핵심 요약
- Type I 보고서는 설계 검증만 제공합니다. 보고서 발표 시점의 통제가 존재하고 적절히 설계되었는지만 확인합니다.
- Type II 보고서는 최소 6개월 기간 동안 통제가 실제로 작동했는지 검증합니다. 운영 유효성 증거를 제공합니다.
- ISAE 3402.28은 감사인이 Type II를 선택해야 하는 상황을 규정합니다. 감사 대상 회사가 서비스 기관의 통제에 의존할 때 운영 유효성 증거가 필수입니다.
- Type I과 Type II를 혼동하면 감시 대상 기관(예: 금감원, 국제 감시 당국)이 감사 파일에서 지적하는 가장 빈번한 항목 중 하나입니다.
실제 적용 상황: 두 보고서의 차이
Type I 보고서 특정 날짜(예: 2024년 12월 31일)의 스냅샷입니다. 서비스 기관의 감사인이 그 시점에 통제가 설계되어 있고, 관련성 있고(통제할 수 있는 항목에 대해), 적절히 설계되었는지(위험을 경감시킬 것 같은지) 평가합니다. ISAE 3402.A43은 설계 평가에서 감사인이 고려해야 할 사항을 규정합니다: 통제가 실제로 작동하도록 설정되어 있는가, 감사 대상 회사의 직원이 통제를 사용할 수 있는가, 통제 소유자가 명확한가.
Type II 보고서 시간 창을 포함합니다. 보통 최소 6개월입니다. 서비스 기관의 감사인이 보고서 기간 동안 통제가 실제로 운영되었는지, 오류 없이 설계 의도대로 작동했는지 검증합니다. ISAE 3402.A49는 운영 유효성 평가에서 감사인이 검사할 항목을 지정합니다: 각 통제의 운영 증거(예를 들어, 거래 샘플에서 통제 실행의 증거), 통제 운영 변경 사항, 그리고 예외 발생 여부.
당신의 감사 대상 회사가 클라우드 기반 급여 처리 서비스 기관을 사용한다고 가정합시다. 2024년 12월 31일 현재 그 서비스 기관의 Type I 보고서는 "급여 데이터 입력 검증 통제가 설계되어 있고, 당신의 직원이 이를 사용할 수 있으며, 적절히 설계되었습니다"라고 말합니다. 하지만 Type I은 2024년 1월부터 12월까지 그 통제가 실제로 작동했는지는 알려주지 않습니다. 만약 서비스 기관이 6월에 소프트웨어를 업그레이드했고 검증 규칙이 실수로 비활성화되었다면? Type I 보고서는 이를 포착하지 못합니다. Type II 보고서는 6개월 이상의 기간 동안 검증 통제가 모든 급여 실행(또는 통제된 표본)에서 실제로 실행되었는지 검증하므로 그 문제를 드러낼 것입니다.
Type I 보고서 vs Type II 보고서 비교
| 차원 | Type I | Type II |
|------|--------|---------|
| 평가 대상 | 특정 날짜의 통제 설계 | 최소 6개월 기간의 운영 유효성 |
| 감사인이 검증하는 것 | 통제가 존재하고 적절히 설계됨 | 통제가 실제로 작동하고 오류 없이 운영됨 |
| 증거 수집 | 설계 검토, 통제 문서 검토, 설정 확인 | 거래 샘플 검사, 운영 로그 검토, 예외 분석 |
| ISAE 3402 근거 | ISAE 3402.28(a), .A43 | ISAE 3402.28(b), .A49 |
| 당신의 감사에 대한 영향 | 설계 리스크 감소만 가능 | 설계 리스크와 운영 리스크 모두 감소 |
| 감사 시점 | 보고서 완료 후 | 보고 기간 종료 후 (통제 기간 6개월 후) |
당신의 감사 파일에서 언제 이 구별이 중요한가
두 보고서를 혼동하면 감사 증거 불충분이 발생합니다. 당신의 감사 대상 회사가 IT 서비스를 아웃소싱했다고 가정합시다. 그들은 서비스 기관으로부터 Type I 보고서만 가져왔습니다. ISAE 3402.28(b)를 읽으면 당신은 "감사인이 서비스 기관의 운영에 근거하여 발생할 수 있는 오류의 특성과 범위를 이해해야 합니다"라는 요구사항을 봅니다. Type I은 그 이해를 제공하지 않습니다. Type I은 "통제가 설계되었습니다"라고 말할 뿐이고, "통제가 작동했는가"라는 질문을 남깁니다.
