ISAE 3402 CUEC: 사용자기업통제 예제와 가이드

CUEC의 개념과 ISAE 3402 요구사항

CUEC는 서비스기업의 내부통제와 함께 작동하여 사용자기업의 재무제표 관련 내부통제 목적을 달성하는 통제다. ISAE 3402.11에 따르면 서비스기업의 통제만으로 내부통제 목적을 달성할 수 없을 때 CUEC가 필수적이다. 단독으로 충분한 통제 구조는 거의 없다.

서비스감사인과 사용자감사인의 역할

서비스감사인은 ISAE 3402.A38에 따라 사용자기업이 운영해야 할 CUEC를 식별하고 SOC 보고서에 기재한다. 여기까지가 서비스감사인의 몫이다. 이 통제가 실제로 작동하는지 테스트하는 것은 사용자감사인의 책임이다. ISA 402.16이 이를 명시한다.

CUEC가 운영되지 않으면 서비스기업의 통제에 의존할 수 없다. ISA 402.A24에 따라 대안적 실질적 절차를 수행해야 한다. 막상 필드에 나가서 CUEC 테스트를 하면 고객사 담당자가 CUEC의 존재 자체를 모르는 경우가 잦다. SOC 보고서를 감사팀만 읽고 고객사에는 전달하지 않은 것이다.

CUEC 유형

SOC 보고서에서 식별되는 CUEC 유형은 크게 네 가지로 나뉜다.

접근통제 관련 CUEC는 서비스기업 시스템에 대한 사용자 계정 관리를 다룬다. 신규 사용자 설정, 권한 변경, 퇴직자 계정 삭제 시 승인 프로세스가 핵심이다.

데이터 입력 관련 CUEC는 서비스기업 시스템에 입력되는 데이터의 정확성과 완전성을 담당한다. 거래 승인과 데이터 검증, 오류 수정 절차가 여기에 해당한다.

출력물 검토 관련 CUEC는 서비스기업이 생성한 보고서나 데이터를 사용자기업이 검토하고 승인하는 통제다. 월말 마감 보고서 검토와 예외 보고서 분석이 대표적이다.

모니터링 관련 CUEC는 서비스기업의 서비스 수준 계약(SLA) 준수 여부를 사용자기업이 모니터링하는 통제다. 시스템 가용성 보고서 검토나 정기적 성과 평가 미팅이 포함된다.

SOC 보고서에서 CUEC 식별

SOC 보고서를 받으면 CUEC 섹션부터 찾아야 한다. Type II 보고서에서는 보통 "Complementary User Entity Controls" 또는 "User Entity Responsibilities" 제목으로 기재되어 있다. 보고서 뒤쪽에 배치되는 경우가 많아서 놓치기 쉽다.

CUEC가 기재되는 방식

각 통제 목적별로 관련 CUEC가 나열된다.

통제 목적이 급여 계산의 정확성이라면, 서비스기업 통제는 "급여 계산 프로그램이 승인된 급여율을 사용하여 자동 계산"이고, CUEC는 "사용자기업은 급여율 변경 시 서비스기업에 적절한 승인 문서를 제공해야 함"이 된다.

통제 목적이 급여 지급의 승인이라면, 서비스기업 통제는 "시스템에서 생성된 급여 지급 목록 기반으로 은행 이체 처리"이고, CUEC는 "사용자기업은 급여 지급 전 급여 레지스터를 검토하고 승인해야 함"이 된다.

통제 간격 식별

일부 SOC 보고서에서는 CUEC가 충족되지 않을 때의 통제 간격을 명시한다. "이 CUEC가 운영되지 않을 경우 급여 계산에 비인가 급여율이 적용될 수 있습니다"처럼 구체적 위험을 적시한다. 이런 정보가 있으면 CUEC의 우선순위를 정하는 데 도움이 된다.

CUEC 운영 테스트

CUEC 테스트는 일반적인 내부통제 테스트와 동일한 방법을 쓴다. ISA 330.8에 따라 통제의 설계와 운영을 모두 평가해야 한다.

