ISAE 3402에서 카브아웃 방식과 포함 방식: 결정 기준과 실무 적용

ISAE 3402의 두 가지 접근 방식

카브아웃 방식이 실제로 만드는 상황

ISAE 3402.13은 서비스 감사인이 하위 서비스 제공자를 다루는 두 가지 방식을 제시한다. 카브아웃 방식은 하위 서비스 제공자의 서비스와 관련 통제를 Type 1이든 Type 2든 보고서 범위에서 제외한다.

이 방식을 선택하면 서비스 감사인은 하위 서비스 제공자가 서비스 사용 조직의 내부 통제에 미치는 영향을 설명한다. 그러나 해당 서비스의 통제를 직접 테스트하지는 않는다. 대신 서비스 사용 조직이 하위 서비스 제공자의 서비스를 이용할 때 운영해야 하는 보완 사용자 엔터티 통제(CUEC)를 식별한다.

급여 아웃소싱 서비스가 세무 신고를 하위 서비스 제공자에게 재위임하는 경우를 보자. 카브아웃 방식에서 서비스 감사인은 세무 신고 서비스를 보고서에서 빼고, 서비스 사용 조직이 세무 신고의 정확성을 독립적으로 검증해야 한다는 CUEC를 제시한다. 막상 이 CUEC를 받은 서비스 사용 조직 입장에서는 세무 신고 시스템에 접근권한도 없는데 어떻게 검증하느냐는 질문이 나온다.

포함 방식이 실제로 만드는 상황

포함 방식은 하위 서비스 제공자의 서비스와 관련 통제를 보고서 범위에 넣는다. ISAE 3402.A6은 이 방식이 서비스 사용 조직과 감사인에게 더 완전한 정보를 제공한다고 설명한다.

포함 방식을 선택하면 서비스 감사인이 하위 서비스 제공자의 서비스를 직접 평가하거나, 하위 서비스 제공자가 발행한 Type 1/Type 2 보고서를 입수해서 검토한다. Type 2 보고서라면 하위 서비스 제공자의 통제 운영 효과성까지 테스트해야 한다. 작업량이 눈에 띄게 늘어난다.

같은 급여 아웃소싱 사례에서 포함 방식을 선택하면 서비스 감사인이 세무 신고 서비스 관련 통제를 직접 테스트하거나 하위 서비스 제공자의 Type 2 보고서를 검토한다. 서비스 사용 조직은 세무 신고 관련 CUEC를 별도로 운영할 필요가 없어진다.

결정 기준과 판단 요소

하위 서비스가 재무보고에 미치는 영향

방식 선택에서 가장 먼저 따져야 할 것은 하위 서비스가 서비스 사용 조직의 내부 통제에 얼마나 직접적으로 영향을 주느냐다. ISAE 3402.A5는 하위 서비스의 성격과 상호작용의 정도를 고려하도록 요구한다.

데이터 처리 서비스에서 백업과 보안을 하위 서비스 제공자가 맡는 경우, 이건 서비스 사용 조직의 정보 시스템 내부 통제에 바로 영향을 준다. 사무실 청소나 건물 보안 서비스처럼 재무보고와 간접적으로만 연관된 서비스는 상황이 다르다.

제 경험상 중요성이 높은 하위 서비스에 카브아웃 방식을 적용하면 CUEC가 급격히 복잡해진다. 서비스 사용 조직이 이 CUEC를 실제로 운영할 수 있는지가 결국 핵심 질문이다. 운영할 수 없는 CUEC는 조서에만 존재하는 통제가 된다. 감리 나오면 바로 걸리는 부분이다.

서비스 사용 조직의 역량

서비스 사용 조직의 내부 통제 역량도 고려해야 한다. 내부 감사 부서가 있고 IT 전문 인력을 보유한 대기업은 복잡한 CUEC를 운영할 수 있다. 직원 20명짜리 중소기업은 그렇지 않다.

서비스 사용 조직의 감사인과 사전에 논의하는 것도 빼놓을 수 없다. 감사인이 하위 서비스까지 포함된 전체 그림을 원한다면 포함 방식이 맞다. 특정 하위 서비스에 대해 별도로 확인하고 싶어한다면 카브아웃 방식을 고려할 수 있다. 이 대화를 보고서 발행 전에 하느냐 후에 하느냐가 결정적인 차이를 만든다.

실무적 제약

하위 서비스 제공자가 Type 2 보고서를 발행하지 않거나 서비스 감사인의 직접 접근을 허용하지 않으면 포함 방식 적용이 물리적으로 불가능하다. 이런 상황에서는 카브아웃 방식을 선택하고 CUEC를 적절히 설계해야 한다.

비용과 시간도 무시할 수 없다. 포함 방식은 추가 테스트와 평가를 요구하므로 보수가 올라간다. 서비스 조직이 이 추가 비용을 감당할 의향이 있는지, 서비스 사용 조직이 CUEC 운영 비용과 비교해서 어느 쪽이 경제적인지 따져봐야 한다.

서비스 사용 조직 관점에서의 차이

감사인이 보고서를 받았을 때 실제로 해야 하는 일

서비스 사용 조직의 감사인 관점에서 두 방식의 차이는 Type 2 보고서를 받은 직후 드러난다. 포함 방식의 Type 2 보고서는 하위 서비스까지 포함한 전체 서비스에 대한 확신을 준다. 추가 절차가 크게 줄어든다.

카브아웃 방식의 Type 2 보고서를 받은 감사인은 하위 서비스 관련 부분에 대해 별도의 감사 절차를 수행해야 한다. ISA 402.15는 이 경우 서비스 사용 조직 감사인이 하위 서비스 제공자에 대한 추가 이해를 얻도록 요구한다. 필드에 나가서 직접 확인해야 하는 범위가 넓어지는 것이다.

