Definition
SOC 1 보고서가 도착했다. 인차지가 통제 매트릭스를 펼친다. 기간이 1월부터 8월까지로 끊겨 있다. 우리 결산은 12월. 9월부터 12월은 누가 보나? 솔직히 시즌 끝물에 SOC 보고서가 늦게 도착하면 그냥 받는 팀이 많다. 받기만 하고 ISA 402.A12 갭 절차를 안 돌리면 감리에서 그대로 걸린다.
핵심 짚기
> - service org 통제에 결함이 있으면 피감사회사 재무제표 오류로 직결된다. > - 많은 팀이 service org의 영향 범위를 좁게 잡는다. ISA 402 적용 강도는 시즌마다 올라가고 있다. > - Type II 보고서(ISA 402.A12)는 제한 기간만 다룬다. 연중 변경사항은 감사인이 직접 다시 본다.
---
두 시나리오의 분기점
ISA 402.12는 service org의 영향을 두 시나리오로 나눈다.
시나리오 1: 관련 통제가 service org에 있을 때. ISA 402.13은 감사인에게 다음 중 하나를 요구한다. 첫째, service org 감사인이 작성한 Type II ISAE 3402 보고서를 검토. 둘째, 직접 필드에 나가서 service org 통제를 테스트. 셋째, 대체 절차 설계.
Type II 보고서를 선택하면 ISA 402.A12가 적용된다. 보고서는 제한된 기간(예: 1월부터 9월)만 다룬다. 10월부터 12월의 통제 변경이나 신규 위험은 피감사회사 감사인이 다시 테스트하거나 service org에 변경사항을 재확인해야 한다. 보고 기간이 감사 목적을 충족하지 않으면 ISA 402.14에 따라 추가 테스트나 보충 평가가 필요하다.
시나리오 2: 통제는 피감사회사에 있고 service org가 데이터·정보만 제공할 때. 이 경우엔 ISA 402가 아니라 ISA 315와 ISA 330을 적용한다. service org 통제를 별도로 검증할 필요는 없고, 입력 데이터의 정확성만 테스트한다.
이 두 시나리오를 처음부터 분리하지 않으면 조서 전체가 흔들린다. 제 경험상 신입 인차지가 가장 먼저 깨지는 부분이 여기다.
---
산출 사례: Alpino Finanzas S.L.
클라이언트: 스페인 마드리드 소재 기업 금융 서비스업체. FY24 결산, IFRS 보고, 연간 매출 850만 유로. 급여 및 인사 관리를 스페인 외주 기업 SRH Servicios에 위임.
Step 1: service org 영향 범위 파악
SRH Servicios는 월급 계산, 급여 이체, 사회보험료 계산·납부, 급여대장 유지를 담당한다. Alpino는 내부적으로 급여 승인과 고용 정보(신규 입사자, 퇴사자)를 관리한다.
문서화 노트: ISA 402 워크시트에 위임 기능 목록, 위험 항목(급여 정확성, 법정 납부 기한 준수), 관련 재무제표 항목(인건비 €520만, 미지급금 €180만)을 기재한다.
Step 2: 관련 통제의 위치 특정
Alpino 측 통제. 급여 공급업체 산출물 검수(분기별), 급여 합계와 총장부 일치성 재확인(월별), 사회보험료 납부 증명서 검토(월별).
SRH 측 통제. 계산 알고리즘 및 급여 공식(세율, 공제 규정 최신화), 계산 완료 후 이중 검산, 이체 전 담당자 승인, 변경사항 추적(급여율 인상, 신규 공제 유형 추가).
같은 통제. 다른 책임 주체. 매트릭스에서 어느 쪽 라인에 들어가는지가 갈릴 길이다.
문서화 노트: 통제 매트릭스(ISA 402.17)에 각 통제를 "피감사회사 측" 또는 "service org 측"으로 분류하고, ISA 315.29에 따라 각 통제가 대응하는 위험을 함께 기재한다.
Step 3: Type II 보고서 입수 및 평가
SRH의 감사인으로부터 ISAE 3402 Type II 보고서를 입수한다. 보고서 기간 FY24 1월~8월(8개월).
평가 포인트는 셋이다. 통제 기술이 Alpino와의 실제 계약 범위와 일치하는가? 테스트 결과 모든 통제가 설계대로 운영됐는가? 감사인 결론에 제약(qualification)이 없는가?
