KIFRSGuide.

기준서 402 서비스조직을 이용하는 기업에 관한 감사 고려사항

저작권 표시

감사기준서 402서비스조직을 이용하는 기업에 관한 감사 고려사항’는 「주식회사 등의 외부감사에 관한 법률」 제16조에 따라 한국공인회계사회가 금융위원회의 사전승인을 받아 정한 회계감사기준의 일부로, 국제감사인증기준위원회(IAASB)가 공표한 국제감사기준(ISA)을 기초로 제정되었습니다.

기준서 원문의 저작권은 한국공인회계사회에 있으며 저작권법의 보호를 받습니다. 권리자의 사전 서면 승인 없이 원문의 전부 또는 일부를 영리 목적으로 복제·전송·배포하거나 2차적저작물을 작성하는 행위는 금지됩니다.

본 페이지는 실무 참고 목적의 비공식 게재본으로, 공식 간행물과 표기·구성이 다를 수 있고 최신 개정사항이 반영되지 않았을 수 있습니다. 공식 원문은 한국공인회계사회에서 확인하시기 바라며, 본 게재본과 공식 원문이 다른 경우 공식 원문이 우선합니다.

서론

이 감사기준서의 범위

문단 1

이 감사기준서는 이용자기업이 하나 이상의 서비스조직으로부터 서비스를 이용할 때 충분하고 적합한 감사증거를 입수하기 위한 이용자기업 감사인의 책임을 다룬다. 특히, 이 감사기준서는 이용자기업 감사인이 중요왜곡표시위험을 식별하고 평가하는데 충분할 만큼 이용자기업(감사와 관련된 내부통제 포함)을 이해할 때, 그리고 그러한 위험에 대응하는 추가감사절차를 설계하고 수행할 때, 감사기준서 315 1) 와 감사기준서 330 2) 을 어떻게 적용할 것인지에 대하여 상세히 설명한다.

  1. 감사기준서 315 "기업과 기업환경 이해를 통한 중요왜곡표시위험의 식별과 평가"
  2. 감사기준서 330 "평가된 위험에 대한 감사인의 대응"
문단 2

기업들은 서비스조직들로부터 여러 측면의 사업을 아웃소싱하며, 이러한 조직은 감사대상 기업의 감독하에 하나의 특정 과업을 수행하거나 납세의무의 준수와 같은 기업의 전체 기능이나 전체 사업단위를 대행한다. 이러한 조직들이 제공하는 서비스는 대부분 그 기업의 사업운영에 필수적인 부분이다. 그러나 이러한 서비스가 모두 감사와 관련된 것은 아니다.

문단 3

서비스조직이 제공하는 서비스는 해당 서비스와 이에 대한 통제 (관련 사업프로세스 포함)가 이용자기업의 재무보고와 관련성이 있는 정보시스템의 일부인 경우에는, 이용자기업의 재무제표감사와 관련이 있다. 서비스조직의 대부분 통제는 재무보고와 관련이 있을 가능성이 있지만, 자산보호에 대한 통제와 같이 감사와도 관련성이 있을 다른 통제들이 있을 수 있다. 서비스조직의 서비스가 다음 중 하나에 영향을 미친다면 이는 이용자기업의 재무보고와 관련된 정보시스템(관련 사업프로세스 포함)의 일부이다.

(a)

이용자기업의 재무제표에 유의적인 이용자기업 거래유형

(b)

이용자기업의 거래가 개시, 기록, 처리되며 필요에 따라 수정되고 총계정원장에 전기되어 재무제표에 보고되는 정보기술시스템이나 수작업 시스템 내부의 절차

(c)

이용자기업 거래의 개시, 기록, 처리 및 보고에 이용되는, 관련 회계기록(전자형태 또는 수작업 형태로 정보와 특정계정을 뒷받침하는). 이는 부정확한 정보의 수정과 정보가 총계정원장으로 이전되는 방법을 포함한다.

(d)

이용자기업의 정보시스템이 거래 외에 재무제표에 유의적인 사건과 상황들을 포착하는 방법

(e)

유의적 회계추정치나 공시 등 이용자기업의 재무제표를 작성하는 데 이용되는 재무보고절차

(f)

비반복적이고 비경상적인 거래나 조정사항을 기록하는 데 이용되는 비표준적 분개 등 분개를 둘러 싼 통제

문단 4

서비스조직이 제공하는 서비스에 대하여 이용자기업의 감사인이 수행할 업무의 성격과 범위는 이용자기업에게 제공된 서비스의 성격과 유의성 및 감사와의 관련성에 따라 다르다.

문단 5

이 감사기준서는 예를 들어 은행의 당좌거래 처리나 증권회사에 의한 유가증권거래의 처리와 같이, 금융기관이 기업의 계좌에 대하여 그 기업이 구체적으로 승인하는 거래를 처리하는 것으로 한정되는 서비스에는 적용하지 아니한다. 또한 이 감사기준서는 파트너십, 법인 및 조인트벤처와 같은 실체의 소유지분이 그 소유자를 위해 회계처리되고 보고되는 경우, 이러한 지분으로부터 발생되는 거래의 감사에는 적용하지 아니한다.

시행일

문단 6

이 감사기준서는 2023년 1월 1일 이후 개시하는 보고기간의 재무제표에 대한 감사부터 시행된다.

목적

문단 7

이용자기업이 서비스조직의 서비스를 이용하는 경우, 이 감사기준서와 관련된 이용자기업 감사인의 목적은 다음과 같다.

(a)

중요왜곡표시위험을 식별하고 평가하는 데 충분하도록 서비스조직에서 제공하는 서비스의 성격과 유의성, 그리고 이것이 해당 감사와 관련된 이용자기업의 내부통제에 미치는 영향을 이해함

(b)

그러한 위험에 대응하는 감사절차를 설계하고 수행함

용어의 정의

문단 8

감사기준에서 사용하는 용어의 정의는 다음과 같다. (a) 보충적인 이용자기업 통제 – 서비스조직이 해당 서비스를 설계할 때 이용자기업이 실행할 것으로 보는 통제로서, 통제목적을 달성하는데 필요하다면 시스템기술서에서 식별되는 통제

(b) 서비스조직 통제에 대한 기술과 설계에 관한 보고서(이 감사기준서에서 “유형 1 보고서” 라 한다) – 이는 다음으로 구성된다.

(i) 현재 설계되고 실행 중인 서비스조직의 시스템과 통제목적 및 관련 통제에 대한 서비스조직 경영진의 기술

(ii) 서비스감사인이 합리적인 확신을 제공할 목적으로 작성한 보고서. 이는 해당 서비스조직의 시스템, 통제목적 및 관련 통제에 대한 기술과, 명시된 통제목적을 달성하기 위한 통제설계의 적합성에 대한 서비스감사인의 감사의견을 포함한다.

(c) 서비스조직 통제에 대한 기술과 설계 및 운영효과성에 대한 보고서(이 감사기준서에서 “유형 2 보고서”라 한다) – 이는 다음으로 구성된다.

