SOC 1 보고서

핵심 요약

---

SOC 1 보고서는 데이터 센터, 급여 처리, 자산 관리 시스템, 회계 처리 아웃소싱 같은 주요 서비스 기능을 감시합니다.
Type I은 특정 시점의 통제 설계만 평가하고, Type II는 일정 기간(보통 6개월 이상) 동안의 실제 운영 효율성을 테스트합니다.
감사인이 사용자 기관의 통제 위험을 감소시키기 위해 SOC 1을 참조할 때 재평가 기간이 표준보다 길어질 수 있습니다.

작동 방식

감사인은 ISAE 3402.8에 따라 사용자 기관의 재무제표에 영향을 미치는 외부 서비스 제공자의 통제를 평가해야 합니다. SOC 1 보고서는 이 평가를 뒷받침하는 증거입니다.
서비스 제공자가 SOC 1을 발행한 경우, 감사인은 다음을 확인합니다. 첫째, 보고서가 감사 대상 기간과 관련이 있는가. SOC 1은 발행 시점부터 향후 12개월 동안만 유효합니다. 감시 대상 기간이 보고서 발행 시점보다 이전이거나 훨씬 이후라면, 감사인은 서비스 제공자로부터 업데이트된 보고서를 요청하거나 추가 테스트를 수행해야 합니다. 둘째, 보고서의 범위입니다. 보고서가 다루는 시스템, 거래 유형, 통제 목표가 실제 감사 위험과 일치하는가. 급여 처리만 다루는 SOC 1은 고정자산 처리에 대해 어떤 증거도 제공하지 않습니다.
ISAE 3402.A45에 따르면, Type II 보고서는 Type I보다 더 강력한 증거를 제공합니다. Type II는 실제 운영을 테스트하기 때문입니다. 반면 Type I은 설계 시점의 스냅샷일 뿐입니다. 많은 감사인이 이 차이를 과소평가하여 Type I 보고서를 과신하고 추가 테스트를 건너뜁니다.
감사인이 SOC 1을 참조하기로 결정할 때 ISAE 3402.A44는 평가의 기초를 남겨 놓아야 합니다. 어느 통제를 어느 이유로 받아들였는가. 특히 Type I 보고서의 경우, 감사인은 자신의 이해와 테스트에 의존하는 비율을 문서화해야 합니다. "Type I 보고서로 인정, 추가 이해 절차 및 통제 테스트 시행" 같은 기록이 필요합니다.
---

