클라우드 회계 시스템은 전통적인 온프레미스 시스템과 근본적으로 다른 통제 구조를 갖습니다. ISA 315.13은 감사인이 내부통제에 대한 이해를 얻어야 한다고 요구하며, 이는 클라우드 환경에서 세 가지 통제 계층을 포함합니다. 첫 번째 계층은 엔터티 수준 통제입니다. 경영진이 누구에게 시스템 접근권한을 부여하는지, 어떻게 권한을 관리하는지, 얼마나 자주 접근권한을 검토하는지에 관한 정책입니다.

클라우드 회계가 IT 통제 환경에 미치는 영향

클라우드 회계 시스템은 전통적인 온프레미스 시스템과 근본적으로 다른 통제 구조를 갖습니다. ISA 315.13은 감사인이 내부통제에 대한 이해를 얻어야 한다고 요구하며, 이는 클라우드 환경에서 세 가지 통제 계층을 포함합니다.
첫 번째 계층은 엔터티 수준 통제입니다. 경영진이 누구에게 시스템 접근권한을 부여하는지, 어떻게 권한을 관리하는지, 얼마나 자주 접근권한을 검토하는지에 관한 정책입니다. 두 번째 계층은 애플리케이션 통제입니다. 클라우드 회계 소프트웨어 자체의 통제로, 데이터 입력 검증, 자동 승인 워크플로, 분개 입력 제한 등을 포함합니다.
세 번째 계층은 클라우드 서비스 제공업체의 통제입니다. 여기서 대부분의 팀이 막힙니다. AWS나 Microsoft Azure의 물리적 보안은 어떻게 평가하나요? 데이터센터의 접근통제는 어떻게 테스트하나요?
ISA 315.A69는 서비스 조직의 통제가 기업의 재무제표와 관련이 있을 때 감사인이 이를 고려해야 한다고 규정합니다. 클라우드 환경에서는 이것이 항상 해당됩니다. 클라이언트의 총계정원장이 제3자의 인프라에 저장되기 때문입니다.

클라우드 환경에서 위험 식별과 평가

ISA 315.20은 감사인이 중요한 왜곡표시의 위험을 식별하고 평가하도록 요구합니다. 클라우드 회계에서 이는 네 가지 특별한 위험 영역을 검토하는 것을 의미합니다.
데이터 접근성 위험이 첫 번째입니다. 온프레미스 시스템에서는 서버가 다운되면 물리적으로 확인할 수 있습니다. 클라우드에서는 인터넷 연결이 끊어지거나 서비스 제공업체에 문제가 생기면 완전히 차단됩니다. ISA 315.A131에 따라 이는 비즈니스 프로세스와 관련된 위험으로 평가되어야 합니다.
데이터 완전성 위험이 두 번째입니다. 클라우드 시스템은 자동 백업을 제공하지만, 백업된 데이터가 온전한지 확인하는 것은 다른 문제입니다. 특히 여러 사용자가 동시에 데이터를 입력할 때 동시성 제어가 올바르게 작동하는지 확인해야 합니다.
권한 관리 위험이 세 번째입니다. 클라우드 시스템은 언제 어디서나 접근할 수 있어 편리하지만, 이는 동시에 더 많은 접근점을 의미합니다. 모바일 앱, 웹 브라우저, API 연결 각각이 잠재적인 보안 취약점입니다.
공급업체 의존 위험이 네 번째입니다. 클라우드 서비스 제공업체가 사업을 중단하거나, 서비스 조건을 변경하거나, 보안 침해를 당할 경우 클라이언트에게 직접적인 영향을 미칩니다.

실무 적용 예시: 한국금속산업(주)의 클라우드 전환 감사

한국금속산업주식회사는 연매출 850억 원의 철강 부품 제조업체로, 2024년에 기존 ERP에서 Sage Intacct 클라우드 시스템으로 전환했습니다. 전환 첫 해 감사에서 다음과 같은 절차를 수행했습니다.
1단계: 시스템 이해 및 통제 환경 평가
2단계: 서비스 조직 통제 평가
3단계: 데이터 완전성 테스트
4단계: 접근 통제 테스트
결과: 클라우드 전환으로 인한 중요한 통제 미비사항은 발견되지 않았으나, 데이터 백업 복원 테스트가 6개월간 수행되지 않은 점을 경미한 권고사항으로 제기했습니다.

