통제 매트릭스, 샘플, 작업 문서, 결함 평가로 SOX 통제 테스트를 준비합니다. — Claude Skill
Claude Code용 Claude 스킬 · 제공: Anthropic✓ · 실행: /sox (Claude 내)·업데이트: 2026년 6월 14일·vmain@da04ccb
통제 매트릭스, 샘플 선정, 작업 문서 단계, 증거 기대치, 예외 표, 개선 조치 구조를 포함한 SOX 404 테스트 지원 자료를 생성합니다.
- 유형, 빈도, 핵심 통제 여부, 위험, 주장(assertion)이 포함된 통제 매트릭스를 만듭니다.
- 빈도, 위험, 모집단을 기준으로 샘플 크기를 선택합니다.
- 절차, 기대 증거, 결과 표가 포함된 테스트 작업 문서 초안을 작성합니다.
- 검토를 위해 예외를 결함, 중대한 결함, 중요한 취약점으로 구조화합니다.
통제 테스트는 빈 작업 문서에서 시작하고, 샘플 논리, 증거, 예외 문구를 분기마다 다시 만듭니다.
/sox를 실행해 통제 매트릭스, 샘플 계획, 테스트 절차, 결과 표, 결함 구조를 초안으로 만듭니다.
대상
기능
통제 영역에 대한 통제 매트릭스, 샘플, 작업 문서를 준비합니다.
대사, 분개, 재무제표 검토, 공시 체크리스트 통제를 테스트합니다.
증거 격차를 문서화하고 검토를 위해 결함 심각도를 분류합니다.
작동 방식
통제 영역, 기간, 모집단, 위험 수준, 통제 담당자를 수집합니다.
테스트할 통제를 식별하고 CEAVOP 주장을 문서화합니다.
샘플 크기와 선정 방법을 결정합니다.
절차와 증거 기대치가 포함된 테스트 작업 문서를 만듭니다.
자격 있는 검토를 위해 예외와 제안된 개선 조치를 문서화합니다.
입력 옵션
수익 인식, 구매-지급, 급여, 재무 마감, 자금, ITGC 또는 특정 통제 ID.
예시
통제 영역: 재무 마감 기간: 2026-Q2 모집단: 월별 계정 대사 12건 및 분개 48건 위험: 마감 검토와 분개 승인에 대해 높음 필요: 통제 매트릭스, 샘플 크기, 작업 문서, 결과 표, 예외 평가.
| 통제 # | 통제 설명 | 유형 | 빈도 | 핵심/비핵심 | 위험 | 주장 | |---|---|---|---|---|---|---| | FC-01 | 재무상태표 대사는 마감일까지 작성 및 검토됨 | IT 의존 수동 | 월별 | 핵심 | 높음 | 완전성, 정확성 | | FC-02 | 분개는 전기 전에 승인됨 | 수동 | 거래별 | 핵심 | 높음 | 정확성, 발생 | | FC-03 | 경영진은 하드 마감 전에 초안 재무제표를 검토함 | 수동 | 월별 | 핵심 | 중간 | 표시, 정확성 |
```text 샘플 선정 통제: FC-02 - 분개는 전기 전에 승인됨 기간: 2026-Q2 모집단: 분개 48건 샘플 크기: 15 선정 방법: 무작위, 고액 및 기간 말 분개를 목적 표본으로 포함 ``` | 샘플 # | 거래일 | 참조/ID | 금액 | 선정 근거 | |---:|---|---|---:|---| | 1 | 2026-04-30 | JE-1048 | $420,000 | 기간 말 목적 표본 | | 2 | 2026-05-14 | JE-1182 | $38,500 | 무작위 | | 3 | 2026-06-30 | JE-1399 | $1,200,000 | 고액 목적 표본 |
```text SOX 통제 테스트 작업 문서 통제 #: FC-02 통제 설명: 분개는 전기 전에 승인됨 통제 담당자: Controller 통제 유형: 수동 빈도: 거래별 핵심 통제: 예 관련 주장: 정확성, 발생 테스트 기간: 2026-Q2 테스트 목적: 테스트 기간 전체에서 분개가 전기 전에 승인되었는지 판단합니다. 테스트 절차: 1. 선정된 분개 증빙을 검사합니다. 2. 작성자와 승인자가 다른 사람인지 확인합니다. 3. 승인일이 전기일보다 앞서는지 확인합니다. 4. 분개 금액을 증빙과 비교합니다. 5. 누락된 증거 또는 지연 승인을 문서화합니다. ```
