독일의 ISAE 3402: WPK 요구사항과 IDW 기준

독일 ISAE 3402 규제 체계

WPK의 역할과 권한

WPK는 공인회계사법(WPO)에 따라 모든 감사 서비스의 품질 표준을 설정한다. ISAE 3402 업무는 WPK의 품질 관리 시스템(QMS) 요구사항 적용을 받으며, 독립성 평가와 전문가적 역량 확인, 업무 수행 감독, 사후 검토가 포함된다.

WPK 규정 § 43a는 ISAE 3402 업무를 수행하는 감사인에게 서비스 조직 감사에 대한 특별 훈련 이수를 요구한다. 국제 ISAE 3402.12가 요구하는 일반적 역량 기준과는 별도의 독일 고유 조건이다. 솔직히 이 추가 훈련 요구사항을 모르고 업무를 수락하는 경우가 있고, 품질 검토 단계에서 처음 지적받는 일이 생긴다.

IDW와 기술 지침

IDW PS 951은 ISAE 3402의 독일 적용을 위한 방법론을 제공한다. 국제 기준을 독일 법률 체계에 맞게 해석하고 적용하는 방법을 설명하는 진술이다.

PS 951.23은 통제 목표의 식별과 기술에 대해 지침을 제공한다. 서비스 조직은 독일 상법(HGB) 요구사항과 일치하는 방식으로 통제를 문서화해야 한다. 국제 관례를 그대로 따르면 HGB 특유의 요구사항이 빠진다.

WPK 요구사항과 품질 관리

독립성 평가 기준

WPK는 ISAE 3402 업무에서 독립성 평가를 위한 별도 기준을 설정했다. 서비스 감사인은 서비스 조직뿐 아니라 해당 조직의 주요 사용자 기관과의 관계도 평가해야 한다. 제 경험상 이 부분에서 가장 많이 빠뜨리는 것이 사용자 기관과의 관계 평가다.

독일 독립성 규정 § 319 HGB에 따라 서비스 감사인이 사용자 기관의 재무제표 감사도 수행하는 경우 추가 안전장치가 필요하다. 별도의 업무팀 구성이 필수다.

문서화 표준

WPK는 ISAE 3402 업무 파일에 대한 문서화 요구사항을 설정했다. 업무계획서에 서비스 조직의 업무와 통제의 성격에 대한 이해를 기록해야 한다.

통제 테스트 문서화는 IDW PS 951.45의 요구사항을 따른다. 각 통제 테스트에 대해 테스트 성격, 시기, 범위를 기록하고 예외사항이 있으면 그 평가와 결론을 포함해야 한다. 조서가 얇으면 품질 검토에서 바로 걸린다.

품질 검토 절차

WPK의 품질 검토 프로그램에서 ISAE 3402 업무는 특별한 관심을 받는다. 검토자는 통제 매트릭스의 완성도, 테스트 절차의 적절성, 보고서의 정확성, 예외사항 평가의 적정성을 중점적으로 본다.

Type II 보고서의 경우 WPK 검토자는 표본 크기 결정의 근거와 테스트 결과의 평가 방법을 면밀히 검토한다. 부적절한 표본 설계나 예외사항의 잘못된 평가가 가장 빈번한 지적사항이다.

IDW PS 951의 핵심 요구사항

PS 951은 ISAE 3402의 독일 적용을 위한 로드맵을 제공한다. 서비스 조직의 시스템 이해, 통제 식별, 테스트 설계에 대한 방법론을 설정한다.

PS 951.18에 따라 서비스 감사인은 서비스 조직의 통제 환경을 평가할 때 독일 기업지배구조 원칙을 고려해야 한다. 감독이사회의 역할과 리스크 관리 체계의 적절성 평가가 포함된다.

통제 목표 설정과 기술

IDW는 통제 목표를 설정할 때 독일 회계 원칙과의 연계를 강조한다. 재무보고 관련 통제는 HGB 요구사항과 일치해야 하며, 운영 통제는 독일 내부통제 체계를 반영해야 한다.

통제 기술에서 PS 951.31은 각 통제의 빈도, 수행자, 검토 절차를 기술하도록 요구한다. 자동화된 통제의 경우 IT 일반 통제와의 연계성도 문서화해야 한다.

