서비스 조직(Subservice Organization)

핵심 내용

- 서비스 조직의 통제가 작동하지 않으면 피감사회사 재무보고의 신뢰성 자체가 무너지므로 감사인의 평가 대상이 됩니다. - 서비스 조직 평가 누락은 국제 검사 데이터와 금감원 감리 지적 모두에서 가장 자주 등장하는 감사 품질 결함입니다. - Type I 보고서(통제의 설계 및 운영효과)인지 Type II 보고서(운영효과만)인지에 따라 감사인이 추가로 수행해야 할 절차가 달라집니다.

작동 방식

ISA 402.A28은 피감사회사가 서비스 조직을 사용하는 경우 감사인이 그 통제 환경을 평가할 책임을 진다고 정합니다. 서비스 조직이 시스템 사용자의 자금 관리를 담당한다면, 그 자금 관리 프로세스의 통제는 피감사회사 자체의 통제 일부로 다뤄집니다. 서비스 조직의 통제 실패는 곧 피감사회사의 중요한 왜곡표시 위험으로 이어집니다.

감사인이 서비스 조직의 통제를 직접 검사하는 경우는 드물다. 대신 감사인은 두 가지 방법 중 하나를 선택합니다. 첫째, 피감사회사 경영진이 서비스 조직의 통제를 이미 평가한 경우 그 평가 결과와 근거 문서의 충분성을 검사합니다. 둘째, 서비스 제공자가 발행한 ISAE 3402 보고서(Type I 또는 Type II)를 입수해 그 보고서에서 식별된 통제 예외나 알려진 제한사항이 피감사회사 재무보고 위험에 영향을 주는지 판단합니다. ISAE 3402 보고서가 입수 가능한 경우 감사인은 그 보고서의 범위, 발행일, 피감사회사 결산일과의 시간 차이를 면밀히 검증해야 합니다. 보고서가 6개월 이상 전 발행이라면 그 통제가 현재까지 유효하다는 증거를 별도로 확보할 의무가 생깁니다.

사례: 급여 계산 서비스를 사용하는 제조업체

사례 기업: 부산정밀기계 주식회사, 부산광역시, FY2024 매출 112억 원, K-IFRS 적용 사업체

부산정밀기계는 종업원 840명의 제조업자로, 급여 계산과 복리후생 관리를 외부 서비스 제공자 "페이롤시스템즈코리아"에 전면 위탁하고 있다. 페이롤시스템즈는 매월 급여 데이터를 받아 세무 계산, 4대보험료 계산, 급여 이체 절차를 실행합니다. 급여 관련 장부 기록은 모두 페이롤시스템즈 클라우드 플랫폼 안에서 발생합니다.

감사인은 시즌 동안 다음 절차를 실행했습니다.

Step 1: 서비스 조직 식별과 통제 범위 확정 피감사회사에 대해 급여 계산 업무 전 공정이 페이롤시스템즈에 의존한다는 점을 확인했습니다. 급여 데이터 입력원(부산정밀의 인사 시스템)부터 페이롤시스템즈로의 데이터 전송, 계산 실행, 은행 이체에 이르기까지 일련의 통제가 서비스 조직 내에서 작동한다는 점을 조서에 남겼습니다. 조서: 급여 계산 통제 맵에 서비스 제공자 의존 부분을 명시.

Step 2: ISAE 3402 보고서 입수 및 검증 페이롤시스템즈가 2024년 8월 31일자 ISAE 3402 Type II 보고서를 발행한 점을 확인했습니다. 보고서에는 급여 계산의 정확성, 접근권한 관리, 월별 대사 절차에 대해 12개월 운영 테스트가 기재되어 있었습니다. 보고서 대상 기간은 2024년 1월부터 8월까지였고, 피감사회사 결산일(2024년 12월 31일)까지 4개월 차이가 있었습니다. 조서: ISAE 3402 보고서 사본과 범위 분석.

Step 3: 보고서 발행 후 통제 변경 확인 감사인은 페이롤시스템즈에 2024년 9월 이후 급여 계산 프로세스의 중대한 변경이 있었는지 질문서를 발송했습니다. 회신을 통해 2024년 10월 1일부터 새로운 세무 신고 루틴이 도입된 사실이 확인되었습니다. 이 새 루틴은 급여 계산 출력값에 영향을 주므로, 감사인은 그 새 루틴의 작동을 피감사회사 테스트 데이터로 독립 검증했습니다. 조서: 서비스 제공자의 변경 통지와 검증 테스트 결과.

