서론
이 감사기준서의 범위
이 감사기준서는 재무제표의 중요왜곡표시위험을 식별하고 평가할 감사인의 책임을 다룬다.
이 감사기준서의 핵심개념
감사기준서 2001)은 감사위험을 수용가능한 낮은 수준까지 감소시키기에 충분하고 적합한 감사증거를 입수하는 것2)을 포함하여 재무제표감사를 수행하는 데 있어 감사인의 전반적인 목적을 다룬다. 감사위험은 중요왜곡표시위험과 적발위험의 함수이다.3) 감사기준서 200은 중요왜곡표시위험은 전체재무제표 수준과 거래유형, 계정잔액 및 공시에 대한 경영진주장 수준의 두 가지 수준에서 존재할 수 있다고 설명한다. 4)
재무제표 수준의 위험은 재무제표 전체에 전반적으로 관련되어 있으며 다수의 경영진주장에 영향을 미칠 수 있다. 경영진주장 수준의 중요왜곡표시위험은 고유위험과 통제위험의 두 가지로 구성된다.•고유위험은 관련 통제를 고려하기 전에 거래유형, 계정잔액 또는 공시에 대한 경영진의 주장이, 개별적으로 또는 다른 왜곡표시와 합쳤을 때 중요하게 왜곡표시 될 가능성으로 설명된다.•통제위험은 거래유형, 계정잔액 또는 공시에 대한 경영진의 주장에서 발생할 수 있으며, 개별적으로 또는 다른 왜곡표시와 합쳤을 때 중요할 수 있는 왜곡표시가 기업의 내부통제시스템에 의해 적시에 예방되거나 발견, 수정되지 못할 위험으로 설명된다.
감사인이 식별하고 평가하는 중요왜곡표시위험은 오류로 인한 위험과 부정으로 인한 위험을 모두 포함한다. 이 감사기준서는 두 가지 위험을 모두 다루고 있지만 부정은 부정으로 인한 중요왜곡표시위험의 식별, 평가 및 대응에 사용되는 정보를 입수하기 위한 위험평가절차 및 관련 활동과 관련하여 감사기준서 2407)에 추가적인 요구사항과 지침이 포함되어 있을 만큼 유의적이다.
- 감사기준서 240 재무제표감사에서의 부정에 관한 감사인의 책임
감사인의 위험 식별 및 평가 절차는 반복적이며 동적이다. 기업과 기업환경, 해당 재무보고체계 및 기업의 내부통제시스템에 대한 감사인의 이해는 중요왜곡표시위험을 식별하고 평가하도록 하는 요구사항 내의 개념과 상호의존적이다. 이 감사기준서에서 요구하는 이해를 하면서 위험에 대한 최초의 기대치가 도출될 수 있으며 이는 위험 식별 및 평가 절차를 진행하면서 더욱 개선될 수 있다. 추가적으로 이 감사기준서와 감사기준서 330에서는 감사인이 감사기준서 330에 따라 추가감사절차를 수행하면서 입수한 감사증거를 기초로 또는 새로운 정보를 입수한 경우, 위험평가를 수정하고 전반적인 대응과 추가감사절차를 변경하도록 요구하고 있다.
시행일
이 감사기준서는 2026년 1월 1일 이후 개시하는 보고기간의 재무제표에 대한 감사부터 시행하며, 2025년 1월 1일 이후 개시하는 보고기간의 재무제표에 대한 감사에 조기적용 할 수 있다.
목적
이 감사기준서와 관련된 감사인의 목적은 재무제표 및 경영진주장 수준의 부정이나 오류로 인한 중요왜곡표시위험을 식별 및 평가하고, 이에 따라 평가된 중요왜곡표시위험에 대한 대응을 설계하고 실행하기 위한 근거를 제공하는 것이다.
용어의 정의
이 감사기준서에서 사용하는 용어의 정의는 다음과 같다.
(a)(경영진)주장- 경영진이 재무제표가 해당 재무보고체계에 따라 작성되었다고 진술하는데 내재되어 있는, 재무제표상 정보의 인식, 측정, 표시 및 공시와 관련된 명시적이거나 그렇지 아니한 진술. 경영진주장은 감사인이 중요왜곡표시위험을 식별하고 평가할 때, 감사인이 발생가능한 서로 다른 형태의 잠재적 왜곡표시를 고려하는 데 사용된다. (문단 A1 참조)(b)사업위험- 기업의 목적을 달성하고 경영전략을 집행하는 능력에 부정적인 영향을 줄 수 있는 유의적 상황, 사건, 환경, 행동하거나 행동하지 않음으로 인하여 발생하는 위험 또는 기업이 부적합한 목적과 전략을 수립하여 발생하는 위험(c)통제- 경영진 또는 지배기구의 통제목적을 달성하기 위해 수립된 정책이나 절차. (문단 A2-A5 참조)(i)정책은 통제 목적을 달성하기 위하여 기업 내에서 해야 할 일 또는 하지 말아야 할 일을 제시한 것이다. 이는 문서화될 수도 있고, 커뮤니케이션 과정에서 명시적으로 언급될 수도 있고, 행위와 의사결정을 통해 암묵적으로 제시될 수도 있다.
(ii)절차는 정책을 실행하기 위한 행위이다.
(d)정보기술(IT) 일반통제 – IT 환경의 지속적이고 적절한 운영을 뒷받침하는 기업의 IT 프로세스에 대한 통제. IT 환경의 지속적이고 적절한 운영은 정보처리 통제의 지속적이고 효과적인 기능과 기업의 정보시스템 내 정보의 무결성(즉, 정보의 완전성, 정확성 및 유효성)을 포함한다. IT 환경에 대한 정의도 참고한다.
(e)정보처리 통제 – 정보의 무결성(즉, 거래와 기타 정보의 완전성, 정확성 및 유효성)에 대한 위험에 직접적으로 대응하는 통제로서 기업의 정보시스템 내 IT 응용프로그램의 정보처리 또는 수작업 정보처리와 관련된 통제. (문단 A6 참조)(f)고유위험요소 – 통제를 고려하기 전에 부정 또는 오류로 인하여 거래유형, 계정잔액 또는 공시에 대한 경영진주장이 왜곡표시될 가능성에 영향을 미치는 사건이나 상황의 특성. 그러한 요소는 질적이거나 양적일 수 있으며 복잡성, 주관성, 변화, 불확실성 또는 경영진 편의로 인한 왜곡표시 가능성이나 고유위험에 영향을 미치는 한 기타 부정위험요소11)를 포함한다. (문단 A7-A8 참조)(g)정보기술(IT) 환경 – 기업이 사업운영을 지원하고 사업전략을 달성하기 위하여 사용하는, IT 응용프로그램과 이를 지원하는 IT 인프라 및 IT 프로세스와 이러한 프로세스에 관여하는 인력. 이 감사기준서의 목적상,(i)IT 응용프로그램(IT application)은 거래나 정보의 개시, 처리, 기록 및 보고에 사용되는 프로그램 또는 프로그램 세트이다. IT 응용프로그램은 데이터 웨어하우스(data warehouses)와 보고서 작성 프로그램(report writer)을 포함한다.
(ii)IT 인프라(IT infrastructure)는 네트워크, 운영 체제, 그리고 데이터베이스 및 관련 하드웨어와 소프트웨어로 구성된다.
(iii)IT 프로세스는 IT 환경에 대한 접근, 프로그램 변경이나 IT 환경의 변경 및 IT 운영을 관리하기 위한 기업의 프로세스이다.
(h)관련경영진주장 – 거래유형, 계정잔액 또는 공시에 대한 경영진주장 중에 중요왜곡표시위험이 식별된 경영진주장. 어떤 경영진주장이 관련경영진주장인지는 관련 통제를 고려하기 전에 결정한다(즉 고유위험). (문단 A9 참조)(i)정보기술(IT)의 사용으로 인한 위험 – 정보처리 통제의 비효과적인 설계 또는 운영 가능성, 또는 기업의 IT 프로세스의 통제의 비효과적인 설계와 운영으로 인한 기업의 정보시스템의 정보의 무결성(즉, 거래나 기타 정보의 완전성, 정확성 및 유효성)에 대한 위험. (IT 환경 참고)(j)위험평가절차 - 재무제표 및 경영진주장 수준에서 부정이나 오류로 인한 중요왜곡표시위험을 식별하고 평가하기 위하여 수행하는 감사절차(k)유의적인 거래유형, 계정잔액 또는 공시 - 하나 이상의 관련경영진주장이 있는 거래유형, 계정잔액 또는 공시.(l)유의적 위험- 식별된 중요왜곡표시위험으로 (문단 A10 참조)(i)고유위험요소가 왜곡표시의 발생가능성과 왜곡표시가 발생했을 때 그 규모의 결합에 영향을 미치는 정도로 인하여 고유위험의 평가가 고유위험의 범위의 위쪽 끝에 가까운 위험 또는(ii)타 감사기준서의 요구사항에 따라 유의적 위험으로 다루는 위험이다.12)(m)내부통제시스템 – 재무보고의 신뢰성, 경영의 효과성 및 효율성, 그리고 관련 법규의 준수에 관련된 기업의 목적 달성에 관한 합리적 확신을 제공할 목적으로 지배기구, 경영진 및 기타의 인원에 의해 설계, 실행, 유지되고 있는 시스템. 이 감사기준서의 내부통제시스템은 서로 연관된 다섯 가지 구성요소로 이루어진다.
(i)통제환경(ii)기업의 위험평가절차(iii)내부통제시스템을 모니터링 하는 기업의 절차(iv)정보시스템과 커뮤니케이션(v)통제활동
요구사항
위험평가절차 및 관련 활동
감사인은 다음에 대한 적합한 근거를 제공하는 감사증거를 입수하기 위하여 위험평가절차를 설계하고 수행하여야 한다. (문단 A11-A18 참조)(a)재무제표 수준과 경영진주장 수준에서 부정이나 오류로 인한 중요왜곡표시위험의 식별과 평가(b)감사기준서 330에 따른 추가감사절차의 설계.
위험평가절차에는 다음이 포함되어야 한다.
(a)경영진, (내부감사기능이 존재하는 경우) 내부감사기능 내의 담당자를 포함한 기업 내부의 기타 적절한 관련자에 대한 질문 (문단 A22-A26 참조)(b)분석적절차 (문단 A27-A31 참조)(c)관찰과 검사 (문단 A32-A36 참조)
기타 원천의 정보
문단 13에 따라 감사증거를 입수할 때 감사인은 다음 원천의 정보를 고려하여야 한다. (문단 A37-A38)(a)고객관계 또는 감사업무의 수용 또는 유지에 대한 감사인의 절차(b)해당되는 경우, 해당 기업에 대해 업무수행이사가 수행한 다른 업무
감사인이 기업에 대한 과거의 경험 그리고 과거의 감사에서 수행된 감사절차로부터 얻은 정보를 이용하고자 하는 경우, 감사인은 그러한 정보가 당기 감사를 위한 감사증거로서 여전히 관련성이 있고 신뢰할 수 있는지 평가하여야 한다. (문단 A39-A41 참조)
업무팀 토의
업무수행이사와 다른 주요 업무팀원은 해당 재무보고체계의 적용과 기업의 재무제표가 중요하게 왜곡표시될 가능성을 토의하여야 한다. (문단 A42-A47 참조)
업무팀 토의에 참여하지 않은 업무팀원이 있는 경우, 업무수행이사는 해당 업무팀원들에게 어떤 사항을 커뮤니케이션할 것인지 결정하여야 한다.
기업과 기업환경, 해당 재무보고체계 및 기업의 내부통제시스템에 대한 이해 (문단 A48-A49 참조)
기업과 기업환경 및 해당 재무보고체계의 이해 (문단 A50-A55 참조)
감사인은 다음을 이해하기 위하여 위험평가절차를 수행하여야 한다.
(a)기업과 기업환경의 다음과 같은 측면:(i)기업의 조직구조, 소유 및 지배구조, 그리고 기업의 사업모델(사업모델에 IT의 사용이 통합된 정도를 포함) (문단 A56-A67 참조)(ii)산업적 요인, 규제적 요인 및 기타 외부적 요인 (문단 A68-A73 참조)(iii)내외부적으로 기업의 재무성과를 평가하는 데 사용되는 측정치 (문단 A74-A81 참조)(b)해당 재무보고체계와 기업의 회계정책 및 변경 시 그 이유 (문단 A82-A84 참조)(c)(a)와 (b)에서 얻은 이해를 기초로 하였을 때, 해당 재무보고체계에 따른 재무제표의 작성에 있어 고유위험요소가 경영진주장의 왜곡표시 가능성에 어떻게 영향을 미치는지 그리고 영향을 미치는 정도 (문단 A85-A89 참조)
감사인은 기업의 회계정책이 적합하며 해당 재무보고체계와 일관되는지를 평가하여야 한다.
기업의 내부통제시스템의 구성요소에 대한 이해 (문단 A90-A95)
통제환경, 기업의 위험평가절차 및 내부통제시스템에 대한 기업의 모니터링 절차 (문단 A96-A98)
통제환경
감사인은 다음과 같은 위험평가절차의 수행을 통하여 재무제표 작성과 관련된 통제환경을 이해하여야 한다. (문단 A99-A100 참조)(a)다음을 다루는 일련의 통제, 절차 및 구조를 이해한다. (문단 A101-A102 참조)(i)기업의 문화, 경영진의 성실성과 윤리적 가치에 대한 약속 등과 같이 경영진이 감독 책임을 이행하는 방법(ii)지배기구가 경영진과 분리되어 있는 경우, 지배기구의 독립성과 기업의 내부통제시스템에 대한 감독(iii)기업의 권한과 책임의 배부(iv)기업이 적격성 있는 인력을 유치하고, 육성하고 유지하는 방법(v)기업이 내부통제시스템의 목적을 추구하는 데 있어 개인에게 책임을 지게 하는 방법(b)다음을 평가한다. (문단 A103-A108 참조)(i)경영진이 지배기구의 감독과 함께 정직하고 윤리적으로 행동하는 문화를 조성하고 유지하는지 여부(ii)기업의 성격과 복잡성을 고려했을 때, 통제환경이 기업의 내부통제시스템의 다른 구성요소들에 대하여 적절한 기반을 제공하고 있는지 여부(iii)통제환경에서 식별된 미비점이 기업의 내부통제시스템의 다른 구성요소를 약화시키는지 여부
기업의 위험평가절차
감사인은 다음과 같은 위험평가절차의 수행을 통하여 재무제표 작성과 관련된 기업의 위험평가절차를 이해하여야 한다.
