클라우드 회계가 IT 통제 환경에 미치는 영향
클라우드 회계 시스템은 온프레미스와 통제 구조 자체가 다릅니다. ISA 315.13은 감사인이 내부통제를 이해하도록 요구하며, 클라우드 환경에서는 네 개의 통제 계층을 검토해야 합니다.
첫 번째는 엔터티 수준 통제입니다. 경영진이 누구에게 시스템 접근권한을 부여하는지, 권한을 어떻게 관리하고 검토하는지에 관한 정책입니다. 두 번째는 애플리케이션 통제입니다. 클라우드 회계 소프트웨어 자체가 가진 데이터 입력 검증, 자동 승인 워크플로, 분개 입력 제한, 감사 추적 로깅이 여기에 해당합니다.
세 번째는 클라우드 서비스 제공업체(CSP)의 통제입니다. 대부분의 팀이 여기서 막힙니다. AWS나 Azure의 물리적 보안을 직접 평가할 수는 없습니다. 네 번째는 CSP와 클라이언트 사이의 책임 분담 경계인데, 이 부분이 조서에서 가장 빠지기 쉽습니다.
ISA 315.A69는 서비스 조직의 통제가 재무제표와 관련될 때 감사인이 고려해야 한다고 규정합니다. 클라이언트의 총계정원장이 제3자 인프라에 저장되는 이상 이 규정은 항상 해당됩니다.
클라우드 환경에서 위험 식별과 평가
ISA 315.20은 중요한 왜곡표시 위험의 식별과 평가를 요구합니다. 클라우드 회계에서는 네 가지 위험 영역을 검토합니다.
데이터 접근성 위험이 첫 번째입니다. 온프레미스에서는 서버가 다운되면 물리적으로 확인할 수 있었습니다. 클라우드에서는 인터넷이 끊기거나 CSP에 장애가 발생하면 완전히 차단됩니다. ISA 315.A131에 따라 비즈니스 프로세스 관련 위험으로 평가해야 합니다.
데이터 완전성 위험이 두 번째입니다. 자동 백업이 있다고 해서 백업 데이터가 온전하다는 뜻은 아닙니다. 여러 사용자가 동시에 입력할 때 동시성 제어가 작동하는지 별도로 확인해야 합니다.
권한 관리 위험이 세 번째입니다. 모바일 앱, 웹 브라우저, API 연결, VPN 접속 각각이 별도의 접근점입니다. 접근점이 늘어난 만큼 보안 취약점도 늘어납니다.
공급업체 의존 위험이 네 번째입니다. CSP가 사업을 중단하거나 서비스 조건을 변경하거나 보안 침해를 당하거나 데이터 센터를 이전할 경우, 클라이언트에 직접 영향이 갑니다.
실무 적용 예시: 한국금속산업(주)의 클라우드 전환 감사
한국금속산업(주)는 연매출 850억 원의 철강 부품 제조업체입니다. 2024년에 기존 ERP에서 Sage Intacct로 전환했고, 전환 첫 해 감사에서 아래 절차를 수행했습니다.
1단계는 시스템 이해와 통제 환경 평가입니다. 클라우드 아키텍처 다이어그램과 데이터 흐름도를 W/P A-15에 포함하고, Sage Intacct의 역할 기반 접근 통제 매트릭스를 검토합니다. 사용자 목록과 권한 수준은 W/P IT-01에 기록합니다.
2단계는 서비스 조직 통제 평가입니다. Sage의 SOC 2 Type II 보고서를 입수해 관련 통제 영역과 감사 의견을 W/P IT-02에 요약합니다. 보완 사용자 엔터티 통제(complementary user entity controls)를 식별하고 W/P IT-03에 목록을 작성합니다.
3단계는 데이터 완전성 테스트입니다. 2024년 1월 1일부터 12월 31일까지 전체 분개를 추출합니다. 총 8,247건 중 시스템 생성 번호의 연속성을 W/P IT-04에서 확인하고, 월별 시산표와 총계정원장 잔액을 비교해 12개월 전부 불일치 0건임을 W/P IT-05에 기록합니다.
4단계는 접근 통제 테스트입니다. 연중 신규 입사자 3명, 퇴사자 2명의 접근 권한 변경을 HR 기록과 시스템 로그로 대조해 W/P IT-06에서 입증합니다. 관리자 권한 보유자 5명의 월별 접근 로그를 샘플링한 결과 비정상 시간대 로그인 0건, 권한 남용 0건을 W/P IT-07에 확인했습니다.
결과적으로 클라우드 전환에 따른 중요한 통제 미비사항은 없었습니다. 다만 데이터 백업 복원 테스트가 6개월간 미수행이었던 점은 경미한 권고사항으로 제기했습니다. 막상 조서를 열어보면 이런 부분이 빠져 있는 경우가 생각보다 많습니다.
클라우드 감사를 위한 실무 체크리스트
1. 계획 단계에서 클라이언트가 사용하는 클라우드 서비스(회계 소프트웨어, 급여 시스템, CRM, 문서 관리)를 전부 파악하고 SOC 보고서 가용성을 확인합니다.
2. 접근 통제 매트릭스를 작성합니다. 누가 어떤 모듈에 접근하고 어떤 거래를 승인할 수 있는지 역할별로 정리합니다. ISA 315.21이 요구하는 통제 이해의 핵심입니다.
3. 클라우드 시스템에서 추출한 보고서에 대해 ISA 500.A35에 따른 완전성·정확성 테스트를 수행합니다.
4. 백업 복원 테스트가 최소 연 1회 수행되었는지 확인하고 복원 데이터의 완전성을 검증합니다.
5. 서비스 장애 시 비즈니스 연속성 계획과 대체 접근 방법이 마련되어 있는지 확인합니다.
자주 발생하는 실수
SOC 2 보고서만 있으면 된다고 생각하는 경우입니다. SOC 2는 서비스 조직 측 통제를 다룹니다. 클라이언트의 사용자 통제는 별도로 테스트해야 합니다. 감리에서 지적되는 패턴 중 하나가 바로 이 부분입니다.
클라우드 시스템의 자동 승인을 통제 테스트 없이 신뢰하는 경우입니다. 자동화된 통제라도 ISA 330.10에 따라 운영 효과성을 테스트해야 합니다. "자동이니까 괜찮겠지"로 넘기면 조서가 비어 있는 셈입니다.
관련 자료
- 감사 위험 평가 용어집 - 클라우드 환경의 위험 평가 개념 - IT 통제 평가 템플릿 - 클라우드 시스템 통제 평가 체크리스트 - ISA 500 증거 수집 가이드 - 디지털 환경의 감사 증거 확보