독일에서 ISAE 3402는 이중 감독 체계 하에서 운영됩니다. WPK가 직업적 기준과 품질 관리를 관할하고, IDW가 기술적 지침과 방법론을 제공합니다.
목차
독일 ISAE 3402 규제 체계
독일에서 ISAE 3402는 이중 감독 체계 하에서 운영됩니다. WPK가 직업적 기준과 품질 관리를 관할하고, IDW가 기술적 지침과 방법론을 제공합니다.
WPK의 역할과 권한
WPK는 공인회계사법(WPO)에 따라 모든 감사 서비스의 품질 표준을 설정합니다. ISAE 3402 업무는 WPK의 품질 관리 시스템(QMS) 요구사항 적용을 받습니다. 여기에는 독립성 평가, 전문가적 역량 확인, 업무 수행 감독이 포함됩니다.
WPK 규정 § 43a에 따라 ISAE 3402 업무를 수행하는 감사인은 서비스 조직 감사에 대한 특별한 훈련을 이수해야 합니다. 이 요구사항은 국제 ISAE 3402.12에서 요구하는 일반적 역량 기준을 넘어서는 독일 고유의 추가 조건입니다.
IDW와 기술 지침
IDW는 ISAE 3402 구현을 위한 세부적인 방법론을 IDW PS 951을 통해 제공합니다. 이 진술은 국제 기준을 독일 법률 체계에 맞게 해석하고 적용하는 방법을 설명합니다.
IDW PS 951.23은 통제 목표의 식별과 기술에 대해 구체적인 지침을 제공합니다. 서비스 조직은 독일 상법(HGB) 요구사항과 일치하는 방식으로 통제를 문서화해야 합니다. 이는 단순히 국제 관례를 따르는 것과는 다릅니다.
WPK 요구사항과 품질 관리
독립성 평가 기준
WPK는 ISAE 3402 업무에서 독립성 평가를 위한 특별한 기준을 설정했습니다. 서비스 감사인은 서비스 조직해당 조직의 주요 사용자 기관과의 관계도 평가해야 합니다.
독일 독립성 규정 § 319 HGB에 따라 서비스 감사인이 사용자 기관의 재무제표 감사도 수행하는 경우 추가적인 안전장치가 필요합니다. 이 상황에서는 별도의 업무팀 구성이 필수입니다.
문서화 표준
WPK는 ISAE 3402 업무 파일에 대한 구체적인 문서화 요구사항을 설정했습니다. 업무계획서에는 서비스 조직의 업무와 통제의 성격에 대한 상세한 이해가 문서화되어야 합니다.
통제 테스트 문서화는 IDW PS 951.45의 요구사항을 따라야 합니다. 각 통제 테스트에 대해 테스트 성격, 시기, 범위가 명확히 기록되어야 하며, 예외사항이 있는 경우 그 평가와 결론이 포함되어야 합니다.
품질 검토 절차
WPK의 품질 검토 프로그램에서 ISAE 3402 업무는 특별한 관심을 받습니다. 검토자들은 통제 매트릭스의 완성도, 테스트 절차의 적절성, 보고서의 정확성을 중점적으로 검토합니다.
Type II 보고서의 경우 WPK 검토자들은 표본 크기 결정의 근거와 테스트 결과의 평가 방법을 면밀히 검토합니다. 부적절한 표본 설계나 예외사항의 잘못된 평가는 가장 빈번한 지적사항입니다.
IDW 실무 진술과 추가 지침
IDW PS 951의 핵심 요구사항
IDW PS 951은 ISAE 3402의 독일 적용을 위한 상세한 로드맵을 제공합니다. 이 진술은 서비스 조직의 시스템 이해, 통제 식별, 테스트 설계에 대한 구체적인 방법론을 설정합니다.
PS 951.18에 따라 서비스 감사인은 서비스 조직의 통제 환경을 평가할 때 독일 기업지배구조 원칙을 고려해야 합니다. 이는 감독이사회의 역할과 리스크 관리 체계의 적절성을 평가하는 것을 포함합니다.
통제 목표 설정과 기술
IDW는 통제 목표를 설정할 때 독일 회계 원칙과의 연계를 강조합니다. 재무보고 관련 통제는 HGB의 요구사항과 일치해야 하며, 운영 통제는 독일 내부통제 체계의 베스트 프랙티스를 반영해야 합니다.
통제 기술에서 IDW PS 951.31은 각 통제의 빈도, 수행자, 검토 절차를 명확히 기술하도록 요구합니다. 자동화된 통제의 경우 IT 일반 통제와의 연계성도 문서화되어야 합니다.
