ISAE 3402 브리지 레터: 기준서에서 찾을 수 없는 3개월 관례

ISAE 3402가 실제로 말하는 것

ISAE 3402.A25는 브리지 절차에 대한 유일한 지침을 제공합니다. 이 문단은 서비스 조직 보고서의 보고 기간과 사용기업의 재무제표 마감일 사이에 공백이 있을 때 추가 증거 획득의 필요성을 언급합니다.
기준서의 핵심은 명확합니다. 사용기업 감사인은 공백 기간 동안 서비스 조직의 통제 환경에 중요한 변화가 있었는지 평가해야 합니다. 변화가 있다면 추가 증거가 필요합니다. 변화가 없다면 SOC 1 보고서만으로 충분합니다.
ISAE 3402.47은 사용기업 감사인이 서비스 조직의 통제에 대한 증거를 어떻게 획득해야 하는지 규정합니다. 여기에는 서비스 감사인의 보고서, 사용기업이 수행하는 적합한 통제, 서비스 조직에서 직접 수행하는 테스트가 포함됩니다. 브리지 절차는 이러한 증거 획득 방법 중 하나입니다.
기준서는 공백 기간의 길이에 대한 수치적 임계치를 제시하지 않습니다. "중요한 변화"와 "추가 증거의 필요성"이라는 전문가적 판단에 의존하는 개념적 프레임워크만 제공합니다.

3개월 관례는 어디서 왔는가

3개월(90일) 임계치는 미국 감사실무에서 형성된 관행입니다. PCAOB와 AICPA 지침서들이 이 기간을 암묵적으로 사용하면서 실무 표준으로 자리잡았습니다.
AICPA의 Service Organizations 감사 가이드는 3개월을 "일반적으로 수용 가능한" 공백 기간으로 언급합니다. 이 지침의 논리는 단순합니다. 분기별 통제 테스트 주기와 일치하며, 대부분의 조직에서 3개월은 통제 환경에 근본적 변화를 가져오기에는 상대적으로 짧은 기간이라는 것입니다.
Big 4 회계법인들의 내부 매뉴얼도 이 3개월 관례를 채택했습니다. 일부는 명시적으로 90일을 임계치로 설정하고, 다른 곳들은 "일반적으로 한 분기를 초과하지 않는" 표현을 사용합니다.
하지만 이는 어디까지나 실무 관행입니다. ISAE 3402 자체는 이 임계치를 지지하지도, 요구하지도 않습니다. 기준서의 접근법은 위험 기반 판단이며, 공백 기간의 길이는 여러 요소 중 하나일 뿐입니다.

공백 기간 평가를 위한 판단 프레임워크

공백 기간이 추가 절차를 요구하는지 평가할 때 다음 네 가지 요소를 고려해야 합니다.
서비스 조직의 안정성이 첫 번째 요소입니다. 성숙한 금융 서비스 회사의 급여 처리 시스템은 3개월 동안 근본적으로 변하지 않을 가능성이 높습니다. 반대로 급성장하는 핀테크 스타트업의 결제 시스템은 한 달 만에도 완전히 재설계될 수 있습니다.
통제의 성격이 두 번째입니다. 자동화된 애플리케이션 통제는 변경하려면 공식적 승인과 테스트가 필요합니다. 수동 검토 통제는 담당자 교체나 업무량 변화로 인해 더 쉽게 우회될 수 있습니다.
사용기업의 의존도가 세 번째 요소입니다. 핵심 회계 처리의 90%를 서비스 조직에 의존한다면 작은 변화도 중요할 수 있습니다. 단순 데이터 처리만 아웃소싱했다면 공백 기간이 더 길어도 허용될 수 있습니다.
변화 지표가 마지막 요소입니다. 서비스 조직의 경영진 교체, 시스템 업그레이드, 규제 변화, 인수합병은 모두 공백 기간의 위험성을 높이는 요인입니다.
이 네 요소를 종합적으로 평가했을 때, 3개월 공백이 낮은 위험으로 평가되면 추가 절차가 불필요할 수 있습니다. 높은 위험으로 평가되면 1개월 공백이라도 브리지 절차가 필요할 수 있습니다.