(i) 서비스조직의 시스템, 통제목적 및 관련 통제, 특정일 현재 혹은 특정기간의 이들의 설계와 실행, 그리고 경우에 따라 특정기간의 운영효과성에 대한 서비스조직 경영진의 기술

(ii) 서비스감사인이 합리적 확신을 제공할 목적으로 작성한 보고서. 이는 다음 사항을 포함한다.

a. 서비스조직의 시스템, 통제목적 및 관련 통제에 대한 기술과, 명시된 통제목적을 달성하기 위한 통제설계의 적합성 및 운영효과성에 대한 서비스감사인의 감사의견

b. 서비스감사인의 통제테스트 및 그 결과에 대한 기술

(d) 서비스감사인 – 서비스조직의 요청에 따라 해당 조직의 통제에 관한 인증보고서를 제공하는 감사인

(e) 서비스조직 – 이용자기업의 재무보고 관련 정보시스템의 일부를 구성하는 서비스를 이용자기업에게 제공하는 제3자 조직 (또는 제3자 조직의 사업부문)

(f) 서비스조직의 시스템 – 서비스감사인의 보고대상인 서비스를 이용자기업에게 제공하기 위하여 서비스조직이 설계ㆍ실행ㆍ유지하는 정책과 절차

(g) 하위서비스조직 – 서비스조직이 이용자기업의 재무보고 관련 정보시스템의 일부를 구성하는 서비스를 이용자기업에게 제공할 때, 해당 서비스의 일부를 수행하기 위하여 서비스조직이 이용하는 타 서비스조직

(h) 이용자기업 감사인 – 이용자기업 재무제표에 대한 감사와 보고를 하는 감사인

(i) 이용자기업 – 서비스조직을 이용하는 기업으로서 자신의 재무제표를 감사받고 있는 기업

요구사항

내부통제 등 서비스조직에 의하여 제공되는 서비스에 대한 이해

문단 9

이용자기업 감사인은 감사기준서 315 3) 에 따라 이용자기업을 이해할 때, 이용자기업이 자신의 사업에 서비스조직의 서비스를 어떻게 이용하는지를 이해하여야 하며, 이에는 다음과 같은 내용이 포함되어야 한다. (문단 A1-A2 참조)

(a)

서비스조직이 제공하는 서비스의 성격과 그러한 서비스가 이용자기업에 미치는 유의성(이용자기업의 내부통제에 대한 영향 포함) (문단 A3-A5 참조)

(b)

서비스조직이 처리한 거래 또는 해당 조직에 의해 영향을 받는 계정이나 재무보고절차의 성격과 중요성 (문단 A6 참조)

(c)

서비스조직이 수행하는 활동과 이용자기업이 수행하는 활동의 상호작용 정도 (문단 A7 참조)

(d)

서비스조직이 수행하는 활동에 대한 관련 계약조건 등 이용자기업과 서비스조직간 관계의 성격 (문단 A8-A11 참조)

  1. 감사기준서 315 문단 11
문단 10

이용자기업 감사인은 감사기준서 315 4) 에 따라 감사와 관련된 내부통제를 이해할 때, 서비스조직이 제공한 서비스와 관련된 이용자기업의 관련 통제(서비스조직이 처리한 거래에 적용되는 이용자기업의 관련 통제 포함)의 설계 및 실행을 평가하여야 한다. (문단 A12-A14 참조) 4) 감사기준서 315 문단 12

문단 11

이용자기업 감사인은 중요왜곡표시위험의 식별과 평가의 근거를 제공하기 위하여, 서비스조직에 의해 제공된 서비스의 성격과 유의성 그리고 그러한 서비스가 이용자기업의 감사와 관련된 내부통제에 미치는 영향을 충분히 이해하였는지 여부를 결정하여야 한다.

문단 12

이용자기업 감사인이 이용자기업으로부터 충분한 이해를 얻을 수 없는 경우, 이용자기업 감사인은 다음 중 하나 이상의 절차를 통하여 이를 충분히 이해하여야 한다. (문단 A15-A20 참조) (a) 입수가능한 경우, 유형 1 또는 유형 2 보고서를 입수함

(b) 특정 정보를 얻기 위하여 이용자기업을 통하여 서비스조직과 접촉함

(c) 서비스조직을 방문하여 서비스조직의 관련 통제에 대하여 필요한 정보를 제공할 절차를 수행함

(d) 타감사인이 수행한 업무를 활용하여 서비스조직의 관련 통제에 대하여 필요한 정보를 제공할 절차를 수행함

서비스조직에 대한 이용자기업 감사인의 이해를 뒷받침하기 위한 유형 1 또는 유형 2 보고서의 이용

문단 13

이용자기업 감사인은 유형 1 또는 유형 2 보고서에 의해 제공되는 감사증거의 충분성과 적합성을 결정할 때, 다음에 대하여 만족할 수 있어야 한다. (문단 A21 참조)

(a)

서비스감사인의 전문가적 적격성 및 서비스조직으로부터의 독립성

(b)

발행된 유형 1 또는 유형 2 보고서에 적용된 기준의 적절성

문단 14

이용자기업 감사인은 서비스조직의 통제의 설계 및 실행에 대한 이해를 뒷받침하기 위하여 유형 1 또는 유형 2 보고서를 감사증거로 이용할 계획이면, 다음의 절차를 수행하여야 한다. (문단 A22-A23 참조)

(a)

서비스조직의 통제에 대한 기술과 설계가 이용자기업 감사인의 감사목적에 적합한 일자 또는 적합한 기간에 대한 것이지 여부를 평가함

(b)

감사와 관련된 이용자기업의 내부통제의 이해를 위해 해당 보고서가 제공하는 증거의 충분성과 적합성을 평가함

(c)

서비스조직에 의해 식별된 보충적인 이용자기업 통제가 이용자기업과 관련성이 있는지 여부를 결정함. 관련성이 있다면, 이용자기업이 그러한 통제를 설계하였고 실행하였는지 여부를 이해함

평가된 중요왜곡표시위험에 대한 대응

문단 15

이용자기업 감사인은 감사기준서 330에 따라 평가된 위험에 대응하여, 다음의 절차를 수행하여야 한다. (문단 A24-A28 참조)

(a)

관련 재무제표 주장에 대하여 충분하고 적합한 감사증거가 이용자기업이 보유하고 있는 기록으로부터 입수가능한지 여부를 결정함

(b)

위 (a)에서 감사증거가 입수가능하지 않는 경우에는, 충분하고 적합한 감사증거를 입수하기 위한 추가감사절차를 수행하거나, 이용자기업 감사인을 대신하여 해당 서비스조직에서 그러한 절차를 수행하기 위하여 타감사인의 업무를 활용함

통제테스트

문단 16

이용자기업 감사인이 위험을 평가할 때 서비스조직의 통제가 효과적으로 이루어지고 있다는 기대가 포함되어 있으면, 이용자기업 감사인은 다음의 절차 중 하나 이상을 수행하여 서비스조직 통제의 운영효과성에 관한 감사증거를 입수하여야 한다. (문단 A29-A30 참조)

(a)

입수가능한 경우, 유형 2 보고서를 입수함

(b)

서비스조직의 통제에 대하여 적합한 통제테스트를 수행함

(c)

서비스조직의 통제에 대하여 통제테스트를 수행한 타감사인의 업무를 활용함

서비스조직 통제의 운영효과성에 대한 감사증거로서의 유형 2 보고서 이용

문단 17

문단 16(a)에 따라 이용자기업 감사인이 서비스조직의 통제가 효과적으로 운영되는지에 대한 감사증거로 유형 2 보고서를 이용할 계획이라면, 이용자기업 감사인은 다음의 절차를 수행함으로써 서비스감사인의 감사보고서가 이용자기업 감사인의 위험평가를 뒷받침하는 데 통제의 효과성에 대한 충분하고 적합한 감사증거를 제공하는지 여부를 결정하여야 한다. (문단 A31-A39 참조) (a) 서비스조직 통제에 대한 기술, 설계 및 운영효과성이 이용자기업 감사인의 감사목적에 적합한 일자 또는 적합한 기간에 대한 것인지 여부를 평가함

