ISAE 3402의 핵심 통제와 비핵심 통제: 모든 감리 의견을 촉발하는 분류

이 글에서 배울 내용

- ISAE 3402.17이 요구하는 핵심/비핵심 통제 분류 기준을 실제 조서에 적용하는 방법 - 분류 근거를 문서화하여 감리 지적을 방지하는 구체적 방법 - 테스트 전략을 분류에 연결하여 효율적이고 방어 가능한 증거 수집 방안 - 서비스 조직의 통제 환경에서 분류 오류가 감사 위험에 미치는 영향과 대응책

ISAE 3402.17의 분류 요구사항

ISAE 3402.17은 서비스 감사인에게 통제를 핵심 통제와 비핵심 통제로 분류하도록 요구한다. 이 분류가 테스트 전략의 출발점이다.

핵심 통제는 서비스 조직이 기술한 통제 목적을 달성하기 위해 직접 필요한 통제를 뜻한다. 비핵심 통제는 핵심 통제를 보완하거나 지원하되, 그 자체로는 통제 목적 달성에 필수적이지 않은 통제다.

ISAE 3402.A15는 이 구분의 의미를 명확히 한다. 핵심 통제가 효과적으로 운영되지 않으면 통제 목적 미달성 위험이 높아진다. 핵심 통제에는 더 엄격한 테스트가 필요하고, 비핵심 통제는 상대적으로 제한된 테스트로 충분할 수 있다.

분류가 테스트 전략에 미치는 영향

통제 분류는 테스트 범위와 심도를 직접 결정한다. ISAE 3402.30에 따르면 서비스 감사인은 각 통제에 대해 적절한 테스트 절차를 수행해야 한다. 핵심 통제에서 발견된 예외사항은 비핵심 통제 예외사항보다 보고서에 훨씬 큰 영향을 미친다.

핵심 통제 실패는 Type II 보고서에서 중요한 결함(significant deficiency)으로 보고될 가능성이 높다. 비핵심 통제 실패는 관찰 사항(observation) 또는 경미한 결함으로 분류될 수 있다. 솔직히, 빅펌과 로컬펌 모두 이 구분에서 가장 많이 걸린다. 핵심 통제 실패를 경미한 결함으로 분류한 조서는 감리에서 바로 반려된다.

핵심 통제와 비핵심 통제의 구분 기준

핵심 통제 식별 기준

핵심 통제는 다음 네 가지 질문으로 식별한다.

1. 이 통제가 실패하면 통제 목적이 달성되지 않는가? 2. 다른 통제가 이 실패를 완전히 보상할 수 있는가? 3. 이 통제가 위험을 허용 가능한 수준 이하로 감소시키는 주요 메커니즘인가? 4. 이 통제를 제거했을 때 나머지 통제만으로 통제 목적 달성이 가능한가?

ISAE 3402.A16은 핵심 통제의 특성을 설명한다. 예방 통제(preventive control)와 적발 통제(detective control) 모두 핵심 통제가 될 수 있다. 결정적인 기준은 통제가 위험에 직접 대응하는 정도다.

보완 통제와 중복 통제의 평가

서비스 조직에는 동일한 위험을 다루는 여러 통제가 존재하는 경우가 잦다. ISAE 3402.A17에 따르면 서비스 감사인은 각 통제의 기여도를 개별적으로 평가해야 한다.

완전히 중복되는 통제가 있다면 그 중 하나만 핵심 통제로 분류할 수 있다. 하지만 각 통제가 서로 다른 측면의 위험을 다룬다면 모두 핵심 통제가 된다. 제 경험상, 시즌 중에 이 개별 평가를 제대로 하는 팀은 드물다. 타임이팅 압박 때문에 "중복 통제 = 비핵심"으로 일괄 처리하는 경우가 빈번한데, 금감원 감리에서 이 판단이 뒤집히면 테스트 범위 전체를 재설정해야 한다.

실무 적용: 분류 프로세스

1단계: 통제 목적과 위험의 매핑

서비스 조직이 기술한 각 통제 목적을 분석하고 관련 위험을 식별한다. 각 위험에 대해 어떤 통제가 직접 대응하는지 확인한다.

문서화 노트: 통제 목적별로 위험 매트릭스를 작성하고 각 통제의 역할을 기록한다.

2단계: 통제의 직접성 평가

각 통제가 위험에 대응하는 방식을 평가한다. 직접적 대응(위험을 허용 가능한 수준으로 감소)인지, 간접적 지원(다른 통제의 효과를 강화)인지 구분한다.

문서화 노트: 각 통제에 대해 "직접 대응" 또는 "간접 지원" 판정과 근거를 기록한다.

3단계: 실패 영향 분석

각 통제가 실패할 경우의 영향을 평가한다. 다른 통제가 이를 완전히 보상할 수 있는지, 통제 목적이 위험에 노출되는지 판단한다.

문서화 노트: 실패 시나리오별로 영향 평가와 보완 통제의 충분성을 기록한다.

