ISAE 3402 CUEC: 사용자기업통제 예제와 가이드

CUEC의 개념과 ISAE 3402 요구사항

CUEC(Complementary User Entity Controls)는 서비스기업의 내부통제와 함께 작동하여 사용자기업의 재무제표에 관련된 내부통제 목적을 달성하는 통제입니다. ISAE 3402.11에 따르면 이러한 통제는 서비스기업의 통제만으로는 내부통제 목적을 달성할 수 없을 때 반드시 운영되어야 합니다.

서비스감사인과 사용자감사인의 역할 구분

서비스감사인은 ISAE 3402.A38에 따라 사용자기업이 운영해야 할 CUEC을 식별하고 SOC 보고서에 기재합니다. 하지만 이러한 통제가 실제로 운영되는지 테스트할 책임은 사용자감사인에게 있습니다. ISA 402.16은 사용자감사인이 이러한 통제의 운영 효과성을 평가하도록 요구합니다.
CUEC이 효과적으로 운영되지 않으면 서비스기업의 통제에 의존할 수 없습니다. 이 경우 ISA 402.A24에 따라 대안적 실질적 절차를 수행해야 합니다.

CUEC의 유형

SOC 보고서에서 일반적으로 식별되는 CUEC 유형은 다음과 같습니다:
접근통제 관련 CUEC
사용자기업은 서비스기업 시스템에 대한 사용자 계정을 적절히 관리해야 합니다. 신규 사용자 설정, 권한 변경, 계정 삭제 시 승인 프로세스가 필요합니다.
데이터 입력 관련 CUEC
서비스기업 시스템에 입력되는 데이터의 정확성과 완전성을 보장하기 위한 통제입니다. 거래 승인, 데이터 검증, 오류 수정 절차가 포함됩니다.
출력물 검토 관련 CUEC
서비스기업이 생성한 보고서나 데이터를 사용자기업이 검토하고 승인하는 통제입니다. 월말 마감 보고서 검토, 예외 보고서 분석 등이 해당됩니다.

SOC 보고서에서 CUEC 식별

SOC 보고서를 받으면 가장 먼저 CUEC 섹션을 찾아야 합니다. Type II 보고서의 경우 보통 "Complementary User Entity Controls" 또는 "User Entity Responsibilities" 제목 하에 기재됩니다.

CUEC 기재 방식

각 통제 목적별로 관련 CUEC이 나열됩니다. 예를 들어:
통제 목적: 급여 계산의 정확성
통제 목적: 급여 지급의 승인

통제 간격 식별

일부 SOC 보고서에서는 CUEC이 충족되지 않을 때의 통제 간격을 명시합니다. "이 CUEC이 운영되지 않을 경우 [특정 위험]이 발생할 수 있습니다"와 같은 방식입니다. 이러한 정보는 CUEC의 중요도를 판단하는 데 도움됩니다.

서비스기업 통제: 급여 계산 프로그램이 승인된 급여율을 사용하여 자동 계산
CUEC: 사용자기업은 급여율 변경 시 서비스기업에 적절한 승인 문서를 제공해야 함
서비스기업 통제: 시스템에서 생성된 급여 지급 목록을 기반으로 은행 이체 처리
CUEC: 사용자기업은 급여 지급 전 급여 레지스터를 검토하고 승인해야 함

CUEC 운영 테스트

CUEC 테스트는 일반적인 내부통제 테스트와 동일한 방법을 사용합니다. ISA 330.8에 따라 통제의 설계와 운영을 모두 평가해야 합니다.

통제 설계 평가

먼저 고객사가 해당 CUEC을 설계했는지 확인합니다. 정책과 절차 문서를 검토하고 담당자와 면담합니다. 많은 경우 고객사는 SOC 보고서의 CUEC 요구사항을 모르거나 이를 반영한 내부 절차가 없습니다.

