ISAE 3402에서 카브아웃 방식과 포함 방식: 결정 기준과 실무 적용

ISAE 3402의 두 가지 접근 방식

카브아웃 방식의 작동 원리

ISAE 3402.13은 서비스 감사인이 하위 서비스 제공자를 다루는 두 가지 방식을 제시합니다. 카브아웃 방식은 하위 서비스 제공자의 서비스와 관련 통제를 Type 1 또는 Type 2 보고서의 범위에서 제외합니다.
이 방식을 선택하면 서비스 감사인은 하위 서비스 제공자가 제공하는 서비스가 서비스 사용 조직의 내부 통제에 미치는 영향을 설명하되, 해당 서비스와 관련된 통제는 설명하거나 테스트하지 않습니다. 대신 서비스 사용 조직이 하위 서비스 제공자의 서비스를 이용할 때 적용해야 하는 보완 사용자 엔터티 통제(CUEC)를 식별합니다.
급여 아웃소싱 서비스가 세무 신고를 하위 서비스 제공자에게 재위임하는 경우를 보십시오. 카브아웃 방식에서 서비스 감사인은 세무 신고 서비스를 보고서에서 제외하고 서비스 사용 조직이 세무 신고의 정확성을 독립적으로 검증해야 한다는 CUEC를 제시합니다.

포함 방식의 작동 원리

포함 방식은 하위 서비스 제공자의 서비스와 관련 통제를 Type 1 또는 Type 2 보고서의 범위에 포함합니다. ISAE 3402.A6은 이 방식이 서비스 사용 조직과 그 감사인에게 더 완전한 그림을 제공한다고 설명합니다.
포함 방식을 선택하면 서비스 감사인은 하위 서비스 제공자의 서비스를 직접 평가하거나 하위 서비스 제공자의 Type 1/Type 2 보고서를 입수하여 평가합니다. Type 2 보고서의 경우 하위 서비스 제공자의 통제 운영 효과성까지 테스트해야 합니다.
같은 급여 아웃소싱 사례에서 포함 방식을 선택하면 서비스 감사인은 세무 신고 서비스와 관련된 통제를 직접 테스트하거나 하위 서비스 제공자의 Type 2 보고서를 검토합니다. 결과적으로 서비스 사용 조직은 세무 신고와 관련된 CUEC를 별도로 운영할 필요가 없습니다.

결정 기준과 판단 요소

하위 서비스의 중요성 평가

방식 선택의 가장 중요한 기준은 하위 서비스가 서비스 사용 조직의 내부 통제에 미치는 영향의 중요성입니다. ISAE 3402.A5는 이를 평가할 때 하위 서비스의 성격, 중요성, 상호작용의 정도를 고려하도록 요구합니다.
데이터 처리 서비스에서 백업과 보안을 하위 서비스 제공자가 담당하는 경우 이는 서비스 사용 조직의 정보 시스템 내부 통제에 직접적으로 영향을 미칩니다. 반면 사무실 청소나 보안 서비스처럼 재무보고와 간접적으로만 연관된 서비스는 중요성이 낮을 수 있습니다.
중요성이 높은 하위 서비스에 카브아웃 방식을 적용하면 서비스 사용 조직이 운영해야 하는 CUEC가 복잡해지고 실무적으로 구현하기 어려워집니다. 이런 경우 포함 방식이 더 실용적입니다.

서비스 사용 조직의 역량과 선호도

서비스 사용 조직의 내부 통제 역량도 고려해야 합니다. 내부 감사 부서가 있고 IT 전문성을 보유한 대기업은 복잡한 CUEC를 운영할 수 있습니다. 하지만 중소기업은 그렇지 않을 수 있습니다.
서비스 사용 조직의 감사인과 사전에 논의하여 선호도를 파악하십시오. 감사인이 하위 서비스까지 포함된 완전한 그림을 원한다면 포함 방식이 적절합니다. 특정 하위 서비스에 대해 별도의 확신을 얻고 싶어한다면 카브아웃 방식을 고려할 수 있습니다.

