적용 및 기타 설명자료
목적 (문단 5 참조)
효과적인 내부회계관리제도는 재무보고의 신뢰성과 해당 재무보고체계에 따른 재무제표의 작성에 대한 합리적인 확신을 기업에 제공한다. 하나 이상의 중요한 취약점이 존재하는 경우 기업의 내부회계관리제도는 효과적이라고 간주될 수 없다. 이 기준에서 요구하는 기업의 내부회계관리제도의 효과성에 대한 평가는 모든 관련성있는 통제목적을 포괄한다; 따라서, 내부회계관리제도에서 하나의 중요한 취약점을 식별하였더라도 감사인이 기업의 내부회계관리제도의 모든 관련성있는 통제목적의 효과성을 평가하는 절차를 중단하는 것은 정당화되지 않는다.
감사인이 개별적으로 혹은 결합하여, 중요한 취약점보다 덜 심각한 미비점을 식별하기 위해 통합감사를 계획하고 수행할 의무는 없다.
용어의 정의 (문단 6 참조)
내부회계관리제도
통합감사의 일부로 감사인이 수행하는 절차는 기업의 내부회계관리제도의 일부가 아니다.
준거기준
이 감사기준서에서, 인증대상(즉, 감사대상)은 내부회계관리제도이다.
감사인은 내부회계관리제도감사를 수행할 때 내부회계관리제도 운영실태에 관한 보고내용이 외부감사법의 요구사항을 포함하여 「내부회계관리제도 평가 및 보고 기준」에 따라 작성되었는지를 평가한다.
중요한 취약점
감사기준서 265 “내부통제 미비점에 대한 지배기구와 경영진과의 커뮤니케이션” 은 내부통제의 미비점(Deficiency in internal control)과 내부통제의 유의적 미비점(Significant deficiency in internal control)에 대한 용어의 정의를 포함하고 있다. 19) 또한 「내부회계관리제도 평가 및 보고 기준」에서는 중요한 취약점에 대한 추가 설명을 제공하고 20) 내부회계관리제도의 미비점을 설계의 미비점과 운영의 미비점으로 구분하여 설명하고 있다. 21)
19) 감사기준서 265 "내부통제 미비점에 대한 지배기구와 경영진과의 커뮤니케이션" 문단 6 ↩
20) 「내부회계관리제도 평가 및 보고 기준」 제2호 더.목, 「내부회계관리제도 평가 및 보고 가이드라인」 문단 51 가에서 내부회계관리제도의 중요한 취약점(Material weakness)은 내부통제의 중요한 미비점(Major deficiency) 수준에 대응한다고 설명 ↩
내부회계관리제도감사의 전제조건 (문단 7 참조)
경영진은 통제와 통제가 달성하고자 하는 통제목적을 식별하고 문서화할 책임이 있다. 그러한 문서화는 내부회계관리제도에 대한 경영진 평가의 근거가 된다. 해당 통제에 대한 변경을 포함한, 통제 설계의 문서화는 내부회계관리제도에 대한 경영진 평가의 기초가 되는 통제가 다음과 같다는 증거이다.
- 통제가 식별됨
- 통제의 수행에 대한 책임을 지는 사람에게 통제에 대해 커뮤니케이션될 수 있음
- 통제가 기업에 의해 모니터링되고 평가될 수 있음
경영진의 문서화는 다양한 형태를 띤다. 기업 정책매뉴얼, 회계매뉴얼, 서술형식의 메모, 업무흐름도, 의사결정표(decision tables), 절차상의 기록 또는 작성완료된 질문서 등이 있다. 문서화의 형태에 대하여 특별히 규정된 바가 없으며, 문서화의 범위는 기업의 규모와 복잡성과 기업의 모니터링 활동에 따라 변경될 수 있다.
경영진의 모니터링 활동은 또한 내부회계관리제도에 대한 경영진 평가를 뒷받침하는, 내부회계관리제도의 설계 및 운영 효과성에 대한 증거를 제공할 수 있다. 통제의 모니터링은 지속적으로 내부회계관리제도 수행의 효과성을 평가하는 프로세스이다. 이는 적시에 통제의 효과성을 평가하고, 조직 내의 적합한 개인에게 미비점을 식별하여 보고하며, 그리고 필요한 시정조치를 취하는 것을 포함한다. 경영진은 상시적인 평가나 별도의 평가 또는 이 두 가지를 결합하여 통제의 모니터링을 달성한다.
상시적인 평가는 종종 기업의 정상적인 반복활동에 내재되어 있고 정규적인 경영 및 감독 활동을 포함한다. 상시적인 평가의 정도와 효과성이 클 수록, 별도의 평가를 할 필요가 줄어든다. 경영진은 상시적인 평가와 별도의 평가를 결합하여 수행할 수 있다. 별도의 평가의 범위와 빈도는 경영진의 판단사항이다.
적합한 준거기준은 내부회계관리제도 운영실태보고서 이용자에게 적절하고 이용가능하다. 적합한 준거기준은 다음의 특성을 모두 나타낸다.
- 관련성. 준거기준은 내부회계관리제도와 관련성이 있다.
- 객관성. 준거기준은 편향되지 않는다.
- 측정가능성. 준거기준은 내부회계관리제도에 대하여 양적으로나 질적으로, 합리적으로 일관되게 측정된다.
- 완전성. 준거기준은 해당 준거기준에 따라 작성된 내부회계관리제도의 효과성에 대한 평가가, 의도된 이용자가 내부회계관리제도 운영실태보고서에 근거하여 내리는 의사결정에 영향을 미칠 것으로 합리적으로 기대되는 관련 요인을 누락하지 않는 경우에 완전하다.
내부회계관리제도운영위원회가 공표한 「내부회계관리제도 설계 및 운영 개념체계」(이하 “내부회계관리제도 개념체계”)는 경영진이 기업의 내부회계관리제도의 효과성을 평가하고 보고할 수 있는 적합하고 이용가능한 준거기준을 제공한다. 내부회계관리제도 개념체계는 경영진이 보다 적절하다고 판단하는 경우 다른 내부통제체계(예를 들어, COSO Framework(미국) 등 외부감사법 제8조의 정의에 부합하는 기타 기준)를 선택하여 일반적으로 인정되는 내부통제체계로 사용하는 것을 허용하고 있다. 만약 경영진이 다른 체계를 선택하는 경우에는, 경영진이 선택한 체계의 적합성 평가에 관한 지침을 위해 문단 A12를 참조한다.
내부통제는 경영진이 사용하는 체계에서 정의하는 바와 같이, 내부회계관리제도보다 더 광범위하게 정의될 수 있다. 그러나, 이 기준은 오직 내부회계관리제도에 대해서만 초점을 맞춘다.
내부회계관리제도감사와 재무제표감사의 통합 (문단 10-15 참조)
재무제표감사 목적으로 통제의 운영효과성을 뒷받침하는 충분하고 적합한 증거를 입수하는 경우, 통상적으로 감사인은 그렇지 않았다면 재무제표에 대한 의견표명을 위해 필요했을 수도 있는 실증절차를 완화할 수 있다.
