ISAE 3402 통제 매트릭스 구축 방법: 검토를 통과하는 파일의 핵심 구조

이 글에서 배울 내용

통제 매트릭스가 필요한 이유

매트릭스의 필수 구성 요소

효과적인 통제 매트릭스는 다음 열을 포함해야 합니다:
통제 활동 설명: 서비스 조직에서 실제로 수행하는 활동을 구체적으로 기술합니다. "관리자가 검토한다"가 아니라 "재무팀장이 매월 말일 전체 계정 잔액을 Excel로 재계산하고 차이 발생 시 원인을 조사한 후 서면으로 승인한다"로 씁니다.
통제 목표 연결: 각 통제가 어떤 통제 목표를 달성하는지 명시합니다. 한 통제가 여러 목표에 기여할 수 있습니다.
핵심/비핵심 분류: ISAE 3402.26의 정의에 따라 분류하고 근거를 기재합니다. 모호한 분류는 감리에서 가장 자주 지적되는 항목입니다.
테스트 방법: 질문(inquiry), 관찰(observation), 검사(inspection), 재수행(reperformance) 중 사용한 방법을 명시합니다. 통제의 성격에 따라 적절한 테스트 방법이 달라집니다.
표본 선정: 테스트한 항목 수와 선정 방법을 기록합니다. ISAE 3402.A65는 업무수행자가 표본 선정 시 통제 빈도, 위험도, 기타 관련 요소를 고려해야 한다고 규정합니다.
예외사항: 발견된 결함과 그 영향을 기록합니다. 예외가 없어도 "예외 없음"이라고 명시합니다.

실무 적용: 한국산업물류 주식회사

한국산업물류 주식회사는 전자상거래 기업에 주문 처리 서비스를 제공합니다. 연간 매출 850억 원 규모로 22개 통제 목표를 가지고 있습니다. 다음은 매출 처리 관련 통제 매트릭스의 일부입니다:
통제 활동: 영업팀장이 매일 오후 5시 전체 주문의 고객 신용한도 초과 여부를 ERP 시스템에서 확인하고, 초과 건에 대해서는 재무팀과 협의 후 승인/거부를 결정한다.
통제 목표: CO3 - 유효하지 않은 거래의 처리 방지
핵심/비핵심: 핵심 통제 - 이 통제가 실패하면 회수 불가능한 매출이 기록될 수 있으며, 다른 보완 통제가 없음
테스트 방법: 질문 및 검사 - 영업팀장 인터뷰, 20개 영업일 신용한도 검토 보고서 확인
표본: 20개 영업일 (모집단: 245개 영업일)
예외사항: 3월 15일 검토가 오후 6시 30분에 수행됨. 해당일 신용한도 초과 건 없었음. - 타이밍 결함이지만 통제 목표에 미치는 영향 없음
결론: 설계상 적절하고 운영상 효과적임
매트릭스 작성 시 각 통제마다 이런 수준의 구체성이 필요합니다. 일반적 표현은 검토자가 받아들이지 않습니다.

실무 체크리스트

• 매트릭스에 모든 기술된 통제가 포함되어 있는지 확인 - ISAE 3402.35(b)에 따라 빠진 통제가 있으면 안 됩니다
• 핵심/비핵심 분류에 대한 근거를 각각 기재 - "이 통제가 실패하면 어떤 일이 발생하는가"에 답해야 합니다
• 테스트 방법이 통제의 성격과 일치하는지 점검 - 자동화된 통제는 재수행, 수작업 통제는 관찰이 적절합니다
• 모든 예외사항의 통제 목표에 대한 영향을 평가 - "예외 있지만 영향 없음"은 근거 없이 쓸 수 없습니다
• 표본 크기가 통제 빈도와 위험도를 고려했는지 확인 - 일일 통제를 5개만 테스트하면 부족할 수 있습니다
• 매트릭스의 결론이 보고서 의견과 일관되는지 검증 - 핵심 통제에 중요한 결함이 있으면 한정의견을 고려해야 합니다

일반적인 실수

• 통제 분류가 주관적이거나 근거 없음. 감리에서 "왜 이 통제가 핵심입니까"라는 질문에 답할 수 있어야 합니다.
• 예외사항의 영향 평가가 부실함. 모든 예외를 "중요하지 않음"으로 처리하면 검토자가 의심합니다.
• 테스트 방법과 통제 유형의 불일치. IT 자동화 통제를 질문으로만 테스트하거나 수작업 통제를 시스템 로그로만 확인하는 경우입니다.

관련 자료

• ISAE 3402 체크리스트 - 전체 업무 과정에서 확인해야 할 필수 사항들
• 내부통제 용어집 - 통제 활동의 정의와 분류 기준
• 서비스 감사인의 보고 요구사항 - 매트릭스 결과를 보고서에 반영하는 방법