SOC 1 vs SOC 2 vs SOC 3

SOC 1, SOC 2, SOC 3의 범위 비교

SOC 1(Service Organization Control 1): 서비스 제공자의 통제가 고객사의 재무보고에 어떻게 영향을 미치는지에만 초점을 맞춘다. 결제 처리 회사가 거래를 정확히 기록했는가, ERP 아웃소싱 제공자가 데이터 입력 오류를 적절히 방지했는가. 이것이 SOC 1의 영역이다.

SOC 2(Service Organization Control 2): 훨씬 광범위하게 보안, 가용성, 처리 무결성, 기밀성, 개인정보보호(Trust Services Criteria)를 평가한다. 서비스 제공자의 물리적 접근 통제, 암호화 정책, 인력 관리, 사고 대응 절차까지 포함한다. 이러한 통제가 재무보고에 직접 영향을 미치지 않더라도 평가 대상이다.

SOC 3(Service Organization Control 3): SOC 2와 동일한 기준을 쓰지만 상세한 기술 내용을 제거하고 경영진 수준의 보증만 남겨 공개적으로 발행할 수 있도록 단순화한 형식이다. 마케팅 목적으로 고객에게 배포된다.

이 세 보고서 모두 AICPA(American Institute of Certified Public Accountants)에 의해 규정되며 미국 외부에서는 법적 강제성이 없다. 한국 감사인은 ISAE 3402(Service Auditor Engagements)를 국제 표준으로 참조한다.

고객사 감사에서 각 보고서의 실무 역할

SOC 1이 필요한 경우

고객사 감사인의 관점에서 SOC 1은 재무제표에 대한 감사 증거가 된다. 예를 들어 한국의 중견 기업 Techmark Solutions이 급여 처리를 ADP 같은 아웃소싱 제공자에게 위탁했다면 감사인은 두 가지 선택지를 가진다.

선택지 1: ADP의 SOC 1 Type II 보고서를 입수하고, 해당 보고서에서 급여 거래 기록의 정확성과 완전성을 다루는 통제가 설계되고 운영되었다고 평가했다면, 고객사의 급여 기록 감사 절차를 축소할 수 있다.

선택지 2: SOC 1 없이 직접 테스트한다. 이 경우 감사 시간과 비용이 늘어난다.

감사인 입장에서 SOC 1은 통제 효율 수준의 증거다. 재무적 금액 수준의 증거가 아니다.

SOC 2가 충분하지 않은 이유

많은 기업이 SOC 2 Type II 보고서만 제출하고 SOC 1을 제출하지 않는다. 이것이 감사인이 마주하는 실무상 문제다.

예를 들어 네덜란드의 클라우드 인프라 제공자 Cloudata BV가 고객사에게 SOC 2만 제공했다고 가정하자. SOC 2 보고서는 Cloudata의 데이터 암호화, 접근 통제, 백업 프로세스가 설계대로 운영되었다고 평가한다. 이것은 서비스 제공자의 운영 건전성을 확인할 뿐이다.

그러나 고객사의 감사인이 필요한 건 다르다. 고객사가 Cloudata의 시스템에 저장한 거래 데이터가 정확하게 기록되었는가, 오류가 발견되고 수정되었는가, 미인가 거래가 방지되었는가 하는 것이다. SOC 2는 이를 평가하지 않는다. SOC 1이 필요하다.

감사인의 입장: SOC 2 보고서를 입수했더라도 그것은 통제 환경의 확인일 뿐이다. 재무보고 특화 통제의 설계와 운영은 SOC 1에서만 평가된다. SOC 2 하나로는 불충분하다.

SOC 3의 한계

SOC 3은 SOC 2에서 기술 세부사항을 제거한 버전이다. 예를 들어 SOC 2에는 "방화벽 규칙은 분기별로 검토되었고, 위반 사항 2건이 발견되어 30일 내 수정되었다"고 기술되지만 SOC 3에서는 "네트워크 접근이 적절히 제어되었다"라고만 표현된다.

감사인은 SOC 3을 감사 증거로 쓸 수 없다. 서비스 제공자의 공개 마케팅 자료일 뿐이다. 공인 회계사(CPA)의 서명이 있지만 세부 검증 근거가 없다.

실무 사례: 벨기에 제조사의 ERP 아웃소싱

예시 기업: Fabrica Belgica NV, 종업원 180명, 매출 €28M, 벨기에 GAAP 및 IFRS 병행 보고.

배경: Fabrica는 SAP 시스템을 위탁 운영 제공자 ERP Partners Europe에 아웃소싱했다. 감사인은 통제 증거를 입수해야 했다.

Step 1: 필요한 보고서 특정 감사인은 Fabrica의 감사 리스크를 평가하고 SAP 시스템 통제가 매출, 매입, 재고 거래에 미치는 영향을 식별했다. 특히 일일 배치 처리, 승인 워크플로우, 마감 프로세스가 재무 관련성을 가졌다.

감사 조서: "ERP Partners Europe에 SOC 1 Type II 보고서 요청. 기간: 2024년 1월 1일~12월 31일. 요청 이유: 매출/매입/재고 거래의 정확성 및 완전성 통제 평가."

Step 2: 보고서 입수 및 검토 ERP Partners는 AICPA 공인 감사인이 수행한 SOC 1 Type II 보고서를 제출했다. 이 보고서는 2024년 전체 기간 동안: - 일일 배치 처리 전 데이터 검증 통제의 설계 - 거래 승인 워크플로우의 운영 - 월말 마감 재조정 절차의 설계 및 운영

을 다루었다.

