 | SOC 인증 감사인(AICPA) |
| 보고서 배포 | 제한적 배포 또는 일반 배포 | 제한적(Type I) 또는 일반 배포(Type II) |

구분이 실제로 중요한 시점

글로벌 결제 처리 회사 Euronet Solutions GmbH를 생각해보십시오. 독일 프랑크푸르트에 본사, 직원 280명, 연간 매출 1억 2천만 유로. 유럽 은행들을 위한 결제 게이트웨이를 운영합니다. 또한 미국의 Chase 및 Bank of America 같은 미국 은행들도 고객입니다.
유럽 고객들(즉, 독일, 프랑스, 이탈리아 은행)은 Euronet Solutions가 ISAE 3402 Type II 보고서를 제공하기를 요구합니다. 이 보고서는 IT 통제, 데이터 보안, 처리 정확성, 거래 조정 통제를 다룹니다. ISAE 3402.A29는 서비스 조직의 목적이 명확하게 정의되고 관련 통제가 식별되어야 한다고 요구합니다.
문서화 노트: ISAE 3402 engagement letter에는 범위가 명시되어야 합니다. 어떤 처리 기능이 포함되는지(결제, 정산, 보고)와 어떤 기간이 검토 대상인지(예: 2024년 1월 1일부터 12월 31일까지 12개월).
미국 고객들(Chase, Bank of America)은 별도의 SOC 1 Type II 보고서를 요구합니다. 범위는 비슷합니다. 그러나 SOC 1은 미국 연방 규제 요구사항, 특히 글래임 리치 팔스터법(Gramm-Leach-Bliley Act, GLBA) 준수와 관련된 통제에 중점을 둡니다. 데이터 기밀성과 개인정보보호 통제가 ISAE 3402보다 더 구체적으로 다루어집니다.
문서화 노트: SOC 1 engagement letter는 AICPA의 ServiceAuditor.com에 등록되어야 하며, 보고서는 AICPA 설명서 관리 체계에 따라야 합니다.
결론: Euronet Solutions는 같은 감사인에게 두 보고서를 모두 의뢰할 수 있습니다. 감사 범위와 통제는 대체로 동일합니다. 그러나 보고 기준, 포함된 규제 초점, 배포 관할권이 다르므로 별도의 감사 계약과 최종 보고서가 필요합니다.

감시인과 규제기관이 놓치는 부분

  • ISAE 3402 Type I과 SOC 1 Type I의 혼동: Type I 보고서는 특정 시점(예: 2024년 12월 31일)에서의 통제 설계만 평가합니다. 운영 효과성을 다루지 않습니다. 많은 서비스 조직의 고객은 Type I을 Type II로 착각하거나, Type I 보고서가 통제의 실제 작동을 입증한다고 가정합니다. ISAE 3402.A40은 Type I 보고서의 제한을 명시합니다. SOC 1 기준도 동일한 구분을 합니다.
  • 범위 제한의 전달 실패: ISAE 3402와 SOC 1 모두 "범위 제한"을 나열할 수 있습니다. 예를 들어, 보고서가 IT 보안을 다루지 않거나 특정 기간 동안 특정 처리를 제외할 수 있습니다. 많은 감시인은 이 제한사항을 읽지 않거나 무시합니다. 감사인은 범위 제한을 명확하게 표시하고, 서비스 조직의 경영진이 고객에게 명시적으로 전달하도록 요구해야 합니다. ISAE 3402.23은 범위 제한이 명시되어야 한다고 요구합니다.
  • 감사인 자격의 초과 인정: ISAE 3402 보고서는 ISAE 3402 교육과 경험이 있는 감사인이 수행해야 합니다. SOC 1 보고서는 AICPA의 ServiceAuditor.com 인증을 받은 감사인이 수행해야 합니다. 두 자격이 상호 인정되지 않습니다. 서비스 조직은 감사인이 두 기준 모두에 대해 적절한 자격이 있는지 확인해야 합니다.

관련 용어

  • Service Organization Controls 2 (SOC 2) - 보안, 가용성, 처리 무결성, 기밀성, 개인정보보호를 다루는 미국 보고 기준. SOC 1과 다르며, 재무 보고 통제가 아닌 광범위한 통제를 다룹니다.
  • Type I Report - 특정 시점에서의 통제 설계를 평가하는 보고서. 운영 효과성을 다루지 않습니다.
  • Type II Report - 최소 6개월에 걸친 통제의 운영 효과성을 평가하는 보고서.
  • Control Objective - 서비스 조직의 통제가 달성하려는 구체적인 결과.
  • ISAE 3402 - 서비스 조직의 통제에 대한 국제 감사 기준.
  • AICPA - 미국의 공인회계사협회. SOC 기준을 발행합니다.

관련 도구

ISAE 3402 워크시트를 사용하면 보고서 범위를 정의하고 통제를 매핑하며 Type I 또는 Type II 구조를 선택할 수 있습니다.
---

실무 감사 인사이트를 매주 받아보세요.

시험 이론이 아닙니다. 감사를 빠르게 만드는 실질적인 내용입니다.

290개 이상의 가이드 게시20개 무료 도구현직 감사인이 구축

스팸 없음. 저희는 감사인이지 마케터가 아닙니다.