(a)다음에 대한 기업의 절차를 이해한다. (문단 A109-A110 참조)(i)재무보고목적과 관련된 사업위험의 식별 (문단 A62 참조)(ii)이러한 위험의 발생가능성을 포함한 위험의 유의성 평가(iii)이러한 위험에 대한 대응(b)기업의 성격과 복잡성을 고려하였을 때, 기업의 위험평가절차가 기업의 상황에 적합한지 여부를 평가한다. (문단 A111-A113 참조)
경영진이 식별하지 못한 중요왜곡표시위험을 감사인이 식별하면, 감사인은,(a)해당 위험이 기업의 위험평가절차에서 식별될 것으로 기대하였던 종류의 위험인지 결정하고, 만약 그렇다면 기업의 위험평가절차가 해당 중요왜곡표시위험을 식별하지 못한 이유에 대하여 이해한다.
(b)문단 22(b)의 감사인의 평가에 대한 시사점을 고려한다.
내부통제시스템을 모니터링하는 기업의 절차
감사인은 다음과 같은 위험평가절차의 수행을 통하여 재무제표 작성과 관련된 내부통제시스템을 모니터링하는 기업의 절차를 이해하여야 한다. (문단 A114-A115 참조)(a)다음을 다루는 기업의 절차의 측면들을 이해한다.
(i)통제의 효과성 모니터링과 식별된 통제 미비점에 대한 식별과 개선을 위한 상시적인 평가 및 별도의 평가 (문단 A116-A117 참조)(ii)내부감사기능이 있는 경우, 기업의 내부감사 기능. 그 성격, 책임 및 활동을 포함한다. (문단 A118 참조)(b)내부통제시스템을 모니터링하는 기업의 절차에서 사용되는 정보의 원천과 경영진이 해당 정보를 목적상 충분히 신뢰성이 있는 정보라고 생각하는 근거를 이해한다. (문단 A119-A120 참조)(c)기업의 성격과 복잡성을 고려하였을 때, 내부통제시스템을 모니터링하는 기업의 절차가 기업의 상황에 적합한지 여부를 평가한다. (문단 (A121-A122 참조)
정보시스템 및 커뮤니케이션과 통제활동 (문단 A123-A130 참조)
정보시스템 및 커뮤니케이션
감사인은 다음과 같은 위험평가절차의 수행을 통하여 재무제표 작성과 관련된 기업의 정보 시스템 및 커뮤니케이션을 이해하여야 한다. (문단 A131 참조)(a)유의적인 거래유형, 계정잔액 및 공시에 대한 기업의 정보처리활동을 이해한다. 해당 활동에서 사용되는 데이터와 정보 및 자원과 다음을 정의하는 정책을 포함한다. (문단 A132-A143 참조)(i)기업의 정보시스템 내 정보의 흐름. 다음을 포함한다.a.거래가 개시되고 거래에 대한 정보가 기록, 처리되고 필요시 수정되고 총계정원장에 포함되고 재무제표에 보고되는 방법b.거래 외에 사건과 상황에 대한 정보가 포착, 처리되고 재무제표에 공시되는 방법(ii)회계기록, 재무제표의 특정 계정 및 기타 정보시스템의 정보 흐름에 관한 기타 증빙 기록(iii)공시를 포함하여 기업의 재무제표 작성에 사용된 재무보고 절차(iv)위 (a)(i) - (a)(iii)와 관련된 IT 환경을 포함한 기업의 자원(b)기업이 정보시스템과 내부통제시스템의 기타 구성요소에서 재무제표 작성과 관련 보고 책임을 뒷받침하는 유의적 사항들을 다음과 같이 커뮤니케이션하는 방법을 이해한다. (문단 A144-A145 참조)(i)재무보고 역할과 책임이 커뮤니케이션되는 방법을 포함한 기업 내 사람들 간의 커뮤니케이션(ii)경영진과 지배기구 간의 커뮤니케이션(iii)규제당국과 같은 외부 제3자와의 커뮤니케이션(c)기업의 정보시스템 및 커뮤니케이션이 해당 재무보고체계에 따른 기업의 재무제표 작성을 적절하게 뒷받침하는지를 평가한다. (문단 A146 참조).
통제활동
감사인은 다음과 같은 위험평가절차의 수행을 통하여 통제활동 구성요소를 이해하여야 한다. (문단 A147-A157 참조)(a)통제활동 구성요소에서 경영진주장 수준의 중요왜곡표시위험에 대처하는 다음과 같은 통제를 식별한다.
(i)유의적 위험으로 결정된 위험에 대처하는 통제 (문단 A158-A159 참조)(ii)비반복적이고 일상적이지 않은 거래나 조정에 사용되는 비표준적인 분개를 포함한 분개에 대한 통제 (문단 A160-A161 참조)(iii)감사인이 실증 테스트의 성격, 시기 및 범위를 결정하는 데 있어 운영효과성을 테스트하기로 계획한 통제. 이러한 통제에는 실증절차만으로는 충분하고 적합한 감사증거를 제공하지 못하는 위험에 대처하는 통제를 포함하여야 한다. (문단 A162-A164참조)(iv)감사인의 전문가적 판단에 기초하여 감사인이 경영진주장 수준의 위험과 관련하여 문단 13의 목적을 충족하게 하는 데 적절하다고 판단한 기타 통제. (문단 A165참조)(b)(a)에서 식별된 통제를 바탕으로, IT 사용으로 인한 위험이 따르는 IT 응용프로그램과 기업의 IT 환경의 기타 측면을 식별한다. (문단 A166-A172 참조)(c)(b)에서 식별된 IT 응용프로그램과 IT 환경의 기타 측면에 대하여 다음을 식별한다. (문단 A173-A174 참조)(i)IT 사용으로 인한 관련 위험(ii)그러한 위험에 대처하는 기업의 IT 일반통제(d)(a) 또는 (c)(ii)에서 식별된 통제에 대하여,(i)통제가 경영진주장 수준의 중요왜곡표시위험에 대처하기에 효과적으로 설계되었는지 또는 다른 통제의 운영을 지원하기에 효과적으로 설계되었는지 여부를 평가한다.
(ii)기업의 인원에 대한 질문에 추가된 절차를 수행함으로써 기업의 통제가 실행되었는지 여부를 결정한다.
기업의 내부통제시스템 내의 통제 미비점
기업의 내부통제시스템의 구성요소 각각에 대한 평가에 기초하여, 감사인은 하나 이상의 통제 미비점이 식별되었는지 여부를 결정하여야 한다. (문단 A182-A183 참조)
중요왜곡표시위험의 식별과 평가 (문단 A184-A185 참조)
중요왜곡표시위험의 식별
감사인은 중요왜곡표시위험을 식별하고 해당 위험이 다음 중 어느 수준에서 존재하는지 결정하여야 한다. (문단 A186-A192 참조)(a)재무제표 수준 (문단 A193-A200 참조)(b)거래유형, 계정잔액 및 공시에 대한 경영진주장 수준 (문단 A201 참조)
감사인은 관련경영진주장과 이와 관련된 유의적인 거래유형, 계정잔액 및 공시를 결정하여야 한다. (문단 A202-A204 참조)
재무제표 수준의 중요왜곡표시위험의 평가
식별된 재무제표 수준의 중요왜곡표시위험에 대하여 감사인은 위험을 평가하고 다음 절차를 수행하여야 한다. (문단 A193-A200 참조)(a)그러한 위험이 경영진주장 수준의 위험 평가에 영향을 주는지 결정한다.
(b)재무제표에 미치는 전반적인 영향의 성격과 규모를 평가한다.
경영진주장 수준의 중요왜곡표시위험의 평가
고유위험의 평가 (문단 A205-A217 참조)
식별된 경영진주장 수준의 중요왜곡표시위험에 대하여 감사인은 왜곡표시의 발생가능성과 규모를 평가함으로써 고유위험을 평가하여야 한다. 그 과정에서 감사인은 다음을 고려하여야 한다.
(a)고유위험요소가 관련경영진주장의 왜곡표시 가능성에 영향을 미치는 방법과 그 정도(b)재무제표 수준의 중요왜곡표시위험이 경영진주장 수준의 중요왜곡표시위험의 고유위험 평가에 영향을 미치는 방법과 그 정도 (문단 A215-A216 참조)
감사인은 평가된 중요왜곡표시위험 중에서 유의적 위험이 있는지 결정하여야 한다. (문단 A218-A221 참조)
감사인은 경영진주장 수준의 중요왜곡표시위험 중 실증절차만으로는 충분하고 적합한 감사증거를 제공할 수 없는 위험이 있는지 결정하여야 한다. (문단 A222-A225 참조)
통제위험의 평가
통제의 운영효과성을 테스트할 계획인 경우, 감사인은 통제위험을 평가하여야 한다. 통제의 운영효과성을 테스트하지 않을 계획인 경우, 감사인은 중요왜곡표시위험이 고유위험과 동일하게 평가되도록 통제위험을 평가하여야 한다. (문단 A226-A229 참조)
위험평가절차에서 입수한 감사증거의 평가
감사인은 위험평가절차에서 입수한 감사증거가 중요왜곡표시위험의 식별과 평가에 대한 적절한 근거를 제공하는지 여부를 평가하여야 한다. 만약 그렇지 않다면, 감사인은 그러한 근거를 제공하는 감사증거가 입수될 때까지 추가적인 위험평가절차를 수행하여야 한다. 중요왜곡표시위험을 식별하고 평가할 때, 감사인은 경영진주장을 확인하는 증거이든 경영진주장과 상반되는 증거이든 위험평가절차에서 입수한 모든 감사증거를 고려하여야 한다. (문단 A230-A232 참조)
유의적이지 않지만 중요한 거래유형, 계정잔액 및 공시
유의적인 거래유형, 계정잔액 또는 공시로 결정되지 않은 중요한 거래유형, 계정잔액 또는 공시에 대하여, 감사인은 감사인의 결정이 여전히 적합한지에 대하여 평가하여야 한다. (문단 A233-A235 참조)
위험평가의 수정
최초 중요왜곡표시위험을 식별하고 평가하는 데 근거가 된 감사증거와 일관성이 없는 새로운 정보를 입수한 경우, 감사인은 그러한 식별 또는 평가를 수정하여야 한다. (문단 A236 참조)
문서화
감사인은 다음 사항을 감사문서에 포함하여야 한다.13) (문단 A237-A241 참조)(a)업무팀원 간의 토의내용 및 도달된 유의적 결정사항(b)문단 19, 21, 22, 24 및 문단 25에 따른 감사인의 이해의 주요 요소, 감사인이 이해를 얻은 정보의 원천, 그리고 수행한 위험평가절차(c)문단 26에 따라 식별된 통제의 설계에 대한 평가와 그러한 통제가 실행되었는지 여부에 대한 결정(d)식별되고 평가된 재무제표 수준과 경영진주장 수준의 중요왜곡표시위험. 유의적 위험과 실증절차만으로 충분하고 적합한 감사증거를 제공할 수 없는 위험 및 유의적 판단의 근거를 포함한다.
적용 및 기타 설명자료
용어의 정의 (문단 12 참조)
경영진주장 (문단 12(a) 참조)
통제 (문단 12(c))
통제는 기업의 내부통제시스템의 구성요소에 내재되어 있다.
정책은 기업의 인원들의 행동을 통해서 또는 이들이 정책과 상충되는 행동을 하지 않도록 제한함으로써 실행된다.
정책은 공식 문서, 경영진 또는 지배기구에 의한 기타 커뮤니케이션을 통해 의무화될 수 있으며, 의무적이지는 않지만 오히려 기업의 문화에 의해 조건화되는 행위에서 비롯될 수 있다. 절차는 기업이 사용하는 IT 응용프로그램 또는 기업의 IT 환경의 기타 측면에서 허용되는 행동을 통하여 강제될 수 있다.
통제는 직접적이거나 간접적일 수 있다. 직접통제는 경영진주장 수준의 중요왜곡표시위험에 대처하기에 충분히 정밀한 통제이다. 간접통제는 직접통제를 뒷받침하는 통제이다.
정보처리 통제 (문단 12(e) 참조)
정보의 무결성에 대한 위험은 기업의 정보시스템에서 정보흐름, 기록 및 보고과정을 정의하는 정책인 기업의 정보정책의 비효과적인 실행 가능성에서 발생한다. 정보처리 통제는 기업의 정보정책의 효과적인 실행을 지원하는 절차이다. 정보처리 통제는 자동화되거나(즉, IT 응용프로그램에 내재되거나) 또는 수작업(예: 입력 또는 출력 통제)일 수 있으며 다른 정보처리 통제나 IT 일반통제를 포함한 기타 통제에 의존할 수 있다.
고유위험요소 (문단 12(f) 참조)
고유위험요소는 질적이거나 양적일 수 있으며 경영진주장이 왜곡표시될 가능성에 영향을 미친다. 해당 재무보고체계에서 요구되는 정보의 작성에 관한 질적 고유위험요소는 다음을 포함한다.•복잡성•주관성•변화•불확실성•경영진 편의나 고유위험에 영향을 미치는 한 기타 부정위험요소로 인한 왜곡표시 가능성
거래유형, 계정잔액 또는 공시에 대한 경영진주장의 왜곡표시 가능성에 영향을 미치는 기타 고유위험요소는 다음을 포함한다. •거래유형, 계정잔액 또는 공시의 양적인 또는 질적인 유의성 •거래유형이나 계정잔액으로 처리되거나, 공시에 반영될 항목의 규모 또는 구성의 통일성의 부족
관련경영진주장 (문단 12(h) 참조)
중요왜곡표시위험은 하나 이상의 경영진주장에 관련될 수 있으며, 이러한 경우 해당 위험에 관련된 모든 경영진주장이 관련경영진주장이다. 경영진주장에 식별된 중요왜곡표시위험이 없다면 그러한 경영진주장은 관련경영진주장이 아니다.
유의적 위험 (문단 12(l) 참조)
유의성은 사안의 상대적 중요성으로 설명될 수 있으며 사안이 고려되고 있는 관점에서 감사인에 의하여 판단된다. 고유위험의 경우, 유의성은 고유위험요소가 왜곡표시의 발생가능성과 왜곡표시가 발생했을 때 잠재적 왜곡표시의 규모의 결합에 영향을 미치는 방법과 그 정도의 관점에서 고려될 수 있다.
위험평가절차 및 관련 활동 (문단 13-18 참조)
식별하고 평가할 중요왜곡표시위험은 부정으로 위한 위험과 오류로 인한 위험 모두를 포함하며 둘 다 이 감사기준서에서 다루어진다. 그러나 부정의 유의성으로 인하여 부정으로 인한 중요왜곡표시위험을 식별하고 평가하는 데 사용되는 정보를 입수하는 위험평가절차 및 관련 활동과 관련하여 추가적인 요구사항과 지침이 감사기준서 240에 포함되어 있다.14)또한 다음의 감사기준서에서 특정 사항과 상황에 대한 중요왜곡표시위험을 식별하고 평가하는 추가적인 요구사항과 지침을 제공하고 있다. •회계추정치에 관하여 감사기준서 54015) •특수관계자 관계와 거래에 관하여 감사기준서 550 •계속기업 가정에 관하여 감사기준서 57016) •그룹재무제표에 관하여 감사기준서 60017)
전문가적 의구심은 위험평가절차를 수행할 때 수집한 감사증거에 대한 비판적 평가에 필요하며 감사인이 위험의 존재를 확인하는 방향으로 편향되지 않은 감사증거 또는 위험의 존재와 상반되는 감사증거에 주의를 유지하는 데 도움을 준다. 전문가적 의구심은 감사인이 전문가적 판단을 할 때 적용하는 태도로, 감사인의 행동에 대한 근거를 제공한다. 감사인은 위험평가에 대한 적절한 근거를 제공하는 감사 증거를 갖게 되는 때를 결정할 때 전문가적 판단을 적용한다.