어떤 상황에서, 특히 소규모 기업의 감사를 수행할 때, 감사인이 재무제표감사 목적으로는 통제위험이 낮다고 평가하지 않기로 결정할 수 있다. 그러한 상황에서, 통제의 운영효과성에 대한 감사인의 테스트는 주로 보고기간말 기준으로 기업의 내부회계관리제도가 효과적인지 여부에 대한 감사의견을 뒷받침하기 위하여 수행될 것이다.
감사기준서 500 “감사증거”는 충분하고 적합한 감사증거의 입수에 관해 추가적인 설명을 제공한다.
재무제표에 대한 의견을 표명하기 위하여 감사인은 일반적으로 통제테스트와 실증절차를 수행한다. 이 목적을 위해 감사인이 수행하는 통제테스트의 목적은 통제위험을 평가하는 것이다. 특정 재무제표주장에 대한 통제위험을 최대보다 낮게 평가하기 위해서는, 감사인이 해당 통제에 의존하기로 계획한 ‘전체기간’ 동안 관련 통제가 효과적으로 운영되었다는 증거를 입수하도록 감사인에게 요구된다. 그러나, 감사인은 ‘모든’ 관련경영진주장에 대한 통제위험을 최대보다 낮게 평가하도록 요구되지는 않으며, 다양한 이유로 감사인이 그렇게 하지 않기로 선택할 수 있다.
통제테스트의 결과를 고려하여 감사인은, 특히 식별된 미비점에 대응하여 실증절차의 성격, 시기 및 범위를 변경하고 추가적인 통제테스트를 계획하고 수행할 수 있다.
내부회계관리제도감사계획의 수립 (문단 16 참조)
다음 사항이 기업의 재무제표와 내부회계관리제도에 중요한지 여부와, 중요하다면 감사절차에 어떻게 영향을 미칠 것인지를 평가하는 것은 감사인이 내부회계관리제도 감사계획을 수립할 때 도움을 줄 수 있다.
- 감사인이 다른 업무를 수행하는 과정 또는 해당되는 경우, 전임감사인의 업무조서를 검토하는 과정에서 획득한 기업의 내부회계관리제도에 대한 지식
- 기업이 속한 산업에 영향을 미치는 사항 (예, 재무보고관행, 경제적 상황, 법규 및 기술적 변화)
- 기업 조직, 경영특성 및 자본구조를 포함한, 기업의 사업과 관련된 사항
- 기업, 기업 운영 또는 기업의 내부회계관리제도의 최근 변화 정도
- 재무제표 중요성, 위험 및 중요한 취약점의 결정과 관련된 기타 요소에 대한 감사인의 예비적 판단
- 지배기구 또는 경영진과 이전에 커뮤니케이션된 미비점
- 기업이 인지하고 있는 법규사항
- 기업의 내부회계관리제도의 효과성과 관련하여 이용가능한 증거의 유형과 범위
- 내부회계관리제도의 효과성에 대한 예비적 판단
- 재무제표의 중요한 왜곡표시 가능성과 기업의 내부회계관리제도의 효과성에 대한 평가와 관계 있는 기업 관련 공개정보
- 감사인의 의뢰인 수용과 유지 평가의 일환으로 평가된 기업 관련 위험에 관한 지식
- 기업 운영의 상대적 복잡성
위험평가의 역할 (문단 17 참조)
위험평가는 이 기준에서 기술하는 전체 내부회계관리제도감사 프로세스(유의적인 거래유형, 계정잔액, 공시 및 관련경영진주장의 결정, 테스트할 통제의 선정, 그리고 정해진 통제의 효과성에 대한 결론을 내리는데 필요한 증거의 결정을 포함함)의 근간이 된다. 감사기준서 315에서 기술하는 위험평가절차는 재무제표감사와 내부회계관리제도 감사 모두를 뒷받침한다.
감사의 범위조정
기업의 규모와 복잡성, 사업프로세스 및 구조는 기업이 많은 통제목적을 달성하는 방식에 영향을 미칠 수 있다.
많은 소규모 기업의 운영은 덜 복잡하다. 그리고 일부 대규모의 복잡한 기업들도 덜 복잡한 사업 단위나 프로세스로 구성되어 있을 수 있다. 덜 복잡한 운영으로 볼 수 있는 요소들은 소수의 사업부문, 덜 복잡한 사업프로세스와 재무보고 시스템, 더 중앙 집중화된 회계 기능, 일일 업무 활동에 대한 고위 경영진의 광범위한 관여, 경영진의 단계가 더 적고 각 경영진의 통제범위가 넓은 경우를 포함한다. 따라서, 소규모의 덜 복잡한 기업이나 대규모의 덜 복잡한 기업도 더 복잡한 기업과 상이한 방식으로 통제목적을 달성할 수 있다.
기업의 규모와 복잡성, 사업프로세스 및 구조는 또한 감사인의 위험평가와 그러한 위험에 대처하기 위해 필요한 절차와 필요한 통제의 결정에 영향을 미칠 수 있다. 감사의 범위를 조정하는 것은 위험 기반 접근법의 정상적인 확장으로서 가장 효과적이며 모든 기업의 감사에 적용 가능하다.
부정위험에 대한 대처 (문단 18-19 참조)
내부감사인이 수행한 업무의 활용(문단 20-21 참조)
내부회계관리제도감사에서, 외부감사인은 감사증거를 입수할 때 내부감사기능이 수행한 업무를 활용할 수 있다. 통합감사에서, 감사인은 또한 재무제표감사 목적으로 통제위험의 평가를 뒷받침할 증거를 입수하기 위해 내부감사인이 수행한 업무를 활용할 수 있다.
통제와 연관된 위험이 증가할수록, 해당 통제에 대해 감사인이 직접 업무를 수행할 필요성이 증가한다(예를 들어, 특정 부정위험을 다루는 통제에 대해서는, 내부감사기능이 수행한 업무를 활용할 수는 있겠지만 그 활용이 제한될 것이다).
중요성 (문단 22 참조)
감사기준서 320, "감사의 계획수립과 수행에 있어서의 중요성"은 중요성에 대한 추가적인 설명을 제공한다.
하향식 접근법의 사용 (문단 23 참조)
하향식 접근법은 위험과 테스트 대상 통제를 식별함에 있어서 감사인의 순차적인 사고프로세스를 기술하는 것으로, 감사인이 감사절차를 수행할 순서일 필요는 없다.
하향식 접근법은 다음을 포함한다.
- 재무제표수준에서 시작함
- 내부회계관리제도의 전반적인 위험에 대한 감사인의 이해를 사용함
- 전사적 수준 통제에 초점을 둠
- 유의적인 거래유형, 계정잔액, 공시 및 관련경영진주장으로 업무를 옮겨감
- 재무제표에 중요한 왜곡표시가 존재할 합리적 가능성이 있는 거래유형, 계정, 공시 및 경영진주장으로 감사인의 주의를 기울이게 함
- 기업의 프로세스 내에 존재하는 위험에 대한 감사인의 이해를 검증함
- 각각의 관련경영진주장에 대한 평가된 왜곡표시위험에 충분히 대처하는 통제를 테스트 대상으로 선정함
전사적 수준 통제 (문단 24 참조)
전사적 수준 통제에 대한 감사인의 평가는 감사인이 다른 통제에 대해 수행했을 수도 있는 테스트를 늘리거나 줄이는 결과를 발생시킬 수 있다.
