ISAE 3402.17은 서비스 감사인에게 통제를 핵심 통제와 비핵심 통제로 분류하도록 요구합니다. 이 분류는 테스트 전략을 결정하는 출발점입니다. 핵심 통제는 서비스 조직이 기술한 통제 목적을 달성하기 위해 직접적으로 필요한 통제입니다. 비핵심 통제는 핵심 통제를 보완하거나 지원하는 역할을 하지만 그 자체로는 통제 목적 달성에 필수적이지 않은 통제입니다.

이 글에서 배울 내용

  • ISAE 3402.17이 요구하는 핵심/비핵심 통제 분류 기준을 실제 파일에 적용하는 방법
  • 분류 근거를 문서화하여 감리 지적을 방지하는 구체적 방법
  • 서비스 조직의 통제 환경에서 분류 오류가 미치는 감사 위험과 대응책
  • 테스트 전략을 분류에 연결하여 효율적이고 방어 가능한 증거 수집 방안

이 글에서 배울 내용

  • ISAE 3402.17이 요구하는 핵심/비핵심 통제 분류 기준을 실제 파일에 적용하는 방법
  • 분류 근거를 문서화하여 감리 지적을 방지하는 구체적 방법
  • 서비스 조직의 통제 환경에서 분류 오류가 미치는 감사 위험과 대응책
  • 테스트 전략을 분류에 연결하여 효율적이고 방어 가능한 증거 수집 방안

목차

ISAE 3402.17의 분류 요구사항

ISAE 3402.17은 서비스 감사인에게 통제를 핵심 통제와 비핵심 통제로 분류하도록 요구합니다. 이 분류는 테스트 전략을 결정하는 출발점입니다.
핵심 통제는 서비스 조직이 기술한 통제 목적을 달성하기 위해 직접적으로 필요한 통제입니다. 비핵심 통제는 핵심 통제를 보완하거나 지원하는 역할을 하지만 그 자체로는 통제 목적 달성에 필수적이지 않은 통제입니다.
ISAE 3402.A15는 이 구분의 중요성을 강조합니다. 핵심 통제가 효과적으로 운영되지 않으면 통제 목적이 달성되지 않을 위험이 높습니다. 따라서 핵심 통제는 더 엄격한 테스트를 받아야 하고, 비핵심 통제는 상대적으로 제한된 테스트로도 충분할 수 있습니다.

분류가 테스트 전략에 미치는 영향


통제 분류는 테스트 범위와 심도를 직접 결정합니다. ISAE 3402.30에 따르면 서비스 감사인은 각 통제에 대해 적절한 테스트 절차를 수행해야 합니다. 핵심 통제에서 발견된 예외사항은 비핵심 통제에서 발견된 예외사항보다 보고서에 더 중요한 영향을 미칩니다.
핵심 통제 실패는 Type II 보고서에서 중요한 결함(significant deficiency)으로 보고될 가능성이 높습니다. 비핵심 통제 실패는 관찰 사항(observation) 또는 경미한 결함으로 분류될 수 있습니다.

핵심 통제와 비핵심 통제의 구분 기준

핵심 통제 식별 기준


핵심 통제는 다음 질문에 "예"로 답할 수 있는 통제입니다:
ISAE 3402.A16은 핵심 통제의 특성을 설명합니다. 예방 통제(preventive control)와 적발 통제(detective control) 모두 핵심 통제가 될 수 있습니다. 중요한 것은 통제가 위험에 직접 대응하는 정도입니다.

보완 통제와 중복 통제의 평가


서비스 조직에는 종종 동일한 위험을 다루는 여러 통제가 존재합니다. ISAE 3402.A17에 따르면 이러한 상황에서 서비스 감사인은 각 통제의 기여도를 평가해야 합니다.
완전히 중복되는 통제가 있다면 그 중 하나만 핵심 통제로 분류할 수 있습니다. 하지만 각 통제가 서로 다른 측면의 위험을 다룬다면 모두 핵심 통제가 될 수 있습니다.

