Definition
피감사회사가 클라우드 ERP로 전환한 직후의 조서를 보면 거의 같은 패턴이 보인다. ISAE 3402 Type II 보고서 사본을 첨부해 놓고 "공급자 통제 확인 완료"라고 적은 것이 전부다. 피감사회사가 클라우드 환경을 어떻게 구성했는지, 사용자 접근 통제가 실제로 작동하는지에 대한 독립적 테스트는 빠져 있다. 금감원 감리에서 IT 통제 관련 지적이 나올 때 이 유형이 가장 흔하다.
핵심 요약
> - 클라우드 환경에서는 데이터 접근성과 시스템 통제가 물리적 시스템과 다르므로 감사인이 통상적인 절차를 그대로 적용할 수 없다. > - 대부분의 조서는 클라우드 공급자의 ISAE 3402 Type II 보고서에만 의존하며 피감사회사의 클라우드 구성 및 접근 통제에 대한 독립적 테스트를 누락한다. > - ISA 330.8은 충분한 감사 증거를 획득하기 위한 절차를 설계하도록 요구하는데 클라우드 통제에 대한 문서화 부족으로 이 요구사항을 충족하지 못하는 경우가 빈번하다. > - 솔직히 클라우드 전환 후 IT 통제 조서를 처음부터 다시 설계하는 팀은 드물다.
클라우드 감사 위험의 성격
클라우드 컴퓨팅은 피감사회사의 IT 인프라를 외부 공급자가 관리하는 원격 서버로 이동시킨다. 회계 시스템, 재무 데이터베이스, 전자 문서 보관소가 모두 감사인이 물리적으로 접근할 수 없는 환경에 위치한다. ISA 500.5는 충분하고 적절한 증거를 획득해야 한다고 규정한다. 클라우드 환경에서 이는 네 가지 감사 위험을 만든다.
첫째, 통제 테스트의 복잡성이다. 피감사회사가 클라우드 기반 ERP 시스템을 사용한다면 감사인은 사용자 접근 통제, 거래 기록 변경 감시, 보고서 생성 정확성을 확인해야 한다. 그러나 기술적 설정은 클라우드 공급자의 데이터센터에 있다. 감사인이 직접 관찰할 수 없으므로 공급자의 시스템 문서와 감사 보고서에 의존할 수밖에 없다. 공급자가 발행한 ISAE 3402 Type II 보고서가 피감사회사와 직접 관련된 통제를 다루지 않으면 증거 격차를 메우기 어렵다.
둘째, 데이터 접근 및 확인 문제다. 피감사회사가 클라우드 ERP를 사용하면 거래 내역, 일지, 보조 장부가 모두 원격 데이터베이스에 저장된다. 감사인이 이들 기록에 접근하려면 피감사회사의 IT 관리자가 사용자 계정을 부여해야 하는데 이 과정에서 감사인이 확인하는 데이터가 공식 기록인지 특정 기간의 복사본인지 식별하기 어렵다.
셋째, 감시 기능의 자동화 검증이다. 클라우드 시스템은 피감사회사의 IT 팀이 설정한 규칙에 따라 거래를 자동으로 거부하거나 보류한다. 감사인은 이 규칙이 설정되어 있는지, 정확하게 작동하는지, 예외가 적절하게 처리되는지 확인해야 한다. ISA 315.29는 IT 환경의 변화가 감사 위험에 미치는 영향을 평가하도록 요구한다. 클라우드 환경의 빈번한 시스템 업데이트와 패치 적용은 감사인이 예상하지 못한 거동 변화를 초래할 수 있다.
넷째, 데이터 소재지(data residency) 이슈다. 클라우드 데이터가 해외 서버에 저장되는 경우 감사인이 해당 법역의 데이터 보호 규정을 고려해야 한다. 이 부분은 인차지급에서 간과하기 쉬운 위험 요소다.