전사적 수준 통제에는 다음이 포함된다
- 통제환경과 관련된 통제
- 경영진 무력화에 대한 통제;
- 기업의 위험 평가프로세스;
- 공유서비스 환경을 포함한, 중앙 집중화된 프로세스 및 통제;
- 운영 결과를 모니터링 하는 통제;
- 내부감사기능, 지배기구 및 자가 평가 프로그램의 활동을 포함한, 다른 통제를 모니터링 하는 통제;
- 보고기간말 재무보고 프로세스에 대한 통제;
- 유의적인 사업위험에 대처하는 프로그램과 통제
전사적 수준 통제는 그 성격과 정밀함이 다양하다 –
- 통제환경 통제와 같은 일부 전사적 수준 통제는 왜곡표시를 적시에 예방하거나 발견∙ 수정할 가능성에 중요하지만 간접적인 영향을 미친다. 이 통제들은 감사인이 테스트를 위해 선정한 다른 통제와 감사인이 다른 통제에 대해 수행하는 절차의 성격, 시기 및 범위에 영향을 미칠 수 있다.
- 일부 전사적 수준 통제는 다른 통제의 효과성을 모니터링한다. 그러한 통제는 더 하위 수준의 통제 내에서 발생가능한 와해(breakdown)를 식별할 수 있도록 설계되었을 수 있으나, 그 통제 자체로 관련경영진주장에 대한 중요한 왜곡표시가 적시에 예방되거나 발견∙수정될 것이라고 평가된 위험에 충분히 대처할 정도로 정밀한 수준이 아닐 수 있다. 이 통제가 효과적으로 운영될 때, 감사인이 다른 통제에 대한 테스트를 줄이는 것이 허용될 수 있다.
- 일부 전사적 수준 통제는 하나 이상의 관련경영진주장의 왜곡표시를 적시에 적절하게 예방하거나 발견∙수정할 정도의 정밀한 수준으로 운영되도록 설계되었을 수 있다. 전사적 수준 통제가 평가된 중요왜곡표시위험에 충분히 대처하고 있다면, 감사인은 해당 위험과 관련된 추가적인 통제를 테스트할 필요가 없다.
소규모기업에 특유한 고려사항
경영진 무력화에 대한 통제는 모든 기업의 효과적인 내부회계관리제도에 중요하며, 통제 수행 및 보고기간말 재무보고 프로세스에 고위경영진의 참여가 많기 때문에 소규모기업에 특히 중요할 수 있다. 소규모기업의 경우, 경영진 무력화 위험에 대처하는 통제는 대규모 기업의 통제와 다를 수 있다. 예를 들어, 소규모기업은 경영진 무력화 위험에 초점을 두는 지배기구의 더 세부적인 감시에 의존할 수 있다.
내부회계관리제도 구성요소 평가 (문단 25-26 참조)
「내부회계관리제도 설계∙운영 개념체계」는 5개의 내부통제 구성요소별로 달성되어야 할 원칙들을 제시하고 있다. 경영진이 「내부회계관리제도 설계∙운영 개념체계」를 적용하는 경우 이 원칙들은 기업의 재무보고 목적을 달성하기 위한 내부회계관리제도의 설계, 실행 및 운영에 내부회계관리제도 구성요소가 존재하고 기능하는지 여부에 대한 감사인의 평가와도 관련된다.
보고기간말 재무보고 프로세스 (문단 27-28 참조)
연도말 재무보고 프로세스는 통상적으로 경영진 평가의 "기준"일 후에 발생하므로, 이 통제는 해당 평가기준일 이후에 테스트되는 것이 보통이다.
유의적인 거래유형, 계정잔액 및 공시와 관련경영진주장을 식별 (문단 29-32 참조)
감사인이 재무제표의 중요한 왜곡표시를 발생하게 할 왜곡표시를 포함할 합리적 가능성이 있는 유의적인 거래유형, 계정 및 공시 각각에 대해 관련 위험에 대한 통제를 선정하고 테스트한 경우, 감사인은 감사기준서 315 에서 제시된 경영진주장과 상이한 경영진주장에 근거하여 업무를 수행할 수 있다.25)
25) 감사기준서 315 문단 A189-A190 참조 ↩
고유위험요소는 유의적인 거래유형, 계정잔액 및 공시와 관련경영진주장의 식별과 관련된다. 고유위험요소는 감사기준서 315에 기술되어 있다.
감사인이 내부회계관리제도감사에서 유의적인 거래유형, 계정잔액, 공시 및 관련경영진주장을 식별할 때 평가하여야 하는 고유위험요소는 재무제표감사에서 평가하여야 하는 위험요소와 동일하다; 따라서, 유의적인 거래유형, 계정잔액 및 공시와 관련경영진주장은 통합감사에서 동일하다.
재무제표감사와 연계된 위험평가절차는 감사기준서 315에 기술되어 있다.
감사인은 주어진 유의적인 거래유형, 계정잔액 또는 공시 내에서 "무엇이 잘못될 수 있는가?"라고 자문을 함으로써 잠재적 왜곡표시의 가능한 원천을 결정할 수 있을 것이다.
잠재적으로 유의적인 거래유형, 계정잔액 및 공시의 구성요소는 유의적으로 다른 위험에 노출될 수 있다. 그렇다면, 이러한 위험들에 적절히 대처하기 위한 서로 다른 통제가 필요할 수 있을 것이다.
부문이 다수인 상황에 대해서는 문단 84에서 논의된다.
왜곡표시의 가능한 원천에 대한 이해 (문단 33-35 참조)
추적조사를 수행할 때, 감사인은 기업 담당자에게 중요한 거래 처리절차가 수행되는 시점에 기업의 규정된 절차 및 통제에 의하여 요구되는 사항에 대한 기업 담당자의 이해에 관해 질문한다. 이러한 탐색적 질문(probing question)은 다른 추적조사 절차와 결합하여, 감사인이 해당 프로세스에 대한 충분한 이해를 얻고 필요한 통제가 누락되거나 효과적으로 설계되지 않은 중요한 지점을 식별할 수 있게 한다. 또한, 추적조사의 기초로 사용된 단일거래에 대한 제한된 초점을 넘어서는 탐색적 질문은 해당 프로세스에 의해 다루어지는 상이한 유형의 유의적인 거래에 대한 이해를 제공한다.
정보기술 내에서 위험과 통제의 식별은 별도의 평가가 아니다. 대신에, 위험을 평가하고 감사노력을 배분하는데 뿐만 아니라, 유의적인 거래유형, 계정잔액 및 공시와 관련경영진주장과 테스트 대상 통제를 식별하는 데 사용되는 하향식 접근법의 필수적인 부분이다.
