Beta콘텐츠와 기능을 보강하는 중이며, 현재 게시된 실무해설·실무가이드는 샘플입니다.

AccountingWiki.

기준서 1100 내부회계관리제도의 감사

적용 및 기타 설명자료

목적 (문단 5 참조)

문단 A1

합리적인 확신을 얻기 위한 감사인의 목적과 관련된 추가적인 설명은 감사기준서 200, "독립된 감사인의 전반적인 목적 및 감사기준에 따른 감사의 수행"에서 다룬다. 18)

18) 감사기준서 200 "독립된 감사인의 전반적인 목적 및 감사기준에 따른 감사의 수행" 문단5

문단 A2

효과적인 내부회계관리제도는 재무보고의 신뢰성과 해당 재무보고체계에 따른 재무제표의 작성에 대한 합리적인 확신을 기업에 제공한다. 하나 이상의 중요한 취약점이 존재하는 경우 기업의 내부회계관리제도는 효과적이라고 간주될 수 없다. 이 기준에서 요구하는 기업의 내부회계관리제도의 효과성에 대한 평가는 모든 관련성있는 통제목적을 포괄한다; 따라서, 내부회계관리제도에서 하나의 중요한 취약점을 식별하였더라도 감사인이 기업의 내부회계관리제도의 모든 관련성있는 통제목적의 효과성을 평가하는 절차를 중단하는 것은 정당화되지 않는다.

문단 A3

감사인이 개별적으로 혹은 결합하여, 중요한 취약점보다 덜 심각한 미비점을 식별하기 위해 통합감사를 계획하고 수행할 의무는 없다.

용어의 정의 (문단 6 참조)

내부회계관리제도

문단 A4

통합감사의 일부로 감사인이 수행하는 절차는 기업의 내부회계관리제도의 일부가 아니다.

준거기준

문단 A5

이 감사기준서에서, 인증대상(즉, 감사대상)은 내부회계관리제도이다.

문단 A6

감사인은 내부회계관리제도감사를 수행할 때 내부회계관리제도 운영실태에 관한 보고내용이 외부감사법의 요구사항을 포함하여 「내부회계관리제도 평가 및 보고 기준」에 따라 작성되었는지를 평가한다.

중요한 취약점

문단 A7

감사기준서 265 “내부통제 미비점에 대한 지배기구와 경영진과의 커뮤니케이션” 은 내부통제의 미비점(Deficiency in internal control)과 내부통제의 유의적 미비점(Significant deficiency in internal control)에 대한 용어의 정의를 포함하고 있다. 19) 또한 「내부회계관리제도 평가 및 보고 기준」에서는 중요한 취약점에 대한 추가 설명을 제공하고 20) 내부회계관리제도의 미비점을 설계의 미비점과 운영의 미비점으로 구분하여 설명하고 있다. 21)

19) 감사기준서 265 "내부통제 미비점에 대한 지배기구와 경영진과의 커뮤니케이션" 문단 6

20) 「내부회계관리제도 평가 및 보고 기준」 제2호 더.목, 「내부회계관리제도 평가 및 보고 가이드라인」 문단 51 가에서 내부회계관리제도의 중요한 취약점(Material weakness)은 내부통제의 중요한 미비점(Major deficiency) 수준에 대응한다고 설명

21) 「내부회계관리제도 평가 및 보고 가이드라인」 문단 50

내부회계관리제도감사의 전제조건 (문단 7 참조)

문단 A8

경영진은 통제와 통제가 달성하고자 하는 통제목적을 식별하고 문서화할 책임이 있다. 그러한 문서화는 내부회계관리제도에 대한 경영진 평가의 근거가 된다. 해당 통제에 대한 변경을 포함한, 통제 설계의 문서화는 내부회계관리제도에 대한 경영진 평가의 기초가 되는 통제가 다음과 같다는 증거이다.

  • 통제가 식별됨
  • 통제의 수행에 대한 책임을 지는 사람에게 통제에 대해 커뮤니케이션될 수 있음
  • 통제가 기업에 의해 모니터링되고 평가될 수 있음
문단 A9

경영진의 문서화는 다양한 형태를 띤다. 기업 정책매뉴얼, 회계매뉴얼, 서술형식의 메모, 업무흐름도, 의사결정표(decision tables), 절차상의 기록 또는 작성완료된 질문서 등이 있다. 문서화의 형태에 대하여 특별히 규정된 바가 없으며, 문서화의 범위는 기업의 규모와 복잡성과 기업의 모니터링 활동에 따라 변경될 수 있다.

문단 A10

경영진의 모니터링 활동은 또한 내부회계관리제도에 대한 경영진 평가를 뒷받침하는, 내부회계관리제도의 설계 및 운영 효과성에 대한 증거를 제공할 수 있다. 통제의 모니터링은 지속적으로 내부회계관리제도 수행의 효과성을 평가하는 프로세스이다. 이는 적시에 통제의 효과성을 평가하고, 조직 내의 적합한 개인에게 미비점을 식별하여 보고하며, 그리고 필요한 시정조치를 취하는 것을 포함한다. 경영진은 상시적인 평가나 별도의 평가 또는 이 두 가지를 결합하여 통제의 모니터링을 달성한다.

문단 A11

상시적인 평가는 종종 기업의 정상적인 반복활동에 내재되어 있고 정규적인 경영 및 감독 활동을 포함한다. 상시적인 평가의 정도와 효과성이 클 수록, 별도의 평가를 할 필요가 줄어든다. 경영진은 상시적인 평가와 별도의 평가를 결합하여 수행할 수 있다. 별도의 평가의 범위와 빈도는 경영진의 판단사항이다.

문단 A12

적합한 준거기준은 내부회계관리제도 운영실태보고서 이용자에게 적절하고 이용가능하다. 적합한 준거기준은 다음의 특성을 모두 나타낸다.

  • 관련성. 준거기준은 내부회계관리제도와 관련성이 있다.
  • 객관성. 준거기준은 편향되지 않는다.
  • 측정가능성. 준거기준은 내부회계관리제도에 대하여 양적으로나 질적으로, 합리적으로 일관되게 측정된다.
  • 완전성. 준거기준은 해당 준거기준에 따라 작성된 내부회계관리제도의 효과성에 대한 평가가, 의도된 이용자가 내부회계관리제도 운영실태보고서에 근거하여 내리는 의사결정에 영향을 미칠 것으로 합리적으로 기대되는 관련 요인을 누락하지 않는 경우에 완전하다.
문단 A13

내부회계관리제도운영위원회가 공표한 「내부회계관리제도 설계 및 운영 개념체계」(이하 “내부회계관리제도 개념체계”)는 경영진이 기업의 내부회계관리제도의 효과성을 평가하고 보고할 수 있는 적합하고 이용가능한 준거기준을 제공한다. 내부회계관리제도 개념체계는 경영진이 보다 적절하다고 판단하는 경우 다른 내부통제체계(예를 들어, COSO Framework(미국) 등 외부감사법 제8조의 정의에 부합하는 기타 기준)를 선택하여 일반적으로 인정되는 내부통제체계로 사용하는 것을 허용하고 있다. 만약 경영진이 다른 체계를 선택하는 경우에는, 경영진이 선택한 체계의 적합성 평가에 관한 지침을 위해 문단 A12를 참조한다.

문단 A14

내부통제는 경영진이 사용하는 체계에서 정의하는 바와 같이, 내부회계관리제도보다 더 광범위하게 정의될 수 있다. 그러나, 이 기준은 오직 내부회계관리제도에 대해서만 초점을 맞춘다.

내부회계관리제도감사와 재무제표감사의 통합 (문단 10-15 참조)

문단 A15

재무제표감사 목적으로 통제의 운영효과성을 뒷받침하는 충분하고 적합한 증거를 입수하는 경우, 통상적으로 감사인은 그렇지 않았다면 재무제표에 대한 의견표명을 위해 필요했을 수도 있는 실증절차를 완화할 수 있다.

어떤 상황에서, 특히 소규모 기업의 감사를 수행할 때, 감사인이 재무제표감사 목적으로는 통제위험이 낮다고 평가하지 않기로 결정할 수 있다. 그러한 상황에서, 통제의 운영효과성에 대한 감사인의 테스트는 주로 보고기간말 기준으로 기업의 내부회계관리제도가 효과적인지 여부에 대한 감사의견을 뒷받침하기 위하여 수행될 것이다.