감사인에 의한 전문가적 의구심의 적용에는 다음을 포함한다. •상반되는 정보와 문서의 신뢰성에 대하여 의문을 가진다. •질문에 대한 답변과 경영진과 지배기구로부터 입수한 기타 정보를 고려한다. •부정이나 오류로 인한 왜곡표시 가능성을 나타낼 수 있는 상황에 주의를 유지한다. •입수한 감사증거가 기업의 성격과 상황에 비추어 중요왜곡표시위험에 대한 감사인의 식별과 평가를 뒷받침하는지 고려한다.
편향되지 않은 방식으로 감사증거를 입수하는 것이 중요한 이유 (문단 13 참조)
편향되지 않은 방식으로 중요왜곡표시위험의 식별과 평가를 뒷받침하는 감사증거를 입수하기 위한 위험평가절차를 설계하고 수행하는 것은 감사인이 잠재적으로 상반되는 정보를 식별하는 데 도움을 줄 수 있으며, 이것은 감사인이 중요왜곡표시위험의 식별과 평가에 전문가적 의구심을 행사하는 데 도움을 줄 수 있다.
감사증거의 원천 (문단 13 참조)
편향되지 않은 방식으로 감사증거를 입수하기 위한 위험평가절차를 설계하고 수행하는 것은 기업 내외부의 복수의 원천으로부터의 증거를 입수하는 것을 포함한다. 그러나 감사인이 감사증거의 가능한 원천을 모두 찾도록 요구되는 것은 아니다. 기타 원천으로부터의 정보18)에 추가하여, 위험평가절차를 위한 정보의 원천은 다음을 포함한다. •경영진, 지배기구 및 내부감사와 같은 기업의 핵심 인원과의 상호작용 •규제기관과 같은 특정 외부당사자. 직접 혹은 간접적으로 입수 •예를 들어 기업이 발표한 보도자료, 애널리스트 또는 투자자 회의를 위한 자료, 애널리스트 보고서 또는 거래활동에 대한 정보와 같이 기업에 대해 공개적으로 이용가능한 정보 정보의 원천에 관계없이 감사인은 감사기준서 500에 따라 감사증거로 사용될 정보의 관련성과 신뢰성을 고려한다.19)
확장가능성 (문단 13 참조)
위험평가절차의 성격과 범위는 기업의 성격과 상황(예: 기업의 정책과 절차, 프로세스와 시스템의 공식화)에 따라 달라질 것이다. 감사인은 이 감사기준서의 요구사항을 충족하기 위하여 수행하는 위험평가절차의 성격과 범위를 결정하기 위하여 전문가적 판단을 한다.
비록 기업의 정책과 절차, 프로세스와 시스템이 공식화된 정도는 다양할 수 있지만, 감사인은 여전히 문단 19, 21, 22, 24, 25 및 26에 따른 이해를 하도록 요구된다. 예시: 덜 복잡한 기업과 특히 소유경영 기업을 포함한 일부 기업들은 조직적인 절차와 시스템(예: 위험평가절차 또는 내부통제시스템을 모니터링하는 절차)을 수립하지 못하였거나, 문서화가 제한적이거나 수행되는 방법에 일관성이 부족한 프로세스와 시스템을 갖추었을 수 있다. 이러한 프로세스와 시스템의 공식화가 부족한 경우에도, 감사인은 관찰과 질문을 통하여 위험평가절차를 수행할 수 있다.전형적으로 좀 더 복잡한 다른 기업들은 더 공식화되고 문서화된 정책과 절차를 가질 것으로 기대된다. 감사인은 위험평가절차를 수행할 때 그러한 문서를 이용할 수 있다.
초도감사 시 수행할 위험평가절차의 성격과 범위는 계속감사를 수행할 때의 절차보다 확대될 수 있다. 후속기간에 감사인은 이전 기간 이후 발생된 변경에 집중할 수 있다.
위험평가절차의 형태 (문단 14 참조)
감사기준서 50020)은 위험평가절차와 추가감사절차로부터 감사증거를 입수할 때 수행할 수 있는 감사절차의 형태를 설명하고 있다. 감사절차의 성격, 시기 및 범위는 회계 데이터와 기타 증거의 일부가 전자적 형태로만 이용가능 하거나 특정 시점에만 이용가능 할 수 있다는 사실에 영향을 받을 수 있다.21) 감사인은 효율적인 경우 위험평가절차와 동시에, 감사기준서 330에 따라 실증절차를 수행하거나 통제를 테스트할 수 있다. 중요왜곡표시위험의 식별과 평가를 뒷받침하는 입수된 감사증거는 또한 경영진주장 수준의 왜곡표시의 적발 또는 통제의 운영효과성의 평가를 뒷받침할 수 있다.
-
감사기준서 500 “감사증거” 문단 A14-A17, A21-A25
자동화된 도구와 기법 (문단 14 참조)
자동화된 도구와 기법을 사용하여 감사인은 대량의 데이터(총계정원장, 보조원장 또는 기타 운영 데이터로부터)에 대한 분석, 재계산, 재수행 또는 차이조정을 포함한 위험평가절차를 수행할 수 있다.
경영진과 기업 내부의 관련자에 대한 질문 (문단 14(a) 참조)
경영진과 기업 내부의 관련자에 대한 질문을 하는 이유
위험의 식별과 평가 및 추가감사절차의 설계를 위한 적합한 근거를 뒷받침하기 위하여 감사인이 입수하는 정보는 경영진과 재무보고 책임자에 대한 질문을 통해 입수할 수 있다.
경영진과 재무보고 책임자, 기타 기업 내부의 적합한 개인 그리고 기타 다양한 직급의 종업원들에게 질문함으로써, 감사인은 중요왜곡표시위험을 식별하고 평가하기 위한 다양한 견해를 입수할 수도 있다. 예시: •지배기구에 대한 질문은 감사인이 재무제표가 작성되는 환경을 이해하는 데 도움이 될 수 있음. 감사기준서 26022)은 이와 관련하여 감사인이 지배기구로부터 정보를 입수하는 데 도움을 주는 효과적인 양방향 커뮤니케이션의 중요성을 식별함 •복잡하고 비경상적인 거래의 개시, 처리, 기록에 관여하는 종업원에 대한 질문은 감사인이 특정 회계정책의 선택과 적용의 적합성을 평가하는 데 도움이 될 수 있음 •내부 법률고문에 대한 질문은 소송, 법규준수, 기업에 영향을 미치는 부정 또는 의심되는 부정에 대한 지식, 품질보증, 매각 후 의무사항, 사업파트너와의 약정(조인트 벤처 등) 및 계약조건의 의미 등에 대한 정보를 제공할 수 있음 •마케팅이나 영업 담당자에 대한 질문은 기업의 마케팅 전략, 매출추이 또는 고객과의 약정의 변경에 대한 정보를 제공할 수 있음 •위험관리기능(또는 그런 역할을 수행하는 사람)에 대한 질문은 재무보고에 영향을 미칠 수 있는 영업 및 규제 위험에 대한 정보를 제공할 수 있음 •정보기술 인력에 대한 질문은 시스템 변경, 시스템 실패나 통제 실패, 또는 다른 정보시스템과 관련한 위험에 대한 정보를 제공할 수 있음
공공부문에 특유한 고려사항
중요왜곡표시위험을 식별하는 데 도움을 줄 가능성이 있는 정보를 가지고 있을 사람에게 질문할 때, 공공부문의 감사인은 해당 실체와 관련된 업무감사 또는 기타 감사에 참여한 감사인과 같은 추가적인 원천으로부터 정보를 입수할 수 있다.
내부감사기능에 대한 질문
내부감사기능(그러한 기능이 존재하는 경우)에 대한 질문을 하는 이유
기업에 내부감사기능이 있는 경우, 내부감사기능 내 적합한 담당자에 대한 질문은 감사인이 위험의 식별과 평가에 있어 기업과 그 환경 및 기업의 내부통제시스템을 이해하는 데 도움을 줄 수 있다.
공공부문에 특유한 고려사항
공공부문의 감사인은 많은 경우에 내부통제 및 법규의 준수와 관련하여 추가적인 책임을 진다. 내부감사기능의 적합한 담당자에 대한 질문은 감사인이 법규의 중요한 위반에 대한 위험 및 재무보고의 통제 미비점에 대한 위험을 평가하는 데 도움을 줄 수 있다.
분석적절차 (문단 14(b) 참조)
분석적절차가 위험평가절차로 수행되는 이유
분석적절차는 감사상 시사점이 있는 사항을 나타내는 것일 수 있는 불일치, 비경상적인 거래나 사건, 금액, 비율 그리고 추세를 식별하는 데 도움을 줄 수 있다. 식별된 비경상적이거나 예상하지 못한 상관관계는 감사인이 중요왜곡표시위험, 특히 부정으로 인한 중요왜곡표시위험을 식별하는 데 도움을 줄 수 있다.
위험평가절차로 수행되는 분석적절차는 감사인이 알지 못한 기업의 측면들을 식별하고 변화와 같은 고유위험요소가 경영진주장의 왜곡표시 가능성에 어떻게 영향을 미치는지 이해함으로써 중요왜곡표시위험의 식별과 평가에 도움을 줄 수 있다.
분석적절차의 형태
위험평가절차로 수행되는 분석적절차는 다음과 같다.•예를 들어, 매출액과 판매장면적 또는 판매량(비재무적)간의 상관관계와 같이 재무적, 비재무적 정보 모두가 포함될 수 있다.•상위수준으로 요약된 데이터를 이용한다. 따라서 이러한 분석적절차의 결과는 중요왜곡표시위험의 존재 여부에 대하여 광범위한 초기적 징후를 제공할 수 있다.예시: 사업모델과 프로세스가 덜 복잡하고 정보시스템이 덜 복잡한 기업을 포함하여 많은 기업의 감사에서, 감사인은 잠재적으로 위험이 더 높은 분야의 징후를 입수하기 위하여 중간기간이나 월별 계정잔액의 전기의 잔액으로부터의 변동과 같이 정보의 단순한 비교를 수행할 수 있다.
자동화된 도구와 기법
분석적절차는 자동화될 수 있는 다양한 도구나 기법을 이용하여 수행될 수 있다. 자동화된 분석적절차를 데이터에 적용하는 것은 데이터 분석으로 불린다.예시: 감사인은 스프레드시트를 사용하여 실제 기록된 금액을 예산 금액과 비교하거나, 기업의 정보시스템에서 데이터를 추출하고, 이 데이터를 시각화 기법을 사용하여 추가로 분석하여 추가적인 특정 위험평가절차가 필요할 수 있는 거래유형, 계정잔액 또는 공시를 식별할 수 있다.
관찰과 검사 (문단 14(c) 참조)
위험평가절차로 관찰과 검사를 수행하는 이유
관찰과 검사는 경영진과 관련자에 대한 질문을 뒷받침하거나 확인하거나 반증할 수 있으며 기업과 기업환경에 대한 정보를 제공할 수도 있다.
확장가능성
정책과 절차가 문서화되지 않거나 기업이 덜 공식화된 통제를 가지고 있는 경우, 감사인은 통제의 수행에 대한 관찰 또는 검사를 통하여 중요왜곡표시위험의 식별과 평가를 뒷받침하는 일부 감사증거를 입수할 수 있다.예시: •감사인은 기업에 의해 문서화되어 있지 않더라도 직접 관찰을 통하여 재고실사에 대한 통제를 이해할 수 있다.•감사인은 업무분장을 관찰할 수 있다.•감사인은 입력되는 암호를 관찰할 수 있다.
위험평가절차로서의 관찰과 검사
위험평가절차는 다음에 대한 관찰과 검사를 포함할 수 있다.•기업의 영업•내부문서(사업계획과 사업전략 등), 기록 및 내부통제매뉴얼•경영진이 사용한 보고서(분기경영보고서, 중간재무제표 등)와 지배기구가 작성한 보고서(이사회 회의록 등)•기업의 건물과 대지, 공장설비•무역과 경제 저널, 애널리스트, 은행 또는 신용평가기관의 보고서, 규제기관이나 금융기관의 발간물 또는 기업의 재무성과에 관한 기타 외부보고서와 같이 외부원천으로부터 얻은 정보(문단 A79에서 언급된 바와 같음)•경영진이나 지배기구의 행동과 조치(감사위원회 회의에 대한 관찰 등)
자동화된 도구와 기법
자동화된 도구나 기법은 예를 들어 원격 관찰 도구(예: 드론)를 통하여, 특히 자산을 관찰하거나 검사하기 위해서도 사용될 수 있다.
공공부문에 특유한 고려사항
공공부문 감사인에 의한 위험평가절차는 예를 들어 의무 성과보고서와 같이 경영진이 입법부를 위해 작성한 문서의 관찰과 검사를 포함할 수도 있다.
기타 원천으로부터의 정보(문단 15 참조)
기타 원천으로부터의 정보를 고려하는 이유
기타 원천에서 입수한 정보는 다음에 대한 정보와 통찰을 제공함으로써 중요왜곡표시위험의 식별과 평가와 관련된다.•기업의 성격과 사업위험 및 전기로부터의 변경사항•통제환경에 대한 감사인의 이해에도 관련이 되는 경영진과 지배기구의 성실성과 윤리적 가치•해당 재무보고체계와 기업의 성격과 상황에 대한 적용
기타 관련 원천
기업과의 과거 경험 및 과거 감사로부터의 정보(문단 16 참조)
과거 감사로부터의 정보가 중요한 이유
감사인이 기업에 대한 이전의 경험과 이전 감사에서 수행된 감사절차에서 얻은 정보는 위험평가절차의 성격과 범위의 결정과 중요왜곡표시위험의 식별과 평가에 관련성 있는 정보를 감사인에게 제공할 수 있다.
