Definition
클라우드 공급업체로부터 ISAE 3402 보고서를 받아 조서에 끼워 넣는다고 그게 끝이 아니다. Type II라도 모니터링 통제 증거가 얇으면 감리에서 바로 걸린다. 필자도 인차지로 시즌을 뛰면서 서비스 보고서를 한두 번 본 게 아닌데, 막상 펼쳐 보면 문단 A68의 모니터링 메커니즘 부분이 비어 있는 경우가 가장 많다.
작동 방식
ISAE 3402는 ISA 220의 확장이 아니다. 사용자 감사인이 자기 감사 범위 내에서는 서비스 제공자의 통제를 직접 테스트할 수 없기에 그 격차를 채우는 별도 보증 기준이다. 클라이언트의 자체 감사인이 클라우드 공급자 서버에 들어가서 통제를 들여다볼 수는 없으니 서비스 제공자 측 감사인이 ISAE 3402로 보고서를 발행하고, 사용자 감사인은 그 조서를 받아서 신뢰 여부를 판단한다.
ISAE 3402.1은 보고서를 두 가지 형태로 구분한다. Type I 보고서는 특정 시점에 통제가 존재하고 의도대로 설계되었는지를 평가한다. Type II 보고서는 ISAE 3402.83에 따라 통제가 지정된 기간 동안 실제로 운영되었는지까지 평가한다.
모니터링 통제는 ISAE 3402.A68에서 강조된다. 설계 효과성만으로는 모자란다. 서비스 제공자가 실제로 자기 통제를 모니터링하고 있어야 한다. 클라이언트 모니터링, 독립적 검증(외부 모니터링), 사후 재테스트 중 최소 하나는 그 통제에 적용되어야 한다.
ISAE 3402.82(b)는 표본 크기가 충분해야 한다고 본다. 테스트 기간이 길수록 표본 비율은 작아질 수 있다. 6개월 Type II 보고서의 통제가 36개월에 걸쳐 운영되었다면 표본 기준은 더 느슨해진다. 반대로 짧은 기간에만 운영된 통제는 표본을 더 크게 잡아야 한다. 솔직히 시즌 중에 표본 크기를 운영 기간에 맞춰 재계산까지 꼼꼼히 하는 팀은 드물다. 그런데 감리에서는 이걸 본다.
산출 예시: 헬싱키 자산 관리
클라이언트: 핀란드 자산 관리 회사 Pohjolan Omaisuudenhoito Oy. 클라우드 기반 포트폴리오 시스템 사용. Type II 보고서 범위는 FY2024 1월부터 12월까지.
Step 1: 통제 식별: 클라우드 공급자가 월말 포트폴리오 가치를 계산해 클라이언트 시스템에 전송한다. 조서 노트: 클라우드 공급자의 시스템 설명서, 인터페이스 설정 명세, 운영 매뉴얼 검토.
Step 2: 모니터링 메커니즘 평가: 클라이언트는 매월 10개 포트폴리오를 무작위로 골라서 클라우드 계산을 독립적으로 재계산한다. ISAE 3402.A68의 "독립적 검증" 모니터링에 해당한다. 조서 노트: 클라이언트 재계산 증거(스프레드시트), 검토 흔적, 발견 및 조정 로그. 12개월 × 10개 = 120개 포트폴리오.
Step 3: 테스트 기간과 표본 크기: 통제가 12개월 전체에 걸쳐 운영되었으므로 ISAE 3402.82(b)에 따라 월 10건씩 120건 모니터링 표본이면 충분하다. 조서 노트: 연간 통제 테스트 요약(작동 기간, 표본 전수, 오류 0건).
Step 4: 오류 평가: 120개 표본에서 오류 0건. 통제는 의도한 대로 운영되었다. 조서 노트: 오류 없음, 사인오프.
결론: 통제 운영은 양호하다. Type II 보고서에는 적정 의견을 발행한다.
감사인과 실무자가 놓치는 부분
- Type II 보고서에서 모니터링 통제 누락. 많은 서비스 제공자가 초기 설계 통제는 잘 정의하는데, 실제 모니터링 메커니즘은 두루뭉술하게 기술한다. ISAE 3402.A68은 세 가지 모니터링 방법(클라이언트 모니터링, 독립적 검증, 사후 재테스트)을 명시한다. 셋 다 부실하면 ISAE 3402.83의 "운영" 요구를 충족할 수 없고 의견이 수정된다. 보고서를 작성하기 전에 실제 모니터링 증거를 받아서 조서에 편철해야 한다.
- 표본 기간과 크기 혼동. 감사인이 종종 테스트 기간 길이와 표본 크기 결정을 분리해서 처리한다. ISAE 3402.82(b)는 "감사인이 통제가 운영된 기간의 길이를 고려한다"고 본다. 6개월 운영에 12건 샘플은 부족할 수 있다. 36개월 운영에 12건 샘플은 합리적일 수 있다. 표본 기준을 운영 기간에 명시적으로 연결해 둬야 감리에서 받쳐 주는 논리가 된다.
