이 글에서 배울 내용

  • 정량적, 정성적 요소를 사용하여 일탈 심각도(낮음, 중간, 높음)를 평가하는 방법
  • 7가지 요소로 구성된 보완 통제 프레임워크가 일탈의 영향 완화 여부를 판단하는 방식
  • 여러 발견 사항의 종합 평가가 작동하는 원리와 하나의 높은 심각도 발견이 특정 통제 목적에 대한 한정 의견을 유발하는 이유
  • ISAE 3402 템플릿 팩의 갭 분석 탭이 4가지 사전 입력된 사례와 9개 항목 서명 체크리스트로 이 평가를 수행하는 과정

테스트가 완료되었습니다. 11개 통제 중 3개에서 일탈이 발견되었습니다. 하나는 심각해 보입니다. 의견이 적정인지, 한정인지, 부적정인지 판단해야 합니다. "일탈 발견"과 "의견 영향 결정" 사이의 간극이 대부분의 ISAE 3402 파일이 무너지는 지점입니다.

ISAE 3402.53~55에 따르면, 서비스 감사인은 일탈이(개별적으로 또는 종합적으로) 하나 이상의 통제 목적 달성을 저해하는지 평가해야 하며, 그러한 경우 한정 의견 또는 부적정 의견이 필요한지 판단해야 합니다. 심각도 평가, 보완 통제 평가, 종합 평가를 포함한 체계적 갭 분석이 각 일탈에서 최종 의견까지의 경로를 결정합니다.

갭 분석이 달성해야 하는 목적

갭 분석 항목은 테스트 중 식별된 모든 일탈에 대해 존재합니다. 그 목적은 일탈을 설명하는 것이 아닙니다(그것은 테스트 프로토콜에 기재됩니다). 그 목적은 일탈이 통제 목적과 서비스 감사인의 의견에 미치는 영향을 평가하는 것입니다.

평가 체계는 4단계로 구성됩니다. 첫째, 이 일탈의 심각도는 어떠한가? 둘째, 보완 통제가 미해결 위험을 완화하는가? 셋째, 이 일탈이 다른 일탈과 결합하여 더 중대한 결함을 형성하는가? 넷째, 결론이 의견 수정을 필요로 하는가?

ISAE 3402는 심각도 프레임워크를 규정하지 않습니다. 문단 53~55는 한정 의견과 부적정 의견의 조건을 기술하지만 평가 방법론은 서비스 감사인의 판단에 맡깁니다. ISAE 3402 템플릿 팩의 갭 분석 탭은 감사법인이 ISA 265를 내부통제 결함에 적용하는 방식과 일관된 3단계 심각도 프레임워크(낮음, 중간, 높음)를 적용합니다.

모든 갭 분석 항목은 18개 열로 구성됩니다. 처음 5개 열은 발견 사항을 식별합니다: 갭 참조번호, 통제 식별자, 위험 참조번호, 테스트 참조번호, 그리고 결함이 설계 문제인지 운영 유효성 문제인지 여부입니다. 마지막 구분은 설계 결함과 운영 결함이 다른 함의를 지니기 때문에 중요합니다. 설계 결함은 통제가 완벽하게 운영되더라도 목적을 달성할 수 없다는 것을 의미합니다. 운영 결함은 통제가 잘 설계되었지만 일관되게 운영되지 않았다는 것을 의미합니다.

심각도 평가: 정량적 분석과 정성적 분석의 결합

각 발견 사항은 두 가지 병행 평가에 기반하여 심각도 등급을 받습니다.

정량적 평가는 관찰된 일탈률과 허용일탈률(TDR)을 비교합니다. 5% TDR 대비 20% 관찰률을 보인 발견은 10% TDR 대비 8% 관찰률을 보인 발견보다 정량적으로 더 심각합니다. 관찰률과 허용률 간의 차이가 모집단 규모와 결합되어 추정 노출을 결정합니다: 동일한 일탈이 포함될 수 있는 미표본 항목의 수입니다.

