AI가 오면 감사 샘플링은 사라질까?!
감사를 처음 하는 사람들에게서 자주 듣는 질문이 있다.
“샘플은 어떻게 뽑아요?”
“감으로 고르는 거예요?”
가끔은 이렇게도 묻는다.
“그냥 몇 개 찍는 거 아닌가요?”
결론부터 말하면
샘플링은 감이 아니라 논리다.
감사에서 샘플은
대충 고르는 것이 아니라
통제의 성격에 따라 결정된다.
⸻
매뉴얼 통제는 “건수에 따라” 샘플링한다.
물론 이 부분은 법인의 감사 방법론에 따라 수행한다.
법인의 방법론에 따라 수행해야 우리도 나중에 법인의 보호를 받을 수 있다.
사람이 수행하는 통제는
항상 같은 결과가 나오지 않는다.
예를 들어보자.
• 사용자 등록/삭제
• 변경통제
• 결재 확인
같은 사람이 하더라도
어떤 날은 놓칠 수 있다.
그래서 매뉴얼 통제는 보통 이렇게 접근한다.
• 건수가 많으면 샘플도 늘어난다
• 건수가 적으면 샘플도 줄어든다
즉,
모집단(Population) 크기에 따라 샘플을 선정한다.
감사에서 샘플링이 필요한 가장 큰 이유도 여기에 있다.
사람은 항상 동일하게 행동하지 않기 때문이다.
⸻
자동화 통제는 보통 샘플 1개면 된다
프로그램은 보통
항상 같은 방식으로 작동한다.
그래서 자동화 통제에서는
종종 이런 상황이 생긴다.
“샘플 몇 개 볼까요?”
답은 의외로 단순하다.
한 개면 충분하다.
“매뉴얼 통제는 샘플 25개 보는데
자동화 통제는 왜 1개만 보나요?”
처음 들으면 이상하다.
샘플이 적으면 검증이 약해 보이기 때문이다.
하지만 이유는 꽤 논리적이다.
왜냐하면 중요한 것은
그 통제가 실제로 시스템에 존재하고
작동하는지이기 때문이다.
자동화 통제는 사람이 하는 것이 아니라
프로그램 로직이 수행하기 때문이다.
“몇 번 작동했는가?”
가 아니라
“이 로직이 시스템에 존재하는가?”
단 전제가 있다.
자동화 통제가 샘플 1개로 가능한 이유는
하나의 전제가 있다.
IT 일반통제(ITGC)가 신뢰된다는 것
예를 들면
• 프로그램 변경통제
• 접근권한 통제
• 운영 통제
이 통제들이 제대로 작동해야
프로그램 로직이 중간에 몰래 바뀌지 않는다.
그래서 전산감사에서
항상 먼저 보는 것이 있다.
또 나오는 용어.
접근권한과 변경관리.
⸻
요즘 감사에서 가장 많이 나오는 이야기 중 하나가 있다.
AI와 데이터 분석.
AI 기반 내부회계 평가나
데이터 분석이 더 발전하면
이런 방식도 가능해진다.
• 샘플 25개
• 샘플 40개
이런 개념이 아니라
전체 데이터를 전부 검증하는 것.
예를 들면
• 모든 전표 승인 로그 분석
• 전체 거래 패턴 검증
• 전 기간 데이터 테스트
이렇게 되면
샘플링이라는 개념 자체가 줄어들 수도 있다.
⸻
샘플링은
“몇 개 볼까?”의 문제가 아니다.
진짜 질문은 이것이다.
이 통제는 사람이 하는가, 시스템이 하는가.
사람이 하면
샘플이 필요하고
시스템이 하면
로직을 보면 된다.
그리고 언젠가는
AI가 전체 데이터를 분석하는 시대가 오면
감사에서 가장 많이 하던 질문 하나가
사라질지도 모른다.
“샘플 몇 개 뽑을까요?”