SOC 1 보고서

Definition

필드에 나가서 SOC 1 보고서를 받아보면 절반은 Type I이다. 인차지가 그걸 그대로 조서에 첨부하고 "통제 의존" 박스를 체크하는데, 막상 감리 나오면 큰일이다. Type I은 설계 시점 스냅샷일 뿐이고, 실제 운영 증거는 한 줄도 없다.

핵심 요약

- SOC 1 보고서는 데이터 센터, 급여 처리, 자산 관리 시스템, 회계 처리 아웃소싱 같은 주요 서비스 기능을 감시한다. - Type I은 특정 시점의 통제 설계만 평가하고, Type II는 일정 기간(보통 6개월 이상) 동안의 실제 운영 효율성을 테스트한다. - 감사인이 사용자 기관의 통제 위험을 감소시키기 위해 SOC 1을 참조할 때 재평가 기간이 표준보다 길어질 수 있다.

---

작동 방식

감사인은 ISAE 3402.8에 따라 사용자 기관의 재무제표에 영향을 미치는 외부 서비스 제공자의 통제를 평가해야 한다. SOC 1 보고서는 이 평가를 뒷받침하는 증거다.

서비스 제공자가 SOC 1을 발행한 경우 감사인이 확인하는 건 두 가지다. 첫째, 보고서가 감사 대상 기간과 관련이 있는가. SOC 1은 발행 시점부터 향후 12개월 동안만 유효하다. 감시 대상 기간이 보고서 발행 시점보다 이전이거나 훨씬 이후라면 감사인은 서비스 제공자에게 업데이트된 보고서를 요청하거나 추가 테스트를 수행해야 한다. 둘째, 보고서의 범위다. 보고서가 다루는 시스템, 거래 유형, 통제 목표가 실제 감사 위험과 일치하는가. 급여 처리만 다루는 SOC 1은 고정자산 처리에 대해 어떤 증거도 제공하지 않는다.

ISAE 3402.A45에 따르면 Type II 보고서는 Type I보다 더 강력한 증거를 제공한다. Type II는 실제 운영을 테스트하기 때문이다. 반면 Type I은 설계 시점의 스냅샷일 뿐이다. 제 경험상 많은 인차지가 이 차이를 과소평가해 Type I 보고서를 과신하고 추가 테스트를 건너뛴다.

감사인이 SOC 1을 참조하기로 결정할 때 ISAE 3402.A44는 평가의 기초를 남겨 놓아야 한다고 명시한다. 어느 통제를 어느 이유로 받아들였는가. 특히 Type I 보고서의 경우 감사인은 자신의 이해와 테스트에 의존하는 비율을 문서화해야 한다. "Type I 보고서로 인정, 추가 이해 절차 및 통제 테스트 시행" 같은 기록이 필요하다.

---

실제 사례: Nordisk Systemkonsulter ApS

클라이언트: 덴마크 제조 회사, Fabricas Danske A/S, 2024년 재무제표 감사, IFRS 보고자, 연간 매출 €32M

상황: Fabricas Danske는 급여 처리, 직원 비용 정산, 퇴직금 계산을 Nordisk Systemkonsulter에 아웃소싱했다. Nordisk는 2024년 1월에 Type II SOC 1 보고서를 발행했으며 평가 기간은 2023년 6월부터 2023년 12월이다.

1단계: 보고서 유효성 확인 감사인은 Nordisk의 Type II 보고서를 검토한다. 평가 기간은 6개월. 발행 일자는 2024년 1월이며 Fabricas의 감사 시점인 2024년 3월에는 보고서가 약 2개월 된 상태다. ISAE 3402에 따르면 Type II는 최대 12개월 유효하며 이 사례에서는 신뢰할 수 있다. 작업 조서: "Nordisk Systemkonsulter Type II SOC 1 보고서, 범위 기간 2023/6~12, 발행일 2024/1/15. 감사 시점 기준 유효성 확인 완료."

2단계: 범위 확인 감사인은 보고서의 통제 목표를 Fabricas의 급여 및 비용 처리 위험과 대조한다. Nordisk 보고서는 다음을 다룬다: (a) 급여 데이터 입력의 정확성, (b) 계산 로직의 정확성, (c) 지급 수행. Fabricas에서 중요한 위험은 이 세 영역이다. 보고서가 모두 다룬다. 따라서 보고서는 관련성이 있다. 작업 조서: "Nordisk 보고서 범위 대조: (a) 급여 입력 정확성 ○ (b) 계산 정확성 ○ (c) 지급 수행 ○. 범위 적절."

