목차
1. ISAE 3402의 의견 형성 과정 2. 일탈의 분류와 중요성 평가 3. T1과 T2의 의견 형성 차이 4. 예시 1: 경미한 일탈, 적정의견 5. 예시 2: 중대한 일탈, 한정의견 6. 예시 3: 광범위한 불비, 부적정의견 7. 예시 4: 증거 제약, 의견 거절 8. 체크리스트 9. 자주 발생하는 판단 오류
ISAE 3402의 의견 형성 과정
ISAE 3402.56은 서비스 감사인에게 식별된 일탈을 "개별적으로 그리고 전체적으로" 평가하도록 요구한다. 이 이중 평가가 의견 형성의 핵심이다.
개별 평가에서는 각 일탈이 해당 통제 목표에 미치는 영향을 판단한다. 경미한 일탈인지 중대한 일탈인지를 구분하는 것이 기본이고 광범위한 영향이 있는지는 전체 평가 단계에서 판정한다. 전체 평가에서는 모든 일탈을 종합하여 기재된 통제가 "기술된 대로 설계되었는지"와 "유효하게 운영되었는지"를 판단한다.
ISAE 3402.A83은 통제 목표를 달성하기 위해 "대체 통제나 보완 통제를 고려하라"고 명시한다. 하나의 통제가 기능하지 않더라도 같은 통제 목표를 달성하는 다른 통제가 유효하면 통제 목표는 달성된 것으로 평가할 수 있다. 품관실 심리에서도 이 점은 반드시 확인된다.
T1과 T2의 판단 기준 차이
T1 보고서는 설계 유효성만 평가한다. 통제가 "이론상" 통제 목표를 달성할 수 있는지가 판단 기준이며 실제 운영 테스트는 수행하지 않는다.
T2 보고서는 설계 유효성과 운영 유효성을 모두 평가한다. 통제가 보고 기간 동안 "실제로" 유효하게 운영되었는지를 판단한다. 이 차이가 의견 형성에 직결된다.
일탈의 분류와 중요성 평가
ISAE 3402에서는 재무제표 감사와 다른 중요성 개념을 사용한다. 금액 기반이 아니라 통제 목표의 달성 여부로 판단한다는 점이 특징이다.
경미한 일탈은 통제 목표의 달성을 방해하지 않는 일탈이다. 증빙 서류의 보관 위치 기재 오류나 승인자 서명이 1일 지연된 경우(시스템 자체는 정상 작동)가 해당한다.
중대한 일탈은 통제 목표의 달성에 영향을 주지만 통제 환경 전체를 무효화하지는 않는 일탈이다. 월차 조정 절차가 2개월간 미수행되었거나 승인 프로세스가 일부 거래에서 우회된 경우, 시스템 액세스 권한의 정기 검토가 6개월간 미실시된 경우, 절차서의 기재 불비가 있으나 실제 절차는 정상 수행된 경우가 해당한다.
광범위한 일탈은 복수의 통제 목표에 걸쳐 영향을 미치고 통제 환경의 신뢰성을 근본적으로 훼손하는 일탈이다. IT 보안 통제의 근본적 결함이나 경영진에 의한 내부 통제 무력화가 해당한다.
T1과 T2의 의견 형성 차이
T1 보고서의 의견 형성
설계 유효성만 평가하므로 통제의 문서 검토와 프로세스 워크스루가 주된 증거다. 담당자 질문으로 보충한다.
적정의견의 요건은 기재된 통제 활동이 실재하고 통제 목표 달성을 위해 설계되었으며 설계상 일탈이 경미한 수준에 그치는 것이다. 한정의견은 설계 불비가 존재하나 광범위하지 않으며 일부 통제 목표가 달성되지 않을 가능성이 있는 경우에 표명한다.
T2 보고서의 의견 형성
운영 유효성도 평가하므로 표본 테스트와 예외의 정량적 평가가 추가된다. 보고 기간 전체에 걸친 일관성 검증도 필요하다.
운영 테스트의 예외율 평가는 목안으로 다음과 같다. 0-2%면 경미한 일탈이다. 3-7%면 중대한 일탈이다. 8% 이상이면 광범위한 일탈로 평가한다. 이 임계치는 예시일 뿐이며 통제의 성격과 중요도에 따라 조정이 필요하다. 제 경험상 예외율 숫자만으로 의견을 결정하는 감사인이 있는데 이것은 위험하다.
예시 1: 경미한 일탈, 적정의견
한진데이터 주식회사(물류 IT 서비스)
연매출 430억 원, 직원 230명. 대상 시스템은 화물 추적 플랫폼이다. 감사 기간은 2024년 1월 1일부터 2024년 12월 31일이다.
