ISA 402: 감사에서 서비스 조직 보고서 활용 가이드

서비스 조직 개념과 ISA 402의 적용 범위

물류 업체나 법률 자문 업체는 서비스 조직이 아닙니다. ISA 402.9가 말하는 서비스 조직은 "사용자 기업의 정보시스템 중 내부통제와 관련된 부분에 대해 서비스를 제공하는 제3자 조직"입니다. 사용자 기업의 재무보고 과정에서 통제 기능을 수행하는 조직만 해당합니다.

ISA 402는 서비스 조직이 사용자 기업의 정보시스템 일부로 기능하고 해당 서비스가 재무보고와 관련되며 서비스 조직의 통제가 사용자 기업의 내부통제 전체에 영향을 미치는 경우에 적용됩니다. 급여 처리, 자산 관리, 데이터 센터 운영, 대출 서비스가 대표적입니다.

ISA 402.8은 감사인이 서비스 조직 사용이 사용자 기업의 내부통제에 미치는 영향을 이해하고 평가할 것을 요구합니다. 위험평가 절차의 일부로 수행됩니다. 서비스의 성격과 중요성, 계약 조건, 상호작용 수준을 파악해야 합니다. 제 경험상 이 단계를 건너뛰고 바로 Type II 보고서만 입수하는 팀이 많습니다.

감사에 미치는 영향 평가

ISA 402.11은 서비스 조직 사용이 감사에 미치는 영향을 평가할 때 고려할 요소를 제시합니다.

서비스의 성격과 중요성이 출발점입니다. 급여 처리처럼 매월 반복되는 대량 거래를 처리하는 서비스는 재무보고에 미치는 영향이 큽니다. 서비스가 중단되거나 오류가 발생하면 재무제표 전반에 영향을 미칩니다. 반면 일회성 자문 서비스는 영향이 제한적입니다.

서비스 조직의 통제와 사용자 기업의 내부통제 간 상호작용 정도도 따져야 합니다. 사용자 기업이 서비스 조직에서 제공하는 보고서를 검토하고 승인하는 절차가 있다면 보완 통제가 존재합니다. 서비스 조직의 시스템에서 자동 생성되는 분개를 그대로 장부에 반영한다면 사용자 기업의 통제가 사실상 없는 것입니다. 이런 파일에서 "사용자 기업 통제 양호"라고 조서에 적으면 논리가 무너집니다.

거래의 양과 복잡성도 고려 대상입니다. 단순한 데이터 입력 수준이라면 사용자 기업의 입력 승인 절차가 핵심입니다. 복잡한 계산이나 배분이 포함된다면 서비스 조직의 통제가 더 중요해집니다.

ISA 402.12는 감사인이 서비스 조직의 서비스가 내부통제에 미치는 영향에 대해 충분한 이해를 확보할 것을 요구합니다. 이 이해가 위험 식별과 평가의 기초입니다.

서비스 조직 보고서의 유형과 활용

ISA 402는 서비스 조직 감사인이 발행하는 두 가지 유형의 보고서를 다룹니다.

Type I 보고서(ISA 402.A17)는 특정 시점에서 서비스 조직의 통제 설계를 다룹니다. 통제가 적절하게 설계되었는지 평가하지만 운영 효과성은 테스트하지 않습니다. 설계만 봅니다. 실제로 돌아가는지는 답하지 않습니다.

Type II 보고서는 특정 기간 동안 통제의 설계와 운영 효과성을 모두 다룹니다. 서비스 조직 감사인이 통제 테스트를 수행하고 결과를 보고합니다. 설계대로 작동하는지까지 확인한 것입니다.

ISA 402.15는 사용자 감사인이 보고서를 활용할 때 감사 목적에 적합한지 평가할 것을 요구합니다. 보고서 작성 기준, 대상 기간, 테스트된 통제의 범위를 확인해야 합니다.

실무적으로 Type II 보고서가 훨씬 유용합니다. 통제 테스트 결과를 제공하므로 추가 절차를 줄일 수 있습니다. 단 보고서의 대상 기간이 감사 기간과 일치해야 하고 테스트된 통제가 식별된 위험과 관련이 있어야 합니다. 대상 기간이 9월까지인 보고서로 12월 결산 감사를 커버하겠다고 하면 잔존 기간에 대한 추가 절차가 필요합니다.

보고서에는 예외사항이 포함될 수 있습니다. ISA 402.16은 예외사항이 사용자 기업의 재무제표에 미칠 영향을 평가할 것을 요구합니다. 예외가 보고서에 적혀 있는데 무시하고 조서에 "예외사항 없음"이라고 적으면 감리에서 지적됩니다.

대안적 절차와 추가 증거 수집

보고서가 없거나 부적절한 경우 ISA 402.18은 대안적 절차를 제시합니다.

서비스 조직에서 증거를 직접 확보하는 방법이 있습니다. 서비스 조직을 방문하여 관련 통제를 직접 테스트하거나 다른 감사인에게 절차를 수행하도록 할 수 있습니다. 비용과 시간이 많이 들지만 가장 직접적인 방법입니다. 솔직히 로컬 법인에서 이 방법을 택하는 경우는 드뭅니다. 예산이 맞지 않습니다.

실질적 절차를 수행하는 방법도 있습니다. 서비스 조직의 통제에 의존하지 않고 거래와 잔액을 직접 테스트합니다. 급여 비용이라면 개별 직원의 근무 기록과 급여 지급 내역을 비교합니다. 자산 관리 서비스라면 개별 자산의 실재성과 평가를 직접 확인합니다.