문서화 노트: ISAE 3402 검토 조서에 보고서 입수일, 유효 기간, 통제 범위, 감사인 결론, 제약 사항(제외된 기능, 제한 기간)을 기재한다. "보고서 기간 만료(8월) 이후 9월부터 12월까지의 급여 계산 변경사항은 별도 재테스트 대상"이라고 명시 문서화한다.
Step 4: 보고서 유효 기간 초과 갭에 대한 추가 절차
보고서 기간이 8월까지이므로 ISA 402.14에 따라 추가 절차를 설계한다.
9월부터 12월 중 SRH 측 통제 변경사항을 확인한다. SRH로부터 받은 회신: 신규 세율 적용(소득세), 휴가비 계산 규칙 변경. 이 변경사항이 급여 계산에 정확히 반영됐는가?
대체 절차로 10월과 12월 급여 샘플을 검증한다. SRH 공급 급여 데이터 3개월분(10월, 11월, 12월)에서 각 월 10명씩 30개 샘플을 뽑는다. 각 샘플의 급여 계산을 역으로 추적한다. 세율, 공제, 이체 금액이 정책과 일치하는가? 30개 모두 일치하면 ISA 402.14(c) 충족.
문서화 노트: ISA 402.14 대체 절차 조서에 변경사항 목록(신규 세율, 휴가비 규칙), 대체 절차 설계(샘플 크기, 테스트 범위), 각 샘플의 계산 검증 결과를 기재한다. "30개 샘플 모두 정확함. 추가 오류 없음"으로 결론지으면 ISA 402.14(c)를 충족한다.
Step 5: 피감사회사 측 통제 테스트
Alpino가 수행하는 급여 검수가 설계대로 운영되고 있는가?
테스트는 4개 월(3월, 6월, 9월, 12월)을 표본으로 잡는다. 각 월의 급여 총액을 총장부 인건비 계정과 일치시킨다. 총장부 기재액 vs SRH 공급 급여 합계. 차이가 5% 이상이면 원인을 추적한다.
결과: 모든 월에서 차이가 0.2% 이하(반올림 차이 수준). 통제 유효.
문서화 노트: 통제 테스트 조서에 테스트 월, 각 월의 급여 합계, 총장부 금액, 차이(금액 및 %), 담당자 서명을 기재한다.
판단 결과: Alpino의 급여·인사 기능은 SRH에 위임됐으나, Type II 보고서와 갭 기간 추가 절차의 결합으로 ISA 402 요구사항을 충족한다. 인건비 계정 오류 위험은 낮음으로 평가 가능하다.
---
감리·품관실이 자주 짚는 격차
Tier 1: 감리 지적 사항. 국제 감독 데이터에서 service org 영향을 식별하긴 했지만 ISA 402 절차를 제대로 돌리지 않은 사례가 빈번히 잡힌다. 특히 Type II 보고서의 기간 제한을 간과하고 갭 기간 통제 변경사항을 재테스트하지 않은 케이스가 자주 나온다. ISA 402.A12는 보고 기간 이후 추가 테스트를 명시적으로 요구한다.
Tier 2: 표준 참조 실무 오류. 많은 팀이 service org 자체를 식별하지 못하는 경우가 있다. ISA 315.21(c)는 감사인이 "외부 서비스 제공자(예: ASP 제공자, 은행, 보험사)" 같은 외부 정보원을 고려하도록 요구한다. 그런데 위험 식별 절차에서 이를 체계적으로 수행하지 않으면 Type II 보고서 입수 전까지 service org 존재를 놓치게 된다. 솔직히 빅펌에서도 이 단계를 형식적으로 넘기는 경우가 있다.
Tier 3: 문서화 격차. ISA 402는 의존 결정을 명확히 문서화할 것을 요구하지만, 실제 파일에서는 service org 평가 조서가 너무 얇다. Type II 보고서를 입수했다는 기록만 있고, 보고서의 범위와 기간이 피감사회사 위험에 충분하다는 명시적 평가가 빠진 경우가 많다. 품관실이 가장 먼저 짚는 자리가 여기다.
---
관련 용어
- ISA 315: 위험 식별 및 평가: service org를 포함한 외부 정보원을 평가하는 기초 표준 - ISAE 3402 Type II 보고서: service org 통제 보고서 형식 - 통제 환경: service org 통제의 기반 평가 - 실증 절차: service org 통제 의존이 어려울 때의 대체 감사 방법 - 감사 증거: Type II 보고서 vs 직접 테스트의 증거력 비교 - 위험 평가: service org 기능과 재무보고 위험의 연결 고리
---