통제 설계 평가

먼저 고객사가 해당 CUEC를 설계했는지 확인한다. 정책 문서를 검토하고 담당자와 면담한다. 솔직히 고객사가 SOC 보고서의 CUEC 요구사항을 알고 있는 경우가 드물다. 관련 내부 절차가 없는 경우도 많다. 그래서 테스트 전에 SOC 보고서의 CUEC 섹션을 고객사 담당자에게 설명하는 과정이 먼저 필요하다.

운영 테스트

통제 설계가 적절하면 운영 테스트를 수행한다. 표본 크기는 ISA 530에 따라 결정하되, 연간 25개 항목이 일반적인 기준선이다. 통제 빈도가 낮으면(월별이나 분기별) 모든 건을 테스트한다.

문서 검토에서는 승인 서명, 검토 체크리스트, 이메일 승인 등 통제 운영의 증거를 확인한다. 재수행에서는 고객사가 수행한 검토나 승인 절차를 감사인이 직접 다시 해본다. 서비스기업 시스템에 접근할 수 있으면 접근권한 설정이나 사용자 계정 상태를 직접 확인하여 추가 증거로 쓴다.

실무 예제: 급여처리 서비스에서의 CUEC

> 대한제조 주식회사는 직원 450명을 고용한 제조업체다. 급여 처리를 위해 휴먼페이 코리아의 클라우드 급여 서비스를 이용한다. 2024년 매출 850억 원, 연간 급여비용 180억 원.

1단계: SOC 보고서에서 CUEC 식별

휴먼페이 코리아의 SOC 1 Type II 보고서에서 다음 CUEC를 식별했다.

CUEC-1(직원 정보 업데이트 승인): 사용자기업은 신규 입사, 퇴사, 급여 변경 등 직원 정보 변경 시 적절한 승인을 받고 서비스기업에 전달해야 한다.

CUEC-2(급여 레지스터 검토): 사용자기업은 매월 급여 지급 전 급여 레지스터를 검토하고 승인해야 한다.

CUEC-3(시간외근무 승인): 사용자기업은 시간외근무에 대한 승인 절차를 운영하고 관련 문서를 유지해야 한다.

CUEC-4(퇴직자 계정 비활성화): 사용자기업은 직원 퇴사 시 3영업일 이내에 서비스기업에 통보하여 시스템 접근권한을 비활성화해야 한다.

문서화 노트: SOC 보고서 페이지 번호와 해당 CUEC 내용을 조서에 기재

2단계: 고객사의 CUEC 설계 확인

인사팀장과 면담하여 다음을 확인했다.

인사 관련 변경사항은 모두 인사팀장 승인을 받도록 정책화되어 있다. 급여 레지스터는 매월 경리부장이 검토하고 서명한다. 시간외근무는 각 부서장 승인 후 인사팀에서 취합한다. 퇴직자 통보는 인사팀에서 당일 처리하는 것이 원칙이나 지연되는 경우가 있다고 인사팀장이 직접 언급했다.

문서화 노트: 면담일자, 면담자, 확인된 통제 설계 내용을 조서에 기재

3단계: CUEC 운영 테스트

CUEC-1 테스트(직원 정보 업데이트 승인): 2024년 직원 변동 25건을 표본으로 선택했다. 각 건에 대해 인사발령서, 인사팀장 승인 서명, 휴먼페이 코리아 전달 이메일을 확인했다.

결과: 23건은 적절히 승인되었으나 2건에서 승인 서명이 누락되었다.

CUEC-2 테스트(급여 레지스터 검토): 2024년 1월부터 12월까지 12개월 급여 레지스터를 전수 테스트했다. 월별로 경리부장의 검토 서명과 날짜를 확인했다.

결과: 12개월 모두 적절한 검토와 승인이 확인되었다.

CUEC-3 테스트(시간외근무 승인): 2024년 시간외근무 기록 30건을 무작위로 선택했다. 각 부서장의 승인 서명과 시간외근무 사유를 확인했다.

결과: 28건은 적절히 승인되었으나 2건에서 부서장 승인이 사후에 이루어졌다.

