핵심 요점
용역 제공 기관의 통제가 결함이 있으면 피감사회사의 재무제표 오류가 직접 발생할 수 있습니다.
대부분의 팀은 용역 제공 기관의 영향을 과소평가합니다. ISA 402를 적용하는 것이 지금보다 더 엄격해지고 있습니다.
Type II 보고서(ISA 402.A12 기준)는 제한 기간만 평가합니다. 연중 변경사항은 감사인이 직접 테스트해야 합니다.
---
작동 방식
ISA 402.12는 용역 제공 기관의 영향을 두 가지 시나리오로 구분합니다.
시나리오 1: 관련 통제가 용역 제공 기관에 있을 때. ISA 402.13은 감사인이 다음 중 하나를 수행할 것을 요구합니다. 첫째, 용역 제공 기관의 감사인이 작성한 Type II ISAE 3402 보고서를 검토합니다. 둘째, 직접 현장 방문을 하여 용역 제공 기관의 통제를 테스트합니다. 셋째, 감사인이 수행할 대체 절차를 설계합니다.
Type II 보고서를 선택하는 경우 ISA 402.A12가 적용됩니다. 보고서는 제한된 기간(예: 1월부터 9월)만 다룹니다. 10월부터 12월까지의 통제 변경이나 신규 위험은 피감사회사의 감사인이 재테스트하거나 용역 제공 기관에 변경사항을 재확인해야 합니다. 보고서의 기간이 감시 목적을 충족하지 않으면 ISA 402.14에 따라 추가 테스트 또는 보충 평가가 필요합니다.
시나리오 2: 통제가 피감사회사에 있고 용역 제공 기관이 데이터나 정보만 제공할 때. 이 경우 ISA 402가 아닌 ISA 315와 ISA 330을 적용합니다. 용역 제공 기관의 통제를 검토할 필요가 없으며, 입력 데이터의 정확성만 테스트합니다.
---
산출 사례: Alpino Finanzas S.L.
클라이언트: 스페인 마드리드 소재 기업 금융 서비스업체, 2024년 결산, IFRS 보고, 연간 매출 850만 유로. 급여 및 인사 관리를 스페인 외주 기업 SRH Servicios에 위임.
Step 1: 용역 제공 기관 영향 범위 파악
SRH Servicios는 다음을 담당합니다. 월급 계산 및 급여 이체, 사회보험료 계산 및 납부, 급여대장 유지. Alpino는 내부적으로 급여 승인과 고용 정보(신규 입사자, 퇴사자)를 관리합니다.
문서화 노트: 용역 제공 기관 평가 조서(ISA 402 워크시트)에 위임 기능 목록, 위험 항목(급여 정확성, 법정 납부 기한 준수), 관련 재무제표 항목(인건비 계정 €520만, 미급금 €180만)을 기재합니다.
Step 2: 관련 통제의 위치 특정
Alpino 측 통제: 급여 공급업체에서 받은 산출물 검수(분기별), 급여 합계 금액과 총장부 일치성 재확인(월별), 사회보험료 납부 증명서 검토(월별).
SRH 측 통제: 계산 알고리즘 및 급여 공식(세율, 공제 규정 최신화), 계산 완료 후 이중 검산, 이체 전 담당자 승인, 변경사항 추적(급여율 인상, 새 공제 유형 추가).
문서화 노트: 통제 매트릭스(ISA 402.17)에 각 통제를 "피감사회사 측" 또는 "용역 제공 기관 측"으로 분류하고, ISA 315.29에 따라 각 통제가 대응하는 위험을 기재합니다.
Step 3: Type II 보고서 입수 및 평가
SRH Servicios의 감사인으로부터 ISAE 3402 Type II 보고서를 입수합니다. 보고서 기간: 2024년 1월부터 8월(8개월).
평가 내용. 보고서의 통제 기술이 Alpino와의 실제 계약 범위와 일치하는가? 테스트 결과 모든 통제가 설계대로 운영되었는가? 감사인의 결론이 제약 없음인가?
문서화 노트: ISAE 3402 검토 조서에 보고서 입수일, 유효 기간, 통제 범위, 감사인 결론, 제약 사항(제외된 기능, 제한 기간)을 기재합니다. "보고서 기간 만료(8월) 이후 9월부터 12월까지의 급여 계산 변경사항은 별도 재테스트 대상"이라고 문서화합니다.
