SOC 1, 2, 3편집자 확인

SOC 1 보고서의 주요 목적은 서비스 조직의 내부 통제가 사용자 조직의 재무보고에 미치는 영향을 평가하는 것이다. 이는 서비스 조직이 제공하는 서비스가 사용자 조직의 재무제표에 직접적인 영향을 줄 수 있을 때 요구된다. 예를 들어, 급여 대행, 금융 거래 처리, 청구서 발행 업무를 위탁받은 서비스 조직은 SOC 1 보고서를 통해 자사의 내부 통제가 재무 정보의 정확성과 완전성에 어떻게 기여하는지 증명한다.

적용 대상은 주로 재무보고와 관련된 내부 통제를 다루는 서비스 조직이다. 구체적으로 회계 감사를 받는 사용자 조직이 외부 서비스 공급자의 통제에 의존할 때, 그 공급자는 SOC 1 보고서를 제공해야 한다. 이 보고서는 사용자 조직의 외부 감사인이 사용자 조직의 재무제표 감사를 수행하는 데 중요한 감사 증거로 활용된다. 따라서 금융 서비스, 급여 처리, 결제 게이트웨이 운영 등 재무 데이터 처리를 핵심 업무로 하는 조직이 주요 적용 대상이다.

SOC 1 보고서는 크로 두 가지 유형으로 구분된다. 이는 감사의 시점과 기간에 따른 차이를 반영한다.

Type I 보고서는 서비스 조직의 내부 통제가 특정 시점(예: 감사 수행일)에 설계상 적절하게 마련되어 있는지에 대한 평가를 제공한다. 이 보고서는 통제 활동이 존재하고 문서화되어 있는지에 초점을 맞추며, 해당 통제들이 일정 기간 동안 운영상 효과적으로 작동했는지에 대해서는 검증하지 않는다. 따라서 설계의 적절성에 대한 보증을 제공하는 데 주로 활용된다.

Type II 보고서는 Type I의 범위에 더해, 서비스 조직의 내부 통제가 최소 6개월 이상의 기간 동안 운영상 효과적으로 작동했는지에 대한 평가를 포함한다. 이는 통제가 문서상으로 존재할 뿐만 아니라 실제로 일관되게 실행되고 관리되었는지를 검증하는 것으로, 더 높은 수준의 보증을 제공한다. 사용자 조직의 감사인이 재무제표 감사를 수행할 때 서비스 조직의 통제 신뢰성을 평가하는 데 있어 Type II 보고서가 일반적으로 더 유용한 증거로 채택된다.

두 보고서 유형 모두 서비스 조직의 관리부가 작성한 서술(서비스 조직의 시스템에 대한 설명)과 감사인의 의견으로 구성된다. Type II 보고서는 운영 효과성 테스트의 결과와 발견된 사항을 상세히 기술하는 부록을 포함하는 것이 일반적이다.

SOC 2 보고서의 평가 기준은 미국공인회계사회가 제정한 신뢰 서비스 기준이다. 이 기준은 서비스 조직이 고객의 데이터를 처리하고 보호하는 데 있어서 효과적인 내부 통제를 수립하고 운영했는지를 판단하는 틀을 제공한다. SOC 2의 핵심은 이 기준에 정의된 다섯 가지 신뢰 서비스 원칙이다.

신뢰 서비스 원칙은 보안, 가용성, 처리 무결성, 기밀성, 개인정보 보호로 구성된다. 보안 원칙은 정보가 무단 접근, 공격, 도난 등으로부터 보호되는지를 다루며, 가장 기본적이고 필수적으로 평가되는 항목이다. 가용성 원칙은 서비스가 합의된 수준에 따라 가용하고 운영 가능한지를, 처리 무결성 원칙은 시스템 처리가 완전하고, 정확하며, 시의적절하고, 승인된 대로 이루어지는지를 평가한다.

기밀성 원칙은 기밀로 지정된 정보가 합의된 대로 보호되는지에 초점을 맞추며, 개인정보 보호 원칙은 개인 식별 정보의 수집, 사용, 보유, 공개, 폐기가 조직의 개인정보 보호 정책 및 관련 법규를 준수하는지를 검토한다. 서비스 조직은 제공하는 서비스의 성격과 고객의 요구에 따라 이 다섯 가지 원칙 중에서 평가를 받을 원칙과 기준을 선택적으로 적용한다.

SOC 2 보고서는 서비스 조직이 신뢰 서비스 기준(TSC)을 얼마나 잘 준수하고 있는지 평가하기 위해 작성된다. 이 평가는 서비스 조직이 제공하는 서비스와 시스템에 대한 내부 통제가 효과적으로 설계되고 운영되고 있는지를 검증하는 것을 목표로 한다. SOC 2 보고서의 핵심은 평가 범위를 구성하는 다섯 가지 신뢰 서비스 원칙(보안, 가용성, 처리 무결성, 기밀성, 개인정보 보호)이다. 조직은 자신의 서비스 특성과 고객의 요구에 따라 이 중 하나 이상의 원칙을 선택하여 평가 범위로 삼는다.

