Definition
금융감독원(금감원) 감리에서 통제 테스트 관련 지적이 매년 상위권에 오릅니다. 그중에서도 워크스루를 제대로 수행하지 않은 사례가 절반 이상이다. 인터뷰 메모만 첨부하고 거래 증거는 없는 조서, 보정 거래 한 건만 추적하고 끝낸 조서. 제 경험상 이 두 패턴이 가장 흔합니다.
작동 방식
워크스루는 ISA 330.7에서 요구하는 감시 절차의 일부입니다. 감사인은 통제가 실제로 존재하며 피감사회사의 프로세스 내에서 기능하고 있음을 입증해야 한다. 담당자가 통제를 수행한다고 말하는 것만으로는 부족하다. 거래를 골라 처음부터 끝까지 따라가면서, 각 단계에서 통제가 적용된 증거를 조서에 남겨야 합니다.
ISA 330.A27은 "전체 프로세스를 통한 하나 또는 몇 개의 거래 흐름"을 명시한다. 통제가 존재하는지 확인하는 감시 절차입니다. 반면 반복 테스트(ISA 330.8에 따른)는 나중에 거래 모집단 내에서 통제가 일관되게 작동하는지 본다. 두 절차는 다르다. 워크스루는 개별 거래의 경로이고, 반복 테스트는 통제 준수의 패턴이다.
거래 선택이 관건입니다. 임의로 고르되, 보정 거래나 예외 거래는 피해야 한다. 거래는 통제 통로를 대표해야 합니다. 소규모 조직에서는 한 건으로도 충분할 수 있다. 복잡한 프로세스에서는 여러 건이 필요합니다 (승인 경로가 여럿이거나, 통화가 다르거나, 사업부가 분리된 경우).
적용 사례: 태흥 금속 유한회사
클라이언트: 한국 제조회사, 2024년도, 연간 매출 185억 원, K-IFRS 적용.
프로세스: 자재 구매에서 지급까지.
단계 1: 거래 선택 2024년 5월에 발생한 자재 구매 거래 한 건을 선택했습니다(거래번호: PO-240515-073).
문서화 노트: 워크스루 조서에 거래 선택 근거 기록. 선택 이유 — 월간 구매 거래 중 임의 선택, 유효한 공급업체, 통상적인 승인 경로 따름.
단계 2: 구매 주문서 확인 구매팀 담당자 이준호에게 해당 PO가 어떻게 생성되었는지 확인했습니다. 태흥 금속의 정책에 따르면 50만 원 이상의 구매는 팀장 사전 승인이 필요합니다. 해당 PO는 자재 가격 670만 원이었습니다. 시스템에서 승인 대기 상태로 표시되어 있었다.
문서화 노트: 호출해온 PO 사본과 권한 기준(정책 문서 Ref. PRO-2024-002)을 조서에 첨부. 시스템 로그 캡처로 승인 대기 상태 입증.
단계 3: 승인 통제 추적 팀장 박효성의 이메일을 통해 2024년 5월 16일에 PO를 승인했음을 확인했다. 이메일에는 공급업체, 자재 설명, 가격이 포함되어 있었다. 박효성은 구매 요청서 원본과 공급업체 신용도 점수를 검토했다고 설명했습니다(공급업체 등급: A, 계약 조건: 표준).
문서화 노트: 승인 이메일 스크린샷과 공급업체 평가 기록(DATE: 2024-05-10)을 조서에 첨부.
단계 4: 상품 수령 및 검사 2024년 5월 20일에 상품이 도착했습니다. 품질관리팀의 문서에 따르면 자재가 주문 사양과 일치하는지 검사했다. 검사 보고서(RCV-240520-015)에 서명이 있었고 시스템에 입력되어 있었습니다. 결과는 합격.
문서화 노트: 상품 수령 보고서, 검사 보고서, 시스템 상 입력 기록(타임스탬프: 2024-05-20 14:23)을 조서에 첨부.
단계 5: 공급업체 송장 수령 및 삼자간 비교 2024년 5월 25일에 공급업체에서 송장(INV-240515-8842)을 보냈습니다. 회계팀은 송장, PO, 상품 수령 보고서 세 개 문서를 비교했다. PO의 수량 100개, 단가 67,000원이 송장과 일치했고 수령된 수량(100개)도 송장과 일치했습니다.
