작동 방식
Type I Report는 용역기관의 서술(흔히 Management Assertion이라 부름)에 대해 독립 감사인이 일정한 범위 내에서 제한된 보증(limited assurance)을 제공합니다. ISA 402.A42는 Type I Report의 범위를 명확히 합니다. 보고서는 특정 날짜를 기준으로 통제가 설계되었는지, 그리고 그 통제가 운영되도록 준비되었는지만 평가합니다. 이는 ISAE 3402 Type II와 근본적으로 다릅니다. Type II는 최소 6개월 이상의 기간에 걸쳐 통제가 실제로 운영되고 효과적이었는지 검증합니다.
감사인은 용역기관의 통제를 평가할 때 Type I Report를 증거로 사용할 수 있습니다. 하지만 ISA 402.16은 이를 제한합니다. 감사인은 보고서의 내용과 범위를 검토해야 하고, 자신의 감사 목적에 부합하는지 확인해야 합니다. Type I Report에 포함되지 않은 통제 영역이나 평가되지 않은 기간에 대해서는 감사인이 직접 테스트를 수행해야 합니다.
실무 예시: KLM-Logistik GmbH
클라이언트: 독일 물류회사, 2024년 결산, IFRS 적용, 연매출 €87M
1단계 급여 및 인사 관리 기능이 해외 용역기관(인도 소재 Shared Service Center)에서 처리됨을 파악합니다.
작업문서 기록: 급여 처리 관련 자재 통제 영역 확인. ISA 402 평가 범위에 포함
2단계 용역기관에서 2024년 6월 30일 기준 Type I Report를 획득합니다.
작업문서 기록: ISAE 3402 Type I Report 획득, 감사인: Big 4 법인, 보고 날짜: 2024년 9월 15일. 범위: 급여 처리 및 기록, 접근통제, 변경관리
3단계 Type I Report의 범위를 KLM-Logistik의 실제 거래 흐름과 비교합니다. 보고서가 평가한 통제가 구체적으로 무엇인지 확인합니다.
작업문서 기록: Type I 범위 검토 메모. 평가 통제: 급여 데이터 입력 전 이중 승인, 시스템 접근권한 분리, 월별 급여 총액 대비 사전 영업일 합계 비교. 평가되지 않은 영역: 2024년 7월-12월 실제 운영, 세금 원천징수 정확성
4단계 Type I Report의 결론에서 제한사항(limitations)을 식별합니다. 대부분의 Type I Report는 "설계 검토 및 운영 준비 평가"로 제한되어 있음을 명시합니다.
작업문서 기록: "제한사항: 본 보고서는 2024년 6월 30일 기준 통제 설계 및 운영 준비만 평가합니다. 평가 기간 후 운영 효과성은 검증되지 않았습니다"
결론 KLM-Logistik 급여 통제에 대해 Type I Report의 설계 평가를 바탕으로 부분적 신뢰를 배치할 수 있습니다. 하지만 ISA 402.A43에 따라 감사인은 다음을 추가로 수행해야 합니다. (1) 급여 데이터 입력에서 표본 10건에 대해 이중 승인 증거 재검증, (2) 월별 급여 합계 분석적 절차 수행 6개월 분(7월-12월), (3) 현재 시스템 접근권한 설정 재점검. 이 절차들을 통해 Type I Report의 설계 평가가 감사연도 말까지 유지되었는지 확인합니다.
감사인과 감리관이 실수하는 것
- Type I Report가 있으면 통제 테스트를 건너뛸 수 있다고 생각하기. 금감원 2024년 감리 의견에서 지적한 사항: 용역기관의 Type I Report가 획득되어 있으나, 감사인이 보고서 이후 기간에 대한 운영 효과성을 테스트하지 않은 경우. ISA 402.16은 감사인이 "직접 통제를 테스트하거나 통제 운영 기간을 포괄하는 추가 증거를 획득"하도록 요구합니다. 단순히 Type I Report를 보유하는 것으로는 충분하지 않습니다.
- Type I와 Type II를 구분하지 않음. 감사 파일에서 "용역기관 통제 위험 평가: 낮음. 근거: Type II Report 획득"이라고 기록하면서, 실제로는 Type I Report인 경우가 있습니다. Type II는 충분한 기간의 운영 효과성을 평가하므로, 감사인이 추가 테스트를 제한할 수 있는 근거가 됩니다. Type I는 그렇지 않습니다. ISA 402.A42와 A43의 구분을 명확히 문서화하십시오.
- Type I Report 범위 밖의 통제를 포함한 위험 평가를 수행함. 용역기관의 Type I Report가 급여 처리만 평가했는데, 감사인이 급여, 인사, 복리후생 전체를 "통제된 환경"으로 평가하는 경우. 범위 제한을 인정하고, 범위 밖 영역에 대해 별도의 통제 테스트를 계획하십시오.
Type II Report와의 비교
| 특성 | Type I Report | Type II Report |
|------|--------------|----------------|
| 평가 기간 | 특정 시점(보통 연도 말) | 최소 6개월 이상의 기간 |
| 통제 설계 | 검증됨 | 검증됨 |
| 통제 운영 | 운영 준비만 평가 | 전체 기간에 걸쳐 효과성 검증 |
| 감사인의 추가 테스트 | ISA 402.16에 따라 필수 | 제한적으로 축소 가능 |
| 신뢰도 | 낮음 | 높음 |
| 획득 비용(일반적) | 낮음 | 높음 |
Type I Report가 충분히 신뢰할 수 있으려면, 감사인은 추가 절차(월별 분석적 절차, 표본 통제 테스트, 현재 통제 설정 재검증)를 수행하고 문서화해야 합니다. Type II Report가 있으면 이러한 추가 절차를 상당히 축소할 수 있습니다.
관련 용어
- Type II Report: 최소 6개월 이상의 기간에 걸쳐 통제의 설계와 운영 효과성을 평가합니다.
- ISAE 3402: 용역기관 내부통제 보고서를 규정하는 국제 표준입니다.
- ISA 402: 감사인이 용역기관 통제를 평가하는 방법을 규정합니다.
- Internal Control: 조직이 목표 달성, 자산 보호, 재무보고 신뢰성을 보장하기 위해 구현하는 정책과 절차입니다.
- Control Testing: 감사인이 설계된 통제가 실제로 운영 중이고 효과적인지 검증하는 절차입니다.
- Service Auditor Report: ISAE 3402 보고서의 다른 명칭입니다.