클라우드 환경에서의 실무 오류
피감사회사가 클라우드 시스템으로 전환한 직후 대부분의 조서는 동일한 패턴을 나타낸다.
ISAE 3402 보고서 의존 — 클라우드 공급자(Microsoft, SAP, Oracle 등)가 발행한 ISAE 3402 Type II 보고서는 공급자의 통제를 설명한다. 그러나 피감사회사가 클라우드 환경을 어떻게 구성했는지는 다루지 않는다. 공급자의 보고서가 "시스템은 미승인 사용자로부터 데이터를 보호합니다"라고 서술하더라도 감사인은 피감사회사의 특정 사용자 계정이 적절한 액세스 수준으로 설정되었는지 독립적으로 확인해야 한다. ISA 330.7은 이러한 통제 테스트가 감사인의 책임임을 명확히 한다. 조서에 공급자의 보고서 사본만 첨부하고 피감사회사 자체의 액세스 구성에 대한 테스트가 없으면 ISA 330 위반이다.
데이터 추출 및 재분석의 부재 — 감사인이 클라우드 시스템에서 직접 관찰할 수 없으므로 데이터 추출과 독립적 재분석이 더욱 중요해진다. 피감사회사가 클라우드 기반 매출 시스템을 사용한다면 감사인은 전체 거래 내역을 추출하여 거래 기록의 완전성, 거래 금액과 원본 문서의 일치 여부, 거래 일자의 정확성, 비정상 거래의 분류 적정성을 확인해야 한다. 이를 수행하지 않으면 ISA 330.25가 요구하는 "실질적 절차"의 증거가 부족하다.
거래 변경 이력 미검토 — 대부분의 클라우드 시스템은 모든 거래 수정을 자동으로 기록한다. 누가 언제 무엇을 변경했는지 남긴다. 그런데 감사인이 이 이력을 정기적으로 검토하지 않으면 중요한 거래 변경을 놓치게 된다. ISA 240.29는 회계 기록의 변경을 탐지하기 위한 절차를 설계하도록 규정한다. 제 경험상 클라우드 전환 후 이 절차가 아예 설계되지 않은 경우가 적지 않다. 시즌 중에 클라우드 감사 로그를 처음 들여다보는 인차지도 있다.
실무 사례
가구 유통 회사의 클라우드 ERP 감사
본사가 룩셈부르크에 있는 중견 가구 유통 회사 Mobilier Européen S.à r.l.은 2024년 1월에 온프레미스 ERP 시스템을 클라우드 기반 SAP S/4HANA로 전환했다. 연간 매출은 €58M이며 대부분의 거래가 클라우드 시스템을 통해 기록된다.
1단계 — 클라우드 공급자 통제 평가
감사인은 SAP가 발행한 ISAE 3402 Type II 보고서(2024년 6월 발행)를 검토한다. 이 보고서는 SAP 데이터센터의 물리적 보안, 네트워크 보안, 백업 및 재해 복구 절차를 설명한다. 보고서의 범위에는 "시스템 가용성" 및 "데이터 기밀성"이 포함되지만 "트랜잭션 정확성" 통제는 포함되지 않는다.
조서 기록: ISAE 3402 범위 검토. 범위 외 통제(트랜잭션 기록 정확성, 거래 승인 워크플로)는 피감사회사의 구성 통제로 분류. ISA 315 위험 평가 재수행.
2단계 — 피감사회사의 클라우드 구성 테스트
감사인이 피감사회사의 IT 관리자와 협력하여 SAP 환경에서 다음을 확인한다. 각 회계팀 멤버가 자신의 역할에 필요한 거래만 입력할 권한이 있는지, 시스템이 결재 한도를 초과하는 거래를 자동으로 보류하는지, 분류 오류(예: 구매를 판매로 입력한 거래)를 자동으로 감지하는지, 설정 변경 이력이 보존되는지를 확인한다.
감사인이 SAP 관리자 패널에서 각 규칙의 설정을 스크린샷으로 기록한다.
