어떻게 작동하는가

ISA 315.30은 지속적 모니터링을 내부통제 체계의 필수 구성 요소로 규정합니다. 정기적 감사나 감시 활동을 통해 통제의 유효성을 지속해서 평가해야 한다는 뜻입니다.
경영진은 거래 처리 과정에서 예외를 식별하고 조정하거나, 월별 재조정표를 통해 오류를 찾거나, 판매 담당자의 신용도 승인을 월 1회 검토할 수 있습니다. 이 모든 활동이 지속적 모니터링에 해당합니다. ISA 315.A139는 이 활동들이 설계되었고 실제로 운영되는지를 감사인이 평가하도록 요구합니다.
감사인의 책임은 두 가지입니다. 첫째, 피감사회사가 어떤 모니터링 활동을 수행하는지 파악합니다. 둘째, 그 활동이 통제 오류를 적절히 적발하고 수정하는 효과를 가졌는지 테스트합니다. 후자가 자주 누락됩니다. 감사인은 모니터링 설계를 문서화하지만 운영 효과를 검증하지 않거나, 검증 범위가 너무 제한적입니다.

실무 사례: 한진산업 주식회사

클라이언트: 중견 자동차 부품 제조사, 2024년 재무제표, IFRS 보고자, 매출 285억 원.
상황: 판매팀이 매달 신용도 한도 초과 거래를 검토하고 조정합니다. 이것을 모니터링 통제로 설계했습니다.
1단계: 설계 문서화: 감사인이 정책을 검토하여 모니터링 활동이 존재하는지 확인합니다.
조서 기록: "매월 신용도 한도 관리자가 거래 일지에서 한도 초과 항목을 필터링하여 판매 관리자에게 보고. 월 평균 2-3건 적발 기록 확인. 정책상 요구되는 활동 존재."
2단계: 운영 효과 테스트: 2024년 6개월 치(1월~6월)의 신용도 한도 검토 기록을 입수합니다. 검토 일자, 검토자 서명, 적발된 초과 항목, 경영진의 조정 조치를 확인합니다.
조서 기록: "2024년 1~6월 월별 한도 검토 일시, 검토자, 식별된 예외 건수, 조정 내용 확인. 1월 3건(모두 조정 완료), 2월 2건(미조정 1건 발견), 3월 4건(모두 조정), 4월 2건(미조정 1건), 5월 3건(미조정 1건), 6월 2건(모두 조정). 총 16건 중 13건 조정, 3건 미조정. 정시성: 월말 다음 주 내 완료."
3단계: 미작동 평가: 3건의 미조정 항목을 추적합니다. 미조정 사유를 경영진에게 질문합니다(고객 분쟁 대기, 거래액 경미 등으로 의도적 보류인가, 아니면 절차 미흡인가).
조서 기록: "3건 미조정 항목: (a) 5월 한도 초과 5백만 원, 고객 신용도 재평가 중으로 의도적 미조정. 평가 결과 승인함. (b) 2월 초과 8백만 원, 조정 누락. 경영진 실수. (c) 4월 초과 3백만 원, 거래 취소 예정이나 기간 내 미완료. 6월 최종 조정. 1건은 설계상 예외 처리, 2건은 운영 실패."
결론: 모니터링 통제의 설계는 유효하지만 운영 실패 비율이 12.5%(3/16)입니다. 수정 기한 내 조정되지 않은 항목이 있으므로, 감사인은 이 통제의 운영 효과를 신뢰도가 낮다고 평가합니다. 추가 실질적 절차가 필요합니다(거래 일지 독립적 검증, 월별 신용도 연령표 분석 등).

감사인과 검토자가 놓치는 점

  • 금감원 지적: 2024년 금감원 감사품질 감리 결과에 따르면 내부통제 테스트에서 모니터링 활동을 기술만 했고 운영 효과를 테스트하지 않은 파일이 검토 대상의 약 35%였습니다. ISA 315.A139는 설계뿐 아니라 운영 효과를 감사인이 평가하도록 명시합니다.
  • 운영 범위 축소: 감사인이 모니터링 활동이 존재한다는 증거는 수집하지만, 충분한 기간(최소 6개월)과 충분한 표본(월별 또는 분기별 전수)을 테스트하지 않습니다. 1개월 또는 1분기만 테스트하면 모니터링 작동 여부의 실질적 증거가 부족합니다.
  • 효과 측정 생략: 모니터링 활동이 "설계되었다"고 기록하지만, "설계된 통제가 실제로 오류를 적발했는가"를 테스트하지 않습니다. 신용도 한도 검토 정책이 있어도, 실제로 한도 초과를 적발하고 조정한 기록이 없으면 그 통제의 운영 효과는 0입니다.
  • 모니터링 활동과 위험평가의 연결 미흡: ISA 315.A141은 모니터링 활동의 결과가 기업의 위험평가 프로세스에 반영되어야 한다고 규정합니다. 예를 들어 월별 은행 조정에서 매월 3건 이상의 미확인 입금이 발견되지만 경영진이 위험평가를 갱신하지 않는 경우, 감사인은 해당 통제 약점이 중요왜곡표시위험에 미치는 영향을 독립적으로 평가해야 합니다.

관련 용어

---

  • 내부통제: 경영진이 설계하고 운영하는 정책과 절차의 총체. ISA 315는 5가지 통제 환경, 위험 평가, 통제 활동, 정보와 소통, 모니터링을 규정합니다.
  • 별도 평가: 감사인이 통제를 의도적으로 테스트하는 활동. 지속적 모니터링과 달리, 별도 평가는 경영진이 정기적(보통 연 1-2회)으로 수행합니다.
  • 통제 활동: 거래 처리 단계에서 즉시 오류를 방지하거나 적발하는 설정. 지속적 모니터링은 통제 활동의 유효성을 사후 평가합니다.
  • 감사 증거: 감사인이 수집하는 거래, 계정 잔액, 공시에 관한 정보. 모니터링 활동의 운영 효과를 입증하는 증거는 월별 검토 기록, 예외 적발 문서, 조정 지시서입니다.
  • ISA 315: 감사인이 기업을 이해하고 감사 위험을 식별하도록 규정하는 기준서. 내부통제의 5가지 구성 요소를 모두 평가하는 기초입니다.

실무 감사 인사이트를 매주 받아보세요.

시험 이론이 아닙니다. 감사를 빠르게 만드는 실질적인 내용입니다.

290개 이상의 가이드 게시20개 무료 도구현직 감사인이 구축

스팸 없음. 저희는 감사인이지 마케터가 아닙니다.