| 샘플 # | 참조 | 승인 존재 | 전기 전 승인 | 증빙 일치 | 결과 | 예외? | 메모 | |---:|---|---|---|---|---|---|---| | 1 | JE-1048 | 통과 | 통과 | 통과 | 통과 | 아니오 | - | | 2 | JE-1182 | 통과 | 실패 | 통과 | 실패 | 예 | 전기 하루 뒤 승인됨 | | 3 | JE-1399 | 통과 | 통과 | 통과 | 통과 | 아니오 | - |
| 예외 | 근본 원인 | 보완 통제 | 예비 평가 | 개선 조치 | |---|---|---|---|---| | JE-1182가 전기 후 승인됨 | 승인자가 부재 중이었고 백업 승인자 없음 | Controller의 월별 분개 검토 | 검토 대상 결함 | 백업 승인자와 지연 승인 리포트 추가 | 감사 문서가 확정되기 전에 자격 있는 재무 및 감사 담당자가 분류를 검토해야 합니다.
개선되는 지표
지원 도구
SOX 테스트을(를) 사용해 보시겠어요?
시작 방법을 선택하세요.
이 스킬을 컴퓨터에 로컬로 설치하고 실행합니다.
컴퓨터에서 터미널을 열고 이 명령을 붙여넣으세요:
이 명령은 스킬과 모든 파일을 컴퓨터에 다운로드합니다:
모든 프로젝트에서 사용하려면 끝에 -g를 추가하세요.
Claude Code를 시작한 다음 명령을 입력하세요:
SOX 컴플라이언스 테스트
익숙하지 않은 플레이스홀더가 보이거나 어떤 도구가 연결되어 있는지 확인해야 한다면 CONNECTORS.md를 참고하세요.
중요: 이 명령는 SOX 컴플라이언스 업무흐름를 지원하지만 감사 또는 법률 자문을 제공하지 않습니다. 모든 테스트 작업 문서와 평가는 감사 문서에 사용하기 전에 자격 있는 재무 전문가의 검토를 받아야 합니다.
SOX 404 재무보고 내부통제를 위한 표본 선정, 테스트 작업 문서 작성, 통제 평가 문서화, 테스트 템플릿 제공을 수행합니다.
사용법
/sox <control-area> <period>
인수
control-area— 테스트할 통제 영역:revenue-recognition— 매출 사이클 통제(수주-수금)procure-to-pay또는p2p— 조달 및 AP 통제(구매-지급)payroll— 급여 처리와 보상 통제financial-close— 기간말 결산과 보고 통제treasury— 현금 관리와 자금 통제fixed-assets— 고정자산 생애주기 통제inventory— 재고 평가와 관리 통제itgc— IT 일반 통제(접근, 변경 관리, 운영)entity-level— 전사 수준 및 모니터링 통제journal-entries— 분개 처리 통제- 특정 통제 ID 또는 이름
period— 테스트 기간(예:2024-Q4,2024,2024-H2)
업무흐름
1. 테스트할 통제 식별
통제 영역을 기준으로 핵심 통제를 식별합니다. 통제 매트릭스를 제시하세요.
| 통제 # | 통제 설명 | 유형 | 빈도 | 핵심/비핵심 | 리스크 | 주장 |
|---|---|---|---|---|---|---|
| [ID] | [설명] | 수동/자동/IT 의존 | 일별/주별/월별/분기별/연간 | 핵심 | 높음/중간/낮음 | [CEAVOP] |
통제 유형:
- 자동: 수동 개입 없이 시스템이 강제하는 통제
- 수동: 담당자가 판단을 포함해 수행하는 통제
- IT 의존 수동: 시스템 생성 데이터에 의존하는 수동 통제
주장 (CEAVOP):
- C 완전성 — 모든 거래가 기록됨
- E 존재/발생 — 거래가 실제로 발생함
- A 정확성 — 금액이 정확하게 기록됨
- V 평가 — 자산/부채가 적절하게 평가됨
- O 의무/권리 — 기업이 자산에 대한 권리와 부채에 대한 의무를 가짐
- P 표시/공시 — 적절하게 분류되고 공시됨
2. 표본 크기 결정
통제 빈도와 리스크를 기준으로 표본 크기를 계산합니다.
