한국외부감사의 현주소 : IT 감사의 문제점과 개선 과제

객원 전문가 칼럼니스트 "문진수"

공인회계사

​

​

​

한국외부감사의 현주소 : IT 감사의 문제점과 개선 과제

현대 외부감사에서 IT 감사의 부상

​

외부감사 및 IT 감사

​

전통적으로 IT 감사는 조직의 운영 효율성 등을 평가하는 업무감사의 성격이 강한 것으로 인식되기도 했으나 현대 외부감사 맥락에서 IT 감사는 그 이상의 의미를 지닌다. 외부감사의 궁극적인 목표는 재무제표에 대한 의견 표명이며, 외부감사에 포함되는 IT 감사는 재무제표의 중요왜곡표시로 이어질 수 있는 IT 관련 위험과 통제를 평가함으로써 이러한 목표 달성에 기여한다.

​

디지털 시대 IT 감사의 당위성

​

현대 기업 환경은 전사적자원관리(ERP) 시스템을 비롯한 복잡한 IT 시스템에 대한 의존도가 매우 높다. 재무 정보의 생성, 처리, 저장, 보고 등 재무 보고 프로세스 전반이 IT 시스템을 기반으로 이루어지므로, 재무제표의 정확성과 신뢰성은 이러한 IT 시스템의 무결성과 효과성에 직접적으로 좌우된다.

IT 시스템의 실패나 취약점(예: 부적절한 데이터 품질, 보안 침해, 미흡한 통제)은 재무 데이터의 신뢰성, 정확성, 완전성을 심각하게 훼손할 수 있다. 따라서 숙련된 인력이 뒷받침하는 효과적인 내부통제는 세무 정보를 포함한 신뢰할 수 있는 기업 정보 확보에 필수적이다.

또한, IT 시스템은 고유한 위험을 내포한다. 예를 들어, 시스템에 대한 부적절한 접근 통제는 무단 접근이나 데이터 유출로 이어질 수 있으며, IT 시스템 변경 관리가 부실하면 오류나 부정이 발생할 수 있다. 데이터 무결성 확보 실패, 시스템 운영 중단, 사이버 보안 위협 등도 재무 보고에 직접적인 영향을 미칠 수 있는 IT 관련 위험이다.

이러한 IT 고유 위험은 감사인이 부적절한 감사의견을 표명할 위험인 감사위험(Audit Risk)을 증가시키는 요인이 될 수 있다. 따라서 IT 감사는 이러한 IT 관련 위험을 식별, 평가하고 이에 효과적으로 대응하기 위한 필수적인 감사 절차이다.

​

​

한국 외부감사에서 IT 감사의 현주소

​

위상 및 인식되는 비중

​

과거 한국의 외부감사 실무에서 IT 감사는 전통적인 재무 감사 절차에 비해 상대적으로 중요도가 낮게 인식되는 경향이 있었다. 때로는 재무제표 감사와 직접적인 관련성이 낮은 운영 감사(operational audit)의 일부로 간주되기도 했다.

현재 한국 외부감사 실무에서 IT 감사가 차지하는 정확한 비중(예: 전체 감사 시간 대비 IT 감사 투입 시간 비율)에 대한 공식적인 통계 자료는 부족하지만, 여러 정황 증거는 IT 감사의 중요성에 대한 인식이 여전히 실제 기업 환경의 IT 의존도에 미치지 못할 수 있음을 시사한다. 예를 들어, IT 감사 전문가 부족 문제나 IT 위험 평가와 재무 감사의 연계 부족 현상은 IT 감사가 아직 충분한 비중을 차지하지 못하고 있음을 간접적으로 보여준다.

• 낮은 IT 감사 비중: 한국의 감사기관(예: 감사원)은 해외 주요 감사기관(SAI)에 비해 상대적으로 IT 감사를 수행하는 비율이 낮을 수 있다.

• 좁은 감사 범위: 감사의 초점이 특정 영역(예: 전략, IT 품질)에 편중되어, 해외에서 중요하게 다루는 보안, 비용-효익 분석, 조직적 측면 등 보다 넓은 범위의 IT 관련 이슈를 충분히 다루지 못할 수 있다.

• 기준 적용 및 개발: 한국은 국제감사기준(ISA)을 채택하여 적용하고 있지만, 미국 GAO의 FISCAM과 같이 국가 차원의 구체적인 IT 감사 기준이나 상세한 실무 지침 개발은 상대적으로 미흡한 것으로 평가될 수 있다.