(b) 서비스조직에 의해 식별된 보충적인 이용자기업 통제가 이용자기업과 관련성이 있는지 여부를 결정하고, 관련성이 있다면 이용자기업이 그러한 통제를 설계하였고 실행하였는지 여부를 이해하고 통제의 운영효과성을 테스트함

(c) 통제테스트의 대상기간 및 그러한 통제테스트를 수행한 후 경과된 시간의 적절성을 평가함

(d) 서비스감사인의 감사보고서에 기술된 해당 감사인의 통제테스트와 그 결과가 이용자기업 재무제표의 경영진주장과 관련이 있으며, 이용자기업 감사인의 위험평가에 도움이 되도록 충분하고 적합한 감사증거를 제공하는지 여부를 평가함

하위서비스조직의 서비스가 제외된 유형 1 과 유형 2 보고서

문단 18

만약 이용자기업 감사인이 하위서비스조직이 제공하는 서비스가 제외된 유형 1 또는 유형 2 보고서를 이용할 계획이고 그러한 서비스가 이용자기업의 재무제표감사와 관련이 있는 경우, 이용자기업 감사인은 하위서비스조직이 제공하는 서비스에 관하여 이 감사기준서의 요구사항을 적용하여야 한다. (문단 A40 참조)

서비스조직이 수행하는 활동과 관련된 부정, 법규위반 및 미수정왜곡표시

문단 19

이용자기업 감사인은 이용자기업의 경영진에게 서비스조직이 이용자기업에게 이용자기업의 재무제표에 영향을 미치는 부정, 법규위반 또는 미수정왜곡표시를 보고하였는지, 또는 다른 방법으로 이를 알고 있는지에 대하여 질문하여야 한다. 이용자기업 감사인은 그러한 사항들이 이용자기업 감사인의 추가감사절차의 성격, 시기 및 범위에 어떻게 영향을 미치는지 평가하여야 한다(이용자기업 감사인의 결론 및 이용자기업 감사인의 감사보고서에 미치는 영향 포함). (문단 A41 참조)

이용자기업 감사인에 의한 보고

문단 20

이용자기업의 재무제표감사와 관련하여 서비스조직이 제공하는 서비스에 관한 충분하고 적합한 감사증거를 입수할 수 없는 경우, 이용자기업 감사인은 감사기준서 705 5) 에 따라 감사의견을 변형시켜야 한다. (문단 A42 참조) 5) 감사기준서 705 "감사의견의 변형" 문단 6

문단 21

이용자기업 감사인은 법규에서 요구하지 않는 한 적정의견을 표명하고 있는 자신의 감사보고서에서 서비스감사인이 수행한 업무를 언급하지 않아야 한다. 법규상 이러한 언급이 요구된다면, 이용자기업 감사인은 그러한 언급이 이용자기업 감사인의 감사의견에 대한 책임을 경감시키지 아니함을 감사보고서에 명시하여야 한다. (문단 A43 참조)

문단 22

서비스감사인이 수행한 업무를 언급하는 것이 이용자기업 감사인의 변형의견을 이해시키는 것과 관련된다면, 이용자기업 감사보고서에는 그러한 언급이 해당 변형의견에 대한 이용자기업 감사인의 책임을 경감시키지 아니함을 명시하여야 한다. (문단 A44 참조)

적용 및 기타 설명자료

내부통제 등 서비스조직이 제공하는 서비스에 대한 이해

정보의 원천 (문단 9 참조)

문단 A1

서비스조직이 제공하는 서비스의 성격에 관한 정보는 다양한 원천으로부터 이용가능하다. 예를 들어, 다음과 같다.

사용자 매뉴얼

시스템 개요문서

기술 매뉴얼

이용자기업과 서비스조직간의 계약서나 서비스 수준 합의서

서비스조직의 통제에 대한 내부감사기능, 규제기관 또는 서비스조직의 보고서

입수가능한 경우, 경영진 건의서한 등 서비스감사인의 보고서

문단 A2

이용자기업 감사인이 서비스조직에 대한 경험(예를 들어, 다른 감사업무에 대한 경험)을 통하여 얻은 지식은 서비스조직이 제공하는 서비스의 성격을 이해하는 데에도 도움이 될 수 있다. 해당 서비스와 이에 대한 서비스조직의 통제가 고도로 표준화된 경우에는 특히 그러하다.

서비스조직이 제공하는 서비스의 성격 (문단 9(a) 참조)

문단 A3

이용자기업은 거래를 처리하고 관련된 회계책임을 유지하기 위해, 또는 거래를 기록하고 관련 데이터를 처리하기 위해 서비스조직을 이용할 것이다. 그러한 서비스를 제공하는 서비스조직은 예를 들어, 종업원급여제도 등의 자산을 투자하고 관리하는 은행 신탁부서, 타인의 모기지를 관리하는 모기지 은행, 고객의 채무 및 영업거래 처리용 응용 패키지 소프트웨어 및 기술 환경을 제공하는 응용서비스 제공자 등이 포함될 것이다.

문단 A4

감사와 관련된 서비스조직의 서비스의 예는 다음과 같다.

이용자기업 회계기록의 유지

자산의 관리

이용자기업의 대리인으로서 거래의 개시, 기록 또는 처리

소규모기업에 특유한 고려사항

문단 A5

소규모기업은 특정거래 (예: 급여 원천세 납부)의 처리 및 회계기록의 유지부터 재무제표의 작성까지 다양한 범위의 외부 기장서비스를 이용할 수 있을 것이다. 재무제표를 작성할 때 이러한 서비스조직을 이용한다고 해서, 기업의 재무제표에 대한 소규모기업의 경영진(적절한 경우 지배기구 포함)의 책임이 경감되지는 아니한다.6) 6) 감사기준서 200 "독립된 감사인의 전반적인 목적 및 감사기준에 따른 감사의 수행" 문단 4, A4-A5

서비스조직에 의하여 처리되는 거래의 성격과 중요성 (문단 9(b) 참조)

문단 A6

서비스조직은 이용자기업의 내부통제에 영향을 미치는 정책과 절차를 수립할 수 있다. 이러한 정책과 절차는 적어도 부분적으로 이용자기업과는 물리적으로 또 그 운영에 있어 분리되어 있다. 이용자기업의 통제에 대한 서비스조직의 통제의 유의성은 서비스조직이 제공하는 서비스의 성격(서비스조직이 처리하는 이용자기업 거래의 성격과 중요성 포함)에 따라 다르다. 어떤 상황에서는, 서비스조직이 처리한 거래와 서비스조직이 영향을 주는 계정들이 이용자기업 재무제표에 중요하지 않은 것처럼 보일 수 있으나, 서비스조직이 처리한 거래의 성격이 유의적일 수도 있으므로 이용자기업 감사인은 해당 상황에서 그러한 통제에 대한 이해가 필요하다고 결정할 수도 있을 것이다.