테스트 대상 통제의 선정 (문단 36 참조)
특정 관련경영진주장의 평가된 왜곡표시위험에 대처하는 통제는 하나 이상일 수 있다. 이와 반대로, 하나의 통제가 하나 이상의 관련경영진주장의 평가된 왜곡표시위험에 대처할 수도 있다. 관련경영진주장과 관련된 모든 통제를 테스트할 필요가 없고, 통제 중복 자체가 통제목적이 아닌 이상 중복된 통제를 테스트할 필요도 없을 수 있다.
통제를 테스트 대상으로 선정할 것인지 여부에 대한 결정은, 통제가 어떻게 분류되는지(예를 들어, 전사적 수준 통제, 거래수준통제, 통제활동, 모니터링 통제, 예방통제, 적발통제 등)보다는, 해당 통제가 개별적으로 혹은 결합하여 특정 관련경영진주장의 평가된 왜곡표시위험에 충분히 대처할 수 있는지 여부에 달려 있다.
통제테스트
설계효과성의 테스트 (문단 37 참조)
설계효과성을 평가하기 위해 수행되는 절차는 적합한 기업 담당자에 대한 질문, 특정 통제의 운영에 대한 관찰 그리고 관련 문서의 검사의 결합으로 이루어질 수 있다. 이러한 절차를 포함한 추적조사는 일반적으로 설계효과성을 평가하는데 충분하다.
소규모기업에 특유한 고려사항
소규모기업은 더 복잡한 대규모 조직과는 다른 방법으로 통제 목적을 달성할 수 있을 것이다. 예를 들어, 소규모기업은 회계기능 인력이 소수여서, 업무분장 기회가 제한되고 통제목적을 달성하기 위해 다른 통제를 실행하게 될 것이다.
운영효과성의 테스트 (문단 38 참조)
운영효과성을 테스트하기 위해 수행되는 절차는 적합한 기업 담당자에 대한 질문, 특정 통제의 운영에 대한 관찰, 관련 문서의 검사 그리고 통제의 재수행의 결합으로 이루어질 수 있다. 그러나, 질문만으로는 그러한 목적을 달성하기에 충분하지 않다. 감사기준서 330 “평가된 위험에 대한 감사인의 대응”은 질문과 결합하여, 통제의 운영효과성을 테스트할 때 적합할 수 있는 다른 감사절차에 대한 추가적인 지침을 제공한다. 26)
26) 감사기준서 330 문단 A26-A27 ↩
어떤 상황에서는, 특히 소규모기업의 경우, 기업이 특정 재무보고기능을 보조하게 하기 위하여 제3자를 활용할 수 있다. 기업의 재무보고와 관련 통제에 대해 책임을 지는 담당자의 적격성을 평가할 때, 감사인은 기업담당자의 적격성과 재무보고 관련 기능을 보조하는 제3자의 적격성을 결합하여 고려할 수 있다.
위험과 입수해야 할 증거와의 관계(문단 39-42 참조)
각각의 테스트 대상 통제에 대하여, 통제가 효과적이라고 감사인을 설득하는데 필요한 증거는 통제와 연관된 위험에 따라 다르다. 통제와 연관된 위험은 통제가 효과적이지 않을 위험과, 통제가 효과적이지 않을 경우에 중요한 취약점이 존재할 위험으로 구성된다.
통제와 연관된 위험에 영향을 미치는 요소는 다음을 포함한다.
- 통제가 예방하거나 발견∙수정하고자 의도하는 왜곡표시의 성격과 중요성
- 관련되는 계정 및 경영진주장과 연관된 고유위험
- 통제설계 또는 운영효과성에 부정적 영향을 미칠 수 있는 거래의 규모나 성격에 변화가 있었는지 여부
- 해당 계정에 오류내력이 있는지 여부
- 전사적 수준 통제, 특히, 다른 통제를 모니터링하는 통제의 효과성
- 통제의 성격과 통제가 운영되는 빈도
- 해당 통제가 다른 통제의 효과성에 의존하는 정도 (예를 들어, 통제환경 또는 정보기술 일반통제)
- 통제를 수행하거나 통제의 수행을 모니터링하는 기업 담당자의 적격성. 그리고 통제를 수행하거나 통제의 수행을 모니터링하는 핵심 인원에 변경이 있었는지 여부
- 통제가 개인의 수행에 의존하는지 또는 자동화되었는지 여부 (즉, 자동통제는 관련 정보기술 일반통제가 효과적이면, 일반적으로 위험이 낮은 것으로 기대된다)
- 통제의 복잡성 및 통제의 운영과 연계하여 내릴 수 있는 판단의 유의성
일반적으로, 통제가 효과적으로 운영되지 않고 있다는 결론은 통제가 효과적으로 운영되고 있다는 결론을 뒷받침하는데 필요한 증거보다 더 적은 증거로 뒷받침될 수 있다.
사업프로세스가 단순하고 회계업무가 중앙 집중화되어 있는 소규모 기업이나 부문은 표준화된 범용소프트웨어(off-the-shelf packaged software)를 변형하지 않고 사용하는 비중이 큰, 비교적 단순한 정보시스템을 보유할 것이다. 범용 소프트웨어가 사용되는 영역에서, 정보기술 통제에 대한 감사인의 테스트는, 경영진이 통제목적을 달성하기 위하여 의존하는 범용 소프트웨어에 내재된 응용통제와, 이러한 응용통제의 효과적 운영에 중요한 정보기술 일반통제에 초점을 둘 수 있다.
감사인의 목적은 기업의 내부회계관리제도 전반에 대한 의견을 표명하는 것이다. 이로 인해 감사인은 개별 통제와 연관된 위험에 기초하여 테스트 대상 개별 통제의 효과성에 대해 입수하는 증거를 다양화할 수 있다.
통제의 효과성에 대한 감사인의 테스트가 제공하는 증거는 감사절차의 성격, 시기 및 범위의 조합에 따라 달라진다. 또한, 개별 통제에 대해 테스트의 성격, 시기 및 범위를 상이하게 조합하면 통제와 연관된 위험과 관련하여 충분하고 적합한 감사증거를 제공할 수 있다.
추적조사는 다음에 따라 운영효과성에 대한 충분하고 적합한 감사증거를 제공할 수 있을 것이다.
- 테스트되고 있는 통제와 연관된 위험
- 통제의 운영 주기
- 통제가 정보기술 응용통제인지 여부
- 추적조사의 일환으로 수행된 특정 절차
- 그 절차의 결과
통제테스트의 성격
어떤 유형의 테스트는 테스트의 성격으로 인해 다른 테스트보다 통제의 효과성에 대한 더 많은 증거를 산출한다. 감사인이 수행할 수 있는 테스트를 일반적으로 가장 적은 증거를 산출하는 테스트에서 가장 많은 증거를 산출하는 테스트를 순서대로 나열하면 다음과 같다: 질문, 관찰, 관련 문서의 검사, 통제의 재수행.
그러나, 질문만으로는 통제의 효과성에 대한 결론을 뒷받침하는 충분하고 적합한 감사증거를 제공하지 않는다.
