내부통제 이해의 법적 근거

KSA 315.13은 감사인이 다음 내부통제 요소를 이해하고 문서화하도록 요구한다.

1. 통제환경 2. 기업의 위험평가 프로세스 3. 정보시스템과 의사소통 4. 통제활동 5. 모니터링 활동

감사인은 왜곡표시위험을 식별하고 평가하기 위해 내부통제의 설계 효과성을 평가해야 한다. KSA 315.A76은 통제의 설계 효과성이 "통제가 중요한 왜곡표시를 방지하거나 발견하고 시정할 수 있는지"를 의미한다고 명시한다.

문서화 수준의 판단

KSA 315.22는 내부통제의 이해를 "감사팀 구성원이 중요한 왜곡표시의 위험을 식별하고 평가할 수 있을 만큼 충분히" 문서화하도록 요구한다. 절대적 기준이 아니라 상대적 기준이다.

소규모 기업이라면 KSA 315.A180에 따라 통제가 단순할 수 있으며 광범위한 문서화가 불필요할 수 있다. 반면 복잡한 IT 환경을 가진 기업에서는 조서 분량이 상당해진다. 제 경험상 SAP를 쓰는 중견기업과 수기 장부를 쓰는 소기업의 문서화 분량 차이는 4배 이상이었다.

문서화 방법론

업무흐름도와 서술형 설명의 선택

KSA 315.A181은 문서화 방법을 명시적으로 규정하지 않는다. 실무에서는 두 가지 접근법이 쓰인다.

거래의 흐름이 복잡하고 여러 부서를 거치거나 시스템 간 인터페이스가 다수 존재하면 업무흐름도가 낫다. 통제 절차가 단순하고 판단 기준이나 예외 처리 과정을 강조해야 하면 서술형 설명이 적합하다. 소규모 기업의 수작업 통제라면 업무흐름도를 그리는 시간이 아깝다. 서술형으로 쓰는 게 빠르다.

거래 흐름별 문서화 요소

각 중요한 거래 흐름에 대해 다음을 문서화해야 한다.

1. 거래의 개시부터 완료까지의 경로 2. 통제점의 위치와 성격 3. 관련 정보시스템과 데이터 흐름 4. 승인 및 검토 절차

KSA 315.A79는 감사인이 통제의 "누가, 무엇을, 언제, 어디서, 왜, 어떻게"를 이해해야 한다고 명시한다.

막상 조서를 작성하다 보면 "누가"와 "언제"가 빠지는 경우가 가장 많다. 품관실 리뷰에서 가장 자주 돌아오는 코멘트도 이 부분이다.

실무 적용 사례

한국기계산업 주식회사. 제조업(정밀 부품), 매출액 450억 원, 직원 수 180명.

매출 거래 흐름 문서화

1단계: 주문 접수 문서화 노트: 영업시스템(SAP) 화면 캡처, 신용한도 확인 절차 기재

고객으로부터 주문이 접수되면 영업팀이 SAP 시스템에 주문을 입력한다. 시스템은 자동으로 고객의 신용한도를 확인하고 한도 초과 시 영업관리자 승인을 요구한다.

2단계: 생산 지시 문서화 노트: 생산관리시스템과 SAP 간 인터페이스 로그 샘플 첨부

승인된 주문은 생산관리시스템으로 자동 전송된다. 생산팀장이 자재 가용성을 확인한 후 생산 지시를 내린다.

3단계: 출하 및 청구 문서화 노트: 출하증과 세금계산서 발행 시점 간 통제 절차 기재

완성된 제품은 품질팀 검사를 거쳐 출하된다. 출하와 동시에 세금계산서가 자동 발행되며 회계팀이 일일 단위로 출하 수량과 청구 금액을 대사한다.

이 사례에서 통제점은 네 가지다. 신용한도 확인(매출 과대계상 방지), 자재 가용성 확인(생산 지연 위험), 품질 검사(반품 위험 완화), 출하-청구 대사(완전성 및 정확성 확보).

내부통제 문서화 체크리스트

1. KSA 315.13 5요소 모두 문서화 완료. 통제환경부터 모니터링까지 누락 없이 확인한다. 2. 중요한 거래 흐름별로 누가, 무엇을, 언제 명시한다. 책임자와 타이밍이 빠지면 감리에서 지적된다. 3. 통제점 식별 및 설계 효과성 평가. 각 통제가 어떤 위험을 다루는지 명시한다. 4. 정보시스템 의존성과 일반통제 연결을 고려한다. IT 통제가 업무통제에 미치는 영향을 조서에 반영한다. 5. 통제 미비점 식별 시 위험평가에 미치는 영향을 문서화한다. KSA 315.15 요구사항이다. 6. 감사팀 내 검토자가 조서만 보고 위험평가를 수행할 수 있을 만큼 충분한 정보를 제공한다.

자주 발생하는 실수

형식만 갖추고 실질은 없는 조서가 가장 흔하다. 전기 조서에서 일반적 통제 설명을 복사해 놓고 고객사 고유의 절차는 빈칸으로 남겨두는 경우다. 감리에서 이 패턴이 적발되면 설명할 방법이 없다.

IT 통제 누락도 빈번하다. 업무통제에만 집중하고 이를 뒷받침하는 일반통제는 간과한다. SAP에서 자동 신용한도 확인이 작동한다고 문서화해 놓고 정작 SAP 접근 권한 관리나 변경 관리 통제는 확인하지 않는 식이다.

통제 이해와 위험평가 간 논리적 연결고리가 불분명한 조서도 문제다. 통제를 이해했으면 그 결과가 위험평가에 어떻게 반영되었는지 보여야 한다. 두 조서가 따로 노는 순간 품관실에서 전부 돌려보낸다.

관련 자료

- 내부통제 평가 템플릿 - KSA 315 요구사항을 충족하는 문서화 양식 - 위험평가 워크북 - 통제 이해를 위험평가로 연결하는 단계별 가이드 - 용어집: 내부통제 - KSA 315에서 사용하는 내부통제 관련 용어 정의

실무 감사 인사이트를 매주 받아보세요.

시험 이론이 아닙니다. 감사를 빠르게 만드는 실질적인 내용입니다.

290개 이상의 가이드 게시20개 무료 도구현직 감사인이 구축

스팸 없음. 저희는 감사인이지 마케터가 아닙니다.