ISA 402: 감사에서 서비스 조직 보고서 활용 가이드

목차

• 서비스 조직 개념과 ISA 402의 적용 범위
• 감사에 미치는 영향 평가
• 서비스 조직 보고서의 유형과 활용
• 대안적 절차와 추가 증거 수집
• 실무 적용 예시: 급여 처리 서비스
• 실무 체크리스트
• 흔한 실수들
• 관련 자료

서비스 조직 개념과 ISA 402의 적용 범위

ISA 402.9는 서비스 조직을 "사용자 기업의 정보시스템 중 내부통제와 관련된 부분에 대해 서비스를 제공하는 제3자 조직"으로 정의합니다. 단순한 외주 업무가 아닙니다. 사용자 기업의 재무보고 과정에서 통제 기능을 수행하는 조직입니다.
ISA 402는 다음 상황에 적용됩니다. 첫째, 서비스 조직이 사용자 기업의 정보시스템의 일부로 기능하는 경우입니다. 둘째, 해당 서비스가 사용자 기업의 재무보고와 관련된 경우입니다. 셋째, 서비스 조직의 통제가 사용자 기업의 내부통제 전체의 효과성에 영향을 미치는 경우입니다.
전형적인 예시는 급여 처리, 자산 관리, 데이터 센터 운영, 대출 서비스 등입니다. 단순히 물건을 공급하거나 법률 자문을 제공하는 것은 ISA 402의 범위에 해당하지 않습니다. 통제 기능을 수행해야 합니다.
ISA 402.8은 감사인이 서비스 조직 사용이 사용자 기업의 내부통제에 미치는 영향을 이해하고 평가할 것을 요구합니다. 이는 위험평가 절차의 일부로 수행됩니다. 서비스의 성격과 중요성, 서비스 조직과 사용자 기업 간의 계약 조건, 상호작용 수준을 파악해야 합니다.

감사에 미치는 영향 평가

서비스 조직 사용이 감사에 미치는 영향을 평가할 때 ISA 402.11은 다음 요소들을 고려하도록 요구합니다.
서비스의 성격과 중요성입니다. 급여 처리처럼 매월 반복되는 대량 거래를 처리하는 서비스는 재무보고에 미치는 영향이 큽니다. 서비스가 중단되거나 오류가 발생하면 재무제표 전반에 영향을 미칠 수 있습니다. 반면 특정 프로젝트에 대한 일회성 자문 서비스는 영향이 제한적입니다.
서비스 조직의 통제와 사용자 기업의 내부통제 간 상호작용 정도입니다. 사용자 기업이 서비스 조직에서 제공하는 보고서를 검토하고 승인하는 절차가 있다면 보완 통제가 존재합니다. 서비스 조직의 시스템에서 자동으로 생성되는 분개를 그대로 장부에 반영한다면 사용자 기업의 통제가 제한적입니다.
서비스 조직에서 처리하는 거래의 양과 복잡성입니다. 단순한 데이터 입력 수준이라면 서비스 조직의 통제보다는 사용자 기업의 입력 승인 절차가 더 중요할 수 있습니다. 복잡한 계산이나 배분이 포함된다면 서비스 조직의 통제가 중요합니다.
ISA 402.12는 감사인이 서비스 조직의 서비스가 사용자 기업의 내부통제에 미치는 영향에 대해 충분한 이해를 확보할 것을 요구합니다. 이 이해는 위험 식별 및 평가의 기초가 됩니다.