결과적으로 당신은 다음 중 하나를 수행해야 합니다: (1) Type II 보고서를 요청하거나, (2) 자체 감사 절차(예를 들어 당신이 거래 샘플을 직접 검사하는 것)를 수행하여 운영 유효성에 대한 증거를 수집합니다. 첫 번째 옵션이 일반적으로 더 효율적입니다. 당신은 보고서를 요청합니다. 문제는 타이밍입니다. Type II 보고서를 얻으려면 당신의 감사 대상 회사가 사전에 요청해야 합니다(6개월 기간이 필요하므로). 감사 마지막 날에 요청할 수 없습니다.
감사인과 검토자가 놓치는 것
- 첫 번째 선택: 많은 팀이 Type I 보고서를 받고 이를 운영 유효성 증거로 취급합니다. ISAE 3402 텍스트를 다시 읽으면 Type I의 제목이 "설계 관련"이고 Type II의 제목이 "설계 및 운영 유효성 관련"이라는 것을 확인할 수 있습니다. 텍스트가 명확합니다. 감사 파일에서 당신은 Type I을 운영 유효성 증거로 사용할 수 없습니다.
- 두 번째 선택: Type II 보고서가 도착하면, 많은 팀이 통제 운영 기간을 확인하지 않습니다. ISAE 3402.A49는 최소 6개월 기간을 요구합니다. 하지만 서비스 기관은 때때로 3개월 또는 4개월 Type II 보고서를 생성합니다(특히 신규 서비스 기관이거나 신규 통제인 경우). 당신의 당신의 감사 기간이 1월 1일부터 12월 31일인데 Type II 보고서가 1월 1일부터 4월 30일만 다룬다면, 나머지 8개월 동안의 운영 유효성은 적용되지 않습니다. 당신은 그 8개월에 대한 증거를 수집해야 합니다.
- 세 번째 선택: Type II 보고서가 여러 시스템이나 통제에 대한 것일 때, 팀은 당신의 감사 대상 회사가 실제로 사용하는 통제를 확인하지 않습니다. 예를 들어, 결제 시스템 서비스 기관의 Type II 보고서는 10개 통제를 다룰 수 있지만, 당신의 감사 대상 회사는 그 중 5개만 사용합니다. 당신은 당신의 감사 대상 회사가 실제로 사용하는 5개 통제에 대한 증거만 신뢰할 수 있습니다. ISAE 3402.A53은 감사인이 서비스 기관의 통제 중 어느 것이 당신의 감사와 관련이 있는지 평가해야 한다고 규정합니다.
관련 용어
---
- ISAE 3402 Type I 보고서 - Type I 보고서의 구조와 요구사항을 자세히 설명합니다.
- ISAE 3402 Type II 보고서 - Type II 보고서의 검증 방법과 당신의 감사에 미치는 영향을 다룹니다.
- 서비스 기관 통제 - ISAE 3402 평가 프레임워크의 개요입니다.
- 통제 운영 유효성 - 통제가 의도대로 작동하는지 검증하는 방법입니다.
- ISAE 3402 - 서비스 기관 감사의 전체 기준서입니다.
- 표본 추출 - Type II 보고서가 운영 유효성을 검증할 때 사용하는 방법입니다.