연속감사와 연속모니터링 설명: 외부감사인이 알아야 할 사항

연속감사와 연속모니터링의 정의

연속감사란 무엇인가

연속감사는 분기 말에 몰아서 하는 표본 감사가 아니다. 연 단위로 샘플을 뽑아 검증하는 전통적 실증절차와도 다르다. 실시간 또는 준실시간으로 데이터를 분석해 거래의 정확성, 완전성, 권한부여, 기간귀속을 테스트하는 자동화된 감사 방법론이다. ISA 500.A14는 자동화된 도구로 생성된 정보를 감사증거로 쓸 수 있다고 명시하되, 해당 도구의 정확성과 완전성 평가를 요구한다.

연속감사는 세 가지가 아니라 네 가지 요소로 구성된다. 실시간 데이터 추출, 사전 정의된 감사 규칙 적용, 예외사항의 즉시 보고, 그리고 예외 처리 결과의 피드백 루프. 예를 들어 시스템이 100만 원을 초과하는 모든 구매 거래에서 3단계 승인이 빠진 건을 실시간으로 집어낸다. 현장에서는 "조서 닦을 분량이 줄어드는 것처럼 보이지만, IT 일반통제 테스트 부담이 그만큼 넘어온다"는 표현이 더 정확하다.

연속모니터링과의 차이점

연속모니터링은 감사인이 하는 것이 아니다. 경영진이 내부통제의 설계와 운영 효과성을 지속적으로 평가하는 프로세스다. ISA 315.26은 감사인이 내부통제에 대한 이해를 얻어야 한다고 요구하며, 여기에는 경영진이 내부통제를 모니터링하는 방법이 포함된다.

두 개념의 핵심 차이는 목적과 수행 주체다. 연속감사는 독립적 보증이 목적이고 감사인이 수행한다. 연속모니터링은 경영 목적이고 경영진이 수행한다. 실무적으로는 두 개념이 겹치는 경우가 많다. 경영진의 연속모니터링 시스템이 뱉어내는 데이터를 외부감사인이 연속감사 증거로 가져다 쓰는 구조이기 때문이다.

외부감사에 미치는 영향

위험평가 단계에서의 고려사항

ISA 315.13은 감사인이 내부통제에 대한 이해를 얻기 위해 통제환경, 위험평가 프로세스, 정보시스템, 통제활동, 모니터링을 이해해야 한다고 명시한다. 클라이언트가 연속모니터링을 구현했다면 이는 모니터링 요소의 핵심이 된다.

연속모니터링 시스템을 평가할 때는 네 가지 질문을 던진다. 시스템이 모니터링하는 통제는 무엇인가. 예외사항 감지 기준이 적절한가. 감지된 예외에 대한 후속 조치 프로세스가 존재하는가. 시스템 자체에 대한 IT 일반통제가 효과적으로 운영되는가.

실증절차에서의 활용

ISA 330.8은 감사인이 실증절차를 설계할 때 위험의 성격을 고려하라고 요구한다. 연속감사 시스템이 특정 위험을 제대로 다룬다면 해당 영역에서 전통적 표본감사의 규모를 줄일 수 있다.

단 ISA 500.9는 감사증거의 충분성과 적합성을 평가하라고 요구한다. 연속감사 결과를 가져다 쓸 때는 시스템의 로직이 정확한지, 데이터 추출이 완전한지, 예외사항 보고가 실시간으로 이뤄지는지 검증해야 한다. 100% 전수조사라고 해서 자동으로 충분한 증거가 되는 것은 아니다. 필자도 로컬 법인 시절에 "전수라 OK"로 조서를 닦았다가 품관실에서 "샘플링 리스크는 없애도 통제 리스크는 남는다"는 코멘트로 되돌아온 경험이 있다.

실무 적용 사례

경원제조 주식회사 사례

경원제조는 연 매출 850억 원의 자동차 부품 제조업체다. 2024년부터 ERP 시스템에 연속감사 모듈을 도입해 모든 구매 거래를 실시간으로 모니터링한다.