보고서 유형은 감사의 깊이와 시점에 따라 Type I과 Type II로 구분된다. Type I 보고서는 특정 시점(예: 특정 날짜)에 조직의 내부 통제가 적절하게 설계되어 있는지에 대한 감사인의 의견을 제공한다. 이는 통제의 설계적 적절성에 초점을 맞춘다. 반면, Type II 보고서는 더 포괄적인 평가로, 특정 기간(일반적으로 최소 6개월) 동안 설계된 통제가 실제로 운영되었는지, 그리고 그 운영이 효과적이었는지를 검증한다.

평가 범위는 서비스 조직과 감사인이 협의하여 결정하는데, 여기에는 평가 대상이 되는 특정 시스템 또는 서비스, 적용되는 신뢰 서비스 원칙, 그리고 평가 기간이 명시된다. 예를 들어, 클라우드 컴퓨팅 서비스 제공업체는 보안과 가용성 원칙을 중심으로 평가 범위를 설정할 수 있다. 이 과정에서 조직은 관련 정책, 절차, 모니터링 활동 등 통제 활동에 대한 증거를 감사인에게 제공해야 한다.

최종 보고서는 서비스 조직의 관리층이 작성한 서술 부분과 감사인의 의견 부분으로 구성된다. 이 보고서는 일반적으로 제한된 분배를 원칙으로 하며, 서비스 조직과 그 고객, 규제 기관 등 이해관계자에게 제공되어 컴플라이언스 요건 충족 및 신뢰 구축에 활용된다.

SOC 3 보고서는 SOC 2 보고서와 동일한 감사 기준과 평가 절차를 기반으로 하지만, 그 목적과 내용, 공개 범위에서 명확한 차이점을 가진다. 가장 큰 차이는 보고서의 상세 수준과 배포 대상이다. SOC 2 보고서는 서비스 조직과 그 사용자 간의 계약 관계 하에서 제한적으로 공유되는 상세한 감사 의견과 테스트 절차, 결과를 포함하는 반면, SOC 3 보고서는 일반 대중을 대상으로 한 요약된 형태의 보고서이다.

SOC 3 보고서는 SOC 2 보고서의 핵심 결론만을 담은 일반 공개용 보고서로, 감사인이 서비스 조직이 하나 이상의 신뢰 서비스 기준(TSC)을 충족했다는 의견을 표명한다. 그러나 SOC 2 보고서에 포함된 상세한 관리자 진술, 감사인의 상세한 테스트 절차와 결과, 조직의 시스템 설명 및 통제 활동의 구체적인 내용은 SOC 3 보고서에는 포함되지 않는다. 이는 민감한 정보가 공개되는 것을 방지하기 위함이다.

이러한 차이로 인해 SOC 3 보고서는 마케팅이나 컴플라이언스 목적으로 널리 배포하기에 적합하다. 서비스 조직은 SOC 3 보고서를 웹사이트에 게시하거나 잠재 고객에게 자유롭게 제공하여 특정 신뢰 서비스 기준에 대한 준수를 일반적으로 보증할 수 있다. 반면, SOC 2 보고서는 서비스 조직의 내부 통제를 심층적으로 평가해야 하는 기존 사용자나 잠재적 사용자의 감사 팀과 같은 제한된 당사자들에게 제공된다.

요약하면, SOC 2는 제한된 사용자를 위한 상세한 기술 보고서라면, SOC 3는 모든 이해관계자를 위한 일반적인 보증 인증서에 가깝다. 두 보고서 모두 미국공인회계사회(AICPA)의 동일한 기준에 따라 수행되지만, 그 깊이와 공개 정책에서 근본적인 차이를 보인다.

SOC 3 보고서는 SOC 2 보고서와 동일한 신뢰 서비스 기준(TSC)에 대한 감사를 바탕으로 하지만, 그 내용이 일반 공개용으로 설계되었다는 점이 핵심 차이점이다. 이 보고서는 기술적 세부사항이나 테스트 절차, 구체적인 결과를 포함하지 않고, 감사인이 서비스 조직의 통제가 특정 신뢰 서비스 원칙에 대해 합리적인 보증을 제공한다고 의견을 표명한 요약문 형식으로 구성된다. 따라서 SOC 3 보고서는 기밀성이 요구되지 않는 광범위한 이해관계자, 예를 들어 잠재적 고객이나 일반 대중에게 서비스 조직의 컴플라이언스 수준을 간략히 증명하는 마케팅 도구로 활용된다.

