작동 방식

ISAE 3402는 서비스 제공자(예: 급여 처리 회사, 클라우드 데이터 저장소, 자산 관리 시스템)의 통제를 평가하는 감사인을 위한 기준입니다. 클라이언트의 자체 감사인은 자신의 감사 범위에서 서비스 제공자 통제의 효율성을 테스트할 수 없습니다. ISAE 3402는 이 격차를 채웁니다.
ISAE 3402 문단 1은 보고서의 두 가지 형태를 규정합니다. Type I 보고서는 설계 시점에 통제가 존재하고 기능하도록 설계되었는지를 평가합니다. Type II 보고서는 문단 83에 따라 통제가 실제로 예정된 기간 동안 작동했는지를 평가합니다.
감시 통제는 문단 A68에서 강조됩니다. 설계 효율성만으로는 부족합니다. 서비스 제공자는 실제로 통제를 감시하고 있어야 합니다. 클라이언트 감시, 독립적 검증(외부 감시), 또는 감시 후 재테스트 중 최소 하나는 그 통제에 적용되어야 합니다.
문단 82(b)는 충분한 표본 크기를 요구합니다. 테스트된 기간이 길수록 표본 비율은 작을 수 있습니다. 6개월 Type II 보고서의 통제가 36개월 기간에 운영되었다면, 표본 기준은 더 느슨해집니다. 역으로, 짧은 기간에만 운영된 통제는 더 큰 표본이 필요합니다.

산출 예시: 헬싱키 자산 관리

클라이언트: 핀란드 자산 관리 회사인 Pohjolan Omaisuudenhoito Oy. 클라이언트 업체는 클라우드 기반 포트폴리오 시스템을 사용합니다. 2024년 1월부터 2024년 12월까지 Type II 보고서 범위.
Step 1: 통제 식별: 클라우드 공급자가 월말 포트폴리오 가치를 계산하고 클라이언트 시스템에 전송합니다.
문서화 노트: 클라우드 공급자의 시스템 설명서, 인터페이스 설정 명세, 작동 수동서 검토.
Step 2: 감시 메커니즘 평가: 클라이언트는 매월 10개의 무작위 포트폴리오를 선택하여 클라우드 계산을 독립적으로 재계산합니다. 이는 문단 A68의 "독립적 검증" 감시 메커니즘입니다.
문서화 노트: 클라이언트 재계산 증거(스프레드시트), 검토 흔적, 발견 및 조정 로그. 12개월 × 10개 샘플 = 120개 포트폴리오.
Step 3: 테스트 기간과 표본 크기: 통제는 12개월 전체에 걸쳐 운영되었으므로 ISAE 3402 문단 82(b)에 따라 감시된 항목 120개(월별 10개)는 충분합니다.
문서화 노트: 연간 통제 테스트 요약(작동 기간, 샘플 전수, 오류 0건).
Step 4: 오류 평가: 120개 표본에서 오류 0건. 통제는 의도한 대로 작동했습니다.
문서화 노트: 오류 없음 서명 오프.
결론: 통제 작동은 효율적이었습니다. Type II 보고서는 긍정적 의견을 제출합니다.

감사인과 실무자가 놓치는 부분

  • Type II 보고서에서 감시 통제 누락. 많은 서비스 제공자는 초기 설계 통제는 잘 정의하지만, 실제 감시 메커니즘은 모호하게 기술합니다. 문단 A68은 세 가지 명시적 감시 방법(클라이언트 감시, 독립적 검증, 감시 후 재테스트)을 나열합니다. 세 가지 모두 미흡하면 문단 83의 "운영" 요구사항을 충족할 수 없으며 의견 수정이 발생합니다. 감사인은 보고서를 작성하기 전에 실제 감시 증거를 요청해야 합니다.
  • 표본 기간과 크기 혼동. 감사인은 종종 테스트 기간의 길이를 표본 크기 결정과 분리합니다. ISAE 3402 문단 82(b)는 "감사인이 통제가 운영된 기간의 길이를 고려"해야 한다고 규정합니다. 6개월 기간에 12개 샘플은 부적절할 수 있습니다. 36개월 기간에 12개 샘플은 합리적일 수 있습니다. 감사인은 표본 기준을 작동 기간에 명시적으로 연계해야 합니다.
  • 수동 감시 문서의 불완전한 추적. 많은 서비스 제공자는 감시 활동을 수행하지만 감시자(클라이언트 담당자 또는 서비스 제공자 감시 팀)의 검토, 승인 또는 예외 조정의 증거를 남기지 않습니다. ISAE 3402 A69는 감시 결과가 "기록되고 조사된" 예외를 요구합니다. 적절한 증거 없이는 운영 효율성을 결론지을 수 없습니다.