Type I과 Type II의 구별

Type I 보고서는 특정 시점에서의 통제 설계와 실행을 다루고, Type II 보고서는 일정 기간에 걸친 운영 실효성을 평가한다. IDW는 두 유형의 목적과 범위를 명확히 구분한다.

Type II 업무에서 PS 951.52는 테스트 기간 중 통제 변경사항에 대한 특별한 고려를 요구한다. 중요 변경이 있었다면 해당 기간을 분할하여 각각 평가해야 한다.

실무 적용 사례

뮐러 IT 서비스 GmbH는 독일 전역 300개 중소기업에 클라우드 기반 재무시스템을 제공하는 서비스 조직이다. 연간 매출 4,500만 유로, 직원 180명 규모. Type II ISAE 3402 보고서가 필요하다.

1단계: 초기 계획 수립

WPK 요구사항에 따라 서비스 감사인은 뮐러 IT의 업무 성격과 사용자 기관의 특성을 파악한다. 주요 사용자는 제조업과 소매업 중소기업들로, 대부분 HGB 요구사항을 따른다. 문서화: 업무 수락서에 독립성 평가와 역량 확인 기록

2단계: 시스템 이해와 통제 식별

PS 951.23에 따라 재무보고 통제와 운영 통제를 구분한다. 핵심 통제는 사용자 액세스 관리, 데이터 백업, 변경 관리, 보안 모니터링이다. 문서화: 통제 매트릭스에 각 통제의 목표, 절차, 빈도, 수행자 기록

3단계: Type II 테스트 수행

2023년 4월 1일부터 2024년 3월 31일까지 12개월간 운영 실효성을 테스트한다. 사용자 액세스 검토는 월별로, 시스템 백업은 주별로 테스트한다. 문서화: 각 테스트에 대해 표본 선정 근거, 테스트 절차, 결과, 예외사항 평가 기록

4단계: 예외사항 평가

8월에 시스템 관리자 권한이 적절한 승인 없이 부여된 사례 3건을 발견했다. PS 951.67에 따라 이 예외의 원인, 영향, 보완 통제를 평가한다. 인차지는 이 예외사항이 사용자 기관의 재무데이터에 미치는 실제 영향을 확인해야 한다. 형식적으로 "영향 없음"이라고 기재하면 품관실에서 반려된다. 문서화: 예외 분석, 경영진 설명, 보완 절차 평가, 사용자 기관 영향 분석

Type II 보고서는 한정적 의견으로 발행되었다. 예외사항에도 불구하고 전반적인 통제 체계는 적절히 설계되고 운영되었다. 사용자 기관은 해당 기간 중 추가적인 실질 테스트가 필요하다.

실무 체크리스트

1. 업무 수락 전 독립성과 역량 평가 완료. WPK § 43a에 따른 서비스 감사 전문 훈련 이수 확인. 2. 서비스 조직과 사용자 기관의 업무 이해 문서화. PS 951.18의 시스템 이해 요구사항 충족. 3. 통제 매트릭스 작성 시 독일 기업지배구조 원칙 반영. HGB 요구사항과의 연계성 확인. 4. Type II 업무의 테스트 기간 중 통제 변경사항 식별과 평가. PS 951.52 준수. 5. 품질 검토를 위한 완전한 업무 파일 준비. WPK 문서화 기준에 따른 모든 증빙 보관. 6. 예외사항 발견 시 사용자 기관에 미치는 실제 영향을 구체적으로 평가하고 문서화한다. 이 부분이 빠지면 감리에서 가장 먼저 걸린다.

일반적인 실수

통제 테스트 표본 크기 결정 시 근거 부족이 WPK 품질 검토에서 가장 빈번하게 지적된다. 표본 25건을 선정했으면 왜 25건인지 근거가 조서에 있어야 한다.

Type I과 Type II 보고서의 목적을 혼동하는 경우도 많다. PS 951은 두 유형의 명확한 구분을 요구한다. Type I은 설계와 실행, Type II는 운영 실효성이다. 보고서 범위를 잘못 설정하면 처음부터 다시 해야 한다.

사용자 기관과의 독립성 관계 미평가는 § 319 HGB의 요구사항을 간과하는 전형적인 사례다. 서비스 조직만 평가하고 사용자 기관은 빠뜨리는 파일이 꽤 있다.