서비스 조직 보고서의 유형과 활용

ISA 402는 서비스 조직 감사인이 발행하는 두 가지 유형의 보고서를 다룹니다.
Type I 보고서(ISA 402.A17에서 설명)는 특정 시점에서 서비스 조직의 통제 설계를 다룹니다. 통제가 적절하게 설계되었는지 평가하지만 운영 효과성은 테스트하지 않습니다. "시스템 설계가 적절한가"에 대한 답변입니다.
Type II 보고서는 특정 기간 동안 통제의 설계와 운영 효과성을 모두 다룹니다. 서비스 조직 감사인이 통제 테스트를 수행하고 결과를 보고합니다. "시스템이 설계대로 작동하는가"에 대한 답변입니다.
ISA 402.15는 사용자 감사인이 서비스 조직 보고서를 활용할 때 보고서가 감사 목적에 적합한지 평가할 것을 요구합니다. 보고서 작성 기준, 대상 기간, 테스트된 통제의 범위를 확인해야 합니다.
Type II 보고서가 더 유용합니다. 통제 테스트 결과를 제공하므로 사용자 감사인이 추가로 수행할 절차를 줄일 수 있습니다. 단, 보고서의 대상 기간이 감사 기간과 일치해야 하고, 테스트된 통제가 식별된 위험과 관련이 있어야 합니다.
서비스 조직 보고서에는 예외사항이 포함될 수 있습니다. ISA 402.16은 사용자 감사인이 이러한 예외사항이 사용자 기업의 재무제표에 미칠 영향을 평가할 것을 요구합니다. 예외가 중요하다면 추가 절차를 수행해야 합니다.

대안적 절차와 추가 증거 수집

서비스 조직 보고서가 없거나 부적절한 경우 ISA 402.18은 대안적 절차를 제시합니다.
첫 번째는 서비스 조직에서 충분하고 적절한 증거를 직접 확보하는 것입니다. 서비스 조직을 방문하여 관련 통제를 직접 테스트하거나 다른 감사인으로 하여금 그러한 절차를 수행하도록 할 수 있습니다. 이는 비용과 시간이 많이 들지만 가장 직접적인 방법입니다.
두 번째는 실질적 절차를 수행하는 것입니다. 서비스 조직의 통제에 의존하지 않고 거래와 잔액을 직접 테스트합니다. 급여 비용이라면 개별 직원의 근무 기록과 급여 지급 내역을 비교하거나, 자산 관리 서비스라면 개별 자산의 실재성과 평가를 직접 확인할 수 있습니다.
ISA 402.19는 서비스 조직의 서비스가 사용자 기업의 회계기록 생성과 유지에 중요한 역할을 하는 경우, 서비스 조직 보고서만으로는 충분한 적절한 감사 증거를 확보하기 어렵다고 명시합니다. 추가적인 증거가 필요합니다.
보완적 사용자 기업 통제(complementary user entity controls)의 존재도 중요합니다. 서비스 조직 보고서에는 사용자 기업이 수행해야 할 통제가 명시되어 있습니다. 이러한 통제가 적절히 설계되고 운영되고 있는지 확인해야 합니다.

실무 적용 예시: 급여 처리 서비스

한국정밀기계 주식회사의 사례
한국정밀기계㈜는 연 매출 850억 원의 제조업체로 직원 1,200명의 급여 처리를 한국인사서비스㈜에 위탁하고 있습니다. 급여 계산, 4대 보험료 납부, 소득세 신고까지 모든 업무를 외부에서 처리합니다.
1단계: 서비스의 중요성 평가
급여비용은 연간 420억 원으로 전체 비용의 35%를 차지합니다. 매월 반복되는 대량 거래입니다. 서비스 중단 시 재무보고에 중요한 영향을 미칩니다.
조서 기재: "급여 처리 서비스는 ISA 402.9에 따른 서비스 조직에 해당. 재무보고에 직접적 영향"
2단계: 내부통제 상호작용 분석
한국정밀기계의 인사팀이 매월 근무시간을 집계하여 서비스 업체에 전달합니다. 서비스 업체는 급여를 계산하고 명세서를 작성합니다. 한국정밀기계의 회계팀은 총액만 확인하고 분개를 승인합니다.
조서 기재: "사용자 기업의 보완 통제: 근무시간 집계 검토, 급여 총액 승인. 개별 계산의 정확성은 서비스 조직 통제에 의존"
3단계: 서비스 조직 보고서 검토
한국인사서비스는 ISAE 3402에 따른 Type II 보고서를 제공합니다. 보고서 대상 기간은 2024년 1월~12월입니다. 급여 계산 정확성, 데이터 보안, 백업 절차에 대한 통제가 테스트되었습니다.
조서 기재: "Type II 보고서 입수. 대상 기간 적절. 주요 통제 테스트 결과 예외사항 없음"
4단계: 추가 절차 수행
서비스 조직 보고서가 급여 계산의 정확성을 다루지만, 근무시간 입력 데이터의 완전성은 다루지 않습니다. 25개 급여 지급 건을 표본으로 선택하여 근무시간 기록과 실제 지급액을 재계산했습니다.
조서 기재: "급여 재계산 테스트 25건 수행. ISA 402.18 대안적 절차. 차이 발견되지 않음"
이 접근법으로 서비스 조직에 대한 의존도를 줄이면서 충분하고 적절한 감사 증거를 확보했습니다.

