SOC 1 vs SOC 2 vs SOC 3

SOC 1, SOC 2, SOC 3의 범위 비교

SOC 1(Service Organization Control 1): 서비스 제공자의 통제가 고객사의 재무보고에 어떻게 영향을 미치는지에만 초점을 맞춥니다. 결제 처리 회사가 거래를 정확히 기록했는가, ERP 아웃소싱 제공자가 데이터 입력 오류를 적절히 방지했는가. 이것이 SOC 1의 영역입니다.
SOC 2(Service Organization Control 2): 훨씬 광범위하게 보안, 가용성, 처리 무결성, 기밀성, 개인정보보호(Trust Services Criteria)를 평가합니다. 서비스 제공자의 물리적 접근 통제, 암호화 정책, 인력 관리, 사고 대응 절차까지 포함합니다. 이러한 통제가 재무보고에 직접 영향을 미치지 않더라도 평가 대상입니다.
SOC 3(Service Organization Control 3): SOC 2와 동일한 기준을 사용하지만, 상세한 기술 내용을 제거하고 경영진 수준의 보증만 남겨 공개적으로 발행할 수 있도록 단순화한 형식입니다. 마케팅 목적으로 고객에게 배포됩니다.
이 세 보고서 모두 AICPA(American Institute of Certified Public Accountants)에 의해 규정되며, 미국 외부에서는 법적 강제성이 없습니다. 유럽 감사인은 ISAE 3402(Service Auditor Engagements)를 국제 표준으로 참조합니다.

고객사 감사에서 각 보고서의 실무 역할

SOC 1이 필요한 경우

SOC 2가 충분하지 않은 이유

SOC 3의 한계

실무 사례: 벨기에 제조사의 ERP 아웃소싱

예시 기업: Fabrica Belgica NV, 종업원 180명, 매출 €28M, 벨기에 GAAP 및 IFRS 병행 보고.
배경: Fabrica는 SAP 시스템을 위탁 운영 제공자 ERP Partners Europe에게 아웃소싱했습니다. 감사인은 통제 증거를 입수해야 했습니다.
Step 1: 필요한 보고서 특정
감사인은 Fabrica의 감사 리스크를 평가하고, SAP 시스템 통제가 매출, 매입, 재고 거래에 미치는 영향을 식별했습니다. 특히 일일 배치 처리, 승인 워크플로우, 마감 프로세스가 재무 관련성을 가졌습니다.
감사 조서: "ERP Partners Europe에 SOC 1 Type II 보고서 요청. 기간: 2024년 1월 1일~12월 31일. 요청 이유: 매출/매입/재고 거래의 정확성 및 완전성 통제 평가."
Step 2: 보고서 입수 및 검토
ERP Partners는 AICPA 공인 감사인이 수행한 SOC 1 Type II 보고서를 제출했습니다. 이 보고서는 2024년 전체 기간 동안:
을 다루었습니다.
감사 조서: "SOC 1 보고서 검토. 통제 정보: (1) 데이터 입력 오류는 자동 검증으로 거부됨. (2) €5,000 이상 거래는 시스템상 승인 필요. (3) 월별 정산은 자동 생성되고 관리자 검토 의무. 감사인 의견: 설계 적절함, 운영 효과적."
Step 3: 감사 절차 계획
감사인은 SOC 1 보고서가 통제의 설계와 운영을 입증했으므로, Fabrica의 거래 샘플 테스트 크기를 축소할 수 있었습니다. SOC 1 없었다면 통제 테스트를 직접 수행해야 했을 것입니다.
감사 조서: "통제 테스트 계획. SOC 1 보고서 기반 감소된 표본 규모. 원래 계획: 360거래 표본. 수정 계획: 120거래 표본. 근거: SOC 1 Type II 보고서의 통제 유효성 입증."
Step 4: 독립 검증
감사인은 SOC 1 보고서의 내용을 완전히 신뢰하지 않고, 정보 시스템 감사인(또는 자동화된 테스트)을 통해 주요 통제 3-4개를 재테스트했습니다. 예를 들어 €5,000 승인 임계치가 실제로 시스템에 설정되어 있는가, 우회가 가능한가를 확인했습니다.
감사 조서: "SOC 1 평가 거래 재테스트. (1) 승인 임계치 설정 확인: 시스템 매개변수 리뷰, 설정 값 €5,000 확인, 변경 이력 없음(2024년). (2) 자동 검증 규칙 테스트: 입력 오류 데이터로 배치 실행 시도, 거부 확인. 결론: SOC 1 통제 설명과 일치."
결론
Fabrica의 감사인은 ERP Partners의 SOC 1 Type II 보고서를 통해 통제 환경을 확인했고, 감사 효율을 높일 수 있었습니다. 만약 SOC 2 보고서만 있었다면, ERP Partners의 보안 및 백업 체계는 입증되었지만 거래 정확성의 통제는 평가되지 않았을 것입니다. 감사 절차는 축소되지 않았을 것입니다.