- 수동 모니터링 문서의 추적 부실. 서비스 제공자가 모니터링 활동은 수행하면서도 모니터링 담당자(클라이언트 측 또는 서비스 제공자 측)의 검토·승인·예외 조정 증거를 남기지 않는 경우가 많다. ISAE 3402.A69는 모니터링 결과의 "기록 및 조사"를 요구한다. 적절한 증거 없이 운영 효과성을 결론지으면 그 조서는 그대로 감리 지적감이다.
Type I 보고서 vs Type II 보고서
| 측면 | Type I | Type II |
|---|---|---|
| 평가 대상 | 특정 날짜의 설계 및 배치 | 지정 기간의 운영 효과성 |
| 최소 운영 기간 | 없음 | 최소 6개월 |
| 통제 테스트 필요 | 아니오 | 예 (ISAE 3402.83) |
| 모니터링 통제 범위 | 평가 대상 아님 | 평가 대상 (ISAE 3402.A68) |
| 클라이언트 신뢰 수준 | 낮음 | 높음 (운영 입증) |
| 빈도 | 초기 평가, 이후 재신청 | 연간 또는 분기별 |
언제 이 차이가 중요한가
새 서비스 제공자를 평가할 때 클라이언트의 감사인은 배치 후 최소 6개월이 지나야 Type II 보고서를 요구할 수 있다. Type I 보고서는 그보다 일찍도 받을 수 있다. 그러나 사용자 감사인이 그 통제를 실증절차 대체로 신뢰하려면 6개월 이상의 운영 증거가 필요하다. 예컨대 벨기에 제조 클라이언트가 1월에 새 원재료 추적 시스템을 도입했다고 하자. 6월까지는 산식 기반 통제만 테스트할 수 있고(예: 청구 정확도는 추적 시스템이 아닌 청구 엔진 공식으로 본다), 7월 이후에야 추적 시스템에 대한 ISAE 3402 Type II 평가를 신뢰 근거로 쓸 수 있다.
금감원 감리에서 가장 자주 지적되는 항목 중 하나는 사용자 감사인이 ISAE 3402 보고서를 조서에 단순 첨부만 하고, 그 안의 모니터링 통제와 자기 클라이언트의 위험 평가를 연결하지 않는 부분이다. 실무에서 이것이 의미하는 것: 서비스 보고서를 받았으면 그 보고서가 다루는 통제가 자기 감사의 어떤 주장(assertion)을 받쳐 주는지, CUEC(보완적 사용자 통제)는 클라이언트 측에서 제대로 작동하는지를 별도 메모로 정리해야 한다는 뜻이다.
관련 용어
- 감사 증거. 감사인이 의견을 뒷받침하기 위해 모으는 정보. ISAE 3402에서 증거는 통제 테스트, 모니터링 문서, 예외 기록, 재테스트 작업으로 구성된다. 감사 증거 참조.
- 내부 통제. 경영진이 설계·운영하는 프로세스로, 합리적 확신 수준에서 재무보고 목표를 달성한다. ISAE 3402는 서비스 제공자 내부 통제의 설계와 운영을 평가한다. 내부 통제 참조.
- 모니터링 활동. 통제가 의도한 대로 계속 작동하는지 확인하는 경영진의 활동. ISAE 3402.A68은 클라이언트 모니터링(피감사 회사의 모니터링), 독립적 검증(외부 확인), 사후 재테스트(감사인의 테스트) 세 가지를 구분한다. 모니터링 활동 참조.
- 표본 추출. 감사인이 통제 테스트 항목을 모집단에서 선택하는 절차. ISAE 3402.82(b)는 운영 기간 길이에 따라 표본 크기를 조정해야 한다고 본다. 표본 추출 참조.
- 감사 의견. 감사인이 통제와 보고서 표시에 대해 형성하는 결론. ISAE 3402에서 의견은 적정(통상), 한정(특정 통제 또는 테스트의 문제), 부적정으로 나뉜다. 감사 의견 참조.
- 감사 위험. 감사인이 중요한 왜곡표시를 발견하지 못할 위험. ISAE 3402에서는 통제 테스트의 표본 부족이 감사 위험을 키운다. 감사 위험 참조.
ISAE 3402 통제 평가 도구
Ciferi ISAE 3402 통제 매트릭스 도구는 핵심/비핵심 통제를 분류하고, 설계 평가 증거를 기록하고, Type II 테스트 결과를 조서화하도록 만들어졌다. ISAE 3402.82 표본 크기 계산기와 ISAE 3402.A68 모니터링 메커니즘 점검 목록을 포함한다.
---