COVID-19 이후 원격감사 실무 가이드

원격감사의 새로운 현실

COVID-19는 감사 업무 방식을 영구적으로 변화시켰다. 2019년까지 대부분의 감사는 고객 현장에서 이루어졌고, 2024년 현재 대다수의 감사팀이 하이브리드 모델을 채택한 상태다.

이러한 변화는 ISA 200.A16이 요구하는 합리적 확신을 얻기 위한 방법론 자체를 재검토하게 만든다. 물리적 접근 없이도 충분하고 적합한 감사증거를 입수해야 하기 때문이다.

기술적 인프라

ISA 220.A21은 업무수행이사가 감사팀의 역량과 자원을 평가하도록 요구한다. 원격감사에서 이는 기술적 역량까지 포함한다.

필수 기술 요소: - 안전한 파일 공유 시스템 (암호화된 클라우드 스토리지) - 화상회의 플랫폼 (녹화 기능 포함) - 원격 데스크톱 접근 도구 - 디지털 감사 소프트웨어

고객과의 소통 프로토콜

ISA 260.14는 경영진과의 소통을 규정하지만, 원격 환경에서는 추가적 고려사항이 필요하다.

원격 소통 시 실무 포인트: - 모든 중요 논의사항은 서면으로 후속 확인 - 화상회의 녹화 (고객 동의하에) - 정기적인 진행 상황 업데이트 일정 설정 - 비상 연락 체계 구축

ISA 315 위험평가 - 원격 환경에서의 적용

기업과 환경에 대한 이해

ISA 315.19는 기업과 환경을 이해하도록 요구한다. 원격 환경에서 이는 새로운 도전을 제시한다.

물리적 관찰의 한계가 존재한다. 전통적으로 감사인은 고객 사무실을 방문하여 다음을 관찰했다: - 재고 저장 방식과 상태 - 직원들의 업무 분장 - 보안 시설과 접근 통제 - 전반적인 업무 분위기

원격감사에서는 이러한 관찰이 제한된다. 대안적 절차가 필요하다.

내부통제 이해의 변화

COVID-19는 많은 기업의 내부통제 환경을 근본적으로 변화시켰다. ISA 315.26에 따라 이러한 변화를 평가해야 한다.

원격근무가 내부통제에 미치는 영향은 네 가지 축으로 나눌 수 있다.

1. 승인 프로세스의 변화 - 전자 승인 시스템 도입, 승인 권한의 재분배, 예외 처리 절차의 변경이 대표적이다.

2. 직무 분리의 약화 - 소규모 사무실에서 근무하는 직원들 사이에서 IT 시스템 접근 권한이 변하고, 감독 기능이 제한된다.

3. IT 통제의 비중 증가 - VPN 접근 통제, 데이터 백업과 복구, 사이버 보안 위험이 해당한다.

4. 문서화 체계의 변화 - 전자 조서 시스템으로의 전환 과정에서 기존 종이 기반 통제가 누락되는 경우가 빈번하다. 금감원 감리 시 이 부분이 지적되는 사례가 늘고 있다.

사기 위험 평가의 변화

ISA 240.32는 사기 위험 요소를 식별하도록 요구한다. 원격근무 환경은 새로운 사기 기회를 만들었다.

제 경험상 원격 환경에서 새로 부각된 사기 위험 지표는 다음과 같다: - 비정상적인 거래 승인 패턴 - 전자 서명의 무단 사용 - 고객 데이터 접근 기록의 이상 - 예상치 못한 계정 잔액 변화

디지털 증거 입수와 평가

전자 증거의 신뢰성

ISA 500.9는 감사증거의 신뢰성을 평가하도록 요구한다. 디지털 환경에서 이는 별도의 고려를 요구한다.

디지털 증거 평가 시 확인해야 할 사항은 크게 네 가지다.

1. 출처의 신뢰성 - 문서가 생성된 시스템, 접근 권한과 변경 이력, 메타데이터 정보를 확인한다.

2. 전송 과정의 무결성 - 암호화된 전송 채널을 사용했는지, 파일 체크섬 검증을 했는지, 버전 관리 시스템을 통해 추적이 가능한지 확인한다.

3. 시점의 적합성 - 타임스탬프의 정확성, 백업 시점과 복원 일자, 감사 기준일과의 관련성을 검토한다.