과거 감사로부터의 정보의 성격
기업에 대한 감사인의 과거 경험과 과거의 감사에서 수행된 감사절차는 감사인에게 다음과 같은 사항에 대한 정보를 제공할 수 있다.•과거의 왜곡표시 및 그 왜곡표시가 적시에 수정되었는지 여부•기업과 기업환경의 성격, 통제의 미비점 등 기업의 내부통제시스템•과거의 보고기간 이후에 기업이나 사업부문이 겪은 유의적인 변화•감사인이 그 복잡성 등으로 인해 필요한 감사절차를 수행하는 데 어려움을 겪은 특수한 형태의 거래와 기타 사건 및 계정잔액(그리고 관련 공시)
감사인이 당기 감사를 위해 기업과의 과거 경험과 과거 감사에서 수행된 감사절차에서 입수된 정보를 이용하려는 경우, 감사인은 그 정보가 여전히 관련성이 있는지 결정하도록 요구된다. 기업의 성격과 상황이 변하거나 새로운 정보를 입수한 경우, 과거 보고기간에서 입수된 정보는 당기 감사에 있어 더 이상 관련성이나 신뢰성이 없을 수 있다. 감사인은 이러한 정보의 관련성과 신뢰성에 영향을 미치는 변화가 발생하였는지 여부를 결정하기 위하여, 질문을 하거나 관련 시스템의 추적조사와 같은 적합한 감사절차를 수행할 수 있다. 정보가 신뢰할 수 없다면 감사인은 해당 상황에 적합한 추가적인 절차를 수행할 것을 고려할 수 있다.
업무팀 토의 (문단 17-18 참조)
업무팀이 해당 재무보고체계의 적용과 기업 재무제표의 왜곡표시 가능성을 토의하여야 하는 이유
해당 재무보고체계의 적용과 기업의 재무제표가 중요하게 왜곡표시될 가능성에 대한 업무팀 내의 토의는 다음과 같은 기능을 한다.•업무수행이사 등 경험이 많은 업무팀원들이 기업에 대한 지식에 기초하여 가지고 있는 통찰을 서로 공유하는 기회를 제공한다. 정보의 공유는 모든 업무팀원들의 이해를 높이는 데 기여한다.•업무팀원들이 기업에 영향을 미치는 사업위험, 고유위험요소가 거래유형, 계정잔액 및 공시의 왜곡표시 가능성에 어떻게 영향을 주는지, 그리고 재무제표의 어느 부분이 어떻게 부정과 오류로 인한 왜곡표시위험에 취약한지에 대하여 정보를 교환할 수 있게 함•업무팀원들이 자신에게 배정된 특정 분야에서 중요한 왜곡표시가 발생할 가능성을 더 잘 이해하게 하고, 업무팀원들이 수행하는 감사절차의 결과가 추가감사절차의 성격, 시기 및 범위의 결정 등 감사절차의 다른 측면에 어떻게 영향을 미칠 수 있는지 이해하게 함. 특히 토의는 업무팀원들이 기업의 성격과 상황에 대한 각자의 이해를 바탕으로 상반된 정보를 추가적으로 고려하는 데 도움을 준다.•업무팀원들이 중요왜곡표시위험의 평가 또는 이러한 위험에 대처하기 위해 수행되는 감사절차에 영향을 미칠 수 있는 새로운 정보를 감사의 전 과정에 걸쳐 입수하는 경우, 이를 공유하고 커뮤니케이션할 수 있는 기초를 제공함감사기준서 240은 업무팀 토의가 부정이 어떻게 발생하는지, 재무제표의 어느 부분이 부정으로 의한 왜곡표시위험에 어떻게 취약한지에 대하여 특히 강조하도록 요구하고 있다.25)
전문가적 의구심은 감사증거에 대한 비판적 평가에 필요하며, 계속감사의 경우를 포함하여 철저하고 열린 업무팀 토의는 중요왜곡표시위험의 식별 및 평가를 개선시킬 수 있다. 토의의 또다른 결과로 감사인은 전문가적 의구심의 행사가 특히 중요한 감사상 특수한 분야를 식별할 수 있고 이러한 분야에 대한 감사절차의 수행에 따르는 적절한 기술을 가진 숙련된 업무팀원을 참여하게 할 수 있다.
확장가능성
그룹재무제표 감사의 경우와 같이 업무가 대규모 업무팀에 의해 수행되는 경우, 모든 업무팀원들이 단일 토의에 참여하는 것이 항상 필요하거나 현실적인 것은 아니며(예를 들어 여러 장소에서 수행되는 감사의 경우), 토의에서 내려진 모든 결정을 모든 업무팀원들에게 알릴 필요가 있는 것도 아니다. 업무수행이사는 주요 업무팀원(적합하다고 생각되는 경우, 특정한 기술 또는 지식을 가진 사람 및 부문감사의 책임자를 포함)과 토의할 수도 있으며, 업무팀 전체에 걸친 커뮤니케이션의 필요 범위를 고려하여 다른 팀원들에게 토의를 위임할 수도 있다. 이 경우 업무수행이사가 승인한 커뮤니케이션 계획이 유용할 것이다.
해당 재무보고체계의 공시에 대한 토의
업무팀 내 토의의 일환으로, 해당 재무보고체계의 공시 요구사항을 고려하는 것은, 해당 재무보고체계에서 간소화된 공시만 요구하는 상황에서도, 공시에 관련하여 있을 수 있는 중요왜곡표시위험을 감사 과정에서 조기에 식별하는 데 도움을 줄 수 있다. 업무팀이 토의할 사항의 예는 다음과 같다.•새로운 또는 개정된 유의적인 공시로 이어질 수 있는 재무보고 요구사항의 변경•예를 들어 감사대상 기간 중 발생한 유의적인 사업결합과 같은 새로운 또는 개정된 유의적인 공시로 이어질 수 있는 기업의 환경, 재무 상황이나 활동의 변경•과거에 충분하고 적합한 감사증거의 입수가 어려웠던 공시•공시할 정보에 대한 유의적인 경영진의 판단이 수반되는 공시 등 복잡한 사항에 대한 공시
공공부문에 특유한 고려사항
공공부문 감사인은 업무팀 내 토의의 일환으로, 공공부문에 대한 법정 또는 의무감사에서 발생하는 추가적인 광범위한 목적과 관련 위험에 대한 고려가 있을 수 있다.
기업과 기업환경, 해당 재무보고체계 및 기업의 내부통제시스템에 대한 이해 (문단 19-27 참조)
요구되는 이해 (문단 19-27 참조)
기업과 기업환경, 해당 재무보고체계 및 기업의 내부통제시스템에 대한 이해는 정보를 수집, 갱신 및 분석하는 동적이고 반복적인 절차이며 감사 전반에 걸쳐 계속된다. 따라서 감사인의 기대는 새로운 정보가 입수되면서 변경될 수 있다.
기업과 기업환경 및 해당 재무보고체계에 대한 이해는 감사인이 유의적일 수 있는 거래유형, 계정잔액 및 공시에 대한 최초의 기대를 개발하는 데 도움을 준다. 이러한 예상되는 유의적인 거래유형, 계정잔액 및 공시는 기업의 정보시스템에 대한 감사인의 이해의 범위의 근거를 형성한다.
기업과 기업환경 및 해당 재무보고체계의 이해가 요구되는 이유 (문단 19-20 참조)
기업과 기업환경 및 해당 재무보고체계에 대한 감사인의 이해는 감사인이 기업에 관련된 사건과 상황을 이해하고 해당 재무보고체계에 따라 재무제표를 작성하는 데 있어 경영진주장의 왜곡표시 가능성에 고유위험요소가 어떻게 그리고 어느 정도 영향을 주는지를 식별하는 데 도움을 준다. 그러한 정보는 감사인이 중요왜곡표시위험을 식별하고 평가하는 준거체계를 설정한다. 이러한 준거체계는 또한 감사인이 감사를 계획하고 감사 전반에 걸쳐 전문가적 판단과 전문가적 의구심을 행사하는 데 도움을 준다. 그러한 상황의 예는 다음과 같다.•감사기준서 315 또는 기타 관련 기준서(예: 감사기준서 240에 따른 부정위험, 또는 감사기준서 540에 따른 회계추정치에 관한 위험을 식별하거나 평가할 때)에 따른 재무제표의 중요왜곡표시위험을 식별하고 평가할 때•감사기준서 250에 따라 재무제표에 중요한 영향이 있을 수 있는 법규 미준수사항을 식별하는 데 도움이 되는 절차를 수행할 때26)•감사기준서 700에 따라 재무제표가 충분한 공시를 제공하는지 여부를 평가할 때27)•감사기준서 320에 따라 중요성 또는 수행중요성을 결정할 때28)•회계정책의 선택과 적용의 적합성과 재무제표 공시의 충분성을 고려할 때
확장가능성
요구되는 이해의 성격과 범위는 감사인의 전문가적 판단사항이며 다음과 같은 기업의 성격과 상황에 기초하여 기업에 따라 다양하다.•IT 환경을 포함한 기업의 규모와 복잡성•기업에 대한 감사인의 이전 경험•공식화되었는지 여부를 포함한 기업의 시스템과 프로세스의 성격•기업의 문서화의 성격과 형태
요구되는 이해를 하기 위한 감사인의 위험평가절차는 덜 복잡한 기업의 감사에서는 덜 광범위하고 더 복잡한 기업의 감사에서는 더 광범위할 수 있다. 감사인에게 요구되는 이해의 깊이는 기업을 경영하는 경영진이 보유한 이해보다 더 깊지는 않을 것으로 기대된다.
일부 재무보고체계는 소규모기업에게 단순하거나 덜 자세한 재무제표의 공시를 제공하는 것을 허용한다. 그러나 이것이 기업과 기업환경 및 기업에 적용되는 해당 재무보고체계를 이해할 감사인의 책임을 경감하는 것은 아니다.
기업의 IT 사용과 IT 환경 변화의 성격과 범위는 또한 요구되는 이해에 도움을 주는 전문적인 기술의 필요성에 영향을 미칠 수 있다.
기업과 기업환경 (문단 19(a) 참조)
기업의 조직구조, 소유권과 지배구조 및 사업모델 (문단 19(a)(i)참조)
기업의 조직구조와 소유권
기업의 조직구조와 소유권에 대한 이해는 감사인이 다음과 같은 사항들을 이해할 수 있게 한다.•기업 구조의 복잡성예시: 기업은 단일의 기업일 수도 있고, 여러 지역에 종속기업, 지점 또는 기타 부문을 포함하는 구조일 수도 있다. 또한 법적 구조가 영업구조와 다를 수 있다. 복잡한 구조는 많은 경우에 중요왜곡표시위험의 가능성을 증가시키는 요소를 발생시키기도 한다. 이러한 문제에는 영업권, 조인트벤처, 투자 또는 특수목적기업에 대한 회계처리가 적절히 이루어졌는지 여부와 그러한 문제들에 대한 공시가 재무제표에 충분히 이루어졌는지 여부를 포함한다.•소유권과, 소유주와 특수관계자를 포함한 다른 사람 또는 다른 기업과의 관계. 이에 대한 이해는 특수관계자와의 거래가 적합하게 식별되고 회계처리 되었으며 재무제표에 적절하게 공시되었는지를 결정하는 데 도움을 준다.30)•소유주, 지배기구 및 경영진 간의 구분예시:덜 복잡한 기업에서는 기업의 소유주가 기업 경영에 관여할 수 있으며 따라서 소유주와 경영진의 구분이 거의 없거나 아예 없다. 반대로 일부 상장기업의 경우와 같이 경영진과 기업의 소유주 그리고 지배기구 간에 명확한 구분이 있을 수 있다.31)•기업의 IT 환경의 구조와 복잡성예시:•기업은 다양한 사업에서 잘 통합되지 않은 복수의 구형(legacy) IT 시스템을 갖고 있을 수 있으며 이는 복잡한 IT 환경이 된다.•기업은 기업의 IT 환경의 일부 측면에 내부 혹은 외부의 서비스 제공자를 이용하고 있을 수 있다. (예: 제3자에게 IT환경의 호스팅을 아웃소싱 하거나 그룹의 IT 프로세스의 중앙 관리를 위해 공유 서비스센터를 이용함)
자동화된 도구와 기법
감사인은 정보시스템을 이해하는 감사인의 절차의 일환으로 거래의 흐름과 처리를 이해하기 위하여 자동화된 도구와 기법을 사용할 수 있다. 이러한 절차의 결과 감사인은 기업의 조직구조 또는 기업이 사업을 수행하는 당사자들(예: 판매인, 고객, 특수관계자)에 대한 정보를 입수할 수 있다.
공공부문에 특유한 고려사항
공공부문에서는 실체와 관련된 의사결정이 정치적 절차의 결과로 실체 외부에서 이루어질 수 있기 때문에 공공부문 실체의 소유권은 민간부문과 동일한 관련성을 갖지 않을 수 있다. 따라서 경영진이 특정 결정에 대한 통제권을 가지지 못할 수 있다. 관련될 수 있는 사항들은 실체가 단독으로 결정을 내릴 수 있는 능력에 대한 이해와 다른 공공부문 실체가 해당 실체의 의무적이고 전략적인 방향을 통제하거나 영향을 미칠 수 있는 능력에 이해를 포함한다.예시: 공공부문 실체는 법률이나 당국의 기타 지침에 따라 전략과 목표를 실행하기 전에 전략과 목표에 대해 외부 당사자의 승인을 받아야 할 수 있다. 따라서 기업의 법적 구조를 이해하는 것과 관련된 문제에는 해당 법규, 실체의 분류(즉, 실체가 정부부처, 기관 또는 그 밖의 유형의 실체인지)가 포함될 수 있다.
지배구조
감사인이 지배구조를 이해하는 이유
기업의 지배구조에 대한 이해는 감사인이 내부통제시스템에 대한 적절한 감시를 하는 기업의 능력을 이해하는 데 도움을 준다. 그러나 이러한 이해는 또한 미비점의 증거를 제공할 수 있으며 중요왜곡표시위험에 대한 기업의 재무제표의 취약성이 증가함을 나타낼 수 있다.
기업의 지배구조의 이해
기업의 지배구조에 대한 이해를 할 때 감사인이 고려할 수 있는 관련 사항은 다음과 같다.•지배기구의 일부 혹은 모두가 기업의 경영에 관여하는지 여부•비집행임원이사회의 존재와, 존재하는 경우, 집행임원과의 구분•지배기구가 이사와 같은 기업의 법적 구조에 필수적인 직책을 맡고 있는지 여부•감사위원회와 같은 지배기구의 하위그룹의 존재와 그러한 그룹의 책임•재무제표의 승인을 포함한 재무보고의 감시에 대한 지배기구의 책임
기업의 사업모델
기업의 사업모델을 이해하는 이유
기업의 목적, 전략 및 사업모델에 대한 이해는 감사인이 기업을 전략적 수준에서 이해하고 기업이 감수하고 직면하는 사업위험을 이해하는 데 도움을 준다. 재무제표에 영향을 미치는 사업위험을 이해하는 것은, 대부분의 사업위험이 결국에는 재무적 결과를 가지며 따라서 재무제표에 영향을 주기 때문에, 감사인이 중요왜곡표시위험을 식별하는 데 도움을 준다.예시: 기업의 사업모델은 다양한 방식으로 IT의 사용에 의존할 수 있다.•기업은 물리적 매장에서 신발을 판매하며 신발의 매출을 기록하는 데 최신 재고 및 POS 시스템을 사용한다.•기업은 온라인으로 신발을 판매하며 거래가 웹사이트를 통해 개시되는 등 모든 판매 거래가 IT 환경에서 처리된다.두 기업 모두 신발을 판매하고 있지만 유의적으로 다른 사업모델에서 발생하는 사업위험은 실질적으로 다를 것이다.