문서화 노트: 각 CUEC별 테스트 결과와 예외 세부사항을 별도 조서에 기재

4단계: 예외사항 영향 평가

CUEC-1에서 발견된 2건의 예외는 총 급여비용 180억 원 대비 0.1%에 해당하는 금액이었다. ISA 450에 따라 명백히 사소한 수준으로 판단했다. CUEC-3의 사후 승인 2건은 승인 자체는 적절했으나 통제 시기에 문제가 있어 경영진에게 권고사항으로 전달했다.

중요한 것은 예외가 발견되었다고 바로 SOC 보고서 의존을 포기하는 것이 아니라는 점이다. 각 통제 목적별로 개별 평가하고 보상적 통제가 있는지 확인한다.

문서화 노트: 예외사항의 정량적, 정성적 평가 결과

CUEC 실패 시 대안적 절차

CUEC가 운영되지 않으면 ISA 402.A24에 따라 대안적 실질적 절차를 설계해야 한다. 서비스기업의 통제에만 의존할 수 없기 때문이다.

급여 처리 서비스의 대안적 절차

급여 계산 정확성 테스트에서는 고객사의 시간 기록과 급여율을 사용하여 급여 계산을 재수행한다. 표본 크기는 ISA 530에 따라 결정하되, CUEC 의존도가 높았을수록 더 큰 표본이 필요하다. 대한제조의 경우 월 급여비용이 15억 원이므로 재수행 표본은 최소 40건으로 확대했다.

급여 지급 검증에서는 은행 거래 내역서와 급여 레지스터를 대조하여 실제 지급 여부를 확인한다. 수취인 정보의 정확성도 검증한다.

급여세 계산 검증에서는 급여세 신고서와 급여 레지스터를 대조하여 세금 계산과 납부의 정확성을 확인한다.

기타 서비스 유형의 대안적 절차

투자 처리 서비스에서는 포트폴리오 평가액을 독립적으로 재계산하고, 거래 내역을 브로커 확인서와 대조한다. 대출 처리 서비스에서는 이자 계산을 재수행하고 대출 잔액을 차주 확인서로 검증한다.

재고 관리 서비스에서는 실사를 통한 재고 수량 확인과 평가액 재계산을 수행한다.

실무 체크리스트

1. SOC 보고서에서 모든 관련 CUEC를 식별했는가? Type II 보고서의 CUEC 섹션을 완전히 검토했는가? 각 통제 목적별 CUEC 요구사항을 확인했는가?

2. 고객사가 필요한 CUEC를 설계했는가? 정책과 절차 문서를 검토하고 담당자와 면담했는가? 설계상 결함이나 누락된 통제를 식별했는가?

3. CUEC의 운영 효과성을 테스트했는가? ISA 530에 따른 적절한 표본 크기를 결정했는가? 통제 운영의 증거 문서를 확인하고 필요시 재수행을 실시했는가?

4. 예외사항을 적절히 평가했는가? 정량적, 정성적 중요성을 평가했는가? 보상적 통제 존재 여부와 전체 감사 전략에 미치는 영향을 검토했는가?

5. CUEC가 운영되지 않을 때 대안적 절차를 설계했는가? ISA 402.A24에 따른 대안적 실질적 절차를 식별했는가? 추가 절차의 성격과 범위를 결정했는가?

6. 조서에 SOC 보고서 평가 과정과 결과, CUEC 테스트 절차와 결과, 예외사항 평가와 결론을 모두 기재했는가?

흔한 실수

SOC 보고서의 CUEC 섹션을 아예 검토하지 않는 경우가 있다. 서비스기업의 통제 테스트 결과만 확인하고 CUEC는 건너뛴다. Type II 보고서에서 CUEC는 별도 섹션에 기재되므로 의식적으로 찾아야 한다. 조서가 너무 얇으면 감리에서 바로 지적된다.

고객사 담당자가 "CUEC가 뭡니까"라고 답했을 때 통제가 없다고 결론짓는 경우도 있다. 고객사가 CUEC라는 용어를 모르더라도 관련 통제를 이미 운영하고 있는 경우는 많다. SOC 보고서의 CUEC를 설명하고 해당하는 기존 절차가 있는지 확인해야 한다.

일부 CUEC에 결함이 발견되었다고 SOC 보고서 의존 전체를 포기하는 것도 과잉 반응이다. 각 통제 목적별로 개별 평가하고 보상적 통제를 검토한 후에 판단한다.