Definition
조서 리뷰에서 Type II 보고서를 받았다고 적힌 칸을 보면, 가장 먼저 확인해야 할 두 가지가 있습니다. 테스트 기간이 언제부터 언제까지인지, 그리고 그 기간이 우리 감사 기간을 어디까지 덮는지. 솔직히 대부분 인차지가 여기서 시간을 가장 많이 쓴다. 보고서일이 12월 말이라고 해서 테스트 기간도 12월까지인 것은 아니거든요.
문서가 아닌 운영을 증명한다
피감사회사나 서비스 기관이 내부 통제를 문서화하는 것은 Type I의 요구사항입니다. 그러나 문서만으로는 통제가 실제로 기능했는지를 증명하지 않습니다. Type II는 운영 기간 중 감사인이 수행한 테스트(관찰, 재수행, 거래 검증)로 이를 증명합니다. ISA 3402.A101은 감사인이 테스트하는 기간이 의견 표명에 충분해야 한다고 규정합니다.
여기서 "충분"이 한자어로는 깔끔해 보여도 실무에서는 매번 시비가 붙는 부분입니다. 분기 결산만 있는 통제와 일별로 돌아가는 통제는 같은 6개월이라도 같은 강도가 아닙니다.
6개월 테스트: Techna Solutions GmbH
고객: 독일 소프트웨어 개발 회사, 연 매출 €18.5M, ISO 27001 인증 서비스 기관, 2024년 Type II 대상.
1단계: 테스트 기간 결정 피감사회사는 2024년 1월 1일부터 6월 30일까지(6개월)를 테스트 기간으로 선정했습니다. ISA 3402.61에 따라 6개월은 최소 기간이며, 회사의 통제 운영 주기를 반영하기 충분합니다. 조서 노트: 테스트 기간이 충분한지 확인하는 계획 문서에 기재. 이 기간이 한 회계 연도를 포함하지 않더라도 규제 요구사항이나 고객 계약이 더 긴 기간을 요구하지 않았는지 확인.
2단계: 통제 운영 증거 수집 감사인이 선택한 핵심 통제는 "월별 접근 권한 검토"였습니다. 이 통제는 매월 10일에 정보보안팀이 수행합니다. 감사인은 6개월 동안 6건의 월별 검토 기록을 검증했습니다(전수 검사). 조서 노트: 각 월별 검토에 대해 수행일, 검토자 서명, 검증된 사용자 목록, 제거된 접근 권한 기록을 확인. 스프레드시트 감사 자료에 각 월 결과를 기재.
3단계: 통제 유효성 증명 감사인이 재검증한 결과, 6개월 동안 모든 월별 검토가 정책에 따라 수행되었으며, 제거되어야 할 접근 권한이 각각 제거되었음을 확인했습니다. 사용자 계정 1건이 퇴직 후 1주일 뒤에 비활성화되었는데, 정책은 3일 이내 비활성화를 요구했습니다. 다만 이는 고립된 사건이었고 전체 통제 유효성을 훼손하지 않았습니다. 조서 노트: 예외 사항을 별도 조서에 기재. Type II의 "운영 유효성" 섹션에 "기술적 지연으로 인한 1건의 사소한 편차 발견, 전체 통제 운영에 중요하지 않음" 기술.
결론 이 테스트는 통제가 설계된 대로 작동했음을 보여줍니다. Type II는 이를 감사인의 증거로 뒷받침합니다. 피감사회사는 최소 6개월 동안 통제를 운영했고, 감사인이 검증했습니다. 금감원 감리 사례에서는 이런 1건의 편차가 전체 의견을 훼손하지 않는다는 판단 근거가 조서에 명시적으로 남아 있는지를 확인합니다.
감리기관과 실무자들이 놓치는 부분
- 테스트 기간의 부적절함: 대다수 조직은 "최소 6개월"을 "정확히 6개월"로 해석합니다. 그러나 더 긴 기간이 더 강한 증거입니다. 계절 변동이나 연간 리셋 주기가 있는 통제는 12개월 테스트가 더 설득력 있습니다. ISA 3402.A101이 요구하는 "충분한 기간"의 의미는 통제마다 다릅니다. - 표본 크기와 거래 검증: 많은 팀이 통제 운영을 "확인"한다며 설계 평가(통제가 존재하고 접근 가능한지)만 수행한 뒤 운영 테스트로 표시합니다. ISA 3402.A102는 표본 크기와 선택 방법을 명시하도록 규정합니다. 전수 검사가 항상 가능한 것은 아니지만, 표본은 대표성을 가져야 합니다. - 문서 없는 통제의 처리: 일부 통제는 시스템 기반이거나 암묵적이어서 물리적 증거가 없습니다(예: 급여 처리 시스템의 자동화된 승인 흐름). 이런 통제를 Type II에서 다루려면 시스템 로그, 데이터베이스 쿼리, IT 환경 구성 검증이 필요합니다. 빅펌이든 중견이든 이 부분은 과소평가되곤 합니다.
관련 용어
- Type I Report: 특정 시점의 통제 설계만 평가하는 보고서. 운영 유효성은 검증하지 않습니다. - 통제 환경: 조직 내 통제 문화와 리스크 인식의 기초. ISA 3402는 통제 환경이 개별 통제보다 중요함을 강조합니다. - 서비스 기관: 피감사회사를 대신하여 거래를 처리하거나 정보를 보관하는 조직. Type II는 서비스 기관의 통제를 평가합니다. - 감사 가능성: Type II는 피감사회사의 감사인이 서비스 기관의 통제를 충분히 검증했음을 보여줌으로써 감사 위험을 절감합니다. - 통제 결함의 평가: 운영 기간 중 발견된 사소한 편차가 전체 통제 의견을 훼손하는지 여부는 ISA 3402의 핵심 판단 사항입니다. - 6개월 규칙: ISA 3402의 최소 기간 요구사항. 더 긴 기간이 더 강한 증거를 제공합니다.
---