Type I과 Type II의 구별
IDW는 Type I과 Type II 보고서의 목적과 범위를 명확히 구분합니다. Type I 보고서는 특정 시점에서의 통제 설계와 실행을 다루며, Type II 보고서는 일정 기간에 걸친 운영 실효성을 평가합니다.
Type II 업무에서 IDW PS 951.52는 테스트 기간 중 통제 변경사항에 대한 특별한 고려를 요구합니다. 중요한 변경이 있었다면 해당 기간을 분할하여 각각 평가해야 합니다.
실무 적용 사례
뮐러 IT 서비스 GmbH는 독일 전역 300개 중소기업에 클라우드 기반 재무시스템을 제공하는 서비스 조직입니다. 연간 매출 4,500만 유로, 직원 180명 규모로 Type II ISAE 3402 보고서가 필요합니다.
1단계: 초기 계획 수립
WPK 요구사항에 따라 서비스 감사인은 뮐러 IT의 업무 성격과 사용자 기관의 특성을 파악합니다. 주요 사용자는 제조업과 소매업 중소기업들로, 대부분 HGB 요구사항을 따릅니다.
문서화: 업무 수락서에 독립성 평가와 역량 확인 기록
2단계: 시스템 이해와 통제 식별
IDW PS 951.23에 따라 재무보고 통제와 운영 통제를 구분합니다. 핵심 통제는 사용자 액세스 관리, 데이터 백업, 변경 관리, 보안 모니터링입니다.
문서화: 통제 매트릭스에 각 통제의 목표, 절차, 빈도, 수행자 기록
3단계: Type II 테스트 수행
2023년 4월 1일부터 2024년 3월 31일까지 12개월간 운영 실효성을 테스트합니다. 사용자 액세스 검토는 월별로, 시스템 백업은 주별로 테스트합니다.
문서화: 각 테스트에 대해 표본 선정 근거, 테스트 절차, 결과, 예외사항 평가 기록
4단계: 예외사항 평가
8월에 시스템 관리자 권한이 적절한 승인 없이 부여된 사례 3건을 발견했습니다. IDW PS 951.67에 따라 이 예외의 원인, 영향, 보완 통제를 평가합니다.
문서화: 예외 분석, 경영진 설명, 보완 절차 평가, 사용자 기관 영향 분석
실무 체크리스트
- 업무 수락 전 독립성과 역량 평가 완료 - WPK § 43a 요구사항에 따른 서비스 감사 전문 훈련 이수 확인
- 서비스 조직과 사용자 기관의 업무 이해 문서화 - IDW PS 951.18의 시스템 이해 요구사항 충족
- 통제 매트릭스 작성 시 독일 기업지배구조 원칙 반영 - HGB 요구사항과의 연계성 확인
- Type II 업무의 테스트 기간 중 통제 변경사항 식별과 평가 - IDW PS 951.52 준수
- 품질 검토를 위한 완전한 업무 파일 준비 - WPK 문서화 기준에 따른 모든 증빙 보관
- 가장 중요한 점: 예외사항 발견 시 사용자 기관에 미치는 실제 영향을 구체적으로 평가하고 문서화하십시오
일반적인 실수
- 통제 테스트 표본 크기 결정 시 근거 부족 - WPK 품질 검토에서 가장 빈번하게 지적되는 사항입니다
- Type I과 Type II 보고서의 목적 혼동 - IDW PS 951은 두 유형의 명확한 구분을 요구합니다
- 사용자 기관과의 독립성 관계 미평가 - § 319 HGB의 독립성 요구사항을 간과하는 경우가 많습니다
- 테스트 기간 중 통제 변경에 대한 분할 평가 누락 - IDW PS 951.52에 따르면 보고 기간 중 중요한 통제 변경이 있을 경우 해당 기간을 분할하여 각각 별도로 평가해야 합니다. 예를 들어 7월에 사용자 접근 관리 시스템이 교체된 경우, 1~6월(구 시스템)과 7~12월(신 시스템)로 나누어 각각의 운영 효과성을 독립적으로 테스트하지 않으면 Type II 보고서가 WPK 품질 검토에서 반려될 수 있습니다
관련 자료
- ISAE 3402 용어집 - 서비스 조직 감사의 기본 용어와 개념 정리
- ISAE 3402 독일 워크북 - WPK 요구사항과 IDW 기준을 반영한 실무 템플릿
- 서비스 감사 품질 관리 가이드 - 독일과 유럽 전반의 품질 관리 베스트 프랙티스