실무적 제약사항

하위 서비스 제공자가 Type 2 보고서를 발행하지 않거나 서비스 감사인의 직접 접근을 허용하지 않는다면 포함 방식 적용이 어렵습니다. 이런 상황에서는 카브아웃 방식을 선택하고 적절한 CUEC를 설계해야 합니다.
비용과 시간도 고려사항입니다. 포함 방식은 추가적인 테스트와 평가를 요구하므로 더 많은 시간과 비용이 소요됩니다. 서비스 조직과 서비스 사용 조직이 이를 감당할 수 있는지 평가해야 합니다.

서비스 사용 조직 관점에서의 차이점

감사인의 신뢰 수준 차이

서비스 사용 조직의 감사인 관점에서 두 방식의 가장 큰 차이는 Type 2 보고서에 대한 신뢰 수준입니다. 포함 방식의 Type 2 보고서는 하위 서비스까지 포함한 전체 서비스에 대한 확신을 제공합니다.
카브아웃 방식의 Type 2 보고서를 받은 감사인은 하위 서비스와 관련된 부분에 대해 별도의 감사 절차를 수행해야 합니다. ISA 402.15는 이런 경우 서비스 사용 조직 감사인이 하위 서비스 제공자에 대한 추가 이해를 얻어야 한다고 규정합니다.

CUEC 구현의 복잡성

카브아웃 방식에서 제시되는 CUEC가 실제로 구현 가능한지가 중요한 차이점입니다. CUEC가 너무 기술적이거나 복잡하면 서비스 사용 조직이 효과적으로 운영하기 어렵습니다.
예를 들어 "하위 서비스 제공자의 데이터 센터 물리적 보안 통제의 운영 효과성을 월 1회 확인하십시오"라는 CUEC는 대부분의 서비스 사용 조직이 실행하기 어렵습니다. 이런 경우 포함 방식이 더 실용적입니다.

감사 의견에 미치는 영향

ISA 402.A32는 카브아웃 방식의 Type 2 보고서를 이용하는 경우 서비스 사용 조직 감사인이 하위 서비스 관련 위험을 별도로 평가해야 한다고 설명합니다. 이는 추가적인 감사 시간과 절차를 의미합니다.
포함 방식의 Type 2 보고서는 하위 서비스까지 포함한 전체 서비스에 대한 테스트 결과를 제공하므로 서비스 사용 조직 감사인의 추가 절차를 줄일 수 있습니다. 특히 하위 서비스가 중요한 재무보고 프로세스에 직접 관련된 경우 이 차이가 큽니다.

실무 적용 사례

사례: 한국솔루션 주식회사의 급여 아웃소싱 서비스

배경: 한국솔루션 주식회사는 중견기업 50개사에 급여 계산과 지급 서비스를 제공합니다. 연매출 15억 원. 세무신고와 연말정산 업무는 세무법인 대한택스에 재위임합니다. ISAE 3402 Type 2 보고서 발행을 위해 방식을 선택해야 합니다.
카브아웃 방식 적용 시:
1단계: 세무신고 서비스를 보고서 범위에서 제외합니다.
문서화: 시스템 기술서에 "세무신고는 대한택스에서 수행하며 본 보고서 범위에 포함되지 않음" 명시
2단계: 세무신고와 관련된 CUEC를 설계합니다.
문서화: CUEC 목록에 각 통제의 구체적 수행 방법과 빈도 기재
3단계: 급여 계산과 지급 관련 통제만 테스트합니다.
문서화: 테스트 결과에 "세무신고 통제는 카브아웃 방식에 따라 테스트하지 않음" 기재
포함 방식 적용 시:
1단계: 대한택스의 Type 2 보고서를 입수하거나 직접 평가를 수행합니다.
문서화: 하위 서비스 제공자 평가 조서에 평가 방법과 결과 기재
2단계: 세무신고 서비스까지 포함한 전체 프로세스의 통제를 테스트합니다.
문서화: 통합 테스트 결과에서 급여 데이터 → 세무신고까지의 전체 흐름 검증 내용 포함
3단계: 하위 서비스까지 포함된 서비스 감사인 의견을 제시합니다.
문서화: 의견서에 "대한택스의 세무신고 서비스를 포함한 전체 서비스"에 대한 의견임을 명시
결론: 한국솔루션은 서비스 사용 조직 대부분이 중소기업이고 복잡한 CUEC 운영이 어려운 점을 고려하여 포함 방식을 선택했습니다. 이를 통해 서비스 사용 조직은 세무신고 관련 별도 통제 없이도 전체 급여 프로세스에 대한 확신을 얻을 수 있습니다.