문단 A16

감사기준서 500 “감사증거”는 충분하고 적합한 감사증거의 입수에 관해 추가적인 설명을 제공한다.

문단 A17

재무제표에 대한 의견을 표명하기 위하여 감사인은 일반적으로 통제테스트와 실증절차를 수행한다. 이 목적을 위해 감사인이 수행하는 통제테스트의 목적은 통제위험을 평가하는 것이다. 특정 재무제표주장에 대한 통제위험을 최대보다 낮게 평가하기 위해서는, 감사인이 해당 통제에 의존하기로 계획한 ‘전체기간’ 동안 관련 통제가 효과적으로 운영되었다는 증거를 입수하도록 감사인에게 요구된다. 그러나, 감사인은 ‘모든’ 관련경영진주장에 대한 통제위험을 최대보다 낮게 평가하도록 요구되지는 않으며, 다양한 이유로 감사인이 그렇게 하지 않기로 선택할 수 있다.

문단 A18

통제테스트의 결과를 고려하여 감사인은, 특히 식별된 미비점에 대응하여 실증절차의 성격, 시기 및 범위를 변경하고 추가적인 통제테스트를 계획하고 수행할 수 있다.

내부회계관리제도감사계획의 수립 (문단 16 참조)

문단 A19

다음 사항이 기업의 재무제표와 내부회계관리제도에 중요한지 여부와, 중요하다면 감사절차에 어떻게 영향을 미칠 것인지를 평가하는 것은 감사인이 내부회계관리제도 감사계획을 수립할 때 도움을 줄 수 있다.

  • 감사인이 다른 업무를 수행하는 과정 또는 해당되는 경우, 전임감사인의 업무조서를 검토하는 과정에서 획득한 기업의 내부회계관리제도에 대한 지식
  • 기업이 속한 산업에 영향을 미치는 사항 (예, 재무보고관행, 경제적 상황, 법규 및 기술적 변화)
  • 기업 조직, 경영특성 및 자본구조를 포함한, 기업의 사업과 관련된 사항
  • 기업, 기업 운영 또는 기업의 내부회계관리제도의 최근 변화 정도
  • 재무제표 중요성, 위험 및 중요한 취약점의 결정과 관련된 기타 요소에 대한 감사인의 예비적 판단
  • 지배기구 또는 경영진과 이전에 커뮤니케이션된 미비점
  • 기업이 인지하고 있는 법규사항
  • 기업의 내부회계관리제도의 효과성과 관련하여 이용가능한 증거의 유형과 범위
  • 내부회계관리제도의 효과성에 대한 예비적 판단
  • 재무제표의 중요한 왜곡표시 가능성과 기업의 내부회계관리제도의 효과성에 대한 평가와 관계 있는 기업 관련 공개정보
  • 감사인의 의뢰인 수용과 유지 평가의 일환으로 평가된 기업 관련 위험에 관한 지식
  • 기업 운영의 상대적 복잡성

위험평가의 역할 (문단 17 참조)

문단 A20

위험평가는 이 기준에서 기술하는 전체 내부회계관리제도감사 프로세스(유의적인 거래유형, 계정잔액, 공시 및 관련경영진주장의 결정, 테스트할 통제의 선정, 그리고 정해진 통제의 효과성에 대한 결론을 내리는데 필요한 증거의 결정을 포함함)의 근간이 된다. 감사기준서 315에서 기술하는 위험평가절차는 재무제표감사와 내부회계관리제도 감사 모두를 뒷받침한다.

감사의 범위조정

문단 A21

기업의 규모와 복잡성, 사업프로세스 및 구조는 기업이 많은 통제목적을 달성하는 방식에 영향을 미칠 수 있다.

많은 소규모 기업의 운영은 덜 복잡하다. 그리고 일부 대규모의 복잡한 기업들도 덜 복잡한 사업 단위나 프로세스로 구성되어 있을 수 있다. 덜 복잡한 운영으로 볼 수 있는 요소들은 소수의 사업부문, 덜 복잡한 사업프로세스와 재무보고 시스템, 더 중앙 집중화된 회계 기능, 일일 업무 활동에 대한 고위 경영진의 광범위한 관여, 경영진의 단계가 더 적고 각 경영진의 통제범위가 넓은 경우를 포함한다. 따라서, 소규모의 덜 복잡한 기업이나 대규모의 덜 복잡한 기업도 더 복잡한 기업과 상이한 방식으로 통제목적을 달성할 수 있다.

문단 A22

기업의 규모와 복잡성, 사업프로세스 및 구조는 또한 감사인의 위험평가와 그러한 위험에 대처하기 위해 필요한 절차와 필요한 통제의 결정에 영향을 미칠 수 있다. 감사의 범위를 조정하는 것은 위험 기반 접근법의 정상적인 확장으로서 가장 효과적이며 모든 기업의 감사에 적용 가능하다.

부정위험에 대한 대처 (문단 18-19 참조)

문단 A23

감사기준서 240은 부정으로 인한 중요왜곡표시위험의 식별과 평가를 다룬다.22) 이 위험에 대처하는 통제는 다음을 포함한다.

  • 유의적인 비경상적 거래, 특히 지연되거나 비경상적인 분개를 발생시키는 거래에 대한 통제
  • 보고기간말 재무보고 프로세스에서 이루어진 분개 및 조정사항에 대한 통제
  • 특수관계자 거래에 대한 통제
  • 유의적인 경영진 추정치와 관련된 통제
  • 경영진이 재무실적을 조작하거나 부적합하게 다룰 유인이나 압박을 완화시키는 통제

22) 감사기준서 240 문단 25–27 참조

내부감사인이 수행한 업무의 활용(문단 20-21 참조)

문단 A24

문단 20에서 요구하는 이해를 얻는데 필요한 절차의 범위는 그러한 활동의 성격에 따라 달라질 것이다. 위험평가 절차를 수행할 때, 감사인은 내부감사기능(만약 그러한 기능이 존재한다면) 내의 적합한 개인에게 질문을 하도록 요구된다. 23) 감사기준서 315는 그러한 질문과 그러한 질문에 대한 답변을 기초로한 특정 추가적인 절차에 관한 지침을 제공한다. 24)

23) 감사기준서 315 문단 14

24) 감사기준서 315 문단 A25, 보론 4

문단 A25

내부회계관리제도감사에서, 외부감사인은 감사증거를 입수할 때 내부감사기능이 수행한 업무를 활용할 수 있다. 통합감사에서, 감사인은 또한 재무제표감사 목적으로 통제위험의 평가를 뒷받침할 증거를 입수하기 위해 내부감사인이 수행한 업무를 활용할 수 있다.

문단 A26

통제와 연관된 위험이 증가할수록, 해당 통제에 대해 감사인이 직접 업무를 수행할 필요성이 증가한다(예를 들어, 특정 부정위험을 다루는 통제에 대해서는, 내부감사기능이 수행한 업무를 활용할 수는 있겠지만 그 활용이 제한될 것이다).

중요성 (문단 22 참조)

문단 A27

감사기준서 320, "감사의 계획수립과 수행에 있어서의 중요성"은 중요성에 대한 추가적인 설명을 제공한다.

하향식 접근법의 사용 (문단 23 참조)

문단 A28

하향식 접근법은 위험과 테스트 대상 통제를 식별함에 있어서 감사인의 순차적인 사고프로세스를 기술하는 것으로, 감사인이 감사절차를 수행할 순서일 필요는 없다.

문단 A29

하향식 접근법은 다음을 포함한다.

  • 재무제표수준에서 시작함
  • 내부회계관리제도의 전반적인 위험에 대한 감사인의 이해를 사용함
  • 전사적 수준 통제에 초점을 둠
  • 유의적인 거래유형, 계정잔액, 공시 및 관련경영진주장으로 업무를 옮겨감
  • 재무제표에 중요한 왜곡표시가 존재할 합리적 가능성이 있는 거래유형, 계정, 공시 및 경영진주장으로 감사인의 주의를 기울이게 함
  • 기업의 프로세스 내에 존재하는 위험에 대한 감사인의 이해를 검증함
  • 각각의 관련경영진주장에 대한 평가된 왜곡표시위험에 충분히 대처하는 통제를 테스트 대상으로 선정함

전사적 수준 통제 (문단 24 참조)

문단 A30

전사적 수준 통제에 대한 감사인의 평가는 감사인이 다른 통제에 대해 수행했을 수도 있는 테스트를 늘리거나 줄이는 결과를 발생시킬 수 있다.