• 절차적 엄격성 대 실효성: 한국의 내부회계관리제도(ICFR) 감사 절차는 미국, 일본 등과 비교해도 매우 엄격한 편이지만, 자금 통제 미비와 같은 특정 취약점의 높은 발생 빈도는 제도의 실질적인 효과성 측면에서 개선이 필요함을 시사한다.

최근 상황은 변화하고 있다. 특히 2018년 개정된 외감법 시행으로 상장회사의 내부회계관리제도(ICFR)에 대한 외부 감사가 의무화되면서 IT 통제(특히 IT 일반통제, ITGC)의 중요성이 크게 부각되었다. 이러한 규제 환경의 변화는 감사인으로 하여금 IT 감사를 보다 공식적이고 비중 있게 다루도록 강제하는 효과를 낳고 있다.

​

​

K-ASA 및 ISA의 IT 감사 요구사항

​

IT 환경에 대한 이해

​

• IT 환경 이해 범위: 감사인은 기업의 IT 인프라스트럭처(하드웨어, 소프트웨어, 네트워크 등), IT 조직 구조 및 인력, 재무 보고와 관련된 주요 IT 시스템 및 애플리케이션, IT 서비스 제공업체 활용 현황 등을 파악해야 한다.

• IT 관련 위험 식별: 감사인은 기업의 비즈니스 모델, 산업 특성, 규제 환경 등을 고려하여 재무제표에 대한 중요왜곡표시위험을 식별하고 평가해야 한다. 이 과정에서 IT와 관련된 특정 위험들, 예를 들어 IT 시스템에 대한 무단 접근 또는 데이터 유출 위험, 부적절한 시스템 변경 관리로 인한 오류 또는 부정 발생 위험, 시스템 운영 중단 위험, 데이터 무결성 및 정확성 확보 실패 위험, 사이버 보안 위협 등을 반드시 고려해야 한다.

• 내부통제 이해: 감사인은 식별된 위험에 대응하기 위해 경영진이 설계하고 실행하는 내부통제 시스템을 이해해야 하며, 여기에는 IT 통제가 포함된다. 이는 정보기술 일반통제(ITGC)와 정보기술 응용통제(ITAC)를 모두 포괄한다.

​

정보기술 일반통제(ITGC) 및 응용통제(ITAC)

​

(1) 정보기술 일반통제 (IT General Controls, ITGC)

IT 환경 전반에 걸쳐 다수의 시스템과 데이터에 영향을 미치는 포괄적인 통제 활동을 의미한다. 이는 응용통제가 효과적으로 작동하기 위한 기반을 제공한다. 주요 영역은 다음과 같다.

​

• IT 거버넌스 및 조직 구조

• 접근 통제 (물리적 접근 및 논리적 접근 보안)

• 프로그램 개발 및 변경 관리

• IT 운영 관리 (백업, 배치 처리, 문제 관리 등)

• 재해 복구 및 업무 연속성 계획

​

(2) 정보기술 응용통제 (IT Application Controls, ITAC)

특정 비즈니스 프로세스 내의 거래나 데이터를 처리하는 특정 애플리케이션 시스템 내에서 작동하는 통제이다. 주로 거래의 완전성, 정확성, 유효성, 승인 여부를 보장하기 위해 설계된다. 예를 들어, 입력 데이터의 유효성 검사, 자동 계산, 순서 검사, 접근 권한에 따른 거래 처리 제한 등이 있다.

​

(3) 상호 관계

효과적인 ITGC는 ITAC의 신뢰성을 뒷받침하는 중요한 전제 조건이다. 만약 ITGC가 취약하다면(예: 프로그램 변경 통제가 미흡하다면), 특정 응용 프로그램 내의 자동 계산 통제(ITAC)가 올바르게 작동한다고 신뢰하기 어렵다.

​

평가된 위험에 대한 감사인의 대응

​

IT 통제 테스트: 감사인이 IT 관련 통제(ITGC 또는 ITAC)의 효과성에 의존하여 입증 절차의 성격, 시기, 범위를 줄이려고 하거나, 입증 절차만으로는 충분하고 적합한 감사 증거를 얻을 수 없다고 판단하는 경우, 해당 통제의 운영 효과성을 테스트해야 한다. 예를 들어, 접근 통제 정책의 준수 여부, 시스템 변경 승인 절차의 적절성, 데이터 백업 및 복구 절차의 효과성 등을 테스트할 수 있다.

​

테스트 고려사항: 통제 테스트의 성격(예: 질문, 관찰, 재수행, 로그 검사), 시기, 범위는 평가된 위험 수준, 통제의 성격(수동 vs. 자동, 예방 vs. 적발), 테스트 대상 통제의 일관성, 이전 감사의 결과 등을 고려하여 결정된다.