충분하고 적합한 감사증거를 제공할 효과성 테스트의 성격은, 대개, 테스트되어야 할 통제의 성격(통제의 운영으로 통제 운영에 대한 문서 증거가 산출되는지 여부를 포함함)에 따라 달라진다. 경영진의 철학과 경영 스타일과 같은 몇몇 통제의 경우에는 그 운영에 대한 문서 증거가 존재하지 않을 수 있다.
소규모기업에 특유한 고려사항
소규모 기업이나 사업단위에서는 통제 운영에 관한 문서화가 덜 공식적일 수 있다. 그러한 상황에서는, 다른 절차(예, 특정 통제의 운영에 대한 관찰, 덜 공식적인 문서의 검사 또는 특정 통제의 재수행)와 결합된 질문을 통한 통제테스트가 해당 통제가 효과적인지 여부에 대한 충분하고 적합한 감사증거를 제공할 수 있다.
통제 이탈은 통제가 설계된대로 운영되지 않을 때 발생한다. 통제 이탈은 내부통제에 미비점이 존재하는지 여부를 결정할 때 평가된다. 효과적인 내부회계관리제도가 기업의 통제목적 달성에 대한 절대적인 확신을 제공하지 않고 제공할 수도 없기 때문에, 기업의 통제목적을 달성하고 효과적이라고 간주되기 위하여 개별 통제가 어떤 이탈도 없이 운영되어야 할 필요는 없다.
내부회계관리제도감사에서 통제테스트의 목적은 기업의 내부회계관리제도에 대한 감사의견을 뒷받침하기 위해 통제의 효과성에 대한 증거를 입수하는 것이다. 감사의견은 일정 시점의 그리고 전체적인 기업의 내부회계관리제도의 효과성과 관련된다.
따라서, 내부회계관리제도감사에서는 재무제표에 대해서만 의견을 표명할 때는 테스트하지 않는 통제의 설계 및 운영 효과성에 대한 테스트가 수반될 수 있다. 그러나, 내부회계관리제도감사뿐 아니라 재무제표감사를 수행할 때에도, 감사인은 누락되거나 미비할 경우에 재무제표의 중요한 왜곡표시를 발생시킬 합리적 가능성이 있는 통제에 주의를 기울인다.
더 긴 기간에 대한 통제를 테스트하는 것이 더 짧은 기간에 대해 테스트하는 것보다 통제의 효과성에 대해 더 많은 증거를 제공한다. 또한, 평가기준일에 더 가까운 시기에 수행된 테스트가 해당 연도 내 더 이른 시기에 수행된 테스트보다 더 많은 증거를 제공한다.
통제를 더 광범위하게 테스트할수록, 해당 테스트로부터 더 많은 증거를 입수할 수 있다.
평가기준일 전에, 내부통제의 효과성 또는 효율성을 높이기 위하여 또는 통제 미비점에 대처하기 위하여 경영진이 기업의 통제를 변경하여 실행할 수 있다. 만약 감사인이 새로운 통제가 통제 준거기준의 관련 목적을 달성하고 통제테스트를 수행하여 감사인이 새로운 통제의 설계 및 운영 효과성을 평가할 수 있을 정도로 새로운 통제가 충분한 기간 동안 시행되어 왔다고 결정한다면, 감사인은 내부회계관리제도에 대한 의견을 표명할 목적으로 변경 전 통제의 설계 및 운영 효과성을 테스트할 필요가 없을 것이다. 만약 변경 전 통제의 운영효과성이 재무제표감사 시 감사인의 위험평가에 중요하다면, 감사인은 그러한 변경 전 통제의 설계 및 운영 효과성을 적합하게 테스트하여야 한다.
잔여기간에 대한 테스트 절차 (문단 44 참조)
기중 일자에서부터 기업의 보고기간말까지의 테스트 결과를 갱신하기 위하여 필요한 추가적인 증거는 다음 요소에 따라 달라진다.
- 평가기준일 전에 테스트한 특정 통제(해당 통제와 연관된 위험, 해당 통제의 성격 및 해당 테스트 결과를 포함함)
- 기중 일자에 획득한 운영효과성에 대한 증거의 충분성
- 잔여기간의 정도
- 기중 일자 후에 내부회계관리제도에 유의적인 변경이 존재했을 가능성
어떤 상황에서는, 예를 들어 상기 요소들을 평가한 결과, 해당 통제가 잔여기간에 더 이상 효과적이지 않을 위험이 낮을 경우, 질문만으로도 충분한 잔여기간 테스트 절차가 될 수 있다.
후속연도 감사에 대한 특별 고려 사항 (문단 45 참조)
후속연도 감사에서 통제와 연관된 위험에 영향을 미치는 요소는 문단 A53에 언급된 요소와 다음을 포함한다.
- 이전 감사에서 수행된 절차의 성격, 시기 및 범위
- 이전 연도의 통제테스트의 결과
- 이전 감사 이후 통제나 통제가 운영되는 프로세스에 변경이 있었는지 여부
감사인은 또한 후속연도 감사에서 자동화된 응용통제에 대해 벤치마킹 전략을 사용할 수 있다. 벤치마킹은 문단 100에 추가로 기술되어 있다.
감사인은 해마다 상이한 기중의 일자에 통제를 테스트하거나, 수행하는 테스트의 갯수와 유형을 증가 또는 감소시키거나, 혹은 사용하는 절차의 조합을 변경할 수도 있다.
내부회계관리제도 미비점의 식별과 평가 (문단 47 참조)
재무제표 및 내부회계관리제도에 대해 수행된 감사업무에서 발견된 사항은 감사인이 내부회계관리제도 미비점을 식별하였는지 여부를 결정하는데 관련이 있다.
내부회계관리제도에 대한 평가기준일에 중요한 취약점이 존재하는지 여부의 결정 (문단 48-50 참조)
내부회계관리제도 미비점 혹은 미비점들의 결합의 심각성은 다음에 따라 달라진다.
- 미비점 혹은 미비점들로부터 초래되는 잠재적 왜곡표시의 크기
- 기업의 통제가 거래유형, 계정잔액이나 공시의 왜곡표시의 예방 또는 발견∙수정에 실패할 합리적 가능성이 있는지 여부
미비점의 심각성은 왜곡표시가 실제로 발생하였는지 여부가 아니라, 오히려 기업의 통제가 왜곡표시의 예방 또는 발견∙수정에 실패할 합리적 가능성이 있는지 여부로 결정된다.
감사인이 통합감사를 수행하는 동안에 왜곡표시를 식별하지 않았다고 하더라도 중요한 취약점은 존재할 수 있다. 중요한 취약점의 지표는 A83에 기술되어 있다.
내부회계관리제도 미비점 혹은 미비점들로부터 초래될 수 있는 왜곡표시의 크기에 영향을 미치는 요소들을 예시하면 다음과 같다.
- 미비점에 노출된 재무제표 금액 또는 거래 총액
- 미비점에 노출된 계정이나 거래유형에서 당기에 발생하거나 미래 기간에 발생이 예상되는 활동의 규모
잠재적 왜곡표시의 크기를 평가할 때, 계정잔액 또는 거래 총액이 과대표시될 수 있는 최대금액은 일반적으로 장부상금액이다. 반면, 과소표시될 수 있는 금액은 장부상금액보다 더 클 수 있다.