문단 A31

전사적 수준 통제에는 다음이 포함된다

  • 통제환경과 관련된 통제
  • 경영진 무력화에 대한 통제;
  • 기업의 위험 평가프로세스;
  • 공유서비스 환경을 포함한, 중앙 집중화된 프로세스 및 통제;
  • 운영 결과를 모니터링 하는 통제;
  • 내부감사기능, 지배기구 및 자가 평가 프로그램의 활동을 포함한, 다른 통제를 모니터링 하는 통제;
  • 보고기간말 재무보고 프로세스에 대한 통제;
  • 유의적인 사업위험에 대처하는 프로그램과 통제
문단 A32

전사적 수준 통제는 그 성격과 정밀함이 다양하다 –

  • 통제환경 통제와 같은 일부 전사적 수준 통제는 왜곡표시를 적시에 예방하거나 발견∙ 수정할 가능성에 중요하지만 간접적인 영향을 미친다. 이 통제들은 감사인이 테스트를 위해 선정한 다른 통제와 감사인이 다른 통제에 대해 수행하는 절차의 성격, 시기 및 범위에 영향을 미칠 수 있다.
  • 일부 전사적 수준 통제는 다른 통제의 효과성을 모니터링한다. 그러한 통제는 더 하위 수준의 통제 내에서 발생가능한 와해(breakdown)를 식별할 수 있도록 설계되었을 수 있으나, 그 통제 자체로 관련경영진주장에 대한 중요한 왜곡표시가 적시에 예방되거나 발견∙수정될 것이라고 평가된 위험에 충분히 대처할 정도로 정밀한 수준이 아닐 수 있다. 이 통제가 효과적으로 운영될 때, 감사인이 다른 통제에 대한 테스트를 줄이는 것이 허용될 수 있다.
  • 일부 전사적 수준 통제는 하나 이상의 관련경영진주장의 왜곡표시를 적시에 적절하게 예방하거나 발견∙수정할 정도의 정밀한 수준으로 운영되도록 설계되었을 수 있다. 전사적 수준 통제가 평가된 중요왜곡표시위험에 충분히 대처하고 있다면, 감사인은 해당 위험과 관련된 추가적인 통제를 테스트할 필요가 없다.

소규모기업에 특유한 고려사항

문단 A33

경영진 무력화에 대한 통제는 모든 기업의 효과적인 내부회계관리제도에 중요하며, 통제 수행 및 보고기간말 재무보고 프로세스에 고위경영진의 참여가 많기 때문에 소규모기업에 특히 중요할 수 있다. 소규모기업의 경우, 경영진 무력화 위험에 대처하는 통제는 대규모 기업의 통제와 다를 수 있다. 예를 들어, 소규모기업은 경영진 무력화 위험에 초점을 두는 지배기구의 더 세부적인 감시에 의존할 수 있다.

내부회계관리제도 구성요소 평가 (문단 25-26 참조)

문단 A34

「내부회계관리제도 설계∙운영 개념체계」는 5개의 내부통제 구성요소별로 달성되어야 할 원칙들을 제시하고 있다. 경영진이 「내부회계관리제도 설계∙운영 개념체계」를 적용하는 경우 이 원칙들은 기업의 재무보고 목적을 달성하기 위한 내부회계관리제도의 설계, 실행 및 운영에 내부회계관리제도 구성요소가 존재하고 기능하는지 여부에 대한 감사인의 평가와도 관련된다.

보고기간말 재무보고 프로세스 (문단 27-28 참조)

문단 A35

연도말 재무보고 프로세스는 통상적으로 경영진 평가의 "기준"일 후에 발생하므로, 이 통제는 해당 평가기준일 이후에 테스트되는 것이 보통이다.

유의적인 거래유형, 계정잔액 및 공시와 관련경영진주장을 식별 (문단 29-32 참조)

문단 A36

감사인이 재무제표의 중요한 왜곡표시를 발생하게 할 왜곡표시를 포함할 합리적 가능성이 있는 유의적인 거래유형, 계정 및 공시 각각에 대해 관련 위험에 대한 통제를 선정하고 테스트한 경우, 감사인은 감사기준서 315 에서 제시된 경영진주장과 상이한 경영진주장에 근거하여 업무를 수행할 수 있다.25)

25) 감사기준서 315 문단 A189-A190 참조

문단 A37

고유위험요소는 유의적인 거래유형, 계정잔액 및 공시와 관련경영진주장의 식별과 관련된다. 고유위험요소는 감사기준서 315에 기술되어 있다.

문단 A38

감사인이 내부회계관리제도감사에서 유의적인 거래유형, 계정잔액, 공시 및 관련경영진주장을 식별할 때 평가하여야 하는 고유위험요소는 재무제표감사에서 평가하여야 하는 위험요소와 동일하다; 따라서, 유의적인 거래유형, 계정잔액 및 공시와 관련경영진주장은 통합감사에서 동일하다.

문단 A39

재무제표감사와 연계된 위험평가절차는 감사기준서 315에 기술되어 있다.

문단 A40

감사인은 주어진 유의적인 거래유형, 계정잔액 또는 공시 내에서 "무엇이 잘못될 수 있는가?"라고 자문을 함으로써 잠재적 왜곡표시의 가능한 원천을 결정할 수 있을 것이다.

문단 A41

잠재적으로 유의적인 거래유형, 계정잔액 및 공시의 구성요소는 유의적으로 다른 위험에 노출될 수 있다. 그렇다면, 이러한 위험들에 적절히 대처하기 위한 서로 다른 통제가 필요할 수 있을 것이다.

문단 A42

부문이 다수인 상황에 대해서는 문단 84에서 논의된다.

왜곡표시의 가능한 원천에 대한 이해 (문단 33-35 참조)

문단 A43

추적조사 수행은 많은 경우에 문단 33의 목적을 달성하는 가장 효과적인 방법일 것이다. 추적조사는 거래의 발생부터 해당 거래가 정보시스템을 포함한 기업의 프로세스를 거쳐 기업의 재무기록으로 반영되기까지, 기업 담당자가 사용하는 동일한 문서와 정보기술을 이용하여 거래를 따라가는 과정을 포함한다. 추적조사 절차는 적합한 담당자에 대한 질문, 특정 통제의 적용의 관찰, 관련 문서의 검사 및 통제 재수행이다. 감사인은 이 절차들의 어떤 조합이라도 선택할 수 있으나, 질문만으로는 문단 33의 목적을 달성하는 데 충분하지 않다.

문단 A44

추적조사를 수행할 때, 감사인은 기업 담당자에게 중요한 거래 처리절차가 수행되는 시점에 기업의 규정된 절차 및 통제에 의하여 요구되는 사항에 대한 기업 담당자의 이해에 관해 질문한다. 이러한 탐색적 질문(probing question)은 다른 추적조사 절차와 결합하여, 감사인이 해당 프로세스에 대한 충분한 이해를 얻고 필요한 통제가 누락되거나 효과적으로 설계되지 않은 중요한 지점을 식별할 수 있게 한다. 또한, 추적조사의 기초로 사용된 단일거래에 대한 제한된 초점을 넘어서는 탐색적 질문은 해당 프로세스에 의해 다루어지는 상이한 유형의 유의적인 거래에 대한 이해를 제공한다.

문단 A45

정보기술 내에서 위험과 통제의 식별은 별도의 평가가 아니다. 대신에, 위험을 평가하고 감사노력을 배분하는데 뿐만 아니라, 유의적인 거래유형, 계정잔액 및 공시와 관련경영진주장과 테스트 대상 통제를 식별하는 데 사용되는 하향식 접근법의 필수적인 부분이다.