4. 조서와의 연결성 - 디지털 증거가 조서에 어떻게 첨부되고 참조되는지 명확히 기록해야 한다. 막상 해보니까 이 부분에서 가장 많은 감리 지적이 나온다.

PDF와 스캔 문서의 한계

많은 고객이 PDF나 스캔 문서를 제공한다. ISA 500.A7에 따라 이러한 증거의 한계를 인식해야 한다.

스캔 문서에는 편집 가능성, 원본과의 차이, 부분적 정보 제공, 해상도에 의한 판독 오류라는 위험이 존재한다.

이를 완화하기 위해서는 원본 시스템에서 직접 추출을 요청하고, 복수 출처를 통한 교차 검증을 수행하며, 무작위 표본에 대한 원본 확인 절차를 밟는다.

실무 적용 사례

고객: 테크놀로지 솔루션 주식회사 (매출 850억 원, 직원 250명, 제조업) 상황: 2024년 12월 결산 감사, 전면 원격감사 진행 주요 쟁점: 재고자산 실사 불가, 매출 인식 프로세스 변화

1단계: 위험평가 절차 수정

기존 절차는 공장 현장 방문, 생산 프로세스 관찰, 직원 면담이었다. 원격 대안으로 실시간 화상 투어, 생산 관리 시스템 원격 접근, 화상 면담을 수행했다.

문서화 노트: 화상 투어 녹화 파일을 감사 조서에 첨부. 참석자, 일시, 관찰 사항을 상세 기록.

2단계: 재고자산 실사 대안 절차

실물 실사 불가 상황이었다. COVID-19 제한으로 공장 출입이 금지되었기 때문이다. 대안 절차로 다음을 수행했다: - 실시간 화상 실사 (고객 직원이 카메라 조작) - 사전 선정된 표본 품목의 연속 촬영 - 창고 관리 시스템과 물리적 재고 실시간 비교

문서화 노트: 화상 실사 중 발견된 모든 차이점을 즉시 기록. 고객의 설명과 후속 조치를 문서화.

3단계: 매출 인식 테스트

기존 방식은 계약서 원본 검토와 고객 확인서 우편 발송이었다. 원격 방식으로 전자 계약서 시스템 접근과 전자 확인서 발송을 수행했다.

문서화 노트: 전자 계약서의 디지털 서명 유효성 검증. 확인서 발송 및 회신 과정의 전자적 추적.

이 방법으로 ISA 330.6이 요구하는 실질적 절차를 수행했다. 원격 환경의 제약에도 불구하고 충분하고 적합한 감사증거를 입수할 수 있었다. 금감원 감리자가 이 파일을 검토할 때 대안 절차의 근거와 수행 과정이 명확히 문서화되어 있어야 한다.

원격감사 체크리스트

1. 감사 계획 단계에서 고객의 IT 환경과 원격 접근 가능성을 평가하고 ISA 300.8에 따라 감사 전략을 수립했는가?

2. ISA 315.19에 따른 기업 환경 이해를 위해 화상 회의, 원격 시스템 접근, 디지털 문서 검토 등 대안 절차를 설계했는가?

3. 디지털 증거의 신뢰성을 ISA 500.9에 따라 평가하고 출처와 전송 과정의 무결성을 검증했는가?

4. 원격근무로 인한 내부통제 변화를 식별하고 ISA 315.26에 따라 통제 위험을 재평가했는가?

5. 물리적 관찰이 필요한 절차(재고실사 등)에 대해 대안 절차를 수행하고 그 한계를 조서에 문서화했는가?

흔한 실수들

- PDF 문서를 원본과 동일하게 취급하는 경우가 잦다. 금감원 감리 데이터에 따르면 스캔된 문서의 무비판적 수용이 증거 품질 지적사항의 주요 원인이다.

- 화상회의 참석자 신원 미확인도 빈번한 실수다. 원격 면담 시 참석자의 신분을 충분히 확인하지 않아 부적절한 정보를 입수하는 경우가 발생한다.

- 디지털 증거의 메타데이터 검토를 누락하는 경우도 많다. 전자 문서의 생성일자와 수정이력을 확인하지 않아 증거의 시점 적합성을 놓치는 사례가 반복된다.