서비스조직이 수행하는 활동과 이용자기업이 수행하는 활동간 상호작용의 정도 (문단 9(c) 참조)

문단 A7

이용자기업의 통제에 대한 서비스조직 통제의 유의성은 이용자기업이 수행하는 활동과 서비스조직이 수행하는 활동간 상호작용의 정도에 따라 다르다. 상호작용의 정도는, 서비스조직이 수행하는 처리활동에 대한 이용자기업의 효과적인 통제의 실행능력과 실행의지 정도와 관련이 있다. 예를 들어, 이용자기업이 거래를 승인하고 서비스조직이 회계처리를 하는 경우에는 이용자기업의 활동과 서비스조직의 활동 사이에는 고도의 상호작용이 존재한다. 이러한 상황에서, 이용자기업은 해당 거래에 대한 효과적인 통제를 실행하는 것이 실행가능할 것이다. 반면, 서비스조직이 이용자기업 거래의 개시 혹은 기록의 시작, 거래처리 및 회계를 행하는 경우에는, 이용자기업과 서비스조직간의 상호작용은 낮다. 이 같은 상황에서 이용자기업은 해당 거래에 대하여 효과적인 통제를 실행할 수 없거나, 실행하지 않기로 할 것이며, 서비스조직의 통제에 의존할 것이다.

이용자기업과 서비스조직간 관계의 성격 (문단 9(d) 참조)

문단 A8

이용자기업과 서비스조직간 계약서 또는 서비스수준 합의서에는 다음과 같은 사항들이 규정될 수 있다.

이용자기업에 제공될 정보 및 서비스조직이 수행하는 활동과 관련하여 거래 개시에 대한 책임

유지되어야 할 기록의 형태 또는 이들 기록에 대한 접근과 관련된 규제기관 요구사항의 적용

업무수행에 실패할 경우에 이용자기업에게 제공될 배상

서비스조직이 통제에 대한 보고서를 제공할지 여부, 만약 그렇다면 그 보고서가 유형 1 보고서일지 또는 유형 2 보고서일지 여부

이용자기업 감사인이 서비스조직이 유지하는 이용자기업의 회계기록 및 감사수행상 필요한 기타 정보에 접근할 수 있는 권리를 가지는지 여부

계약상 이용자기업 감사인과 서비스감사인 사이에 직접적인 커뮤니케이션을 허용하는지 여부

문단 A9

서비스조직과 이용자기업간에는 직접적인 관계가 있고 서비스조직과 서비스감사인간에도 직접적인 관계가 있다. 그러나 이들 관계가 반드시 이용자기업 감사인과 서비스감사인간의 직접적인 관계를 형성시키지는 아니한다. 이용자기업 감사인과 서비스감사인간에 직접적인 관계가 없는 경우 이용자기업 감사인과 서비스감사인간 커뮤니케이션은 일반적으로 이용자기업과 서비스조직을 통해서 이루어진다. 해당 윤리 및 비밀유지 관련 사항을 고려하여 이용자기업 감사인과 서비스감사인간에도 직접적인 관계가 이루어질 수 있을 것이다. 예를 들어 이용자기업 감사인은 자신을 대신하여 다음과 같은 절차를 수행하기 위해 서비스감사인을 활용할 수 있을 것이다.

(a)

서비스조직의 통제에 대한 통제테스트

(b)

서비스조직이 유지하고 있는 이용자기업 재무제표의 거래 및 계정잔액에 대한 실증절차

공공부문에 특유한 고려사항

문단 A10

공공부문 감사인은 일반적으로 법규에 의해 폭넓은 접근권한을 가질 것이다. 그러나 예를 들어, 서비스조직이 다른 국가에 위치하여 그러한 접근권한을 행사할 수 없는 상황이 있을 수 있다. 이 경우 공공부문 감사인은 적절한 접근권한을 얻을 수 있는지 결정하기 위하여, 다른 국가의 해당 법규를 이해할 필요가 있을 수도 있다. 또한 공공부문 감사인은, 이용자기업과 서비스조직 간의 계약을 통해 접근권한을 얻을 수도 있고 또는 해당 계약에 접근권한을 포함하도록 이용자기업에게 요청할 수도 있다.

문단 A11

또한 공공부문 감사인은 법규 또는 다른 권위있는 근거의 준수여부와 관련하여 통제테스트 또는 실증절차를 수행하기 위해, 타감사인의 업무를 활용할 수 있을 것이다.

서비스조직이 제공하는 서비스와 관련된 통제의 이해 (문단 10 참조)

문단 A12

서비스조직에 설치되어 있는 통제와 관계없이, 이용자기업 감사인이 테스트할 수 있고 관련 경영진주장의 일부 혹은 전부에 대하여 효과적으로 운영되고 있다고 이용자기업 감사인이 결론을 내리게 할 수도 있는, 서비스조직의 서비스에 대한 통제를 이용자기업이 수립할 수 있을 것이다. 예를 들어, 만약 이용자기업이 급여거래를 처리하기 위하여 서비스조직을 이용한다면 이용자기업은 중요한 왜곡표시를 예방하고 발견할 수 있도록 급여정보의 송부와 수령에 대한 통제를 수립할 수 있을 것이다. 이러한 통제에는 다음이 포함될 것이다.

서비스조직에 송부된 데이터와 해당 데이터가 처리된 후에 서비스조직으로부터 수령한 정보보고서와 비교함

급여금액 중 일정 표본에 대하여 계산이 정확한지 재계산하고 급여총액의 합리성을 검토함

문단 A13

이러한 상황에서 이용자기업 감사인은, 급여거래와 관련된 경영진주장에 대하여 해당 통제가 효과적으로 운영되고 있다고 결론을 내릴 수 있는 근거를 얻을 수 있도록 급여처리에 대한 이용자기업의 통제를 테스트할 수 있을 것이다.

문단 A14

감사기준서 315 7) 에서 설명한 바와 같이, 이용자기업 감사인은 어떤 위험에 대하여는 실증절차만으로 충분하고 적합한 감사증거를 입수하는 것이 가능하지 않거나 실행할 수 없다고 판단할 수 있다. 이러한 위험은 수작업이 거의 또는 전혀 개입되지 않는 자동적으로 처리되는 특성을 가진, 일상적인 유의적 거래유형 및 계정잔액을 부정확하고 불완전하게 기록하는 것과 관련될 것이다. 이와 같이 자동적으로 처리하는 특성은 특히 이용자기업이 서비스조직을 이용하는 경우에 나타날 수 있다. 그와 같은 경우에는, 해당 위험에 대한 이용자기업의 통제는 감사와 관련이 있으며 이용자기업 감사인은 문단 9와 10에 따라 그러한 통제를 이해하고 평가하여야 한다. 7) 감사기준서 315 문단 30

이용자기업으로부터 충분한 이해를 얻을 수 없는 경우의 추가 절차 (문단 12 참조)

문단 A15

이용자기업 감사인은 이용자기업이 서비스조직의 서비스를 이용하는 것과 관련하여 중요왜곡표시위험의 식별과 평가를 위한 근거를 제공하는 데 필요한 정보를 얻기 위하여, 개별적으로 또는 결합적으로 문단 12의 절차 중 어떤 절차를 취할지 결정할 때, 다음과 같은 사항의 영향을 받을 것이다.

이용자기업과 서비스조직의 규모

이용자기업 거래의 복잡성 및 서비스조직이 제공하는 서비스의 복잡성

서비스조직의 위치(예를 들어 서비스조직이 원격지에 위치하는 경우 이용자기업 감사인은 서비스조직에서 절차를 수행하기 위하여 타감사인의 업무를 활용하는 것을 결정할 것이다.)

