성격·시기·범위를 정하기 전에 먼저 해야 할 단 하나
감사에서 운영효과성 테스트를 이야기하면 보통 이렇게 정리한다.
성격(Nature), 시기(Timing), 범위(Extent).
하지만 실무에서 느끼는 건 하나다.
이 세 가지보다 먼저 있는 것이 있다.
통제가 어떻게 설계되어 있는지 이해하지 못하면
아무리 테스트를 많이 해도
그건 그냥 열심히 한 일이지 맞게 한 일은 아니다.
⸻
1. 운영효과성 테스트의 시작: 설계 이해
운영효과성 테스트의 핵심은
통제가 실제로 설계된 대로 작동하는지 확인하는 것이다.
그래서 순서는 단순하다.
1. 통제 설계 이해
2. 테스트 계획 수립 (성격·시기·범위)
3. 테스트 수행
설계 이해가 빠지면
성격·시기·범위를 아무리 잘 짜도
방향이 틀어질 수 있다.
⸻
2. 성격(Nature) — 어떻게 테스트할 것인가
운영효과성 테스트의 성격은 보통 네 가지 방법으로 진행된다.
• 재수행 (Reperformance)
• 검사 (Inspection)
• 관찰 (Observation)
• 질의 (Inquiry)
질의만으로는 충분한 증거가 되기 어렵기 때문에
보통 검사나 재수행과 함께 사용한다.
실무적으로 말하면
“실제로 한번 다시 해보는 것”이
가장 강력한 증거다.
⸻
3. 시기(Timing) — 언제 테스트할 것인가
테스트 시기는 보통 두 가지 방식으로 나뉜다.
• 중간감사 (Interim) 후 Roll-forward 감사
중간감사 이후 기간에 대해 잔여기간 추가 테스트 수행한다.
• Apportion test
어떤 경우에는 기간을 나누어 Apportion 방식으로 테스트하기도 한다. IPO 상장 분기 목적 보고서 같은.
즉,
기간을 나누어 통제 운영을 확인하는 방식이다.
⸻
4. 범위(Extent) — 얼마나 테스트할 것인가
범위는 결국 샘플 사이즈다.
샘플 수는 보통 다음 요소로 결정된다.
• 시스템의 중요도
• 통제의 강도
• 위험 수준
일반적으로 위험이 높을수록
샘플 수는 늘어난다.
그리고 전에 말했듯이
자동화 통제(Automated Control)의 경우
논리가 변하지 않는다면
1건 테스트로도 충분한 경우가 많다.
다만 이때 중요한 전제가 있다.
모집단이 연례화되어 있어야 한다는 것.
즉,
테스트 대상 기간 동안 통제가 동일하게 작동했는지
확인할 수 있어야 한다.
⸻
5. 감사의 마지막 재료: 전문가적 의구심
모든 테스트 위에 있는 것은
전문가적 의구심(Professional Skepticism)이다.
문서가 있다고
통제가 작동했다고 단정하면 안 된다.
• 정말 이 통제가 실행됐는지
• 형식적인 서명이 아닌지
• 실제 리스크를 막는 통제인지
한 번 더 의심해 보는 태도.
결국 감사는
증거를 모으는 일이 아니라
의심을 검증하는 일에 가깝다.
⸻
운영효과성 테스트는 복잡해 보이지만
구조는 단순하다.
설계 이해와 성격 시기 범위 테스트
그리고 마지막에 하나 더.
“정말 이 통제가 작동했을까?”
그 질문 하나가
좋은 감사와 형식적인 감사를
가르는 기준이 된다.