Definition
솔직히 비금융기관을 감사하는 팀이 DORA를 "우리 클라이언트와 무관한 EU 금융 규정"으로 분류하고 평가에서 빼버리는 경우가 적지 않다. 막상 ISA 315.32를 다시 펼쳐보면, 정보기술 환경 평가는 회사가 금융기관인지와 무관하게 모든 감사 계획 단계에서 요구된다. 금감원의 감리 결과에서도 IT 통제 평가의 문서화 부족은 반복적으로 지적 사항으로 올라온다.
작동 방식
DORA는 금융 부문의 디지털 탄력성을 보장하기 위해 네 가지 기둥을 설정한다: ICT 위험 관리, 보고, 테스트, 타사 관리. 감사인이 중점을 두어야 할 부분은 경영진이 이 네 기둥을 식별하고 문서화했는지 여부다.
ISA 315.32는 감사인이 정보 기술 환경을 이해하도록 요구한다. DORA의 맥락에서 이는 단순히 회사가 "IT를 사용한다"는 사실을 확인하는 것이 아니라, 경영진이 ICT 운영 위험을 식별하고 통제했는지를 검증하는 것이다. ISA 315.13(a)에 따라 감사인은 내부통제 환경의 일부로서 이 위험 평가 프로세스를 평가한다. DORA 규정은 경영진이 이 평가를 어떤 범위와 깊이까지 수행해야 하는지를 명시한다.
피감사회사가 DORA 적용 대상이 아닌 경우에도 핵심 정보 시스템 장애(예: ERP 시스템 다운타임, 사이버 사건)는 ISA 315와 ISA 240의 부정행위 위험 식별 단계에서 고려해야 한다. 이를 간과하면 IT 환경 변화로 인한 왜곡표시를 놓친다.
산출 예시: Bergmann Finanzvertrieb AG
고객사: 독일 재무 상담 회사, 2024년 회계연도, 매출 €8.5M, IFRS 보고자, 10명 직원
Bergmann은 소규모 금융 지원 회사로, 디지털 기반 고객 문서 관리 시스템을 운영한다. 피감사회사는 DORA 규정 직접 대상은 아니지만(2025년 1월 이후 금융기관이 주요 대상), 금융 데이터 보관과 고객 거래 기록이 모두 클라우드 기반 회계 소프트웨어(QuickBooks Online)에 저장되어 있다.
1단계: 정보 기술 환경 식별
감사팀이 계획 단계에서 "회계 소프트웨어가 있나요?"라는 일반적 질문을 했고, 경영진은 "QuickBooks Online을 사용합니다"라고 답했다.
문서화 노트: ISA 315 체크리스트가 "IT 환경" 섹션을 "QuickBooks ✓"로 표시하고 끝남.
2단계: ISA 315.32에 따른 심화 평가 (DORA 관점 추가)
감사팀이 ISA 315.32를 다시 읽고, DORA 규정이 정의한 ICT 위험 관리 요소를 확인했다. 경영진에게 다음을 질문했다: - QuickBooks 인스턴스에 대한 접근 통제는 누가 관리하는가? (역할 기반 접근 제어가 설정되어 있는가?) - 사용자 계정 관리(추가, 삭제, 권한 변경)는 어떤 프로세스로 진행되는가? - 데이터 백업은 얼마나 자주, 어디에 저장되는가? 복구 테스트를 한 적이 있는가? - 사이버 사건이나 시스템 장애가 발생하면 누가 대응하는가? 문서화된 대응 계획이 있는가?
문서화 노트: 피감사회사는 "IT 담당자가 있지만 정책이 없습니다"라고 답했다. 감사팀은 ISA 315 평가 조서에 이를 통제 결함으로 기록했다: "사용자 접근 관리 정책 미흡. 종료된 직원의 계정이 비활성화되지 않았을 가능성."
3단계: 왜곡표시 위험 평가
ISA 315.32 평가 결과 다음을 식별했다: - 접근 통제 미흡으로 인한 금액 입력 오류 위험: 중간 - 백업/복구 계획 부재로 인한 데이터 손실 위험: 중간
이 두 위험은 실질적 절차(ISA 500)를 트리거했다: - 월별 거래 입력 정확성에 대한 분석적 절차를 강화했다. - 분기말 거래가 사용자별로 추적되는지, 적절한 승인을 받았는지 테스트했다.