운영 테스트

통제 설계가 적절하면 운영 테스트를 수행합니다. 표본 크기는 ISA 530에 따라 결정하되, 보통 연간 25개 항목이면 충분합니다. 단, 통제 빈도가 낮으면(월별 또는 분기별) 모든 인스턴스를 테스트합니다.
문서 검토
승인 서명, 검토 체크리스트, 이메일 승인 등 통제 운영의 증거를 확인합니다.
재수행
고객사가 수행한 검토나 승인 절차를 감사인이 재수행하여 통제의 정확성을 확인합니다.
시스템 조회
서비스기업 시스템에서 접근권한 설정, 사용자 계정 상태 등을 직접 확인할 수 있으면 추가 증거로 활용합니다.

실무 예제: 급여처리 서비스에서의 CUEC

> 고객사 정보

대한제조 주식회사는 직원 450명을 고용한 제조업체입니다. 급여 처리를 위해 휴먼페이 코리아의 클라우드 급여 서비스를 사용합니다. 2024년 매출은 850억 원이며, 연간 급여비용은 180억 원입니다.

1단계: SOC 보고서에서 CUEC 식별

휴먼페이 코리아의 SOC 1 Type II 보고서에서 다음 CUEC을 식별했습니다:
CUEC-1: 직원 정보 업데이트 승인
사용자기업은 신규 입사, 퇴사, 급여 변경 등 직원 정보 변경 시 적절한 승인을 받고 서비스기업에 전달해야 합니다.
CUEC-2: 급여 레지스터 검토
사용자기업은 매월 급여 지급 전 급여 레지스터를 검토하고 승인해야 합니다.
CUEC-3: 시간외근무 승인
사용자기업은 시간외근무에 대한 적절한 승인 절차를 운영하고 관련 문서를 유지해야 합니다.
문서화 노트: SOC 보고서 페이지 번호와 해당 CUEC 내용을 조서에 기재

2단계: 고객사의 CUEC 설계 확인

인사팀장과의 면담을 통해 다음을 확인했습니다:
문서화 노트: 면담일자, 면담자, 확인된 통제 설계 내용을 조서에 기재

3단계: CUEC 운영 테스트

CUEC-1 테스트 (직원 정보 업데이트 승인)
2024년 직원 변동 25건을 표본으로 선택했습니다. 각 건에 대해 인사발령서, 인사팀장 승인 서명, 휴먼페이 코리아 전달 이메일을 확인했습니다.
결과: 23건은 적절히 승인되었으나 2건에서 승인 서명이 누락되었습니다.
문서화 노트: 테스트된 25건의 목록, 예외 2건의 세부사항, 예외의 정량적 영향 평가
CUEC-2 테스트 (급여 레지스터 검토)
2024년 1월부터 12월까지 12개월 급여 레지스터를 테스트했습니다. 각 월별로 경리부장의 검토 서명과 날짜를 확인했습니다.
결과: 모든 월에서 적절한 검토와 승인이 확인되었습니다.
문서화 노트: 12개월 테스트 결과, 검토 시기의 적절성 평가
CUEC-3 테스트 (시간외근무 승인)
2024년 시간외근무 기록 30건을 무작위로 선택했습니다. 각 부서장의 승인 서명과 시간외근무 사유를 확인했습니다.
결과: 28건은 적절히 승인되었으나 2건에서 부서장 승인이 사후 승인으로 처리되었습니다.
문서화 노트: 테스트 결과, 사후 승인 2건에 대한 추가 조사 결과

4단계: 예외사항 영향 평가

CUEC-1에서 발견된 2건의 예외는 총 급여비용의 0.1%에 해당하는 금액이었습니다. ISA 450에 따라 명백히 사소한 수준으로 판단했습니다. CUEC-3의 사후 승인 2건은 승인 자체는 적절했으나 통제 시기에 문제가 있어 경영진에게 권고사항으로 전달했습니다.
문서화 노트: 예외사항의 정량적, 정성적 평가 결과

인사 관련 변경사항은 모두 인사팀장 승인을 받도록 정책화되어 있음
급여 레지스터는 매월 경리부장이 검토하고 서명함
시간외근무는 각 부서장 승인 후 인사팀에서 취합함
퇴사자 계정 비활성화는 퇴사 처리 당일 인사팀이 서비스기업에 서면 요청하도록 절차화되어 있음

CUEC 실패 시 대안적 절차

CUEC이 효과적으로 운영되지 않으면 ISA 402.A24에 따라 대안적 실질적 절차를 설계해야 합니다. 서비스기업의 통제에만 의존할 수 없기 때문입니다.

