SOC 업무 수행 프로세스 시뮬레이션

SOC 업무 수행 프로세스 시뮬레이션

SOC 감사 참여의 각 단계를 클릭하여 상세 내용을 확인하세요.

1단계: 평가된 위험에 대한 대응

서비스 감사인은 인증 위험을 수용 가능한 낮은 수준으로 줄이기 위해 충분한 감사 증거를 확보해야 합니다. 이는 합리적인 확신을 얻고 의견의 기초가 될 결론을 도출하기 위함입니다.

주요 활동:

• 평가된 중요 왜곡 표시 위험을 해결하기 위한 전반적인 대응 설계 및 구현.
• 평가된 위험에 기반하고 대응하는 추가 절차의 성격, 범위, 시기 결정.
• 전문가적 회의주의 문화 유지, 경험 많은 직원 배정, 추가 감독 제공.
• 수행할 절차 선택에 예측 불가능성 요소를 통합.

위험 평가에 영향을 미치는 요소:

• 중요성 고려사항
• 통제 환경의 효과성에 대한 감사인의 이해
• 사용자 기업에 제공되는 서비스와 관련된 내부 통제의 다른 구성 요소

2단계: 경영진의 기술서(Description) 평가

서비스 감사인은 경영진의 서비스 조직 시스템 기술서를 입수하여 읽고, 해당 기술서가 기술 기준에 따라 공정하게 표시되었는지 평가해야 합니다.

SOC 1® 평가 기준:

• 기술서에 명시된 통제 목표가 상황에 비추어 합리적인가?
• 기술서에 식별된 통제가 구현되었는가?
• 보완적인 사용자 기업 통제 및 하위 서비스 조직 통제가 적절히 기술되었는가?
• 하위 서비스 조직이 수행하는 서비스가 적절히 기술되었는가 (Carve-out/Inclusive 방식 포함)?

SOC 2® 평가 기준:

• 기술서가 설계 및 구현된 시스템을 기술 기준에 따라 제시하는가?
• 기술서가 신뢰 서비스 원칙과 관련된 모든 관련 정보를 포함하는가?
• 보고서 사용자의 결정과 관련될 가능성이 있는 정보를 생략하거나 왜곡하지 않았는가?
• 기술된 각 통제가 실제로 운영에 투입(구현)되었는가?

수행 절차 예시:

• 사용자 기업과의 계약서 검토
• 서비스 조직 직원이 수행하는 절차 관찰
• 정책 및 절차 매뉴얼, 순서도 등 시스템 문서 검토
• 시스템을 통한 거래의 추적조사(Walk-through) 수행

3단계: 통제 테스트 수행 (SOC 2® Type 2)

이 단계에서는 기술서에 명시된 통제가 특정 기간 동안 효과적으로 운영되었는지에 대한 증거를 확보합니다. 이는 통제의 설계 적합성 평가와 운영 효과성 테스트로 나뉩니다.

1. 설계 적합성(Suitability of Design) 평가 절차:

• 서비스 조직 직원과의 질의를 통해 통제의 설계 및 운영 방식 파악.
• 관련 문서 및 시스템 지원 문서 검사.
• 추가적인 추적조사(Walk-throughs) 수행.
• 공격, 취약점 악용, 새로운 위험 또는 위협이 적절하게 처리되었는지 확인.

2. 운영 효과성(Operating Effectiveness) 테스트 (Type 2):

• 통제가 어떻게, 얼마나 일관되게, 누구에 의해 적용되었는지 증거 확보.
• 테스트할 통제가 다른 통제에 의존하는지 여부 결정.
• 테스트할 항목을 선택하는 효과적인 방법 결정.

테스트의 성격, 범위, 시기 결정 요소:

• 성격(Nature): 어떻게 통제를 테스트할 것인가 (질의, 관찰, 재수행 등).
• 범위(Extent): 샘플 크기 또는 관찰 횟수 (허용 이탈률, 예상 이탈률, 통제 빈도 등 고려).
• 시기(Timing): 언제 통제를 테스트할 것인가 (중간, 기말 등).