위험요소는 내부회계관리제도 미비점 혹은 미비점들의 결합이 계정잔액이나 공시의 왜곡표시를 초래할 합리적 가능성이 있는지 여부에 영향을 준다. 해당 요소들을 예시하면 다음과 같다.
- 재무제표, 거래유형, 계정잔액, 공시 및 관련되는 경영진주장의 성격
- 내부회계관리제도 미비점 혹은 미비점들로 인하여 발생하는 예외사항의 원인과 빈도
- 관련 자산이나 부채의 손실이나 부정에 대한 민감성
- 관련되는 금액을 결정하는데 요구되는 주관성, 복잡성 또는 판단의 정도
- 해당 통제와 다른 통제와의 상호작용 또는 관계(통제들이 상호의존적인지 중복적인지 여부를 포함함)
- 내부회계관리제도의 다른 미비점들과의 상호작용
- 내부회계관리제도 미비점 혹은 미비점들로 인하여 향후에 있을 수 있는 영향
- 재무보고프로세스에 미치는 다음과 같은 통제의 중요성
- ° 일반적인 모니터링 통제(예, 경영진의 감시)
- ° 부정의 예방과 발견에 대한 통제
- ° 유의적인 회계정책의 선택과 적용에 관한 통제
- ° 특수관계자와의 유의적 거래에 대한 통제
- ° 기업의 정상적인 사업과정을 벗어난 유의적 거래에 대한 통제
- ° 보고기간말 재무보고프로세스에 대한 통제(예, 비경상적인 분개에 대한 통제)
내부회계관리제도 미비점이 왜곡표시의 합리적 가능성이 있음을 나타내는지 여부에 대한 평가는 발생 확률을 특정 비율이나 범위로 정량화하지 않고 수행될 수 있다. 또한, 많은 경우에, 작은 규모의 왜곡표시가 규모가 큰 왜곡표시보다 발생 확률이 더 크다.
통제는 왜곡표시를 효과적으로 예방 또는 발견∙수정하기 위하여 개별적으로 혹은 결합하여 운영되도록 설계될 수 있다. 예를 들어, 매출채권에 대한 통제는 계정잔액의 왜곡표시를 예방 또는 발견∙수정하기 위하여 함께 운영되도록 설계된 자동통제와 수동통제를 모두 포함하여 구성될 수 있다.
내부회계관리제도 미비점은 단독으로는 중요한 취약점을 구성하기에 충분히 중요하지 않을 수 있다. 그러나, 동일한 유의적인 거래유형, 계정잔액 또는 공시; 관련경영진주장; 내부회계관리제도 구성요소에 영향을 미치는 미비점들의 결합은 중요한 취약점을 발생시키는 정도까지 왜곡표시 위험을 증가시킬 수 있다. 또한, 동일한 유의적인 거래유형, 계정잔액 또는 공시; 관련경영진주장; 내부회계관리제도 구성요소에 영향을 미치는 미비점들의 결합은 집합적으로 유의적 미비점이 될 수 있다.
보완통제는 내부회계관리제도 미비점의 심각성을 제한하고, 중요한 취약점이 되는 것을 예방할 수 있다. 중요한 왜곡표시를 예방 또는 발견∙수정할 정도의 정밀한 수준으로 운영되는 보완통제만이 완화효과를 가질 수 있다. 비록 보완통제가 내부회계관리제도 미비점의 효과를 완화할 수 있다 하더라도, 보완통제가 미비점을 제거할 수는 없다.
내부회계관리제도의 중요한 취약점을 나타내는 지표는 다음을 포함한다.
- 고위 경영진이 저지른 부정을 식별함(부정이 중요한지 여부는 관계없음). 여기서 고위 경영진은 대표이사, 재무담당임원, 그밖에 기업의 재무보고프로세스에 유의적인 역할을 하는 다른 고위 경영진을 포함한다
- 부정이나 오류로 인한 중요한 왜곡표시의 수정을 반영하기 위해 이전에 발행된 재무제표를 재작성함
- 재무제표의 중요한 왜곡표시가 기업의 내부회계관리제도에 의해 발견∙수정되지 못하였을 상황에서 감사 중 감사인에 의해 해당 왜곡표시가 식별됨
- 기업의 재무보고 및 내부회계관리제도에 대한 지배기구의 감시가 효과적이지 않음
통합감사 중 유의적 미비점이 존재하는지 여부에 대한 결정(문단 51 참조)
문단 A74-A81는 식별된 내부회계관리제도 미비점의 심각성 평가와 관련된 지침을 제공한다. 문단 A82은 중요한 취약점 지표를 기술하고 있다.
내부회계관리제도 미비점이 개별적으로 또는 결합하여 유의적 미비점이 되는지 여부를 결정하기 위하여 각각의 미비점의 심각성을 평가하는 것은, 통합감사 과정에서 식별된 유의적 미비점들을 경영진 및 지배기구에 서면으로 커뮤니케이션하기 위한 목적이다. 커뮤니케이션 요구사항은 문단 63-67에 기술되어 있다.
후속사건 (문단 52–55 참조)
감사기준서 560 "후속사건"은 재무제표 감사 시 후속사건에 대한 요구사항을 규정하고 지침을 제공하며, 필요에 따라 내부회계관리제도 감사에 맞게 조정되고 적용된다. 감사인은 문단 61에 따라 경영진으로부터 후속사건과 관련한 서면진술을 입수하여야 한다.
시정조치에 관한 경영진 공시에 대한 의견을 거절하는 경우에는 문단 82를 참조한다.
결론 절차 (문단 56–60 참조)
서면진술의 입수 (문단 61-62 참조)
재무제표감사의 일부로써 경영진의 서면진술 입수에 관한 추가적인 요구사항과 지침은 감사기준서 580 "서면진술"을 참조한다. 감사기준서 580은 누가 서면진술에 서명해야 하는지, 서면진술의 대상기간 및 갱신된 서면진술을 언제 입수해야 하는지 등에 관한 사항을 다루고 있다.
경영진이 서면진술 제공을 거부하는 경우는 감사범위 제한에 해당한다.
내부회계관리제도 관련 사항의 커뮤니케이션 (문단 63-68 참조)
감사기준서 265 “내부통제 미비점에 대한 지배기구와 경영진과의 커뮤니케이션”의 내용이 이 감사기준서와 상충되는 경우에는 이 감사기준서가 우선 적용된다.
상대적으로 유의적이고 추후 시정조치가 긴급한 특정 사항의 경우, 경영진이나 지배기구와의 조기 커뮤니케이션이 중요할 수 있다. 유의적 미비점과 중요한 취약점에 대한 서면 커뮤니케이션의 시기에 관계없이, 감사인은 경영진과 지배기구가 중요왜곡표시위험을 최소화하기 위한 시정조치를 적시에 취하는데 도움을 주기 위하여 경영진이나 적합한 경우 지배기구에게 우선 구두로 이 사항을 커뮤니케이션할 수 있다. 그러나 구두 커뮤니케이션이 감사인이 유의적 미비점과 중요한 취약점을 서면으로 커뮤니케이션해야 하는 책임을 경감하는 것은 아니다.