  • 문서화: 클라우드 시스템 아키텍처 다이어그램과 데이터 흐름도를 W/P A-15에 포함
  • Sage Intacct의 역할 기반 접근 통제 매트릭스 검토
  • 문서화: 현재 사용자 목록과 각 사용자의 권한 수준을 W/P IT-01에 기록
  • Sage의 SOC 2 Type II 보고서 입수 및 검토
  • 문서화: SOC 2 보고서의 관련 통제 영역과 감사 의견을 W/P IT-02에 요약
  • 클라이언트 적용 통제(complementary user entity controls) 식별
  • 문서화: 클라이언트가 구현해야 하는 보완 통제 목록을 W/P IT-03에 작성
  • 2024년 1월 1일부터 12월 31일까지 모든 분개 엔트리 추출
  • 문서화: 추출된 총 8,247건의 분개 중 시스템 생성 번호의 연속성을 W/P IT-04에서 확인
  • 월별 시산표와 총계정원장 잔액 비교
  • 문서화: 12개월 모든 월에서 불일치 0건 확인을 W/P IT-05에 기록
  • 연중 신규 입사자 3명과 퇴사자 2명의 시스템 접근 권한 변경 확인
  • 문서화: HR 기록과 시스템 로그의 일치 여부를 W/P IT-06에서 입증
  • 관리자 권한을 가진 사용자 5명에 대해 월별 접근 로그 샘플링
  • 문서화: 비정상 시간대 로그인 0건, 권한 남용 사례 0건을 W/P IT-07에 확인

클라우드 감사를 위한 실무 체크리스트

  • 계획 단계에서 클라우드 서비스 제공업체 정보 수집 - 클라이언트가 사용하는 모든 클라우드 서비스(회계 소프트웨어, 급여 시스템, CRM 등)를 문서화하고 각각의 SOC 보고서 가용성을 확인합니다.
  • 접근 통제 매트릭스 작성 - 누가 어떤 모듈에 접근할 수 있는지, 어떤 거래를 승인할 수 있는지를 역할별로 정리합니다. ISA 315.21이 요구하는 통제 이해의 핵심입니다.
  • 시스템 생성 보고서의 완전성 확인 - 클라우드 시스템에서 추출한 모든 보고서에 대해 ISA 500.A35에 따른 완전성과 정확성 테스트를 수행합니다.
  • 데이터 백업 및 복원 절차 테스트 - 최소 연 1회 백업 복원 테스트가 수행되었는지 확인하고, 복원된 데이터의 완전성을 검증합니다.
  • 클라우드 서비스 중단 대응 계획 검토 - 서비스 장애 시 비즈니스 연속성 계획이 있는지, 대체 접근 방법이 마련되어 있는지 확인합니다.
  • 가장 중요한 점: 클라우드라고 해서 감사 책임이 줄어들지 않습니다 - 데이터가 어디에 있든 감사인은 ISA 500에 따라 충분하고 적절한 감사 증거를 확보해야 합니다.

자주 발생하는 실수

SOC 2 보고서만으로 충분하다고 가정 - SOC 2는 서비스 조직의 통제를 다루지만, 클라이언트의 사용자 통제는 별도로 테스트해야 합니다.
클라우드 시스템의 자동 승인을 통제 테스트 없이 신뢰 - 자동화된 통제라도 ISA 330.10에 따라 운영 효과성을 테스트해야 합니다.

관련 자료

실무 감사 인사이트를 매주 받아보세요.

시험 이론이 아닙니다. 감사를 빠르게 만드는 실질적인 내용입니다.

290개 이상의 가이드 게시20개 무료 도구현직 감사인이 구축

스팸 없음. 저희는 감사인이지 마케터가 아닙니다.