Sarbanes-Oxley Act of 2002(SOX)

아티클
01/31/2024

SOX 개요

2002년 사베인 옥슬리 법(SOX)은 증권거래위원회(SEC)가 관리하는 미국 연방법입니다. 무엇보다도 SOX는 상장 기업이 재무제표가 재무 결과를 정확하게 반영하는지 확인하기 위해 적절한 내부 통제 구조를 갖추어야 합니다. SOX는 특히 재무 보고에 대한 제어와 관련하여 고객의 내부 프로세스에 크게 영향을 받습니다. 예를 들어 SOX 요구 사항에는 재무제표의 준비 및 검토를 위한 내부 고객 제어, 특히 재무 보고와 관련된 중요한 변경 내용의 정확성, 완전성, 효율성 및 공개에 영향을 미치는 제어가 포함됩니다.

SEC는 SOX 인증 프로세스를 정의하거나 부과하지 않습니다. 대신, 상장 기업이 SOX 보고 요구 사항을 준수하는 방법을 결정하기 위한 광범위한 지침을 제공합니다.

Microsoft 및 SOX

SOX(Sarbanes-Oxley Act)를 준수하는 Microsoft 클라우드 서비스 고객은 자체 SOX 규정 준수 의무를 해결할 때 Microsoft가 독립 감사 회사로부터 받은 SOC 1 유형 2 증명을 사용할 수 있습니다. 이 증명은 재무 보고에 대한 내부 제어에 대한 보고에 적합합니다.

클라우드 서비스 공급자에 대한 SOX 인증 또는 유효성 검사가 없더라도 Microsoft는 고객이 SOX 의무를 충족하는 데 도움을 줄 수 있습니다. 예를 들어 SOX는 재무제표의 준비 및 검토를 위한 내부 제어, 특히 재무 보고와 관련된 중요한 변경 내용의 정확성, 완전성, 효율성 및 공개에 영향을 미치는 제어를 요구합니다. 회사를 돕기 위해 Microsoft는 광범위한 애플리케이션을 빌드하는 데 사용할 수 있는 광범위한 서비스 포트폴리오에서 이러한 제어를 보고하는 데 적합한 SOC 1 유형 2 증명을 유지 관리합니다. 미국 공인 회계사 연구소(AICPA) 증명 계약 18(SSAE 18) 표준 및 보증 계약 3402(ISAE 3402)에 대한 국제 표준을 기반으로 합니다. (이 증명은 SAS 70으로 대체되었습니다.)

타사 감사 회사가 작성한 감사 보고서는 Microsoft 컨트롤이 지정된 날짜에 작동하고 지정된 기간 동안 효과적으로 작동하도록 적절하게 설계되었음을 확인합니다. 고객은 보고서를 검토하여 Microsoft 컨트롤 목표와 컨트롤의 효과에 대해 알아보고 보완적인 컨트롤에 액세스할 수 있습니다.

Microsoft는 규정 준수 책임을 고객과 공유합니다. Microsoft는 인증하는 제3자의 자세한 감사 결과를 요청하여 확인할 수 있는 규정 준수 프로그램에 대한 세부 정보를 제공합니다. 그러나 궁극적으로 Microsoft 서비스가 귀사에 적용되는 특정 법률 및 규정을 준수하는지 여부를 결정하는 것은 사용자의 입니다. 예를 들어 사용자의 책임인 클라우드 리소스에 대한 사용자 액세스와 같은 SOX 관련 보안 제어가 있습니다. organization SOX 규정 준수의 일부로 이러한 컨트롤에 대한 적절한 감사를 개발해야 합니다.

Microsoft 범위 내 클라우드 플랫폼 및 서비스

Azure
Dynamics 365
Intune
Office 365
Power BI 클라우드 서비스(독립 실행형 서비스 혹은 Office 365에 브랜딩된 플랜 또는 제품군에 포함된 형태)

Azure, Dynamics 365 및 SOX

클라우드 채택이 가속화됨에 따라 점점 더 많은 고객이 SOX 규정 준수 의무에 따라 애플리케이션 및 워크로드를 클라우드로 마이그레이션하는 방법을 모색하고 있습니다. 클라우드 서비스 공급자에 대한 SOX 인증 또는 유효성 검사가 없더라도 Azure는 SOX 의무를 충족하는 데 도움이 될 수 있습니다.

SOX 규정 준수 의무가 적용되는 경우 다음 사항에 따라 수행되는 Azure SOC 1 유형 2 증명을 검토해야 합니다.

SSAE 번호 18, 증명 표준: AT-C 섹션 320, 사용자 엔터티의 재무 보고에 대한 내부 제어와 관련된 서비스 조직의 제어 검사 보고(AICPA, 전문 표준)를 포함하는 설명 및 수정.
재무 보고에 관한 사용자 업체의 내부 컨트롤과 관련된 서비스 조직의 컨트롤 조사에 관한 SOC 1 보고(AICPA 가이드).

AICPA SSAE 18 표준은 SAS 70을 대체했으며, 재무 보고에 대한 사용자 엔터티 내부 제어와 관련된 서비스 organization 컨트롤에 대한 보고에 적합합니다. 이는 Azure에 배포된 자산에 대한 업계별 규정 준수 의무를 추구할 때 기술 서비스 공급자의 타사 검토에 의존할 수 있는 공식 감사입니다. 여기에는 지정된 모니터링 기간 동안 관련 제어 목표를 달성하기 위한 제어 효과에 대한 감사자의 의견이 포함됩니다.