3단계: Type II 기반 재평가 기간 결정 Nordisk 보고서는 Type II다. ISAE 3402.A45에 따르면 실제 운영 테스트를 포함한다. 감사인은 Nordisk의 테스트 결과를 검토한다. 테스트 결과는 어떤 예외도 발견하지 않았다. 감사인은 Nordisk의 결론에 기반해 Fabricas 자체의 통제 재평가 빈도를 조정할 수 있다. Nordisk의 유효성이 확인되었으므로 Fabricas는 선행 기간의 추가 감시를 줄일 수 있다. 감사인은 Nordisk 테스트 완료 후(2023년 12월) 감사 완료 전(2024년 3월)까지 추가 통제 테스트를 수행하는 것으로 충분하다. 작업 조서: "Nordisk Type II 기반, 재평가 범위: 2023/12~2024/3 기간 급여 거래 샘플 검증(n=45). 예외 없음. Nordisk 설계 통제 충분."

4단계: 감사인의 독립적 증거 감사인은 Nordisk 보고서에만 의존하지 않는다. ISAE 3402.A44에 따르면 감사인은 평가의 기초를 남겨야 한다. Nordisk 테스트 범위(100개 거래 샘플)가 Fabricas의 거래량(월 500건 평균)에 비해 제한적이라면 감사인은 추가 테스트를 수행해야 한다. 이 경우 Nordisk 보고서가 범위 내에 있으므로 감사인은 Nordisk 테스트 이후 수행된 거래 50건을 추가로 샘플링하는 것으로 충분하다. 작업 조서: "Nordisk 유효성 평가: (a) Type II, 설계 및 운영 테스트 포함 (b) 범위: 100/500 월간 거래(20%) (c) 예외 없음. 추가 테스트: 선행 기간(2023/12~2024/3) 거래 50건 선택적 샘플링."

결론: Nordisk의 Type II 보고서는 급여 처리 통제의 유효성에 대해 충분한 증거를 제공한다. 감사인은 이를 기반으로 직접 테스트를 제한할 수 있지만, 보고서 이후 기간에 대해서는 추가 테스트가 필요하다. 이 접근법은 ISAE 3402.A44의 문서화 요구와 감사 증거의 충분성 원칙을 모두 충족한다.

---

감리자가 지적하는 일반적 오류

1단계: Type I과 Type II의 혼동 많은 인차지가 Type I SOC 1을 Type II와 동일하게 취급한다. Type I은 특정 시점의 설계만 평가하며 실제 운영 테스트를 포함하지 않는다. ISAE 3402.A45는 Type II가 "관련된 통제의 운영 효율성"을 포함한다고 명시한다. Type I에만 의존하는 건 설계만 평가했으되 통제가 실제로 작동했는지는 미확인이라는 뜻이다. 솔직히 이걸 과신하고 추가 증거를 수집하지 않는 팀이 너무 많다.

2단계: 보고서 유효성 미확인 SOC 1은 발행 12개월 이후 유효하지 않다. 감사인이 2023년 1월 발행된 SOC 1을 2024년 6월 감시에 사용하면 보고서는 유효하지 않다. 금감원 감리에서는 이를 "충분한 감사 증거 부족"으로 지적한다. 보고서 발행 일자와 감사 기간의 관계를 명시적으로 기록해야 한다.

3단계: 범위 불일치 서비스 제공자가 발행한 SOC 1의 범위가 감사 위험과 맞지 않는 경우가 있다. 예를 들어 SOC 1이 재고 처리만 다루지만 감사인이 고정자산 통제에도 의존하려는 경우다. 이 경우 SOC 1은 고정자산에 대한 증거를 제공하지 않으며 감사인은 추가 테스트를 수행해야 한다. 막상 해보니까 이 불일치를 조서에 남기지 않는 팀이 대부분이다.

4단계: 보고서 이후 기간 미포함 Type II SOC 1의 평가 기간이 2023년 6월~12월이고 감시 대상 기간이 2023년 1월~2024년 3월이라면, 감사인은 2023년 6월 이전과 2023년 12월 이후 기간에 대해 추가 증거를 제공해야 한다. 많은 감사인이 Type II 보고서만으로 충분하다고 잘못 생각한다. ISAE 3402.A44는 "감사인은 평가의 기초를 문서화해야 한다"고 명시한다. SOC 1이 다루지 않는 기간에 대한 추가 테스트가 있어야 한다는 뜻이다.

---

SOC 1 보고서

핵심 요약

작동 방식

실제 사례: Nordisk Systemkonsulter ApS

감리자가 지적하는 일반적 오류

관련 용어

관련 ciferi 자료