[SOC리포트란]
서비스 조직에서 제공하는 서비스 운영에 대한 내부통제 평가 보고서를 의미한다.
비즈니스가 지속적으로 복잡해지고 있기에 기업은 핵심 역량에만 집중하고 기타 필요로 하는 특정 업무영역에 대하여 비용절감 및 위험감소효과 등의 이유로 아웃소싱 업체와 같은 서비스 조직 등을 이용하는 경우가 일반화 되고 있다.
사실상 내부회계관리제도의 관점에서 볼 때 기업은 일부 기능을 아웃소싱한다고 하더라도 대표이사와 내부회계관리자는 아웃소싱으로부터 발생하는 재무제표 왜곡위험에 대해 책임이 경감될 수 없으므로 궁극적인 책임은 경영진에게 있다.
외부서비스제공자는 본인이 제공하고 있는 서비스에 대해서 내부통제 화경이 적정하게 설계되고 운영되고 있다는 사실을 증명하기 위해 외부인증을 받은 보고서를 발행하여 서비스 이용자 기업에게 제공하게 되는데, 이 보고서를 SOC 보고서라고 통칭한다.
ISAE 3402 (Assurance Reports on Controls at a Service Organization)에 의거한 SOC 보고서가 발행되면, 서비스 이용자 기업은 아웃소싱 업체가 약정대로 서비스를 제공하고 있는지, 재무거래와 회계처리의 서비스에 있어 오류나 누락이 없는지 정보를 얻을 수 있다. 또한 서비스 이용자 기업의 감사인은 내부회계관리제도의 평가에 있어서 아웃소싱 서비스에 대한 내부통제와 관련한 정보를 입수할 수 있을 것이다.
ISAE 3402 (Assurance Reports on Controls at a Service Organization)는 두 가지 종류의 인증보고서를 발행할 수 있는데, 내부회계관리제도의 목적으로는 유형 2의 보고서가 적합하다.
<유형 1 보고서>
특정일 현재에 대한 보고 ("as of" basis reporting)
> 서비스조직의 시스템기술서가 특정일 현재 설계되고 구축된 대로 해당 시스템을 공정하게 표시하고 있는지 여부
> 서비스조직의 시스템 기술서에 기재된 통제 목적의 관련 통제들이 특정일 현재 적합하게 설계되었는지 여부
<유형 2 보고서>
일정기간 동안에 대한 보고 ("period" basis reporting)
> 서비스조직의 시스템기술서가 특정기간동안 설계되고 구축된 대로 해당 시스템을 공정하게 표시하고 있는지 여부
> 서비스조직의 시스템기술서에 기재된 통제목적의 관련 통제들이 특정 기간 동안 적합하게 설계되었는지 여부
> 서비스조직의 시스템기술서에 기재된 통제 목적의 관련 통제들이 특정 기간 동안 효과적으로 운영되었는지 여부
[SOC 보고서의 Trust Services Principles의 기준]
> Security
> Availability
> Processing Integrity
> Confidentiality
> Privacy
참고 : [중급 내부회계관리제도 실무], 삼일포마인, 2020
'공부 > IT 감사 및 내부회계 IT' 카테고리의 다른 글
| [공부] 내부회계관리제도 외부감사인에 의한 평가 (0) | 2021.07.14 |
|---|---|
| [공부] IT내부통제 및 IT일반통제, IT응용통제, 최종 사용자 컴퓨팅 (0) | 2021.07.14 |
| [공부] PLC(Process-Level Control) (0) | 2021.07.14 |
| [공부] IPE(Information Produced by Entity) (0) | 2021.07.14 |
| [공부] 내부회계관리제도 용어 정리 (0) | 2021.07.14 |
댓글