만약 이전에 커뮤니케이션한 유의적 미비점과 중요한 취약점이 남아있다면, 당기 커뮤니케이션은 이전의 커뮤니케이션을 반복하거나, 단순하게 이전의 커뮤니케이션과 해당 커뮤니케이션 일자를 언급할 수 있다.
감사인이 모든 미비점을 식별할 만큼 충분한 절차를 수행해야 하는 것은 아니다. 오히려, 감사인은 단지 알고 있는 미비점을 커뮤니케이션 할 필요가 있을 뿐이다.
내부회계관리제도감사와 통합되지 않은 재무제표감사와 달리, 감사인은 유의적 미비점이나 중요한 취약점 수준에 이르지 못한 미비점도 서면으로 커뮤니케이션 하여야 한다. 이는 내부회계관리제도감사가 내부회계관리제도의 미비점을 식별하는 데 중점을 두고 있기 때문이다. 반면 재무제표의 왜곡표시를 식별하는 데 중점을 두는 (내부회계관리제도 감사와 통합되지 않은)재무제표감사에서는 미비점을 식별하는 것은 부수적인 것이다.
내부회계관리제도에 대한 보고 (문단 69-70 참조)
감사보고서 변형 (문단 72 참조)
감사의 범위제한은 감사인이 충분하고 적합한 감사증거를 입수할 수 없는 경우를 말하며, 다음 상황에서 발생할 수 있다.
- 기업의 통제를 벗어나는 상황
- 감사인 업무의 성격과 시기와 관련된 상황
- 경영진이 부여한 제약
부적정 의견 (문단 73-76 참조)
감사기준서 705 "감사의견의 변형" 은 재무제표에 대한 부적정의견과 관련한 요구사항을 정하고 지침을 제공하며 필요에 따라 내부회계관리제도감사에 조정 및 적용된다. (이 감사기준서의 보론 "내부회계관리제도 감사보고서 사례" 중 사례2. “내부회계관리제도에 대한 부적정의견” 사례 참조).
문단 74에서 기술된 바와 같이 중요성의 관점에서 각각의 중요한 취약점이 내부회계관리제도 운영실태보고서에 포함되고 공정하게 표시된다면, 감사보고서에서는 "내부회계관리제도 운영실태보고서에 기술된 중요한 취약점"만 언급하면 되며, 각각의 중요한 취약점에 대한 설명을 포함할 필요는 없다.
범위제한 (문단 78-82 참조)
감사기준서 705는 재무제표 감사에서의 의견거절에 대한 요구사항을 규정하고 지침을 제공하며 필요에 따라 내부회계관리제도 감사에 조정 및 적용한다. (이 감사기준서의 보론1 "내부회계관리제도 감사보고서 예시" 중 “내부회계관리제도에 대한 의견거절” 사례 참조).
범위제한이 감사인이 의견을 표명하는데 필요한 합리적인 확신을 얻는 것을 방해할 것이라는 결론을 내리는 즉시, 감사인은 내부회계관리제도에 대한 의견거절 보고서를 발행할 수 있다. 내부회계관리제도 감사를 수행할 때, 감사인이 의견을 표명하기 위한 충분하고 적합한 감사증거를 입수할 수 없을 것이라는 결론을 내리는 경우, 감사인이 의견거절 보고서를 발행하기 전에 추가적인 업무를 수행해야 할 의무는 없다.
이 경우, 감사보고서 일자에 관한 문단 71의 지침을 따르는데 있어서, 감사보고서 일자는 감사보고서의 진술내용을 뒷받침하는 충분하고 적합한 증거를 감사인이 입수한 일자이다.
각각의 중요한 취약점이 내부회계관리제도 운영실태보고서에 포함되고 중요성의 관점에서 공정하게 표시된다면, 감사보고서에서는 "내부회계관리제도 운영실태보고서에 기술된 중요한 취약점"만 언급하면 되며, 각각의 중요한 취약점에 대한 설명을 포함할 필요는 없다.
추가정보 (문단 83 참조)
다음은 추가적인 정보에 대한 의견을 거절할 때 쓰는 문구의 예시이다.
기타사항
우리는 [경영진의 비용-수익 분석과 같은 추가적인 정보]에 대한 감사절차를 수행하지 않았으며, 따라서 이에 대하여 의견을 표명하거나 어떠한 확신도 제공하지 않습니다.
특별 주제
부문이 다수인 기업 (문단 84-86 참조)
감사기준서 600은 이 기준에 기술되어 있는 부문과 관련된 요구사항과 지침을 고려하여, 필요에 맞게 조정하여 내부회계관리제도감사에 적용된다.
그룹업무팀은, 개별적으로 또는 합쳤을 때, 그룹재무제표에 중요한 왜곡표시를 발생시킬 합리적 가능성이 없는 부문을, 추가 고려에서 제외할 수 있다.
위험이 낮은 부문에서는, 그룹업무팀은 먼저 전사적 수준 통제(조직 전체에 걸쳐 적합한 통제가 존재한다는 확신을 제공하기 위해 가동 중인 통제를 포함함)를 테스트하는 것이 감사인에게 충분한 증거를 제공하는지 여부를 평가할 수 있다. 그룹업무팀 또는 그룹업무팀을 대신하는 부문감사인이 특정 위험에 대한 통제 또는 그룹차원의 통제의 운영효과성을 테스트할 수 있다.
특별한 상황 (문단 87–90 참조)
A111. 감사인은, 예를 들어 경영진이 평가기준일에 최근 취득한 사업에 대한 통제에 접근할 시간이 충분하지 않을 경우, 경영진이 「내부회계관리제도 평가 및 보고 기준」 및 관련 가이드라인에 따라 해당 사업을 제외함으로써 평가를 제한하는 것이 적합하다고 결론을 내릴 수 있다. 그러나, 사업 취득의 경우에, 그러한 제외 기간이 사업취득일로부터 1년을 초과하는 것은 적합하지 않을 것이다. 그리고 내부회계관리제도 운영실태보고서에 포함하지 않는 횟수가 1회를 초과하는 것도 적합하지 않을 것이다. 「내부회계관리제도 평가 및 보고 기준」 및 관련 가이드라인 외의 법규에서 경영진이 특정 부문을 경영진 평가에서 제외하는 것을 허용할 수 있고, 그러한 경우 해당 상황에 대한 구체적 공시를 요구할 수 있다. 만약, 감사인이 판단하기에, 경영진이 특정 부문을 경영진 평가에서 제외하는 것이 적합하다면, 감사인은 동일한 방식으로 내부회계관리제도감사에서 해당 부문을 제외할 수 있다. 이 경우는 감사의견 표명과 관련한 범위제한에 해당되지 않을 것이다.
서비스조직의 활용 (문단 91-99 참조)
감사기준서 402에 기술된 바와 같이 31) 서비스조직의 활동에 대한 통제를 이용자기업이 수립하고 운영하는 경우, 감사인은 내부회계관리제도 감사의견과 관련성이 있는 이용자기업의 통제가 효과적으로 운영되고 있다는 증거를 입수하기 위하여 해당 통제를 다음과 같이 테스트할 수 있다.