기업의 사업모델에 대한 이해
사업모델의 모든 측면들이 감사인의 이해에 관련되는 것은 아니다. 사업위험은 재무제표의 중요왜곡표시위험을 포함하고 있지만 사업위험이 보다 광범위하다. 모든 사업위험이 중요왜곡표시위험을 초래하는 것은 아니기 때문에 감사인이 모든 사업위험을 식별하고 평가할 책임은 없다.
중요왜곡표시위험의 가능성을 증가시키는 사업위험을 초래하는 사항들은 다음과 같다.•부적절한 목적이나 전략, 비효과적인 전략의 실행, 변경 또는 복잡성•변화의 필요성을 인식하지 못하면 다음의 예와 같은 사업위험을 초래할 수 있다.°실패할 가능성이 있는 신제품이나 새로운 서비스의 개발°성공적인 개발에도 불구하고 제품과 서비스를 뒷받침하기에 부적절한 시장°배상책임 또는 평판위험을 초래할 수 있는 제품 및 서비스상의 결함•경영진에 대한 동기와 압력. 이는 의도적이거나 의도적이지 않은 경영진 편의로 이어질 수 있으며 따라서 경영진이나 지배기구의 유의적인 가정과 기대의 합리성에 영향을 준다.
감사인이 기업의 목적과 전략 그리고 재무제표의 중요왜곡표시위험을 초래할 수 있는 관련 사업위험을 이해하는 데 고려할 사항은 예를 들어 다음과 같다.•산업 발전. 예를 들어 기업에 산업의 변화에 대처할 수 있는 인력이나 전문가의 부족•제조물 책임의 증가로 이어질 수 있는 신제품과 새로운 서비스•사업의 확장과 정확하지 못한 수요예측•불완전하거나 부적절하게 실행된 새로운 회계처리 요구사항•법적 노출을 증가시키는 규제 요구사항•현재와 미래의 재무적 요구사항. 예를 들어 기업이 요건을 충족하지 못하여 자금조달을 상실함•운영과 재무보고 모두에 영향을 미칠 새로운 IT 시스템의 실행과 같은 IT의 사용•전략의 실행에 따른 영향, 특히 새로운 회계처리 요구사항으로 이어지게 될 영향
일반적으로, 경영진은 사업위험을 식별하고 이에 대응하기 위한 방법을 개발한다. 이 같은 위험평가절차는 기업의 내부통제시스템의 일부이며 문단 22와 문단 A109-A113에서 논의된다.
공공부문에 특유한 고려사항
공공부문에서 운영되는 실체는 소유주를 위해 부를 창출하는 기업과 다른 방식으로 가치를 창출하고 전달할 수 있지만 여전히 특정한 목적의 ‘사업모델’을 가진다. 공공부문 감사인이 실체의 사업모델과 관련하여 이해할 수 있는 사항들의 예는 다음과 같다.•관련 프로그램을 포함한 관련 정부활동에 대한 지식•공공 정책 요소를 포함한 프로그램의 목적과 전략
공공부문 감사의 경우, “경영진의 목적”은 공적 책임을 입증하도록 하는 요구사항에 영향을 받을 수 있으며, 법규 또는 기타 근거에서 나온 목적들을 포함할 수 있다.
산업적 요인, 규제적 요인 및 기타 외부적 요인 (문단 19(a)(ii) 참조)
산업적 요인
기업의 관련 산업적 요인에는 경쟁 환경, 공급자와 소비자와의 관계, 기술개발과 같은 산업상황이 포함된다. 감사인이 고려할 사항들은 예를 들어 다음과 같다.•수요, 생산능력 및 가격 경쟁 등 시장과 경쟁상황•순환적 또는 계절적 활동•기업의 제품과 관련된 기술•에너지의 수급과 원가
규제적 요인
관련 규제적 요인에는 규제환경이 포함된다. 규제환경은 특히 해당 재무보고체계 그리고 법적, 정치적 환경과 그 변화를 포괄한다. 감사인이 고려할 사항은 예를 들어 다음과 같다.•규제산업에서의 규제 체계. 예를 들면 건전성 요건(관련 공시 포함)•기업경영에 유의적인 영향을 미치는 법규. 예를 들면 노동법규•세법 및 조세 규정•기업경영에 현재 영향을 미치는 정부 정책. 예를 들면 외환규제 등 통화정책, 재정정책, 재무적 인센티브(예: 정부보조금 제도)와 관세 또는 무역규제 정책•해당 산업과 기업의 경영에 영향을 미치는 환경 관련 요구사항
공공부문에 특유한 고려사항
공공부문의 감사에 있어서는 해당 실체의 운영에 영향을 미치는 특정 법규가 있을 수 있다. 이러한 요소들은 기업과 기업환경을 이해할 때 본질적으로 고려할 사항일 수 있다.
기타 외부적 요인
기업에 영향을 미치는 기타 외부적 요인으로서 감사인이 고려할 사항은, 예를 들어 일반적인 경제여건, 이자율과 자금조달 가능성, 인플레이션 또는 통화재평가가 있다.
경영진이 기업의 재무성과를 평가하는 데 사용하는 측정치 (문단 19(a)(iii) 참조)
감사인이 경영진이 사용하는 측정치를 이해하는 이유
기업의 측정치에 대한 이해는 감사인이 그러한 측정치가 내부에서 사용되는지 외부에서 사용되는지 관계없이 기업에 성과 목표를 달성하도록 하는 압력을 가하는지 여부를 고려하는 데 있어 도움을 준다. 이러한 압력은 경영진이 경영진 편의 또는 부정으로 인한 왜곡표시 가능성을 증가시키는 행동을 취할 동기를 제공할 수 있다(예: 사업성과를 개선시키거나 재무제표를 의도적으로 왜곡시킴) (부정위험과 관련된 요구사항과 지침은 감사기준서 240을 참고)
측정치는 감사인에게 또한 재무제표 정보에 관한 중요왜곡표시위험의 가능성을 나타낼 수 있다. 예를 들어 성과측정치가 기업이 동종산업의 다른 기업과 비교했을 때 비경상적으로 빠르게 성장하거나 수익성이 높음을 나타낼 수 있다.
경영진이 사용하는 측정치
경영진과 기타 관련자들은 일반적으로 그들이 중요하다고 여기는 사항을 측정하고 검토할 것이다. 경영진에 대한 질문은 경영진이 재무성과를 평가하고 조치를 취하기 위해 공개적으로 이용 가능한지 여부와 관계없이 특정 핵심지표에 의존한다는 것을 드러낼 수 있다. 이 경우 감사인은 기업이 사업을 경영하기 위하여 사용하는 정보를 고려하여 내부적이든 외부적이든 관련 성과 측정치를 식별할 수 있다. 이러한 질문이 성과 측정이나 검토의 부재를 나타내는 경우, 왜곡표시가 발견되고 수정되지 않을 위험이 증가할 수 있다.
재무성과를 평가하는 데 사용되는 핵심 지표의 예는 다음과 같다.•주요 성과지표(재무적, 비재무적)와 주요 비율, 추세, 운영상의 통계•기간별 재무성과분석•예산, 예측, 차이분석, 부문정보, 사업부나 부서 또는 기타 수준의 성과보고서•종업원 성과측정 및 성과보상정책•경쟁기업과의 성과 비교
확장가능성
기업의 측정치를 이해하기 위하여 수행한 절차는 기업의 규모와 복잡성 및 기업의 경영에 대한 소유주나 지배기구의 관여에 따라 다양할 수 있다.예시: •일부 덜 복잡한 기업의 경우, 기업의 은행차입금의 조건(즉 은행 약정)이 기업의 성과나 재무상태(예: 최대 운전자본)와 관련된 특정 성과측정치에 연계되어 있을 수 있다. 은행에 의해 사용되는 성과측정치에 대한 감사인의 이해는 중요왜곡표시위험의 가능성이 증가하는 분야를 식별하는 데 도움을 줄 수 있다.•보험업이나 은행업을 영위하는 기업과 같이 성격과 상황이 좀 더 복잡한 일부 기업의 경우, 성과와 재무상태는 규제 요구사항(예: 자기자본비율과 유동비율 기준과 같은 비율 규제 요건)에 대비하여 측정될 수 있다. 이러한 성과측정치에 대한 감사인의 이해는 중요왜곡표시위험의 가능성이 증가하는 분야를 식별하는 데 도움을 줄 수 있다.
기타 고려사항
특히 재무정보가 공개적으로 이용 가능한 기업에 대해서, 외부인이 기업의 재무성과를 측정하고 검토할 경우도 있다. 감사인도 사업을 추가적으로 이해하거나 상반되는 정보를 식별하는 데 도움이 되는 공개적으로 이용 가능한 정보를 고려할 수 있다. 그러한 정보의 출처의 예는 다음과 같다.•애널리스트 또는 신용평가기관•소셜 미디어를 포함한 뉴스나 기타 매체•세무당국•규제기관•노동조합•자금제공자그러한 재무 정보는 많은 경우에 감사대상 기업으로부터 입수될 수 있다.
재무성과의 측정과 검토는 내부통제시스템의 모니터링 (문단 A114-A122에서 내부통제시스템의 구성요소로서 논의됨)과 그 목적이 다음과 같이 중복될 수 있지만 동일하지 않다.•성과의 측정과 검토는 사업성과가 경영진(또는 제3자)이 설정한 목표를 충족하는지 여부를 대상으로 함•대조적으로 내부통제시스템의 모니터링은 경영진의 재무성과 측정 및 평가와 관련된 통제를 포함하여 통제의 효과성에 대한 모니터링에 관심을 둠그러나 성과지표는 경우에 따라 경영진이 통제의 미비점을 식별할 수 있는 정보도 제공한다.
공공부문에 특유한 고려사항
공공부문 실체의 감사인은, 공공부문 실체에서 실체의 재무성과를 평가하기 위해 사용하는 관련 측정치를 고려하는 것에 추가하여, 공공혜택 성과의 달성과 같은 비재무적 정보 또한 고려할 수 있다(예를 들어, 특정 프로그램으로 도움을 받은 사람의 수).
해당 재무보고체계 (문단 19(b) 참조)
해당 재무보고체계와 기업의 회계정책의 이해
기업의 해당 재무보고체계와 이를 기업과 기업환경의 성격과 상황의 관점에서 어떻게 적용하는지를 이해할 때 감사인이 고려할 사항에는 다음과 같은 사항이 포함된다.•해당 재무보고체계 관점에서 기업의 재무보고 실무. 예를 들면 다음과 같은 사항°회계원칙과 산업 특유의 실무. 산업 특유의 유의적인 거래유형, 계정잔액 및 재무제표의 관련 공시(예를 들어, 은행의 대출채권과 투자자산 또는 제약회사의 연구개발비) 포함°수익인식°신용손실을 포함한 금융상품에 대한 회계처리°외화자산, 외화부채 및 외환거래°비경상적이거나 복잡한 거래에 대한 회계처리. 논란이 있거나 새로 대두된 분야(예: 가상화폐에 대한 회계처리) 포함•기업의 회계정책의 선택과 적용(회계정책의 변경과 그 이유 포함)에 대한 이해는 다음과 같은 사항을 포함할 수 있다.°기업이 유의적이고 비경상적인 거래를 인식, 측정, 표시 및 공시하는 방법°논란이 있거나 새로 대두되는 분야에서 권위있는 지침이나 합의가 없는 경우, 유의적인 회계정책의 영향°해당 재무보고체계의 변경이나 세제개편과 같이 기업의 회계정책의 변경을 필요로 하는 환경의 변화°해당 기업에 새로 적용되는 재무보고기준 및 법규, 그리고 기업이 해당 요구사항을 언제 어떻게 채택할 것인지에 관한 사항
기업과 기업환경에 대해 이해하는 것은 감사인이 기업의 재무보고의 변경이 예상되는 부분을 이해하는 데 도움을 준다(예: 전기로부터의 변경).예시: 기업이 기중 유의적인 사업결합을 하였다면 감사인은 사업결합과 관련된 거래유형, 계정잔액 및 공시의 변경을 예상할 것이다. 대신에 기중 유의적인 재무보고체계의 변경이 없었다면, 감사인의 이해는 전기에 한 이해가 여전히 적용 가능하다는 것을 확인하는 데 도움을 줄 수 있다.
공공부문에 특유한 고려사항
공공부문의 해당 재무보고체계는 각 국가나 각 지리적 영역에 관련된 법규체계에 따라 결정된다. 실체의 해당 재무보고체계 요구사항 적용과 기업과 기업환경의 성격과 상황의 관점에서 이를 어떻게 적용하는지와 관련하여 고려될 수 있는 사항에는 실체가 발생기준 회계를 적용하는지 국제공공부문회계기준에 따른 현금기준 회계를 적용하는지 혹은 이를 혼합하여 적용하는지 여부를 포함한다.
고유위험요소가 경영진주장의 왜곡표시 가능성에 영향을 미치는 방법 (문단 19(c) 참조)
기업과 기업환경 및 해당 재무보고체계를 이해할 때 감사인이 고유위험요소를 이해하는 이유
기업과 기업환경 및 해당 재무보고체계를 이해하는 것은 감사인이 거래유형, 계정잔액 또는 공시에 대한 경영진주장의 왜곡표시 가능성에 영향을 줄 수 있는 사건이나 상황, 특성을 식별하는데 도움을 준다. 이러한 특성은 고유위험요소이다. 고유위험요소는 왜곡표시의 발생가능성이나 발생 시의 규모에 영향을 줌으로써 경영진주장의 왜곡표시 가능성에 영향을 줄 수 있다. 고유위험요소가 경영진주장의 왜곡표시 가능성에 어떻게 영향을 미치는지를 이해하는 것은 감사인이 왜곡표시의 가능성이나 규모에 대한 예비적 이해를 하는 데 도움을 줄 수 있으며, 이는 감사인이 문단 28(b)에 따라 경영진주장 수준의 중요왜곡표시위험을 식별하는 데 도움을 준다. 고유위험요소가 경영진주장의 왜곡표시 가능성에 영향을 미치는 정도를 이해하는 것은 또한 감사인이 문단 31(a)에 따라 고유위험을 평가할 때 왜곡표시의 가능성과 규모를 평가하는 데 도움을 준다. 따라서 고유위험요소를 이해하는 것은 또한 감사인이 감사기준서 330에 따라 추가감사절차를 설계하고 수행하는 데 도움을 줄 수 있다.