CUEC가 실행 가능한지의 문제

카브아웃 방식에서 제시하는 CUEC가 실제로 실행 가능한지 여부가 두 번째 차이다. CUEC가 기술적으로 너무 복잡하면 서비스 사용 조직이 운영하기 어렵다.

"하위 서비스 제공자의 데이터 센터 물리적 보안 통제의 운영 효과성을 월 1회 확인하십시오"라는 CUEC를 보자. 대부분의 서비스 사용 조직은 이걸 실행할 수 없다. 데이터 센터 위치도 모르는 경우가 많다. 이런 CUEC가 나열된 보고서는 형식만 갖춘 것이다. 포함 방식이 더 솔직한 선택이다.

감사 범위와 시간에 미치는 영향

ISA 402.A32는 카브아웃 방식의 Type 2 보고서를 이용하는 경우 서비스 사용 조직 감사인이 하위 서비스 관련 위험을 별도로 평가하도록 요구한다. 이건 추가 감사 시간이다.

포함 방식의 Type 2 보고서는 하위 서비스까지 포함한 전체 서비스의 테스트 결과를 제공하므로 추가 절차가 줄어든다. 하위 서비스가 중요한 재무보고 프로세스에 직접 관련된 경우 이 차이가 감사팀의 시간 예산에 눈에 띄는 영향을 준다.

실무 적용 사례

한국솔루션 주식회사의 급여 아웃소싱 서비스

한국솔루션 주식회사는 중견기업 50개사에 급여 계산과 지급 서비스를 제공한다. 연매출 15억 원. 세무신고와 연말정산 업무는 세무법인 대한택스에 재위임한다. ISAE 3402 Type 2 보고서 발행을 위해 방식을 선택해야 한다.

카브아웃 방식 적용 시

1단계: 세무신고 서비스를 보고서 범위에서 제외한다. 문서화: 시스템 기술서에 "세무신고는 대한택스에서 수행하며 본 보고서 범위에 포함되지 않음" 명시

2단계: 세무신고와 관련된 CUEC를 설계한다. - CUEC 1: 매월 급여 데이터 전송 시 암호화 및 완전성 확인 - CUEC 2: 세무신고 결과에 대한 독립적 검토 수행 - CUEC 3: 연말정산 결과와 급여 데이터 간 일관성 검증 - CUEC 4: 세무신고 관련 오류 발생 시 대응 절차 운영 문서화: CUEC 목록에 각 통제의 수행 방법과 빈도 기재

3단계: 급여 계산과 지급 관련 통제만 테스트한다. 문서화: 테스트 결과에 "세무신고 통제는 카브아웃 방식에 따라 테스트하지 않음" 기재

포함 방식 적용 시

1단계: 대한택스의 Type 2 보고서를 입수하거나 직접 평가를 수행한다. 문서화: 하위 서비스 제공자 평가 조서에 평가 방법과 결과 기재

2단계: 세무신고 서비스까지 포함한 전체 프로세스의 통제를 테스트한다. 문서화: 통합 테스트 결과에서 급여 데이터에서 세무신고까지의 전체 흐름 검증 내용 포함

3단계: 하위 서비스까지 포함된 서비스 감사인 의견을 제시한다. 문서화: 의견서에 "대한택스의 세무신고 서비스를 포함한 전체 서비스"에 대한 의견임을 명시

한국솔루션은 서비스 사용 조직 대부분이 중소기업이고 복잡한 CUEC 운영이 현실적으로 어려운 점을 고려하여 포함 방식을 선택했다. 대한택스가 이미 Type 2 보고서를 발행하고 있어서 입수가 가능했다는 점도 결정에 영향을 미쳤다.

실무 체크리스트

1. 하위 서비스가 서비스 사용 조직의 재무보고에 직접 영향을 미치는가? 하위 서비스 장애 시 서비스 사용 조직의 내부 통제가 중단되는가? 하위 서비스에서 처리하는 데이터가 민감한 재무 정보를 포함하는가? 셋 중 하나라도 해당되면 포함 방식을 먼저 검토한다.

2. 하위 서비스 제공자의 Type 2 보고서를 입수할 수 있는가? 직접 접근 및 테스트가 가능한가? 포함 방식 적용 시 추가 소요 시간과 비용을 산정했는가?

3. 서비스 사용 조직이 CUEC를 실제로 운영할 수 있는 인력과 시스템이 있는가? 서비스 사용 조직 감사인과 방식 선택에 대해 사전 논의했는가?

4. 유사한 성격의 하위 서비스에 동일한 방식을 적용하고 있는가? 전년도와 방식이 변경된 경우 충분한 근거와 사전 공지를 제공했는가? ISAE 3402.A4에 따라 방식 선택 근거를 문서화했는가?

자주 발생하는 오류

아웃소싱 계약서에 "하위 서비스 제외" 조항이 있으면 카브아웃 방식을 자동으로 선택하는 경우가 있다. 계약 조건은 ISAE 3402 적용 방식을 결정하지 않는다. 계약과 감사 범위는 별개의 판단이다.

사무용품 공급이나 청소 서비스처럼 재무보고와 간접적으로만 연관된 하위 서비스에 포함 방식을 적용하는 경우도 본다. 불필요한 비용과 복잡성만 늘어난다.

카브아웃 방식에서 제시하는 CUEC가 서비스 사용 조직의 역량을 초과하는 경우가 가장 위험하다. 조서에는 CUEC가 나열되어 있지만 실제로는 아무도 운영하지 않는 통제가 된다. 금감원 감리에서 이런 형식적 CUEC는 "내부 통제 설계 및 운영 미흡"으로 지적된다.