| 통제 빈도 | 모집단 규모 (약) | 권장 표본 |
|---|---|---|
| 연간 | 1 | 1 (해당 사례 테스트) |
| 분기별 | 4 | 2 |
| 월별 | 12 | 2-4 (리스크 기준) |
| 주별 | 52 | 5-15 (리스크 기준) |
| 일별 | ~250 | 20-40 (리스크 기준) |
| 거래별 | 다양함 | 25-60 (리스크와 건수 기준) |
다음을 반영해 조정하세요.
- 리스크 수준: 더 높은 리스크 통제은 더 큰 표본이 필요합니다
- 전년도 결과: 전년도 결함가 있었던 통제은 더 큰 표본이 필요합니다
- 의존: 외부 감사인이 의존하는 통제은 더 큰 표본이 필요할 수 있습니다
3. 표본 선정 생성
적절한 방법으로 모집단에서 표본을 선택합니다.
무작위 선택(거래-레벨 통제의 기본값):
- 난수를 생성해 모집단에서 특정 항목을 선택합니다
- 전체 기간에 걸친 커버리지를 보장합니다
체계적 선택(정기 통제용):
- 무작위 시작점를 두고 고정 간격으로 항목을 선택합니다
- 모든 보조-기간가 대표되도록 합니다
표적 선택(리스크 기반 테스트 보완):
- 특정 리스크 특성(고액, 비정상, 기말)을 가진 항목을 선택합니다
- 표적 선택의 근거를 문서화합니다
표본을 제시하세요.
표본 선택
통제: [통제 ID] — [설명]
기간: [테스트 기간]
모집단: [수] 항목, $[총 가치]
표본 규모: [N] 항목
선택 방법: [무작위/체계적/표적]
| 표본 번호 | 거래일 | 참조/ID | 금액 | 선택 근거 |
|----------|-----------------|--------------|--------|-----------------|
| 1 | [날짜] | [참조] | $X,XXX | 무작위 |
| 2 | [날짜] | [참조] | $X,XXX | 무작위 |
| ... | ... | ... | ... | ... |
4. 테스트 작업 문서 작성
각 통제에 대한 테스트 템플릿을 생성합니다.
SOX 통제 테스트 작업 문서
==============================
통제 #: [ID]
통제 설명: [통제 활동의 전체 설명]
통제 담당자: [역할/직함 — 테스터가 입력]
통제 유형: [수동/자동/IT 의존 수동]
빈도: [통제 운영 빈도]
핵심 통제: [예/아니요]
관련 주장: [CEAVOP]
테스트 기간: [기간]
테스트 목적:
다음을 판단합니다: [통제 설명] 테스트 기간 내내 효과적으로 운영되었는지.
테스트 절차:
1. [1단계 — 검사, 검토 또는 재수행할 내용]
2. [2단계 — 확보할 증거]
3. [3단계 — 비교 또는 검증할 내용]
4. [4단계 — 수행 완전성을 평가하는 방법]
5. [5단계 — 수행 적시성을 평가하는 방법]
예상 증거:
- [문서 유형 1 — 예: 서명된 승인 양식]
- [문서 유형 2 — 예: 검토가 보이는 시스템 스크린샷]
- [문서 유형 3 — 예: 작성자 승인이 포함된 대사]
테스트 결과:
| 표본 번호 | 참조 | 절차 1 | 절차 2 | 절차 3 | 결과 | 예외? | 메모 |
|----------|-----|-------------|-------------|-------------|--------|------------|-------|
| 1 | | 통과/실패 | 통과/실패 | 통과/실패 | 통과/실패 | Y/N | |
| 2 | | 통과/실패 | 통과/실패 | 통과/실패 | 통과/실패 | Y/N | |
확인된 예외:
| 표본 번호 | 예외 설명 | 근본 원인 | 보완 통제 | 영향 |
|----------|----------------------|------------|---------------------|--------|
| | | | | |
결론:
[ ] 효과적 — 통제가 예외 없이 효과적으로 운영됨
[ ] 예외가 있는 효과적 통제 — 통제가 효과적으로 운영됐으며 예외가 고립적임
[ ] 결함 — 통제가 효과적으로 운영되지 않음
[ ] 중요 결함 — 결함이 사소한 수준을 초과함
[ ] 중요한 취약점 — 중요 왜곡표시를 예방하거나 발견하지 못할 합리적 가능성
테스트 담당: ________________ 날짜: ________
검토자: _______________ 날짜: ________
5. 일반 통제 템플릿 제공
통제 영역에 따라 사전 작성된 테스트 단계 템플릿을 제공합니다.