테스트 대상 통제의 선정 (문단 36 참조)

문단 A46

특정 관련경영진주장의 평가된 왜곡표시위험에 대처하는 통제는 하나 이상일 수 있다. 이와 반대로, 하나의 통제가 하나 이상의 관련경영진주장의 평가된 왜곡표시위험에 대처할 수도 있다. 관련경영진주장과 관련된 모든 통제를 테스트할 필요가 없고, 통제 중복 자체가 통제목적이 아닌 이상 중복된 통제를 테스트할 필요도 없을 수 있다.

문단 A47

통제를 테스트 대상으로 선정할 것인지 여부에 대한 결정은, 통제가 어떻게 분류되는지(예를 들어, 전사적 수준 통제, 거래수준통제, 통제활동, 모니터링 통제, 예방통제, 적발통제 등)보다는, 해당 통제가 개별적으로 혹은 결합하여 특정 관련경영진주장의 평가된 왜곡표시위험에 충분히 대처할 수 있는지 여부에 달려 있다.

통제테스트

설계효과성의 테스트 (문단 37 참조)

문단 A48

설계효과성을 평가하기 위해 수행되는 절차는 적합한 기업 담당자에 대한 질문, 특정 통제의 운영에 대한 관찰 그리고 관련 문서의 검사의 결합으로 이루어질 수 있다. 이러한 절차를 포함한 추적조사는 일반적으로 설계효과성을 평가하는데 충분하다.

소규모기업에 특유한 고려사항

문단 A49

소규모기업은 더 복잡한 대규모 조직과는 다른 방법으로 통제 목적을 달성할 수 있을 것이다. 예를 들어, 소규모기업은 회계기능 인력이 소수여서, 업무분장 기회가 제한되고 통제목적을 달성하기 위해 다른 통제를 실행하게 될 것이다.

운영효과성의 테스트 (문단 38 참조)

문단 A50

운영효과성을 테스트하기 위해 수행되는 절차는 적합한 기업 담당자에 대한 질문, 특정 통제의 운영에 대한 관찰, 관련 문서의 검사 그리고 통제의 재수행의 결합으로 이루어질 수 있다. 그러나, 질문만으로는 그러한 목적을 달성하기에 충분하지 않다. 감사기준서 330 “평가된 위험에 대한 감사인의 대응”은 질문과 결합하여, 통제의 운영효과성을 테스트할 때 적합할 수 있는 다른 감사절차에 대한 추가적인 지침을 제공한다. 26)

26) 감사기준서 330 문단 A26-A27

문단 A51

어떤 상황에서는, 특히 소규모기업의 경우, 기업이 특정 재무보고기능을 보조하게 하기 위하여 제3자를 활용할 수 있다. 기업의 재무보고와 관련 통제에 대해 책임을 지는 담당자의 적격성을 평가할 때, 감사인은 기업담당자의 적격성과 재무보고 관련 기능을 보조하는 제3자의 적격성을 결합하여 고려할 수 있다.

위험과 입수해야 할 증거와의 관계(문단 39-42 참조)

문단 A52

각각의 테스트 대상 통제에 대하여, 통제가 효과적이라고 감사인을 설득하는데 필요한 증거는 통제와 연관된 위험에 따라 다르다. 통제와 연관된 위험은 통제가 효과적이지 않을 위험과, 통제가 효과적이지 않을 경우에 중요한 취약점이 존재할 위험으로 구성된다.

문단 A53

통제와 연관된 위험에 영향을 미치는 요소는 다음을 포함한다.

  • 통제가 예방하거나 발견∙수정하고자 의도하는 왜곡표시의 성격과 중요성
  • 관련되는 계정 및 경영진주장과 연관된 고유위험
  • 통제설계 또는 운영효과성에 부정적 영향을 미칠 수 있는 거래의 규모나 성격에 변화가 있었는지 여부
  • 해당 계정에 오류내력이 있는지 여부
  • 전사적 수준 통제, 특히, 다른 통제를 모니터링하는 통제의 효과성
  • 통제의 성격과 통제가 운영되는 빈도
  • 해당 통제가 다른 통제의 효과성에 의존하는 정도 (예를 들어, 통제환경 또는 정보기술 일반통제)
  • 통제를 수행하거나 통제의 수행을 모니터링하는 기업 담당자의 적격성. 그리고 통제를 수행하거나 통제의 수행을 모니터링하는 핵심 인원에 변경이 있었는지 여부
  • 통제가 개인의 수행에 의존하는지 또는 자동화되었는지 여부 (즉, 자동통제는 관련 정보기술 일반통제가 효과적이면, 일반적으로 위험이 낮은 것으로 기대된다)
  • 통제의 복잡성 및 통제의 운영과 연계하여 내릴 수 있는 판단의 유의성
문단 A54

일반적으로, 통제가 효과적으로 운영되지 않고 있다는 결론은 통제가 효과적으로 운영되고 있다는 결론을 뒷받침하는데 필요한 증거보다 더 적은 증거로 뒷받침될 수 있다.

문단 A55

사업프로세스가 단순하고 회계업무가 중앙 집중화되어 있는 소규모 기업이나 부문은 표준화된 범용소프트웨어(off-the-shelf packaged software)를 변형하지 않고 사용하는 비중이 큰, 비교적 단순한 정보시스템을 보유할 것이다. 범용 소프트웨어가 사용되는 영역에서, 정보기술 통제에 대한 감사인의 테스트는, 경영진이 통제목적을 달성하기 위하여 의존하는 범용 소프트웨어에 내재된 응용통제와, 이러한 응용통제의 효과적 운영에 중요한 정보기술 일반통제에 초점을 둘 수 있다.

문단 A56

감사인의 목적은 기업의 내부회계관리제도 전반에 대한 의견을 표명하는 것이다. 이로 인해 감사인은 개별 통제와 연관된 위험에 기초하여 테스트 대상 개별 통제의 효과성에 대해 입수하는 증거를 다양화할 수 있다.

문단 A57

통제의 효과성에 대한 감사인의 테스트가 제공하는 증거는 감사절차의 성격, 시기 및 범위의 조합에 따라 달라진다. 또한, 개별 통제에 대해 테스트의 성격, 시기 및 범위를 상이하게 조합하면 통제와 연관된 위험과 관련하여 충분하고 적합한 감사증거를 제공할 수 있다.

문단 A58

추적조사는 다음에 따라 운영효과성에 대한 충분하고 적합한 감사증거를 제공할 수 있을 것이다.

  • 테스트되고 있는 통제와 연관된 위험
  • 통제의 운영 주기
  • 통제가 정보기술 응용통제인지 여부
  • 추적조사의 일환으로 수행된 특정 절차
  • 그 절차의 결과

통제테스트의 성격

문단 A59

어떤 유형의 테스트는 테스트의 성격으로 인해 다른 테스트보다 통제의 효과성에 대한 더 많은 증거를 산출한다. 감사인이 수행할 수 있는 테스트를 일반적으로 가장 적은 증거를 산출하는 테스트에서 가장 많은 증거를 산출하는 테스트를 순서대로 나열하면 다음과 같다: 질문, 관찰, 관련 문서의 검사, 통제의 재수행.

그러나, 질문만으로는 통제의 효과성에 대한 결론을 뒷받침하는 충분하고 적합한 감사증거를 제공하지 않는다.

문단 A60

충분하고 적합한 감사증거를 제공할 효과성 테스트의 성격은, 대개, 테스트되어야 할 통제의 성격(통제의 운영으로 통제 운영에 대한 문서 증거가 산출되는지 여부를 포함함)에 따라 달라진다. 경영진의 철학과 경영 스타일과 같은 몇몇 통제의 경우에는 그 운영에 대한 문서 증거가 존재하지 않을 수 있다.

소규모기업에 특유한 고려사항

문단 A61

소규모 기업이나 사업단위에서는 통제 운영에 관한 문서화가 덜 공식적일 수 있다. 그러한 상황에서는, 다른 절차(예, 특정 통제의 운영에 대한 관찰, 덜 공식적인 문서의 검사 또는 특정 통제의 재수행)와 결합된 질문을 통한 통제테스트가 해당 통제가 효과적인지 여부에 대한 충분하고 적합한 감사증거를 제공할 수 있다.