조서 기록: 통제 설정 스크린샷. 설정 확인 날짜. 감사인의 관찰 결과.
3단계 — 데이터 정확성 검증
감사인은 SAP 분석 도구를 사용하여 2024년 1월~6월의 전체 거래 데이터(€58M 매출 중 약 €29M에 해당하는 약 12,000건의 거래)를 추출한다.
거래 기록 샘플 200건을 원본 주문서, 배송 증명서, 송장과 대조하여 금액과 일자가 일치하는지 확인한다. 시스템이 기록한 수정 사항 100건을 검토하여 이유가 타당한지와 승인 여부를 확인한다. 감시 규칙에 의해 자동으로 보류됐다가 처리된 거래 30건을 검토하여 보류 이유가 기록되었는지 확인한다.
조서 기록: 데이터 추출 시점 및 추출 범위. 샘플 선택 방법(통계 샘플 vs 목표 지정 샘플). 각 표본 아이템에 대한 테스트 결과. 발견된 오류.
4단계 — 완료 및 기록
감사인이 클라우드 환경의 통제와 거래 정확성에 대한 최종 결론을 기록한다. "클라우드 기반 SAP S/4HANA 환경의 주요 통제가 설계되고 운영되고 있음을 확인했다. 거래 샘플 200건에 대한 검증 결과 금액과 일자, 분류에서 오류가 없었다. 2024년 1월~6월 기간 거래의 중요한 왜곡표시는 발견되지 않았다."
이 수준의 문서화 없이 ISAE 3402 보고서만 첨부한 조서는 ISA 330.8 위반이다.
감사자가 자주 놓치는 것
금감원은 감리 과정에서 클라우드 환경에서 피감사회사의 애플리케이션 통제를 충분히 테스트하지 않은 사례를 지적해 왔다. 공급자의 ISAE 3402 보고서를 참고하면서도 피감사회사가 클라우드 환경을 어떻게 구성했는지는 테스트하지 않은 경우가 대표적이다.
ISA 330.7은 감사인이 통제의 존재와 효과성을 테스트해야 한다고 규정한다. "공급자가 통제를 제공한다"는 사실만으로는 부족하다. 피감사회사가 그 통제를 올바르게 사용하고 있는지 확인해야 한다. 이를 테스트하지 않은 조서는 ISA 330 기준을 충족하지 않는다.
문서화 격차도 빈번하다. 클라우드 환경의 거래 처리 흐름, 거래 제한 규칙, 감시 메커니즘을 공식적으로 문서화하지 않는 피감사회사가 많다. 감사인이 이러한 문서화를 요청하고 독립적으로 검증해야 한다. 문서화 없이 시스템 설정만 확인하면 감사 증거의 신뢰도가 낮다.
관련 용어
ISA 315 — 피감사회사의 IT 환경 변화(클라우드 도입 포함)가 재무 보고 위험에 미치는 영향을 평가하는 기준이다.
ISA 330 — 통제 테스트 및 실질적 절차를 포함한 감사 절차 설계의 기본 요구사항이다. 클라우드 환경에서도 동일하게 적용된다.
ISAE 3402 — 서비스 조직(클라우드 공급자 포함)의 통제를 설명하는 보고서다. 피감사회사 자체의 통제를 설명하지는 않는다.
ISA 500 — 충분한 적절한 감사 증거를 획득해야 한다는 기본 원칙이다. 클라우드 환경에서 이는 공급자 보고서만으로는 부족하며 피감사회사의 구성 및 운영 통제를 독립적으로 테스트해야 함을 의미한다.
ISA 240 — 거래 변경 및 조작을 감지하기 위한 절차를 요구한다. 클라우드 시스템의 거래 이력 기능이 이를 지원한다.
IT 통제 — 정보 기술 시스템이 거래를 정확하게 기록하고 변경을 감시하는 절차다. 클라우드 환경에서는 공급자와 피감사회사의 IT 통제가 모두 중요하다.
---