식별된 일탈
일탈 1은 월차 액세스 권한 검토에 관한 것이다. 매월 말일까지 전체 시스템 액세스 권한을 검토해야 하는데 12개월 중 3개월에서 익월 2일에 검토를 수행했다. 일탈율 25%이나 지연은 2일 이내이고 검토 품질에 영향은 없었다.
일탈 2는 화물 데이터 조정 절차에 관한 것이다. 일별로 선적 서류와 시스템 데이터를 조정하는 절차인데 주말과 공휴일의 조정이 익영업일에 수행되는 경우가 있었다. 연간 36건의 지연이고 모두 익영업일에 완료되었다.
통제 목표에 대한 영향 평가
통제 목표 1 "시스템 액세스 관리"에 대해서는 지연이 있었으나 권한 검토 자체는 완전히 수행되었다. 부적절한 액세스 권한은 1건도 발견되지 않았다. 통제 목표는 실질적으로 달성되었다.
통제 목표 2 "화물 데이터의 정확성 확보"에 대해서는 조정 절차 지연으로 인한 실제 오류가 발견되지 않았고 지연 기간 중에도 자동화 통제가 작동하고 있었다. 통제 목표에 대한 실질적 영향은 없다.
조서 기재
양 일탈 모두 경미로 판정한다. 통제 목표의 달성에 실질적 영향이 없으며 대체 통제도 유효하게 기능하고 있다. 적정의견을 표명한다.
예시 2: 중대한 일탈, 한정의견
세종클라우드 주식회사(클라우드 호스팅 서비스)
연매출 620억 원, 직원 150명. 대상 시스템은 고객 데이터 관리 플랫폼이다. 감사 기간은 2024년 1월 1일부터 2024년 12월 31일이다.
식별된 일탈
일탈 1은 데이터 백업 검증에 관한 것이다. 주별로 백업 데이터의 복원 테스트를 수행하는 절차인데 4개월간(16주) 복원 테스트가 미수행이었다. 기간 중 데이터 장애가 1건 발생했고 복구에 8시간이 소요되었다.
일탈 2는 변경 관리 승인 프로세스에 관한 것이다. 시스템 변경 전 정보보안 책임자의 승인을 받는 절차인데 긴급 변경 30건 중 12건에서 사후 승인이었다. 사후 승인율 40%이며 그중 2건에서 경미한 보안 위험이 발생했다.
통제 목표에 대한 영향 평가
통제 목표 1 "데이터의 가용성 확보"에 대해서는 백업 검증 미비로 데이터 복구 능력을 확인할 수 없는 기간이 존재한다. 실제 데이터 장애 시 복구에 예상 이상의 시간이 걸렸다. 중대한 일탈로 판정한다.
통제 목표 2 "시스템 변경의 통제"에 대해서는 승인 프로세스 우회로 부적절한 변경의 위험이 증대했다. 실제로 보안 인시던트가 복수 발생했다. 중대한 일탈로 판정한다.
대체 통제 평가
데이터센터 측의 독립적인 백업 시스템이 기능하고 있어 완전한 통제 파탄은 회피되었다. 그러나 고객 데이터의 기밀성과 완전성에 관한 통제 목표의 일부는 달성되지 않았다.
조서 기재
일탈이 복수의 통제 목표에 영향을 미치나 통제 환경 전체를 무효화할 정도는 아니다. 한정의견을 표명한다.
예시 3: 광범위한 불비, 부적정의견
코리아페이 주식회사(결제 대행 서비스)
연매출 320억 원, 직원 90명. 대상 시스템은 결제 처리 플랫폼이다. 감사 기간은 2024년 1월 1일부터 2024년 12월 31일이다.
식별된 광범위한 불비
불비 1은 IT 보안 통제의 근본적 결함이다. 관리자 권한 분리가 수행되지 않고 있으며 운영 환경에 대한 직접 액세스도 제한되지 않는다. 보안 패치 적용은 6개월간 중단된 상태였다. IT 보안의 기반 통제가 기능 부전 상태다.
불비 2는 거래 승인 프로세스의 무력화다. 고액 거래의 승인 한도 설정이 작동하지 않으며 시스템 관리자가 승인 프로세스를 우회할 수 있는 상태다. 승인 이력의 변조 방지 기능도 비활성화되어 있다.
불비 3은 모니터링 및 감독 기능의 부재다. 이상 거래 감지 시스템이 2개월간 중단되었고 로그 모니터링도 수행되지 않았다. 예방 통제와 발견 통제 모두 기능 부전이다.
통제 목표에 대한 영향 평가
통제 목표 1 "거래의 승인과 기록"은 승인 프로세스의 근본적 결함으로 달성 불가다. 대체 통제도 존재하지 않는다.
통제 목표 2 "데이터 보안 확보"는 IT 보안 통제의 결함으로 달성 불가다. 기밀성과 완전성, 가용성 모두에 위험이 있다.
통제 목표 3 "이상 거래의 감지와 대응"은 모니터링 기능의 중단으로 달성 불가다.
