ISAE 3402의 기본 원칙

서비스 기관과 사용자 실체의 관계


ISAE 3402.9는 서비스 기관을 "다른 기업(사용자 실체)의 정보시스템 일부분을 구성하는 서비스를 제공하는 제3자 기관"으로 정의합니다. 이러한 서비스가 사용자 실체의 내부통제와 상호작용할 때 감사 위험이 발생합니다.
서비스가 사용자 실체의 재무보고와 관련된 내부통제에 영향을 미치는 경우 ISAE 3402가 적용됩니다. 단순한 거래 처리(급여 계산, 세금 신고)부터 복잡한 투자 관리, IT 인프라 제공까지 모든 범위를 포괄합니다.

서비스 감사인과 사용자 감사인의 역할


ISAE 3402.12는 서비스 감사인의 책임을 명시합니다. 서비스 기관의 통제를 테스트하고 보고서를 작성합니다. 사용자 감사인은 이 보고서를 받아 자신의 위험평가에 활용합니다.
두 감사인 간의 의사소통은 중요하지만 실무에서 자주 누락됩니다. 사용자 감사인이 특정 통제에 대한 추가 정보가 필요하더라도 서비스 감사인과 직접 소통할 기회는 제한적입니다.

Type I과 Type II 보고서의 차이

Type I 보고서: 설계 및 구현


ISAE 3402.A1은 Type I 보고서를 "서비스 기관의 시스템에 대한 설명과 특정 날짜의 통제 설계 및 구현의 적절성에 대한 서비스 감사인의 의견"으로 정의합니다.
Type I는 통제가 존재하고 올바르게 설계되었는지만 확인합니다. 운영 효과성은 테스트하지 않습니다. 새로 설립된 서비스 기관이나 시스템을 최근에 변경한 경우에 유용합니다.

Type II 보고서: 운영 효과성 포함


Type II 보고서는 Type I의 모든 요소에 더해 일정 기간의 통제 운영 효과성을 테스트합니다. ISAE 3402.A2에 따라 "통제가 검토 기간 중 효과적으로 운영되었는지"에 대한 의견을 포함합니다.
대부분의 사용자 감사인은 Type II를 선호합니다. 통제 테스트 결과를 자신의 감사에 활용할 수 있습니다. 단, 검토 기간이 사용자 실체의 회계연도와 일치해야 합니다.

언제 어떤 보고서를 요청할 것인가


클라이언트가 서비스를 이용하기 시작한 시점이 중요합니다. 연중에 서비스를 시작했다면 Type I로 시작하여 다음 해에 Type II를 요청할 수 있습니다.
서비스가 재무보고에 미치는 영향의 정도도 고려합니다. 급여 처리처럼 높은 거래량과 재무제표 영향이 있다면 Type II가 필요합니다. 단순한 데이터 보관 서비스라면 Type I로 충분할 수 있습니다.

실제 적용 사례

케이스: 대한물류 주식회사
대한물류는 연간 매출 850억 원의 물류회사입니다. 창고관리시스템(WMS)과 재고관리를 테크솔루션에 위탁했습니다. 재고자산은 총자산의 35%인 180억 원입니다.
1단계: 서비스 범위 파악
문서화: 서비스 계약서와 시스템 접근 권한 매트릭스를 입수하여 서비스 범위를 조서에 기재
2단계: 재무보고 영향 평가
문서화: 재고자산 금액과 전체 자산 대비 비중을 계산하여 중요성 판단 근거로 문서화
3단계: 서비스 감사인 보고서 요청
문서화: 테크솔루션의 ISAE 3402 Type II 보고서(2024년 1월-12월 기간) 입수 요청 공문 발송
4단계: 보고서 검토 및 평가
문서화: 수신한 보고서의 검토 기간이 감사 기간과 일치하는지 확인하고, 예외사항이 있는 통제에 대한 추가 테스트 계획 수립

실무 체크리스트

  • 서비스 파악 단계에서 클라이언트가 이용하는 모든 외부 서비스를 문서화하고 재무보고 관련성을 평가합니다 (ISA 315.A60 참조)
  • 위험평가 시 서비스 기관의 통제가 클라이언트의 내부통제와 어떻게 상호작용하는지 파악합니다
  • 보고서 요청 시 Type I/II 선택 근거를 문서화하고, 검토 기간이 감사 기간과 일치하는지 확인합니다
  • 보고서 검토 시 서비스 감사인의 자격, 독립성, 품질관리를 확인합니다 (ISAE 3402.16 참조)
  • 예외사항 대응 서비스 감사인이 식별한 통제 미비점에 대해서는 추가적 실질적 절차를 설계합니다
  • 가장 중요한 것: 보고서를 받지 못했거나 부적절한 경우 대안적 절차(직접 테스트, 확인서 발송, 현장 방문)를 수행해야 합니다

흔한 실수들

  • 검토 기간 불일치: 서비스 감사인의 보고서 기간이 사용자 실체의 회계연도와 다를 때 갭 기간에 대한 추가 절차를 누락하는 경우가 있습니다.
  • 예외사항 간과: Type II 보고서의 예외사항을 단순히 "주목"만 하고 추가 절차를 수행하지 않는 경우가 발견됩니다.

관련 콘텐츠

  • 내부통제 평가 - 서비스 기관 통제가 사용자 실체의 전체 통제 환경에 미치는 영향을 이해할 수 있습니다.
  • ISA 402 감사 대응 도구 - 서비스 기관이 관련된 감사의 계획과 실행을 위한 체크리스트와 문서화 템플릿을 제공합니다.
  • 위험평가 및 대응 - 서비스 기관 사용이 위험평가에 미치는 영향과 이에 따른 감사 절차 설계 방법을 다룹니다.

실무 감사 인사이트를 매주 받아보세요.

시험 이론이 아닙니다. 감사를 빠르게 만드는 실질적인 내용입니다.

290개 이상의 가이드 게시20개 무료 도구현직 감사인이 구축

스팸 없음. 저희는 감사인이지 마케터가 아닙니다.