ISAE 3402의 기본 원칙

서비스 기관과 사용자 실체의 관계

ISAE 3402.9는 서비스 기관을 "다른 기업의 정보시스템 일부분을 구성하는 서비스를 제공하는 제3자 기관"으로 정의한다. 이 서비스가 사용자 실체의 내부통제와 상호작용할 때 감사 위험이 발생한다.

단순한 거래 처리(급여 계산, 세금 신고)부터 투자 관리, IT 인프라 제공까지 모든 범위를 포괄한다. 서비스가 사용자 실체의 재무보고 관련 내부통제에 영향을 미치면 ISAE 3402가 적용된다.

서비스 감사인과 사용자 감사인의 역할

ISAE 3402.12는 서비스 감사인의 책임을 명시한다. 서비스 기관의 통제를 테스트하고 보고서를 작성한다. 사용자 감사인은 이 보고서를 받아 자신의 위험평가에 반영한다.

두 감사인 간의 의사소통이 누락되는 경우가 잦다. 솔직히 사용자 감사인이 서비스 감사인에게 직접 질문할 기회는 거의 없다. 보고서를 받아서 읽고, 부족하면 자체적으로 추가 절차를 설계해야 한다.

Type I과 Type II 보고서의 차이

Type I 보고서: 설계 및 구현

ISAE 3402.A1은 Type I 보고서를 "서비스 기관의 시스템에 대한 설명과 특정 날짜의 통제 설계 및 구현의 적절성에 대한 서비스 감사인의 의견"으로 정의한다.

Type I은 통제가 존재하고 올바르게 설계되었는지만 확인한다. 운영 효과성은 테스트하지 않는다. 이 보고서가 의미가 있는 시점은 서비스 기관이 새로 설립되었거나 시스템을 최근에 변경한 경우다.

Type II 보고서: 운영 효과성 포함

Type II 보고서는 Type I의 모든 요소에 더해 일정 기간의 통제 운영 효과성을 테스트한다. ISAE 3402.A2에 따라 "통제가 검토 기간 중 효과적으로 운영되었는지"에 대한 의견을 포함한다.

대부분의 사용자 감사인은 Type II를 선호한다. 통제 테스트 결과를 자신의 감사에 직접 반영할 수 있기 때문이다. 검토 기간이 사용자 실체의 회계연도와 일치해야 한다는 조건이 붙는다.

어떤 보고서를 요청할 것인가

클라이언트가 서비스를 이용하기 시작한 시점이 판단 기준이다. 연중에 서비스를 시작했다면 Type I로 시작하여 다음 해에 Type II를 요청할 수 있다.

서비스가 재무보고에 미치는 영향의 정도도 고려해야 한다. 급여 처리처럼 높은 거래량과 재무제표 영향이 있다면 Type II가 필수다. 단순한 데이터 보관 서비스라면 Type I로 충분할 수 있다.

실제 적용 사례

케이스: 대한물류 주식회사

대한물류는 연간 매출 850억 원의 물류회사다. 창고관리시스템(WMS)과 재고관리를 테크솔루션에 위탁했다. 재고자산은 총자산의 35%인 180억 원이다.

1단계: 서비스 범위 파악 문서화: 서비스 계약서와 시스템 접근 권한 매트릭스를 입수하여 서비스 범위를 조서에 기재

2단계: 재무보고 영향 평가 문서화: 재고자산 금액과 전체 자산 대비 비중을 계산하여 중요성 판단 근거로 문서화

3단계: 서비스 감사인 보고서 요청 문서화: 테크솔루션의 ISAE 3402 Type II 보고서(2024년 1월-12월 기간) 입수 요청 공문 발송

4단계: 보고서 검토 및 평가 문서화: 수신한 보고서의 검토 기간이 감사 기간과 일치하는지 확인하고, 예외사항이 있는 통제에 대한 추가 테스트 계획 수립

대한물류의 재고관리 시스템 의존도가 높으므로 Type II 보고서가 필수였다. 서비스 감사인이 식별한 2건의 통제 예외사항에 대해서는 별도의 실질적 절차로 보완했다.

실무 체크리스트

1. 서비스 파악 단계에서 클라이언트가 이용하는 모든 외부 서비스를 문서화하고 재무보고 관련성을 평가한다 (ISA 315.A60 참조)

2. 위험평가 시 서비스 기관의 통제가 클라이언트의 내부통제와 어떻게 상호작용하는지 파악한다

3. 보고서 요청 시 Type I/II 선택 근거를 조서에 남기고, 검토 기간이 감사 기간과 일치하는지 확인한다

4. 보고서 검토 시 서비스 감사인의 자격, 독립성, 품질관리를 확인한다 (ISAE 3402.16 참조)

5. 서비스 감사인이 식별한 통제 미비점에 대해서는 추가 실질적 절차를 설계한다

6. 보고서를 받지 못했거나 부적절한 경우 대안적 절차(직접 테스트, 확인서 발송, 현장 방문, 경영진 질의)를 수행한다

흔한 실수

검토 기간 불일치가 가장 빈번하다. 서비스 감사인의 보고서 기간이 사용자 실체의 회계연도와 다를 때 갭 기간에 대한 추가 절차를 누락하는 경우다. 이 지적사항이 감리에서 가장 많은 검토 노트를 생성한다.

Type II 보고서의 예외사항을 "주목했음"이라고만 적고 추가 절차를 수행하지 않는 것도 흔하다. 예외사항을 발견하면 그 통제에 의존할 수 없다는 뜻이다. 대안 절차가 조서에 없으면 필드에 나가서 직접 테스트해야 한다.

관련 콘텐츠

- 내부통제 평가 - 서비스 기관 통제가 사용자 실체의 전체 통제 환경에 미치는 영향

- ISA 402 감사 대응 도구 - 서비스 기관이 관련된 감사의 계획과 실행을 위한 체크리스트와 문서화 템플릿

- 위험평가 및 대응 - 서비스 기관 사용이 위험평가에 미치는 영향과 이에 따른 감사 절차 설계 방법

실무 감사 인사이트를 매주 받아보세요.

시험 이론이 아닙니다. 감사를 빠르게 만드는 실질적인 내용입니다.

290개 이상의 가이드 게시20개 무료 도구현직 감사인이 구축

스팸 없음. 저희는 감사인이지 마케터가 아닙니다.