핵심 포인트

  • SOC 2 보고서는 클라우드 서비스 제공업체, SaaS 플랫폼, 데이터 센터 운영자가 고객에게 통제 환경을 증명하기 위해 발행합니다.
  • Type I 보고서는 특정 시점의 통제 설계를 평가하며, Type II 보고서는 6개월 이상의 운영 기간 동안 통제의 효과성을 평가합니다.
  • 많은 감사인이 SOC 2 보고서 평가 시 관리자의 설명만 재확인하고 근본적인 통제 환경을 검증하지 않습니다.
  • SOC 2 보고서는 AICPA의 미국 기준(SSAE 18)에 따라 발행되며, 유럽 감사 규제 기관은 ISAE 3000/3402 기반 보고서를 선호합니다. 비미국 서비스 제공자의 경우 SOC 2 보고서의 법적 효력이 제한될 수 있으므로 감사인은 적용 기준의 차이를 문서화해야 합니다.

SOC 2의 작동 원리

SOC 2는 미국의 신뢰 서비스 기준(Trust Services Criteria)을 기반으로 합니다. SSAE 18에 따라 공인 감사인이 서비스 조직의 통제를 독립적으로 평가합니다. 평가 범위는 보안(무단 접근 방지), 가용성(시스템 운영 연속성), 처리 무결성(정확한 처리), 기밀성(민감 정보 보호), 개인정보보호(법적 요구사항 준수)의 다섯 가지 신뢰 서비스 원칙입니다.
Type I 보고서는 감사인이 보고 날짜를 기준으로 통제의 설계 및 운영 여부만 검증합니다. Type II 보고서는 최소 6개월의 기간 동안 통제가 실제로 작동했는지를 검증합니다. 대부분의 경험 많은 클라우드 서비스 제공업체는 Type II를 발행합니다. Type I은 새로운 서비스나 신생 기업이 초기 증명으로 사용합니다.
SOC 2 보고서를 받는 감사인의 입장에서, 이 보고서는 서비스 조직의 통제 환경을 이해하는 데 핵심 자료입니다. 감사 대상 회사가 급여 관리 시스템, 회계 소프트웨어, 데이터 호스팅을 외부 클라우드 서비스에 의존하는 경우, 감사인은 ISA 402(감사 대상 회사의 내부감시 기능)에 따라 그 서비스 조직의 통제를 평가해야 합니다. SOC 2 보고서가 해당 통제를 설명하고 검증한다면, 감사인의 추가 테스트 부담이 줄어듭니다.
그러나 SOC 2 보고서를 감사 증거로 받아들일 때 주의가 필요합니다. SSAE 18은 미국 기준이며, 유럽 회계감시 규제 기관(예: AFM, FRC)은 ISA 기반 평가를 선호합니다. SOC 2 보고서가 있더라도, 감사인은 그 통제가 피감사회사의 특정 거래 흐름과 어떻게 연결되는지 확인해야 합니다.

실무 사례: 클라우드 회계 시스템 평가

피감사회사: Nexis Technologies GmbH(독일 소프트웨어 회사, 연 매출 €28M, IFRS 보고)
상황: Nexis는 급여, 지출 관리, 재무 보고를 모두 CloudVault Services(핀란드 클라우드 회사)의 SaaS 플랫폼에서 처리합니다. CloudVault는 ISO 27001 인증서와 SOC 2 Type II 보고서(2024년 1월부터 6월 기간)를 제공했습니다.
1단계: SOC 2 보고서 범위 확인
감사팀이 SOC 2 보고서를 검토했습니다. CloudVault의 Type II 보고서는 보안(접근 통제), 처리 무결성(데이터 정확성), 가용성(시스템 운영시간 99.9% 보장)을 다루고 있었습니다.
실무 기록: 보고서 사본을 조서 파일 A-500에 첨부, 신뢰 서비스 원칙과 피감사회사의 처리 흐름 간 매핑표 작성
2단계: 통제 환경과 피감사회사 거래의 연결
감사팀은 Nexis의 급여 처리 흐름을 매핑했습니다. 급여 데이터는 Nexis의 HR 시스템에서 CloudVault로 업로드되고, CloudVault의 자동 처리 엔진이 총괄장부 항목을 생성한 후 Nexis의 ERP로 되돌아옵니다. SOC 2 보고서는 CloudVault의 데이터 입력 검증과 처리 로직을 설명했으나, Nexis 측의 통제(업로드 전 데이터 검토, 내보내기 후 대사)는 다루지 않았습니다.
실무 기록: CloudVault 보고서와 Nexis 내부 통제의 '책임 분리' 행렬을 작성, SOC 2 보고서가 커버하는 범위와 Nexis가 자체적으로 통제해야 하는 범위를 명확히 함
3단계: SOC 2 통제의 신뢰도 평가
감사팀은 SOC 2 보고서의 감사인(글로벌 Big 4 회사의 핀란드 지사)의 자격, 적용된 감사 기준(SSAE 18), 예외 사항 여부를 확인했습니다. 보고서에는 예외 사항이 없었고, 두 가지 권장사항만 있었습니다(MFA 로그인 옵션, 백업 테스트 빈도 증가). 이는 신뢰할 수 있는 신호였습니다.
실무 기록: SOC 2 Type II는 6개월 기간이므로 감사 기간(1월~12월)의 전 6개월을 완전히 커버하지 못함을 기록. 7월~12월 기간에 대한 추가 증거(CloudVault의 월간 운영 보고서, 가용성 모니터링 로그) 요청
4단계: 표본 테스트와 보완적 증거
감사팀이 6월 이후 기간(7월~12월)에 대해 제한된 보정 테스트를 수행했습니다. CloudVault 플랫폼에서 월 10개 거래를 샘플링하여 처리 정확성을 재확인했습니다. 모두 정확했습니다. 또한 Nexis의 담당자와 인터뷰하여 급여 데이터 업로드 프로세스와 CloudVault의 결과 검수 방식을 재확인했습니다.
실무 기록: 테스트 결과를 조서 A-502에 기록. SOC 2 기간 이후 기간에 대한 충분한 감사 증거를 획득했음을 결론
결론: 감사팀은 SOC 2 Type II 보고서와 추가 테스트를 결합하여 Nexis의 클라우드 기반 거래 처리 통제가 충분하다고 결론지었습니다. 감사인이 피감사회사의 내부 통제(데이터 업로드 검수, 결과 대사)를 함께 검증했기 때문입니다. SOC 2 보고서만으로는 충분하지 않았을 것입니다.

