서비스기관 보고서 평가 방법: ISA 402 이용자감사인 체크리스트

이 글에서 배울 내용

> - ISA 402.A38에 따라 서비스기관 보고서에서 적절한 증거를 식별하는 방법 > - 서비스기관감사인의 의견과 예외사항이 위험 평가에 미치는 영향 > - 보고서 기간과 고객사 사업년도 간의 차이를 다루는 방법 > - 통제 테스트 결과를 실질적 절차 접근법에 연결하는 방법

서비스기관 보고서 유형과 ISA 402 요구사항

ISA 402.9는 서비스기관의 통제가 고객사의 내부통제와 관련이 있을 때 이를 이해하도록 요구한다. 단순히 서비스를 사용한다는 사실만으로는 충분하지 않다. 해당 서비스가 고객사의 재무보고에 어떤 영향을 미치는지 평가해야 한다.

서비스기관 보고서는 두 가지 주요 유형이 있다. 유형 1은 특정 날짜 현재 통제의 설계와 구현을 다룬다. 유형 2는 일정 기간에 걸친 통제의 운영 효과성을 포함한다. 제 경험상 유형 2 보고서가 실질적으로 더 유용한 증거를 제공하며, ISA 402.A19도 이를 뒷받침한다.

보고서에서 찾아야 할 주요 요소

각 서비스기관 보고서에는 서비스기관감사인의 의견, 서비스기관의 책임 사항, 통제 목표, 통제 활동 및 테스트 결과가 포함된다. ISA 402.A38은 이러한 각 구성요소가 감사 접근법에 어떤 영향을 미치는지 이해하도록 요구한다.

서비스기관감사인이 한정의견이나 부정의견을 표명했다면 그 근거를 주의 깊게 읽어야 한다. ISA 402.16은 한정사항이 고객사의 재무제표에 미치는 잠재적 영향을 평가하도록 요구한다.

보고서 평가의 단계별 접근법

1단계: 서비스 범위 식별

먼저 서비스기관이 고객사를 위해 수행하는 정확한 서비스를 식별한다. 급여 처리가 세금 신고까지 포함하는지, 아니면 급여 계산만 포함하는지 확인한다. 클라우드 호스팅이 데이터 백업과 복구를 포함하는지, 아니면 서버 호스팅만 포함하는지 파악한다.

2단계: 관련 통제 목표 매핑

서비스기관 보고서의 통제 목표를 고객사의 재무제표 주장과 연결한다. ISA 402.A35는 이 매핑 과정이 위험 평가의 핵심이라고 명시한다. 매출 주장과 관련된 통제, 지출의 완전성과 관련된 통제를 구분하고, 현금의 실재성과 관련된 통제도 별도로 식별한다.

3단계: 테스트 결과 분석

유형 2 보고서의 경우 각 통제에 대한 테스트 결과를 검토한다. 예외사항이 있다면 그 성격, 발생 시기, 서비스기관의 시정조치를 확인한다. ISA 402.A41은 예외사항의 심각성과 빈도를 평가하도록 요구한다.

4단계: 기간 차이 평가

서비스기관 보고서의 기간이 고객사의 사업년도와 정확히 일치하는 경우는 드물다. ISA 402.A45는 이런 기간 차이를 다루는 방법을 제시한다. 보고서 기간 종료일부터 고객사 사업년도말까지의 기간에 대해서는 추가 증거가 필요하다.

실무 적용 사례

우진물류 주식회사 사례

우진물류는 매출 180억 원의 운송회사로 창고 관리와 재고 추적을 위해 한국스마트로지스 주식회사의 창고관리시스템을 사용한다. 한국스마트로지스로부터 2024년 ISAE 3402 유형 2 보고서를 받았다(보고기간: 2024.1.1~2024.9.30). 우진물류의 사업년도는 2024.1.1~2024.12.31이다.

1단계: 서비스 범위 확인 한국스마트로지스는 입고, 출고, 재고 추적, 월별 재고 보고서 생성을 담당한다. 실물 재고조사는 우진물류가 직접 수행한다.

문서화 주석: 서비스기관의 책임과 고객사의 잔존 책임을 명확히 구분하여 기록

2단계: 관련 통제 식별 - 통제 목표 1: 입고 거래가 완전하고 정확하게 기록됨 (재고 실재성 주장) - 통제 목표 3: 출고 거래가 승인된 판매주문에만 기반하여 처리됨 (재고 실재성 주장) - 통제 목표 5: 재고 수량이 정확하게 유지되고 보고됨 (재고 정확성과 평가 주장)

문서화 주석: 각 통제 목표를 재무제표 주장과 연결하여 매핑 테이블 작성

3단계: 테스트 결과 검토 서비스기관감사인은 무한정 의견을 표명했으나 통제 목표 3에서 2건의 예외사항을 발견했다. 7월과 8월에 승인되지 않은 출고가 각각 1건씩 발생했으나 두 건 모두 다음 영업일에 발견되어 시정되었다.

문서화 주석: 예외사항의 금액적 중요성을 고객사 기준으로 평가. 각 건당 250만 원으로 개별적으로는 중요하지 않으나 유사 오류의 발생 가능성을 고려

4단계: 기간 차이 대응 보고서는 9월 30일에 종료되지만 우진물류의 사업년도는 12월 31일에 종료된다. 10~12월 기간에 대해서는 월별 관리보고서와 시스템 생성 로그를 추가로 검토한다.

문서화 주석: 기간 차이 3개월에 대한 추가 절차로 10~12월 입출고 내역과 월말 재고 보고서의 일치성 확인

예외사항이 경미하고 시정되었으므로 통제에 의존 가능하다고 판단했다. 다만 연말 재고조사 시 출고 승인 절차에 특별한 주의를 기울이기로 했다.

실무 체크리스트

1. 서비스기관이 수행하는 정확한 기능과 고객사의 잔존 책임을 명시한다. ISA 402.9 참조.

2. 보고서의 각 통제 목표를 고객사 재무제표의 구체적 주장(실재성, 완전성, 정확성, 평가)과 연결한다.

3. 무한정 의견이 아닌 경우 한정사항이 고객사에 미치는 영향을 구체적으로 분석한다.

4. 유형 2 보고서의 모든 예외사항에 대해 성격, 시정조치, 재발 방지책을 확인한다.

5. 보고서 기간과 고객사 사업년도 간 차이에 대한 추가 증거 수집 계획을 수립한다.

6. 통제 테스트 결과를 바탕으로 실질적 절차의 성격, 시기, 범위를 조정한다. 이것이 ISA 402의 궁극적 목적이다.

흔한 실수

시즌 때 시간에 쫓기면 보고서를 제대로 읽지 않게 된다. 솔직히 타임이팅에 시달리면서 서비스기관 보고서까지 꼼꼼히 볼 여유가 없다고 느끼는 게 현실이다. 그런데 품관실 감리에서 걸리면 그때 가서 멘탈이 깨진다.

- 많은 팀이 의견 유형만 확인하고 본문의 세부 내용을 읽지 않는다. 통제 테스트 결과와 예외사항이 실제로 중요한 정보다.

- 보고서 기간이 다르다는 것을 인식하지만 추가 절차를 수행하지 않는 경우가 많다.

- "경미한 예외"라고 분류되어 있어도 고객사 관점에서는 중요할 수 있다.