문서화 노트: 송장 사본, PO, 상품 수령 보고서, 비교 체크리스트(3-way match 확인 체크 표시)를 조서에 첨부.
단계 6: 지급 처리 회계팀의 양은영은 송장을 지급 시스템에 입력했다. 시스템은 자동으로 지급액을 계산했습니다(100개 × 67,000원 = 6,700,000원). 지급은 2024년 6월 10일(표준 조건: 발행 후 15일)에 승인되었고, 2024년 6월 15일에 은행 송금으로 처리되었습니다.
문서화 노트: 지급 시스템 화면 캡처(기록번호: GP-240615-0347), 은행 송금 확인(계좌이체 영수증 DATE: 2024-06-15), 지급 승인 기록(승인자: 재무관리자 김민준)을 조서에 첨부.
결론 이 워크스루는 구매에서 지급까지 통제가 설계된 대로 작동함을 입증했습니다. 승인 권한이 준수되었고, 상품 검사가 수행되었으며, 삼자간 비교가 실행되었고, 지급도 적절히 승인되었다. 이 거래 한 건은 통제 시스템이 기능하고 있음을 보여주지만, 통제가 기간 전체에 걸쳐 일관되게 작동했는지는 반복 테스트에서 추가 샘플을 통해 확인해야 합니다.
감리에서 놓치는 부분
- ISA 330.A27이 "하나 또는 몇 개"의 거래를 명시하지만, 많은 팀이 보정 거래나 명확한 통제 예시만 고릅니다. 이게 감리에서 가장 자주 보는 지적이다. 감리 대상 기관이 이상적인 거래를 선택했을 때 지적 사항이 늘어납니다. 통상적인 거래를 골라야 한다.
- 워크스루가 '통제를 물어본 것'으로 문서화되는 경우가 있습니다. 인터뷰 메모만 있고 실제 거래 증거가 없으면, 금감원은 "통제 존재 입증 미흡"으로 지적합니다. 솔직히 한 건만 인터뷰로 끝내고 조서에 PO 사본 한 장 안 붙이는 경우가 흔하다. 각 단계에서 뒷받침하는 문서가 필요합니다.
- 복잡한 프로세스에서 한 건의 거래만 추적하면 부족합니다. 승인 경로가 여러 개이거나 통화 환산이 포함되거나 자동 통제와 수작업 통제가 섞여 있으면, 각 경로를 나타내는 거래 한 건씩 필요한다. ISA 330.A27의 "하나 또는 몇 개"는 프로세스의 복잡성에 따라 결정됩니다.
- 워크스루와 반복 테스트를 같은 조서에 묶어서 처리하는 사례. 품관실 리뷰에서 자주 걸리는 지점이다. 두 절차는 목적이 다르니 조서도 분리해야 합니다.
관련 용어
- 통제 테스트: 통제가 설계된 대로 작동하는지 확인하는 감시 절차와 반복 테스트의 범위. 워크스루는 통제 테스트의 한 유형입니다. - 반복 테스트: 거래 모집단 내에서 통제가 일관되게 준수되었는지 보는 절차로, 워크스루 이후에 수행합니다. - 중대한 이상점: 워크스루에서 발견된 통제 미흡이 특정 거래에만 해당하는지 또는 더 광범위한 문제인지 평가할 때 필요합니다. - 감시 절차: ISA 330.7에서 요구하는 통제 테스트 방법으로, 워크스루, 재검증, 관찰을 포함합니다. - ISA 330 통제 테스트: 워크스루가 포함된 기본 표준입니다. - 프로세스 맵핑: 워크스루를 계획하기 전에 거래 경로를 파악하기 위한 단계입니다.
계산기 및 도구
ISA 330 통제 테스트 워크시트를 사용하여 워크스루 계획, 거래 선택, 문서화 단계를 정리할 수 있습니다. 프로세스 흐름도, 거래 선택 기준, 문서화 체크리스트를 제공하여 감리 지적 위험을 줄입니다.
---