실제 사례: Nordisk Systemkonsulter ApS

클라이언트: 덴마크 제조 회사, Fabricas Danske A/S, 2024년 재무제표 감사, IFRS 보고자, 연간 매출 €32M
상황: Fabricas Danske는 급여 처리, 직원 비용 정산, 퇴직금 계산을 Nordisk Systemkonsulter에 아웃소싱했습니다. Nordisk는 2024년 1월에 Type II SOC 1 보고서를 발행했으며, 평가 기간은 2023년 6월부터 2023년 12월입니다.
1단계: 보고서 유효성 확인
감사인은 Nordisk의 Type II 보고서를 검토합니다. 평가 기간은 6개월입니다. 발행 일자는 2024년 1월이며, Fabricas의 감사 시점인 2024년 3월에는 보고서가 약 2개월 된 상태입니다. ISAE 3402에 따르면, Type II는 최대 12개월 유효하며, 이 사례에서는 신뢰할 수 있습니다.
작업 조서: "Nordisk Systemkonsulter Type II SOC 1 보고서, 범위 기간 2023/6~12, 발행일 2024/1/15. 감사 시점 기준 유효성 확인 완료."
2단계: 범위 확인
감사인은 보고서의 통제 목표를 Fabricas의 급여 및 비용 처리 위험과 대조합니다. Nordisk 보고서는 다음을 다룹니다: (a) 급여 데이터 입력의 정확성, (b) 계산 로직의 정확성, (c) 지급 수행. Fabricas에서 중요한 위험은 이 세 영역입니다. 보고서가 모두 다룹니다. 따라서 보고서는 관련성 있습니다.
작업 조서: "Nordisk 보고서 범위 대조: (a) 급여 입력 정확성 ○ (b) 계산 정확성 ○ (c) 지급 수행 ○. 범위 적절."
3단계: Type II 기반 재평가 기간 결정
Nordisk 보고서는 Type II입니다. ISAE 3402.A45에 따르면 실제 운영 테스트를 포함합니다. 감사인은 Nordisk의 테스트 결과를 검토합니다. 테스트 결과는 어떤 예외도 발견하지 않았습니다. 감사인은 Nordisk의 결론에 기반하여, Fabricas 자체의 통제 재평가 빈도를 조정할 수 있습니다. Nordisk의 유효성이 확인되었으므로, Fabricas는 선행 기간의 추가 감시를 줄일 수 있습니다. 감사인은 Nordisk 테스트 완료 후(2023년 12월) 감사 완료 전(2024년 3월)까지 추가 통제 테스트를 수행하는 것으로 충분합니다.
작업 조서: "Nordisk Type II 기반, 재평가 범위: 2023/12~2024/3 기간 급여 거래 샘플 검증(n=45). 예외 없음. Nordisk 설계 통제 충분."
4단계: 감사인의 독립적 증거
감사인은 Nordisk 보고서에만 의존하지 않습니다. ISAE 3402.A44에 따르면, 감사인은 평가의 기초를 남겨야 합니다. Nordisk 테스트 범위(100개 거래 샘플)가 Fabricas의 거래량(월 500건 평균)에 비해 제한적이라면, 감사인은 추가 테스트를 수행해야 합니다. 이 경우 Nordisk 보고서가 범위 내에 있으므로, 감사인은 Nordisk 테스트 이후 수행된 거래 50건을 추가로 샘플링하는 것으로 충분합니다.
작업 조서: "Nordisk 유효성 평가: (a) Type II, 설계 및 운영 테스트 포함 (b) 범위: 100/500 월간 거래(20%) (c) 예외 없음. 추가 테스트: 선행 기간(2023/12~2024/3) 거래 50건 선택적 샘플링."
결론: Nordisk의 Type II 보고서는 급여 처리 통제의 유효성에 대해 충분한 증거를 제공합니다. 감사인은 이를 기반으로 직접 테스트를 제한할 수 있지만, 보고서 이후 기간에 대해서는 추가 테스트가 필요합니다. 이 접근법은 ISAE 3402.A44의 문서화 요구와 감사 증거의 충분성 원칙을 모두 충족합니다.
---

감리자가 지적하는 일반적 오류

1단계: Type I과 Type II의 혼동
많은 감사인이 Type I SOC 1을 Type II와 동일하게 취급합니다. Type I은 특정 시점의 설계만 평가하며, 실제 운영 테스트를 포함하지 않습니다. ISAE 3402.A45는 Type II가 "관련된 통제의 운영 효율성"을 포함한다고 명시합니다. Type I에만 의존하는 것은 설계만 평가했으되, 통제가 실제로 작동했는지는 미확인이라는 뜻입니다. 많은 감사인이 이를 과신하고 추가 증거를 수집하지 않습니다.
2단계: 보고서 유효성 미확인
SOC 1은 발행 12개월 이후 유효하지 않습니다. 감사인이 2023년 1월 발행된 SOC 1을 2024년 6월 감시에 사용하면, 보고서는 유효하지 않습니다. 감리에서는 이를 "충분한 감사 증거 부족"으로 지적합니다. 보고서 발행 일자와 감사 기간의 관계를 명시적으로 기록해야 합니다.
3단계: 범위 불일치
서비스 제공자가 발행한 SOC 1의 범위가 감사 위험과 맞지 않는 경우가 있습니다. 예를 들어, SOC 1이 재고 처리만 다루지만, 감사인이 고정자산 통제에도 의존하려는 경우입니다. 이 경우 SOC 1은 고정자산에 대한 증거를 제공하지 않으며, 감사인은 추가 테스트를 수행해야 합니다. 많은 감사인이 이 불일치를 문서화하지 않습니다.
4단계: 보고서 이후 기간 미포함
Type II SOC 1의 평가 기간이 2023년 6월~12월이고, 감시 대상 기간이 2023년 1월~2024년 3월이라면, 감사인은 2023년 6월 이전과 2023년 12월 이후의 기간에 대해 추가 증거를 제공해야 합니다. 많은 감사인이 Type II 보고서만으로 충분하다고 잘못 생각합니다. ISAE 3402.A44는 "감사인은 평가의 기초를 문서화해야 한다"고 명시합니다. 이는 SOC 1이 다루지 않는 기간에 대한 추가 테스트를 의미합니다.
---

SOC 1 보고서

핵심 요약

작동 방식

실제 사례: Nordisk Systemkonsulter ApS

감리자가 지적하는 일반적 오류

관련 용어

관련 ciferi 자료