수익 인식:
- 판매 주문 승인과 승인 확인
- 전달/성능 증거 확인
- 계약 조건 대비 수익 인식 시점 테스트
- 계약/가격표 대비 가격 정확성 확인
- 크레딧 메모 승인과 유효성 테스트
구매-지급:
- 구매 주문 승인과 승인 한도 확인
- 3자 대사(PO, 입고, 송장) 확인
- 공급업체 마스터 데이터 변경 통제 테스트
- 결제 승인과 직무 분리 확인
- 중복 결제 예방 통제 테스트
재무 결산:
- 계정 대사 완전성와 적시성 확인
- 분개 승인과 직무 분리 테스트
- 재무제표에 대한 경영진 검토 확인
- 연결과 제거 분개 테스트
- 공시 체크리스트 완료 확인
ITGC:
- 사용자 접근 권한 부여과 권한 회수 테스트
- 특권 접근 리뷰 확인
- 변경 관리 승인과 테스트
- 배치 작업 모니터링과 예외 처리 확인
- 백업과 복구 절차 테스트
6. 통제 평가 문서화
식별된 결함를 분류합니다.
결함: 통제이 경영진 또는 직원가 왜곡표시를 적시에 예방하거나 발견하도록 충분히 허용하지 않습니다. 다음을 고려하세요.
- 왜곡표시 가능성
- 잠재적 왜곡표시 규모
- 보완 통제 존재 여부
중요 결함: 중요한 취약점보다 심각도는 낮지만 감독 책임자의 주의를 받을 만큼 중요한 결함(또는 조합)입니다.
중요한 취약점: 중요 왜곡표시가 적시에 예방되거나 발견되지 않을 합리적 가능성이 있는 결함(또는 조합)입니다.
7. 출력
다음을 제공하세요.
- 선택한 영역의 통제 매트릭스
- 방법론 문서가 포함된 표본 선정
- 테스트 단계이 미리 채워진 테스트 작업 문서 템플릿
- 결과 문서화 템플릿
- 결함 평가 프레임워크(예외가 식별된 경우)
- 확인된 결함에 대한 시정 조치 제안
참조 문서
name: sox-testing description: SOX 표본 선정, 테스트 작업 문서, 통제 평가를 생성합니다. 분기 또는 연간 SOX 404 테스트를 계획하거나, 통제(수익, P2P, ITGC, 마감)의 표본을 뽑거나, 테스트 작업 문서 템플릿을 만들거나, 통제 결함를 평가하고 분류할 때 사용하세요. argument-hint: "<control area> [기간]"
SOX 컴플라이언스 테스트
익숙하지 않은 플레이스홀더가 보이거나 어떤 도구가 연결되어 있는지 확인해야 한다면 CONNECTORS.md를 참고하세요.
중요: 이 명령는 SOX 컴플라이언스 업무흐름를 지원하지만 감사 또는 법률 자문을 제공하지 않습니다. 모든 테스트 작업 문서와 평가는 감사 문서에 사용하기 전에 자격 있는 재무 전문가의 검토를 받아야 합니다.
SOX 404 재무보고 내부통제를 위한 표본 선정, 테스트 작업 문서 작성, 통제 평가 문서화, 테스트 템플릿 제공을 수행합니다.