급여 처리 서비스의 대안적 절차

급여 계산 정확성 테스트
고객사에서 제공한 시간 기록과 급여율을 사용하여 급여 계산을 재수행합니다. 표본 크기는 ISA 530에 따라 결정하되, CUEC 의존도가 높을수록 더 큰 표본이 필요합니다.
급여 지급 검증
은행 거래 내역서와 급여 레지스터를 대조하여 실제 지급 여부를 확인합니다. 모든 지급 건에 대해 수취인 정보의 정확성을 검증합니다.
급여세 계산 검증
급여세 신고서와 급여 레지스터를 대조하여 세금 계산과 납부의 정확성을 확인합니다.

기타 서비스 유형의 대안적 절차

투자 처리 서비스
포트폴리오 평가액을 독립적으로 재계산하고, 거래 내역을 브로커 확인서와 대조합니다.
대출 처리 서비스
이자 계산을 재수행하고, 대출 잔액을 차주 확인서로 검증합니다.
재고 관리 서비스
실사를 통한 재고 수량 확인과 평가액 재계산을 수행합니다.

실무 체크리스트

SOC 보고서에서 모든 관련 CUEC을 식별했는가?
Type II 보고서의 CUEC 섹션 완전 검토
각 통제 목적별 CUEC 요구사항 확인
통제 간격 정보가 있으면 추가로 검토
고객사가 필요한 CUEC을 설계했는가?
정책과 절차 문서 검토
주요 담당자와 면담 실시
설계상 결함이나 누락된 통제 식별
CUEC의 운영 효과성을 적절히 테스트했는가?
ISA 530에 따른 적절한 표본 크기 결정
통제 운영의 증거 문서 확인
필요시 재수행 절차 실시
예외사항을 적절히 평가했는가?
정량적, 정성적 중요성 평가
보상적 통제 존재 여부 확인
전체 감사 전략에 미치는 영향 검토
CUEC이 효과적이지 않을 때 대안적 절차를 설계했는가?
ISA 402.A24에 따른 대안적 실질적 절차 식별
서비스기업 통제에 의존하지 않는 독립적 검증
추가 절차의 성격, 시기, 범위 결정
문서화가 충분한가?
SOC 보고서 평가 과정과 결과
CUEC 테스트 절차와 결과
예외사항 평가와 결론
대안적 절차 수행 시 그 과정과 결과

흔한 실수

많은 감사팀이 서비스기업의 통제만 확인하고 CUEC 요구사항을 놓칩니다. Type II 보고서에서 CUEC은 별도 섹션에 기재되므로 완전히 검토해야 합니다.
고객사 담당자가 CUEC이 무엇인지 모르더라도 실제로는 관련 통제를 운영하고 있을 수 있습니다. SOC 보고서의 CUEC 요구사항을 설명하고 해당하는 기존 절차가 있는지 확인해야 합니다.
일부 CUEC에 결함이 있다고 모든 서비스기업 통제 의존을 포기할 필요는 없습니다. 각 통제 목적별로 개별 평가하고 보상적 통제 존재 여부를 검토해야 합니다.

SOC 보고서의 CUEC 섹션을 충분히 검토하지 않음
고객사가 CUEC 존재를 모른다고 가정함
CUEC 실패 시 즉시 대안적 절차로 전환
중요성 평가 없이 모든 예외를 동일하게 취급함: ISA 450.5에 따르면 예외가 전체 감사에 미치는 영향을 개별적으로 평가해야 합니다. 급여 레지스터 검토 CUEC에서 1건의 미서명이 발견된 경우, 해당 월의 급여 총액이 중요성 기준액(예: 1억 원) 이하라면 추가 실질적 절차 없이 결론을 내릴 수 있습니다.