- 이용자기업이 서비스조직에 의해 처리된 항목을 선택하여 독립적으로 재수행한 것을 테스트함
- 이용자기업이 산출보고서와 원천문서를 조정한 것을 테스트함
31) 감사기준서 402 문단 A12-A13 ↩
서비스조직 통제에 대한 기술과 설계에 관한 보고서(유형 1 보고서)는 서비스감사인의 통제테스트와 그 결과에 대한 기술, 또는 통제의 운영효과성에 대한 서비스감사인의 의견이 포함되어 있지 않으며, 따라서, 통제의 운영효과성에 대한 증거를 제공하지 않는다. 유형 1 보고서와 유형 2 보고서는 감사기준서 402에 기술되어 있다.
이 요소들은 감사기준서 402에 기술된 바와 같이, 서비스감사인의 보고서가 재무제표감사에서 감사인이 평가한 통제위험의 수준을 뒷받침할 충분하고 적합한 감사증거를 제공하는지 여부를 결정할 때 감사인이 고려하는 요소와 유사하다. 32)
32) 감사기준서 402 문단 A30-A37 ↩
감사기준서 402는 보충적인 이용자기업 통제를, 해당 서비스를 설계할 때, 이용자기업이 실행할 것이라고 서비스조직의 경영진이 가정한 통제로서, 통제목적을 달성하는데 필요하다면 서비스조직의 시스템에 관한 경영진 기술서에 식별되는 통제로 정의한다.
서비스감사인의 전문가적 적격성과 독립성에 대한 정보의 적합한 출처는 감사기준서 402에서 논의된다. 33)
33) 감사기준서 402 문단 A21-A22 ↩
서비스조직은 서비스감사인이 서비스조직 통제에 대한 기술 및 설계에 대한 보고서 (유형 1 보고서) 또는 서비스조직 통제에 대한 기술, 설계 및 운영효과성에 대한 보고서(유형 2 보고서)를 발행하도록 계약할 수 있을 것이다. 유형 1 또는 유형 2 보고서는 한국공인회계사회가 제정한 “서비스조직의 통제에 대한 인증업무기준” 등 또는 권한이 있거나 인정된 기준제정기구가 제정한 다른 기준들 34) 에 따라 발행될 수 있다 (이러한 기준들은 유형 1 과 유형 2 보고서를 다른 명칭, 예를 들어 유형A 보고서와 유형B 보고서와 같은 명칭으로 구분하고 있을 수도 있다).
34) 국제감사인증기준위원회가 제정한 "서비스조직의 통제에 대한 인증업무기준(International Standard on Assurance Engagements (ISAE) 3402, Assurance Reports on Controls at a Service Organization)"과 미국회계사회가 제정한 서비스조직 통제에 대한 감사기준서 "서비스조직(SAS 70 Service Organization)" ↩
서비스조직 통제의 변경에는 다음이 포함될 수 있다.
- 서비스조직의 프로세스와 정보시스템과 관련된 변경을 포함하여, 서비스조직이 경영진에게 커뮤니케이션한 변경
- 경영진이 상호작용하는 서비스조직 담당자의 변경
- 통제목적을 달성하는 데 필요한 통제의 설계 또는 실행의 변경
- 서비스조직으로부터 입수하는 보고서 또는 다른 데이터의 변경
- 서비스조직과의 계약 또는 서비스 수준 약정의 변경
- 서비스조직의 프로세스수행에서 식별된 오류 또는 법규위반 및 부정 사건
위험이 증가할수록, 감사인이 추가적인 증거를 입수할 필요성도 증가한다. 만약 감사인이 서비스조직의 통제의 운영효과성에 대한 추가적인 증거가 요구된다는 결론을 내린다면, 감사인의 추가적인 절차는 다음을 포함할 것이다.
- 경영진에 의해 수행된 절차와 그 절차의 결과를 평가함
- 특정 정보를 입수하기 위하여, 이용자조직을 통해 서비스조직과 연락함
- 필요한 정보를 제공할 절차를 수행하기 위해 서비스감사인이 계약을 체결하도록 요청함
- 서비스조직을 방문하고 그러한 절차를 수행함
자동화된 통제의 벤치마킹 (문단 100-102 참조)
완전히 자동화된 응용통제는 일반적으로 인간의 실패로 인한 와해에 덜 취약하다. 이러한 특성으로 인해 감사인이 "벤치마킹" 전략을 사용할 수 있다. 벤치마킹이란 운영효과성에 대한 구체적인 테스트를 반복하지 않고도 감사인이 자동화된 응용통제가 효과적이라고 결론지을 수 있도록, 효과적인 IT 일반통제와 결합할 수 있는 출발점(baseline)을 수립하여 자동화된 응용통제를 테스트하는 프로세스이다.
벤치마킹 전략을 결정할 때 평가된 위험요소가 낮은 위험을 나타내면, 평가되는 통제는 벤치마킹에 적합할 수 있다. 이러한 위험요소가 높은 위험을 나타내면, 평가되는 통제는 벤치마킹에 덜 적합하다.
운영중인 프로그램의 변경일자(compilation dates) 에 대한 보고서는 프로그램 내의 통제가 변경되지 않았다는 증거로 사용될 수 있다.
자동화된 응용통제를 벤치마킹하는 것은 프로그램 변경 가능성이 희박한 소프트웨어(예를 들어, 판매자가 소스코드에 대한 접근이나 변형을 허용하지 않는 경우)를 구입하여 사용하는 기업에 특히 효과적일 수 있다.
만약 프로그램 변경, 프로그램에 대한 접근 및 컴퓨터 운영에 대한 일반통제가 효과적이고 지속적으로 테스트된다면, 그리고 자동화된 응용 통제가 감사인이 정한 출발점(즉, 응용통제를 마지막으로 테스트한 시점) 이후 변경이 없었다는 것을 감사인이 결정한다면, 감사인은 자동화된 응용통제에 대하여 전기에 수행한 구체적인 운영테스트를 반복하지 않아도 해당 자동화된 응용통제가 계속해서 효과적이라고 결론 내릴 수 있다. 감사인이 통제가 변경되지 않았음을 결정하기 위해 입수하는 증거의 성격과 범위는 상황(기업의 프로그램 변경 통제의 강도를 포함함)에 따라 달라질 수 있다.
자동화된 응용통제의 일관되고 효과적인 작동은 관련 파일, 테이블, 데이터 및 설정값에 의존할 수 있다. 예를 들어, 이자수익을 계산하는 자동화된 응용프로그램은 자동 계산에 사용되는 이자율테이블의 지속적인 무결성에 의존할 것이다.
통제는 변경되었을 수 있는 다른 사업요소에 민감할 수 있다. 예를 들어, 자동화된 통제는 파일에 양(+)의 금액만 존재할 것이라는 가정을 가지고 설계될 수 있다. 그러한 통제는 해당 계정에 음(-)의 금액(대변 금액)이 기표되기 시작하면 더 이상 효과적이지 않을 것이다.