ISAE 3402 브리지 레터: 기준서에서 찾을 수 없는 3개월 관례

ISAE 3402가 실제로 말하는 것

ISAE 3402.A25가 브리지 절차에 대한 유일한 근거 문단이다. SOC 1 보고서의 보고 기간과 사용기업 재무제표 마감일 사이에 공백이 있을 때 추가 증거 획득의 필요성을 언급한다. 그게 전부다. 일수도, 임계치도, 구체적 절차도 지정하지 않는다.

기준서의 논리는 이렇다. 공백 기간 동안 서비스 조직의 통제 환경에 중대한 변화가 있었는지 감사인이 평가한다. 변화가 있으면 추가 증거를 확보한다. 변화가 없으면 SOC 1 보고서로 충분하다.

ISAE 3402.47은 증거 획득 방법을 세 가지로 규정한다. 서비스 감사인의 보고서, 사용기업이 직접 수행하는 통제, 서비스 조직에서 직접 수행하는 테스트. 그리고 사용기업 감사인의 자체 절차. 브리지 레터는 이 중 어디에도 명시적으로 이름이 나오지 않는다. 실무에서 만들어진 증거 수단이다.

기준서는 "중요한 변화"와 "추가 증거의 필요성"이라는 전문가적 판단에 의존한다. 솔직히 이게 문제다. 판단의 여지가 크니까 법인마다 기준이 다르고, 결국 가장 보수적인 관행이 업계 표준이 된다.

3개월 관례의 출처

3개월(90일)은 미국에서 왔다. PCAOB와 AICPA 지침서가 이 기간을 암묵적으로 사용하면서 실무 표준으로 굳어졌다.

AICPA의 Service Organizations 감사 가이드가 3개월을 "일반적으로 수용 가능한" 공백 기간으로 언급한다. 논리는 단순하다. 분기별 통제 테스트 주기와 일치하고, 3개월은 대부분의 조직에서 통제 환경에 근본적 변화가 생기기에는 짧은 기간이라는 것이다.

빅펌의 내부 매뉴얼도 이 관례를 채택했다. 일부는 명시적으로 90일을 임계치로 설정하고, 다른 곳은 "일반적으로 한 분기를 초과하지 않는" 표현을 쓴다. 제 경험상 로컬 법인에서는 빅펌 매뉴얼의 90일 기준을 그대로 가져다 쓰는 경우가 많다. 왜 90일인지 근거를 묻는 사람은 거의 없다.

하지만 ISAE 3402 자체는 이 임계치를 지지하지도 않고 요구하지도 않는다. 기준서의 접근법은 위험 기반 판단이다. 공백의 길이는 여러 변수 중 하나일 뿐이다.

공백 기간 판단의 네 가지 변수

90일을 기계적으로 적용하는 대신 네 가지 변수를 평가해야 한다.

서비스 조직의 안정성이 첫 번째다. 15년 운영 경력의 금융 서비스 회사가 운영하는 급여 처리 시스템은 3개월 동안 근본적으로 달라지지 않는다. 반대로 급성장하는 핀테크 스타트업의 결제 시스템은 한 달 만에 아키텍처가 바뀔 수 있다.

통제의 성격이 두 번째다. 자동화된 애플리케이션 통제는 변경하려면 공식적 승인과 테스트를 거쳐야 한다. 수동 검토 통제는 담당자가 바뀌거나 업무량이 몰리면 우회된다. 같은 92일이라도 자동화 통제 위주인 서비스 조직과 수동 통제 위주인 서비스 조직의 위험은 다르다.

사용기업의 의존도가 세 번째다. 핵심 회계 처리의 90%를 서비스 조직에 맡긴다면 작은 변화도 재무제표에 영향을 준다. 보조적 데이터 처리만 아웃소싱한 경우라면 공백이 더 길어도 허용될 수 있다.

변화 지표가 네 번째다. 경영진 교체, 시스템 업그레이드, 규제 변화, 인수합병. 이 중 하나라도 있으면 공백 기간의 위험이 올라간다.

네 변수를 종합하면 결론이 달라진다. 위험이 낮으면 3개월 공백에도 추가 절차가 불필요할 수 있다. 위험이 높으면 1개월 공백에도 브리지 절차를 수행해야 한다. 90일은 출발점이 아니라 참고치다.

실무 적용: 대한보험공사 사례

> 가상 시나리오 > > 대한보험공사(가명)의 재무제표 마감일은 2024년 12월 31일이다. 급여 처리를 한국급여서비스(가명)에 아웃소싱하고 있다. SOC 1 보고서는 2024년 9월 30일까지의 기간을 다룬다. 공백 기간 92일. > > 직원 급여비 연간 850억 원. 전체 운영비의 67%다.

