회계법인 전산감사팀에서는 대체 무슨 일을 할까

1편 - IT를 보는 게 아니라, ‘리스크’를 보는 사람들

“전산감사요?

IT팀이랑 뭐가 달라요?”

가끔 이런 질문을 받는다.

그럴 때마다 잠깐 고민한다.

쉽게 설명하면 오히려 오해가 생기기 때문이다.

우리는 IT팀도 아니고,

개발자도 아니고,

그렇다고 숫자를 보는 회계사도 아니다.

전산감사팀은 한마디로 말하면,

숫자가 틀릴 가능성을 찾아내는 사람들이다.

⸻

회계감사는 생각보다 ‘전문가 집합체’다

사람들은 회계감사를

회계사가 혼자 하는 일이라고 생각한다.

현실은 전혀 다르다.

하나의 감사팀 안에는 늘 여러 전문가가 붙는다.

• Audit (회계사)

• Tax specialist

• Valuation specialist

• Data Analytics

• IT specialist

각자 보는 영역이 다르다.

회계사는 숫자를 통해 회계처리를 보고,

세무사는 세법을 보고,

가치평가는 숫자의 논리인 가정을 보고,

그리고 우리 IT specialist - IT Auditor는,

그 숫자가 만들어지는 시스템을 본다.

솔직히 말하면,

요즘 기업에서 시스템을 빼고 숫자를 논하는 건 의미가 없다.

엑셀이 아니라 ERP를 포함한 시스템이 숫자를 만든다.

⸻

우리는 모든 걸 보지 않는다

전산감사를 처음 배우는 사람들이 가장 많이 하는 말이 있다.

“시스템 다 테스트하세요?”

그럴 리가.

감사에서 ‘전부’라는 단어는 존재하지 않는다.

우리는 항상 먼저 묻는다.

이게 재무제표에 얼마나 중요한가?

여기서 등장하는 개념이 Materiality(중요성)이다.

금액적으로 의미 없는 영역은 과감히 버린다.

리스크가 큰 부분만 깊게 판다.

전산감사는

‘많이 보는 일’이 아니라

‘리스크 기반으로 중요한 것을 집중해서 보는 일’이다.

⸻

가장 먼저 하는 일: In-Scope 정하기!

그래서 초도 잡을 포함한 감사를 시작하면

제일 먼저 인차지 선생님들과 논의를 시작하는 게 이거다.

“시스템 목록 요청해 주세요.”

그리고 묻는다.

• 데이터 흐름은 어떻고 어디서 생성돼요?

• 연관 시스템은 어떻게 돼요?

• Control owner는 누구예요?

• 자동(AC)/수동(MC) 개입 가능한 구간은요?

이걸 모르면

뒤에 하는 모든 테스트는 그냥 형식적인 체크리스트다.

In-Scope 설정이 사실상 감사의 반이다.

여기서 잘못 판단하면

1년 내내 엉뚱한 걸 보고 있게 된다.

⸻

시스템이 정해지면

그때부터 ‘통제’를 본다.

일반통제(GITC)?

기본 체력.

• 아무나 접근 가능?

• 개발자가 운영 서버 바로 수정?

• 변경 승인 통제 있어?

• 로그는 남아?

이 단계에서 사고 나면

자동화통제는 볼 필요도 없다.

약간의 내부적 표현으로

GITC 가 Rely 되지 않으면 AC는 fail이다.

당연한 얘기다.

클래식한 표현이지만 현관문 열렸는데 방문 확인하는 셈이다.

⸻

자동화통제(Automated Control)?

계산의 논리.

• 입출력 통제 로직

• 자동 계산 로직

• 배치 프로그램

• 시스템 간 인터페이스

사람은 실수하지만,

시스템은 한 번 틀리면 계속 틀린다.

그래서 우리는 코드보다

‘업무 의도’를 본다.

“이 계산, 왜 이렇게 설계했어요?”

이 질문에 아무도 설명 못 하면

그게 리스크다.

⸻

IPE, JET

보고서와 분개.

감사팀이 믿고 사용하는 데이터가

정말 믿을 수 있는지 검증한다.

“이 보고서 ERP에서 나온 거예요”

라고 했는데,

알고 보면 누군가 엑셀로 한 번 더 가공한 파일.

이런 상황을 보고서 직전에 알게 된다면?

가슴이 답답해질 듯?

⸻

전산감사는 기술이 아니라 ‘판단’이다

후배들이 자주 묻는다.

“IT를 더 공부해야 할까요? 자격증을 더 따야 할까요? “

물론 필요하다.

하지만 더 중요한 건 따로 있다.

리스크 감각이 필요하다. 소위 일머리 일센스다.

법인에 처음 입사에서 들은 생소한 단어,

Professional Skepticism - 전문가적 의구심!

이것이 필요하다.

• 이 통제가 없으면 뭐가 문제 될까?

• 이 오류가 재무제표에 얼마나 영향을 줄까?

• 개별적으로는 미미하나, 복합 시 통제 영향 없나?

결국 우리는

기술자가 아니라

판단을 내리는 사람이다.

그리고 그 판단에는

항상 책임이 따라온다.

⸻

그래서, 우리는 무슨 일을 하냐고?

가끔 한 줄로 설명해야 할 때가 있다.

그럴 때 나는 이렇게 말한다.

“시스템을 감사(Audit)합니다.

정확히는, 그 시스템을 믿어도 되는지 검증합니다.”

숫자는 거짓말을 안 한다.

다만,

잘못 설계된 시스템이 거짓말을 만들 뿐이다.

그걸 의심하는 팀.

그게 회계법인 전산감사팀이다.