정성적 평가는 수치만으로는 파악할 수 없는 요소를 고려합니다. 일탈이 체계적인가 아니면 단발적인가? 근본 원인은 무엇인가? 영향받는 통제가 핵심 통제인가 아니면 보조 통제인가? 노출 기간은 얼마인가? 일탈이 더 광범위한 통제 환경 약점을 시사하는가? 일회성 시스템 업그레이드로 인한 단일 단발적 일탈은 6개월에 걸친 인력 공백으로 인한 체계적 실패와는 다른 정성적 프로필을 가집니다.

낮은 심각도는 일탈이 합리적 확신을 저해하지 않으며 의견 수정이 필요 없음을 의미합니다. 중간 심각도는 종합 평가가 필요한 유의적 결함을 나타내며 강조사항 문단이 필요할 수 있습니다. 높은 심각도는 통제 목적이 달성되지 않았으며 ISAE 3402.53에 따른 한정 분석이 시작됨을 의미합니다.

7가지 요소 보완 통제 프레임워크

일탈이 식별되면 다음 질문은 보완 통제가 미해결 위험을 완화하는지 여부입니다. ISAE 3402.A27은 보완 통제를 다루지만 이를 평가하기 위한 프레임워크를 규정하지는 않습니다. 갭 분석 탭은 모든 보완 통제 주장에 대해 7가지 요소를 요구합니다.

첫 번째 요소는 실패한 통제가 완화하지 못하는 주요 위험을 식별합니다. 이것은 정밀성을 강제합니다: "급여 정확성 위험"은 불충분합니다. "10월 급여에서 급여 관리자의 검토 없이 차이가 처리되었을 수 있는 거래 수준 승인 위험"이 충분합니다.

두 번째 요소는 보완 통제 자체를 식별합니다. 다른 메커니즘을 통해 동일한 위험을 다루는 다른 통제가 무엇인가?

세 번째 요소는 적용 범위를 평가합니다: 보완 통제가 잔여 위험의 전체 또는 부분 적용을 제공하는가? 전체 적용은 보완 통제가 전체 위험을 독립적으로 다룬다는 것을 의미합니다. 부분 적용은 잔여 격차가 남는다는 것을 의미합니다.

네 번째 요소는 보완 통제에 대한 테스트 증거를 문서화합니다. 테스트되지 않은 보완 통제는 어떠한 확신도 제공하지 않습니다. 감사인은 다른 통제와 동일한 엄격성으로 테스트해야 합니다.

다섯 번째 요소는 보완 통제의 유효성 결론을 기록합니다. 원래 테스트된 기간뿐 아니라 관련 노출 기간 동안 유효하게 운영되어야 합니다.

여섯 번째 요소는 보완 통제가 감사인이 일탈을 제기하기 전에 식별되었는지 후에 식별되었는지 기록합니다. 일탈이 보고된 후에만 경영진이 식별한 보완 통제는 이미 독립적으로 운영되고 있던 것보다 가중치가 낮습니다.

일곱 번째 요소는 보완 통제를 고려한 후의 잔여 위험을 문서화합니다. 전체 적용이 있더라도 잔여 위험은 0이 아닐 수 있습니다.

종합 평가: 발견 사항이 결합될 때

개별 발견 사항은 먼저 독립적으로 평가된 후 종합됩니다. 종합 평가는 다음을 묻습니다: 여러 발견 사항을 함께 고려할 때 각 발견 개별 심각도보다 높은 심각도로 상승하는가?

동일한 통제 목적에 영향을 미치는 두 개의 중간 발견은 함께 해당 목적의 통제 환경에 체계적 약점을 나타낸다면 높음으로 종합될 수 있습니다. 서로 다른 통제 목적에 영향을 미치는 두 개의 낮은 발견은 관련 없는 위험을 다루기 때문에 일반적으로 종합되지 않습니다.