  • 이 통제가 실패하면 통제 목적이 달성되지 않는가?
  • 다른 통제가 이 실패를 완전히 보상할 수 있는가?
  • 이 통제가 위험을 허용 가능한 수준 이하로 감소시키는 주요 메커니즘인가?
  • ISAE 3402.A16에 따라 이 통제의 부재 시 서비스 조직 보고서(Type II)에 중요한 결함이 기재될 가능성이 있는가? 예를 들어 결제 처리 서비스 조직에서 일별 자동 이체 승인 통제가 없다면 미승인 거래가 처리될 수 있어 핵심 통제로 분류해야 합니다.

실무 적용: 분류 프로세스

1단계: 통제 목적과 위험의 매핑


서비스 조직이 기술한 각 통제 목적을 분석하고 관련 위험을 식별합니다. 각 위험에 대해 어떤 통제가 직접 대응하는지 확인합니다.
문서화 노트: 통제 목적별로 위험 매트릭스를 작성하고 각 통제의 역할을 기록합니다.

2단계: 통제의 직접성 평가


각 통제가 위험에 대응하는 방식을 평가합니다. 직접적 대응(위험을 허용 가능한 수준으로 감소)인지 간접적 지원(다른 통제의 효과를 강화)인지 구분합니다.
문서화 노트: 각 통제에 대해 "직접 대응" 또는 "간접 지원" 판정과 근거를 기록합니다.

3단계: 실패 영향 분석


각 통제가 실패할 경우의 영향을 평가합니다. 다른 통제가 이를 완전히 보상할 수 있는지, 아니면 통제 목적이 위험에 노출되는지 판단합니다.
문서화 노트: 실패 시나리오별로 영향 평가와 보완 통제의 충분성을 기록합니다.

4단계: 최종 분류와 근거 문서화


분류 결정을 내리고 각 결정의 근거를 문서화합니다. ISAE 3402.31은 이러한 판단의 근거를 감사 조서에 기록하도록 요구합니다.
문서화 노트: 분류 결정 매트릭스를 완성하고 검토자 승인을 받습니다.

산출 예시

배경: 대성물류주식회사는 전자상거래 기업들에게 주문 처리 및 배송 서비스를 제공하는 서비스 조직입니다. 연매출 450억 원, 직원 280명 규모입니다. Type II SOC 2 보고서 작성을 위해 통제 환경을 평가하고 있습니다.
통제 목적: "고객 주문이 정확하고 완전하게 처리되어 적시에 배송된다"

통제 1: 일일 주문 매칭 검토


문서화 노트: 일일 매칭 보고서 샘플 3개월치를 입수하고 검토자 서명 확인

통제 2: 월별 고객 만족도 설문조사


문서화 노트: 분기별 설문조사 결과 보고서를 입수하고 이슈 발생 시 후속 조치 절차 확인

통제 3: 자동 배송 추적 알림


문서화 노트: 알림 시스템 로그를 1개월간 검토하고 지연 발생 시 대응 시간 측정

통제 4: 주간 배송업체 성과 리뷰


문서화 노트: 주간 성과 리뷰 미팅 의사록 6주치를 입수하고 개선 조치 이행 여부 확인
결론: 4개 통제 중 2개(통제 1, 3)는 핵심 통제로 분류하여 상세한 테스트를 실시합니다. 2개(통제 2, 4)는 비핵심 통제로 분류하여 제한된 테스트로 충분합니다. 각 분류는 통제가 실패할 경우 통제 목적에 미치는 직접적 영향을 기준으로 결정되었습니다.

