스프레드시트 위험 평가와 효율적 감사 전략

본 논문은 스프레드시트가 기업·공공기관에서 의사결정·세금·관세 계산 등 핵심 업무에 널리 사용됨에도 불구하고, 오류 발생 빈도가 매우 높다는 기존 연구(Panko 2000, Creely 2000 등)를 출발점으로 한다. 오류가 조직에 미치는 재무적·법적·이미지적 손실을 고려할 때, 모든 스프레드시트를 일일이 코드 검토하는 전통적 감사 방식은 비용과 시간이 과다하게 소요된다. 따라서 저자는 영국 세관·관세청(HM Customs & Excise)에서 실제 적용한 “SpACE”(Spreadsheet Audit and Control Environment) 방법론을 제시한다. SpACE는 크게 네 단계로 구성된다. 첫 번째 단계인 **전체 위험 평가**에서는 모델·애플리케이션이 다루는 금액 규모, 규제 위반 가능성, 기업 이미지에 미치는 영향을 정량·정성적으로 판단한다. 여기서 위험 수준이 낮으면 즉시 감사를 중단하고, 위험이 크면 다음 단계로 진행한다. 두 번째 단계인 **위험 발생 가능성 평가**에서는 조직 정책·도메인 지식·명세서·테스트·문서화·데이터 제어 등 여섯 가지 영역에 대한 질문 리스트를 활용한다. 예를 들어, “개발자가 비즈니스 요구를 충분히 이해하고 있는가?”, “명확한 입력·출력·성공 기준이 정의되어 있는가?” 등을 점검한다. 답변이 부정적이면 오류 발생 가능성이 높다고 판단한다. 세 번째 단계인 **위험 식별·범위 설정**에서는 실제 스프레드시트 파일을 열어 파일·시트·수식·링크·외부 참조·고유·복제 수식 등의 메트릭을 자동 감사 도구로 추출한다. 이를 통해 작업량을 추정하고, 복제된 수식이 정상적인지, 고유 수식이 논리적 오류를 포함하는지 판단한다. 또한 매크로·사용자 정의 함수·숨김 행·열·보호 설정·고급 기능(피벗, 솔버 등)의 사용 여부를 점검해 추가 위험을 식별한다. 네 번째 단계인 **테스트·코드 검사 결정**에서는 앞서 산출된 위험 점수와 작업량 추정을 종합해 ‘스톱/고(Stop/Go)’ 판단을 내린다. 위험이 높고 작업량이 합리적이면 상세 코드 검사를 수행한다. 코드 검사에서는 원본·복제 수식의 정확성, 상수·절대 참조·범위 이름 사용, 전제·후속 셀 존재 여부, 오류 반환 셀, 텍스트 형식 숫자 등 고위험 패턴을 자동 도구가 플래그하도록 설계한다. 데이터 검증 역시 GIGO 원칙에 따라 입력 데이터의 완전성·정확성을 별도 테스트한다. 결론에서는 스프레드시트 위험 평가는 모든 감사 활동의 핵심이며, 정책·명세·테스트·문서화가 부실한 경우 위험 점수가 급격히 상승해 즉시 심층 검토가 필요함을 강조한다. 또한, 감사인이 제한된 자원으로도 고위험 모델에 집중함으로써 조직 전체의 의사결정 신뢰성을 크게 향상시킬 수 있음을 주장한다.