갭 분석의 종합 평가 열에서 감사인은 관련 발견 사항을 식별하고, 결합된 결함이 더 높은 심각도로 상승하는지 평가하며, 종합 결론의 근거를 문서화해야 합니다. 여기서 의견 경로가 명확해집니다. 종합이 어떤 통제 목적에 대해 높은 심각도 결론을 산출하면, 서비스 감사인은 해당 목적이 달성되었는지 여부를 고려해야 합니다. 달성되지 않았다면 ISAE 3402.53은 한정 의견(조건이 특정 목적에 한정된 경우) 또는 부적정 의견(조건이 광범위한 경우)을 요구합니다.

핵심 사항: 한정은 발견 사항별이 아니라 통제 목적별입니다. 은행 조정에 대한 높은 심각도 발견은 은행 조정 통제 목적에 대한 한정 의견을 유발합니다. 논리적 접근 통제나 급여 처리에 대한 적정 의견을 자동으로 오염시키지 않습니다. 서비스 감사인 보고서는 어떤 목적이 달성되었고 어떤 목적이 달성되지 않았는지를 명시합니다.

4가지 실무 사례

갭 분석 탭에는 서로 다른 심각도, 보완 통제 시나리오, 의견 결과를 보여주는 4가지 사전 입력된 발견 사항이 포함되어 있습니다.

발견 1: 급여 차이 검토 (중간, 운영 결함)

급여 처리 서비스 기관의 월별 차이 검토 통제에서 5개월 표본 중 1건의 일탈이 발견되었습니다. 10월 검토는 8일 늦게 완료되었고 비승인자(급여 관리자나 지정 대리인이 아닌 급여 부관리자)가 서명했습니다. 관찰된 일탈률: 20%. 허용일탈률: 5%. TDR이 초과되었습니다.

근본 원인: 급여 관리자 역할에 대한 문서화된 대리 절차가 없었습니다. 급여 관리자가 휴가 중일 때 부관리자가 검토를 완료했지만 승인 권한이 없었습니다.

보완 통제: 급여 이사가 매월 독립적으로 급여 예외 보고서를 검토합니다. 이 보완 통제는 테스트되었고 유효한 것으로 확인되었습니다. 그러나 적용 범위는 부분적입니다: 이사의 검토는 종합 수준이며 급여 관리자가 수행하는 부서별 상세 차이 분석을 재현하지 않습니다.

심각도: 중간(종합 후에도 유지). 단발적 사건, 보완 통제 유효하나 부분 적용, 재무적 영향 미식별. 의견 수정 불필요. 이 발견은 경영진에게 보고되고 서비스 감사인 보고서에 예외로 문서화되지만, 급여 통제 목적 달성을 저해하지 않습니다.

문서화 노트: 갭 분석 항목에 관찰률, TDR, 근본 원인, 7가지 요소가 모두 입력된 보완 통제, 상향 조정 없음을 확인하는 종합 평가를 기록합니다.

발견 2: 백업 무결성 (낮음, 운영 결함)

3월 중 25일 표본에서 2일간 백업 무결성 점검이 실패했습니다. 실패 원인은 벤더 스토리지 펌웨어 업데이트가 일시적으로 체크섬 검증을 중단시킨 것입니다. 관찰된 일탈률: 8%. 허용일탈률: 10%. TDR이 초과되지 않았습니다.

보완 통제: 전일 백업이 유효하고 이용 가능했으며, 실시간 데이터베이스 복제가 15분 미만의 지연으로 대안적 복구 경로를 제공했습니다. 적용 범위: 전체. 영향받은 2일 동안의 최대 데이터 손실은 1영업일이었을 것입니다.

심각도: 낮음. 기술적 문제, 2일 기간에 한정, 전체 보완 적용, 재무적 영향 없음, 벤더 패치가 근본 원인을 해결. 의견 수정 불필요.

문서화 노트: 갭 분석 항목에 펌웨어 문제를 근본 원인으로, 대안적 복구를 통한 전체 보완 적용을, 독립 평가(관련 발견 없음)를 기록합니다.

