Definition

2024년 금감원 감리에서 내부통제 테스트 관련 지적 사항 중 상위권에 오른 항목이 있습니다. 모니터링 활동의 설계를 기술만 하고 운영 효과를 테스트하지 않은 파일이 검토 대상의 약 35%였습니다. 조서가 얇다는 이야기입니다.

작동 방식

ISA 315.30은 지속적 모니터링을 내부통제 체계의 필수 구성 요소로 규정합니다. 통제가 설계만 되어서는 안 되고 실제로 작동하는지 경영진이 지속해서 확인하라는 뜻입니다.

구체적인 모습을 보면 경영진이 거래 처리 과정에서 예외를 식별하고 조정하거나 월별 재조정표로 오류를 찾거나 판매 담당자의 신용도 승인을 월 1회 검토합니다. ISA 315.A139는 이런 활동이 설계되었고 실제로 운영되는지를 감사인이 평가하도록 요구합니다.

감사인의 책임은 두 단계입니다. 먼저 피감사회사가 어떤 모니터링 활동을 수행하는지 파악합니다. 그 다음 해당 활동이 통제 오류를 적발하고 수정하는 실질적 능력이 있는지 테스트합니다. 후자가 자주 누락됩니다. 설계를 문서화하고 끝내거나 검증 범위를 너무 좁게 잡습니다. 막상 해보면 6개월 치 검토 기록을 전부 입수하고 하나씩 추적하는 작업은 시간이 걸립니다. 시간 예산이 빠듯한 인차지 입장에서 이 부분을 줄이고 싶은 유혹이 큽니다.

실무 사례: 한진산업 주식회사

한진산업, 중견 자동차 부품 제조사, FY2024, IFRS 보고, 매출 285억 원

판매팀이 매달 신용도 한도 초과 거래를 검토하고 조정합니다. 이 활동을 모니터링 통제로 설계했습니다.

1단계 — 설계 문서화 감사인이 정책을 검토하여 모니터링 활동이 존재하는지 확인합니다. 조서 기록: "매월 신용도 한도 관리자가 거래 일지에서 한도 초과 항목을 필터링하여 판매 관리자에게 보고. 월 평균 2~3건 적발 기록 확인. 정책상 요구되는 활동 존재."

2단계 — 운영 효과 테스트 2024년 6개월 치(1월~6월)의 신용도 한도 검토 기록을 입수합니다. 검토 일자, 검토자 서명, 적발된 초과 항목, 경영진의 조정 조치를 확인합니다. 조서 기록: "2024년 1~6월 월별 한도 검토 일시, 검토자, 식별된 예외 건수, 조정 내용 확인. 1월 3건(모두 조정 완료), 2월 2건(미조정 1건 발견), 3월 4건(모두 조정), 4월 2건(미조정 1건), 5월 3건(미조정 1건), 6월 2건(모두 조정). 총 16건 중 13건 조정, 3건 미조정. 정시성: 월말 다음 주 내 완료."

3단계 — 미작동 평가 3건의 미조정 항목을 추적합니다. 미조정 사유를 경영진에게 질문합니다(고객 분쟁 대기나 거래액 경미 등으로 의도적 보류인가, 절차 미흡인가). 조서 기록: "3건 미조정 항목: (a) 5월 한도 초과 5백만 원, 고객 신용도 재평가 중으로 의도적 미조정. 평가 결과 승인함. (b) 2월 초과 8백만 원, 조정 누락. 경영진 실수. (c) 4월 초과 3백만 원, 거래 취소 예정이나 기간 내 미완료. 6월 최종 조정. 1건은 설계상 예외 처리, 2건은 운영 실패."

모니터링 통제의 설계는 유효하지만 운영 실패 비율이 12.5%(16건 중 3건)입니다. 수정 기한 내 조정되지 않은 항목이 있으므로 감사인은 이 통제의 운영 효과를 신뢰도가 낮다고 평가합니다. 거래 일지 독립 검증과 월별 신용도 연령표 분석 등 추가 실질적 절차가 필요합니다.

감사인과 검토자가 놓치는 점

금감원 감리 결과부터 봅니다. 2024년 감사품질 감리에서 내부통제 테스트에서 모니터링 활동을 기술만 했고 운영 효과를 테스트하지 않은 파일이 검토 대상의 약 35%였습니다. ISA 315.A139는 설계뿐 아니라 운영 효과를 감사인이 평가하도록 명시합니다. 설계를 적고 "모니터링 존재 확인"이라고 쓰면 감리에서 바로 지적 사항입니다.

운영 범위 축소도 흔합니다. 감사인이 모니터링 활동의 존재 증거는 수집하지만 충분한 기간(최소 6개월)과 충분한 표본을 테스트하지 않습니다. 1개월이나 1분기만 테스트하면 모니터링 작동 여부의 실질적 증거가 부족합니다.

가장 근본적인 누락은 효과 측정입니다. "설계되었다"고 기록하지만 "설계된 통제가 실제로 오류를 적발했는가"를 테스트하지 않습니다. 신용도 한도 검토 정책이 있어도 한도 초과를 적발하고 조정한 기록이 없으면 그 통제의 운영 효과는 0입니다. 조서에 정책 사본만 첨부하고 끝내는 파일이 생각보다 많습니다.

관련 용어

- 내부통제: 경영진이 설계하고 운영하는 정책과 절차의 총체. ISA 315는 통제 환경, 위험 평가, 통제 활동, 정보와 소통, 모니터링의 5가지 구성 요소를 규정합니다. - 별도 평가: 경영진이 통제를 의도적으로 테스트하는 활동. 지속적 모니터링과 달리 별도 평가는 정기적(보통 연 1~2회)으로 수행합니다. - 통제 활동: 거래 처리 단계에서 즉시 오류를 방지하거나 적발하는 설정. 지속적 모니터링은 통제 활동의 유효성을 사후에 평가합니다. - 감사 증거: 감사인이 수집하는 거래, 계정 잔액, 공시에 관한 정보. 모니터링 활동의 운영 효과를 입증하는 증거는 월별 검토 기록과 예외 적발 문서, 조정 지시서입니다. - ISA 315: 감사인이 기업을 이해하고 감사 위험을 식별하도록 규정하는 기준서. 내부통제의 5가지 구성 요소를 모두 평가하는 기초입니다.

---

실무 감사 인사이트를 매주 받아보세요.

시험 이론이 아닙니다. 감사를 빠르게 만드는 실질적인 내용입니다.

290개 이상의 가이드 게시20개 무료 도구현직 감사인이 구축

스팸 없음. 저희는 감사인이지 마케터가 아닙니다.