4단계: 최종 분류와 근거 문서화

분류 결정을 내리고 각 결정의 근거를 문서화한다. ISAE 3402.31은 이 판단 근거를 감사 조서에 기록하도록 요구한다. KICPA 감사기준도 동일한 문서화 수준을 기대한다.

문서화 노트: 분류 결정 매트릭스를 완성하고 검토자 승인을 받는다.

산출 예시

배경: 대성물류주식회사는 전자상거래 기업들에게 주문 처리 및 배송 서비스를 제공하는 서비스 조직이다. 연매출 450억 원, 직원 280명 규모. Type II SOC 2 보고서 작성을 위해 통제 환경을 평가하고 있다.

통제 목적: "고객 주문이 정확하고 완전하게 처리되어 적시에 배송된다"

통제 1: 일일 주문 매칭 검토

매일 오후 5시에 운영팀장이 수신된 주문과 시스템에 등록된 주문을 매칭하여 누락이나 중복을 확인한다.

분류: 핵심 통제

근거: 이 통제가 실패하면 주문 누락이나 중복 처리가 발생하여 통제 목적을 직접 위해한다. 다른 통제로는 이를 완전히 보상할 수 없다.

문서화 노트: 일일 매칭 보고서 샘플 3개월치를 입수하고 검토자 서명을 확인한다.

통제 2: 월별 고객 만족도 설문조사

매월 말 고객서비스팀이 무작위 선정된 고객 100명에게 배송 품질 만족도 조사를 실시한다.

분류: 비핵심 통제

근거: 만족도 조사는 통제 목적 달성 여부를 사후에 확인하는 모니터링 통제다. 직접적인 예방이나 적발 기능은 없다. 다른 핵심 통제들이 효과적으로 운영되면 이 통제 없이도 목적 달성이 가능하다.

문서화 노트: 분기별 설문조사 결과 보고서를 입수하고 이슈 발생 시 후속 조치 절차를 확인한다.

통제 3: 자동 배송 추적 알림

시스템이 자동으로 배송업체와 연동하여 배송 상태를 추적하고, 지연 발생 시 담당자에게 자동 알림을 보낸다.

분류: 핵심 통제

근거: 배송 지연을 적발하고 적시 대응을 가능하게 하는 통제다. 이 통제가 실패하면 배송 지연이 고객에게 전달될 때까지 발견되지 않아 통제 목적을 위배한다.

문서화 노트: 알림 시스템 로그를 1개월간 검토하고 지연 발생 시 대응 시간을 측정한다.

통제 4: 주간 배송업체 성과 리뷰

매주 화요일 물류팀장이 각 배송업체별 정시 배송률과 분실률을 검토하고, 기준 미달 시 개선을 요청한다.

분류: 비핵심 통제

근거: 배송업체 성과 개선을 통해 전체 서비스 품질을 향상시키지만, 개별 주문의 정확성과 적시성을 직접 보장하지는 않는다. 통제 3이 효과적이면 이 통제 없이도 지연된 주문에 대한 대응이 가능하다.

문서화 노트: 주간 성과 리뷰 미팅 의사록 6주치를 입수하고 개선 조치 이행 여부를 확인한다.

결론: 4개 통제 중 2개(통제 1, 3)는 핵심 통제로 분류하여 상세한 테스트를 실시한다. 나머지 2개(통제 2, 4)는 비핵심 통제로 분류하여 제한된 테스트로 충분하다.

실무 체크리스트

1. 각 통제 목적에 대해 관련 위험을 식별하고 통제와의 연결점을 문서화했는가? (ISAE 3402.17 충족)

2. 각 통제가 실패할 경우 통제 목적 달성에 미치는 영향을 평가하고, 보완 통제의 충분성을 검토했는가?

3. 핵심/비핵심 분류 결정에 대한 구체적 근거를 조서에 기록했는가? (ISAE 3402.31 요구사항)

4. 분류에 따라 차별화된 테스트 범위와 심도를 계획하고 문서화했는가?

5. 분류 결정과 테스트 전략이 인차지 또는 상급자 검토를 받고 승인되었는가?

6. 핵심 통제에서 발견된 예외사항이 보고서 의견에 미치는 영향을 평가하고 적절히 공시했는가?

자주 발생하는 오류

- 모든 통제를 핵심으로 분류하는 문제. 금감원 감리 데이터에 따르면 과도한 핵심 통제 분류가 비효율적인 감사 수행의 주요 원인 중 하나로 나타난다. 분류 기준을 엄격히 적용해야 한다.

- 분류 근거 미문서화. 분류 결정의 근거를 구두로만 논의하고 조서에 기록하지 않아 감리 시 설명이 불가능해지는 상황이 발생한다. KICPA 품질관리기준도 구두 논의만으로는 충분하지 않다고 본다.

- 중복 통제의 개별 평가 누락. 동일한 위험을 다루는 복수 통제를 하나의 단위로 평가하여 각 통제의 고유한 기여도를 간과하는 경우가 빈번하다. 각 통제가 위험의 어떤 측면에 대응하는지 개별적으로 기록해야 한다.