실무 체크리스트

• 서비스 조직 식별 (ISA 402.9): 클라이언트가 사용하는 모든 외부 서비스 중 재무보고 프로세스에 통제 기능을 수행하는 서비스 식별. 단순 공급업체는 제외.
• 영향 평가 (ISA 402.11): 각 서비스의 성격, 중요성, 복잡성 평가. 내부통제와의 상호작용 수준 파악. 위험평가 조서에 문서화.
• 서비스 조직 보고서 입수 (ISA 402.15): Type I 또는 Type II 보고서 확보. 보고서 대상 기간, 작성 기준, 테스트 범위의 적절성 확인.
• 보완 통제 테스트 (ISA 402.17): 사용자 기업이 수행해야 하는 보완 통제의 설계와 운영 효과성 평가. 서비스 조직 보고서에 명시된 사용자 통제 요구사항 확인.
• 대안적 절차 계획 (ISA 402.18): 서비스 조직 보고서가 없거나 부적절한 경우 대안적 절차 설계. 직접 테스트 또는 실질적 절차 수행 계획 수립.
• 조서 작성: 서비스 조직 사용이 감사에 미친 영향, 수행한 절차, 도달한 결론을 명확히 문서화. ISA 402.20 문서화 요구사항 준수가 핵심 포인트.

흔한 실수들

• 서비스 조직과 단순 공급업체 혼동: 물류 업체나 청소 업체를 서비스 조직으로 잘못 분류하는 경우가 있습니다. ISA 402는 통제 기능을 수행하는 조직에만 적용됩니다.
• Type I 보고서에 과도한 의존: Type I 보고서는 설계 적절성만 다룹니다. 운영 효과성에 대한 증거가 필요하면 추가 절차를 수행해야 합니다.
• 보완 통제 간과: 서비스 조직 보고서만 검토하고 사용자 기업이 수행해야 할 보완 통제를 테스트하지 않는 경우입니다. 두 통제가 함께 작동해야 전체 통제 목적이 달성됩니다.
• 보고서 대상 기간 불일치 무시: ISA 402.A21에 따라 Type II 보고서의 대상 기간이 감사 대상 기간을 완전히 포함하지 않으면 갭 기간에 대한 추가 절차가 필요합니다. 예컨대 보고서가 1-9월만 다루면 10-12월에 대한 별도 증거를 확보해야 합니다.

관련 자료

• ISA 315 위험평가 가이드 - 서비스 조직 사용을 포함한 내부통제 이해와 위험평가 절차
• ISAE 3402 검토 체크리스트 - 서비스 조직 보고서 검토 시 확인해야 할 주요 항목들
• 내부통제 테스트 워크북 - 보완 사용자 통제를 포함한 통제 테스트 절차와 문서화 템플릿
• ISA 330 위험 대응 가이드 - 서비스 조직 통제에 의존할 때 통제테스트와 실질적 절차의 설계 방법