Definition
많은 인차지가 Type I과 Type II를 사실상 같은 보고서로 취급한다. 둘 중 어느 쪽을 받느냐에 따라 SOC 보고서를 실증절차 축소 근거로 쓸 수 있는지가 갈리는데도 그렇다. 제 경험상 조서 리뷰에서 "이 SOC가 정말 운영 유효성을 뒷받침합니까"라는 질문이 나오면, 절반 이상은 Type I을 운영 증거처럼 끼워 놓은 케이스였습니다.
한 줄로 보는 차이
- Type I은 설계 검증만 제공합니다. 보고서일 시점에 통제가 존재하고 적절히 설계되었는지만 확인합니다. - Type II는 최소 6개월 기간 동안 통제가 실제로 작동했는지 검증합니다. 이게 운영 유효성 증거입니다. - ISAE 3402.28은 감사 대상 회사가 서비스 기관 통제에 의존할 때 Type II가 필수인 상황을 규정합니다. - 감리 사례를 보면 Type I과 Type II 혼용은 금감원이 SOC 의존 파일에서 가장 자주 지적하는 항목입니다.
스냅샷 보고서와 기간 보고서
Type I은 특정 날짜(예: 2024년 12월 31일)의 스냅샷입니다. 서비스 기관의 감사인이 그 시점에 통제가 설계되어 있고, 관련성이 있고, 적절히 설계되었는지를 평가합니다. ISAE 3402.A43은 설계 평가에서 감사인이 점검할 항목을 규정합니다. 통제가 실제로 작동하도록 설정되어 있는가, 감사 대상 회사 직원이 통제를 사용할 수 있는가, 통제 소유자가 명확한가.
Type II는 시간 창을 포함합니다. 보통 최소 6개월입니다. 서비스 기관 감사인이 보고 기간 동안 통제가 실제로 운영되었는지, 설계 의도대로 작동했는지를 검증합니다. ISAE 3402.A49는 운영 유효성 평가에서 감사인이 검사할 항목을 지정합니다. 거래 샘플에서 통제 실행의 증거, 통제 운영 변경 사항, 그리고 예외 발생 여부.
감사 대상 회사가 클라우드 기반 급여 처리 서비스 기관을 사용한다고 합시다. 2024년 12월 31일 자 Type I은 "급여 데이터 입력 검증 통제가 설계되어 있고, 직원이 사용할 수 있으며, 적절히 설계되었습니다"라고 말합니다. 그러나 Type I은 2024년 1월부터 12월까지 그 통제가 실제로 작동했는지는 알려주지 않습니다. 만약 서비스 기관이 6월에 소프트웨어를 업그레이드하면서 검증 규칙이 실수로 비활성화되었다면? Type I은 이를 포착하지 못합니다. Type II는 6개월 이상의 기간 동안 검증 통제가 모든 급여 실행(또는 통제된 표본)에서 실제로 실행되었는지 검증하므로 그 문제를 드러냅니다.
Type I 보고서 vs Type II 보고서 비교
| 차원 | Type I | Type II |
|---|---|---|
| 평가 대상 | 특정 날짜의 통제 설계 | 최소 6개월 기간의 운영 유효성 |
| 감사인이 검증하는 것 | 통제가 존재하고 적절히 설계됨 | 통제가 실제로 작동하고 오류 없이 운영됨 |
| 증거 수집 | 설계 검토, 통제 문서 검토, 설정 확인 | 거래 샘플 검사, 운영 로그 검토, 예외 분석 |
| ISAE 3402 근거 | ISAE 3402.28(a), .A43 | ISAE 3402.28(b), .A49 |
| 감사에 대한 영향 | 설계 리스크 감소만 가능 | 설계 리스크와 운영 리스크 모두 감소 |
| 감사 시점 | 보고서 완료 후 | 보고 기간 종료 후(통제 기간 6개월 후) |
감사 파일에서 구별이 흔들리는 지점
두 보고서를 혼동하면 감사 증거 불충분이 곧장 발생합니다. 감사 대상 회사가 IT 서비스를 아웃소싱했고, 그쪽에서 Type I만 받아왔다고 합시다. ISAE 3402.28(b)는 "감사인이 서비스 기관의 운영에 근거하여 발생할 수 있는 오류의 특성과 범위를 이해해야 합니다"라고 적습니다. Type I은 그 이해를 제공하지 않습니다. Type I은 "통제가 설계되었습니다"라고 말할 뿐, "통제가 작동했는가"라는 질문을 남깁니다.
이게 감리에서 가장 자주 깨지는 부분이다. 결과적으로 인차지는 다음 중 하나를 해야 합니다. (1) Type II 보고서를 요청하거나, (2) 자체 감사 절차로 운영 유효성에 대한 증거를 수집해야 합니다. 첫 번째가 보통 더 효율적이지만, 타이밍 문제가 있습니다. Type II는 6개월 기간이 필요하므로 감사 대상 회사가 사전에 서비스 기관에 요청해야 합니다. 시즌 막바지에 요청해도 늦습니다.
검토자가 잡아내는 세 가지
- 첫 번째. 많은 팀이 Type I을 받고 이를 운영 유효성 증거처럼 조서에 끼워 넣습니다. ISAE 3402 텍스트를 다시 읽으면 Type I의 제목이 "설계 관련"이고 Type II의 제목이 "설계 및 운영 유효성 관련"이라는 것이 보입니다. Type I은 운영 유효성 증거가 될 수 없습니다.
- 두 번째. Type II가 도착해도 통제 운영 기간을 확인하지 않는 팀이 많습니다. ISAE 3402.A49는 최소 6개월 기간을 요구합니다. 그러나 서비스 기관은 신규 통제이거나 신규 서비스 기관인 경우 3개월 또는 4개월 Type II를 발행하기도 합니다. 감사 기간이 1월 1일~12월 31일인데 Type II가 1월 1일~4월 30일만 다룬다면, 나머지 8개월에 대한 운영 유효성은 별도 절차로 메워야 합니다.
- 세 번째. Type II가 여러 시스템이나 통제에 걸쳐 있을 때, 팀은 감사 대상 회사가 실제로 사용하는 통제만을 따로 식별하지 않습니다. 결제 시스템 서비스 기관의 Type II가 통제 10개를 다루더라도, 감사 대상 회사가 그 중 5개만 사용한다면 신뢰할 수 있는 것은 그 5개에 대한 증거뿐입니다. ISAE 3402.A53은 감사인이 어느 통제가 자신의 감사와 관련이 있는지 평가하도록 요구합니다.
관련 용어
- ISAE 3402 Type I 보고서 - Type I의 구조와 요구사항을 자세히 설명합니다. - ISAE 3402 Type II 보고서 - Type II의 검증 방법과 감사에 미치는 영향을 다룹니다. - 서비스 기관 통제 - ISAE 3402 평가 프레임워크의 개요입니다. - 통제 운영 유효성 - 통제가 의도대로 작동하는지 검증하는 방법입니다. - ISAE 3402 - 서비스 기관 감사의 전체 기준서입니다. - 표본 추출 - Type II가 운영 유효성을 검증할 때 쓰는 방법입니다.
---