Type II Report

작동 방식

ISA 3402.61은 Type II Report를 "일정 기간 동안 특정 통제의 운영 유효성에 대한 감사인의 의견"으로 정의합니다. 이것은 통제가 존재한다는 것을 보여주는 데에 그치지 않습니다. Type II Report는 그 통제가 충분한 기간 동안 의도된 대로 작동했다는 증거입니다.
피감사회사나 서비스 기관이 내부 통제를 문서화하는 것은 Type I Report의 요구사항입니다. 하지만 문서만으로는 통제가 실제로 기능했는지 증명하지 않습니다. Type II Report는 운영 기간 중 감사인이 수행한 테스트(관찰, 재수행, 거래 검증)를 통해 이를 증명합니다. ISA 3402.A101은 감사인이 테스트하는 기간이 의견을 표현하기 위해 충분해야 한다고 규정합니다.

실무 예시: Techna Solutions GmbH

고객: 독일 소프트웨어 개발 회사, 연 매출 €18.5M, ISO 27001 인증 서비스 기관, 2024년 Type II Report 대상.
1단계: 테스트 기간 결정
피감사회사는 2024년 1월 1일부터 6월 30일까지(6개월)를 테스트 기간으로 선정했습니다. ISA 3402.61에 따라 6개월은 최소 기간이며, 회사의 통제 운영 주기를 반영하기 충분합니다.
문서화 노트: 테스트 기간이 충분한지 확인하는 계획 문서에 기재. 이 기간이 한 회계 연도를 포함하지 않더라도 규제 요구사항이나 고객 계약이 더 긴 기간을 요구하지 않았는지 확인.
2단계: 통제 운영 증거 수집
감사인이 선택한 핵심 통제는 "월별 접근 권한 검토"였습니다. 이 통제는 월 10일에 정보보안팀이 수행합니다. 감사인은 6개월 동안 6건의 월별 검토 기록을 검증했습니다(전수 검사).
문서화 노트: 각 월별 검토에 대해 수행일, 검토자 서명, 검증된 사용자 목록, 제거된 접근 권한 기록을 확인. 스프레드시트 감사 자료에 각 월 결과를 기재.
3단계: 통제 유효성 증명
감사인이 재검증한 결과, 6개월 동안 모든 월별 검토가 정책에 따라 수행되었으며, 제거되어야 할 접근 권한이 각각 제거되었음을 확인했습니다. 사용자 계정 1건이 퇴직 후 1주일 뒤에 비활성화되었는데, 정책에서는 3일 이내 비활성화를 요구했으나, 이는 고립된 사건이었고 전체 통제 유효성을 훼손하지 않았습니다.
문서화 노트: 예외 사항을 별도 조서에 기재. Type II Report의 "운영 유효성" 섹션에 "기술적 지연으로 인한 1건의 사소한 편차 발견, 전체 통제 운영에 중요하지 않음" 기술.
결론
이 테스트는 통제가 설계된 대로 작동했음을 보여줍니다. Type II Report는 이를 감사인의 증거로 뒷받침합니다. 피감사회사는 최소 6개월 동안 통제를 운영했고, 감사인이 검증했습니다.

감리기관과 실무자들이 놓치는 부분

테스트 기간의 부적절함: 대다수 조직은 "최소 6개월"을 "정확히 6개월"으로 해석합니다. 하지만 더 긴 기간이 더 강한 증거입니다. 특히 계절 변동이나 연간 리셋 주기가 있는 통제는 12개월 테스트가 더 설득력 있습니다. ISA 3402.A101이 요구하는 "충분한 기간"의 의미가 무엇인지는 각 통제의 특성에 따라 다릅니다.
표본 크기와 거래 검증: 많은 팀은 통제 운영을 "확인"하기 위해 설계 평가(통제가 존재하고 접근 가능한지 확인)만 수행한 후 운영 테스트로 표시합니다. ISA 3402.A102는 표본 크기와 선택 방법을 명시해야 한다고 규정합니다. 전수 검사가 항상 가능한 것은 아니지만, 표본이 대표성을 가져야 합니다.
문서 없는 통제의 처리: 일부 통제는 시스템 기반이거나 암묵적이어서 물리적 증거가 없습니다(예: 급여 처리 시스템의 자동화된 승인 흐름). 이러한 통제를 Type II에서 다루려면 시스템 로그, 데이터베이스 쿼리, IT 환경 구성 검증이 필요합니다. 대다수 조직은 이를 과소평가합니다.

작동 방식

실무 예시: Techna Solutions GmbH

감리기관과 실무자들이 놓치는 부분

관련 용어