1단계. 위험 평가 조서: 서비스 조직 위험 평가

한국급여서비스는 15년 운영 경력이다. 2024년 3분기에 경영진 교체나 시스템 변경은 없었다. 급여 처리는 대부분 자동화되어 있고 수동 개입이 최소화된 구조다. 안정성 변수는 낮은 위험을 가리킨다.

하지만 대한보험공사의 의존도는 높다. 급여비가 운영비의 67%다. 이 서비스 조직의 통제가 실패하면 재무제표에 직접 영향이 온다. 안정성은 낮은 위험이지만 의존도는 높은 위험이다.

2단계. 공백 기간 분석 조서: 공백 92일, 3개월 관례 2일 초과

92일이라는 숫자 자체는 중요하지 않다. 90일이었어도 같은 판단을 해야 한다. 서비스의 성격과 조직의 안정성을 고려하면 통제 변화 위험은 낮다. 다만 의존도가 높으니 브리지 절차를 수행하기로 한다.

3단계. 브리지 절차 수행 조서: 수행한 절차와 입수한 증거를 상세히 기록

한국급여서비스 내부감사팀에서 2024년 4분기 통제 테스트 결과를 입수했다. 시스템 접근 통제, 급여 계산 통제, 승인 절차, 변경관리 통제 모두 3분기와 동일한 수준으로 운영되고 있다. 10월부터 12월까지 시스템 변경이나 핵심 인력 교체는 없었다.

4단계. 결론 조서: 추가 증거가 충분하며 공백 기간이 감사의견에 영향 없음

입수한 증거는 SOC 1 보고서의 결론이 12월 31일 현재에도 유효하다는 것을 뒷받침한다. 92일 공백에도 불구하고 추가 실질적 절차는 불필요하다. 판단 근거는 ISAE 3402.A25다.

브리지 절차 체크리스트

1. SOC 1 보고서 종료일부터 재무제표 마감일까지 정확한 일수를 산출하고 조서에 기록한다.

2. 서비스 조직의 안정성, 통제 성격, 사용기업 의존도, 변화 지표를 문서화한다. 근거 문단은 ISAE 3402.A25다.

3. 공백이 90일을 초과하면 브리지 레터, 후속 SOC 1 보고서, 직접 테스트, 내부감사 보고서 검토 중 하나 이상을 수행한다.

4. 경영진 교체, 시스템 변경, 통제 변경에 대해 서비스 조직에 직접 문의하고 답변을 문서화한다. 전화 한 통으로 끝내지 말고 서면으로 받는다.

5. 브리지 절차로 입수한 모든 증거를 조서에 첨부하고 결론과 함께 인차지 이상의 검토를 받는다.

6. 90일은 지침이지 기준이 아니다. 위험이 낮으면 더 긴 공백도 허용되고, 위험이 높으면 더 짧은 공백에도 추가 절차가 필요하다. 왜 이 기간에 이 수준의 절차가 적절한지를 조서에 남겨야 한다.

자주 발생하는 실수

기계적 3개월 적용이 가장 흔하다. ISAE 3402는 위험 기반 접근을 요구하지만 대부분의 팀이 90일을 절대 기준으로 쓴다. 서비스의 성격이나 위험을 고려하지 않으면 과도한 절차를 수행하거나(안정적인 서비스 조직에 불필요한 브리지 레터 요청) 불충분한 증거로 끝난다(고위험 서비스 조직의 짧은 공백을 간과).

브리지 레터의 형식적 입수도 문제다. 서비스 조직이 "통제에 중요한 변화가 없었다"는 한 줄짜리 확인서만 보내는 경우가 많다. 막상 이걸 감리에서 제시하면 "구체적 통제 영역별 확인 부재"로 지적된다. 통제 목적별로 진술이 있어야 하고, 변경사항에 대한 세부 내용이 포함되어야 한다.

공백 기간 계산 오류도 보인다. 달력일 기준과 영업일 기준을 혼동하거나, SOC 1 보고서 발행일과 보고 종료일을 혼동한다. 보고서 표지에 적힌 발행일이 2024년 11월 15일이라고 해서 보고 기간이 11월 15일까지인 것이 아니다. 보고 종료일은 보통 별도로 명시되어 있다. 이 날짜를 틀리면 공백 기간 산출부터 어긋나고 이후 모든 판단이 흔들린다.