ISAE 3402 테스트: 표본 추출 문단 참조가 잘못된 이유

ISAE 3402에서 표본 추출의 위치

ISAE 3402.48은 표본 추출에 대해 단 하나의 문단만 할애한다. "적절한 경우 표본 추출을 사용할 수 있다"고 명시하되, 몇 가지 제한을 둔다. 표본 추출은 통제의 운영 효과성을 테스트할 때만 관련이 있다. 통제 설계 평가나 통제 환경 평가에는 적용되지 않는다.

ISAE 3402.A37은 추가 지침을 제공한다. 표본 추출은 동질적인 항목의 모집단에서만 적절하며, 각 항목이 같은 통제 절차의 적용을 받아야 한다. 급여 처리에서 승인 통제를 테스트한다면 모든 급여 거래가 동일한 승인 절차를 거쳐야 표본 추출이 의미가 있다.

통제 테스트의 특수성

재무제표 감사에서는 중요성과 허용 가능한 오류율이 명확하다. ISAE 3402 업무에서는 중요성 개념이 다르다. 단순히 금액의 크기만으로 판단할 수 없다. 각 통제가 다루는 위험의 성격과 그 통제가 실패했을 때의 잠재적 결과를 고려해야 한다.

ISA 530이 적용되지 않는 이유

ISA 530.1은 명확하다. "재무제표의 감사에서" 표본 추출을 다룬다. ISAE 3402 업무는 재무제표 감사가 아니다. 서비스 조직의 내부통제에 대한 보증 업무다. 기준서의 적용 범위부터 다르다.

ISA 530은 재무제표 주장에 대한 충분하고 적절한 감사 증거를 얻기 위한 것이다. ISAE 3402는 통제의 설계와 운영 효과성에 대한 보증을 제공하기 위한 것이다. 같은 절차라도 목적이 다르면 접근법이 달라져야 한다. 막상 조서를 열어보면 이 구분 없이 ISA 530 문단 번호가 그대로 들어가 있는 파일이 태반이다.

위험 평가의 차이점

ISA 530.5는 중요한 왜곡표시 위험을 고려하도록 요구한다. ISAE 3402에서는 통제 실패 위험을 평가해야 한다. 통제가 실패했을 때 사용자 기업의 재무보고에 미치는 영향을 고려해야 하지만, 이것이 직접적인 재무제표 위험과 같지는 않다.

월말 마감 통제를 테스트한다고 하자. ISA 530의 성과 중요성 개념을 그대로 적용할 수 없다. 해당 통제가 실패했을 때 120개 사용자 기업 전체의 재무제표에 미칠 수 있는 누적 영향을 고려해야 한다. 규모가 완전히 다른 문제다.

올바른 표본 추출 접근법

ISAE 3402.48과 A37-A40이 표본 추출에 관한 모든 지침이다. 추가 지침이 필요하다면 ISAE 3000(개정)의 일반적인 보증 업무 원칙을 참조할 수 있다. ISA 530은 참조 대상이 아니다.

표본 크기를 결정할 때 고려할 사항은 통제의 중요성(사용자 기업의 재무보고에 미치는 영향), 모집단의 변동성, 허용 가능한 오차율(서비스 조직 자체의 위험 허용도 기반), 통제 환경의 강도 이 네 가지다.

문서화 요구사항

ISAE 3402.A38은 표본 추출 방법론의 문서화를 요구한다. 표본 크기 결정 근거, 표본 선정 방법, 결과 평가 방법이 조서에 포함되어야 한다. ISA 530.18의 문서화 요구사항을 그대로 적용할 수는 없지만, 유사한 수준의 세부사항이 필요하다.

올바른 문서화 예시: "ISAE 3402.48에 따라 표본 추출을 실시했다. 모집단은 12개월간 처리된 2,340건의 급여 승인으로, 모두 동일한 승인 통제를 받았다. 표본 크기 60개는 통제의 중요성과 예상 오차율 2%를 고려하여 결정했다."

실무 예시

김앤김 IT서비스(주)의 급여 처리 통제

김앤김 IT서비스(주)는 120개 사용자 기업에게 급여 처리 서비스를 제공한다. 월 평균 급여 처리 건수는 15,000건이며, 각 급여는 팀장 승인을 받아야 한다.

