Definition
대부분의 인차지가 Type I Report를 받아들고 가장 먼저 빠뜨리는 게 보고서일(報告書日)입니다. 보고서 본문이 두껍고 빅펌 로고가 박혀 있으니 일단 안심하고 넘어갑니다. 그런데 그 보고서일이 6월 30일이고, 우리 회계연도 말은 12월 31일이라면, 사실상 7월부터 12월까지 6개월은 아무도 검증하지 않은 구간입니다. 조서에 적기 가장 골치 아픈 항목 중 하나입니다.
보고서일이 모든 것을 결정하는 이유
Type I Report는 용역기관의 서술(흔히 Management Assertion이라 부름)에 대해 독립 감사인이 일정 범위 내에서 제한된 보증(limited assurance)을 제공합니다. ISA 402.A42는 그 범위를 명확히 합니다. 보고서는 특정 날짜를 기준으로 통제가 설계되었는지, 그리고 그 통제가 운영되도록 준비되었는지만 평가합니다. ISAE 3402 Type II와는 근본적으로 다릅니다. Type II는 최소 6개월 이상의 기간에 걸쳐 통제가 실제로 운영되고 효과적이었는지 검증합니다.
감사인은 용역기관 통제를 평가할 때 Type I을 증거로 사용할 수 있습니다. 다만 ISA 402.16은 이를 제한합니다. 보고서의 내용과 범위를 검토하고 자신의 감사 목적에 부합하는지 확인해야 합니다. Type I에 포함되지 않은 통제 영역, 평가되지 않은 기간에 대해서는 감사인이 직접 테스트를 수행해야 합니다.
작동 예시: KLM-Logistik GmbH
클라이언트: 독일 물류회사, FY24 결산, IFRS 적용, 연매출 €87M
1단계 급여 및 인사 관리 기능이 해외 용역기관(인도 소재 Shared Service Center)에서 처리됨을 파악합니다. 조서 노트: 급여 처리 관련 핵심 통제 영역 확인. ISA 402 평가 범위에 포함.
2단계 용역기관에서 2024년 6월 30일 기준 Type I Report를 획득합니다. 조서 노트: ISAE 3402 Type I Report 획득, 감사인: 빅펌(Big 4) 법인, 보고서일: 2024년 9월 15일, 평가 기준일: 2024년 6월 30일. 범위: 급여 처리 및 기록, 접근통제, 변경관리.
3단계 Type I 범위를 KLM-Logistik의 실제 거래 흐름과 비교합니다. 보고서가 평가한 통제가 구체적으로 무엇인지 확인합니다. 조서 노트: Type I 범위 검토 메모. 평가된 통제: 급여 데이터 입력 전 이중 승인, 시스템 접근권한 분리, 월별 급여 총액 대비 사전 영업일 합계 비교. 평가되지 않은 영역: 2024년 7월–12월 실제 운영, 세금 원천징수 정확성.
4단계 Type I 결론에서 제한사항(limitations)을 식별합니다. 대부분의 Type I은 "설계 검토 및 운영 준비 평가"로 제한되어 있음을 명시합니다. 조서 노트: "제한사항: 본 보고서는 2024년 6월 30일 기준 통제 설계 및 운영 준비만 평가합니다. 평가 기간 후 운영 효과성은 검증되지 않았습니다."
판단 포인트 KLM-Logistik 급여 통제에 대해 Type I의 설계 평가를 바탕으로 부분적 신뢰만 둘 수 있습니다. ISA 402.A43에 따라 감사인은 추가로 다음을 수행해야 합니다. (1) 급여 데이터 입력에서 표본 10건에 대해 이중 승인 증거 재검증, (2) 7월–12월 6개월분 월별 급여 합계 분석적 절차 수행, (3) 현재 시스템 접근권한 설정 재점검, (4) 보고서일 이후 통제 변경 여부에 대한 경영진 질의서 확보. 이 절차로 Type I의 설계 평가가 감사연도 말까지 유지되었는지 확인합니다.
감사인과 검토자가 놓치는 점
- Type I이 있으면 통제 테스트를 건너뛸 수 있다고 생각하기. 금감원: "용역기관 보고서가 존재하는 것만으로 통제 의존을 정당화할 수 없으며, 보고기간 외 기간에 대한 추가 절차가 요구됩니다." 실무에서 이것이 의미하는 것: Type I 표지만 보고 조서에 "통제 의존 적정"이라고 적으면 감리 나오면 바로 걸린다. ISA 402.16은 감사인이 "직접 통제를 테스트하거나 통제 운영 기간을 포괄하는 추가 증거를 획득"하도록 요구합니다.
- Type I과 Type II를 구분하지 않음. 조서에서 "용역기관 통제 위험 평가: 낮음. 근거: Type II Report 획득"이라고 기록해 놓고 실제로는 Type I인 경우가 적지 않습니다. Type II는 충분한 기간의 운영 효과성을 평가하므로 추가 테스트를 제한할 근거가 됩니다. Type I은 그렇지 않습니다. ISA 402.A42와 A43의 구분을 조서에 명확히 문서화하십시오.
- Type I 범위 밖의 통제까지 통제 환경에 포함시킴. 용역기관의 Type I이 급여 처리만 평가했는데, 감사인이 급여, 인사, 복리후생, 휴가관리까지 통째로 "통제된 환경"으로 평가하는 경우. 범위 제한을 인정하고, 범위 밖 영역에 대해 별도의 통제 테스트를 계획하십시오.
Type II Report와의 비교
| 특성 | Type I Report | Type II Report |
|---|---|---|
| 평가 기간 | 특정 시점(보통 연도 말 또는 그 이전 일자) | 최소 6개월 이상의 기간 |
| 통제 설계 | 검증됨 | 검증됨 |
| 통제 운영 | 운영 준비만 평가 | 전체 기간에 걸쳐 효과성 검증 |
| 감사인의 추가 테스트 | ISA 402.16에 따라 필수 | 제한적으로 축소 가능 |
| 신뢰도 | 낮음 | 높음 |
| 획득 비용(일반적) | 낮음 | 높음 |
Type I만 보유한 상태에서 충분한 신뢰를 확보하려면 감사인은 추가 절차(월별 분석적 절차, 표본 통제 테스트, 현재 통제 설정 재검증, 보고서일 이후 변경에 대한 경영진 질의)를 수행하고 조서에 남겨야 합니다. Type II가 있으면 이러한 추가 절차를 상당 부분 축소할 수 있습니다.
관련 용어
- Type II Report: 최소 6개월 이상의 기간에 걸쳐 통제의 설계와 운영 효과성을 평가합니다. - ISAE 3402: 용역기관 내부통제 보고서를 규정하는 국제 표준입니다. - ISA 402: 감사인이 용역기관 통제를 평가하는 방법을 규정합니다. - Internal Control: 조직이 목표 달성, 자산 보호, 재무보고 신뢰성을 보장하기 위해 구현하는 정책과 절차입니다. - Control Testing: 감사인이 설계된 통제가 실제로 운영 중이고 효과적인지 검증하는 절차입니다. - Service Auditor Report: ISAE 3402 보고서의 다른 명칭입니다.