발견 3: 은행 조정 (높음, 운영 결함, 한정 의견)

은행 조정은 5월에 퇴사한 자금 분석원이 수행했습니다. 12월까지 후임자가 채용되지 않았습니다. 5개 표본 조정 중 3건(6월, 8월, 11월)이 수행되지 않았거나 필요한 서명 없이 수행되었습니다. 관찰된 일탈률: 60%. 허용일탈률: 5%. TDR이 55%포인트 초과되었습니다.

근본 원인: 문서화된 대리 절차가 없는 자금 기능의 단일 실패 지점.

보완 통제: CFO가 12월에 6월~11월 조정에 대한 소급 고수준 검토를 수행했습니다. 적용 범위: 부분. CFO의 검토는 종합 수준에 불과했으며, 거래 수준 조정 절차를 재현하지 않았고, 총 €23,400의 이전 미조정 차이 2건을 식별하여 수정이 필요했습니다. 보완 통제는 감사인이 일탈을 제기한 후에만 식별되었습니다.

심각도: 높음. 6개월에 걸친 체계적 실패, 핵심 통제, 현금은 가장 높은 위험 잔액, 보완 통제가 부분 적용만 제공하며 소급적. 6월~11월 기간 동안 은행 조정 통제 목적이 달성되지 않았습니다.

의견 영향: ISAE 3402.53에 따라 한정 의견 필요. 한정은 은행 조정 통제 목적에 한정됩니다. 다른 모든 통제 목적은 달성되어 적정 의견을 받습니다. 문서화 노트: 갭 분석 항목이 9개 항목 서명 체크리스트를 촉발합니다. 한정 건에 대해 ISQM 2.A25-A27에 따른 EQCR 필요. 파트너 서명 및 날짜.

발견 4: 사고 관리 (중간, 설계 결함, 강조사항)

사고 관리 정책이 우선순위 수준별 정량화된 에스컬레이션 SLA를 정의하지 않습니다. 해당 기간 동안 3건의 P1 사고가 발생했으며 에스컬레이션 시간은 8분, 47분, 4시간 22분이었습니다. 정의된 SLA가 없으므로 서비스 감사인은 에스컬레이션이 적시에 이루어졌는지 객관적으로 평가할 수 없습니다.

이것은 운영 결함이 아닌 설계 결함입니다. "적시"의 기준이 정의되지 않았으므로 통제가 목적(적시 에스컬레이션)을 달성할 수 없습니다. 사고 로깅과 분류 구성요소는 유효하게 운영되었습니다. 에스컬레이션 요소만 객관적 평가에 필요한 설계 정밀성이 부족합니다.

보완 통제: IT 운영 관리자가 매일 ITSM 대시보드를 검토하며 미에스컬레이션된 P1 사고를 식별할 수 있습니다. 적용 범위: 부분(사고 발생과 대시보드 검토 간 24시간 지연). 보완 통제는 25일 표본에 대해 테스트되었고 유효한 것으로 확인되었습니다.

심각도: 중간. 비재무적 ITGC 통제의 설계 격차. 사고 로깅과 분류 구성요소는 작동하며, 에스컬레이션 측정만 정의되지 않았습니다. 관찰된 3건의 사고로 인한 재무적 영향 없음.

의견 영향: 한정 불필요. 이 발견은 서비스 감사인 보고서에서 강조사항 문단으로 처리되어, 나머지 사고 관리 통제가 유효하게 운영되었음을 확인하면서 이용 감사인의 주의를 설계 격차에 환기시킵니다.

문서화 노트: 강조사항 권고. 다음 보고 기간까지 정량화된 SLA를 정의하겠다는 약속과 함께 경영진 답변을 요청.

9개 항목 서명 체크리스트

파트너가 갭 분석에 서명하기 전에 모든 발견 사항이 9개 항목 체크리스트를 통과해야 합니다. 이 체크리스트는 일탈 식별과 보고서 발행 사이에 어떤 절차적 단계도 누락되지 않도록 보장하기 위해 존재합니다.