문단 A62

통제 이탈은 통제가 설계된대로 운영되지 않을 때 발생한다. 통제 이탈은 내부통제에 미비점이 존재하는지 여부를 결정할 때 평가된다. 효과적인 내부회계관리제도가 기업의 통제목적 달성에 대한 절대적인 확신을 제공하지 않고 제공할 수도 없기 때문에, 기업의 통제목적을 달성하고 효과적이라고 간주되기 위하여 개별 통제가 어떤 이탈도 없이 운영되어야 할 필요는 없다.

문단 A63

내부회계관리제도감사에서 통제테스트의 목적은 기업의 내부회계관리제도에 대한 감사의견을 뒷받침하기 위해 통제의 효과성에 대한 증거를 입수하는 것이다. 감사의견은 일정 시점의 그리고 전체적인 기업의 내부회계관리제도의 효과성과 관련된다.

따라서, 내부회계관리제도감사에서는 재무제표에 대해서만 의견을 표명할 때는 테스트하지 않는 통제의 설계 및 운영 효과성에 대한 테스트가 수반될 수 있다. 그러나, 내부회계관리제도감사뿐 아니라 재무제표감사를 수행할 때에도, 감사인은 누락되거나 미비할 경우에 재무제표의 중요한 왜곡표시를 발생시킬 합리적 가능성이 있는 통제에 주의를 기울인다.

문단 A64

더 긴 기간에 대한 통제를 테스트하는 것이 더 짧은 기간에 대해 테스트하는 것보다 통제의 효과성에 대해 더 많은 증거를 제공한다. 또한, 평가기준일에 더 가까운 시기에 수행된 테스트가 해당 연도 내 더 이른 시기에 수행된 테스트보다 더 많은 증거를 제공한다.

문단 A65

통제를 더 광범위하게 테스트할수록, 해당 테스트로부터 더 많은 증거를 입수할 수 있다.

문단 A66

평가기준일 전에, 내부통제의 효과성 또는 효율성을 높이기 위하여 또는 통제 미비점에 대처하기 위하여 경영진이 기업의 통제를 변경하여 실행할 수 있다. 만약 감사인이 새로운 통제가 통제 준거기준의 관련 목적을 달성하고 통제테스트를 수행하여 감사인이 새로운 통제의 설계 및 운영 효과성을 평가할 수 있을 정도로 새로운 통제가 충분한 기간 동안 시행되어 왔다고 결정한다면, 감사인은 내부회계관리제도에 대한 의견을 표명할 목적으로 변경 전 통제의 설계 및 운영 효과성을 테스트할 필요가 없을 것이다. 만약 변경 전 통제의 운영효과성이 재무제표감사 시 감사인의 위험평가에 중요하다면, 감사인은 그러한 변경 전 통제의 설계 및 운영 효과성을 적합하게 테스트하여야 한다.

잔여기간에 대한 테스트 절차 (문단 44 참조)

문단 A67

기중 일자에서부터 기업의 보고기간말까지의 테스트 결과를 갱신하기 위하여 필요한 추가적인 증거는 다음 요소에 따라 달라진다.

  • 평가기준일 전에 테스트한 특정 통제(해당 통제와 연관된 위험, 해당 통제의 성격 및 해당 테스트 결과를 포함함)
  • 기중 일자에 획득한 운영효과성에 대한 증거의 충분성
  • 잔여기간의 정도
  • 기중 일자 후에 내부회계관리제도에 유의적인 변경이 존재했을 가능성
문단 A68

어떤 상황에서는, 예를 들어 상기 요소들을 평가한 결과, 해당 통제가 잔여기간에 더 이상 효과적이지 않을 위험이 낮을 경우, 질문만으로도 충분한 잔여기간 테스트 절차가 될 수 있다.

후속연도 감사에 대한 특별 고려 사항 (문단 45 참조)

문단 A69

후속연도 감사에서 통제와 연관된 위험에 영향을 미치는 요소는 문단 A53에 언급된 요소와 다음을 포함한다.

  • 이전 감사에서 수행된 절차의 성격, 시기 및 범위
  • 이전 연도의 통제테스트의 결과
  • 이전 감사 이후 통제나 통제가 운영되는 프로세스에 변경이 있었는지 여부
문단 A70

문단 A53A69에 식별된 위험요소의 고려 후, 후속연도 감사에서 이용가능한 추가적인 정보로 인해 감사인은 위험을 최초 연도보다 낮게 평가할 수 있을 것이다. 이로 인해, 결과적으로 감사인은 후속연도의 테스트를 줄일 수 있을 것이다.

문단 A71

감사인은 또한 후속연도 감사에서 자동화된 응용통제에 대해 벤치마킹 전략을 사용할 수 있다. 벤치마킹은 문단 100에 추가로 기술되어 있다.

문단 A72

감사인은 해마다 상이한 기중의 일자에 통제를 테스트하거나, 수행하는 테스트의 갯수와 유형을 증가 또는 감소시키거나, 혹은 사용하는 절차의 조합을 변경할 수도 있다.

내부회계관리제도 미비점의 식별과 평가 (문단 47 참조)

문단 A73

재무제표 및 내부회계관리제도에 대해 수행된 감사업무에서 발견된 사항은 감사인이 내부회계관리제도 미비점을 식별하였는지 여부를 결정하는데 관련이 있다.

내부회계관리제도에 대한 평가기준일에 중요한 취약점이 존재하는지 여부의 결정 (문단 48-50 참조)

문단 A74

내부회계관리제도 미비점 혹은 미비점들의 결합의 심각성은 다음에 따라 달라진다.

  • 미비점 혹은 미비점들로부터 초래되는 잠재적 왜곡표시의 크기
  • 기업의 통제가 거래유형, 계정잔액이나 공시의 왜곡표시의 예방 또는 발견∙수정에 실패할 합리적 가능성이 있는지 여부

미비점의 심각성은 왜곡표시가 실제로 발생하였는지 여부가 아니라, 오히려 기업의 통제가 왜곡표시의 예방 또는 발견∙수정에 실패할 합리적 가능성이 있는지 여부로 결정된다.

감사인이 통합감사를 수행하는 동안에 왜곡표시를 식별하지 않았다고 하더라도 중요한 취약점은 존재할 수 있다. 중요한 취약점의 지표는 A83에 기술되어 있다.

문단 A75

내부회계관리제도 미비점 혹은 미비점들로부터 초래될 수 있는 왜곡표시의 크기에 영향을 미치는 요소들을 예시하면 다음과 같다.

  • 미비점에 노출된 재무제표 금액 또는 거래 총액
  • 미비점에 노출된 계정이나 거래유형에서 당기에 발생하거나 미래 기간에 발생이 예상되는 활동의 규모
문단 A76

잠재적 왜곡표시의 크기를 평가할 때, 계정잔액 또는 거래 총액이 과대표시될 수 있는 최대금액은 일반적으로 장부상금액이다. 반면, 과소표시될 수 있는 금액은 장부상금액보다 더 클 수 있다.

문단 A77

위험요소는 내부회계관리제도 미비점 혹은 미비점들의 결합이 계정잔액이나 공시의 왜곡표시를 초래할 합리적 가능성이 있는지 여부에 영향을 준다. 해당 요소들을 예시하면 다음과 같다.

  • 재무제표, 거래유형, 계정잔액, 공시 및 관련되는 경영진주장의 성격
  • 내부회계관리제도 미비점 혹은 미비점들로 인하여 발생하는 예외사항의 원인과 빈도
  • 관련 자산이나 부채의 손실이나 부정에 대한 민감성
  • 관련되는 금액을 결정하는데 요구되는 주관성, 복잡성 또는 판단의 정도
  • 해당 통제와 다른 통제와의 상호작용 또는 관계(통제들이 상호의존적인지 중복적인지 여부를 포함함)
  • 내부회계관리제도의 다른 미비점들과의 상호작용
  • 내부회계관리제도 미비점 혹은 미비점들로 인하여 향후에 있을 수 있는 영향
  • 재무보고프로세스에 미치는 다음과 같은 통제의 중요성
    • ° 일반적인 모니터링 통제(예, 경영진의 감시)
    • ° 부정의 예방과 발견에 대한 통제
    • ° 유의적인 회계정책의 선택과 적용에 관한 통제
    • ° 특수관계자와의 유의적 거래에 대한 통제
    • ° 기업의 정상적인 사업과정을 벗어난 유의적 거래에 대한 통제
    • ° 보고기간말 재무보고프로세스에 대한 통제(예, 비경상적인 분개에 대한 통제)
문단 A78

내부회계관리제도 미비점이 왜곡표시의 합리적 가능성이 있음을 나타내는지 여부에 대한 평가는 발생 확률을 특정 비율이나 범위로 정량화하지 않고 수행될 수 있다. 또한, 많은 경우에, 작은 규모의 왜곡표시가 규모가 큰 왜곡표시보다 발생 확률이 더 크다.

