Definition
계약 갱신 미팅. 인차지가 작년 내부회계 ToC 조서를 연다. walkthrough 두 번에 샘플 한 줄. 이걸로 운영 효과성 테스트가 끝나 있다. ISA 330은 이 패턴을 운영 효과성 테스트로 인정하지 않고, 막상 품관실 리뷰에서 가장 자주 깨지는 항목이 바로 여기다.
통제 테스트의 작동 방식
통제 테스트는 ISA 330.A21-A26에서 정의된 세 가지 기본 활동으로 구성된다. 감사인은 먼저 통제의 설계를 평가한다. 이론적으로 설계된 통제가 식별된 위험에 대응할 수 있는지 확인하는 단계다. 다음으로 통제가 실제로 구현되었음을 검증한다. 조직도와 업무 규정, IT 시스템 구성이 설명된 통제를 지원하는지 확인하는 작업이다. 마지막으로 감사 기간 동안 통제가 의도된 대로 작동했는지를 테스트한다.
막상 해보니까 이 마지막 단계가 가장 까다롭다. 테스트 설계는 통제의 특성에 따라 달라진다. 자동화된 IT 통제는 한 번의 설정 검증과 반복 실행의 기술적 확인으로 충분할 수 있다. 수동 통제(예: 관리자 승인)는 감사 기간 전체에 걸친 샘플링을 요구한다. ISA 330.A23은 "통제가 사람에 의해 설계되고 실행되었다면 감사인은 그 통제가 일관되게 적용되었는지를 평가할 증거를 취득해야 한다"고 명시한다.
통제 테스트의 증거는 관찰과 재실행, 검사, 질문이라는 네 가지 방법으로 수집된다. 관찰만으로는 부족하다. 감시하는 동안 직원이 통제를 수행하는 것을 보는 것이 통제의 일상적 작동을 입증하지는 않는다. 재실행은 감사인이 통제를 직접 수행해서 결과가 기록된 결과와 일치하는지 확인하는 것이고 검사는 통제 작동의 객관적 증거(승인 표시, 시스템 로그, 조정 기록)를 검토하는 것이다. 질문만으로는 어떤 통제에 대해서도 충분하지 않다.
실무 사례: Hartmann & Söhne GmbH
클라이언트: 독일 재료 처리 장비 제조업체, FY2024, 연 매출 €78M, IFRS 보고업체.
1단계: 설계 평가 인차지가 과금 프로세스에서 고객 신용 승인을 통제로 식별했다. 매출 거래 전에 신용 한계를 초과하는 주문은 수동으로 승인되어야 한다는 통제다. 감사인은 신용 정책 문서를 검토하고 결제 시스템에서 신용 한계 설정을 확인한 뒤 통제가 설계상 주문 입력 시점에 작동하고 결제 후가 아니라는 것을 확인했다. 문서화 노트: ISA 330.A21에 따른 통제 설계 평가. 조서에 정책 인용 및 시스템 스크린샷 첨부.
2단계: 구현 확인 감사팀은 시스템 관리자와 면담하여 신용 한계가 구성되어 있고 초과 주문에 대한 워크플로 승인 규칙이 설정되어 있으며 승인 담당자 권한이 할당되었음을 확인했다. 문서화 노트: 관리자 면담 기록 및 시스템 사용자 역할 보고서.
3단계: 작동 테스트 감사팀은 1월부터 11월까지 발생한 100개의 표본 거래를 선택했다(월별로 균등하게 분배). 신용 한계를 초과하는 각 거래에 대해: - 시스템이 자동으로 거래를 거부했는지 또는 승인을 요청했는지 확인. - 거부되거나 승인 대기 중인 거래의 경우 승인 기록(승인자 이름, 타임스탬프, 이유)을 검색. - 신용 한계 내 거래는 제약 없이 처리되었는지 확인. 문서화 노트: 100개 샘플의 거래 세부사항, 시스템 로그 스크린샷(거부/승인), 승인 이메일 또는 워크플로 기록 스캔본. 발견 사항: 98개 거래가 통제에 따라 처리되었다. 2개 거래는 시스템 거부 후 5-7일 뒤에 우회 통제 없이 수동으로 입력되었다.
통제는 대부분의 기간에 작동했지만 두 건의 우회가 발견되어 추가 조사 대상이 되었다(최종적으로 경영진이 신용 위험을 수용했음이 입증됨). 테스트는 ISA 330.7의 통제 신뢰도 수준을 지원했다.
감리관과 실무자가 놓치는 부분
- 수동 통제의 표본 부족. 많은 팀이 연초의 한두 거래만 테스트한다. ISA 330.A24는 "사람이 수행하는 통제의 경우, 감사인은 선택된 기간에 걸쳐 통제가 일관되게 적용되었다는 증거를 취득해야 한다"고 명시한다. 수동 통제는 월별로 샘플링되어야 하고 특히 최소 월 1회 이상 발생하는 통제에 대해서는 더욱 그렇다. 필자가 본 사무소에서는 시즌 막판에 이 부분을 메우려다 자괴감만 쌓이는 경우가 많다.
- "작동"과 "적절함"의 혼동. 감사인이 통제가 작동한다는 것을 입증했다 해도 그 통제가 왜곡표시를 적절히 예방 또는 탐지하는 능력이 있는지는 별개다. 청구 거래가 모두 승인되었음을 입증하는 것만으로는 부족하다. 승인자가 실제로 청구 금액과 배송 증명을 비교했다는 증거를 얻어야 한다.
- IT 통제의 과도한 신뢰. 자동화된 통제(예: 시스템이 자동으로 계산하는 채산성 평가)는 한 번의 통제 설정 검증으로 입증될 수 있다고 가정하는 것이다. ISA 330.A25는 자동화 통제에 대해 "감사인은 통제가 올바르게 작동하도록 설계되었고 통제의 효과를 방해할 수 있는 변경이 없다는 증거를 취득해야 한다"고 명시한다. 기간 중 IT 시스템 패치, 구성 변경, 사용자 권한 변경이 통제에 영향을 주었는지 문서화해야 한다.
관련 용어
ISA 330 감사 절차: 통제 테스트는 ISA 330의 광범위한 감시 전략의 일부이다.
실질적 절차: 통제 테스트는 실질적 절차와 함께 사용되어 감사 증거의 양과 특성을 결정한다.
통제 위험: 통제 테스트의 결과는 감사인이 통제 위험을 평가하는 방식에 직접 영향을 미친다.
표본 추출: 통제 테스트의 표본 크기와 방법은 ISA 530에 의해 규제된다.
감사 증거: 통제 테스트에서 수집된 증거는 감사 의견의 기초를 형성한다.
---