SOC 3 보고서의 가장 큰 특징은 일반 공개용이라는 점이다. 서비스 조직은 이 보고서를 자유롭게 배포하거나 웹사이트에 게시할 수 있으며, 보고서를 받기 위해 비밀 유지 계약(NDA)을 체결할 필요가 없다. 이는 SOC 2 보고서가 일반적으로 제한된 사용을 위해 고객과의 계약 하에 제공되는 것과 대비된다. SOC 3 보고서에는 서비스 조직이 획득한 SOC 3 로고 또는 시그니처를 표시할 수 있으며, 이는 해당 조직이 독립적인 제3자 감사를 통과했음을 시각적으로 보여주는 인증 마크 역할을 한다.

이러한 일반 공개용 보고서의 성격 때문에 SOC 3는 정보 보안과 서비스 신뢰성에 대한 외부적인 검증을 간편하게 입증해야 하는 클라우드 컴퓨팅 서비스 제공자나 데이터 센터 업체에게 특히 유용하다. 잠재 고객은 복잡한 SOC 2 보고서를 심층 검토하기 전에, 먼저 SOC 3 보고서와 로고를 통해 해당 서비스 조직의 기본적인 컴플라이언스 수준을 빠르게 확인할 수 있다. 결국 SOC 3는 서비스 조직의 내부 통제에 대한 높은 수준의 보증을 일반 대중에게 공개적으로 전달하는 표준화된 채널을 제공한다.

SOC 1, SOC 2, SOC 3은 모두 미국공인회계사회(AICPA)가 제정한 서비스 조직 감사 보고서 프레임워크이지만, 그 목적, 적용 대상, 보고서의 공개 범위에서 명확한 차이가 있다. SOC 1은 주로 서비스 조직의 재무보고와 관련된 내부 통제를 평가하여, 이를 이용하는 사용자 조직의 재무제표 감사를 지원하는 데 목적이 있다. 반면, SOC 2와 SOC 3은 정보 보안, 가용성, 처리 무결성, 기밀성, 개인정보 보호 등 비재무적 신뢰 서비스 기준(TSC)에 대한 통제를 평가한다.

SOC 2와 SOC 3은 평가 기준이 동일하지만, 보고서의 형태와 공개 정책이 다르다. SOC 2 보고서는 상세한 감사 절차, 테스트 결과, 감사인의 의견이 포함되어 있어 일반적으로 기밀 유지 계약 하에 이해관계자에게 제한적으로 배포된다. 이는 잠재적 고객이나 규제 기관이 서비스 조직의 통제 환경을 심층적으로 검토할 때 활용된다. SOC 3 보고서는 SOC 2 평가의 결과를 요약한 일반 공개용 보고서로, 별도의 제한 없이 공개적으로 배포될 수 있으며, 조직이 웹사이트에 게시하여 컴플라이언스 준수 사실을 광고하는 데 사용된다.

다음 표는 세 가지 SOC 보고서의 핵심 차이점을 비교한 것이다.

따라서 조직은 자신의 요구사항에 따라 적절한 보고서를 선택해야 한다. 사용자 조직의 회계 감사를 지원해야 한다면 SOC 1이 필요하며, 데이터 센터나 클라우드 컴퓨팅 서비스 제공자처럼 정보 기술 관련 통제를 입증해야 할 경우에는 SOC 2를 고려한다. 한편, SOC 2 평가를 통과한 사실을 마케팅이나 일반적인 신뢰 구축을 위해 널리 알리고자 할 때는 SOC 3 보고서를 취득하는 전략을 사용한다.

적절한 SOC 보고서를 선택하는 것은 서비스 조직과 그 서비스를 이용하는 사용자 조직 모두에게 중요한 결정이다. 선택은 주로 보고서의 목적과 예상 독자, 그리고 필요한 보증 수준에 따라 결정된다.

SOC 1 보고서는 사용자 조직의 재무제표 감사를 지원하는 데 초점을 맞춘다. 따라서 서비스 조직이 제공하는 서비스가 사용자 조직의 재무 보고 내부 통제에 중대한 영향을 미치는 경우 선택한다. 예를 들어, 급여 처리, 금융 거래 처리, ERP 시스템 호스팅 서비스를 제공하는 조직에 적합하다. 사용자 조직의 외부 감사인은 일반적으로 SOC 1 Type II 보고서를 감사 증거로 요구한다.

반면, SOC 2와 SOC 3는 보안, 가용성, 처리 무결성, 기밀성, 개인정보 보호와 같은 비재무적 신뢰 기준에 대한 통제를 평가한다. SOC 2 보고서는 제한된 배포를 위한 상세한 보고서로, 잠재적 고객이나 기존 고객, 규제 기관, 비즈니스 파트너 등 이해관계자에게 구체적인 통제 평가 결과와 감사인의 의견을 제공할 때 선택한다. SOC 3는 일반 공개용 요약 보고서로, 웹사이트에 공개하여 광범위한 대상에게 신뢰 서비스 기준 준수에 대한 일반적인 보증을 제공하려는 목적에 적합하다. 요약하면, 상세한 정보가 필요하면 SOC 2를, 일반적인 인증 마크 공개가 목적이면 SOC 3를 선택한다.