감사인의 경영진주장 수준의 중요왜곡표시위험의 식별과 고유위험의 평가는 또한 감사인이 다른 위험평가절차나 추가감사절차를 수행하거나 감사기준의 기타 요구사항을 충족시키면서 입수한 감사증거의 영향을 받을 수 있다.
거래유형, 계정잔액 또는 공시에 대한 고유위험요소의 영향
복잡성이나 주관성으로 인한 거래유형, 계정잔액 또는 공시의 왜곡표시의 가능성의 정도는 많은 경우에 변화 또는 불확실성에 노출된 정도와 밀접하게 연관된다.예시: 기업의 선택에 유의적인 판단이 따르는 가정에 근거한 회계추정치가 있다면, 회계추정치의 측정은 주관성과 불확실성 모두의 영향을 받을 것이다.
거래유형, 계정잔액 또는 공시가 복잡성 또는 주관성 때문에 왜곡표시될 가능성의 정도가 커질수록 감사인이 전문가적 의구심을 적용할 필요성이 더 커진다. 또한, 거래유형, 계정잔액 또는 공시가 복잡성, 주관성, 변화 또는 불확실성 때문에 왜곡표시될 가능성이 있을 때 이러한 고유위험요소는 의도적인지 의도적이지 않은지 관계없이 경영진 편의의 기회를 유발할 수 있고 경영진 편의로 인한 왜곡표시 가능성에 영향을 준다. 경영진주장 수준의 왜곡표시위험의 식별과 고유위험의 평가는 또한 고유위험요소 간의 상호관계에 영향을 받는다.
기업의 내부통제시스템의 이해 (문단 21-27 참조)
이 감사기준서의 목적상 기업의 내부통제시스템의 구성요소가 반드시 기업이 내부통제시스템을 설계, 실행하고 유지하는 방법이나 특정 구성요소를 분류하는 방법을 반영하는 것은 아닐 수 있다. 기업은 내부통제시스템의 다양한 측면을 설명하는 다른 용어나 체계를 사용할 수 있다. 감사목적상 이 감사기준서에서 기술하는 모든 구성요소가 다루어진다면 감사인도 다른 용어나 체계를 사용할 수 있다.
확장가능성
기업의 내부통제시스템이 설계, 실행 및 유지되는 방식은 기업의 규모와 복잡성에 따라 다양하다. 예를 들어, 덜 복잡한 기업은 기업의 목적을 달성하기 위하여 덜 조직적이거나 단순한 통제(즉 정책과 절차)를 이용할 수 있다.
공공부문에 특유한 고려사항
공공부문 감사인은 많은 경우에, 예를 들어 확립된 실천강령의 준수에 대한 보고나 예산 대비 지출에 대한 보고와 같은, 내부통제에 관한 추가적인 책임이 있을 수 있다. 또한 공공부문 실체의 감사인은 법규나 기타 지침의 준수에 대한 보고 책임이 있을 수 있다. 그 결과 내부통제시스템에 대한 고려사항이 더 광범위하고 세부적일 수 있다.
기업의 내부통제시스템 구성요소의 IT
감사의 전반적인 목적과 범위는 기업이 주로 수작업 환경에서 운영되는지, 완전히 자동화된 환경에서 운영되는지, 혹은 수작업 요소와 자동화 요소 (즉 수작업 통제와 자동화된 통제 및 기업의 내부통제시스템에서 사용되는 다른 자원)가 혼합된 환경에서 운영되는지에 따라 달라지지 않는다.
기업의 내부통제시스템 구성요소의 성격에 대한 이해
통제의 설계효과성과 통제가 실행되었는지 여부를 평가할 때 (문단 A175-A181 참고) 기업의 내부통제시스템의 각 구성요소에 대한 감사인의 이해는 기업이 사업위험을 어떻게 식별하고 대응하는지에 대한 예비적인 이해를 제공한다. 이는 또한 다양한 방식으로 감사인의 중요왜곡표시위험의 식별과 평가에 영향을 줄 수 있다(문단 A86 참고). 이는 감사인이 통제의 운영효과성을 테스트할지에 대한 계획을 포함한 추가감사절차를 설계하고 수행하는 데 도움을 준다. 그 예를 들면 다음과 같다.•기업의 통제환경, 기업의 위험평가절차 및 내부통제시스템에 대한 기업의 모니터링 절차에 대한 감사인의 이해는 재무제표 수준의 중요왜곡표시위험의 식별과 평가에 좀 더 영향을 줄 것이다.•기업의 정보시스템 및 커뮤니케이션과 기업의 통제활동 구성요소에 대한 감사인의 이해는 경영진주장 수준의 중요왜곡표시위험의 식별과 평가에 좀 더 영향을 줄 것이다.
통제환경, 기업의 위험평가절차 및 내부통제시스템에 대한 기업의 모니터링 절차 (문단 21-24 참조)
통제환경의 통제, 기업의 위험평가절차 및 내부통제시스템에 대한 기업의 모니터링 절차는 주요 간접통제(즉, 경영진주장 수준의 왜곡표시를 예방하거나 발견하고 수정하기에 충분히 정밀하지 않지만 다른 통제를 뒷받침하며 따라서 왜곡표시가 적시에 발견 또는 예방될 가능성에 간접적인 영향을 주는 통제)이다. 그러나 이러한 구성요소 내의 일부 통제는 직접통제일 수도 있다.
감사인이 통제환경, 기업의 위험평가절차 및 내부통제시스템에 대한 기업의 모니터링 절차를 이해하도록 요구되는 이유
통제환경은 내부통제시스템의 다른 구성요소의 운영을 위한 전반적인 기초를 제공한다. 통제환경은 직접적으로 왜곡표시를 예방하거나 발견하고 수정하지 않는다. 그러나 통제환경은 내부통제시스템의 다른 구성요소의 통제의 효과성에 영향을 미친다. 비슷하게 기업의 위험평가절차와 내부통제시스템에 대한 모니터링 절차는 기업의 내부통제시스템을 뒷받침하는 방식으로 운영되도록 설계된다.
통제환경의 이해 (문단 21 참조)
확장가능성
덜 복잡한 기업에서 통제환경의 성격은 복잡한 기업에서의 통제환경과는 다를 것이다. 예를 들어, 덜 복잡한 기업의 지배기구에는 독립적인 구성원이나 외부의 구성원이 포함되지 않을 수 있으며 소유경영자 외 다른 소유자가 없는 경우 지배기구의 역할은 소유경영자가 직접적으로 수행할 수 있다. 따라서 기업의 통제환경에 대한 일부 고려사항은 관련성이 낮거나 적용 가능하지 않을 수 있다.
또한, 특히 경영진과 기타 인원들 간의 커뮤니케이션이 비공식적인 경우 덜 복잡한 기업의 통제환경 요소에 대한 감사증거는 문서화된 형태로 존재하지 않을 수 있지만, 그러한 증거도 해당 상황에 있어 여전히 적절히 관련성이 있으며 신뢰할 수 있을 수 있다.예시: •덜 복잡한 기업의 조직구조는 단순하며 소수의 종업원이 재무보고와 관련된 역할을 할 수 있다.•지배기구 역할이 소유경영자에 의해 직접적으로 수행된다면 감사인은 지배기구의 독립성은 관련성이 없다고 결정할 수 있다.•덜 복잡한 기업은 문서화된 행동규범을 가지고 있지 않을 수 있으나 대신 구두로 전달하거나 경영진이 모범을 보임으로써 성실성과 윤리적 행동의 중요성을 강조하는 문화를 조성할 수 있다. 결과적으로, 덜 복잡한 기업의 통제환경에 대한 감사인의 이해에 있어 경영진이나 소유경영자의 태도, 인식 및 행동은 특히 중요하다.
통제환경의 이해 (문단 21(a) 참조)
통제환경에 대한 감사인의 이해에 대한 감사증거는 질문과 다른 위험평가절차의 조합을 통하여 입수할 수 있다(예: 관찰이나 문서 검사를 통해 질문을 확인).
경영진이 정직성과 윤리적 가치에 대한 의지를 나타내는 정도를 고려할 때, 감사인은 경영진과 종업원에 대한 질문과 외부원천으로부터의 정보를 고려하여 다음과 같은 사항을 이해할 수 있다.•경영진이 사업 관행과 윤리적 행동에 대한 견해를 종업원에게 커뮤니케이션하는 방법•경영진의 문서화된 행동강령을 검사하고 경영진이 이러한 행동강령을 뒷받침하는 방식으로 행동하는지 여부를 관찰함
통제환경의 평가 (문단 21(b) 참조)
기업이 정직성과 윤리적 가치에 대한 기업의 의지와 일치하는 행동을 어떻게 보여주는지, 통제환경이 기업의 내부통제시스템의 다른 구성요소에 적절한 기반을 제공하는지, 그리고 식별된 통제미비점이 내부통제시스템의 다른 구성요소를 훼손하는지에 대한 감사인의 평가는, 감사인이 내부통제시스템의 다른 구성요소에서 잠재적인 이슈를 식별하는 데 도움을 준다. 이는 통제환경이 기업의 내부통제시스템의 다른 구성요소들의 기초가 되기 때문이다. 이 평가는 또한 감사인이 기업이 직면한 위험을 이해하고 재무제표 및 경영진주장 수준의 중요왜곡표시위험을 식별하고 평가하는 데 도움이 될 수 있다. (문단 A86 참고).
통제환경에 대한 감사인의 평가는 문단 21(a)에 따른 이해에 기초한다.
일부 기업은 많은 재량권을 행사할 수 있는 한 개인에 의하여 지배될 수 있다. 그러한 개인의 행동과 태도는 기업의 문화에 전반적인 영향을 미칠 수 있으며 이는 다시 통제환경에 전반적인 영향을 미칠 수 있다. 이러한 효과는 긍정적일 수도 있고 부정적일 수도 있다.예시: 한 개인의 직접적인 관여는 기업이 성장 및 기타 목표를 달성하도록 하는 데 핵심적일 수 있으며 또한 효과적인 내부통제시스템에 유의적으로 공헌할 수 있다. 반면에 그러한 지식과 권한의 집중은 경영진의 통제무력화에 의한 왜곡표시 가능성을 증가시킬 수 있다.
감사인은 지배기구의 독립적 구성원의 참여를 고려하여 통제환경의 다양한 요소들이 어떻게 고위 경영진의 철학과 운영방식의 영향을 받을 수 있는지 고려할 수 있다.
비록 통제환경이 내부통제시스템의 적합한 기반을 제공하고 부정위험을 감소시키는 데 도움을 줄 수 있지만 적절한 통제환경이 반드시 부정을 효과적으로 억제하는 것은 아니다.
기업의 IT 이용에 관련되는 통제환경에 대한 감사인의 평가에 포함되는 사항들의 예는 다음과 같다.•IT에 대한 지배구조가 기업의 기술 플랫폼이나 기술구성의 복잡성과 성숙도를 포함하여 기업과 IT로 가능하게 된 기업의 사업운영의 성격과 복잡성에 비례하는지 여부. 이는 기업의 기술 플랫폼이나 아키텍처의 복잡성과 성숙도 및 기업이 재무보고를 뒷받침하는 IT 응용프로그램에 의존하는 정도를 포함한다.•IT와 관련된 관리 조직구조와 할당된 자원(예를 들어 기업이 적합한 IT 환경과 필요한 개선에 투자하였는지 여부 또는 기업이 상용 소프트웨어를 변경없이 또는 제한적인 변경만 하고 사용하는 경우를 포함하여 적절히 숙련된 충분한 수의 인원들을 고용하였는지 여부)
기업의 위험평가절차의 이해 (문단 22-23 참조)
기업의 위험평가절차의 이해 (문단 22(a) 참조)
문단 A62에서 설명되었듯이, 모든 사업위험이 중요왜곡표시위험을 유발하지는 않는다. 경영진과 지배기구가 재무제표 작성과 관련된 사업위험을 식별하고 이러한 위험에 대처하는 조치를 정하는 방법을 이해할 때, 감사인이 고려할 사항은 다음을 포함한다. 경영진 또는 적절한 경우 지배기구가,•기업의 목적과 관련된 위험의 식별과 평가를 가능하게 하기 위하여 충분히 정밀하고 명확하게 기업의 목적을 구체화한 방법•기업의 목적 달성에 대한 위험을 식별하고, 그러한 위험을 관리하는 방법을 결정하는 근거로서 위험을 분석하는 방법•기업의 목적 달성에 대한 위험을 고려할 때 부정의 가능성을 고려하는 방법35)
감사인은 그러한 사업위험이 기업의 재무제표 작성과 내부통제시스템의 기타 측면에 미치는 영향을 고려할 수 있다.
기업의 위험평가절차에 대한 평가 (문단 22(b) 참조)
기업의 위험평가절차에 대한 감사인의 평가는 기업이 발생할 수 있는 위험을 식별한 분야와 그러한 위험에 어떻게 대응하였는지를 이해하는 데 도움이 될 수 있다. 기업이 사업위험을 식별하는 방법과 그러한 위험을 평가하고 다루는 방법에 대한 감사인의 평가는 기업이 직면한 위험을 기업의 성격과 복잡성에 적합하게 식별, 평가 및 대처하였는지를 이해하는 데 도움이 된다. 이러한 평가는 재무제표 수준과 경영진주장 수준의 중요왜곡표시위험을 식별하고 평가하는 데에도 도움이 될 수 있다. (문단 A86 참조).
기업의 위험평가절차의 적합성에 대한 감사인의 평가는 문단 22(a)에 따른 이해에 기초한다.
감사인의 위험평가절차가 기업의 성격과 복잡성을 고려하였을 때 기업의 상황에 적합한지 여부는 감사인의 전문가적 판단사항이다.예시: 일부 덜 복잡한 기업과 특히 소유경영자 기업에 있어 적합한 위험평가는 경영진 또는 소유경영자의 직접적인 관여로 수행될 수 있다(예: 경영자나 소유경영자가 새로운 사업위험을 식별하기 위하여 시장에서 경쟁과 기타 개발 활동을 모니터링하는 데 일상적으로 시간을 할애할 수 있다). 이러한 형태의 기업들에게서 많은 경우 이 위험평가의 증거가 공식적으로 문서화되지는 않을 수 있지만, 감사인은 경영진과의 논의를 통해 경영진이 실제로 위험평가절차를 수행하고 있다는 점을 확인할 수 있다.
내부통제시스템에 대한 기업의 모니터링절차에 대한 이해 (문단 24 참조)
확장가능성
덜 복잡한 기업, 특히 소유경영자 기업에서는 내부통제시스템을 모니터링하는 기업의 절차에 대한 감사인의 이해는 많은 경우에 경영진 또는 소유경영자가 운영에 직접적으로 관여하는 방법에 초점을 맞춘다. 이는 다른 모니터링 활동이 없을 수 있기 때문이다.예시: 경영진은 고객으로부터 월별 명세서의 부정확성에 대한 불만을 받을 수 있으며 이는 소유경영자에게 고객에 대한 지급이 회계기록에 인식되는 시점에 대한 문제점에 주의를 기울이게 할 수 있다.