문단 A79

통제는 왜곡표시를 효과적으로 예방 또는 발견∙수정하기 위하여 개별적으로 혹은 결합하여 운영되도록 설계될 수 있다. 예를 들어, 매출채권에 대한 통제는 계정잔액의 왜곡표시를 예방 또는 발견∙수정하기 위하여 함께 운영되도록 설계된 자동통제와 수동통제를 모두 포함하여 구성될 수 있다.

문단 A80

내부회계관리제도 미비점은 단독으로는 중요한 취약점을 구성하기에 충분히 중요하지 않을 수 있다. 그러나, 동일한 유의적인 거래유형, 계정잔액 또는 공시; 관련경영진주장; 내부회계관리제도 구성요소에 영향을 미치는 미비점들의 결합은 중요한 취약점을 발생시키는 정도까지 왜곡표시 위험을 증가시킬 수 있다. 또한, 동일한 유의적인 거래유형, 계정잔액 또는 공시; 관련경영진주장; 내부회계관리제도 구성요소에 영향을 미치는 미비점들의 결합은 집합적으로 유의적 미비점이 될 수 있다.

문단 A81

보완통제는 내부회계관리제도 미비점의 심각성을 제한하고, 중요한 취약점이 되는 것을 예방할 수 있다. 중요한 왜곡표시를 예방 또는 발견∙수정할 정도의 정밀한 수준으로 운영되는 보완통제만이 완화효과를 가질 수 있다. 비록 보완통제가 내부회계관리제도 미비점의 효과를 완화할 수 있다 하더라도, 보완통제가 미비점을 제거할 수는 없다.

문단 A82

내부회계관리제도의 중요한 취약점을 나타내는 지표는 다음을 포함한다.

  • 고위 경영진이 저지른 부정을 식별함(부정이 중요한지 여부는 관계없음). 여기서 고위 경영진은 대표이사, 재무담당임원, 그밖에 기업의 재무보고프로세스에 유의적인 역할을 하는 다른 고위 경영진을 포함한다
  • 부정이나 오류로 인한 중요한 왜곡표시의 수정을 반영하기 위해 이전에 발행된 재무제표를 재작성함
  • 재무제표의 중요한 왜곡표시가 기업의 내부회계관리제도에 의해 발견∙수정되지 못하였을 상황에서 감사 중 감사인에 의해 해당 왜곡표시가 식별됨
  • 기업의 재무보고 및 내부회계관리제도에 대한 지배기구의 감시가 효과적이지 않음

통합감사 중 유의적 미비점이 존재하는지 여부에 대한 결정(문단 51 참조)

문단 A83

문단 A74-A81는 식별된 내부회계관리제도 미비점의 심각성 평가와 관련된 지침을 제공한다. 문단 A82은 중요한 취약점 지표를 기술하고 있다.

문단 A84

내부회계관리제도 미비점이 개별적으로 또는 결합하여 유의적 미비점이 되는지 여부를 결정하기 위하여 각각의 미비점의 심각성을 평가하는 것은, 통합감사 과정에서 식별된 유의적 미비점들을 경영진 및 지배기구에 서면으로 커뮤니케이션하기 위한 목적이다. 커뮤니케이션 요구사항은 문단 63-67에 기술되어 있다.

후속사건 (문단 52–55 참조)

문단 A85

감사기준서 560 "후속사건"은 재무제표 감사 시 후속사건에 대한 요구사항을 규정하고 지침을 제공하며, 필요에 따라 내부회계관리제도 감사에 맞게 조정되고 적용된다. 감사인은 문단 61에 따라 경영진으로부터 후속사건과 관련한 서면진술을 입수하여야 한다.

문단 A86

시정조치에 관한 경영진 공시에 대한 의견을 거절하는 경우에는 문단 82를 참조한다.

문단 A87

문단 5455의 후속사건에 대한 절차는 감사기준서 560에 기술된 재무제표감사에서의 후속사건에 대한 절차와 유사하다.

결론 절차 (문단 56–60 참조)

문단 A88

경영진이 내부회계관리제도 운영실태보고서를 수정하지 않는 경우 문단 77를 적용한다. 감사인이 하나 이상의 중요한 취약점에 대하여 경영진에게 요구된 공시가 중요성의 관점에서 공정하게 표시되어 있지 않다고 결정하는 경우에는 문단 75도 적용한다. 경영진이 내부회계관리제도에 관한 경영진 평가를 포함하는 보고서의 제공을 거절하는 경우에는, 문단 79를 적용한다.

서면진술의 입수 (문단 61-62 참조)

문단 A89

재무제표감사의 일부로써 경영진의 서면진술 입수에 관한 추가적인 요구사항과 지침은 감사기준서 580 "서면진술"을 참조한다. 감사기준서 580은 누가 서면진술에 서명해야 하는지, 서면진술의 대상기간 및 갱신된 서면진술을 언제 입수해야 하는지 등에 관한 사항을 다루고 있다.

문단 A90

경영진이 서면진술 제공을 거부하는 경우는 감사범위 제한에 해당한다.

내부회계관리제도 관련 사항의 커뮤니케이션 (문단 63-68 참조)

문단 A91

감사기준서 265 “내부통제 미비점에 대한 지배기구와 경영진과의 커뮤니케이션”의 내용이 이 감사기준서와 상충되는 경우에는 이 감사기준서가 우선 적용된다.

문단 A92

상대적으로 유의적이고 추후 시정조치가 긴급한 특정 사항의 경우, 경영진이나 지배기구와의 조기 커뮤니케이션이 중요할 수 있다. 유의적 미비점과 중요한 취약점에 대한 서면 커뮤니케이션의 시기에 관계없이, 감사인은 경영진과 지배기구가 중요왜곡표시위험을 최소화하기 위한 시정조치를 적시에 취하는데 도움을 주기 위하여 경영진이나 적합한 경우 지배기구에게 우선 구두로 이 사항을 커뮤니케이션할 수 있다. 그러나 구두 커뮤니케이션이 감사인이 유의적 미비점과 중요한 취약점을 서면으로 커뮤니케이션해야 하는 책임을 경감하는 것은 아니다.

문단 A93

만약 이전에 커뮤니케이션한 유의적 미비점과 중요한 취약점이 남아있다면, 당기 커뮤니케이션은 이전의 커뮤니케이션을 반복하거나, 단순하게 이전의 커뮤니케이션과 해당 커뮤니케이션 일자를 언급할 수 있다.

문단 A94

감사인이 모든 미비점을 식별할 만큼 충분한 절차를 수행해야 하는 것은 아니다. 오히려, 감사인은 단지 알고 있는 미비점을 커뮤니케이션 할 필요가 있을 뿐이다.

문단 A95

내부회계관리제도감사와 통합되지 않은 재무제표감사와 달리, 감사인은 유의적 미비점이나 중요한 취약점 수준에 이르지 못한 미비점도 서면으로 커뮤니케이션 하여야 한다. 이는 내부회계관리제도감사가 내부회계관리제도의 미비점을 식별하는 데 중점을 두고 있기 때문이다. 반면 재무제표의 왜곡표시를 식별하는 데 중점을 두는 (내부회계관리제도 감사와 통합되지 않은)재무제표감사에서는 미비점을 식별하는 것은 부수적인 것이다.

내부회계관리제도에 대한 보고 (문단 69-70 참조)

문단 A96

감사인이 내부회계관리제도에 대하여 부적정의견을 표명하는 경우, 내부회계관리제도에 대한 부적정의견이 재무제표에 미치는 영향과 관련하여 문단 76에서 요구하는 공시는 문단 70에서 기술된 보고서 문구와 결합될 수 있다. 감사인은 결합된 문구를 별도 문단 혹은 중요한 취약점을 식별하였다는 문단의 일부로 표시할 수 있다.