해당 절차가 이용자기업 감사인에게 충분하고 적합한 감사증거를 효과적으로 제공할 것으로 기대되는지 여부

이용자기업과 서비스조직간 관계의 성격

문단 A16

서비스조직은 서비스감사인이 서비스조직 통제에 대한 기술 및 설계에 대한 보고서(유형 1 보고서) 또는 서비스조직 통제에 대한 기술, 설계 및 운영효과성에 대한 보고서(유형 2 보고서)를 하도록 계약할 수 있을 것이다. 유형 1 또는 유형 2 보고서는 한국공인회계사회가 제정한 서비스조직의 통제에 대한 인증업무기준에 따라 발행되거나 승인되거나 인정된 인정된 기준제정기구가 제정한 다른 기준들8) 에 따라 발행될 수 있다 (이러한 기준들은 유형 1 과 유형 2 보고서를 다른 명칭, 예를 들어 유형A 보고서와 유형B 보고서와 같은 명칭으로 구분하고 있을 수도 있다). 8) 국제감사인증기준위원회가 제정한 "서비스조직의 통제에 대한 인증업무기준(International Standard on Assurance Engagements (ISAE) 3402, Assurance Reports on Controls at a Service Organization)"과 미국회계사회가 제정한 서비스조직 통제에 대한 감사기준서 "서비스조직(SAS 70 Service Organization)"

문단 A17

유형 1 또는 유형 2 보고서의 이용가능성은 일반적으로 서비스조직과 이용자기업간의 계약에 서비스조직이 그러한 보고를 하도록 하는 조항이 포함되어 있는지에 따라 다를 것이다. 또한 서비스조직이 실무적인 이유로 이용자기업에 유형 1 또는 유형 2 보고서를 제공할 경우도 있을 것이다. 그러나 어떤 경우에는 유형 1 또는 유형 2 보고서가 이용자기업에 이용가능하지 않을 수 있다.

문단 A18

이용자기업은 경우에 따라 전체 세무계획, 규정준수, 재무와 회계, 콘트롤러 기능과 같은 유의적 사업단위나 기능의 일부나 다수를 특정 서비스조직 또는 여러 서비스조직들에게 아웃소싱할 수 있을 것이다. 이러한 상황에서 서비스조직의 통제에 대한 보고서가 이용가능하지 않다면, 이용자기업 감사인이 해당 서비스조직을 방문하는 것이 서비스조직의 통제를 이해하는 데 가장 효과적인 절차가 될 것이다. 이용자기업의 경영진과 서비스조직의 경영진은 직접적인 상호작용이 있을 것이기 때문이다.

문단 A19

서비스조직의 관련 통제에 대하여 필요한 정보를 제공할 절차를 수행하기 위하여 타감사인의 업무를 활용할 수도 있을 것이다. 만약 유형 1 또는 유형 2 보고서가 발행되었다면 서비스감사인은 해당 서비스조직과 기존의 관계를 가지고 있는 것이므로, 이용자기업 감사인은 이러한 절차를 수행하는 데 서비스감사인을 활용할 수 있을 것이다. 타감사인의 업무를 활용하는 이용자기업 감사인은 감사기준서 600 9) 의 지침이 유용하다는 것을 알 수 있을 것이다. 이 지침은 해당 감사인의 독립성과 전문가적 적격성 등 타감사인에 대한 이해, 그리고 감사업무의 성격, 시기 및 범위에 대한 계획을 수립하고 입수된 감사증거의 충분성과 적합성을 평가할 때 타감사인의 수행 업무에 대한 관여와 관련된 것이기 때문이다. 9) 감사기준서 600 "그룹재무제표 감사 – 부문감사인이 수행한 업무 등 특별 고려사항" 의 문단 2는 "이 감사기준서는 해당 상황의 필요에 맞도록 조정할 경우 감사인이 그룹재무제표가 아닌 재무제표의 감사에 타감사인을 참여시키는 경우에도 유용할 수 있다. …… "라고 기술한다. 감사기준서 600 의 문단 19도 참고.

문단 A20

이용자기업이 서비스조직을 이용할 때, 서비스조직은 이용자기업에게 재무보고와 관련된 이용자기업 정보시스템의 일부인 서비스를 제공하기 위하여 다시 그 서비스의 일부에 대하여 하위서비스조직을 이용할 수 있을 것이다. 이 하위서비스조직은 서비스조직과 별개일 수 있거나 관련이 있을 수 있다. 이용자기업 감사인은 하위서비스조직의 통제를 고려할 필요가 있을 수 있다. 하나 이상의 하위서비스조직이 이용되는 상황에서, 이용자기업이 수행하는 활동과 서비스조직이 수행하는 활동간의 상호작용은 이용자기업, 서비스조직 및 하위서비스조직간의 상호작용으로 확장된다. 서비스조직 및 하위서비스조직이 처리하는 거래의 성격과 중요성 외에, 이러한 상호작용의 정도는 서비스조직 및 하위서비스조직의 통제가 이용자기업의 통제에 미치는 유의성을 결정할 때 이용자기업 감사인이 고려하는 가장 중요한 요소이다.

서비스조직에 대한 이용자기업 감사인의 이해를 돕기 위한 유형 1 또는 유형 2 보고서의 이용 (문단 13-14 참조)

문단 A21

이용자기업 감사인은 서비스감사인의 전문직 단체 또는 다른 개업자에게 서비스감사인에 관하여 질문할 수 있을 것이다. 또 서비스감사인이 규제기관의 감독 대상인지도 질문할 수 있을 것이다. 서비스감사인은 서비스조직의 통제에 대한 보고서와 관련하여 상이한 기준을 준수하고 있는 국가에서 업무를 수행하고 있을 수 있는데, 이용자기업 감사인은 해당 기준제정기구로부터 서비스감사인이 적용하는 기준에 관한 정보를 입수할 수 있을 것이다.

문단 A22

이용자기업에 관한 정보와 함께 유형 1 또는 유형 2 보고서는 이용자기업 감사인이 다음 사항을 수행하는 데 도움이 될 수 있다.

(a)

이용자기업의 거래처리에 영향을 미칠 수 있는 서비스조직의 통제에 관한 측면(하위서비스조직의 이용을 포함)의 이해

(b)

이용자기업의 재무제표에 중요한 왜곡표시가 발생할 수도 있는 거래흐름상 지점을 결정하기 위해 서비스 조직 내에서의 유의적인 거래의 흐름의 이해

(c)

이용자기업의 재무제표 주장과 관련된 서비스조직의 통제 목적의 이해

(d)

이용자기업의 재무제표상 중요한 왜곡표시를 초래할 수 있는 처리상 오류에 대하여, 서비스조직의 통제가 이를 예방하거나 발견할 수 있도록 적절하게 설계 및 실행되고 있는지 여부의 이해

유형 1 또는 유형 2 보고서는 이용자기업 감사인이 중요왜곡표시위험을 식별하고 평가하기 위해 충분한 이해를 하는 데 도움을 줄 수 있다. 그러나 유형 1 보고서는 관련 통제의 운영효과성에 대한 증거를 제공하지 아니한다.

문단 A23

이용자기업의 보고기간을 벗어난 일자나 기간을 기준으로 한 유형 1 또는 유형 2 보고서는 다른 원천으로부터 나온 추가적인 현행의 정보에 의해 보충되는 경우 이용자기업 감사인이 서비스조직에서 실행된 통제를 예비적으로 이해하는 데 도움을 줄 수 있다. 만약 통제에 대한 서비스조직의 기술이 감사대상 기간의 개시일 이전의 일자나 기간을 기준으로 한 것이라면, 이용자기업 감사인은 유형 1 또는 유형 2 보고서의 정보를 갱신하기 위해 다음과 같은 절차를 수행할 수 있을 것이다.