내부통제시스템을 모니터링하는 공식 절차가 없는 기업의 경우 내부통제시스템을 모니터링하는 절차에 대한 이해에는 기업이 왜곡표시를 예방하거나 발견하는 데 공헌하도록 설계된 회계정보에 대한 경영진의 주기적인 검토를 이해하는 것이 포함될 수 있다.
내부통제시스템에 대한 기업의 모니터링 절차의 이해
기업의 내부통제시스템을 모니터링하는 방법을 이해할 때 감사인이 고려해야 할 관련 사항에는 다음 사항들이 포함된다.•모니터링 활동의 설계(예를 들어 주기적인 모니터링인지 상시 모니터링인지 여부)•모니터링 활동의 수행과 빈도•통제가 효과적인지를 결정하기 위해 모니터링 활동의 결과를 적시에 평가•식별된 미비점에 적합한 시정조치를 통하여 대처하는 방법. 그러한 미비점에 대하여 시정조치를 취할 책임자에게 적시에 커뮤니케이션하는 것을 포함
감사인은 또한 내부통제시스템을 모니터링하는 기업의 절차가 IT의 사용을 수반하는 정보처리 통제에 대한 모니터링을 다루는 방법을 고려할 수 있다. 이는 예를 들어 다음을 포함한다.•복잡한 IT 환경을 모니터링하기 위한 다음과 같은 통제°정보처리 통제의 지속적인 설계 효과성을 평가하고, 상황의 변화에 따라 적절하게 정보처리 통제를 수정하는 통제°정보처리 통제의 운영효과성을 평가하는 통제•업무분장을 강제하는 자동화된 정보처리 통제에 적용되는 권한을 모니터링하는 통제•재무보고 자동화와 관련된 오류 또는 통제 미비점을 식별하고 해결하는 방법을 모니터링하는 통제
기업의 내부감사기능에 대한 이해 (문단 24(a)(ii) 참조)
내부감사기능 내의 적합한 개인에 대한 질문은 감사인이 기업의 내부감사기능의 책임의 성격을 이해하는 데 도움을 준다. 내부감사기능의 책임이 기업의 재무보고와 관련된다고 결정한 경우 감사인은 내부감사기능의 당기 감사계획(계획이 있는 경우)을 검토하고 적합한 개인과 계획에 대하여 논의함으로써 내부감사기능이 수행하였거나 수행할 활동에 대한 추가적인 이해를 할 수 있다. 이러한 이해와 질문을 통하여 입수한 정보는 또한 감사인의 중요왜곡표시위험 식별과 평가에 관련된 직접적인 정보를 제공해 줄 수 있다. 감사인이 내부감사기능에 대한 감사인의 예비적인 이해를 바탕으로 내부감사기능의 업무를 활용하여 감사인이 수행할 감사절차의 성격이나 시기를 수정하거나 범위를 줄일 예정인 경우, 감사기준서 61036)을 적용한다.
- 감사기준서 610 “내부감사인이 수행한 업무의 활용”
내부통제시스템을 모니터링하는 기업의 절차에 사용되는 정보의 기타 원천
경영진의 모니터링 활동에는 문제점이나 개선이 필요한 분야를 알려줄 수 있는 고객불만이나 규제기관의 지적과 같은 외부 당사자로부터의 커뮤니케이션이 사용될 수 있다.
내부통제시스템에 대한 모니터링에서 기업이 사용하는 정보의 원천과 그 정보가 관련성과 신뢰성이 있는지 여부에 대한 감사인의 이해는 내부통제시스템에 대한 기업의 모니터링 절차가 적합한지에 대한 감사인의 평가에 도움을 준다. 경영진이 모니터링에 사용되는 정보가 관련성과 신뢰성이 있다고 가정하였으나 가정에 대한 근거가 없는 경우, 정보에 있을 수 있는 오류로 인하여 잠재적으로 경영진이 모니터링활동에서 부정확한 결론을 내리게 될 수 있다.
내부통제시스템을 모니터링하는 기업의 절차에 대한 평가 (문단 24(c) 참조)
기업이 통제 효과성을 모니터링하기 위하여 상시 평가와 별도의 평가를 어떻게 수행하는지 감사인이 평가하는 것은 감사인이 기업의 내부통제시스템의 다른 구성요소가 존재하며 기능하고 있는지 여부를 이해하는 데 도움을 주고 따라서 기업의 내부통제시스템의 다른 구성요소를 이해하는 데 도움을 준다. 이러한 평가는 또한 감사인이 재무제표 수준과 경영진주장 수준의 중요왜곡표시위험을 이해하고 평가하는 데 도움을 준다. (문단 A86 참고)
내부통제시스템을 모니터링하는 기업의 절차의 적합성에 대한 감사인의 평가는 내부통제시스템을 모니터링하는 기업의 절차에 대한 감사인의 이해에 기초한다.
정보시스템 및 커뮤니케이션과 통제활동 (문단 25-26 참조)
정보시스템 및 커뮤니케이션과 통제활동 구성요소의 통제들은 주로 직접통제(즉 경영진주장 수준의 왜곡표시를 예방하거나 발견, 수정하기에 충분히 정밀한 통제)이다.
감사인이 정보시스템 및 커뮤니케이션과 통제활동 구성요소의 통제를 이해하도록 요구되는 이유
감사인이 재무제표 작성과 관련된 거래의 흐름과 기업의 정보처리활동의 다른 측면을 정의하는 기업의 정책을 이해하고 해당 구성요소가 재무제표 작성을 적절히 뒷받침하는지 여부를 평가하는 것은 감사인이 경영진주장 수준의 중요왜곡표시위험을 식별하고 평가하는 것을 뒷받침하기 때문에, 감사인은 기업의 정보시스템과 커뮤니케이션을 이해하도록 요구된다. 이러한 이해와 평가는 또한 감사인이 수행한 절차의 결과가 감사업무의 수용과 유지 절차에서 입수한 정보에 근거하여 설정된 기대와 불일치하게 될 때 재무제표 수준의 중요왜곡표시위험을 식별하는 결과로 이어질 수 있다. (문단 A86 참고)
감사인은 통제활동 구성요소에서 특정 통제를 식별하고 설계를 평가하고 통제가 실행되었는지 여부를 결정하도록 요구되는데, 이는 특정 위험에 대처하기 위한 경영진의 접근 방식에 대한 감사인의 이해를 돕고 감사기준서 330에서 요구하는 이러한 위험에 대응하는 추가감사절차의 설계 및 수행에 대한 근거를 제공하기 때문이다. 위험이 고유위험의 범위에서 높은 수준으로 평가될수록 감사증거는 더욱 설득력이 있을 필요가 있다. 감사인이 식별된 통제의 운영효과성을 테스트할 계획이 없는 경우에도 감사인의 이해는 여전히 관련된 중요왜곡표시위험에 대응하는 실증감사절차의 성격, 시기 및 범위의 설계에 영향을 미칠 수 있다.
정보시스템 및 커뮤니케이션과 통제활동에 대한 감사인의 이해와 평가의 반복적인 성격
정보시스템에 대한 감사인의 이해는 기업의 유의적인 거래유형, 계정잔액 및 공시와 관련된 정보의 흐름을 정의하는 정책과 기업의 정보처리활동의 다른 관련 측면에 대한 이해를 포함한다. 그러한 정보와 정보시스템에 대한 평가를 통해 입수한 정보는 최초에 입수한 유의적인 거래유형, 계정잔액 및 공시에 대한 감사인의 기대를 확인해주거나 추가적으로 영향을 줄 수 있다(문단 A126 참고).
유의적인 거래유형, 계정잔액 및 공시와 관련된 정보가 기업의 정보시스템으로 흘러들어가고, 정보시스템을 통과하고, 정보시스템에서 흘러나오는 방법을 이해하면서 감사인은 또한 문단 26(a)에 따라 식별하여야 하는 통제활동 구성요소 내의 통제를 식별할 수도 있다. 통제활동 구성요소 내의 통제에 대한 감사인의 식별과 평가는 우선 분개에 대한 통제와 감사인이 실증절차의 성격, 시기 및 범위를 설계하는 데 있어 운영효과성을 테스트하고자 하는 통제에 초점을 맞출 수 있다.
경영진주장 수준의 중요왜곡표시위험에 대한 감사인의 식별과 평가는 다음 두 가지 모두의 영향을 받는다.•정보시스템 및 커뮤니케이션 구성요소 내의 정보처리활동에 대한 감사인의 이해•통제활동 구성요소 내의 통제에 대한 감사인의 식별과 평가
정보시스템과 커뮤니케이션의 이해 (문단 25 참조)
확장가능성
덜 복잡한 기업에서 정보시스템과 관련 사업프로세스는 대규모 기업보다 덜 정교하고 덜 복잡한 IT 환경을 갖고 있을 수 있지만, 정보시스템의 역할은 똑같이 중요하다. 경영진이 직접 관여하는 덜 복잡한 기업은 회계절차의 광범위한 설명, 정교한 회계기록 또는 문서화된 정책이 필요하지 않을 수 있다. 따라서 덜 복잡한 기업에 대한 감사에서 기업의 정보시스템의 관련 측면을 이해하는 것은 더 적은 노력을 요구할 수 있고 문서의 관찰이나 검사보다 질문을 더 많이 사용할 수 있다. 그러나 감사기준서 330에 따른 추가감사절차의 설계의 근거를 제공하기 위해 이해를 얻을 필요성은 여전히 중요하며 그러한 이해는 감사인이 중요왜곡표시위험을 식별하거나 평가하는 데 추가적인 도움이 될 수 있다. (문단 A86 참고)
정보시스템에 대한 이해 (문단 25(a) 참조)
기업의 내부통제시스템에는 재무보고 목적을 포함하여 기업의 보고목적과 관련된 측면이 포함되지만 재무보고와 관련된 측면인 경우에는 운영이나 준수목적과 관련된 측면도 포함될 수 있다. 정보시스템에 대한 감사인의 이해의 일부로 기업이 거래를 개시하고 정보를 포착하는 방법을 이해하는 것은 준수와 운영목적을 다루기 위해 설계된 기업의 시스템(정책)에 대한 정보를 포함할 수 있으며 이는 그러한 정보가 재무제표의 작성과 관련되어 있기 때문이다. 또한 일부 기업은 재무보고, 준수와 운영목적, 그리고 이들의 조합을 동시에 달성하는 방식으로 통제가 설계되도록 고도로 통합된 정보시스템을 보유할 수 있다.
기업의 정보시스템에 대한 이해에는 또한 기업의 정보처리활동에 사용되는 자원에 대한 이해를 포함한다. 정보시스템의 무결성에 대한 위험을 이해하는 것과 관련된 인적자원에 대한 정보는 다음을 포함한다.•업무를 수행하는 개인의 능력•자원이 충분한지 여부•적절한 업무분장이 되어 있는지 여부
기업의 유의적인 거래유형, 계정잔액 및 공시에 관한 정보의 흐름을 정의하는 정책을 이해할 때, 정보시스템과 커뮤니케이션 구성요소에서 감사인이 고려할 사항은 다음과 같다.•거래 및 처리될 기타 사건과 상황에 대한 데이터 또는 정보의 성격•데이터 또는 정보의 무결성을 유지하기 위한 정보처리의 성격•정보처리절차에서 사용되는 정보 프로세스, 인력 및 기타 자원의 성격
거래가 개시되는 방법을 포함한 기업의 사업프로세스에 대하여 이해하는 것은 감사인이 기업의 정보시스템이 기업의 상황에 있어 적합한 방식인지에 대하여 이해하는 데 도움을 준다.
정보시스템에 대한 감사인의 이해는 다양한 방식으로 이루어지며 예를 들면 다음과 같다.•거래의 개시, 기록, 처리 및 보고에 사용되는 절차와 기업의 재무보고프로세스에 대하여 관련 인원에게 질문함•기업의 정보시스템에 대한 정책이나 절차 매뉴얼 또는 기타 문서를 검사함•기업의 인원에 의하여 수행되는 정책이나 절차를 관찰함•거래를 선택하여 정보시스템 내의 해당 절차를 따라 추적함(즉 추적조사)
감사인은 또한 거래의 회계기록을 보관하고 있는 기업 정보시스템 내 데이터베이스에 직접 접속하거나 데이터베이스에서 디지털 다운로드를 하기 위하여 자동화된 기법을 사용할 수 있다. 감사인은 자동화된 도구와 기법을 이러한 정보에 적용하여 분개나 특정 거래와 관련된 다른 디지털 기록 또는 거래의 전체 모집단을 회계기록의 개시부터 총계정원장에 기록되기까지 추적함으로써 거래가 정보시스템을 흘러가는 방법에 대하여 이해한 것을 확인할 수 있다. 전체 또는 대규모 거래 집합을 분석하면 이러한 거래에 대한 정상적이거나 예상되는 처리절차에서 벗어난 것을 식별할 수 있으며, 그 결과 중요한 왜곡표시를 식별할 수도 있다.
재무제표는 총계정원장과 보조원장 외부에서 입수한 정보를 포함할 수 있다. 감사인이 고려할 수 있는 이러한 정보의 예는 다음과 같다.•재무제표 공시에 관련된 리스계약에서 입수한 정보•기업의 위험관리시스템에서 생성되어 재무제표에 공시된 정보•경영진측 전문가에 의해 생성되고 재무제표에 공시된 공정가치 정보•재무제표에 인식되거나 공시된 회계추정치 도출에 사용되는 모델이나 다른 계산에서 입수되어 재무제표에 공시되는 정보. 다음과 같은 모델에서 사용된 기초 데이터나 가정에 관한 정보를 포함한다.°자산의 내용연수에 영향을 줄 수 있는 내부적으로 도출된 가정°기업의 통제에서 벗어난 요소의 영향을 받는 이자율과 같은 정보•경영진이 대체적인 가정을 고려하였다는 것을 보여주기 위해 재무모델에서 도출된 민감도분석과 관련하여 재무제표에 공시된 정보•기업의 납세신고서 및 기록에서 입수되어 재무제표에 인식되거나 공시된 정보•계속기업으로 존속가능한 기업의 능력에 유의적인 의심을 줄 수 있는 사건이나 상황과 관련된 공시와 같이, 계속기업으로서의 존속능력에 대한 경영진의 평가를 뒷받침하기 위하여 작성한 분석에서 입수되어 재무제표에 공시된 정보37)
기업의 재무제표의 특정 금액이나 공시(예: 신용위험, 유동성위험, 시장위험에 대한 공시)는 기업의 위험관리시스템에서 얻은 정보에 기초할 수 있다. 그러나 감사인은 위험관리시스템의 모든 측면을 이해할 필요가 없으며, 필요한 이해를 결정하는 데 전문가적 판단을 사용한다.