Step 4: 보고서 유효 기간 초과 기간에 대한 추가 절차
보고서 기간이 8월까지이므로 ISA 402.14에 따라 추가 절차를 설계합니다.
9월부터 12월 중 SRH 측 통제 변경사항 확인. 연락: 신규 세율 적용(소득세), 휴가비 계산 규칙 변경. 이 변경사항이 급여 계산에 정확히 반영되었는가?
대체 절차: 10월과 12월 급여 샘플 검증. SRH 공급 급여 데이터 3개월분(10월, 11월, 12월)에서 각 월 10명씩 30개 샘플을 선택합니다. 각 샘플의 급여 계산을 역으로 추적합니다. 세율, 공제, 이체 금액이 정책과 일치하는가?
문서화 노트: ISA 402.14 대체 절차 조서에 변경사항 목록(신규 세율, 휴가비 규칙), 대체 절차 설계(샘플 크기, 테스트 범위), 각 샘플의 계산 검증 결과를 기재합니다. "30개 샘플 모두 정확함. 추가 오류 없음"이라고 결론지으면 ISA 402.14(c)를 충족합니다.
Step 5: 피감사회사 측 통제 테스트
Alpino가 수행하는 급여 검수가 설계대로 운영되고 있는가?
테스트: 4개 월(3월, 6월, 9월, 12월)을 선택합니다. 각 월의 급여 총액을 총장부 인건비 계정과 일치시킵니다. 총장부 기재액 vs SRH 공급 급여 합계. 차이가 5% 이상이면 원인 추적.
결과: 모든 월에서 차이가 0.2% 이하(반올림 차이만). 통제 유효.
문서화 노트: 통제 테스트 조서에 테스트 월, 각 월의 급여 합계, 총장부 금액, 차이(금액 및 %), 담당자 서명을 기재합니다.
결론: Alpino의 급여 및 인사 기능은 SRH에 위임되었으나, Type II 보고서와 보고서 기간 초과 기간에 대한 추가 절차 결합으로 ISA 402의 요구사항을 충족합니다. 인건비 계정 오류 위험은 낮음으로 평가할 수 있습니다.
---
감시자와 실무자가 놓치는 것
Tier 1: 감시 지적 사항. 국제 감시 데이터에 따르면 감사인이 용역 제공 기관의 영향을 식별했지만 ISA 402 절차를 적절히 실행하지 않은 경우가 빈번합니다. 특히 Type II 보고서의 기간 제한을 간과하고, 보고서 기간 이후 통제 변경사항을 재테스트하지 않은 경우가 지적됩니다. ISA 402.A12는 보고서 기간 이후의 추가 테스트를 명시적으로 요구합니다.
Tier 2: 표준 참조 실무 오류. 많은 팀이 용역 제공 기관을 식별하지 못합니다. ISA 315.21(c)는 감사인이 "외부 서비스 제공자(예: ASP 제공자, 은행, 보험사)"를 포함한 외부 정보원을 고려할 것을 요구합니다. 그러나 위험 식별 절차에서 이를 체계적으로 수행하지 않으면 Type II 보고서 입수 전까지 용역 제공 기관의 존재를 놓치게 됩니다.
Tier 3: 문서화 관행 격차. ISA 402는 의존 결정을 명확히 문서화할 것을 요구하지만 많은 파일에서는 용역 제공 기관 평가 조서가 불완전합니다. Type II 보고서를 입수했다는 기록만 있고, 보고서의 범위와 기간이 피감사회사의 위험에 충분하다는 명시적 평가가 없는 경우가 많습니다.
---
관련 용어
---
- ISA 315: 위험 식별 및 평가: 용역 제공 기관을 포함한 외부 정보원을 평가하는 기초 표준
- ISAE 3402 Type II 보고서: 용역 제공 기관의 통제 보고서 형식
- 통제 환경: 용역 제공 기관의 통제 기반
- 실질적 절차: 용역 제공 기관 통제에 대한 대체 감시 방법
- 감사 증거: Type II 보고서와 직접 테스트의 효과 비교
- 위험 평가: 용역 제공 기관 기능과 재무보고 위험의 연결