감사 조서: "SOC 1 보고서 검토. 통제 정보: (1) 데이터 입력 오류는 자동 검증으로 거부됨. (2) €5,000 이상 거래는 시스템상 승인 필요. (3) 월별 정산은 자동 생성되고 관리자 검토 의무. 감사인 의견: 설계 적절함, 운영 효과적."

Step 3: 감사 절차 계획 감사인은 SOC 1 보고서가 통제의 설계와 운영을 입증했으므로 Fabrica의 거래 샘플 테스트 크기를 줄일 수 있었다. SOC 1 없었다면 통제 테스트를 직접 수행해야 했을 것이다.

감사 조서: "통제 테스트 계획. SOC 1 보고서 기반 감소된 표본 규모. 원래 계획: 360거래 표본. 수정 계획: 120거래 표본. 근거: SOC 1 Type II 보고서의 통제 유효성 입증."

Step 4: 독립 검증 감사인은 SOC 1 보고서의 내용을 완전히 신뢰하지 않고 정보 시스템 감사인(또는 자동화된 테스트)으로 주요 통제 3-4개를 재테스트했다. 예를 들어 €5,000 승인 임계치가 실제로 시스템에 설정되어 있는가, 우회가 가능한가를 확인했다.

감사 조서: "SOC 1 평가 거래 재테스트. (1) 승인 임계치 설정 확인: 시스템 매개변수 리뷰, 설정 값 €5,000 확인, 변경 이력 없음(2024년). (2) 자동 검증 규칙 테스트: 입력 오류 데이터로 배치 실행 시도, 거부 확인. 결론: SOC 1 통제 설명과 일치."

결론 Fabrica의 감사인은 ERP Partners의 SOC 1 Type II 보고서로 통제 환경을 확인했고 감사 효율을 높일 수 있었다. SOC 2 보고서만 있었다면 ERP Partners의 보안 및 백업 체계는 입증되었지만 거래 정확성의 통제는 평가되지 않았을 것이다. 감사 절차는 줄지 않았을 것이다.

감사인이 자주 하는 실수

실수 1: SOC 2를 SOC 1의 대체물로 인정하기

SOC 2는 운영 건전성만 다룬다. SOC 2 보고서에서 "시스템이 24/7 모니터되고 사고 대응 절차가 있다"고 평가되었다고 해서 고객사의 거래가 정확히 기록되었다는 의미는 아니다. 재무보고 감사 목적상 SOC 2는 불충분하다. 솔직히 이게 가장 흔한 실수다. 빅펌이든 로컬이든 SOC 2를 받으면 충분하다고 판단하고, 실제로는 SOC 1이 필요한 통제를 평가하지 않은 채 조서를 마감한다.

실수 2: SOC 3을 감사 증거로 쓰기

SOC 3은 공개 마케팅 자료다. 공인 감사인의 서명이 있어도 상세 검증이 없다. 일부 감사팀이 고객사로부터 SOC 3만 받으면 "충분하다"고 결론 짓는 경우가 있는데 이는 부적절하다. SOC 3은 통제 증거가 아니다.

실수 3: SOC 1 Type I과 Type II를 구분하지 않기

SOC 1 Type I은 통제가 설계되었는가만 평가한다. 운영 여부는 평가하지 않는다. Type II는 설계되고 실제로 운영되었는가를 평가한다. 감사인은 반드시 Type II 보고서를 요청해야 한다. Type I만으로는 통제 효과를 입증할 수 없다.

실수 4: 보고서 기간 불일치 간과하기

서비스 제공자의 SOC 1 보고서 기간이 2023년 1월~6월이라면 감사인은 2024년 재무제표 감사에서 이를 직접 쓸 수 없다. 통제가 2023년 상반기에는 효과적이었지만 2024년에는 변경되었을 수 있다. 감사인은 최신 기간을 다루는 보고서를 요청하거나 2024년 통제 변경 사항을 개별 확인해야 한다.

국제 및 국내 표준

미국 외부에서 감사인은 ISAE 3402(Service Auditor Engagements)를 국제 표준으로 참조한다. ISAE 3402는 SOC 1과 유사하게 서비스 제공자의 통제가 고객사에 미치는 영향을 평가하며 많은 국가에서 법적으로 채택하고 있다.

한국에서는 감사기준(KSA)이 서비스 제공자 평가를 규정하며 국제 기준인 ISAE 3402를 참조한다. 금감원 감리 실무에서도 같은 기준이 적용된다. 유럽 국가들도 마찬가지로 ISA/ISAE를 기본으로 채택한다.

따라서 비미국 감사인이 서비스 제공자 보고서를 평가할 때는: 1. SOC 1 (AICPA): 미국 기반 서비스 제공자인 경우만 유효 2. ISAE 3402: 국제 표준, 유럽 및 기타 국가의 서비스 제공자 평가에 적용

두 기준 모두 유사한 구조(설계 및 운영 유효성)를 쓰지만 발행 기관과 법적 효력이 다르다.

관련 용어

- ISAE 3402: 서비스 감사인이 준수해야 하는 국제 기준. SOC 1과 유사한 목적이지만 국제적 채택. - 내부 통제: 고객사가 서비스 제공자의 통제 효과에 의존할 때, 그 통제는 고객사의 내부 통제의 일부로 간주됨. - 감사 증거: SOC 1 Type II는 통제 유효성의 감사 증거가 되지만, SOC 2와 SOC 3은 재무 감사 목적상 증거의 기준을 충족하지 못함. - 서비스 조직 통제: AICPA가 정의한 광범위한 통제 체계로, SOC 1, SOC 2, SOC 3의 기반.

---