1단계: 연속모니터링 시스템 이해 ISA 315.13에 따라 클라이언트의 모니터링 활동을 문서화한다. 경원제조의 시스템은 다음 통제를 실시간으로 모니터링한다: 3-way matching(구매주문서-입고서-세금계산서), 승인 한도 준수, 중복 지급 방지, 공급업체 마스터 변경사항 추적.

2단계: IT 일반통제 테스트 ISA 315.20에 따라 정보시스템의 신뢰성을 평가한다. 시스템 접근 권한, 프로그램 변경 통제, 데이터 백업 및 복구 절차를 테스트해 연속모니터링 시스템 자체의 통제 위험을 평가한다.

3단계: 연속감사 결과 검토 2024년 1-9월간 시스템이 감지한 예외사항 2,847건을 분석한다. 이 중 승인 한도 초과 124건, 3-way matching 실패 89건, 중복 지급 시도 12건을 확인한다. 각 예외사항에 대한 경영진의 후속 조치를 검토한다.

4단계: 표본감사 범위 조정 ISA 530.5에 따라 표본 크기를 결정할 때 연속감사 결과를 고려한다. 통제 위험이 낮다고 평가된 영역에서는 표본 크기를 30% 축소하되, 시스템이 다루지 않는 위험(예: 관련 당사자 거래, 추정의 합리성)에 대해서는 기존 감사 절차를 유지한다.

경원제조의 연속감사 시스템은 구매 사이클의 통제 위험을 상당히 감소시켰고, 감사팀은 해당 영역의 세부 테스트를 줄이고 다른 위험 영역에 자원을 더 배분할 수 있었다.

실무 체크리스트

1. 연속모니터링 시스템 문서화: ISA 315.13에 따라 클라이언트가 구현한 연속모니터링의 범위, 빈도, 보고 체계를 파악한다. 시스템이 모니터링하는 통제 목록과 예외 감지 기준을 확보한다.

2. IT 일반통제 평가: 연속감사 시스템 자체의 신뢰성을 확인한다. 프로그램 변경 통제, 접근 권한 관리, 데이터 백업이 제대로 운영되는지 ISA 315.20에 따라 테스트한다.

3. 예외사항 처리 프로세스 검토: 시스템이 감지한 예외에 대한 경영진의 대응을 평가한다. 적시성, 적절성, 문서화 수준을 확인하고 ISA 265에 따라 중요한 미비점이 있는지 판단한다.

4. 감사증거 충분성 평가: ISA 500.6에 따라 연속감사 결과의 신뢰성과 목적적합성을 평가한다. 100% 테스트라고 해서 자동으로 충분한 증거가 되는 것은 아니다.

5. 표본감사와의 균형 유지: ISA 330.23에 따라 연속감사가 다루지 않는 위험 영역을 식별한다. 추정, 공시, 관련 당사자 거래 등에서는 여전히 전통적 감사 절차가 필요하다.

6. 가장 중요한 점: 연속감사는 감사 효율성을 높일 수 있으나 감사인의 전문가적 판단을 대체하지 않는다. 시즌에 쫓겨 시스템 결과만 붙여 조서를 마감하면, 감리에서 가장 먼저 걸리는 지점이 된다.

흔한 실수들

- 시스템 의존도 과다: 연속감사 시스템 결과를 맹신해 기본적 검증 절차를 생략하는 경우가 있다. ISA 500.9는 모든 감사증거에 대해 충분성과 적합성을 평가하라고 요구한다.

- IT 일반통제 소홀: 연속감사 결과에만 집중하고 시스템 자체의 통제를 간과하는 경우다. 금감원 감리 결과에 따르면 IT 의존 감사에서 가장 빈번한 지적 사항이 IT 일반통제의 부적절한 테스트다. 금감원 표현으로는 "충분·적합한 감사증거 확보가 미흡한 것으로 확인되었습니다"인데, 실무에서 이게 의미하는 것은 하나다. 조서가 너무 얇다. 이 상태로 감리 나오면 바로 걸린다.

- 범위 제한 간과: 연속감사가 모든 감사 위험을 다룬다는 가정이 오류다. 대부분의 시스템은 거래 수준 통제에 집중하며 추정이나 공시 같은 영역은 여전히 전통적 감사 절차가 필요하다.