조서 기재
기대와 다르게 여기까지 불비가 심각한 피감사 조직에 부적정의견을 표명하는 일은 정신적으로도 쉽지 않다. 그러나 판단은 명확하다. 광범위한 불비가 통제 환경 전체에 영향을 미치며 복수의 통제 목표가 달성되지 않았다. 대체 통제로도 보완이 불가능하다. 부적정의견을 표명한다.
예시 4: 증거 제약, 의견 거절
수원테크 주식회사(SaaS 사업)
연매출 230억 원, 직원 65명. 대상 시스템은 고객 관리 및 청구 시스템이다. 감사 기간은 2024년 1월 1일부터 2024년 12월 31일이다.
증거 입수의 제약
제약 1은 시스템 로그의 보유 기간 문제다. 감사 기간 전반 6개월의 시스템 로그가 삭제된 상태로 통제 활동의 운영 상황을 확인할 증거를 입수할 수 없다. 기간의 50%에 대해 운영 테스트를 수행할 수 없다.
제약 2는 외부 위탁처로부터의 증거 입수 제한이다. 데이터센터 운영 위탁처가 SOC 2 보고서의 제공을 거부하고 있어 물리적 보안 통제의 평가가 불가능하다.
제약 3은 인사 이동으로 인한 증거 산일이다. 감사 기간 중 정보시스템 부서의 대규모 인사 이동이 있었고 통제 활동의 수행 담당자가 불명인 기간이 존재한다. 절차 수행 기록이 인수인계되지 않아 4개월간 통제 수행 상황의 확인이 곤란한 상태다.
증거 제약 평가
평가 가능한 통제는 고객 데이터 입력 통제와 청구서 발행 통제 2가지다.
평가 불가능한 통제는 IT 보안 통제(외부 위탁처 정보 없음), 시스템 변경 통제(로그 삭제로 확인 불가), 백업 및 복구 통제(담당자 불명 기간 존재)의 3가지다. 아니 정확히는 3가지가 아니라 로그가 없으니 뭐가 더 빠져 있는지도 모른다.
조서 기재
증거 제약이 광범위하여 통제 활동의 유효성에 대해 충분한 증거를 입수할 수 없다. 의견 거절로 한다. 시즌에 이 상태의 피감사 조직을 맡으면 정말 힘들다.
체크리스트
일탈의 개별 평가를 완료했는지 확인한다. 각 일탈을 경미/중대/광범위로 분류하고 통제 목표별 영향도를 조서에 기록하고 대체 통제의 유효성을 평가한다.
전체 평가의 근거를 정리했는지 확인한다. 복수 일탈의 상호 관계를 분석하고 통제 환경 전체에 대한 영향을 평가한다. ISAE 3402.56의 요구사항을 충족하는 결론을 형성할 수 있어야 한다.
의견 구분의 판정 기준을 올바르게 적용하고 있는지 확인한다. 적정은 경미한 일탈만 존재하는 경우다. 한정은 일탈이 있으나 광범위하지 않은 경우다. 부적정은 광범위한 일탈로 통제 목표 미달성인 경우다. 의견 거절은 증거 제약으로 평가 불능인 경우다.
의견 표명의 근거를 제3자가 이해할 수 있는 수준으로 문서화했는지 확인한다. 대안 검토 과정도 포함한다. 품관실이 판단 근거를 확인할 수 있는 상태여야 한다.
서비스 조직과의 협의 내용을 기록했는지 확인한다. 식별된 일탈에 대해 충분히 협의하고 서비스 조직의 견해와 감사인의 최종 판단을 명확히 구분하여 기재한다.
가장 주의할 점은 통제 목표의 달성 상황으로 의견을 결정하는 것이다. 일탈의 건수로 결정해서는 안 된다.
자주 발생하는 판단 오류
일탈의 건수로 의견을 결정하는 것이 전형적 오류다. 5건이면 한정의견, 10건이면 부적정의견이라는 기계적 판단은 성립하지 않는다. 통제 목표에 대한 영향으로 평가해야 한다. 금감원 감리에서도 이 점은 반복적으로 지적되고 있다.
대체 통제의 검토 부족도 빈번하다. 주된 통제에 일탈이 있더라도 대체 통제가 유효하면 통제 목표는 달성된 것으로 평가할 수 있다. 보완 통제의 평가를 생략하면 안 된다.
T1과 T2에서 판단 기준을 동일하게 적용하는 오류도 있다. T1은 설계 유효성만 평가하고 T2는 운영 유효성도 포함한다. 같은 불비라도 의견에 미치는 영향이 다르다.
관련 자료
- ISAE 3402 용어집: 서비스 감사 고유의 중요성 개념 해설 - ISAE 3402 테스트 범위 산정 도구: 통제 테스트 범위 산정 - 통제 불비의 문서화 가이드: 불비의 분류와 보고서 기재