ISA 402.19는 서비스 조직의 서비스가 사용자 기업의 회계기록 생성과 유지에 핵심 역할을 하는 경우 보고서만으로는 충분한 감사 증거를 확보하기 어렵다고 명시합니다. 추가 증거가 필요합니다.

보완적 사용자 기업 통제(CUEC)의 존재도 확인해야 합니다. 보고서에는 사용자 기업이 수행해야 할 통제가 명시되어 있습니다. 이 통제가 적절히 설계되고 운영되고 있는지 확인해야 합니다. 보고서에 CUEC가 10개 나열되어 있는데 사용자 기업이 하나도 수행하지 않고 있다면 보고서의 결론에 의존할 수 없습니다.

실무 적용 예시: 급여 처리 서비스

한국정밀기계 주식회사의 사례입니다.

한국정밀기계㈜는 연 매출 850억 원의 제조업체로 직원 1,200명의 급여 처리를 한국인사서비스㈜에 위탁하고 있습니다. 급여 계산, 4대 보험료 납부, 소득세 신고까지 전부 외부에서 처리합니다.

1단계로 서비스의 중요성을 평가했습니다. 급여비용은 연간 420억 원으로 전체 비용의 35%를 차지합니다. 매월 반복되는 대량 거래입니다. 조서: "급여 처리 서비스는 ISA 402.9에 따른 서비스 조직에 해당. 재무보고에 직접적 영향"

2단계로 내부통제 상호작용을 분석했습니다. 한국정밀기계의 인사팀이 매월 근무시간을 집계하여 서비스 업체에 전달합니다. 서비스 업체는 급여를 계산하고 명세서를 작성합니다. 회계팀은 총액만 확인하고 분개를 승인합니다. 개별 계산의 정확성은 전적으로 서비스 조직 통제에 의존합니다. 조서: "사용자 기업의 CUEC: 근무시간 집계 검토, 급여 총액 승인. 개별 계산 정확성은 서비스 조직 통제에 의존"

3단계로 보고서를 검토했습니다. 한국인사서비스는 ISAE 3402에 따른 Type II 보고서를 제공합니다. 대상 기간은 2024년 1월부터 12월까지입니다. 급여 계산 정확성, 데이터 보안, 백업 절차, 접근통제에 대한 통제가 테스트되었습니다. 조서: "Type II 보고서 입수. 대상 기간 적절. 주요 통제 테스트 결과 예외사항 없음"

4단계로 추가 절차를 수행했습니다. 보고서가 급여 계산의 정확성을 다루지만 근무시간 입력 데이터의 완전성은 다루지 않습니다. 25건의 급여 지급 건을 표본으로 선택하여 근무시간 기록과 실제 지급액을 재계산했습니다. 차이가 발견되지 않았습니다. 조서: "급여 재계산 테스트 25건 수행. ISA 402.18 대안적 절차. 차이 없음"

이 접근법으로 서비스 조직에 대한 의존도를 줄이면서 충분한 감사 증거를 확보했습니다.

실무 체크리스트

1. 서비스 조직 식별 (ISA 402.9): 클라이언트가 사용하는 외부 서비스 중 재무보고 과정에서 통제 기능을 수행하는 서비스를 식별합니다. 단순 공급업체는 제외합니다.

2. 영향 평가 (ISA 402.11): 각 서비스의 성격, 중요성, 복잡성을 평가합니다. 내부통제와의 상호작용 수준을 파악하고 위험평가 조서에 문서화합니다.

3. 보고서 입수 (ISA 402.15): Type I 또는 Type II 보고서를 확보합니다. 대상 기간, 작성 기준, 테스트 범위의 적절성을 확인합니다.

4. CUEC 테스트 (ISA 402.17): 사용자 기업이 수행해야 하는 보완 통제의 설계와 운영 효과성을 평가합니다. 보고서에 명시된 사용자 통제 요구사항을 확인합니다.

5. 대안적 절차 계획 (ISA 402.18): 보고서가 없거나 부적절한 경우 대안적 절차를 설계합니다. 직접 테스트 또는 실질적 절차 수행 계획을 수립합니다.

6. 조서 작성: 서비스 조직 사용이 감사에 미친 영향, 수행한 절차, 도달한 결론을 문서화합니다. ISA 402.20 문서화 요구사항을 준수해야 합니다.

흔한 실수

서비스 조직과 단순 공급업체를 혼동하는 경우가 있습니다. 물류 업체나 청소 업체를 서비스 조직으로 잘못 분류하면 불필요한 절차가 추가됩니다. ISA 402는 통제 기능을 수행하는 조직에만 적용됩니다.

Type I 보고서에 과도하게 의존하는 것도 빈번한 오류입니다. Type I은 설계 적절성만 다룹니다. 운영 효과성에 대한 증거가 필요하면 Type II를 입수하거나 추가 절차를 수행해야 합니다.

CUEC를 간과하는 경우가 가장 위험합니다. 보고서만 검토하고 사용자 기업이 수행해야 할 보완 통제를 테스트하지 않는 파일입니다. 서비스 조직의 통제와 사용자 기업의 CUEC가 함께 작동해야 전체 통제 목적이 달성됩니다. 한쪽만 보면 절반만 본 것입니다.