사용법
/sox <control-area> <period>
인수
control-area— 테스트할 통제 영역:revenue-recognition— 매출 사이클 통제(수주-수금)procure-to-pay또는p2p— 조달 및 AP 통제(구매-지급)payroll— 급여 처리와 보상 통제financial-close— 기간말 결산과 보고 통제treasury— 현금 관리와 자금 통제fixed-assets— 고정자산 생애주기 통제inventory— 재고 평가와 관리 통제itgc— IT 일반 통제(접근, 변경 관리, 운영)entity-level— 전사 수준 및 모니터링 통제journal-entries— 분개 처리 통제- 특정 통제 ID 또는 이름
period— 테스트 기간(예:2024-Q4,2024,2024-H2)
업무흐름
1. 테스트할 통제 식별
통제 영역을 기준으로 핵심 통제를 식별합니다. 통제 매트릭스를 제시하세요.
| 통제 # | 통제 설명 | 유형 | 빈도 | 핵심/비핵심 | 리스크 | 주장 |
|---|---|---|---|---|---|---|
| [ID] | [설명] | 수동/자동/IT 의존 | 일별/주별/월별/분기별/연간 | 핵심 | 높음/중간/낮음 | [CEAVOP] |
통제 유형:
- 자동: 수동 개입 없이 시스템이 강제하는 통제
- 수동: 담당자가 판단을 포함해 수행하는 통제
- IT 의존 수동: 시스템 생성 데이터에 의존하는 수동 통제
주장 (CEAVOP):
- C 완전성 — 모든 거래가 기록됨
- E 존재/발생 — 거래가 실제로 발생함
- A 정확성 — 금액이 정확하게 기록됨
- V 평가 — 자산/부채가 적절하게 평가됨
- O 의무/권리 — 기업이 자산에 대한 권리와 부채에 대한 의무를 가짐
- P 표시/공시 — 적절하게 분류되고 공시됨
2. 표본 크기 결정
통제 빈도와 리스크를 기준으로 표본 크기를 계산합니다.
| 통제 빈도 | 모집단 규모 (약) | 권장 표본 |
|---|---|---|
| 연간 | 1 | 1 (해당 사례 테스트) |
| 분기별 | 4 | 2 |
| 월별 | 12 | 2-4 (리스크 기준) |
| 주별 | 52 | 5-15 (리스크 기준) |
| 일별 | ~250 | 20-40 (리스크 기준) |
| 거래별 | 다양함 | 25-60 (리스크와 건수 기준) |
다음을 반영해 조정하세요.
- 리스크 수준: 더 높은 리스크 통제은 더 큰 표본이 필요합니다
- 전년도 결과: 전년도 결함가 있었던 통제은 더 큰 표본이 필요합니다
- 의존: 외부 감사인이 의존하는 통제은 더 큰 표본이 필요할 수 있습니다
3. 표본 선정 생성
적절한 방법으로 모집단에서 표본을 선택합니다.
무작위 선택(거래-레벨 통제의 기본값):
- 난수를 생성해 모집단에서 특정 항목을 선택합니다
- 전체 기간에 걸친 커버리지를 보장합니다
체계적 선택(정기 통제용):
- 무작위 시작점를 두고 고정 간격으로 항목을 선택합니다
- 모든 보조-기간가 대표되도록 합니다
표적 선택(리스크 기반 테스트 보완):
- 특정 리스크 특성(고액, 비정상, 기말)을 가진 항목을 선택합니다
- 표적 선택의 근거를 문서화합니다
표본을 제시하세요.
표본 선택
통제: [통제 ID] — [설명]
기간: [테스트 기간]
모집단: [수] 항목, $[총 가치]
표본 규모: [N] 항목
선택 방법: [무작위/체계적/표적]
| 표본 번호 | 거래일 | 참조/ID | 금액 | 선택 근거 |
|----------|-----------------|--------------|--------|-----------------|
| 1 | [날짜] | [참조] | $X,XXX | 무작위 |
| 2 | [날짜] | [참조] | $X,XXX | 무작위 |
| ... | ... | ... | ... | ... |
4. 테스트 작업 문서 작성
각 통제에 대한 테스트 템플릿을 생성합니다.
SOX 통제 테스트 작업 문서
==============================
통제 #: [ID]
통제 설명: [통제 활동의 전체 설명]
통제 담당자: [역할/직함 — 테스터가 입력]
통제 유형: [수동/자동/IT 의존 수동]
빈도: [통제 운영 빈도]
핵심 통제: [예/아니요]
관련 주장: [CEAVOP]
테스트 기간: [기간]
테스트 목적:
다음을 판단합니다: [통제 설명] 테스트 기간 내내 효과적으로 운영되었는지.
