사용자 실체

작동 방식

사용자 실체라는 개념은 현대 비즈니스 생태계의 현실에서 나옵니다. 대부분의 기업은 급여 처리, 고정자산 추적, 재고 관리, 또는 금융 거래 처리를 제3자에게 아웃소싱합니다. ISA 402는 이 상황을 다루기 위해 만들어졌습니다.
사용자 실체의 감사인은 ISA 402.15(a)에 따라 서비스 조직의 통제가 사용자 실체의 재무제표에 미치는 영향을 평가해야 합니다. 단순히 서비스 조직이 통제를 가지고 있다는 표현만으로는 충분하지 않습니다. 감사인은 다음을 수행해야 합니다.
첫째, 서비스 조직이 제공하는 서비스 및 통제를 식별합니다. 급여 대행사가 급여 계산, 세금 원천징수, 은행 이체를 처리하는 경우, 각각의 통제를 문서화합니다.
둘째, ISA 402.16에 따라 서비스 조직의 통제가 충분한지 평가합니다. 이는 공감사(co-audit), Type A 또는 Type B 보고서, 또는 직접 테스트를 통해 이루어질 수 있습니다.
셋째, ISA 402.19에 따라 서비스 조직의 통제 부재나 부족으로 인해 사용자 실체의 통제가 운영될 수 없는 경우를 평가합니다. 만약 그렇다면, 보상적 통제를 식별하거나 실질적 절차의 범위를 확대해야 합니다.
대부분의 감사팀은 세 번째 단계에서 실수합니다. 서비스 조직의 통제 결함을 발견했지만, 이것이 사용자 실체의 거래 검증에 어떤 영향을 미치는지 평가하지 않습니다.

산출 예시: 한솔 제조 주식회사

클라이언트: 한국 제조업체, 2024년도 재무제표, 매출 285억 원, K-IFRS 적용사.
서비스 조직: 급여 대행 서비스업체(K팩토리 페이롤 솔루션)가 월별 급여 계산, 세금 원천징수, 사회보험 납입, 은행 이체를 처리합니다.
1단계: 서비스 조직의 통제 식별
급여 대행사가 제공하는 주요 통제:
작업 조서 노트: HSM-PY-01에 급여 대행사 계약과 서비스 범위를 문서화합니다. 대행사의 통제 기술서(Control Description Document) 사본을 첨부합니다.
2단계: Type B 보고서 입수 및 평가
한솔 제조는 급여 대행사로부터 ISA 402 Type B 보고서(적용적 통제 및 운영 효과성에 관한 감사인 보고서)를 입수했습니다. 보고서에서 세금 원천징수 통제에 대해 "설계는 적절하나 테스트 기간 중 불일치 3건 발견"이라는 소견이 기재되어 있습니다.
작업 조서 노트: Type B 보고서 검토 결과를 HSM-SA-02에 기재합니다. 발견된 불일치 내용과 대행사의 시정 조치를 정리합니다.
3단계: 불일치의 영향 평가
세금 원천징수 오류가 급여 비용과 원천징수세 채무 양쪽에 미친다는 것을 인식합니다. 3건의 불일치가 개별적으로 사용가능왜곡표시보다 적더라도, 한솔 제조의 통제가 이를 탐지하지 못했다면 이는 중요합니다.
실질적 절차로 보상하기로 결정합니다:
작업 조서 노트: HSM-PY-03에 대체 실질적 절차의 계획과 결과를 기재합니다. 예: "10명 × 12개월 = 120개 급여 거래 재검증. 결과: 오류 없음. 표본 방법: 정액 선택."
4단계: 결론
서비스 조직의 통제 결함으로 인해 사용자 실체의 통제 환경이 약화되었지만, 한솔 제조가 자체 대사 통제를 운영하고 감사인이 실질적 절차를 확대함으로써 감사 위험을 관리할 수 있습니다. 급여 비용과 원천징수세 채무에 대한 충분한 감사 증거를 입수했습니다.

• 임직원 데이터의 입력 검증
• 급여 계산의 자동화 및 검증
• 세금 계산의 자동화
• 발생 항목과 실제 지급의 대사
• 월별 급여 명세서 생성 및 배포
• 월별 급여 총액의 100% 검토 (대행사 계산과 은행 이체 대사)
• 임직원 10명에 대한 급여 계산의 재계산 (급여율, 공제액 확인)
• 월별 세금 납입액의 검증 (세무청 기납 확인)

감리에서 발견하는 오류

• 부족한 증거 입수: 많은 감사 파일에서 서비스 조직의 통제에 대한 문서가 제너릭 사업보고서(Generic SOC 2 또는 유사)만 있고, ISA 402 특정 평가가 없습니다. ISA 402.16은 서비스 조직의 통제가 사용자 실체의 통제 환경과 어떻게 상호작용하는지 이해할 것을 명확히 요구합니다.
• Type A vs Type B 혼동: 일부 팀은 Type A 보고서(설계 평가만)로 충분하다고 가정합니다. ISA 402.14에 따르면 운영 효과성 평가가 필요한 경우가 많습니다. Type B 보고서를 입수해야 합니다.
• 보상적 통제 문서화 미흡: 서비스 조직의 통제가 불충분한 경우, 감사인은 사용자 실체의 보상적 통제를 식별해야 합니다. 많은 파일에서 "대행사에서 처리, 감사인 절차로 보상"이라고만 기재되고, 구체적인 보상적 통제 설계와 운영을 평가하지 않습니다.

관련 용어

• 서비스 조직: 사용자 실체에 서비스를 제공하고 거래 처리 또는 자산 보관에 관여하는 기업입니다.
• Type A 보고서: 서비스 조직의 통제 설계의 적절성만을 평가한 보고서입니다.
• Type B 보고서: 서비스 조직의 통제 설계의 적절성과 운영 효과성을 평가한 보고서입니다.
• 내부통제: 경영진이 목표 달성을 위해 설계하고 운영하는 프로세스 및 활동입니다.
• 거래 사이클: 관련 거래와 계정 잔액의 집합입니다(급여 사이클, 판매 사이클 등).
• 감사 증거: 감사인이 감사 의견을 형성하기 위해 입수하는 정보입니다.

도구

ISA 402 서비스 조직 평가 체크리스트를 사용하여 서비스 조직 통제의 식별, 평가, 문서화 단계를 체계적으로 진행하십시오. 체크리스트는 Type A/B 보고서 검토, 보상적 통제 평가, 결핍 사항 판단을 위한 단계별 지침을 제공합니다.
---