1단계: 모집단 정의 문서화 노트: 2024년 1월부터 12월까지 처리된 총 180,000건의 급여 거래를 모집단으로 설정. 모든 거래가 동일한 승인 통제(팀장의 전자 승인)를 받음을 확인.

2단계: 표본 크기 결정 예상 오차율: 1% (과거 경험 기반) 허용 오차율: 3% 신뢰 수준: 95% 결정된 표본 크기: 150개 문서화 노트: ISAE 3402.A37에 따라 통제의 중요성을 고려하여 표본 크기 결정. 급여 승인 통제의 실패가 사용자 기업의 인건비 과대계상으로 이어질 수 있음을 고려.

3단계: 표본 선정 무작위 표본 추출법 사용 문서화 노트: 난수표를 사용하여 180,000건 중 150건을 선정. 편향을 방지하기 위해 층화하지 않고 단순 무작위 추출 적용.

4단계: 테스트 수행 150개 표본 중 2건에서 승인 누락 발견 오차율: 1.33% 문서화 노트: 발견된 2건의 예외사항은 모두 동일 담당자의 실수로 판단됨. 시스템적 결함이 아닌 인적 오류로 분류.

오차율 1.33%는 허용 오차율 3% 이하이므로 통제가 운영되는 것으로 결론 내렸다. ISAE 3402.48과 A38의 요구사항을 충족한다.

검토자가 확인하는 사항

품관실 검토자는 표본 추출 조서에서 다음을 확인한다.

기준서 참조의 정확성이 첫 번째다. ISA 530 참조가 있으면 즉시 지적사항이 된다. 두 번째는 모집단의 동질성이다. 서로 다른 통제 절차를 받는 항목이 같은 표본에 포함되었는지 확인한다. 세 번째는 표본 크기의 정당화다. 단순히 "통계적으로 유의미한" 크기가 아니라, 통제의 중요성과 위험을 고려했는지 점검한다. 네 번째는 결론의 논리적 연결이다. 예외사항 발견 시 추가 절차로 이어졌는지 추적한다.

금감원과 PCAOB의 검사 결과를 보면 ISAE 3402 업무에서 가장 흔한 지적사항 중 하나가 부적절한 기준서 참조다. 재무제표 감사 기준을 서비스 조직 업무에 잘못 적용하는 경우가 빈번하다. 아무도 이 실수를 즐기지 않지만, 고치지 않으면 조서 전체가 의심받는다.

표본 평가에서 주의할 점

표본에서 발견된 예외를 평가할 때도 ISA 530의 접근법을 그대로 가져오면 안 된다. ISA 530.14는 모집단 전체로의 투영을 요구하지만, ISAE 3402에서는 통제 실패의 성격과 원인을 더 중시한다.

한 건의 예외가 시스템적 결함을 나타내는지, 아니면 일회성 인적 오류인지가 핵심이다. 후자라면 추가적인 보상 통제가 있는지 확인해야 한다.

실무 체크리스트

1. 표본 추출 계획서에 ISAE 3402.48 참조가 포함되어 있는지 확인한다. ISA 530 참조가 있으면 삭제한다 2. 모집단의 동질성을 확인한다. 모든 항목이 동일한 통제 절차를 받는지 검증한다 3. 표본 크기 결정 근거를 문서화한다. 통제의 중요성과 허용 오차율을 명시한다 4. 표본 선정 방법을 기록한다. 편향을 방지하는 방법을 사용했는지 확인한다 5. 예외사항의 성격을 분석한다. 시스템적 결함인지 일회성 오류인지 판단한다 6. 결론이 ISAE 3402의 보증 목적에 부합하는지 평가한다

흔한 실수

ISA 530 직접 참조가 가장 빈번하다. 재무제표 감사 기준을 서비스 조직 업무에 잘못 적용하는 경우다. ISAE 3402.48을 대신 참조해야 한다. 보고서일이 다가오면 작년 조서에서 문단 번호를 그대로 복사하는 관행이 원인이다.

중요성 개념의 혼동도 흔하다. 재무제표 중요성을 통제 테스트에 그대로 적용하는 경우다. 통제 실패가 사용자 기업에 미치는 영향을 별도로 고려해야 한다.