핵심 요약

  • 클라우드 환경에서는 데이터 접근성, 시스템 통제, 감시 기능이 물리적 시스템과 다르므로 감사인이 통상적인 감사 절차를 적용할 수 없을 수 있습니다.
  • 대부분의 감사 조서는 클라우드 제공자의 통제 평가(ISAE 3402 Type II 보고서)에만 의존하며, 피감사회사의 클라우드 구성 및 접근 통제에 대한 독립적 테스트를 빠뜨립니다.
  • ISA 330.8은 감사인이 충분한 감사 증거를 획득하기 위해 충분한 절차를 설계해야 하는데, 클라우드 통제에 대한 문서화 부족으로 이 요구사항을 충족하지 못합니다.
  • ISA 402.9는 감사인이 서비스 조직의 서비스가 피감사회사의 내부통제에 미치는 영향을 이해하도록 요구합니다. 클라우드 환경에서 대부분의 공급자는 '공유 책임 모델(Shared Responsibility Model)'을 적용하여 인프라 통제는 공급자가, 애플리케이션 수준 통제는 고객이 책임집니다. 감사인이 이 책임 구분을 명확히 파악하지 않으면 피감사회사가 자체적으로 관리해야 하는 애플리케이션 수준 통제(사용자 권한 설정, 데이터 암호화 키 관리, 거래 승인 워크플로 등)의 설계 및 운영 효과성을 테스트하지 않는 사각지대가 발생합니다. 예를 들어 AWS나 Azure의 인프라 보안이 ISAE 3402 보고서로 확인되더라도, 피감사회사가 S3 버킷의 접근 권한을 공개로 설정하거나 데이터베이스 암호화를 비활성화한 경우 이는 공급자의 통제 범위 밖이므로 감사인이 독립적으로 테스트해야 합니다.

클라우드 감사 위험의 성격

클라우드 컴퓨팅은 피감사회사의 IT 인프라를 외부 공급자가 관리하는 원격 서버로 이동시킵니다. 회계 시스템, 재무 데이터베이스, 전자 문서 보관소가 모두 감사인이 물리적으로 접근할 수 없는 환경에 위치합니다. ISA 500.5는 감사인이 충분한 적절한 증거를 획득해야 한다고 규정합니다. 클라우드 환경에서 이는 세 가지 감사 위험을 만듭니다.
첫째, 통제 테스트의 복잡성입니다. 피감사회사가 클라우드 기반 ERP 시스템을 사용한다면 감사인은 사용자 접근 통제, 거래 기록 변경 감시, 보고서 생성 정확성을 확인해야 합니다. 그러나 이 시스템의 기술적 설정은 클라우드 공급자의 데이터센터에 있습니다. 감사인이 직접 관찰할 수 없으므로 공급자의 시스템 문서, API 명세, 감사 보고서에 의존해야 합니다. 공급자가 제공하는 ISAE 3402 Type II 보고서가 피감사회사와 직접 관련된 통제를 다루지 않으면 감사인이 증거 격차를 메우기 어렵습니다.
둘째, 데이터 접근 및 확인입니다. 피감사회사가 클라우드 기반 회계 소프트웨어(예: 클라우드 ERP)를 사용하면 거래 내역, 일지, 보조 장부가 모두 원격 데이터베이스에 저장됩니다. 감사인이 이들 기록에 접근하려면 피감사회사의 IT 관리자가 임시 또는 영구적 사용자 계정을 부여해야 합니다. 이 과정에서 감사인이 실제로 확인하는 데이터가 피감사회사의 공식 기록인지, 아니면 특정 기간의 복사본인지 확인하기 어렵습니다.
셋째, 감시 기능의 자동화입니다. 클라우드 시스템은 피감사회사의 IT 팀이 설정한 감시 규칙에 따라 거래를 자동으로 거부하거나 보류합니다. 감사인은 이 감시 규칙이 설정되어 있는지, 정확하게 작동하는지, 예외가 적절하게 처리되는지 확인해야 합니다. ISA 315.29는 IT 환경의 변화가 감사 위험에 미치는 영향을 평가하도록 요구합니다. 클라우드 환경의 빈번한 시스템 업데이트와 패치 적용은 감사인이 예상하지 못한 거동 변화를 초래할 수 있습니다.