CUEC 1: 매월 급여 데이터 전송 시 암호화 및 완전성 확인
CUEC 2: 세무신고 결과에 대한 독립적 검토 수행
CUEC 3: 세무신고 관련 오류 발생 시 대응 절차 운영
CUEC 4: 분기별로 대한택스의 세무사 자격 및 주요 인력 유지 현황 확인 (ISAE 3402.A5에 따라 하위 서비스 제공자 변동은 서비스 연속성 위험에 직접 영향을 미침)

실무 체크리스트

하위 서비스의 중요성 평가
하위 서비스가 서비스 사용 조직의 재무보고에 직접 영향을 미치는가?
하위 서비스 장애 시 서비스 사용 조직의 내부 통제가 중단되는가?
하위 서비스에서 처리하는 데이터가 민감한 재무 정보를 포함하는가?
실무적 제약사항 확인
하위 서비스 제공자의 Type 2 보고서 입수 가능성 점검
하위 서비스 제공자에 대한 직접 접근 및 테스트 가능성 검토
포함 방식 적용 시 추가 소요 시간과 비용 산정
서비스 사용 조직 관점 고려
서비스 사용 조직의 CUEC 구현 역량 평가
서비스 사용 조직 감사인의 선호도 사전 논의
카브아웃 방식 선택 시 CUEC의 실행 가능성 검토
선택한 방식의 일관성 유지
유사한 성격의 하위 서비스에 동일한 방식 적용
방식 변경 시 충분한 근거와 사전 공지 제공
ISAE 3402.A4에 따른 방식 선택 근거의 문서화
품질 관리 점검
선택한 방식이 ISAE 3402.13의 요구사항을 충족하는지 확인
Type 2 보고서에서 방식 선택 사유의 명확한 설명 여부 점검

자주 발생하는 오류

• 계약 조건과 감사 범위의 혼동: 아웃소싱 계약서에 "하위 서비스 제외" 조항이 있어도 감사인은 포함 방식을 선택할 수 있습니다. 계약 조건이 ISAE 3402 적용 방식을 결정하지 않습니다.
• 중요하지 않은 서비스에 포함 방식 적용: 사무용품 공급이나 청소 서비스같이 재무보고와 간접적으로만 연관된 하위 서비스에 포함 방식을 적용하면 불필요한 비용과 복잡성이 증가합니다.
• 실행 불가능한 CUEC 설계: 카브아웃 방식에서 제시하는 CUEC가 기술적으로 너무 복잡하거나 서비스 사용 조직의 역량을 초과하면 실제로는 작동하지 않는 통제가 됩니다.
• 방식 선택 근거 미문서화: 카브아웃과 포함 방식 중 하나를 선택하고도 ISAE 3402.A4에서 요구하는 선택 근거를 조서에 기재하지 않는 경우가 빈번합니다. 중요한 하위 서비스에 카브아웃 방식을 택했다면 왜 해당 CUEC가 실행 가능하다고 판단했는지를 명시해야 감리 시 방어 가능합니다.