Definition

하위서비스조직은 서비스 조직이 이용자 기업에게 제공하는 서비스 중 일부를 수행하는 데 사용하는 또 다른 서비스 조직입니다. ISAE 3402.9(n)에 정의되어 있으며, SOC 보고서에서 포괄법 또는 분리법으로 처리됩니다.

핵심 요약

  • 하위서비스조직은 고객사의 서비스 제공자가 사용하는 또 다른 서비스 제공자입니다
  • SOC 보고서는 하위서비스조직의 통제를 포함(포괄법)하거나 제외(분리법)합니다
  • 분리법이 사용되면 SOC 보고서만으로는 하위서비스조직의 통제에 대한 확신을 얻을 수 없습니다

작동 원리

고객사가 급여 처리를 서비스 조직 A에 외주합니다. 서비스 조직 A는 데이터 호스팅을 서비스 조직 B에 위탁합니다. 서비스 조직 B가 하위서비스조직입니다. 서비스 감사인(그리고 이용자 감사인)이 답해야 할 질문은 B의 통제가 범위에 포함되는지 여부입니다.

ISAE 3402.A6은 하위서비스조직을 처리하는 두 가지 방법을 설명합니다. 포괄법에서는 서비스 조직의 시스템 기술서에 하위서비스조직의 통제가 포함되고, 서비스 감사인이 이를 테스트합니다. 분리법에서는 시스템 기술서가 하위서비스조직을 식별하고 수행하는 기능을 기술하지만, 해당 통제를 보고서 범위에서 제외합니다.

ISA 402.A7은 이용자 감사인에게 서비스 조직이 하위서비스조직을 어떻게 사용하는지, 하위서비스조직의 통제가 SOC 보고서에 포함되어 있는지 이해하도록 요구합니다. 분리법이 사용된 경우, 하위서비스조직의 통제에 대한 충분한 증거를 다른 수단으로 취득할 수 있는지 판단해야 합니다. 하위서비스조직의 별도 SOC 보고서, 직접 테스트, 서비스 조직에 대한 질의, 관련 문서 검사 등이 그 수단입니다.

구체적 사례: Alpenhaus Einzelhandel GmbH

고객사: 오스트리아 소매 체인, 2024 회계연도, 매출 €60M, 오스트리아 UGB 적용. 결제 처리를 FinServ GmbH에 위탁합니다. FinServ는 클라우드 인프라로 Amazon Web Services(AWS)를 사용합니다.

1단계: SOC 보고서 취득 및 하위서비스조직 식별
FinServ의 SOC 1 Type II 보고서를 취득합니다. Section II 3페이지에 다음과 같이 기재되어 있습니다. "FinServ는 프로덕션 인프라 호스팅에 Amazon Web Services(AWS)를 사용합니다. AWS 통제는 이 보고서의 범위에서 제외됩니다(분리법)."
문서화 노트: SOC 보고서의 Section II에서 하위서비스조직 식별. 분리법 사용 여부를 기록.

2단계: 영향 평가
FinServ가 결제 거래를 처리하지만, 거래 기록이 저장되는 데이터베이스는 AWS 인프라에서 운영됩니다. 인프라 수준의 물리적 보안, 네트워크 가용성, 데이터 백업, 재해 복구는 모두 AWS의 책임입니다.

3단계: AWS 통제에 대한 증거 취득
AWS는 자체 SOC 2 Type II 보고서를 발행합니다. 사본을 요청합니다(또는 고객사의 계약이 접근을 허용하는지 확인). 관련 Trust Services Criteria에 대해 AWS SOC 2를 검토합니다.

4단계: 결합 범위 평가
FinServ의 SOC 1은 애플리케이션 수준 통제를 커버합니다. AWS의 SOC 2는 인프라 수준 통제를 커버합니다. 두 보고서를 결합하면 전체 처리 체인에 대한 커버리지를 제공합니다.
문서화 노트: FinServ SOC 1과 AWS SOC 2의 결합 커버리지 평가를 감사조서에 기록. 분리법으로 인한 갭이 AWS SOC 2로 해소되었음을 명시.

감사인과 검토자가 자주 하는 실수

  • 하위서비스조직 자체를 식별하지 못함. 감사팀이 SOC 보고서의 의견과 Section III(테스트 결과)만 읽고 Section II(시스템 기술서)를 건너뛰는 경우가 있습니다. ISAE 3402.A6은 시스템 기술서에 하위서비스조직을 식별하도록 요구합니다. Section II를 읽지 않으면 하위서비스조직의 존재를 알 수 없습니다.
  • 분리법을 후속 조치 없이 수용. 분리법은 해당 통제가 테스트에서 제외되었음을 의미합니다. ISA 402.A7은 이용자 감사인에게 해당 통제에 대한 증거가 필요한지 고려하도록 요구합니다. 분리법을 수용하고 추가 조치를 취하지 않으면 감사증거에 공백이 생깁니다.
  • 하위서비스조직의 SOC 보고서 기간 불일치. 서비스 조직의 SOC 보고서와 하위서비스조직의 SOC 보고서 기간이 다를 수 있습니다. 기간 차이가 있으면 브릿지 레터 또는 추가 절차로 미커버 기간을 해소해야 합니다.
  • 중요성 평가 없이 전체 커버리지 가정. 하위서비스조직에서 수행되는 처리가 이용자 기업의 재무보고에 미치는 중요성을 평가하지 않고, 무조건 별도 SOC 보고서를 요구하거나 반대로 무시하는 경우가 있습니다.

관련 용어

  • ISAE 3402: 서비스 조직의 통제에 대한 인증 보고서를 규정하는 국제 인증업무기준입니다.
  • SOC 1 보고서: 이용자 기업의 재무보고 관련 내부 통제에 대한 서비스 감사인의 보고서입니다.
  • CUECs: 서비스 조직의 통제가 효과적으로 운영되기 위해 이용자 기업이 구현해야 하는 보완 통제입니다.
  • 브릿지 레터: SOC 보고서 기간과 이용자 기업의 보고기간 사이의 갭을 커버하는 서한입니다.
  • 충분하고 적합한 감사증거: 하위서비스조직의 통제에 대해서도 ISA 500의 증거 기준이 적용됩니다.

실무 감사 인사이트를 매주 받아보세요.

시험 이론이 아닙니다. 감사를 빠르게 만드는 실질적인 내용입니다.

290개 이상의 가이드 게시20개 무료 도구현직 감사인이 구축

스팸 없음. 저희는 감사인이지 마케터가 아닙니다.