서비스조직의 변동을 알고 있을 지위에 있는 이용자기업의 인원과 해당 변동내용을 논의

서비스조직이 발행한 최근의 문서와 왕복문서를 검토

서비스조직의 인원과 그러한 변화내용을 논의

평가된 중요왜곡표시위험에 대한 대응 (문단 15 참조)

문단 A24

서비스조직을 이용하는 것이 이용자기업의 중요왜곡표시위험을 증가시킬지 여부는 제공되는 서비스의 성격과 서비스에 대한 통제에 따라 다르다. 어떤 경우에는 서비스조직의 이용이 이용자기업의 중요왜곡표시위험을 감소시킬 수도 있을 것이다. 특히 이용자기업 자체에 특정 활동(예를 들어, 거래의 개시, 처리 및 기록)을 수행하기 위해 필요한 전문성이 없거나, 적절한 자원(예, 정보기술시스템)이 없을 경우에 그렇다.

문단 A25

서비스조직이 이용자기업의 중요한 회계기록 요소들을 유지하고 있는 경우, 이용자기업 감사인은 그러한 기록의 통제에 대한 운영에 대하여 충분하고 적합한 감사증거를 입수하거나 기록된 거래 및 계정잔액을 입증하기 위해서 이들 기록에 직접 접근하는 것이 필요할 수 있다. 이러한 접근에는 서비스조직의 기록에 대한 물리적인 검사 또는 이용자기업이나 타처에서 전자적으로 유지되는 기록들에 대한 조사가 포함될 수 있다. 직접적 접근이 전자적으로 이루어지는 경우 이용자기업 감사인은 서비스조직의 책임하에 있는 이용자기업 데이터의 완전성과 진실성에 대하여 서비스조직이 운영하는 통제의 적절성에 관한 증거를 입수할 수 있을 것이다.

문단 A26

이용자기업의 감사인은 서비스조직이 이용자기업을 대신하여 보유하고 있는 자산이나 대신 수행한 거래를 나타내는 계정잔액과 관련하여 입수할 감사증거의 성격과 범위를 결정할 때, 다음의 절차를 고려할 수 있다.

(a)

이용자기업이 보유하고 있는 기록과 문서에 대한 검사: 이와 같은 원천의 증거에 대한 신뢰성은 이용자기업이 보유하고 있는 회계기록과 증빙 문서의 성격과 범위에 의해 결정된다. 어떤 경우에는 이용자기업이 자신을 위해 수행한 특정거래에 대하여 독립적인 세부기록이나 문서를 유지하지 않을 수 있다.

(b)

서비스조직이 보유하고 있는 기록과 문서에 대한 검사: 이용자기업이 서비스조직의 기록에 접근하는 것은 이용자기업과 서비스조직간 계약의 일부로 이루어질 수 있다. 또한 이용자기업 감사인은 서비스조직이 유지하고 있는 이용자기업의 기록에 접근하기 위하여 타감사인을 대신 활용할 수도 있다.

(c)

계정잔액과 거래에 대하여 서비스조직으로부터 조회서 입수: 이용자기업이 계정잔액과 거래에 대하여 독립적인 기록을 유지하고 있는 경우, 이용자기업의 기록을 확인하여 주는 서비스조직으로부터 회신된 조회서는 해당 거래 및 자산의 존재에 대하여 신뢰성 있는 감사증거를 구성할 수 있을 것이다. 예를 들어 투자관리와 보관기능의 경우와 같이, 복수의 서비스조직을 이용하는 상황에서 이러한 서비스조직들이 독립적인 기록을 유지하고 있다면, 이용자기업 감사인은 이용자기업의 독립적인 기록과 비교하기 위하여 이들 서비스조직에 계정잔액을 조회할 수도 있다. 만약 이용자기업이 독립적인 기록을 유지하고 있지 않다면, 서비스조직 조회서에서 입수한 정보는 단지 서비스조직이 유지하고 있는 기록에 나타난 금액의 설명일 뿐이다. 따라서 이러한 조회서 만으로는 신뢰성 있는 감사증거를 형성하지 못한다. 이러한 상황의 경우, 이용자기업 감사인은 독립적 증거의 대체적 원천이 식별될 수 있는지 여부를 고려할 것이다.

(d)

이용자기업이 유지하고 있는 기록 또는 서비스조직으로부터 수령한 보고서에 대한 분석적절차 수행: 분석적절차의 효과성은 경영진주장에 따라 달라질 수 있고 이용가능한 정보의 범위와 세부수준에 영향을 받을 것이다.

문단 A27

타감사인은 이용자기업 감사인을 위하여 실증적 성격의 절차를 수행할 수 있을 것이다. 이러한 업무는 이용자기업-이용자기업 감사인간 및 서비스조직-서비스감사인간의 합의된 절차를 타감사인이 수행하는 것을 수반할 수 있다. 이용자기업 감사인은 타감사인이 수행한 절차에서 발견된 결과를 검토하여 그러한 내용이 충분하고 적합한 감사증거를 형성하는지 여부를 결정한다. 뿐만 아니라, 정부당국 또는 계약에 의해서 서비스감사인에게 실증적 성격의 지정된 절차를 수행하게 하는 요구사항이 있을 수 있다. 서비스조직이 처리하는 계정잔액과 거래에 대하여 요구되는 절차를 적용한 결과에 대하여는 이용자기업 감사인이 자신의 감사의견을 뒷받침하기 위해 필요한 감사증거의 일부로 이용할 수 있을 것이다. 이러한 상황에서는, 그 절차의 수행이전에 이용자기업 감사인과 서비스감사인이 이용자기업 감사인에게 제공할 감사문서 또는 감사문서의 접근에 합의하는 것이 유용할 것이다.

문단 A28

특히 이용자기업이 자신의 재무기능 중 일부 또는 전부를 서비스조직에 아웃소싱하는 경우, 이용자기업 감사인은 이용자기업 감사증거의 유의적 부분이 서비스조직에 존재하는 상황에 직면할 것이다. 이 결과 이용자기업 감사인 또는 그를 대신한 타감사인이 서비스조직에 대한 실증절차를 수행할 필요가 있을 수 있다. 서비스감사인은 유형 2 보고서를 제공하고 추가적으로 이용자기업 감사인을 대신하여 실증절차를 수행할 수도 있을 것이다. 타감사인이 관여하는 경우에도 이용자기업 감사인은 그 감사의견을 뒷받침하는 데 합리적인 근거를 제공하는 충분하고 적합한 감사증거를 입수할 책임에는 변화가 없다. 따라서, 이용자기업 감사인이 충분하고 적합한 감사증거가 입수되었는지 여부 그리고 후속 실증절차를 수행할 필요가 있는지 여부를 고려할 때에는, 타감사인이 수행한 실증절차의 지휘, 감독 및 수행의 관여 또는 이러한 활동의 증거에 대한 것도 포함된다.

통제테스트

문단 A29

이용자기업 감사인은 감사기준서 330 10) 에 따라 특정 상황에서 관련 통제의 운영효과성에 대한 충분하고 적절한 감사증거를 입수하기 위하여 통제테스트를 계획하고 수행할 것이 요구된다. 이 요구사항은 서비스조직에 대한 관점에서는 다음과 같은 경우에 적용된다.

