스프레드시트 위험 평가와 효율적 감사 전략

초록

본 논문은 스프레드시트 개발·사용 과정에서 발생하는 오류 위험을 체계적으로 평가하고, 제한된 감사 자원을 고위험 모델에 집중하도록 돕는 “SpACE” 방법론을 제시한다. 위험 평가 단계, 범위 설정, 코드 검사 결정 과정을 단계별로 설명하고, 실무 적용 시 고려해야 할 질문과 체크리스트를 제공한다.

상세 분석

이 논문은 스프레드시트 오류가 조직 전반에 미치는 재무·법적·이미지적 영향을 강조하며, 감사인이 모든 파일을 일일이 코드 검토하는 비현실적인 접근을 비판한다. 대신 위험 기반 접근법을 채택해 두 차원의 평가—‘영향도’와 ‘오류 발생 가능성’—를 먼저 수행한다. 영향도 평가는 금액, 규제 위반, 기업 이미지 등을 정량·정성적으로 측정하고, 위험 발생 가능성은 조직 정책, 도메인 지식, 명세서 존재 여부, 테스트·문서화 수준, 데이터 제어 등을 질문 형태로 점검한다. 이러한 사전 질문을 통해 “스톱/고(Stop/Go)” 결정을 내리며, 고위험 모델에만 상세 코드 검사를 할지를 판단한다.

다음 단계인 위험 식별·범위 설정에서는 스프레드시트 파일·시트·수식·링크 수, 외부 참조, 고유·복제 수식 비율 등을 자동 감사 도구로 추출한다. 이를 통해 작업량을 추정하고, 복제된 수식이 정상인지, 고유 수식이 논리적 오류를 포함하는지 판단한다. 또한 매크로, 사용자 정의 함수, 숨김 행·열, 보호 설정, 고급 기능(피벗, 솔버 등) 사용 여부를 점검해 추가 위험을 식별한다.

코드 검사 단계에서는 원본·복제 수식의 정확성, 상수·절대 참조·범위 이름 사용, 전제·후속 셀 존재 여부, 오류 반환 셀, 텍스트 형식 숫자 등 고위험 패턴을 자동 도구가 플래그하도록 설계한다. 데이터 검증 역시 GIGO 원칙에 따라 입력 데이터의 완전성·정확성을 별도 테스트한다. 전체 흐름은 “위험 평가 → 위험 식별·범위 설정 → 테스트 결정 → 코드 검사”의 순환 구조로, 각 단계에서 ‘스톱/고’를 적용해 자원을 효율적으로 배분한다.

이 방법론은 감사인이 제한된 인력·시간으로도 스프레드시트 기반 의사결정 시스템의 신뢰성을 확보하도록 돕는다. 특히 정책·명세·테스트·문서화가 미비한 경우 위험 점수가 급격히 상승해 즉시 심층 검토가 필요함을 강조한다.