9개 항목: 경영진 답변 확보(일탈 및 근본 원인에 대한 서명된 인정서). 보완 통제 테스트 완료(식별만이 아닌, 문서화된 증거로 테스트). 해당되는 경우 백업 또는 대안적 복구 확인. 일탈 기간에 대한 경영진 진술서 확보. 모든 발견 사항에 걸친 종합 평가 완료. 파트너 서명 및 날짜 기록. 심각도와 관계없이 서비스 감사인 보고서에 예외 보고(ISAE 3402.A18에 따라 일탈은 중요성과 관계없이 보고). 높은 심각도 발견이 있는 경우 EQCR 완료. 일탈이 보완적 이용자 기업 통제에 영향을 미치는 경우 CUEC 영향을 이용자 기업에 전달.

각 항목에는 체크박스가 있습니다. 미완료된 체크리스트는 서명을 차단합니다. 이 체크리스트는 형식적 절차가 아닙니다. 서비스 감사인이 일탈과 의견 사이의 모든 필수 단계를 완료했음을 입증하는 문서화 경로입니다.

갭 분석 실무 체크리스트

  • 심각도와 관계없이 모든 일탈에 대해 갭 분석 항목을 생성합니다. ISAE 3402.A18은 중요한 일탈뿐 아니라 모든 일탈의 보고를 요구합니다.
  • 정량적 요소(관찰률 대비 TDR, 모집단 규모, 추정 노출)와 정성적 요소(체계적 대 단발적, 근본 원인, 핵심 대 비핵심, 노출 기간)를 사용하여 심각도를 평가합니다.
  • 모든 보완 통제 주장에 대해 프레임워크의 7가지 요소를 모두 기입합니다. 독립적으로 테스트되지 않은 보완 통제는 어떠한 확신도 제공하지 않습니다.
  • 결론 전에 발견 사항을 종합합니다. 동일한 통제 목적에 대한 두 개의 중간 발견이 높음으로 종합될 수 있습니다. 결론이 "상향 조정 없음"인 경우에도 종합 근거를 문서화합니다.
  • 발견 사항별이 아닌 통제 목적별로 의견 영향을 판단합니다. 하나의 높은 심각도 발견은 해당 목적에 대한 의견에만 영향을 미칩니다(ISAE 3402.53).
  • 파트너가 갭 분석에 서명하기 전에 모든 발견에 대해 9개 항목 서명 체크리스트를 완료합니다. 미완료된 체크리스트는 파일이 서명 준비가 되지 않았음을 의미합니다.

자주 발생하는 실수

  • 종합 없이 개별 평가만 수행: AFM의 감리 결과에서 동일한 통제 목적에 대한 여러 중간 심각도 발견이 각각 개별적으로 "의견 영향 없음"으로 평가되고, 결합 효과가 더 유의한지에 대한 종합 평가 문서화가 없는 파일이 식별되었습니다.
  • 테스트 없이 보완 통제 주장: "존재하는" 보완 통제가 테스트되지 않았다면 감사 증거가 아닙니다. ISAE 3402.A27은 보완 통제에 대해 주요 통제와 동일한 엄격성을 요구합니다.
  • 영향받는 통제 목적이 아닌 전체 보고서에 한정 적용: ISAE 3402.53은 특정 통제 목적에 한정된 한정 의견을 허용합니다. 은행 조정에 대한 단일 높은 심각도 발견은 전체 업무가 아닌 은행 조정 통제 목적을 한정합니다.
  • 일탈 기간 추적 없이 보완 통제 적용 범위 주장: ISAE 3402.55에 따르면 보완 통제의 적용 범위는 일탈이 발생한 전체 기간을 커버해야 합니다. CFO가 12월에 소급 검토를 수행했더라도 6월~11월 기간의 잔여 위험을 전체 기간에 걸쳐 어떻게 완화했는지 각 월별로 별도 평가하지 않으면, 보완 통제 문서는 감사 증거로 인정되지 않습니다.

자주 묻는 질문

ISAE 3402에서 경미한 일탈도 모두 보고해야 하나요?

