이 글에서 다루는 내용

> - ISAE 3402.26-28에 따른 핵심/비핵심 통제 분류 기준과 문서화 요구사항 > - 통제 매트릭스의 필수 열과 각 열의 작성법 > - 감리에서 지적되는 일반적 결함 유형 > - 통제 테스트 결과를 의견에 연결하는 논리 구조

통제 매트릭스가 필요한 이유

ISAE 3402.35는 업무수행자가 설계 평가와 운영 효과성 테스트에서 얻은 증거를 종합해 결론을 도출하도록 요구한다. 매트릭스는 이 종합 과정을 문서화하는 도구다.

핵심 통제란 통제 목표 달성에 직접 필수적인 통제를 말한다. 결함이 있으면 통제 목표 전체가 위험해진다. 비핵심 통제는 보완적 역할을 하지만 다른 통제로 대체 가능하다.

ISAE 3402.A47은 업무수행자가 통제의 중요도를 평가할 때 다른 통제의 존재 여부, 통제 실패 시 오류 발생 가능성, 통제가 다루는 위험의 성격을 고려하도록 규정한다. 실무에서 이것이 의미하는 것: "핵심"이라고 표시하려면 "이 통제가 없으면 어떤 오류가 통제되지 않는가"에 조서 수준으로 답할 수 있어야 한다.

매트릭스의 필수 구성 요소

통제 활동 설명 열은 서비스 조직에서 실제로 수행하는 활동을 구체적으로 기술한다. "관리자가 검토한다"로는 부족하다. "재무팀장이 매월 말일 전체 계정 잔액을 Excel로 재계산하고 차이 발생 시 원인을 조사한 후 서면으로 승인한다" 수준이 필요하다.

통제 목표 연결 열은 각 통제가 어떤 통제 목표를 달성하는지 명시한다. 한 통제가 여러 목표에 걸칠 수 있다.

핵심/비핵심 분류 열은 ISAE 3402.26의 정의에 따라 분류하고 근거를 기재한다. 솔직히 모호한 분류가 감리에서 가장 자주 지적되는 항목이다.

테스트 방법 열은 질문(inquiry), 관찰(observation), 검사(inspection), 재수행(reperformance) 중 사용한 방법을 기록한다. 통제의 성격에 따라 적합한 테스트 방법이 달라진다.

표본 선정 열은 테스트한 항목 수와 선정 방법을 기록한다. ISAE 3402.A65는 표본 선정 시 통제 빈도와 위험도를 고려하도록 규정한다.

예외사항 열은 발견된 결함과 그 영향을 기록한다. 예외가 없어도 "예외 없음"이라고 명시한다.

실무 적용: 한국산업물류 주식회사

한국산업물류(주)는 전자상거래 기업에 주문 처리 서비스를 제공한다. 연간 매출 850억 원 규모에 22개 통제 목표가 있다. 아래는 매출 처리 관련 통제 매트릭스의 일부다.

통제 활동: 영업팀장이 매일 오후 5시 전체 주문의 고객 신용한도 초과 여부를 ERP에서 확인하고 초과 건에 대해 재무팀과 협의 후 승인/거부를 결정한다.

통제 목표: CO3 (유효하지 않은 거래의 처리 방지)

핵심/비핵심: 핵심 통제. 이 통제가 실패하면 회수 불가능한 매출이 기록될 수 있으며 다른 보완 통제가 없다.

테스트 방법: 질문 및 검사. 영업팀장 인터뷰 후 20개 영업일분 신용한도 검토 보고서 확인.

표본: 20개 영업일 (모집단 245개 영업일)

예외사항: 3월 15일 검토가 오후 6시 30분에 수행됨. 해당일 신용한도 초과 건 없었음. 타이밍 결함이지만 통제 목표에 미치는 영향 없음.

결론: 설계상 적절하고 운영상 효과적임.

제 경험상 매트릭스를 작성할 때 각 통제마다 이 수준의 구체성이 필요하다. 일반적 표현으로 채우면 품관실에서 반려된다.

실무 체크리스트

1. 매트릭스에 모든 기술된 통제가 포함되어 있는지 확인한다. ISAE 3402.35(b)에 따라 빠진 통제가 있으면 안 된다.

2. 핵심/비핵심 분류에 대한 근거를 각각 기재한다. "이 통제가 실패하면 어떤 일이 발생하는가"에 답하는 형태로 쓴다.

3. 테스트 방법이 통제의 성격과 일치하는지 점검한다. 자동화된 통제는 재수행으로, 수작업 통제는 관찰이나 검사로 테스트하는 게 원칙이다.

4. 모든 예외사항의 통제 목표에 대한 영향을 평가한다. "예외 있지만 영향 없음"은 근거 없이 쓸 수 없다.

5. 표본 크기가 통제 빈도와 위험도를 고려했는지 확인한다. 일일 통제를 5개만 테스트하면 품관실에서 돌아온다.

6. 매트릭스의 결론이 보고서 의견과 일관되는지 검증한다. 핵심 통제에 중대한 결함이 있으면 한정의견을 고려해야 한다.

현장에서 자주 보이는 실수

통제 분류가 주관적이거나 근거 없는 경우. 금감원 감리에서 "왜 이 통제가 핵심입니까"라는 질문에 답할 수 있어야 한다. 답하지 못하면 지적이다. 기대와 다르게 대부분의 감리 지적은 계산 오류가 아니라 이런 판단 근거 부재에서 나온다.

예외사항의 영향 평가가 부실한 경우. 모든 예외를 "중요하지 않음"으로 처리하면 감리관이 의심한다. 왜 중요하지 않은지를 통제 목표와 연결해 설명해야 한다. 한 줄이라도 근거를 쓰느냐 안 쓰느냐의 차이.

테스트 방법과 통제 유형의 불일치. IT 자동화 통제를 질문으로만 테스트하거나 수작업 통제를 시스템 로그로만 확인하는 경우다. 실제 현장에서는 시간에 쫓겨 테스트 방법을 잘못 선택하는 일이 생긴다. 조서 작성 전에 통제 유형별 테스트 방법 매핑을 먼저 확정해 두는 게 현실적 방어선이다.

관련 자료

- ISAE 3402 체크리스트 - 전체 업무 과정에서 확인해야 할 필수 사항 - 내부통제 용어집 - 통제 활동의 정의와 분류 기준 - 서비스 감사인의 보고 요구사항 - 매트릭스 결과를 보고서에 반영하는 방법

실무 감사 인사이트를 매주 받아보세요.

시험 이론이 아닙니다. 감사를 빠르게 만드는 실질적인 내용입니다.

290개 이상의 가이드 게시20개 무료 도구현직 감사인이 구축

스팸 없음. 저희는 감사인이지 마케터가 아닙니다.