4단계: 절차 결과 평가

감사인은 수행된 모든 절차의 결과를 평가하고, 의견과 보고서를 뒷받침하기에 충분한 증거가 확보되었는지 고려해야 합니다. 이는 양적 및 질적 분석을 모두 포함합니다.

평가 시 고려사항:

• 식별된 기술서의 왜곡 표시가 기술 기준 중 하나 이상을 충족하지 못하게 하는지 여부.
• 식별된 통제 운영의 이탈이 예상 이탈률 내에 있고 수용 가능한지, 아니면 결함을 구성하는지 여부.
• 식별된 결함이 서비스 조직의 서비스 약속 및 시스템 요구사항 달성에 광범위한 영향을 미칠 가능성이 있는지 여부.
• 보고서 사용자가 식별된 결함을 반영하도록 의견이 수정되지 않으면 오해할 수 있는지 여부.
• 알려지거나 의심되는 사기 또는 법규 미준수 사항 고려.

중요한 왜곡 표시 또는 결함 발견 시:

서비스 감사인은 의견을 수정해야 합니다. 왜곡 표시와 결함의 성격과 원인에 대한 이해는 의견을 적절하게 수정하는 방법을 결정하는 데 도움이 됩니다.

5단계: 후속 사건(Subsequent Events) 검토

업무 기간 이후, 그러나 서비스 감사인 보고서 날짜 이전에 발생하여 기술서, 통제 설계의 적합성 및 운영 효과성에 중대한 영향을 미칠 수 있는 거래나 사건을 검토합니다.

보고서에 영향을 미칠 가능성이 높은 후속 사건 예시:

• IT 책임자가 모든 프로그래머에게 생산 데이터 파일 접근 권한을 부여하여 데이터 수정이 가능해진 경우.
• 업무 기간 중 기밀성 위반이 발생한 경우 (SOC 2®).
• 위조된 서명으로 거래 지시가 제출된 사실이 발견된 경우 (SOC 1®).
• 서비스 조직에서 횡령이 발생한 경우 (SOC 1®).

보고서에 영향을 미칠 가능성이 낮은 후속 사건 예시:

• 서비스 조직이 다른 회사에 인수된 경우.
• 날씨나 자연 재해로 인해 주요 운영 중단이 발생한 경우.
• 시스템 전환 또는 운영 일부의 아웃소싱 등 정보 시스템에 중대한 변경이 있었던 경우.

후속 사건 발견 시 조치:

중요한 후속 사건을 인지하게 되면, 서비스 감사인은 경영진에게 해당 사건을 경영진의 주장이나 시스템 기술서에 공개하도록 요청해야 합니다. 경영진이 공개를 거부할 경우, 감사인은 보고서 수정 또는 업무 철회를 고려해야 합니다.

6단계: 경영진으로부터 서면 진술(Written Representations) 확보

서비스 감사인은 서비스 조직의 경영진으로부터 서면 진술을 받아야 합니다. 이는 감사인에게 제공된 명시적 또는 묵시적 진술을 확인하고, 오해의 가능성을 줄이기 위함입니다.

서면 진술에 포함되어야 할 내용:

• 기준에 근거한 주제에 대한 경영진의 주장.
• 모든 관련 사항이 주제의 측정 또는 평가에 반영되었음을 명시.
• 주제나 주장에 모순되는 모든 알려진 사항과 규제 기관 등의 모든 통신 내용이 감사인에게 공개되었음을 명시.
• 주제, 주장, 기준 선택 및 기준의 적절성 결정에 대한 책임 인정.
• 주제나 주장에 중대한 영향을 미칠 수 있는 알려진 모든 후속 사건이 공개되었음을 명시.
• 감사인에게 모든 관련 접근 권한과 정보가 제공되었음을 명시.
• 알려진 모든 내부 통제 결함, 사기 또는 법규 미준수 의심 사례 공개.

서면 진술이 제공되지 않을 경우:

경영진이 요청된 진술 중 하나 이상을 제공하지 않거나, 감사인이 진술의 신뢰성에 대해 충분한 의심을 갖게 되면, 이는 업무 범위 제한에 해당할 수 있습니다. 이 경우, 수정되지 않은 의견을 발행하지 못할 수 있으며 상황에 따라 업무에서 철수할 수도 있습니다.