Office 365 및 SOX

Office 365 환경

Microsoft Office 365는 다중 테넌트 하이퍼스케일 클라우드 플랫폼이며 전 세계 여러 지역의 고객에게 제공되는 앱 및 서비스의 통합 환경입니다. 대부분의 Office 365 서비스에서는 고객이 고객 데이터가 있는 지역을 지정할 수 있습니다. Microsoft는 데이터 복원력을 위해 동일한 지리적 영역(예: 미국) 내의 다른 지역에 고객 데이터를 복제할 수 있지만, Microsoft는 선택한 지리적 영역 외부에 고객 데이터를 복제하지 않습니다.

이 섹션에서는 다음과 같은 Office 365 환경에 대해 설명합니다.

클라이언트 소프트웨어(클라이언트): 고객 장치에서 실행되는 상용 클라이언트 소프트웨어입니다.
Office 365(상용): 전 세계에서 사용할 수 있는 상업용 공용 Office 365 클라우드 서비스입니다.
Office 365 GCC(정부 커뮤니티 클라우드): Office 365 GCC 클라우드 서비스는 미국 정부를 대신하여 데이터를 저장하거나 처리하는 계약자뿐만 아니라 미국 연방, 주, 지방 및 자치 정부에서 사용할 수 있습니다.
Office 365 GCC High(정부 커뮤니티 클라우드 - High): Office 365 GCC High 클라우드 서비스는 DoD(미국방부) 보안 요구 사항 지침 수준 4 컨트롤에 따라 디자인되었으며 엄격하게 규제되는 연방 및 방어 정보를 지원합니다. 이 환경은 연방 기관, DIB(Defense Industrial Base) 및 정부 계약자가 사용합니다.
Office 365 DoD(DoD): Office 365 DoD 클라우드 서비스는 DoD 보안 요구 사항 지침 수준 5 컨트롤에 따라 디자인되었으며 엄격한 연방 및 방어 규정을 지원합니다. 이 환경은 미국 국방부에서만 사용할 수 있습니다.

이 섹션을 사용하여 규제되는 산업 및 전 세계 시장에서 규정 준수 의무를 충족할 수 있습니다. 제공되는 서비스와 지역을 확인하려면 국가별 사용 가능 여부 및 Microsoft 365 고객 데이터가 저장되는 위치 문서를 참조하세요. Office 365 Government 클라우드 환경에 대한 자세한 내용은 Office 365 Government 클라우드 문서를 참조하세요.

조직은 모든 관련 법률 및 규정을 준수할 책임이 있습니다. 이 섹션에 제공된 정보는 법률 자문을 구성하지 않으며 조직의 규정 준수와 관련된 질문은 법률 자문 담당자에게 문의해야 합니다.

Office 365 적용 가능성 및 범위 내 서비스

다음 표를 사용하여 Office 365 서비스 및 구독의 적용 가능성을 확인하세요.

적용 가능성	범위 내 서비스
상업용	확대 루프, 자동 대체 텍스트, Azure Information Protection, 이진 변환 서비스, Bookings, Delve, 문서 항목, 편집기, Exchange Online, Forms, 온라인 미디어 삽입, 인사이트, 카이잘라, Microsoft Analytics, Microsoft Booking, Microsoft Graph, Microsoft Teams, MyAnalytics, Office 365 Cloud App Security, Office 365 그룹, 비즈니스용 OneDrive, Planner, Power Apps, PowerApps, Power Automate, Power BI, PowerPoint Designer, PowerPoint Online 문서 서비스, SharePoint Online, 비즈니스용 Skype, StaffHub, Stream, Sway, To-Do, 웹 렌더링 서비스, Viva Engage

적용 가능성

범위 내 서비스

상업용

확대 루프, 자동 대체 텍스트, Azure Information Protection, 이진 변환 서비스, Bookings, Delve, 문서 항목, 편집기, Exchange Online, Forms, 온라인 미디어 삽입, 인사이트, 카이잘라, Microsoft Analytics, Microsoft Booking, Microsoft Graph, Microsoft Teams, MyAnalytics, Office 365 Cloud App Security, Office 365 그룹, 비즈니스용 OneDrive, Planner, Power Apps, PowerApps, Power Automate, Power BI, PowerPoint Designer, PowerPoint Online 문서 서비스, SharePoint Online, 비즈니스용 Skype, StaffHub, Stream, Sway, To-Do, 웹 렌더링 서비스, Viva Engage

감사, 보고서 및 인증서

SOC 1 유형 2 보고서:

Azure 및 Power BI
Dynamics 365
Office 365

질문과 대답

Microsoft SOX 규정 준수를 사용하여 organization 규정 준수 프로세스를 용이하게 하려면 어떻게 해야 하나요?

애플리케이션 및 데이터를 다루는 Microsoft 클라우드 서비스로 마이그레이션하는 경우 Microsoft가 보유한 증명 및 인증을 기반으로 빌드할 수 있습니다. 독립적인 감사자 보고서는 Microsoft가 데이터의 보안 및 개인 정보를 유지하기 위해 구현한 제어의 효율성을 확인합니다. 그러나 귀하는 organization 모든 관련 법률 및 규정을 준수하도록 보장할 전적으로 책임이 있습니다.