ISAE 3402 FAQ: IT 통제 테스트와 감사인이 실제로 확인하는 사항

핵심 통제 식별과 ISAE 3402 요구사항

핵심 통제를 분류하는 기준

통제가 핵심인지 아닌지는 하나의 질문으로 판단한다. 이 통제가 실패하면 통제 목표가 달성되지 않는가? ISAE 3402.16은 핵심 통제를 "통제 목표를 달성하기 위해 운영되어야 하는 통제"로 정의한다. 순환적 정의처럼 보이지만 실제로는 위험 기반 판단이다. 보상 통제가 존재하지 않거나 보상 통제만으로 위험을 허용 수준까지 낮출 수 없으면 핵심이다.

IT 통제에서 이 판단이 까다로운 이유가 있다. 일반 IT 통제(이하 GITC)는 애플리케이션 통제 위에 놓여 있고 여러 통제 목표에 걸쳐 퍼져 있다. 사용자 액세스 관리가 무너지면 승인되지 않은 변경과 데이터 조작이 동시에 발생할 수 있다.

ISAE 3402.39가 요구하는 증거

서비스 감사인은 핵심 통제의 운영 효과성 증거를 확보해야 한다. ISAE 3402.39는 통제가 보고 기간 동안 일관되게 적용되었음을 입증하도록 요구한다.

자동화된 통제의 경우 보고 기간 동안 통제가 변경되지 않았고 올바르게 작동했음을 확인해야 한다. ISAE 3402.A67이 이 점을 분명히 한다. 통제 자체의 작동 여부와 변경 이력 두 가지 모두 증거가 필요하다. 수동 통제는 표본 추출로 지속 수행 여부를 테스트한다. 하이브리드 통제는 자동화 부분과 수동 부분 각각에 대한 증거를 별도로 확보한다.

제 경험상 자동화된 통제에서 가장 자주 빠지는 증거가 "변경되지 않았다"는 확인이다. 통제가 잘 작동하는지만 보고 변경 관리 기록은 아예 조서에 없는 경우가 많다.

IT 통제 테스트 절차

GITC 테스트

GITC는 네 가지 범주로 나뉜다.

1단계는 사용자 액세스 관리다. 신규 사용자 승인 문서를 검토하고 액세스 권한 정기 검토 증거를 확인한다. 퇴사자 계정 비활성화의 적시성도 테스트한다. 조서에는 구체적으로 기재해야 한다. "HR 시스템에서 퇴사 처리된 10명의 직원에 대해 계정 비활성화가 퇴사일로부터 1영업일 이내에 수행되었는지 확인"과 같은 수준이다.

2단계는 프로그램 변경 관리다. 변경 승인 절차와 테스트 증거, 운영 환경 이관 통제를 확인한다. "연간 25건의 애플리케이션 변경에 대해 승인자 서명과 UAT 결과서, 이관 체크리스트를 확인"한다.

3단계는 컴퓨터 운영이다. 백업 및 복구 절차와 작업 스케줄링을 테스트한다. "월별 백업 로그 12개월치를 검토하여 자동 백업 성공률과 복구 테스트 수행 증거를 확인"한다.

4단계는 논리적 보안이다. 패스워드 정책과 네트워크 보안을 확인한다. "시스템 설정에서 패스워드 복잡성 요구사항 적용 및 90일 만료 정책 운영을 확인"한다.

애플리케이션 통제 테스트

애플리케이션 통제는 특정 비즈니스 프로세스와 연결된다.

완전성 통제는 자동 순번 확인과 배치 총계 검증, 인터페이스 조정이 대상이다. 시스템에서 생성된 예외 보고서와 해결 증거를 확인한다. 정확성 통제는 입력 검증 규칙과 계산 논리를 테스트 데이터로 확인한다. 승인 통제는 워크플로우 승인과 한도 초과 에스컬레이션을 표본 거래에 대해 검토한다.

실무 예시

한국정보시스템 주식회사(연매출 850억 원)가 대형 은행에 온라인 뱅킹 플랫폼을 제공한다. Type II 보고서를 위해 핵심 IT 통제를 식별하고 테스트해야 한다.

