감사기준서 315에 따른 워크스루 테스트 수행 방법

1. 감사기준서 315의 워크스루 요구사항 2. 워크스루 테스트 계획과 범위 결정 3. 단계별 워크스루 수행 절차 4. 통제 설계 평가 vs 운영 테스트 5. 워크스루 결과 문서화 6. 실무 적용 예시 7. 실무 체크리스트 8. 흔한 실수 9. 관련 자료

감사기준서 315의 워크스루 요구사항

감사기준서 315.18은 감사인이 내부통제를 이해하기 위해 질문, 관찰, 검사를 조합해야 한다고 규정한다. 워크스루 테스트는 이 세 가지를 모두 포함하는 절차다.

워크스루의 목적은 두 가지다. 첫 번째는 통제 설계를 이해하는 것이다(감사기준서 315.A127). 통제가 실제로 존재하는지, 어떻게 작동하는지, 누가 수행하는지 파악한다. 두 번째는 통제가 운영되고 있는지 확인하는 것이다. 설계상으로는 적절한 통제가 실제로는 작동하지 않을 수 있다.

감사기준서 315.A128은 워크스루가 "시작부터 끝까지" 거래 흐름을 추적해야 한다고 명시한다. 단일 거래나 문서를 선택하여 전체 프로세스를 따라가는 것이다. 각 단계에서 관련 통제를 식별하고 테스트한다.

워크스루 테스트 계획과 범위 결정

워크스루를 시작하기 전에 범위를 명확히 정의해야 한다. 감사기준서 315.13이 요구하는 중요한 거래 유형별로 워크스루를 계획한다. 매출, 구매, 급여처리, 재고관리 같은 핵심 프로세스가 대상이다.

각 프로세스에서 하나 이상의 거래를 선택한다. 거래는 정상적이고 대표성을 가져야 한다. 예외적 상황보다는 일반적 흐름을 이해하는 것이 우선이다. 복잡한 거래나 고위험 거래는 별도로 추가 선택할 수 있다.

워크스루 범위에는 IT 시스템도 포함된다. 감사기준서 315.A134는 자동화된 통제에 대한 이해를 요구한다. 수작업 승인부터 시스템 자동 검증까지 모든 통제 단계를 포함해야 한다.

단계별 워크스루 수행 절차

워크스루는 거래 시작점에서 재무제표 반영까지 단계별로 진행된다.

1단계: 거래 시작점 확인

선택한 거래가 어떻게 시작되는지 파악한다. 고객 주문서, 구매요청서, 급여변경 통지서 등 최초 문서를 확인한다. 거래 개시 권한이 적절한지, 승인 절차가 존재하는지 질문한다.

2단계: 처리 흐름 추적

거래가 각 부서와 시스템을 거쳐 처리되는 과정을 따라간다. 문서가 어떻게 전달되는지, 시스템 입력은 누가 하는지, 검토와 승인은 어느 단계에서 일어나는지 관찰한다.

3단계: 통제 식별과 테스트

각 처리 단계에서 관련 통제를 식별한다. 승인 통제, 정확성 검증 통제, 완전성 통제, 실재성 통제를 구분하여 파악한다. 통제가 실제로 수행되는지 증거를 수집한다.

4단계: 기록과 보고

거래가 어떻게 기록되고 재무제표에 반영되는지 확인한다. 계정과목 분류가 적절한지, 금액이 정확한지, 기간 귀속이 올바른지 검토한다.

통제 설계 평가 vs 운영 테스트

워크스루에서는 통제 설계 평가와 운영 테스트를 구분해야 한다. 감사기준서 315.A131이 이 구분을 명확히 한다.

통제 설계 평가는 통제가 논리적으로 적절한지 판단하는 것이다. 통제 목적이 명확한지, 통제 절차가 목적 달성에 적합한지, 수행 주체가 적절한 역량과 권한을 가지는지 평가한다. 이는 질문과 관찰을 통해 수행한다.

운영 테스트는 통제가 실제로 수행되고 있는지 확인하는 것이다. 통제 수행의 증거를 검사하고 통제 실패 사례가 있는지 확인한다. 단, 워크스루에서의 운영 테스트는 제한적이다. 한두 건의 거래만으로는 통제의 운영 효과성을 결론지을 수 없다.

감사기준서 315.A133은 워크스루가 통제 의존 전략의 기초를 제공하지만 통제 테스트의 성격과 범위는 별도로 결정해야 한다고 명시한다.

워크스루 결과 문서화

워크스루 결과는 체계적으로 문서화해야 한다. 감사기준서 230.8이 요구하는 충분하고 상세한 기록을 남겨야 한다. 금감원 감리에서 워크스루 조서가 부실하면 내부통제 이해 전체가 의문시된다.