감사보고서 변형 (문단 72 참조)

문단 A97

감사의 범위제한은 감사인이 충분하고 적합한 감사증거를 입수할 수 없는 경우를 말하며, 다음 상황에서 발생할 수 있다.

  • 기업의 통제를 벗어나는 상황
  • 감사인 업무의 성격과 시기와 관련된 상황
  • 경영진이 부여한 제약

부적정 의견 (문단 73-76 참조)

문단 A98

문단 48-51는 미비점의 평가를 기술한다. 업무의 범위가 제한된 경우는 문단 78-82을 참조한다.

문단 A99

감사기준서 705 "감사의견의 변형" 은 재무제표에 대한 부적정의견과 관련한 요구사항을 정하고 지침을 제공하며 필요에 따라 내부회계관리제도감사에 조정 및 적용된다. (이 감사기준서의 보론 "내부회계관리제도 감사보고서 사례" 중 사례2. “내부회계관리제도에 대한 부적정의견” 사례 참조).

문단 A100

문단 74에서 기술된 바와 같이 중요성의 관점에서 각각의 중요한 취약점이 내부회계관리제도 운영실태보고서에 포함되고 공정하게 표시된다면, 감사보고서에서는 "내부회계관리제도 운영실태보고서에 기술된 중요한 취약점"만 언급하면 되며, 각각의 중요한 취약점에 대한 설명을 포함할 필요는 없다.

문단 A101

문단 A96에서 기술된 바와 같이, 문단 76에서 요구되는 공시는 문단 70에서 제시된 보고서 문구와 결합될 수 있다.

범위제한 (문단 78-82 참조)

문단 A102

감사기준서 705는 재무제표 감사에서의 의견거절에 대한 요구사항을 규정하고 지침을 제공하며 필요에 따라 내부회계관리제도 감사에 조정 및 적용한다. (이 감사기준서의 보론1 "내부회계관리제도 감사보고서 예시" 중 “내부회계관리제도에 대한 의견거절” 사례 참조).

문단 A103

범위제한이 감사인이 의견을 표명하는데 필요한 합리적인 확신을 얻는 것을 방해할 것이라는 결론을 내리는 즉시, 감사인은 내부회계관리제도에 대한 의견거절 보고서를 발행할 수 있다. 내부회계관리제도 감사를 수행할 때, 감사인이 의견을 표명하기 위한 충분하고 적합한 감사증거를 입수할 수 없을 것이라는 결론을 내리는 경우, 감사인이 의견거절 보고서를 발행하기 전에 추가적인 업무를 수행해야 할 의무는 없다.

이 경우, 감사보고서 일자에 관한 문단 71의 지침을 따르는데 있어서, 감사보고서 일자는 감사보고서의 진술내용을 뒷받침하는 충분하고 적합한 증거를 감사인이 입수한 일자이다.

문단 A104

각각의 중요한 취약점이 내부회계관리제도 운영실태보고서에 포함되고 중요성의 관점에서 공정하게 표시된다면, 감사보고서에서는 "내부회계관리제도 운영실태보고서에 기술된 중요한 취약점"만 언급하면 되며, 각각의 중요한 취약점에 대한 설명을 포함할 필요는 없다.

추가정보 (문단 83 참조)

문단 A105

다음은 추가적인 정보에 대한 의견을 거절할 때 쓰는 문구의 예시이다.

기타사항

우리는 [경영진의 비용-수익 분석과 같은 추가적인 정보]에 대한 감사절차를 수행하지 않았으며, 따라서 이에 대하여 의견을 표명하거나 어떠한 확신도 제공하지 않습니다.

문단 A106

경영진이 내부회계관리제도에 대한 연차보고서 외부에 문단 82에서 기술된 유형의 공시를 하고 해당 공시가 기업의 재무제표에 대한 연차보고서 내의 다른 부분에 포함되어 있다면, 감사인이 해당 추가정보에 대한 의견거절을 할 필요가 없을 것이다. 그러나, 이 상황에서, 감사인이 추가정보가 내부회계관리제도 운영실태보고서와의 명백한 중요한 불일치사항 또는 사실의 중요한 왜곡표시를 포함한다고 믿는다면, 감사인의 책임은 문단 83에 기술된 것과 동일하다.

특별 주제

부문이 다수인 기업 (문단 84-86 참조)

문단 A107

감사기준서 600은 이 기준에 기술되어 있는 부문과 관련된 요구사항과 지침을 고려하여, 필요에 맞게 조정하여 내부회계관리제도감사에 적용된다.

문단 A108

그룹업무팀은, 개별적으로 또는 합쳤을 때, 그룹재무제표에 중요한 왜곡표시를 발생시킬 합리적 가능성이 없는 부문을, 추가 고려에서 제외할 수 있다.

문단 A109

위험이 낮은 부문에서는, 그룹업무팀은 먼저 전사적 수준 통제(조직 전체에 걸쳐 적합한 통제가 존재한다는 확신을 제공하기 위해 가동 중인 통제를 포함함)를 테스트하는 것이 감사인에게 충분한 증거를 제공하는지 여부를 평가할 수 있다. 그룹업무팀 또는 그룹업무팀을 대신하는 부문감사인이 특정 위험에 대한 통제 또는 그룹차원의 통제의 운영효과성을 테스트할 수 있다.

특별한 상황 (문단 87–90 참조)

문단 A110

내부회계관리제도감사는 일반적으로 지분법으로 회계처리하는 피투자회사 27) 의 통제로 확대되지 않는다.

27) 관계기업, 공동기업 및 별도재무제표에서 지분법으로 회계처리하는 종속기업을 말한다.

문단 A111

A111. 감사인은, 예를 들어 경영진이 평가기준일에 최근 취득한 사업에 대한 통제에 접근할 시간이 충분하지 않을 경우, 경영진이 「내부회계관리제도 평가 및 보고 기준」 및 관련 가이드라인에 따라 해당 사업을 제외함으로써 평가를 제한하는 것이 적합하다고 결론을 내릴 수 있다. 그러나, 사업 취득의 경우에, 그러한 제외 기간이 사업취득일로부터 1년을 초과하는 것은 적합하지 않을 것이다. 그리고 내부회계관리제도 운영실태보고서에 포함하지 않는 횟수가 1회를 초과하는 것도 적합하지 않을 것이다. 「내부회계관리제도 평가 및 보고 기준」 및 관련 가이드라인 외의 법규에서 경영진이 특정 부문을 경영진 평가에서 제외하는 것을 허용할 수 있고, 그러한 경우 해당 상황에 대한 구체적 공시를 요구할 수 있다. 만약, 감사인이 판단하기에, 경영진이 특정 부문을 경영진 평가에서 제외하는 것이 적합하다면, 감사인은 동일한 방식으로 내부회계관리제도감사에서 해당 부문을 제외할 수 있다. 이 경우는 감사의견 표명과 관련한 범위제한에 해당되지 않을 것이다.

서비스조직의 활용 (문단 91-99 참조)

문단 A112

감사기준서 402는 서비스조직을 활용하는 기업의 감사를 하는 감사인(이용자기업 감사인)에게 적용되는 요구사항과 적용지침을 포함한다. 감사기준서 402는 하나 이상의 서비스조직을 사용하는 기업(이용자기업)의 재무제표를 감사할 때 충분하고 적합한 감사증거를 획득하여야 하는 감사인의 책임을 다룬다. (서비스조직이 하위서비스조직을 활용하는 경우에 대한 지침은 감사기준서 402 참조) 28)

28) 감사기준서 402 문단 A20

문단 A113

감사기준서 402는 서비스조직의 서비스와 그러한 서비스에 대한 통제가 기업의 정보시스템의 일부가 되는 상황을 식별하고 있다. 29) 서비스조직의 서비스가 기업의 정보시스템의 일부라면, 감사기준서 402에 기술된 바와 같이, 해당 서비스는 기업의 내부회계관리제도의 일부이다.