Type I 보고서 vs Type II 보고서

| 측면 | Type I | Type II |
|------|--------|---------|
| 평가 대상 | 특정 날짜의 설계 및 배치 | 지정 기간 동안의 운영 효율성 |
| 최소 운영 기간 | 없음 | 최소 6개월 |
| 통제 테스트 필요 | 아니오 | 예 (문단 83) |
| 감시 통제 범위 | 평가 대상이 아님 | 평가 대상 (문단 A68) |
| 클라이언트 신뢰 수준 | 낮음 | 높음 (운영 입증) |
| 빈도 | 초기 평가, 이후 재신청 | 연간 또는 분기별 |

언제 이 차이가 중요한가

새로운 서비스 제공자를 평가할 때 클라이언트의 감사인은 배치 후 최소 6개월이 경과할 때까지 Type II 보고서를 요청할 수 없습니다. Type I 보고서는 즉시 필요하면 제공할 수 있습니다. 그러나 클라이언트 감사인이 해당 통제를 실질 절차로 신뢰하려면 최소 6개월의 운영 증거가 필요합니다. 이는 벨기에 제조업 고객사가 1월에 새로운 원재료 추적 시스템을 배포하는 경우입니다. 감사인은 6월까지 수학적 통제만 테스트할 수 있고(예: 청구 정확도는 추적 시스템이 아닌 청구 엔진 공식으로), 7월 이후에만 추적 시스템의 ISAE 3402 Type II 평가에 의존할 수 있습니다.

관련 용어

  • 감사 증거. 감사인이 감사 의견을 뒷받침하기 위해 수집하는 정보. ISAE 3402에서 증거는 통제 테스트, 감시 문서, 예외 기록, 재테스트 작업을 포함합니다. 감사 증거를 참조하세요.
  • 내부 통제. 관리부가 설계하고 운영하는 프로세스와 절차로, 합리적인 확신 수준에서 재무보고 목표를 달성합니다. ISAE 3402는 서비스 제공자 내부 통제의 설계와 운영을 평가합니다. 내부 통제를 참조하세요.
  • 감시 활동. 통제가 의도한 대로 계속 작동하는지 확인하기 위한 관리부의 활동. 문단 A68은 세 가지 유형의 감시를 구분합니다: 클라이언트 감시(감사 대상 회사의 감시), 독립적 검증(외부 확인), 감시 후 재테스트(감사인의 테스트). 감시 활동을 참조하세요.
  • 표본 추출. 감사인이 통제 테스트를 수행하기 위해 모집단에서 항목을 선택하는 프로세스. ISAE 3402 문단 82(b)는 통제가 운영된 기간의 길이에 따라 표본 크기가 조정되어야 함을 규정합니다. 표본 추출을 참조하세요.
  • 감사 의견. 감사인이 통제와 보고서의 공정한 표현에 대해 형성하는 결론. ISAE 3402에서 의견은 긍정적(일반적), 부정적 수정(특정 통제 또는 테스트의 문제), 또는 거부입니다. 감사 의견을 참조하세요.
  • 감사 위험. 감사인이 중요한 왜곡표시가 감지되지 않을 위험. ISAE 3402에서 감사 위험은 통제 테스트의 표본 불충분으로 증가합니다. 감사 위험을 참조하세요.

ISAE 3402 통제 평가 도구

Ciferi ISAE 3402 통제 매트릭스 도구는 핵심/비핵심 통제를 분류하고, 설계 평가 증거를 기록하고, Type II 테스트 결과를 문서화하도록 설계되었습니다. 도구는 문단 82 표본 크기 계산기와 문단 A68 감시 메커니즘 검사 목록을 포함합니다.
---

실무 감사 인사이트를 매주 받아보세요.

시험 이론이 아닙니다. 감사를 빠르게 만드는 실질적인 내용입니다.

290개 이상의 가이드 게시20개 무료 도구현직 감사인이 구축

스팸 없음. 저희는 감사인이지 마케터가 아닙니다.