(a)

이용자기업 감사인의 중요왜곡표시위험에 대한 평가에 서비스조직의 통제가 효과적으로 운영되고 있다는 기대가 포함되어 있음 (즉, 이용자기업 감사인이 실증절차의 성격, 시기 및 범위를 결정할 때 서비스조직 통제의 운영효과성에 의존하고자 할 때). 또는,

(b)

실증절차만으로는, 또는 실증절차와 더불어 이용자기업 통제의 운영효과성을 테스트하는 것만으로는 경영진주장에 대하여 충분하고 적합한 감사증거를 제공할 수 없음

  1. 감사기준서 330 문단 8
문단 A30

유형 2 보고서가 이용가능하지 않는 경우, 이용자기업 감사인은 이용자기업을 통하여 서비스조직과 접촉해서 서비스감사인에게 관련 통제의 운영효과성 테스트를 포함하는 유형 2 보고서를 제공하는 계약을 체결하도록 요청하거나, 타감사인의 업무를 활용하여 그러한 통제의 운영효과성에 대한 테스트 절차를 서비스조직에서 수행할 수 있을 것이다. 또한 서비스조직이 동의한다면, 이용자기업 감사인은 서비스조직을 방문하여 관련 통제테스트를 수행할 수도 있을 것이다. 이용자기업 감사인의 위험평가는 타감사인의 수행한 업무와 이용자기업 감사인 자신의 절차를 통하여 제공된 상호결합된 감사증거에 기초한다.

서비스조직 통제의 운영효과성에 대한 감사증거로서의 유형 2 보고서 이용 (문단 17 참조)

문단 A31

어떠한 유형 2 보고서는 몇몇 다른 이용자기업 감사인들의 필요를 충족시키 위해 발행된 것일 수 있다. 그러므로 서비스감사인의 감사보고서에 기술된 통제테스트 및 그 결과는 해당 감사대상 이용자기업 재무제표의 유의적 주장과 관련성이 없을 수 있다. 이용자기업 감사인은 서비스감사인의 감사보고서가 이용자기업 감사인의 위험평가를 뒷받침할 정도로 통제의 효과성에 대하여 충분하고 적합한 감사증거를 제공하고 있는지를 결정하기 위해, 관련 통제테스트와 그 결과를 평가하는 것이다. 이 경우 이용자기업 감사인은 다음의 요소를 고려할 수 있다.

(a)

통제테스트의 대상기간 및 통제테스트의 수행 후 경과된 기간

(b)

서비스감사인이 수행한 업무의 범위, 대상이 된 서비스와 절차, 테스트 대상 통제 및 수행된 테스트, 그리고 테스트 대상 통제가 이용자기업의 통제와 관계되는 방법

(c)

그러한 통제테스트의 결과 및 그러한 통제의 운영효과성에 대한 서비스감사인의 감사의견

문단 A32

어떤 경영진주장의 경우, 특정 테스트의 대상기간이 짧을수록 그리고 테스트의 수행 후 경과된 기간이 길수록, 해당 테스트가 제공하는 감사증거가 적을 것이다. 이용자기업의 재무보고기간과 유형 2 보고서의 대상기간을 비교할 때, 유형 2 보고서의 대상기간과 이용자기업 감사인이 그 보고서에 의존하는 대상기간이 거의 일치하지 않을 경우 이용자기업 감사인은 해당 보고서가 감사증거를 더 적게 제공한다고 결론을 내릴 것이다. 이 때, 그 이전 또는 이후의 기간을 대상으로 한 유형 2의 다른 보고서가 있다면 추가적인 감사증거를 제공할 수 있을 것이다. 경우에 따라서는, 이용자기업 감사인은 그러한 통제의 운영효과성에 관한 충분하고 적합한 감사증거를 입수하기 위하여 직접 또는 타감사인의 업무를 활용하여 서비스조직의 통제를 테스트하는 것이 필요하다고 결정할 것이다.

문단 A33

또한, 이용자기업 감사인은 유형 2 보고서의 대상기간이 아닌 기간에 서비스조직에서의 관련 통제의 유의적 변경에 관해 추가적인 증거를 입수하거나, 수행하여야 할 추가적인 감사절차를 결정하는 것이 필요할 수도 있다. 이용자기업 감사인은 서비스감사인의 감사보고서 대상기간 외의 기간에 운영되고 있었던 서비스조직의 통제에 관하여 어떠한 감사증거를 추가로 입수해야 하는지를 결정할 때, 다음 사항을 관련 요소에 포함시킬 수 있을 것이다.

경영진주장 수준의 평가된 중요왜곡표시위험의 유의성

기중에 테스트된 특정 통제, 해당 통제가 테스트된 후의 유의적 변경(정보시스템 및 처리절차 또는 인원의 변경 포함)

해당 통제의 운영효과성에 관한 감사증거가 입수된 정도

잔여기간의 길이

통제에 대한 의존에 기초하여 이용자기업 감사인이 추가 실증절차를 감소하고자 하는 정도

이용자기업의 통제환경과 통제모니터링의 효과성

문단 A34

예를 들어, 통제테스트를 잔여기간까지 확대하거나 이용자기업의 통제모니터링을 테스트하면 추가적인 감사증거가 입수될 수 있을 것이다.

문단 A35

서비스감사인의 테스트 대상기간이 이용자기업의 재무보고기간을 완전히 벗어나는 경우, 이용자기업 감사인은 이용자기업의 통제에 대하여 운영효과성이 있다고 결론 내리는 데 그러한 테스트를 의존할 수는 없을 것이다. 다른 절차가 수행되지 않는한 이는 통제의 효과성에 관한 당기의 감사증거를 제공하지 않기 때문이다.

문단 A36

상황에 따라 서비스조직은 이용자기업이 특정의 통제를 실행할 것이라는 가정하에 특정의 서비스를 설계할 것이다. 예를 들어, 어떤 거래가 서비스조직의 처리를 위하여 전달되기 전에 이용자기업이 거래에 대한 승인통제를 갖출 것이라는 가정하에 서비스가 설계될 수 있다. 이러한 상황에서는 통제에 대한 서비스조직의 기술서에는 보충적인 이용자기업 통제에 대한 기술이 포함될 것이다. 이용자기업 감사인은 그러한 보충적인 이용자기업 통제가 이용자기업에게 제공되는 서비스와 관련성이 있는지 여부를 고려한다.

문단 A37

이용자기업 감사인은 서비스감사인의 감사보고서가 충분하고 적합한 감사증거를 제공하지 않는다고 믿는 경우(예를 들어, 서비스감사인의 감사보고서가 서비스감사인의 통제테스트 및 그 결과에 대한 기술을 포함하지 않는 경우), 이용자기업을 통해 서비스조직과 접촉하여 서비스감사인이 수행한 업무의 범위 및 결과에 대하여 서비스감사인과 토의를 요청함으로써 서비스감사인이 수행한 절차와 결론에 대한 이해를 보충할 수 있을 것이다. 또 이용자기업 감사인이 필요하다고 믿으면, 이용자기업을 통해 서비스조직과 접촉하여 서비스감사인이 서비스조직에서의 절차를 수행하도록 요청할 수 있다. 이와 달리 이용자기업 감사인은 스스로가 이러한 절차를 수행하거나 이용자기업의 요청에 따른 타감사인이 이러한 절차를 수행하게 할 수도 있을 것이다.