29) 감사기준서 402 문단 3

문단 A114

내부회계관리제도 감사의견과 관련성이 있는 통제가 효과적으로 운영되고 있다는 증거는 감사기준서 402에 기술된 절차30) 를 포함하여 다음 중 하나 이상의 절차를 통해 입수할 수 있다.

  • (a) 입수가능한 경우, 유형 2 보고서를 입수함
  • (b) 서비스조직의 통제에 대해 적합한 통제테스트를 수행함
  • (c) 서비스조직의 통제에 대해 통제테스트를 수행한 타감사인의 업무를 활용함

30) 감사기준서 402 문단 16-17

문단 A115

감사기준서 402에 기술된 바와 같이 31) 서비스조직의 활동에 대한 통제를 이용자기업이 수립하고 운영하는 경우, 감사인은 내부회계관리제도 감사의견과 관련성이 있는 이용자기업의 통제가 효과적으로 운영되고 있다는 증거를 입수하기 위하여 해당 통제를 다음과 같이 테스트할 수 있다.

  • 이용자기업이 서비스조직에 의해 처리된 항목을 선택하여 독립적으로 재수행한 것을 테스트함
  • 이용자기업이 산출보고서와 원천문서를 조정한 것을 테스트함

31) 감사기준서 402 문단 A12-A13

문단 A116

서비스조직 통제에 대한 기술과 설계에 관한 보고서(유형 1 보고서)는 서비스감사인의 통제테스트와 그 결과에 대한 기술, 또는 통제의 운영효과성에 대한 서비스감사인의 의견이 포함되어 있지 않으며, 따라서, 통제의 운영효과성에 대한 증거를 제공하지 않는다. 유형 1 보고서와 유형 2 보고서는 감사기준서 402에 기술되어 있다.

문단 A117

이 요소들은 감사기준서 402에 기술된 바와 같이, 서비스감사인의 보고서가 재무제표감사에서 감사인이 평가한 통제위험의 수준을 뒷받침할 충분하고 적합한 감사증거를 제공하는지 여부를 결정할 때 감사인이 고려하는 요소와 유사하다. 32)

32) 감사기준서 402 문단 A30-A37

문단 A118

감사기준서 402는 보충적인 이용자기업 통제를, 해당 서비스를 설계할 때, 이용자기업이 실행할 것이라고 서비스조직의 경영진이 가정한 통제로서, 통제목적을 달성하는데 필요하다면 서비스조직의 시스템에 관한 경영진 기술서에 식별되는 통제로 정의한다.

문단 A119

서비스감사인의 전문가적 적격성과 독립성에 대한 정보의 적합한 출처는 감사기준서 402에서 논의된다. 33)

33) 감사기준서 402 문단 A21-A22

문단 A120

서비스조직은 서비스감사인이 서비스조직 통제에 대한 기술 및 설계에 대한 보고서 (유형 1 보고서) 또는 서비스조직 통제에 대한 기술, 설계 및 운영효과성에 대한 보고서(유형 2 보고서)를 발행하도록 계약할 수 있을 것이다. 유형 1 또는 유형 2 보고서는 한국공인회계사회가 제정한 “서비스조직의 통제에 대한 인증업무기준” 등 또는 권한이 있거나 인정된 기준제정기구가 제정한 다른 기준들 34) 에 따라 발행될 수 있다 (이러한 기준들은 유형 1 과 유형 2 보고서를 다른 명칭, 예를 들어 유형A 보고서와 유형B 보고서와 같은 명칭으로 구분하고 있을 수도 있다).

34) 국제감사인증기준위원회가 제정한 "서비스조직의 통제에 대한 인증업무기준(International Standard on Assurance Engagements (ISAE) 3402, Assurance Reports on Controls at a Service Organization)"과 미국회계사회가 제정한 서비스조직 통제에 대한 감사기준서 "서비스조직(SAS 70 Service Organization)"

문단 A121

서비스조직 통제의 변경에는 다음이 포함될 수 있다.

  • 서비스조직의 프로세스와 정보시스템과 관련된 변경을 포함하여, 서비스조직이 경영진에게 커뮤니케이션한 변경
  • 경영진이 상호작용하는 서비스조직 담당자의 변경
  • 통제목적을 달성하는 데 필요한 통제의 설계 또는 실행의 변경
  • 서비스조직으로부터 입수하는 보고서 또는 다른 데이터의 변경
  • 서비스조직과의 계약 또는 서비스 수준 약정의 변경
  • 서비스조직의 프로세스수행에서 식별된 오류 또는 법규위반 및 부정 사건
문단 A122

위험이 증가할수록, 감사인이 추가적인 증거를 입수할 필요성도 증가한다. 만약 감사인이 서비스조직의 통제의 운영효과성에 대한 추가적인 증거가 요구된다는 결론을 내린다면, 감사인의 추가적인 절차는 다음을 포함할 것이다.

  • 경영진에 의해 수행된 절차와 그 절차의 결과를 평가함
  • 특정 정보를 입수하기 위하여, 이용자조직을 통해 서비스조직과 연락함
  • 필요한 정보를 제공할 절차를 수행하기 위해 서비스감사인이 계약을 체결하도록 요청함
  • 서비스조직을 방문하고 그러한 절차를 수행함

자동화된 통제의 벤치마킹 (문단 100-102 참조)

문단 A123

완전히 자동화된 응용통제는 일반적으로 인간의 실패로 인한 와해에 덜 취약하다. 이러한 특성으로 인해 감사인이 "벤치마킹" 전략을 사용할 수 있다. 벤치마킹이란 운영효과성에 대한 구체적인 테스트를 반복하지 않고도 감사인이 자동화된 응용통제가 효과적이라고 결론지을 수 있도록, 효과적인 IT 일반통제와 결합할 수 있는 출발점(baseline)을 수립하여 자동화된 응용통제를 테스트하는 프로세스이다.

문단 A124

벤치마킹 전략을 결정할 때 평가된 위험요소가 낮은 위험을 나타내면, 평가되는 통제는 벤치마킹에 적합할 수 있다. 이러한 위험요소가 높은 위험을 나타내면, 평가되는 통제는 벤치마킹에 덜 적합하다.

문단 A125

운영중인 프로그램의 변경일자(compilation dates) 에 대한 보고서는 프로그램 내의 통제가 변경되지 않았다는 증거로 사용될 수 있다.

문단 A126

자동화된 응용통제를 벤치마킹하는 것은 프로그램 변경 가능성이 희박한 소프트웨어(예를 들어, 판매자가 소스코드에 대한 접근이나 변형을 허용하지 않는 경우)를 구입하여 사용하는 기업에 특히 효과적일 수 있다.

문단 A127

만약 프로그램 변경, 프로그램에 대한 접근 및 컴퓨터 운영에 대한 일반통제가 효과적이고 지속적으로 테스트된다면, 그리고 자동화된 응용 통제가 감사인이 정한 출발점(즉, 응용통제를 마지막으로 테스트한 시점) 이후 변경이 없었다는 것을 감사인이 결정한다면, 감사인은 자동화된 응용통제에 대하여 전기에 수행한 구체적인 운영테스트를 반복하지 않아도 해당 자동화된 응용통제가 계속해서 효과적이라고 결론 내릴 수 있다. 감사인이 통제가 변경되지 않았음을 결정하기 위해 입수하는 증거의 성격과 범위는 상황(기업의 프로그램 변경 통제의 강도를 포함함)에 따라 달라질 수 있다.

문단 A128

자동화된 응용통제의 일관되고 효과적인 작동은 관련 파일, 테이블, 데이터 및 설정값에 의존할 수 있다. 예를 들어, 이자수익을 계산하는 자동화된 응용프로그램은 자동 계산에 사용되는 이자율테이블의 지속적인 무결성에 의존할 것이다.

문단 A129

통제는 변경되었을 수 있는 다른 사업요소에 민감할 수 있다. 예를 들어, 자동화된 통제는 파일에 양(+)의 금액만 존재할 것이라는 가정을 가지고 설계될 수 있다. 그러한 통제는 해당 계정에 음(-)의 금액(대변 금액)이 기표되기 시작하면 더 이상 효과적이지 않을 것이다.

이 주제에 대해 더 궁금한 점이 있으신가요?

실무 적용, 회계처리 판단 등 구체적인 사안은 문의 폼으로 보내 주세요.

문의하기 →