통제 테스트

통제 테스트의 작동 방식

통제 테스트는 ISA 330.A21-A26에서 정의된 세 가지 기본 활동으로 구성됩니다. 첫째, 감사인은 통제의 설계를 평가합니다. 이는 이론적으로 설계된 통제가 식별된 위험에 대응할 수 있다는 것을 확인하는 것입니다. 둘째, 감사인은 통제가 실제로 구현되었음을 검증합니다. 조직도, 업무 규정, IT 시스템 구성이 설명된 통제를 지원하는지 확인하는 것입니다. 셋째, 감사인은 감사 기간 동안 통제가 의도된 대로 작동했는지를 테스트합니다.
마지막 단계가 가장 복잡합니다. 테스트 설계는 통제의 특성에 따라 달라집니다. 자동화된 IT 통제는 한 번의 설정 검증과 반복 실행의 기술적 확인으로 충분할 수 있습니다. 수동 통제(예: 관리자 승인)는 감사 기간 전체에 걸친 샘플링을 요구합니다. ISA 330.A23은 "통제가 사람에 의해 설계되고 실행되었다면, 감사인은 그 통제가 일관되게 적용되었는지를 평가할 증거를 취득해야 한다"고 명시합니다.
통제 테스트의 증거는 관찰, 재실행, 검사, 질문이라는 네 가지 방법으로 수집됩니다. 관찰만으로는 불충분합니다. 감시하는 동안 직원이 통제를 수행하는 것을 보는 것은 통제의 일상적 작동을 입증하지 않습니다. 재실행은 감사인이 통제를 직접 수행하여 결과가 기록된 결과와 일치하는지 확인하는 것입니다. 검사는 통제 작동의 객관적 증거(승인 표시, 시스템 로그, 조정 기록)를 검토하는 것입니다. 질문만으로는 어떤 통제에 대해서도 충분하지 않습니다.

실무 사례: Hartmann & Söhne GmbH

클라이언트: 독일 재료 처리 장비 제조업체, FY2024, 연 매출 €78M, IFRS 보고업체.
1단계: 설계 평가
감사팀은 과금 프로세스에서 고객 신용 승인을 식별했습니다. 통제는 매출 거래 전에 신용 한계를 초과하는 주문이 수동으로 승인되어야 한다는 것입니다. 감사인은 신용 정책 문서를 검토하고 결제 시스템에서 신용 한계 설정을 확인했습니다. 통제가 설계상 주문 입력 시점에 작동하고 결제 후가 아니라는 것을 확인했습니다.
문서화 노트: ISA 330.A21에 따른 통제 설계 평가. 조서에 정책 인용 및 시스템 스크린샷 첨부.
2단계: 구현 확인
감사팀은 시스템 관리자와 면담하여 신용 한계가 구성되어 있고, 초과 주문에 대한 워크플로 승인 규칙이 설정되어 있으며, 승인 담당자 권한이 할당되었음을 확인했습니다.
문서화 노트: 관리자 면담 기록 및 시스템 사용자 역할 보고서.
3단계: 작동 테스트
감사팀은 1월부터 11월까지 발생한 100개의 표본 거래를 선택했습니다(월별로 균등하게 분배). 신용 한계를 초과하는 각 거래에 대해:
문서화 노트: 100개 샘플의 거래 세부사항, 시스템 로그 스크린샷(거부/승인), 승인 이메일 또는 워크플로 기록 스캔본. 발견 사항: 98개 거래가 통제에 따라 처리되었습니다. 2개 거래는 시스템 거부 후 5-7일 뒤에 우회 통제 없이 수동으로 입력되었습니다.
결론: 통제는 대부분의 기간에 작동했지만, 두 건의 우회가 발견되었으며, 이는 추가 조사 대상이었습니다(최종적으로 경영진이 신용 위험을 수용했음을 입증). 테스트는 ISA 330.7의 통제 신뢰도 수준을 지원했습니다.

시스템이 자동으로 거래를 거부했는지, 또는 승인을 요청했는지 확인.
거부되거나 승인 대기 중인 거래의 경우, 승인 기록(승인자 이름, 타임스탬프, 이유)을 검색.
신용 한계 내 거래는 제약 없이 처리되었는지 확인.

감리관과 실무자가 놓치는 부분

수동 통제의 표본 부족: 많은 팀이 연초의 한두 거래만 테스트합니다. ISA 330.A24는 "사람이 수행하는 통제의 경우, 감사인은 선택된 기간에 걸쳐 통제가 일관되게 적용되었다는 증거를 취득해야 한다"고 명시합니다. 수동 통제는 월별로 샘플링되어야 하며, 특히 최소 월 1회 이상 발생하는 통제에 대해서는 그렇습니다.
"작동"과 "적절함"의 혼동: 감사인이 통제가 작동한다는 것을 입증했다 해도, 그 통제가 왜곡표시를 적절히 예방 또는 탐지하는 능력이 있는지는 별개입니다. 예를 들어, 청구 거래가 모두 승인되었음을 입증하는 것만으로는 충분하지 않습니다. 승인자가 실제로 청구 금액과 배송 증명을 비교했다는 증거를 얻어야 합니다.
IT 통제의 과도한 신뢰: 자동화된 통제(예: 시스템이 자동으로 계산하는 채산성 평가)는 한 번의 통제 설정 검증으로 입증될 수 있다고 가정하는 것입니다. ISA 330.A25는 자동화 통제에 대해 "감사인은 통제가 올바르게 작동하도록 설계되었고, 통제의 효과를 방해할 수 있는 변경이 없다는 증거를 취득해야 한다"고 명시합니다. 기간 중 IT 시스템 패치, 구성 변경, 사용자 권한 변경이 통제를 영향받았는지 문서화해야 합니다.