감사기준서 315.18은 감사인이 내부통제를 이해하기 위해 질문, 관찰, 검사를 조합해야 한다고 규정합니다. 워크스루 테스트는 이 세 가지를 모두 포함하는 절차입니다. 워크스루의 목적은 두 가지입니다. 첫 번째는 통제 설계를 이해하는 것입니다(감사기준서 315.A127). 통제가 실제로 존재하는지, 어떻게 작동하는지, 누가 수행하는지 파악합니다.
목차
목차
감사기준서 315의 워크스루 요구사항
감사기준서 315.18은 감사인이 내부통제를 이해하기 위해 질문, 관찰, 검사를 조합해야 한다고 규정합니다. 워크스루 테스트는 이 세 가지를 모두 포함하는 절차입니다.
워크스루의 목적은 두 가지입니다. 첫 번째는 통제 설계를 이해하는 것입니다(감사기준서 315.A127). 통제가 실제로 존재하는지, 어떻게 작동하는지, 누가 수행하는지 파악합니다. 두 번째는 통제가 운영되고 있는지 확인하는 것입니다. 설계상으로는 적절한 통제가 실제로는 작동하지 않을 수 있습니다.
감사기준서 315.A128은 워크스루가 "시작부터 끝까지" 거래 흐름을 추적해야 한다고 명시합니다. 단일 거래나 문서를 선택하여 전체 프로세스를 따라가는 것입니다. 각 단계에서 관련 통제를 식별하고 테스트합니다.
워크스루 테스트 계획과 범위 결정
워크스루를 시작하기 전에 범위를 명확히 정의해야 합니다. 감사기준서 315.13이 요구하는 중요한 거래 유형별로 워크스루를 계획합니다. 매출, 구매, 급여처리, 재고관리 같은 핵심 프로세스가 대상입니다.
각 프로세스에서 하나 이상의 거래를 선택합니다. 거래는 정상적이고 대표성을 가져야 합니다. 예외적 상황보다는 일반적 흐름을 이해하는 것이 우선입니다. 복잡한 거래나 고위험 거래는 별도로 추가 선택할 수 있습니다.
워크스루 범위에는 IT 시스템도 포함됩니다. 감사기준서 315.A134는 자동화된 통제에 대한 이해를 요구합니다. 수작업 승인부터 시스템 자동 검증까지 모든 통제 단계를 포함해야 합니다.
단계별 워크스루 수행 절차
워크스루는 거래 시작점에서 재무제표 반영까지 단계별로 진행됩니다.
1단계: 거래 시작점 확인
선택한 거래가 어떻게 시작되는지 파악합니다. 고객 주문서, 구매요청서, 급여변경 통지서 등 최초 문서를 확인합니다. 거래 개시 권한이 적절한지, 승인 절차가 존재하는지 질문합니다.
2단계: 처리 흐름 추적
거래가 각 부서와 시스템을 거쳐 처리되는 과정을 따라갑니다. 문서가 어떻게 전달되는지, 시스템 입력은 누가 하는지, 검토와 승인은 어느 단계에서 일어나는지 관찰합니다.
3단계: 통제 식별과 테스트
각 처리 단계에서 관련 통제를 식별합니다. 승인 통제, 정확성 검증 통제, 완전성 통제, 실재성 통제를 구분하여 파악합니다. 통제가 실제로 수행되는지 증거를 수집합니다.
4단계: 기록과 보고
거래가 어떻게 기록되고 재무제표에 반영되는지 확인합니다. 계정과목 분류가 적절한지, 금액이 정확한지, 기간 귀속이 올바른지 검토합니다.
통제 설계 평가 vs 운영 테스트
워크스루에서는 통제 설계 평가와 운영 테스트를 구분해야 합니다. 감사기준서 315.A131이 이 구분을 명확히 합니다.
통제 설계 평가는 통제가 논리적으로 적절한지 판단하는 것입니다. 통제 목적이 명확한지, 통제 절차가 목적 달성에 적합한지, 수행 주체가 적절한 역량과 권한을 가지는지 평가합니다. 이는 질문과 관찰을 통해 수행합니다.
운영 테스트는 통제가 실제로 수행되고 있는지 확인하는 것입니다. 통제 수행의 증거를 검사하고, 통제 실패 사례가 있는지 확인합니다. 단, 워크스루에서의 운영 테스트는 제한적입니다. 한두 건의 거래만으로는 통제의 운영 효과성을 결론지을 수 없습니다.
감사기준서 315.A133은 워크스루가 통제 의존 전략의 기초를 제공하지만, 통제 테스트의 성격과 범위는 별도로 결정해야 한다고 명시합니다.
워크스루 결과 문서화
워크스루 결과는 빠짐없이 문서화해야 합니다. 감사기준서 230.8이 요구하는 충분하고 상세한 기록을 남겨야 합니다.