검토자들과 실무자들이 자주 놓치는 부분

  • SOC 2 보고서를 감사 증거의 충분 조건으로 간주하기. 많은 팀이 Type II 보고서가 있으면 해당 거래 통제를 더 이상 테스트하지 않습니다. ISA 402는 서비스 조직의 통제뿐 아니라 피감사회사 자신의 통제(서비스 조직으로의 데이터 전송, 결과 검증)도 평가하도록 요구합니다.
  • 보고서 범위의 제한을 간과하기. SOC 2 보고서는 신뢰 서비스 원칙(보안, 가용성, 처리 무결성, 기밀성, 개인정보보호) 중 선택한 원칙만 다룹니다. 예를 들어 한 보고서는 보안과 처리 무결성만 평가했는데 감사인이 기밀성 통제까지 포함된 것으로 착각할 수 있습니다.
  • Type I과 Type II 기간 불일치를 무시하기. Type II 보고서가 6개월(예: 1월~6월)을 다룬다면, 감사 기간이 12개월이므로 7월~12월에 대한 추가 증거가 필요합니다. 일부 감사인이 이 간극을 놓치고 불완전한 기간 범위로 결론을 내립니다.
  • SSAE 18 감사의 독립성과 품질을 확인하지 않기. SOC 2 보고서의 신뢰도는 감사를 수행한 회사의 자격, 적용된 기준의 엄격성, 예외 사항 유무에 따라 크게 달라집니다. 일부 감사인은 보고서의 형식만 보고 발행자의 배경을 확인하지 않습니다.

SOC 2와 감사 기준의 관계

SOC 2 보고서는 감사 증거입니다. ISA 402는 피감사회사가 IT 서비스 기관을 이용할 때 그 기관의 통제를 평가하도록 규정합니다. SOC 2 보고서가 그 평가를 돕지만, 감사인은 여전히 ISA 330(감사 절차 실시 및 증거 평가)에 따라 보고서의 신뢰성을 판단하고 필요시 추가 테스트를 수행해야 합니다.

관련 용어

---

  • ISA 402: 감사 대상 회사의 내부감시 기능: 서비스 기관의 통제를 피감사회사의 거래 처리와 연결하는 방법
  • Type I 보고서: 특정 시점의 통제 설계 평가
  • Type II 보고서: 운영 기간 동안의 통제 효과성 평가
  • 신뢰 서비스 기준: SOC 2 평가의 기초가 되는 AICPA 원칙
  • ISO 27001: 정보보안 관리 국제 표준으로, SOC 2와 함께 제시되는 경우가 많음
  • 감사 증거의 충분성과 적절성: SOC 2 보고서를 증거로 평가할 때의 판단 기준

실무 감사 인사이트를 매주 받아보세요.

시험 이론이 아닙니다. 감사를 빠르게 만드는 실질적인 내용입니다.

290개 이상의 가이드 게시20개 무료 도구현직 감사인이 구축

스팸 없음. 저희는 감사인이지 마케터가 아닙니다.