  • 통제 내용: 매일 오후 5시에 운영팀장이 수신된 주문과 시스템에 등록된 주문을 매칭하여 누락이나 중복을 확인
  • 분류: 핵심 통제
  • 근거: 이 통제가 실패하면 주문 누락이나 중복 처리가 발생하여 통제 목적을 직접 위해함. 다른 통제로 이를 완전히 보상할 수 없음.
  • 통제 내용: 매월 말 고객서비스팀이 무작위 선정된 고객 100명에게 배송 품질 만족도 조사 실시
  • 분류: 비핵심 통제
  • 근거: 만족도 조사는 통제 목적 달성 여부를 사후에 확인하는 모니터링 통제. 직접적인 예방이나 적발 기능은 없음. 다른 핵심 통제들이 효과적으로 운영되면 이 통제 없이도 목적 달성 가능.
  • 통제 내용: 시스템이 자동으로 배송업체 연동하여 배송 상태를 추적하고 지연 발생 시 담당자에게 자동 알림
  • 분류: 핵심 통제
  • 근거: 배송 지연을 적발하고 적시 대응을 가능하게 하는 통제. 이 통제가 실패하면 배송 지연이 고객에게 전달될 때까지 발견되지 않아 통제 목적 위배.
  • 통제 내용: 매주 화요일 물류팀장이 각 배송업체별 정시 배송률과 분실률을 검토하고 기준 미달 시 개선 요청
  • 분류: 비핵심 통제
  • 근거: 배송업체 성과 개선을 통해 전체적인 서비스 품질을 향상시키지만, 개별 주문의 정확성과 적시성을 직접 보장하지는 않음. 통제 3이 효과적이면 이 통제 없이도 지연된 주문에 대한 대응 가능.

실무 체크리스트

  • 위험-통제 매핑 완료: 각 통제 목적에 대해 관련 위험을 식별하고 통제와의 연결점을 문서화했는가? (ISAE 3402.17 충족)
  • 실패 영향 분석: 각 통제가 실패할 경우 통제 목적 달성에 미치는 영향을 평가하고 보완 통제의 충분성을 검토했는가?
  • 분류 근거 문서화: 핵심/비핵심 분류 결정에 대한 구체적 근거를 감사 조서에 기록했는가? (ISAE 3402.31 요구사항)
  • 테스트 전략 연결: 분류에 따라 차별화된 테스트 범위와 심도를 계획하고 문서화했는가?
  • 검토자 승인: 분류 결정과 테스트 전략이 상급자 검토를 받고 승인되었는가?
  • 핵심 통제에서 발견된 예외사항이 보고서 의견에 미치는 영향을 평가하고 적절히 공시했는가?

자주 발생하는 오류

  • 모든 통제를 핵심으로 분류: 국제 감사 품질 검토 데이터에 따르면 과도한 핵심 통제 분류가 비효율적인 감사 수행의 주요 원인 중 하나로 나타남. 분류 기준을 엄격히 적용해야 함.
  • 분류 근거 미문서화: 분류 결정의 근거를 구두로만 논의하고 조서에 기록하지 않아 감리 시 설명 불가능한 상황 발생.
  • 중복 통제의 개별 평가 누락: 동일한 위험을 다루는 복수 통제를 하나의 단위로 평가하여 각 통제의 고유한 기여도를 간과하는 경우가 빈번함.

관련 자료

  • ISAE 3402 실무 적용 가이드 - 서비스 조직 통제 감사의 전체 프로세스와 핵심 개념
  • SOC 2 보고서 작성 워크북 - 통제 분류부터 보고서 작성까지 단계별 템플릿과 체크리스트
  • ISAE 3402 테스트 샘플링 가이드 - 통제 분류에 따른 테스트 방법론과 샘플링 근거 문서화

실무 감사 인사이트를 매주 받아보세요.

시험 이론이 아닙니다. 감사를 빠르게 만드는 실질적인 내용입니다.

290개 이상의 가이드 게시20개 무료 도구현직 감사인이 구축

스팸 없음. 저희는 감사인이지 마케터가 아닙니다.