작동 방식

ISA 315.13은 감사인이 재무보고에 관련된 내부통제를 이해해야 한다고 규정합니다. 이는 IT 시스템, 승인 절차, 분석적 검토, 물리적 보안, 인사관리 정책을 포함합니다. 통제의 존재를 파악하고 그것이 실제로 작동하는지 예비 증거를 수집합니다. ISA 315.15는 감사인이 통제 환경, 정보 및 통신 시스템, 감시 활동의 세 가지 구성요소를 특히 고려하도록 요구합니다.
실무에서 내부통제 평가의 목표는 다음과 같습니다. 첫째, 감사 절차의 범위를 결정합니다. 강력한 매출채권 승인 통제가 존재한다면 거래 수준 테스트는 줄일 수 있습니다. 둘째, 특정 주장에 대한 감사 위험을 낮춥니다. ISA 330.6에서는 감사인이 중요한 왜곡 위험에 대응하기 위해 실질적 절차 외에 통제 테스트를 수행할 것을 고려하도록 규정합니다.

실제 사례: Kovar 제조 회사

고객: 슬로바키아 제조업체, 2024 회계연도, 매출 €67M, IFRS 적용.
1단계: 중요한 프로세스 식별
Kovar은 월간 판매 송장 약 800건을 처리합니다. 시스템은 고객 신용 한도(€50,000), 가격 테이블, 배송 주소를 기반으로 송장을 자동으로 검증합니다. 수동 승인이 필요한 송장은 월 10~15건입니다.
문서화 노트: "내부통제 - 매출" 조서에 기록: "Kovar ERP는 신용 한도 초과 및 신규 고객에 대해 자동 블록. CFO 사전 승인 필수. 월간 감시: 권한자 승인 로그 검토."
2단계: 통제 설계 이해
감사팀은 시스템 구성을 추적했습니다. 신용 한도는 고객 신용등급 및 결제 이력에 따라 설정됩니다. 가격은 계약 또는 마스터 가격 테이블과 연결됩니다. 배송 주소는 판매 주문과 일치해야 합니다. 이 세 가지 통제가 매출의 존재, 정확성, 완전성 주장을 다룹니다.
문서화 노트: "시스템 매개변수 검토: 신용 한도 범위 €5K-€500K. 가격 테이블 마지막 업데이트 2024년 1월. 배송 주소 마스터 파일 1,247건 기록."
3단계: 통제 작동 방식 검증
감사팀은 한 달분(4월) 자동 거절된 800건 중에서 15건 표본을 선택했습니다. 각각에 대해 거절 사유(신용 한도 초과, 신규 고객, 가격 불일치)가 시스템 로그에 기록되어 있는지 확인했습니다. 거절된 송장이 수동 승인 대기 큐에 남아 있으며 CFO가 서명한 승인 양식이 첨부되어 있는지 검증했습니다. 모든 15건이 정책에 따라 작동했습니다.
문서화 노트: "4월 자동 거절 거래 샘플 15건 검토. 모두 통제가 예상대로 작동함을 확인. CFO 승인 서명 모두 현재. 증거: 시스템 로그 및 승인 양식 스캔 부착."
4단계: 통제 신뢰성 결론
자동 검증이 설계대로 작동하고 수동 거절이 적절히 승인되기 때문에 감사팀은 이 통제에 중간 수준의 신뢰도를 설정했습니다. 이는 매출 주장에 대한 실질적 절차를 상당히 축소할 수 있음을 의미합니다. 그러나 시스템 구성 변경이나 CFO 휴무 기간 중 승인 절차를 별도로 테스트할 필요가 있습니다.
문서화 노트: "ISA 330 판단: 매출 존재성, 정확성, 권리 및 의무 주장에 대해 통제 테스트에 의존. 실질적 절차 범위 축소: 월말 미수금 잔액의 샘플 크기 500개에서 250개로 감소. 근거: 자동 및 수동 승인 통제 신뢰성 검증 완료."
결론: 명확하게 설계된 통제와 일관된 운영 증거가 함께 있을 때 감사인은 자신감 있게 통제 의존 결정을 내릴 수 있으며, 이는 감사 효율성을 높입니다.

감리에서 놓치는 것

  • Tier 1: 규제 지적: 많은 감사 파일은 통제 설명과 테스트 간 불일치를 보여줍니다. 예를 들어 계획 메모에는 "월별 은행 조정이 수행됨"이라고 기록되지만, 테스트 워크페이퍼에는 그 조정을 실제로 누가 검토했는지, 그리고 언제 검토했는지 명시되지 않습니다. ISA 315.33에서 감사인은 통제가 어떻게 지속적으로 실행되는지 증거를 수집해야 합니다. 문서화된 초기 평가와 실행 증거 사이의 이 연결 끊김은 여러 국가 감리에서 반복 지적사항입니다.
  • Tier 2: 기준 참조 오류: ISA 315.31에서는 감사인이 "정보 및 통신 시스템의 관련성"을 평가하도록 규정합니다. 실무에서는 많은 팀이 IT 통제를 일반적인 "강력한 IT 환경"이나 "신뢰할 수 있는 시스템"으로 요약합니다. 이것은 ISA의 기준을 충족하지 않습니다. 감사인은 특정 거래 기록 시스템 통제(데이터 입력 타당성, 인사관리 접근권, 변경 승인)를 문서화해야 합니다.
  • Tier 3: 실행 격차: 통제 평가 후 이를 위험 평가에 통합하지 않는 경우가 일반적입니다. 감사인은 "자동 청구 시스템이 존재한다"는 것을 알지만 이것이 매출 존재성 위험을 어떻게 낮추는지, 또는 그렇지 않는지를 명시적으로 연결하지 않습니다. ISA 330.2는 감사인이 위험 평가에 대응하여 추가 감사 절차를 설계하도록 요구합니다. 통제 평가 없이는 이 설계 결정이 근거가 없습니다.

관련 용어

  • 위험 평가 절차: 내부통제 이해는 위험 평가 절차의 구성요소이며, ISA 315.6에서 규정합니다.
  • 통제 테스트: 통제 평가 후 감사인은 신뢰할 수 있는 통제에 대해 작동을 검증하는 테스트를 설계합니다.
  • ISA 330 실질적 절차: 통제에 대한 신뢰도가 통제 테스트 범위와 실질적 절차 강도를 결정합니다.
  • 감시 활동: 내부통제 환경의 한 부분으로, 조직이 통제가 계속 효과적으로 작동하는지 어떻게 감시하는지 설명합니다.
  • IT 시스템 통제: 많은 거래 검증 통제가 ERP 및 특화 회계 시스템 구성에 의존합니다.
  • 이상 거래 식별: 자동 통제가 데이터 범위를 벗어나거나 기준을 충족하지 않는 거래를 어떻게 플래그하는지 이해합니다.

ISA 315 내부통제 평가 계산기

Ciferi의 ISA 315 내부통제 매트릭스를 사용하면 각 주장별로 통제를 매핑하고, 설계 평가를 기록하며, 테스트 증거를 추적할 수 있습니다. 계산기는 ISA 315.13-15의 필수 통제 요소를 자동으로 검토하고, 누락된 통제 영역을 플래그합니다.

실무 감사 인사이트를 매주 받아보세요.

시험 이론이 아닙니다. 감사를 빠르게 만드는 실질적인 내용입니다.

290개 이상의 가이드 게시20개 무료 도구현직 감사인이 구축

스팸 없음. 저희는 감사인이지 마케터가 아닙니다.