통제 목표를 먼저 설정한다. 통제 목표 1: 거래 처리의 완전성과 정확성 보장. 통제 목표 2: 고객 데이터의 기밀성과 무결성 보호.

경영진 인터뷰와 프로세스 워크스루를 통해 2개 통제 목표를 확정했다.

핵심 통제를 식별한다. GITC-01: 운영자 권한 월 단위 검토. GITC-02: 애플리케이션 변경의 3단계 승인. AC-01: 거래 한도 초과 시 자동 차단. AC-02: 일별 배치 총계 조정.

각 통제에 대해 실패 시 영향 분석과 보상 통제 평가를 수행한다.

테스트를 설계한다. GITC-01: 12개월간 월별 권한 검토 보고서 12건 확인. GITC-02: 연간 프로그램 변경 47건 중 25건 표본 추출. AC-01: 한도 초과 시나리오 5건에 대한 시스템 동작 확인. AC-02: 250영업일 중 25일 표본 추출하여 배치 조정 증거 검토.

표본 추출 방법론과 예상 편차율을 조서에 기재한다.

테스트 수행 결과다. GITC-01: 예외 없음(12/12 적시 수행). GITC-02: 1건 예외(긴급 변경 시 사후 승인). AC-01: 예외 없음(5/5 정상 차단). AC-02: 예외 없음(25/25 적시 조정).

발견된 1건 예외에 대한 근본 원인 분석과 경영진 대응 방안을 확인했다.

GITC-02의 1건 예외는 통제 설계 자체는 적절하나 운영 효과성에 결함이 있음을 나타낸다. Type II 보고서에 예외로 보고해야 하며 사용자 감사인은 이 영역에서 보상 통제를 평가해야 한다. 솔직히 긴급 변경 사후 승인은 시즌에 시간 압박을 받는 현장에서 흔히 발생하는 예외다. 인차지가 이 예외를 어떻게 조서에 풀어내느냐가 품관실 리뷰를 통과하는 핵심이다.

체크리스트

통제 매트릭스를 검토할 때 각 통제가 실패하면 어떤 위험이 현실화되는지 구체적으로 기술했는가 확인한다. "데이터 무결성" 같은 표현이 아니라 "승인되지 않은 결제 처리"와 같은 구체적 위험을 명시해야 한다.

GITC 테스트 범위에서는 자동화된 통제의 변경 이력 증거를 확보했는지 확인한다. 시스템 로그와 변경 관리 기록, IT 책임자 확인서를 조합한다.

애플리케이션 통제 표본은 ISAE 3402.A69에 따른다. 수동 통제의 경우 연간 발생 빈도에 따라 표본 크기를 결정한다. 일별 통제는 최소 25건이고 주별 통제는 최소 5건이다.

예외 처리 문서화에서는 사용자 감사인이 필요로 하는 정보가 모두 포함되었는지 확인한다. 예외의 성격과 발생 빈도, 근본 원인, 보상 통제 여부를 명시한다.

Type II 보고서에서 예외를 보고한 경우 경영진의 대응 계획에 구체적 일정이 있는지 확인한다. "개선하겠다"는 충분하지 않다. "2024년 6월까지 시스템 업그레이드 완료"와 같은 수준이어야 한다.

핵심 통제로 분류된 IT 통제에 대해 운영 효과성 테스트를 수행했으며 사용자 감사인이 의존할 수 있는 수준의 확신을 제공하는지가 최종 점검 항목이다.

자주 발생하는 실수

사용자 액세스 검토 문서가 존재하는지만 확인하고 검토 품질을 평가하지 않는 것이 가장 빈번한 실수다. 검토 과정에서 발견된 예외사항과 해결 과정까지 확인해야 한다. 조서가 너무 얇으면 감리에서 "충분한 감사증거 확보가 미흡"이라는 지적이 나온다.

핵심 통제의 예외를 발견한 뒤 보상 통제로 충분하다고 결론 내리는 것도 자주 발생한다. 보상 통제도 테스트하여 유효성을 입증해야 하며 여전히 예외로 보고해야 한다.