핵심 요점

근본원인분석은 감사 절차의 실패가 아니라 절차가 수행되지 않은 이유를 찾습니다.
감사인이 예상 결과를 얻지 못했을 때 절차를 반복하는 것과 근본원인을 파악하는 것은 다릅니다.
감시 기록에 근본원인과 그에 따른 시정 조치를 문서화하지 않으면 감리에서 지적을 받을 가능성이 높습니다.
근본원인분석의 빈약한 실행은 국제 감리 기관들이 반복적으로 지적하는 감사품질 관찰사항입니다.

작동 원리

근본원인분석은 "어떻게 잘못되었는가"가 아닌 "왜 우리가 그것을 놓쳤는가"를 묻습니다. 예를 들어 매출 표본이 예상 결과를 얻지 못했다면, 근본원인분석의 대상은 표본 설계 자체가 아닙니다. 대신 다음을 검토합니다. 담당 감사인이 위험 프로파일을 올바르게 평가하지 못했는가? 표본 선정 기준이 감사인이 이해하지 못한 제약을 가지고 있었는가? 증거 평가가 제대로 문서화되지 않았는가?
ISA 220.13은 업무수행이사가 "수행된 감시 활동과 그 결과"를 평가하도록 요구합니다. 이는 단순히 감시 목록을 작성하는 것이 아니라 감시 중에 식별된 문제가 감사팀이 어떻게 대응했는지, 그 근본 원인이 무엇이었는지를 기록하는 것을 의미합니다. 근본원인분석이 없으면 기록은 "X 절차 재검토 완료, 이번에는 합격"이 됩니다. 근본원인분석이 있으면 "X 절차 재검토 완료. 원인: 담당자가 통제 테스트 실행 계획을 작성할 당시 관리 구조 변경을 인식하지 못함. 시정: 팀 조회(Team Brief)에서 2024년 월별 사건(significant events)을 사전 안내"가 됩니다.

실무 예시: 헬싱키 제약 유통 회사(Aalto Pharma Logistics Oy)

피감사회사: 핀란드의 제약 물류 기업, 2024년 종료, 매출 €87M, IFRS 적용
상황: 재고 순환 감사 중 현지 보관소 3곳의 표본 중 1곳에서 수량 차이가 발견되었습니다. 원래 계획에서는 해당 보관소를 표본 대상에 포함하지 않았습니다.
1단계: 절차 수행: 추적 불가능한 재고 항목에 대한 이동 검증을 수행했고, 12개 항목이 재고 시스템에는 기록되지 않은 폐기 문서만 가지고 있었습니다.
문서화 노트: 재고 이동 추적 조서, 페이지 6, 확인된 차이 목록
2단계: 근본원인분석: 재감사팀(review team)이 다음을 조회했습니다:
문서화 노트: 감시 기록, 측정 항목 섹션, 2024년 2월-3월 통제 변경 추적. 재감사 확인 조서.
결론: 이는 표본 설계 오류가 아닙니다. 이는 업무수행이사가 감시 중 추적해야 하는 구조적 인식 격차입니다. 시정 조치는 현지 팀 회의 주기(현재: 분기별)를 월별로 변경하고, 재감사자가 매월 통제 변경 로그를 검토하는 것입니다. 문서에 이를 남깁니다.

  • 왜 이 보관소가 처음 표본에 포함되지 않았는가? (답: 2024년 1월 인수 후 재정리되었고 위험도가 낮다고 평가됨)
  • 왜 폐기 절차가 시스템 기록을 트리거하지 않았는가? (답: 현지 팀이 2023년 매뉴얼 상태에서 작동하고 있었고, 2024년 시스템 업그레이드를 인식하지 못함)
  • 진행 중 감시 활동이 이를 어떻게 놓쳤는가? (답: 감시자가 현지 보관소 절차 변경을 추적하는 별도의 로그를 점검하지 않음)

감리 기관이 지적하는 사항

국제 감리 기관의 관찰 사항 (Tier 1): ISA 220 준수 감시에 관한 최근 감리 자료들은 근본원인분석이 감시 기록에서 누락되거나 피상적인 경우가 많음을 지적합니다. PCAOB는 2022년 감시 관찰에서 감사팀이 "감시 절차 결과에 대해 적절한 대응을 했는지, 또는 단순히 재시도했는지"를 문서화하는 데 실패하는 경우를 보고했습니다. FRC 관찰(2023)에서는 근본원인분석이 "감사 설계 단계에서 식별되지 않은 위험에 직면했을 때 편의적으로 추가된 것처럼 보인다"고 지적했습니다.
표준 참조 실무 오류 (Tier 2): ISA 220.13의 핵심은 업무수행이사의 감시 책임입니다. 많은 팀이 감시를 "검사자가 오류를 포착하는 활동"으로 이해하지만, ISA 220.A35-A38은 감시가 실제로 포함하는 것이 훨씬 광범위함을 보여줍니다: 감사 전략과 계획에서의 실제 편차 추적, 감사팀의 이해도 확인, 팀 간 협력과 의사소통 평가. 이 중 어느 것이 문제를 야기했는지 식별하지 않으면 근본원인분석이 완성되지 않았습니다.
실무 격차 (Tier 3): 근본원인분석은 종종 감시 자료 작성 후 재감사 단계 마지막에 이루어집니다. 따라서 동향을 파악하거나 반복적 문제를 해결할 기회가 줄어듭니다. ISA 220.A36은 감시 활동이 "감사 업무를 수행하는 동안 진행 중(ongoing basis)"으로 수행되어야 한다고 명확하게 했으므로, 근본원인분석도 동시적이어야 합니다. 시간이 지난 후 근본원인을 파악하기는 어렵습니다.

근본원인분석과 단순 감시의 차이

근본원인분석은 감시와 동일하지 않습니다. 감시는 문제를 발견합니다. 근본원인분석은 문제의 근저에 있는 것을 이해합니다.
| 차원 | 단순 감시 | 근본원인분석이 포함된 감시 |
|-----|---------|----------------------|
| 질문 | "이 절차가 수행되었는가?" | "이 절차가 수행되지 않은 이유는 무엇인가?" |
| 산출 물 | 합격/불합격 표시 | 합격/불합격 + 발견된 편차의 근본 원인 기술 |
| 시정 조치 | "절차 재수행" | "프로세스 또는 팀 이해도 변경" |
| 다음 년도에 반복될 위험 | 높음 (원인이 해결되지 않음) | 낮음 (원인이 해결됨) |

관련 용어

  • 감사 감시: 업무수행이사가 감사 과정 전반에서 팀의 작업을 검토하는 활동 프로세스
  • ISA 220: 감사 품질 관리를 포함하고 감시 책임을 정의하는 기본 표준
  • 감사 증거 불충분: 근본원인분석이 가장 자주 필요한 감시 발견사항
  • 감사 계획: 감시가 추적해야 하는 위험 프로파일과 절차 설계
  • 업무수행이사: 최종적으로 감시 적절성에 책임을 지는 개인
  • 감사팀 내 의사소통: 감시가 평가하는 또 다른 영역

실무 감사 인사이트를 매주 받아보세요.

시험 이론이 아닙니다. 감사를 빠르게 만드는 실질적인 내용입니다.

290개 이상의 가이드 게시20개 무료 도구현직 감사인이 구축

스팸 없음. 저희는 감사인이지 마케터가 아닙니다.