그렇습니다. ISAE 3402에 따르면, 서비스 감사인은 심각도나 중요성에 관계없이 테스트 중 식별된 모든 일탈을 서비스 감사인 보고서에 보고합니다. 이는 중요한 왜곡표시만이 의견을 좌우하는 재무제표 감사와 다릅니다. 보완 통제가 완전히 적용되는 낮은 심각도 일탈도 갭 분석에 문서화되고 예외로 보고되어, 이용 감사인이 자체 평가를 위한 완전한 정보를 갖게 됩니다.

ISAE 3402에서 한정은 발견별인가요 통제 목적별인가요?

한정은 통제 목적별이며 개별 발견별이 아닙니다. ISAE 3402 문단 53~55에 따르면, 일탈이(개별적으로 또는 종합적으로) 특정 통제 목적의 달성을 저해할 때, 서비스 감사인은 해당 목적에 한정된 한정 의견을 발행합니다. 은행 조정에 대한 높은 심각도 발견은 은행 조정 통제 목적만을 한정하며, 다른 목적에 대한 의견을 자동으로 오염시키지 않습니다. 부적정 의견은 조건이 여러 목적에 걸쳐 광범위한 상황에서 사용됩니다.

주요 통제에 일탈이 있을 때 보완 통제에 의존하려면 무엇이 필요한가요?

보완 통제는 모든 주요 통제와 동일한 엄격성으로 독립적으로 테스트되어야 합니다. 보완 통제가 존재한다는 식별만으로는 충분한 증거가 아닙니다. 서비스 감사인은 다음을 문서화해야 합니다: 완화되지 않은 특정 주요 위험, 보완 통제 자체, 전체 또는 부분 적용 여부, 테스트 증거, 유효성 결론, 일탈 제기 전후 식별 여부, 잔여 위험.

여러 중간 심각도 발견을 어떻게 종합해야 하나요?

각 발견은 먼저 개별적으로 평가된 후 각 통제 목적 내의 모든 발견에 대해 종합 평가를 수행해야 합니다. 동일한 통제 목적에 영향을 미치는 두 개의 중간 심각도 발견이 함께 체계적 약점을 나타낸다면 높은 심각도로 종합될 수 있습니다. 결론이 상향 조정 없음인 경우에도 종합 근거를 문서화해야 합니다. 규제 감리에서 동일한 통제 목적에 대한 여러 중간 발견이 종합 문서화 없이 개별적으로만 평가된 파일이 식별되었습니다.

ISAE 3402에서 설계 결함과 운영 유효성 결함의 차이는 무엇인가요?

설계 결함은 통제가 완벽하게 운영되더라도 설계 자체의 근본적 결함 때문에 의도한 목적을 달성할 수 없다는 것을 의미합니다. 예를 들어 정량화된 에스컬레이션 SLA가 없는 사고 관리 정책이 해당됩니다. 운영 유효성 결함은 통제가 잘 설계되었지만 기술된 대로 일관되게 수행되지 않았다는 것을 의미합니다. 이 구분이 중요한 이유는 설계 결함은 구조적 개선이 필요하고, 운영 결함은 교육이나 프로세스 강화로 해결될 수 있기 때문입니다.

관련 콘텐츠

  • ISAE 3402 용어집: Type I(설계만)과 Type II(설계 및 운영 유효성) 업무의 구분을 포함하여 기준서의 구조를 다룹니다.
  • ISAE 3402 템플릿 팩: 18개 열의 갭 분석 탭, 4가지 사전 입력된 발견, 7가지 요소 보완 통제 프레임워크, 9개 항목 서명 체크리스트를 포함합니다.
  • CUEC: 감사 전체 기간에 걸친 테스트 방법: 갭 분석 발견이 CUEC에 영향을 미칠 때 이용 감사인이 알아야 할 사항을 설명합니다. CUEC 등록부가 갭 분석 결과와 연결되는 방식을 다룹니다.

실무 감사 인사이트를 매주 받아보세요.

시험 이론이 아닙니다. 감사를 빠르게 만드는 실질적인 내용입니다.

290개 이상의 가이드 게시20개 무료 도구현직 감사인이 구축

스팸 없음. 저희는 감사인이지 마케터가 아닙니다.