• 일일 배치 처리 전 데이터 검증 통제의 설계
• 거래 승인 워크플로우의 운영
• 월말 마감 재조정 절차의 설계 및 운영

감사인이 자주 하는 실수

실수 1: SOC 2를 SOC 1의 대체물로 인정하기
SOC 2는 운영 건전성만 다룹니다. SOC 2 보고서에서 "시스템이 24/7 모니터되고 사고 대응 절차가 있다"고 평가되었다고 해서, 고객사의 거래가 정확히 기록되었다는 의미는 아닙니다. 재무보고 감사 목적상 SOC 2는 불충분합니다. 이것이 가장 흔한 실수입니다. 일부 감사팀은 SOC 2를 받으면 충분하다고 판단하고, 실제로는 SOC 1이 필요한 통제를 평가하지 않습니다.
실수 2: SOC 3을 감사 증거로 사용하기
SOC 3은 공개 마케팅 자료입니다. 공인 감사인의 서명이 있어도 상세 검증이 없습니다. 일부 감사팀이 고객사로부터 SOC 3만 받으면 "충분하다"고 결론 짓는 경우가 있는데, 이는 부적절합니다. SOC 3은 통제 증거가 아닙니다.
실수 3: SOC 1 Type I과 Type II를 구분하지 않기
SOC 1 Type I은 통제가 설계되었는가만 평가합니다. 운영 여부는 평가하지 않습니다. Type II는 설계되고 실제로 운영되었는가를 평가합니다. 감사인은 반드시 Type II 보고서를 요청해야 합니다. Type I만으로는 통제 효과를 입증할 수 없습니다.
실수 4: 보고서 기간 불일치 간과하기
서비스 제공자의 SOC 1 보고서 기간이 2023년 1월~6월이라면, 감사인은 2024년 재무제표 감사에서 이를 직접 사용할 수 없습니다. 통제가 2023년 상반기에는 효과적이었지만, 2024년에는 변경되었을 수 있습니다. 감사인은 최신 기간을 다루는 보고서를 요청하거나, 2024년 통제 변경 사항을 개별 확인해야 합니다.

국제 및 국내 표준

미국 외부에서 감사인은 ISAE 3402(Service Auditor Engagements)를 국제 표준으로 참조합니다. ISAE 3402는 SOC 1과 유사하게 서비스 제공자의 통제가 고객사에 미치는 영향을 평가하며, 많은 국가에서 법적으로 채택하고 있습니다.
한국에서는 감사기준(KSA)이 서비스 제공자 평가를 규정하며, 국제 기준인 ISAE 3402를 참조합니다. 유럽 국가들도 마찬가지로 ISA/ISAE를 기본으로 채택하고 있습니다.
따라서 비미국 감사인이 서비스 제공자 보고서를 평가할 때는:
두 기준 모두 유사한 구조(설계 및 운영 유효성)를 사용하지만, 발행 기관과 법적 효력이 다릅니다.

• SOC 1 (AICPA): 미국 기반 서비스 제공자인 경우만 유효
• ISAE 3402: 국제 표준, 유럽 및 기타 국가의 서비스 제공자 평가에 적용

관련 용어

---

• ISAE 3402: 서비스 감사인이 준수해야 하는 국제 기준. SOC 1과 유사한 목적이지만 국제적 채택.
• 내부 통제: 고객사가 서비스 제공자의 통제 효과에 의존할 때, 그 통제는 고객사의 내부 통제의 일부로 간주됨.
• 감사 증거: SOC 1 Type II는 통제 유효성의 감사 증거가 되지만, SOC 2와 SOC 3은 재무 감사 목적상 증거의 기준을 충족하지 못함.
• 서비스 조직 통제: AICPA가 정의한 광범위한 통제 체계로, SOC 1, SOC 2, SOC 3의 기반.