문서화 노트: ISA 500 절차 확장이 ISA 315 평가 결과로 인해 필요했다고 기재했다.
결론: DORA 규정이 직접 적용되지 않아도 ISA 315.32는 경영진의 IT 환경 관리 수준에 대한 구체적 평가를 요구한다. 이 평가가 부족하면 감사인은 IT 통제 결함을 놓칠 수 있고, 결과적으로 금액 왜곡표시나 공시 오류를 놓칠 위험이 높아진다.
감리자와 실무자가 놓치는 부분
솔직히 비시즌에 IT 통제 조서를 다시 펼쳐보면 어디서부터 손대야 할지 막막한 경우가 많다. 조서가 "QuickBooks 사용 ✓"로 끝나면 감리에 걸린다. 빅펌이든 로컬이든 결론은 같다. 실무에서 정작 까다로운 건 통제 평가의 결론을 어디까지 명시적으로 적느냐다.
- 국제 감리 표준: ISA 315(2019년 개정) 감사 결과에 따르면, 감사인이 정보 기술 통제를 문서화하지 않거나 일반적 진술("IT가 존재함")에만 의존하는 것이 가장 흔한 발견이다. DORA 규정 시행 이후 이 발견이 더욱 두드러질 것으로 예상된다. 감리자는 피감사회사가 DORA 대상이 아니더라도, 감사인이 ISA 315.32에 따라 IT 환경을 충분히 평가했는지 검토한다. 금감원이 "충분·적합한 감사증거 확보가 미흡"이라고 표현하는 그 지점이다. 실무에서 이것이 의미하는 것: 조서가 너무 얇다.
- 실무 오류: 비금융기관을 감사하는 팀은 DORA를 "금융 규정"으로 분류하고 평가에 포함시키지 않는 경향이 있다. 그러나 피감사회사가 금융 데이터를 디지털로 관리한다면(거의 모든 회사의 경우), ISA 315.32의 정보 기술 환경 평가는 계획 단계에서 필수다. DORA를 "우리 고객에게 적용되지 않으니 무시한다"고 가정하는 것은 ISA 315의 핵심 요구사항을 외면하는 것이다.
- 문서화 미흡: 감사팀이 IT 환경 평가를 수행했더라도 조서에 기록하지 않는 경우가 많다. "통제가 있다" 또는 "통제가 없다"는 결론 없이 "QuickBooks 사용함"이라는 사실만 기재한다. ISA 315.32는 통제 환경 평가를 요구하므로, "통제가 없으므로 왜곡표시 위험이 증가했다"는 결론까지 문서화해야 한다.
관련 용어
- ISA 315: 감사 위험을 식별하고 평가하기 위해 피감사회사와 그 환경을 이해하는 과정. DORA 규정은 이 과정의 "정보 기술 환경" 단계에 구체적 내용을 추가한다. - 내부통제 환경: 경영진과 감사위원회가 수립한 통제 기조. IT 보안과 사이버 사건 대응은 내부통제 환경의 일부다. - 사이버 위험: 해킹, 데이터 유출, 시스템 장애 등 정보 기술 사건으로 인한 위험. ISA 240의 부정행위 위험 식별에서도 고려된다. - ISA 240: 부정행위와 오류를 탐지하기 위한 감사인의 책임. 사이버 사건이나 시스템 조작은 부정행위 위험 요인으로 평가될 수 있다. - ICT 운영 위험: 정보 기술 장애, 보안 침해, 데이터 손실로 인한 재무적 또는 운영적 손실. - 제3자 서비스 제공자: 클라우드 회계 소프트웨어, ERP 호스팅 회사 등 회사의 핵심 디지털 기능을 제공하는 외부 업체. DORA 규정은 회사가 이들을 관리하는 방식을 정의한다.
관련된 ciferi 도구
ciferi의 ISA 315 위험 식별 도구를 사용하여 정보 기술 환경 평가를 빠짐없이 문서화하고, DORA 규정이 정의한 ICT 운영 위험 요소를 포함시킬 수 있다.
---