내부통제 평가

작동 방식

ISA 315.13은 감사인이 재무보고에 관련된 내부통제를 이해하도록 규정한다. 여기에는 IT 시스템, 승인 절차, 분석적 검토, 물리적 보안, 인사관리 정책이 들어간다. 통제의 존재를 파악하고 그것이 실제로 작동하는지 예비 증거를 수집한다. ISA 315.15는 감사인이 통제 환경, 정보 및 통신 시스템, 감시 활동의 세 가지 구성요소를 특히 고려하도록 요구한다.

실무에서 내부통제 평가의 목표는 두 가지다. 감사 절차의 범위를 결정한다. 강력한 매출채권 승인 통제가 존재한다면 거래 수준 테스트는 줄일 수 있다. 또 특정 주장에 대한 감사 위험을 낮춘다. ISA 330.6에서는 감사인이 중요한 왜곡 위험에 대응하기 위해 실질적 절차 외에 통제 테스트를 수행할 것을 고려하도록 규정한다.

실제 사례: Kovar 제조 회사

고객: 슬로바키아 제조업체, 2024 회계연도, 매출 €67M, IFRS 적용.

1단계: 중요한 프로세스 식별 Kovar은 월간 판매 송장 약 800건을 처리한다. 시스템은 고객 신용 한도(€50,000), 가격 테이블, 배송 주소를 기반으로 송장을 자동으로 검증한다. 수동 승인이 필요한 송장은 월 10~15건이다.

문서화 노트: "내부통제 - 매출" 조서에 기록: "Kovar ERP는 신용 한도 초과 및 신규 고객에 대해 자동 블록. CFO 사전 승인 필수. 월간 감시: 권한자 승인 로그 검토."

2단계: 통제 설계 이해 감사팀은 시스템 구성을 추적했다. 신용 한도는 고객 신용등급 및 결제 이력에 따라 설정된다. 가격은 계약 또는 마스터 가격 테이블과 연결된다. 배송 주소는 판매 주문과 일치해야 한다. 이 세 가지 통제가 매출의 존재, 정확성, 완전성 주장을 다룬다.

문서화 노트: "시스템 매개변수 검토: 신용 한도 범위 €5K-€500K. 가격 테이블 마지막 업데이트 2024년 1월. 배송 주소 마스터 파일 1,247건 기록."

3단계: 통제 작동 방식 검증 감사팀은 한 달분(4월) 자동 거절된 800건 중에서 15건 표본을 선택했다. 각각에 대해 거절 사유(신용 한도 초과, 신규 고객, 가격 불일치)가 시스템 로그에 기록되어 있는지 확인했다. 거절된 송장이 수동 승인 대기 큐에 남아 있고 CFO가 서명한 승인 양식이 첨부되어 있는지 검증했다. 모든 15건이 정책에 따라 작동했다.

문서화 노트: "4월 자동 거절 거래 샘플 15건 검토. 모두 통제가 예상대로 작동함을 확인. CFO 승인 서명 모두 현재. 증거: 시스템 로그 및 승인 양식 스캔 부착."

4단계: 통제 신뢰성 결론 자동 검증이 설계대로 작동하고 수동 거절이 적절히 승인되기 때문에 감사팀은 이 통제에 중간 수준의 신뢰도를 설정했다. 매출 주장에 대한 실질적 절차를 상당히 축소할 수 있다는 의미다. 다만 시스템 구성 변경이나 CFO 휴무 기간 중 승인 절차는 별도로 테스트해야 한다.

문서화 노트: "ISA 330 판단: 매출 존재성, 정확성, 권리 및 의무 주장에 대해 통제 테스트에 의존. 실질적 절차 범위 축소: 월말 미수금 잔액의 샘플 크기 500개에서 250개로 감소. 근거: 자동 및 수동 승인 통제 신뢰성 검증 완료."

명확하게 설계된 통제와 일관된 운영 증거가 함께 있을 때 감사인은 자신감 있게 통제 의존 결정을 내릴 수 있고, 감사 효율성이 올라간다.

감리에서 놓치는 것

- Tier 1 — 규제 지적: 많은 감사 파일은 통제 설명과 테스트 간 불일치를 보여준다. 계획 메모에는 "월별 은행 조정이 수행됨"이라고 기록되지만, 테스트 워크페이퍼에는 그 조정을 누가 검토했는지, 언제 검토했는지 명시되지 않는다. ISA 315.33은 감사인이 통제가 어떻게 지속적으로 실행되는지 증거를 수집하도록 요구한다. 문서화된 초기 평가와 실행 증거 사이의 이 끊김은 여러 국가 감리에서 반복 지적사항이다. 인차지 입장에서 가장 보고서일 직전에 발견하기 싫은 유형의 지적이다.

- Tier 2 — 기준 참조 오류: ISA 315.31은 감사인이 "정보 및 통신 시스템의 관련성"을 평가하도록 규정한다. 실무에서는 IT 통제를 일반적인 "강력한 IT 환경"이나 "신뢰할 수 있는 시스템"으로 요약하는 팀이 많다. 이걸로는 ISA 기준을 충족하지 않는다. 감사인은 특정 거래 기록 시스템 통제(데이터 입력 타당성, 인사관리 접근권, 변경 승인)를 문서화해야 한다.

- Tier 3 — 실행 격차: 통제 평가 후 이를 위험 평가에 통합하지 않는 경우가 일반적이다. 감사인은 "자동 청구 시스템이 존재한다"는 것을 알지만 이것이 매출 존재성 위험을 어떻게 낮추는지, 또는 그렇지 않는지를 명시적으로 연결하지 않는다. ISA 330.2는 감사인이 위험 평가에 대응하여 추가 감사 절차를 설계하도록 요구한다. 통제 평가 없이는 이 설계 결정의 근거가 없다.

관련 용어

- 위험 평가 절차: 내부통제 이해는 위험 평가 절차의 구성요소이며, ISA 315.6에서 규정한다.

- 통제 테스트: 통제 평가 후 감사인은 신뢰할 수 있는 통제에 대해 작동을 검증하는 테스트를 설계한다.

- ISA 330 실질적 절차: 통제에 대한 신뢰도가 통제 테스트 범위와 실질적 절차 강도를 결정한다.

- 감시 활동: 내부통제 환경의 한 부분으로, 조직이 통제가 계속 효과적으로 작동하는지 어떻게 감시하는지 설명한다.

- IT 시스템 통제: 많은 거래 검증 통제가 ERP 및 특화 회계 시스템 구성에 의존한다.

- 이상 거래 식별: 자동 통제가 데이터 범위를 벗어나거나 기준을 충족하지 않는 거래를 어떻게 플래그하는지 이해한다.

ISA 315 내부통제 평가 계산기

Ciferi의 ISA 315 내부통제 매트릭스를 사용하면 각 주장별로 통제를 매핑하고, 설계 평가를 기록하며, 테스트 증거를 추적할 수 있다. 계산기는 ISA 315.13-15의 필수 통제 요소를 자동으로 검토하고, 누락된 통제 영역을 플래그한다.

---