문서화 내용에는 다음이 포함됩니다:
각 통제에 대해 다음을 기록합니다: 통제 목적, 통제 절차, 수행 주체, 수행 빈도, 통제 증거. 통제 설계가 부적절하거나 운영되지 않는 경우 그 내용과 잠재적 영향을 상세히 기록합니다.
- 선택한 거래의 세부사항
- 추적한 처리 과정의 각 단계
- 식별한 통제와 그 설계 평가
- 통제 운영에 대한 관찰 사항
- 발견한 통제 미비점이나 예외 사항
실무 적용 예시
대한금속가공 주식회사 (매출 850억 원, 직원 420명)의 매출 프로세스를 워크스루한 사례입니다.
1단계: 거래 선택
2024년 11월 15일자 판매주문서 SL-2024-11-001을 선택했습니다. 고객은 부산소재 선박부품업체이며, 주문 금액은 1억 2천만 원입니다.
문서화: 선택한 거래의 규모와 성격이 전체 매출의 대표성을 가지는지 평가함. 매출 상위 20% 구간에 해당하는 거래로서 승인 절차가 적용되는 수준임을 확인.
2단계: 주문 승인 프로세스 추적
고객의 구매주문서가 영업팀에 접수되었습니다. 영업대표가 ERP 시스템에 판매주문을 입력하고, 신용한도 자동 검증을 통과했습니다. 1억 원 이상 주문은 영업팀장 승인이 필요하며, 전자결재 시스템에서 11월 16일 승인되었습니다.
문서화: 신용한도 자동 검증 통제가 작동함을 시스템 화면으로 확인. 영업팀장 전자서명이 시스템에 기록되어 있음. 승인 권한 매트릭스 검토 결과 1억 원 이상 영업팀장 승인 권한 적절.
3단계: 생산과 출하 통제
승인된 주문이 생산계획팀으로 전송되었습니다. 자재 가용성 검증 후 생산지시서가 발행되었습니다. 완제품이 창고에 입고되면 출하지시서가 자동 생성되며, 창고팀이 실물 확인 후 출하했습니다. 운송업체 픽업 시 출하증이 발행되었습니다.
문서화: 생산지시서와 출하지시서의 일련번호 연계성 확인. 창고팀의 실물 확인 서명이 출하증에 기록됨. 출하 수량과 판매주문 수량의 일치성 검증.
4단계: 매출 인식과 회계처리
출하증이 회계팀으로 전송되어 매출전표가 자동 생성되었습니다. 매출인식 기준(통제권 이전 시점)에 따라 출하일자로 매출이 인식되었습니다. 세금계산서는 출하 후 3일 이내 발행 규정에 따라 11월 18일 발행되었습니다.
문서화: ERP 시스템의 매출 자동 인식 설정을 확인함. 수동 조정이나 예외 처리가 없었음. 세금계산서 발행일자가 출하일자 기준으로 적절함.
결론
대한금속가공의 매출 프로세스에서 주요 통제가 설계상 적절하고 운영되고 있음을 확인했습니다. 신용한도 검증, 승인 권한, 출하 통제, 매출인식 기준 모두 정상 작동했습니다. 추가 통제 테스트를 통해 운영 효과성을 평가할 수 있는 기초를 확보했습니다.
실무 체크리스트
워크스루는 이해를 위한 절차입니다. 통제 의존을 위해서는 별도의 통제 테스트가 필요합니다.
- 계획 단계에서 확인할 사항
- 중요한 거래 유형별로 워크스루 계획 수립
- 대표성 있는 거래 선택(정상적이고 일반적인 거래)
- IT 시스템 포함 범위 결정
- 수행 중 질문해야 할 핵심 사항
- 각 단계별 수행 주체와 그 권한 적절성
- 통제 실패 시 발견되는 방법과 후속 조치
- 예외 처리 절차와 그 승인 과정
- 관찰해야 할 통제 요소
- 승인 서명이나 전자결재의 실제 존재
- 시스템 자동 통제의 작동 여부
- 문서 전달과 보관의 적절성
- 문서화 필수 요소
- 선택 거래의 식별 정보와 추적 결과
- 각 통제에 대한 설계 평가와 운영 관찰
- 발견된 미비점과 그 위험평가 영향
- 가장 중요한 한 가지
흔한 실수
• 문서 검토에만 의존: 실제 담당자 면담이나 프로세스 관찰 없이 문서만 검토하는 경우. 통제가 서류상으로만 존재할 수 있습니다.
• 단편적 테스트: 전체 프로세스가 아닌 일부 단계만 확인하여 통제 격차를 놓치는 경우. 감사기준서 315.A128의 "시작부터 끝까지" 요구사항을 위반합니다.
관련 자료
- 내부통제 이해 워크북 - 감사기준서 315 요구사항에 따른 구조화된 내부통제 문서화 도구
- 위험 평가 용어집 - 감사위험 평가와 내부통제 이해의 연관성 설명
- 감사기준서 330 대응 절차 가이드 - 워크스루 결과를 바탕으로 한 실질적 절차와 통제 테스트 계획 수립