문서화 내용에는 다음이 포함된다. - 선택한 거래의 세부사항 - 추적한 처리 과정의 각 단계 - 식별한 통제와 그 설계 평가 - 통제 운영에 대한 관찰 사항 - 발견한 통제 미비점이나 예외 사항

각 통제에 대해 다음을 기록한다. 통제 목적, 통제 절차, 수행 주체, 수행 빈도, 통제 증거. 통제 설계가 부적절하거나 운영되지 않는 경우 그 내용과 잠재적 영향을 상세히 기록한다.

실무 적용 예시

대한금속가공 주식회사 (매출 850억 원, 직원 420명)의 매출 프로세스를 워크스루한 사례다.

1단계: 거래 선택 2024년 11월 15일자 판매주문서 SL-2024-11-001을 선택했다. 고객은 부산소재 선박부품업체이며 주문 금액은 1억 2천만 원이다.

문서화: 선택한 거래의 규모와 성격이 전체 매출의 대표성을 가지는지 평가함. 매출 상위 20% 구간에 해당하는 거래로서 승인 절차가 적용되는 수준임을 확인.

2단계: 주문 승인 프로세스 추적 고객의 구매주문서가 영업팀에 접수되었다. 영업대표가 ERP 시스템에 판매주문을 입력하고 신용한도 자동 검증을 통과했다. 1억 원 이상 주문은 영업팀장 승인이 필요하며 전자결재 시스템에서 11월 16일 승인되었다.

문서화: 신용한도 자동 검증 통제가 작동함을 시스템 화면으로 확인. 영업팀장 전자서명이 시스템에 기록되어 있음. 승인 권한 매트릭스 검토 결과 1억 원 이상 영업팀장 승인 권한 적절.

3단계: 생산과 출하 통제 승인된 주문이 생산계획팀으로 전송되었다. 자재 가용성 검증 후 생산지시서가 발행되었다. 완제품이 창고에 입고되면 출하지시서가 자동 생성되며 창고팀이 실물 확인 후 출하했다. 운송업체 픽업 시 출하증이 발행되었다.

문서화: 생산지시서와 출하지시서의 일련번호 연계성 확인. 창고팀의 실물 확인 서명이 출하증에 기록됨. 출하 수량과 판매주문 수량의 일치성 검증.

4단계: 매출 인식과 회계처리 출하증이 회계팀으로 전송되어 매출전표가 자동 생성되었다. 매출인식 기준(통제권 이전 시점)에 따라 출하일자로 매출이 인식되었다. 세금계산서는 출하 후 3일 이내 발행 규정에 따라 11월 18일 발행되었다.

문서화: ERP 시스템의 매출 자동 인식 설정을 확인함. 수동 조정이나 예외 처리가 없었음. 세금계산서 발행일자가 출하일자 기준으로 적절함.

결론 대한금속가공의 매출 프로세스에서 주요 통제가 설계상 적절하고 운영되고 있음을 확인했다. 신용한도 검증, 승인 권한, 출하 통제, 매출인식 기준 모두 정상 작동했다. 추가 통제 테스트를 통해 운영 효과성을 평가할 수 있는 기초를 확보했다.

실무 체크리스트

1. 계획 단계에서 확인할 사항 - 중요한 거래 유형별로 워크스루 계획 수립 - 대표성 있는 거래 선택(정상적이고 일반적인 거래) - IT 시스템 포함 범위 결정

2. 수행 중 질문해야 할 핵심 사항 - 각 단계별 수행 주체와 그 권한 적절성 - 통제 실패 시 발견되는 방법과 후속 조치 - 예외 처리 절차와 그 승인 과정

3. 관찰해야 할 통제 요소 - 승인 서명이나 전자결재의 실제 존재 - 시스템 자동 통제의 작동 여부 - 문서 전달과 보관의 적절성

4. 문서화 필수 요소 - 선택 거래의 식별 정보와 추적 결과 - 각 통제에 대한 설계 평가와 운영 관찰 - 발견된 미비점과 그 위험평가 영향

흔한 실수

- 문서 검토에만 의존: 실제 담당자 면담이나 프로세스 관찰 없이 문서만 검토하는 경우. 통제가 서류상으로만 존재할 수 있다. 제 경험상 로컬 법인일수록 문서와 실제 운영 사이의 괴리가 크다.

- 단편적 테스트: 전체 프로세스가 아닌 일부 단계만 확인하여 통제 격차를 놓치는 경우. 감사기준서 315.A128의 "시작부터 끝까지" 요구사항을 위반한다.

목차