클라우드 환경에서의 실무 오류

피감사회사가 클라우드 시스템으로 전환한 직후 대부분의 감사 조서는 동일한 세 가지 문제를 나타냅니다.
ISAE 3402 보고서에만 의존. 클라우드 공급자(Microsoft, SAP, Oracle 등)가 발행한 ISAE 3402 Type II 보고서는 공급자의 통제를 설명합니다. 그러나 이 보고서는 피감사회사가 클라우드 환경을 어떻게 구성했는지는 다루지 않습니다. 예를 들어 공급자의 보고서가 "시스템은 미승인 사용자로부터 데이터를 보호합니다"라고 서술하더라도, 감사인은 피감사회사의 특정 사용자 계정이 적절한 액세스 수준으로 설정되었는지 독립적으로 확인해야 합니다. ISA 330.7은 이러한 통제 테스트가 감사인의 책임임을 명확히 합니다. 조서에 공급자의 보고서 사본만 첨부하고 피감사회사 자체의 액세스 구성에 대한 테스트가 없으면 ISA 330 위반입니다.
데이터 추출 및 재분석의 부재. 감사인이 클라우드 시스템에서 직접 관찰할 수 없으므로 데이터 추출과 독립적 재분석이 더욱 중요합니다. 예를 들어 피감사회사가 클라우드 기반 매출 시스템을 사용한다면 감사인은 전체 거래 내역을 추출하여 (a) 거래 기록이 완전한지, (b) 거래 금액이 원본 문서와 일치하는지, (c) 거래 일자가 올바르게 기록되었는지 확인해야 합니다. 이를 수행하지 않으면 ISA 330.25가 요구하는 "실질적 절차"의 증거가 부족합니다.
거래 변경 이력 미검토. 대부분의 클라우드 시스템은 모든 거래 수정을 자동으로 기록합니다(누가, 언제, 무엇을 변경했는지). 그러나 감사인이 이 이력을 정기적으로 검토하지 않으면 중요한 거래 변경을 놓칠 수 있습니다. ISA 240.29는 감사인이 회계 기록의 변경을 탐지하기 위해 절차를 설계해야 한다고 규정합니다. 클라우드 환경에서 이러한 절차가 없으면 거래 조작을 적절하게 감시할 수 없습니다.

실무 사례

가구 유통 회사의 클라우드 ERP 감사
본사가 룩셈부르크에 있는 중견 가구 유통 회사 Mobilier Européen S.à r.l.은 2024년 1월에 온프레미스 ERP 시스템을 클라우드 기반 SAP S/4HANA로 완전히 전환했습니다. 연간 매출은 €58M이며, 대부분의 거래가 클라우드 시스템을 통해 기록됩니다.
1단계: 클라우드 공급자 통제 평가
감사인은 먼저 SAP가 제공한 ISAE 3402 Type II 보고서(2024년 6월 발행)를 검토합니다. 이 보고서는 SAP 데이터센터의 물리적 보안, 네트워크 보안, 백업 및 재해 복구 절차를 설명합니다. 보고서의 범위에는 "시스템 가용성" 및 "데이터 기밀성"이 포함되지만 "트랜잭션 정확성" 통제는 포함되지 않습니다.
작업지 기록: ISAE 3402 범위 검토. 범위 외 통제(트랜잭션 기록 정확성, 거래 승인 워크플로)는 피감사회사의 구성 통제로 분류. ISA 315 위험 평가 재수행.
2단계: 피감사회사의 클라우드 구성 테스트
감사인이 피감사회사의 IT 관리자와 협력하여 SAP 환경에서 다음을 확인합니다:
감사인이 SAP 관리자 패널에서 각 규칙의 설정을 스크린샷으로 기록합니다.
작업지 기록: 통제 설정 스크린샷. 설정 확인 날짜. 감사인의 관찰 결과.
3단계: 데이터 정확성 검증
감사인은 SAP 분석 도구를 사용하여 2024년 1월~6월의 전체 거래 데이터(€58M 매출 중 약 €29M에 해당하는 약 12,000건의 거래)를 추출합니다. 그 후 다음을 수행합니다:
작업지 기록: 데이터 추출 시점 및 추출 범위. 샘플 선택 방법(통계 샘플 vs 목표 지정 샘플). 각 표본 아이템에 대한 테스트 결과. 발견된 오류.
4단계: 완료 및 기록
감사인이 클라우드 환경의 통제와 거래 정확성에 대한 최종 결론을 기록합니다: "클라우드 기반 SAP S/4HANA 환경의 주요 통제가 설계되고 운영되고 있음을 확인했습니다. 거래 샘플 200건에 대한 검증 결과 금액, 일자, 분류에서 오류가 없었습니다. 2024년 1월~6월 기간 거래의 중요한 왜곡표시는 발견되지 않았습니다."
이러한 문서화가 없으면 ISA 330.8(충분한 감사 증거) 위반입니다. ISAE 3402 보고서만으로는 충분하지 않습니다.