​

입증 절차: 통제 테스트 결과와 관계없이, 감사인은 모든 중요한 거래 유형, 계정 잔액, 공시에 대해 입증 절차를 수행해야 한다. IT 감사 절차 중 일부는 입증 절차의 성격을 가질 수도 있다 (예: IT 시스템에서 생성된 재무 정보의 정확성 및 완전성을 직접 검증, 데이터 분석을 통한 이상 징후 식별).

​

​

한국 IT 감사 관행의 도전 과제 및 취약점

​

위험 평가와의 연계 부족

​

한국의 IT 감사 실무에서 나타나는 주요 문제점 중 하나는 IT 감사 절차가 전체 재무제표 감사 위험 평가 과정과 유기적으로 통합되지 못하고 분리되어 수행되는 경향이 있다는 점이다. IT 감사가 기술적인 측면에 대한 점검 목록(checklist) 확인에 그치거나, 재무제표 왜곡 가능성과 직접적으로 연결되지 않은 통제 활동에 집중하는 경우가 발생할 수 있다.

​

기술적 검증 위주의 접근

​

IT 감사가 IT 시스템의 기술적 설정이나 기본적인 ITGC 점검 목록 확인에 과도하게 치중하는 경향도 문제점으로 지적된다. 이는 과거의 "컴퓨터 주변 감사(auditing around the computer)" 방식과 유사하게, IT 시스템 내부의 처리 과정이나 통제의 실질적인 효과를 평가하기보다는 입출력 데이터의 확인이나 형식적인 절차 준수 여부 확인에 머무르는 것을 의미할 수 있다.

​

숙련된 IT 감사 전문가 부족

​

한국 감사 업계 내에 충분한 IT 지식과 전문 기술(예: 정보시스템감사사(CISA) 자격 보유, IT 시스템 및 보안 전문성)을 갖춘 감사 인력이 부족하다는 점은 지속적으로 제기되는 문제이다. 일반적인 재무 감사인은 복잡한 IT 환경을 깊이 있게 이해하거나, 사이버 보안과 같은 정교한 IT 위험을 평가하거나, 고급 감사 기법(예: 데이터 분석)을 활용하는 데 어려움을 겪을 수 있다.

​

기술 활용 미흡 (CAATs)

​

기업 환경의 디지털화가 가속화되고 데이터 양이 폭증함에 따라 컴퓨터 활용 감사 기법(Computer-Assisted Audit Techniques, CAATs)의 중요성이 커지고 있다. CAATs는 데이터 분석, 통제 테스트 자동화 등을 통해 감사 효율성과 효과성을 높이는 데 기여할 수 있다. 일부 기업에서 CAATs 활용 사례가 있지만, 전반적으로 한국의 IT 감사 실무에서 CAATs의 활용 수준은 국제적인 모범 사례나 잠재력에 비해 아직 미흡한 것으로 보인다. 이는 감사 효율성 증대 및 대량 데이터 환경에서의 효과적인 위험 식별 기회를 놓치게 만들며, 전문성 부족 문제와도 연관되어 있다.

​

문제점들의 상호 연관성

​

앞서 지적된 문제점들 – 위험 평가와의 연계 부족, 기술적 검증 위주의 협소한 초점, 전문성 격차, CAATs 활용 미흡 – 은 서로 밀접하게 연관되어 있으며, 한국 IT 감사 효과성을 저해하는 악순환 구조를 형성할 수 있다.

기업의 IT환경은 더욱 고도화 되고 복잡해 지고 있다. 가까운 미래에는 사람이 직접 처리하는 부분은 극히 제한될 것이다. 그럼에도, IT감사를 단순히 기술적인 일부 활동으로만 치부할 경우 한국의 외부감사는 시대에 뒤쳐저 신뢰성이 계속 하락할 수 밖에 없게 된다. IT감사의 고도화는 시대적 과제이자 회계업계가 해결해야 할 제1순위 과제이다. 형식적인 접근을 떠나 실질적인 관점에서 IT감사의 수준을 끌어올려야 할 때다.

​

​

​

​

Copyrightⓒ 삼일피더블유씨솔루션(주) All rights reserved.

​

---

삼일아이닷컴 준회원(무료)으로 가입시 15일간 정회원 무료 체험 가능하며,

더 다양한 콘텐츠를 확인해보실 수 있습니다.

삼일아이닷컴 정회원 무료 체험 신청하세요!