Definition
근본원인분석은 감리 보고서마다 지적되지만, 실제 조서에서는 "재수행 완료, 합격"으로 끝나는 경우가 대부분이다. 절차의 결과만 기록하고 왜 절차가 처음에 빠졌는지는 묻지 않는다. 사실 근본원인분석이 부실한 이유는 시간이 없어서다. 시즌이 끝나가는 시점에 누구도 "왜 이 절차를 처음에 놓쳤는가"를 묻고 싶어 하지 않는다.
핵심 요점
> - 근본원인분석은 감사 절차의 실패가 아니라 절차가 수행되지 않은 이유를 찾는다. > - 예상 결과를 얻지 못했을 때 절차를 반복하는 것과 근본원인을 파악하는 것은 다르다. > - 감시 기록에 근본원인과 시정 조치를 문서화하지 않으면 감리에서 지적이 따라온다. > - 근본원인분석의 빈약한 실행은 국제 감리 기관들이 반복적으로 지적하는 감사품질 관찰 사항이다.
작동 원리
근본원인분석은 "어떻게 잘못되었는가"가 아닌 "왜 우리가 그것을 놓쳤는가"를 묻는다. 매출 표본이 예상 결과를 얻지 못했다면, 근본원인분석의 대상은 표본 설계 자체가 아니다. 검토 대상은 다음과 같다. 담당 감사인이 위험 프로파일을 올바르게 평가하지 못했는가? 표본 선정 기준이 감사인이 이해하지 못한 제약을 가지고 있었는가? 증거 평가가 제대로 문서화되지 않았는가? 어느 단계에서 인식 격차가 발생했는가?
ISA 220.13은 업무수행이사가 "수행된 감시 활동과 그 결과"를 평가하도록 요구한다. 실무에서 이것이 의미하는 것은 감시 목록을 작성하는 데 그치지 않는다는 점이다. 감시 중 식별된 문제에 감사팀이 어떻게 대응했는지, 그 근본 원인이 무엇이었는지를 조서에 남겨야 한다. 근본원인분석이 없으면 기록은 "X 절차 재검토 완료, 이번에는 합격"이 된다. 근본원인분석이 있으면 "X 절차 재검토 완료. 원인: 담당자가 통제 테스트 실행 계획을 작성할 당시 관리 구조 변경을 인식하지 못함. 시정: 팀 조회(Team Brief)에서 2024년 월별 사건(significant events)을 사전 안내"로 바뀐다.
실무 예시: 헬싱키 제약 유통 회사(Aalto Pharma Logistics Oy)
피감사회사: 핀란드의 제약 물류 기업, 2024년 종료, 매출 €87M, IFRS 적용
상황: 재고 순환 감사 중 현지 보관소 3곳의 표본 중 1곳에서 수량 차이가 발견됐다. 원래 계획에서는 해당 보관소를 표본 대상에 포함하지 않았다.
1단계: 절차 수행: 추적 불가능한 재고 항목에 대한 이동 검증을 수행했고, 12개 항목이 재고 시스템에 기록되지 않은 폐기 문서만 가지고 있었다.
문서화 노트: 재고 이동 추적 조서, 페이지 6, 확인된 차이 목록
2단계: 근본원인분석: 재감사팀(review team)이 다음을 조회했다. - 왜 이 보관소가 처음 표본에 포함되지 않았는가? (답: 2024년 1월 인수 후 재정리되었고 위험도가 낮다고 평가됨) - 왜 폐기 절차가 시스템 기록을 트리거하지 않았는가? (답: 현지 팀이 2023년 매뉴얼 상태에서 작동하고 있었고, 2024년 시스템 업그레이드를 인식하지 못함) - 진행 중 감시 활동이 이를 어떻게 놓쳤는가? (답: 감시자가 현지 보관소 절차 변경을 추적하는 별도의 로그를 점검하지 않음)
문서화 노트: 감시 기록, 측정 항목 섹션, 2024년 2월-3월 통제 변경 추적. 재감사 확인 조서.
결론: 표본 설계 오류가 아니다. 업무수행이사가 감시 중 추적해야 하는 체계적 인식 격차다. 시정 조치는 현지 팀 회의 주기(현재: 분기별)를 월별로 변경하고, 재감사자가 매월 통제 변경 로그를 검토하는 것이다. 조서에 이를 남긴다.
감리 기관이 지적하는 사항
국제 감리 기관의 ISA 220 준수 자료들은 근본원인분석이 감시 기록에서 누락되거나 피상적인 경우가 많음을 반복적으로 짚는다. PCAOB는 2022년 감시 관찰에서 감사팀이 "감시 절차 결과에 대해 적절한 대응을 했는지, 또는 단순히 재시도했는지"를 문서화하지 못한 사례를 보고했다. 실무에서 이것이 의미하는 것: 조서가 절차를 다시 돌렸다는 사실만 적었지, 왜 처음에 놓쳤는지는 비어 있었다는 뜻이다. FRC 관찰(2023)에서는 근본원인분석이 "감사 설계 단계에서 식별되지 않은 위험에 직면했을 때 편의적으로 추가된 것처럼 보인다"고 지적했다.
ISA 220.13의 핵심은 업무수행이사의 감시 책임이다. 많은 팀이 감시를 "검사자가 오류를 포착하는 활동"으로 이해하지만, ISA 220.A35-A38은 감시가 더 넓은 활동임을 보여준다. 감사 전략과 계획에서의 실제 편차 추적, 감사팀의 이해도 확인, 팀 간 협력과 의사소통 평가가 모두 포함된다. 이 중 어느 것이 문제를 야기했는지 식별하지 않으면 근본원인분석은 미완성이다.
근본원인분석이 종종 감시 자료 작성 후 재감사 단계 마지막에 이루어진다는 점도 실무 격차다. 그래서 동향을 파악하거나 체계적 문제를 해결할 기회가 줄어든다. ISA 220.A36은 감시 활동이 "감사 업무를 수행하는 동안 진행 중(ongoing basis)"으로 수행되어야 한다고 명시했으므로, 근본원인분석도 동시적이어야 한다. 막상 해보니까 시간이 지난 후 근본원인을 파악하는 작업은 거의 불가능에 가깝다.
근본원인분석과 단순 감시의 차이
근본원인분석은 감시와 같지 않다. 감시는 문제를 발견한다. 근본원인분석은 문제의 근저에 있는 것을 이해한다.
| 차원 | 단순 감시 | 근본원인분석이 포함된 감시 |
|---|---|---|
| 질문 | "이 절차가 수행되었는가?" | "이 절차가 수행되지 않은 이유는 무엇인가?" |
| 산출 물 | 합격/불합격 표시 | 합격/불합격 + 발견된 편차의 근본 원인 기술 |
| 시정 조치 | "절차 재수행" | "프로세스 또는 팀 이해도 변경" |
| 다음 년도에 반복될 위험 | 높음 (원인이 해결되지 않음) | 낮음 (원인이 해결됨) |
관련 용어
- 감사 감시: 업무수행이사가 감사 과정 전반에서 팀의 작업을 검토하는 활동 프로세스 - ISA 220: 감사 품질 관리를 포함하고 감시 책임을 정의하는 기본 표준 - 감사 증거 불충분: 근본원인분석이 가장 자주 필요한 감시 발견사항 - 감사 계획: 감시가 추적해야 하는 위험 프로파일과 절차 설계 - 업무수행이사: 최종적으로 감시 적절성에 책임을 지는 개인 - 감사팀 내 의사소통: 감시가 평가하는 또 다른 영역