문단 A38

서비스감사인의 유형 2 보고서에는 이용자기업 감사인의 결론에 영향을 미칠 수 있는 예외사항 및 기타 정보 등 테스트 결과가 식별되어 있다. 서비스감사인이 예외사항을 지적하였거나 유형 2 보고서에 변형의견을 표명한 것이, 중요왜곡표시위험을 평가할 때 곧 해당 유형 2 보고서가 이용자기업의 재무제표감사에 도움이 되지 않을 것이라고 자동적으로 의미하는 것은 아니다. 오히려 예외사항이나 서비스감사인의 유형 2 보고서상 변형의견을 초래한 사항들은 이용자기업 감사인이 서비스감사인이 수행한 통제테스트를 평가할 때 고려사항이 된다. 이용자기업 감사인은 이러한 예외사항과 변형의견을 초래한 사항들을 고려할 때 이를 서비스감사인과 논의할 수 있을 것이다. 이용자기업이 서비스조직과 접촉하여 서비스조직으로부터 해당 커뮤니케이션의 승인을 얻을지 여부에 따라 그러한 커뮤니케이션이 달라진다.

감사 중 식별된 내부통제 미비점에 대한 커뮤니케이션

문단 A39

이용자기업 감사인은 경영진 및 지배기구 모두에게 감사 중 식별된 유의적 미비점을 적시에 서면으로 커뮤니케이션하도록 요구된다.11) 또한 이용자기업 감사인은 전문가적 판단에 따라 경영진의 주의를 요할 만큼 충분히 중요하다고 판단되는 내부통제의 다른 미비점에 대하여도 적합한 수준의 책임이 있는 경영진과 커뮤니케이션하도록 요구된다.12) 이용자기업 감사인이 감사 과정에서 식별하여 이용자기업의 경영진 및 지배기구와 커뮤니케이션할 수 있는 사항에는 다음이 포함된다.

이용자기업이 실행할 수 있는 통제(유형 1 또는 유형 2 보고서를 입수한 결과 식별된 통제 포함)의 모니터링

보충적인 이용자기업 통제가 유형 1 또는 유형 2 보고서에 기술되어 있으나 이용자기업에 의해 실행되고 있지 않는 경우

필요하다고 판단되지만 서비스조직이 실행하고 있지 않은 것으로 보이거나 유형 2 보고서에서 구체적으로 다루고 있지 않은 통제

  1. 감사기준서 265 "내부통제 미비점에 대한 지배기구와 경영진과의 커뮤니케이션" 문단 9-10
  2. 감사기준서 265 문단 10

하위서비스조직의 서비스가 제외된 유형 1 과 유형 2 보고서 (문단 18 참조)

문단 A40

서비스조직이 하위서비스조직을 이용하는 경우, 서비스감사인의 감사보고서에는 서비스조직 시스템에 대한 서비스조직의 기술서 및 서비스감사인의 업무 범위에 하위서비스조직의 관련된 통제목적과 관련 통제가 포함될 수도 있고 제외할 수도 있다. 이들 보고방법은 각각 포괄법(the inclusive method)과 분할법(the carve-out method)으로 알려져 있다. 만약 유형 1 또는 유형 2 보고서가 하위서비스조직의 통제를 제외하고 있고 하위서비스조직이 제공하는 서비스가 이용자기업 재무제표감사와 관련성이 있다면, 이용자기업 감사인은 하위서비스조직에 대하여 이 감사기준서의 요구사항을 적용하여야 한다. 이용자기업 감사인이 하위서비스조직의 제공서비스에 관하여 수행할 업무의 성격과 범위는 해당 서비스의 이용자기업에 대한 성격과 그 유의성, 그리고 감사와의 관련성에 따라 다르다. 문단 9의 요구사항을 적용하면 이용자기업 감사인이 하위서비스조직의 영향 및 수행할 업무의 성격과 범위를 결정할 때 도움이 된다.

서비스조직이 수행하는 활동과 관련된 부정, 법규위반 및 미수정왜곡표시 (문단 19 참조)

문단 A41

서비스조직은 이용자기업들과의 계약조건에 근거하여 서비스조직의 경영진이나 종업원에 귀속되는 부정, 법규위반 및 미수정왜곡표시에 대하여 그 영향을 받는 해당 이용자기업에게 공시하도록 요구될 수 있다. 문단 19의 요구사항과 같이, 이용자기업 감사인은 이용자기업 경영진에게 서비스조직이 그러한 사항들을 보고하였는지 여부에 대하여 질문하고, 서비스조직의 보고사항들이 이용자기업 감사인의 추가감사절차의 성격, 시기 및 범위에 영향을 미치는지 여부를 평가한다. 상황에 따라 이용자기업 감사인은 이러한 평가를 수행하기 위해 추가적인 정보를 요구할 수 있으며 이용자기업에게 서비스조직과 접촉하여 필요한 정보를 입수하도록 요청할 수 있다.

이용자기업 감사인의 보고 (문단 20 참조)

문단 A42

서비스조직이 제공한 이용자기업의 재무제표감사와 관련성이 있는 서비스에 대하여 이용자기업 감사인이 충분하고 적합한 감사증거를 입수할 수 없으면, 감사범위의 제한이 존재한다. 다음과 같은 경우가 이에 해당될 것이다.

이용자기업 감사인이 서비스조직이 제공한 서비스에 대하여 충분하게 이해할 수 없으며, 중요왜곡표시위험을 식별하고 평가할 근거를 가지고 있지 않음

이용자기업의 위험에 대한 평가에는 서비스조직의 통제가 효과적으로 운영되고 있다는 기대가 포함되어 있으며, 이용자기업 감사인은 그러한 통제의 운영효과성에 관한 충분하고 적합한 감사증거를 입수할 수 없음

충분하고 적합한 감사증거는 오직 서비스조직이 보유하고 있는 기록에서만 입수가능하며, 이용자기업 감사인은 그러한 기록에 대하여 직접 접근할 수 없음

이용자기업 감사인이 한정의견을 표명할 것인지 또는 의견을 거절할 것인지 여부는 재무제표에 미칠 영향이 중요하거나 전반적인지 여부에 대한 이용자기업 감사인의 결론에 따라 달라진다.

서비스감사인이 수행한 업무에 대한 언급 (문단 21-22 참조)

문단 A43

어떤 경우에는, 예를 들어 공공부문의 투명성 목적을 위하여, 법규가 서비스감사인이 수행한 업무를 이용자기업 감사보고서에 언급하도록 요구할 수 있다. 이 경우 이용자기업 감사인은 그러한 언급을 하기 전에 서비스감사인의 동의를 받을 필요가 있을 것이다.

문단 A44

이용자기업이 서비스조직을 이용하고 있다고 해도, 이용자기업 감사인은 그 의견을 뒷받침할 합리적 근거를 제공하는 충분하고 적합한 감사증거를 입수해야하는 감사기준에 따른 책임이 변경되지는 아니한다. 그러므로 이용자기업 감사인은 서비스감사인의 감사보고서를 이용자기업의 재무제표에 대한 감사의견에 대한 근거로 언급하지 아니하는 것이다. 그러나 이용자기업 감사인이 서비스감사인의 감사보고서의 변형의견 때문에 자신이 변형의견을 표명할 때는, 그러한 언급이 이용자기업 감사인의 변형의견의 이유를 설명하는 데 도움이 된다면 서비스감사인의 감사보고서를 언급하는 것이 배제되지 아니한다. 이 경우, 이용자기업 감사인은 그러한 언급을 하기 전에 서비스감사인의 동의를 받을 필요가 있을 것이다.

이 주제에 대해 더 궁금한 점이 있으신가요?

실무 적용, 회계처리 판단 등 구체적인 사안은 이메일로 문의해 주세요.

이메일로 문의하기

AuditGuide|외부감사가 처음인 회사를 위한 공인회계사 무료 상담

바로가기 →