Step 4: 급여액 타당성 테스트 피감사회사 인사 데이터(기본급, 수당, 세무 공제액)와 페이롤시스템즈 출력(실제 급여 이체액)을 대사했습니다. 표본 200명(전체 840명의 약 24%)에 대해 급여 계산의 정확성을 입증했습니다. 조서: 급여 테스트 작업표. 각 표본에 대해 기본급부터 이체액까지 계산 로직을 단계별로 검증.

Step 5: 월별 대사 절차 검사 피감사회사 경리 담당자가 수행하는 월별 대사(급여 계산 데이터와 은행 이체 데이터의 돌출)의 프로세스와 근거 문서를 5개월분 검사했습니다. 대사 체크시트에 승인이 있는지, 불일치 예외 처리가 기록되었는지 확인했습니다. 조서: 월별 대사 증거.

결론: 감사인은 ISAE 3402 Type II 보고서에 근거하여 서비스 조직의 통제가 충분히 작동한다고 판단했고, 보고서 발행 후 새 루틴 도입에 대해 독립 검증 테스트를 수행함으로써 결산일까지의 통제 연속성을 입증했습니다.

검토자와 실무자가 놓치는 부분

- ISAE 3402 보고서의 시간 차이 무시: Type II 보고서 대상 기간이 결산일보다 크게 앞선 경우, 감사인이 보고서 입수만으로 절차를 끝내고 사후 기간 통제 연속성 입증을 빠뜨리는 사례가 흔합니다. ISA 402.A28은 "피감사회사 내부통제 평가"를 요구하며, 보고서 발행 후 중대한 변경은 추가 절차 대상입니다. 이게 감리에서 조서가 얇다고 지적되는 단골 항목이다.

- 피감사회사 자체 관리 절차의 과소 평가: 서비스 제공자의 통제가 유효하더라도, 피감사회사 자체가 월별 대사 검사나 이상치 모니터링을 수행하지 않으면 서비스 제공자의 통제 실패를 조기에 잡아낼 수 없습니다. 피감사회사 측 모니터링 통제(detective control)는 별도 평가가 필요합니다. ISA 600.5는 "모니터링 통제의 유효성"을 명시적으로 요구하지만, 막상 해보니까 많은 감사 팀이 이 층의 통제 테스트를 빠뜨립니다.

- Type I 보고서에서의 절차 부족: Type I 보고서는 통제의 "설계" 타당성만 보고하며 "운영효과"는 보고하지 않습니다. Type I 보고서를 보유한 피감사회사의 경우, 감사인은 서비스 제공자의 실제 통제 운영을 독립적으로 검증할 책임이 있습니다. 많은 감사 팀이 Type I 보고서를 입수한 시점에 통제 테스트를 다 했다고 잘못 판단합니다.

관련 용어

- ISAE 3402 보고서: 서비스 제공자가 자신의 통제 설계와 운영효과를 제3자에게 보고하는 독립 확인 보고서. Type I과 Type II 두 형식이 있습니다.

- 내부통제 평가: 피감사회사가 보유한 통제 환경, 위험 평가, 통제 활동, 정보와 의사소통, 모니터링 활동의 5요소를 감사인이 검사하는 절차입니다.

- 서비스 제공자: 피감사회사가 경영상 특정 기능(급여 계산, 재고 관리, 청구서 처리)을 위탁하는 외부 기관입니다.

- 시스템 사용자의 책무: ISAE 3402 용어. 피감사회사는 서비스 조직이 제공하는 시스템을 사용하는 측으로서 그 통제를 이해하고 유효성을 모니터링할 책무를 갖습니다.

- 모니터링 통제: 기존 통제의 운영효과를 지속적으로 평가해 문제를 잡아내는 통제 활동. 정기 대사 검사, 예외 리스트, 관리층 검토 등이 해당합니다.

- 특수관계자 거래: 피감사회사가 서비스 제공자의 모회사 또는 관계 법인인 경우, IFRS 24호 특수관계자 거래 공시 요건이 적용됩니다.

관련 도구

ciferi ISAE 3402 워크시트는 서비스 조직의 통제를 단계별로 평가하기 위한 체크리스트를 제공하며, 피감사회사 경영진 평가와 ISAE 3402 보고서 범위 분석을 한 조서에서 함께 문서화할 수 있습니다.

---