테스트 절차:
1. [1단계 — 검사, 검토 또는 재수행할 내용]
2. [2단계 — 확보할 증거]
3. [3단계 — 비교 또는 검증할 내용]
4. [4단계 — 수행 완전성을 평가하는 방법]
5. [5단계 — 수행 적시성을 평가하는 방법]
예상 증거:
- [문서 유형 1 — 예: 서명된 승인 양식]
- [문서 유형 2 — 예: 검토가 보이는 시스템 스크린샷]
- [문서 유형 3 — 예: 작성자 승인이 포함된 대사]
테스트 결과:
| 표본 번호 | 참조 | 절차 1 | 절차 2 | 절차 3 | 결과 | 예외? | 메모 |
|----------|-----|-------------|-------------|-------------|--------|------------|-------|
| 1 | | 통과/실패 | 통과/실패 | 통과/실패 | 통과/실패 | Y/N | |
| 2 | | 통과/실패 | 통과/실패 | 통과/실패 | 통과/실패 | Y/N | |
확인된 예외:
| 표본 번호 | 예외 설명 | 근본 원인 | 보완 통제 | 영향 |
|----------|----------------------|------------|---------------------|--------|
| | | | | |
결론:
[ ] 효과적 — 통제가 예외 없이 효과적으로 운영됨
[ ] 예외가 있는 효과적 통제 — 통제가 효과적으로 운영됐으며 예외가 고립적임
[ ] 결함 — 통제가 효과적으로 운영되지 않음
[ ] 중요 결함 — 결함이 사소한 수준을 초과함
[ ] 중요한 취약점 — 중요 왜곡표시를 예방하거나 발견하지 못할 합리적 가능성
테스트 담당: ________________ 날짜: ________
검토자: _______________ 날짜: ________
5. 일반 통제 템플릿 제공
통제 영역에 따라 사전 작성된 테스트 단계 템플릿을 제공합니다.
수익 인식:
- 판매 주문 승인과 승인 확인
- 전달/성능 증거 확인
- 계약 조건 대비 수익 인식 시점 테스트
- 계약/가격표 대비 가격 정확성 확인
- 크레딧 메모 승인과 유효성 테스트
구매-지급:
- 구매 주문 승인과 승인 한도 확인
- 3자 대사(PO, 입고, 송장) 확인
- 공급업체 마스터 데이터 변경 통제 테스트
- 결제 승인과 직무 분리 확인
- 중복 결제 예방 통제 테스트
재무 결산:
- 계정 대사 완전성와 적시성 확인
- 분개 승인과 직무 분리 테스트
- 재무제표에 대한 경영진 검토 확인
- 연결과 제거 분개 테스트
- 공시 체크리스트 완료 확인
ITGC:
- 사용자 접근 권한 부여과 권한 회수 테스트
- 특권 접근 리뷰 확인
- 변경 관리 승인과 테스트
- 배치 작업 모니터링과 예외 처리 확인
- 백업과 복구 절차 테스트
6. 통제 평가 문서화
식별된 결함를 분류합니다.
결함: 통제이 경영진 또는 직원가 왜곡표시를 적시에 예방하거나 발견하도록 충분히 허용하지 않습니다. 다음을 고려하세요.
- 왜곡표시 가능성
- 잠재적 왜곡표시 규모
- 보완 통제 존재 여부
중요 결함: 중요한 취약점보다 심각도는 낮지만 감독 책임자의 주의를 받을 만큼 중요한 결함(또는 조합)입니다.
중요한 취약점: 중요 왜곡표시가 적시에 예방되거나 발견되지 않을 합리적 가능성이 있는 결함(또는 조합)입니다.
7. 출력
다음을 제공하세요.
- 선택한 영역의 통제 매트릭스
- 방법론 문서가 포함된 표본 선정
- 테스트 단계이 미리 채워진 테스트 작업 문서 템플릿
- 결과 문서화 템플릿
- 결함 평가 프레임워크(예외가 식별된 경우)
- 확인된 결함에 대한 시정 조치 제안