  • 사용자 액세스: 각 회계팀 멤버가 자신의 역할에 필요한 거래만 입력할 권한이 있는가?
  • 거래 금액 제한: 시스템이 결재 한도를 초과하는 거래를 자동으로 보류하는가?
  • 감시 규칙: 시스템이 분류 오류(예: 구매를 판매로 입력한 거래)를 자동으로 감지하는가?
  • 거래 기록 샘플 200건: 원본 주문서, 배송 증명서, 송장과 대조하여 금액, 일자, 고객이 일치하는지 확인.
  • 거래 변경 이력: 시스템이 기록한 수정 사항 100건을 검토하여 그 이유가 타당한지, 승인이 있었는지 확인.
  • 예외 거래: 시스템이 감시 규칙에 의해 자동으로 보류했으나 결국 처리된 거래 30건을 검토하여 보류 이유가 기록되었는지 확인.

감사자가 자주 놓치는 것

Tier 1 국제 감리 관찰. PCAOB는 2023년 감시 보고서에서 "많은 감사 회사가 클라우드 환경에서 피감사회사의 애플리케이션 통제를 충분히 테스트하지 않고 있다"고 지적했습니다. 구체적으로 공급자의 ISAE 3402 보고서를 참고하면서도 피감사회사가 클라우드 환경을 어떻게 구성했는지는 테스트하지 않은 경우가 있습니다.
Tier 2 ISA 330 요구사항. ISA 330.7은 감사인이 통제의 존재와 효과성을 테스트해야 한다고 규정합니다. "공급자가 통제를 제공한다"는 사실만으로는 충분하지 않습니다. 피감사회사가 그 통제를 올바르게 사용하고 있는지 확인해야 합니다. 이를 테스트하지 않은 조서는 ISA 330 기준을 충족하지 않습니다.
Tier 3 문서화 격차. 많은 피감사회사는 클라우드 환경의 거래 처리 흐름, 거래 제한 규칙, 감시 메커니즘을 공식적으로 문서화하지 않습니다. 감사인이 이러한 문서화를 요청하고 독립적으로 검증해야 합니다. 문서화 없이 시스템 설정만 확인하면 감사 증거의 신뢰도가 낮습니다.

관련 용어

ISA 315: 피감사회사의 IT 환경 변화(클라우드 도입 포함)가 재무 보고 위험에 미치는 영향을 평가하는 기준입니다.
ISA 330: 통제 테스트 및 실질적 절차를 포함한 감사 절차 설계의 기본 요구사항입니다. 클라우드 환경에서도 동일하게 적용됩니다.
ISAE 3402: 서비스 조직(클라우드 공급자 포함)의 통제를 설명하는 보고서입니다. 그러나 피감사회사 자체의 통제를 설명하지는 않습니다.
ISA 500: 충분한 적절한 감사 증거를 획득해야 한다는 기본 원칙입니다. 클라우드 환경에서 이는 공급자 보고서만으로는 충분하지 않으며 피감사회사의 구성 및 운영 통제를 독립적으로 테스트해야 함을 의미합니다.
ISA 240: 거래 변경 및 조작을 감지하기 위한 절차를 요구합니다. 클라우드 시스템의 거래 이력 기능이 이를 지원합니다.
IT 통제: 정보 기술 시스템이 거래를 정확하게 기록하고 변경을 감시하는 절차입니다. 클라우드 환경에서는 공급자와 피감사회사의 IT 통제가 모두 중요합니다.
---

실무 감사 인사이트를 매주 받아보세요.

시험 이론이 아닙니다. 감사를 빠르게 만드는 실질적인 내용입니다.

290개 이상의 가이드 게시20개 무료 도구현직 감사인이 구축

스팸 없음. 저희는 감사인이지 마케터가 아닙니다.