실무 적용: 대한보험공사 사례

> 가상 시나리오

대한보험공사(가명)는 2024년 12월 31일 재무제표 마감을 앞두고 있습니다. 주요 급여 처리를 한국급여서비스 주식회사(가명)에 아웃소싱하고 있으며, 해당 서비스 조직의 SOC 1 보고서는 2024년 9월 30일까지의 기간을 다룹니다. 공급 기간은 정확히 92일입니다.

> 재무 정보: 직원 급여비 연간 850억 원, 전체 운영비의 67%
1단계: 위험 평가
문서화: 서비스 조직 위험 평가 조서에 기록
한국급여서비스는 15년 운영 경력의 안정적 서비스 조직입니다. 2024년 3분기에 경영진 교체나 시스템 변경이 없었습니다. 급여 처리는 대부분 자동화되어 있으며, 수동 개입이 최소화된 구조입니다.
2단계: 공백 기간 분석
문서화: 공백 기간이 92일이며 일반적 3개월 관례를 2일 초과함을 기록
92일 공백은 3개월 관례를 초과하지만, 서비스의 성격과 조직의 안정성을 고려할 때 중요한 통제 변화 위험은 낮습니다. 그러나 대한보험공사의 급여 처리 의존도가 높아 신중한 접근이 필요합니다.
3단계: 브리지 절차 수행
문서화: 수행한 구체적 절차와 입수한 증거를 상세히 기록
한국급여서비스 내부감사팀으로부터 2024년 4분기 통제 테스트 결과를 입수했습니다. 시스템 접근 통제, 급여 계산 통제, 승인 절차 모두 3분기와 동일한 수준으로 운영되고 있음을 확인했습니다. 10월부터 12월까지 중요한 시스템 변경이나 직원 교체가 없었습니다.
4단계: 결론
문서화: 추가 증거가 충분하며 공백 기간이 감사의견에 영향을 주지 않음
브리지 절차를 통해 입수한 증거는 SOC 1 보고서의 결론이 12월 31일 현재에도 유효함을 뒷받침합니다. 92일 공백에도 불구하고 추가적 실질적 절차는 불필요합니다.

브리지 절차 체크리스트

다음 체크리스트를 현재 감사에 바로 적용할 수 있습니다:

공백 기간 계산: SOC 1 보고서 종료일부터 재무제표 마감일까지 정확한 일수를 산출하고 조서에 기록합니다.
위험 평가: 서비스 조직의 안정성, 통제 성격, 의존도, 변화 지표를 문서화합니다. ISAE 3402.A25가 근거 문단입니다.
3개월 초과 시 추가 절차: 공백이 90일을 초과하면 브리지 레터, 후속 SOC 1 보고서, 또는 직접 테스트 중 하나를 수행합니다.
변화 지표 확인: 경영진 교체, 시스템 변경, 통제 변경에 대해 서비스 조직에 직접 문의하고 답변을 문서화합니다.
증거 문서화: 브리지 절차로 입수한 모든 증거를 조서에 첨부하고, 결론과 함께 검토자 승인을 받습니다.
가장 중요한 것: 3개월은 지침일 뿐입니다. 위험이 낮다면 더 긴 공백도 허용되고, 위험이 높다면 더 짧은 공백에도 추가 절차가 필요합니다.

자주 발생하는 실수

실무에서 관찰되는 주요 오류들입니다:

기계적 3개월 적용: ISAE 3402는 위험 기반 접근을 요구하지만, 많은 팀이 90일을 절대 기준으로 적용합니다. 서비스의 성격과 위험을 고려하지 않은 판단은 과도한 절차나 불충분한 증거로 이어집니다.
브리지 레터의 형식적 입수: 서비스 조직이 "통제에 중요한 변화가 없었다"는 간단한 확인서만 제공하는 경우가 많습니다. 구체적인 통제 영역별 확인과 변화 사항에 대한 세부 내용이 포함된 실질적 증거가 필요합니다.
공백 기간 계산 오류: 달력일 기준과 영업일 기준을 혼동하거나, SOC 1 보고서 발행일과 보고 종료일을 혼동하는 경우가 발생합니다. 정확한 공백 기간 산출이 판단의 출발점입니다.
문서화 없는 판단: 3개월 미만이라는 이유만으로 추가 절차를 생략하고 조서에 위험 평가를 기록하지 않는 경우가 있습니다. ISAE 3402.A25 기반의 판단 근거를 감사조서에 명시하지 않으면, 감리 시 위험 평가 과정 자체를 입증할 수 없습니다.