정보시스템에서의 IT의 사용
기업의 IT 응용프로그램 또는 IT 환경의 다른 측면이 IT의 사용으로 발생하는 위험을 발생시킬 수 있기 때문에, 정보시스템에 대한 감사인의 이해는 기업의 정보시스템 내의 거래 흐름과 정보 처리에 관련된 IT 환경을 포함한다.
기업이 사업모델과 IT의 사용을 통합하는 방법에 대한 이해는 정보시스템에서 기대되는 정보기술의 성격과 범위에 대한 유용한 맥락을 제공할 수 있다.
IT 환경에 대한 감사인의 이해는 정보시스템 내의 거래 흐름과 정보 처리에 관련된 특정 IT 응용프로그램과 IT 환경의 다른 측면들의 성격과 수를 파악하고 이해하는 데 초점을 맞출 수 있다. 정보시스템 내의 거래 흐름이나 정보의 변화는 IT 응용프로그램상 프로그램 변경 또는 그러한 거래나 정보를 처리하거나 저장하는 데이터베이스상 데이터의 직접 변경으로 발생할 수 있다.
감사인은 유의적인 거래유형, 계정잔액 및 공시에 관한 정보가 기업의 정보시스템으로 흘러들어가고, 정보시스템을 통과하고, 정보시스템에서 흘러나오는 방법을 이해하면서 IT 응용프로그램과 이를 지원하는 IT 인프라를 동시에 식별할 수 있다.
기업의 커뮤니케이션에 대한 이해 (문단 25(b) 참고)
크고 복잡한 기업의 경우 감사인이 기업의 커뮤니케이션에 대하여 이해할 때 고려하는 정보는 정책 매뉴얼과 재무보고 매뉴얼에서 나올 수 있다.
덜 복잡한 기업의 경우 커뮤니케이션은 책임의 단계가 적고 경영진의 가시성과 활용도가 높음에 따라 덜 조직적일 수 있다(즉 공식적인 매뉴얼이 사용되지 않을 수 있다). 기업의 규모에 관계없이 공개된 커뮤니케이션 통로는 예외에 대한 보고와 이에 대한 조치를 용이하게 한다.
정보시스템의 관련 측면이 기업의 재무제표 작성을 뒷받침하는지 여부에 대한 평가 (문단 25(c) 참고)
기업의 정보시스템과 커뮤니케이션이 재무제표 작성을 적절히 뒷받침하는지에 대한 감사인의 평가는 문단 25(a)-(b)에 따라 얻은 이해에 기초한다.
통제활동 (문단 26 참조)
통제활동 구성요소의 통제는 그러한 통제가 문단 26(a)의 요건의 하나 이상을 충족할 때 식별되어야 한다. 그러나 복수의 통제가 각각 동일한 목적을 달성할 경우 그러한 목적과 관련된 각각의 통제를 식별하는 것은 불필요하다.
통제활동 구성요소의 통제
통제활동 구성요소는 기업의 내부통제시스템의 모든 다른 구성요소에서 정책(이 역시 통제임)의 적절한 적용을 확실하게 하도록 설계된 통제를 포함하며 직접통제와 간접통제 모두를 포함한다.예시: 기업이 기업의 인원이 연간 물리적 재고를 적절히 실사하고 기록하도록 하기 위하여 설정한 통제는 재고자산 계정잔액의 실재성과 완전성에 대한 경영진주장의 중요왜곡표시위험과 직접적으로 관련된다.
통제활동 구성요소의 통제에 대한 감사인의 식별과 평가는 정보처리 통제에 초점이 맞춰져 있으며, 이것은 정보의 무결성(즉 거래와 기타 정보의 완전성, 정확성 및 유효성)에 대한 위험에 직접적으로 대처하는 정보시스템의 정보처리 과정에 적용되는 통제이다. 그러나 감사인은 유의적인 거래유형, 계정잔액 및 공시에 대한 거래의 흐름과 기업의 정보처리활동의 기타 측면들을 정의하는 기업의 정책에 관련된 모든 정보처리 통제를 식별하고 평가하도록 요구되는 것은 아니다.
통제환경, 기업의 위험평가절차 또는 내부통제를 모니터링하는 기업의 절차에 존재하는 직접통제가 있을 수 있으며, 이것은 문단 26에 따라 식별될 수 있다. 그러나 다른 통제를 뒷받침하는 통제와 고려되고 있는 통제 간의 관계가 간접적일수록 그 통제가 관련 왜곡표시를 예방하거나 발견하고 수정하는 데 덜 효과적일 수 있다.예시: 지역별 매장의 판매활동 요약에 대한 판매관리자의 검토는 일반적으로 매출액에 대한 완전성 주장과 간접적으로 연관될 수 있을 뿐이다. 따라서 이것은 선적서류와 청구서류의 대조와 같이 경영진의 완전성 주장과 더 직접적으로 연결된 통제보다는 해당 주장에 대한 위험을 감소시키는 데 덜 효과적일 수 있다.
문단 26은 또한 감사인이 IT 응용프로그램과 감사인이 IT의 사용으로 인한 위험이 따르는 것으로 판단한 IT 환경의 다른 측면에 대한 IT 일반통제를 식별하고 평가하도록 요구하고 있는데 이는 IT 일반통제가 정보처리 통제의 지속적이고 효과적인 기능을 뒷받침하기 때문이다. IT 일반통제만으로는 일반적으로 경영진주장 수준의 중요왜곡표시위험에 대처하기에 충분하지 않다.
감사인이 문단 26에 따라 식별하고 설계를 평가하며 실행을 결정하도록 요구되는 통제는 다음과 같다.•감사인이 실증절차의 성격, 시기 및 범위를 결정할 때 운영효과성을 테스트하기로 한 통제. 그러한 통제의 평가는 감사기준서 330에 따라 통제테스트 절차의 설계에 대한 근거를 제공해 준다. 이러한 통제는 또한 실증절차만으로는 충분하고 적합한 감사증거를 제공하지 못하는 위험에 대처하는 통제를 포함한다.•유의적 위험에 대처하는 통제와 분개에 대한 통제를 포함한 통제. 그러한 통제에 대한 감사인의 식별과 평가는 또한 추가적인 중요왜곡표시위험의 식별을 포함한 중요왜곡표시위험에 대한 감사인의 이해에 영향을 줄 수 있다. (문단 A95 참고) 이 이해는 또한 감사인이 관련된 평가된 중요왜곡표시위험에 대응하는 실증감사절차의 성격, 시기 및 범위를 설계하는 근거를 제공한다.•감사인의 전문가적 판단에 기초하였을 때 감사인이 경영진주장 수준의 위험과 관련하여 문단 13의 목적을 충족하게 하는 데 적절하다고 생각하는 기타 통제.
통제활동 구성요소의 통제의 유형 (문단 26 참조)
통제활동 구성요소의 통제의 예에는 권한부여 및 승인, 대사, 검증(편집과 유효성 확인 또는 자동계산과 같은), 업무분장, 그리고 물리적 또는 논리적 통제를 포함하며, 자산의 보호를 다루는 통제들을 포함한다.
통제활동 구성요소의 통제는 또한 경영진이 해당 재무보고체계에 따라 작성되지 않는 공시와 관련된 중요왜곡표시위험에 대처하기 위하여 경영진이 설정한 통제를 포함한다. 그러한 통제는 재무제표에 포함된, 총계정원장과 보조원장 외부에서 입수한 정보와 관련될 수 있다.
통제가 IT 환경 또는 수작업 시스템 어디에 있는 통제인지에 관계없이, 통제는 다양한 목적을 갖고 다양한 조직적 기능적 수준에서 적용될 수 있다.
확장가능성 (문단 26 참조)
덜 복잡한 기업에 대한 통제활동 구성요소의 통제는 대규모 기업의 통제와 유사하겠지만 운영되는 형식은 다양할 수 있다. 또한 덜 복잡한 기업에서 통제는 경영진에 의해 직접적으로 적용될 수 있다.예시: 고객에 대한 신용을 승인하고 유의적인 구매를 승인하는 경영진만의 권한은 중요한 계정잔액과 거래에 대한 강력한 통제가 될 수 있다.
경영진주장 수준의 중요왜곡표시위험에 대처하는 통제 (문단 26(a) 참조)
감사인이 유의적 위험에 대처하는 통제의 운영효과성을 테스트할 계획인지 여부에 관계없이, 이러한 위험에 대처하는 경영진의 접근법에 대하여 얻은 이해는 감사기준서 330에 따라 유의적 위험에 대응하는 실증절차를 설계하고 수행하는 데 근거를 제공해 줄 수 있다.39) 비록 비일상적이거나 판단이 필요한 유의적 사항들과 관련된 위험은 많은 경우에 일상적인 통제의 대상이 될 가능성이 낮지만, 경영진은 그런 위험들을 다루기 위해 의도된 다른 대응을 마련하였을 수 있다. 따라서, 기업이 비일상적이거나 판단이 필요한 사항에서 발생하는 유의적 위험에 대한 통제를 설계하고 실행하였는지 여부에 대한 감사인의 이해는 경영진이 그러한 위험에 대응하는지 여부와 그 방법을 포함한다. 그러한 대응의 예는 다음과 같다.•고위경영진 또는 전문가에 의한 가정의 검토와 같은 통제•회계추정치에 대한 문서화된 절차•지배기구의 승인예시: 유의적인 소송의 통지를 받는 것과 같은 일회성 사건이 있는 경우, 기업의 대응에 대한 고려사항에는 적절한 전문가(예: 내부 또는 외부 법률 고문)에게 의뢰하였는지, 잠재적 영향을 평가하였는지, 그리고 재무제표에 해당 상황을 어떻게 공시할 계획인지를 포함한다.
경영진주장 수준의 중요왜곡표시위험에 대처하는 통제 중 모든 감사에서 식별될 것으로 예상되는 통제는 분개에 대한 통제이다. 이것은 기업이 거래 처리의 정보를 총계정원장에 통합하는 방법은 일반적으로 표준이든 비표준이든 혹은 자동화되었든 수작업이든 분개의 사용을 수반하기 때문이다. 그 밖의 통제가 식별되는 정도는 기업의 특성과 추가감사절차에 대한 감사인의 계획된 접근법에 따라 달라질 수 있다.예시: 덜 복잡한 기업에 대한 감사에서 기업의 정보시스템은 복잡하지 않을 수 있고 감사인은 통제의 운영효과성에 의존할 계획이 없을 수도 있다. 또한 감사인은 통제의 설계를 평가하고 통제가 실행되었음을 결정할 필요가 있는 유의적 위험이나 중요왜곡표시위험을 식별하지 않았을 수 있다. 이러한 감사에서 감사인은 분개에 대한 기업의 통제 외에 식별된 통제가 없다고 결정할 수 있다.
수작업 총계정원장 시스템에서 비표준적인 분개는 원장, 분개장과 이를 뒷받침하는 문서에 대한 검사를 통하여 식별될 수 있다. 총계정원장을 유지하고 재무제표를 작성할 때 자동화된 절차가 사용된다면 그러한 분개는 전자적 형태로만 존재하며 따라서 자동화된 기법을 사용하여 더욱 쉽게 식별할 수 있다.예시: 덜 복잡한 기업의 감사에서 감사인은 모든 분개의 전체 목록을 간단한 스프레드시트에 추출할 수 있다. 그리고 감사인은 화폐금액이나, 작성자나 검토자의 이름, 재무상태표만 증가시키거나 손익계산서만 증가시키는 분개와 같이 다양한 필터를 적용하여 분개를 정렬하거나 분개가 총계정원장으로 전기된 일자별로 목록을 볼 수 있으며 이는 감사인이 분개와 관련하여 식별된 위험에 대한 대응을 설계하는 데 도움을 준다.
다른 경우에, 감사인이 감사기준서 330에 따라 실증절차의 성격, 시기 및 범위를 결정하는데 통제의 운영효과성을 고려할 계획일 때, 감사기준서 33042)에서 감사인이 그러한 통제에 대한 테스트를 설계하고 수행하도록 요구하고 있으므로 그러한 통제 또한 식별되어야 한다.예시: 감사인은 다음과 같은 통제의 운영효과성을 테스트하고자 계획할 수 있다.•일상적인 거래유형에 대한 통제. 그러한 테스트는 대량의 동질적인 거래에 있어 좀 더 효과적이거나 효율적일 수 있기 때문이다.•기업에 의해 생성된 정보의 완전성과 정확성에 대한 통제(예: 시스템에서 생성된 보고서의 작성에 대한 통제). 감사인이 이러한 통제의 운영효과성을 고려하여 추가감사절차를 설계하고 수행할 의도일 때 정보의 신뢰성을 결정하기 위함.•감사인이 감사절차를 적용할 때 감사인이 평가하거나 사용하는 데이터와 관련되어 있는 운영 및 준수목적과 관련된 통제
통제의 운영효과성에 대한 감사인의 테스트 계획은 식별된 재무제표 수준의 중요왜곡표시위험에 의해서도 영향을 받을 수 있다. 예를 들어, 통제환경에 관한 미비점이 발견된 경우, 직접통제의 운영효과성에 대한 감사인의 전반적인 기대에 영향을 줄 수 있다.
감사인이 식별하고 설계를 평가하며 실행을 결정하는 것이 적절할 것으로 생각하는 기타 통제의 예는 다음과 같다.•고유위험의 범위에서 높은 지점으로 평가되지만 유의적 위험으로 결정되지 않은 위험에 대처하는 통제•세부기록과 총계정원장의 차이조정과 관련된 통제•서비스조직을 이용하는 경우 보충적인 이용자기업 통제43)
- 감사기준서 402 “서비스조직을 이용하는 기업에 관한 감사 고려사항”
IT 응용프로그램과 IT 환경의 기타 측면, IT의 사용으로 인한 위험 및 IT 일반통제의 식별 (문단 26(b)-(c) 참조)
IT 사용으로 인한 위험과 이러한 위험에 대처하기 위하여 기업에 의해 실행된 IT 일반통제는 다음에 영향을 줄 수 있다.•경영진주장 수준의 중요왜곡표시위험에 대처하는 통제의 운영효과성을 테스트할지 여부에 대한 감사인의 결정예시: IT 일반통제가 효과적으로 설계되지 않거나 IT의 사용으로 인한 위험에 대처하기에 적절하게 실행되지 않은 경우(예: 적절하게 승인되지 않은 프로그램 변경이나 IT 응용프로그램에 대한 승인되지 않은 접근을 예방하거나 발견하지 못하는 통제), 이것은 그 영향을 받는 IT 응용프로그램 내의 자동화된 통제에 의존하려는 감사인의 판단에 영향을 줄 수 있다.•경영진주장 수준의 통제위험에 대한 감사인의 평가예시:정보처리 통제의 지속적인 운영효과성은 IT 정보처리 통제에 대한 승인되지 않은 프로그램 변경을 예방하고 적발하는 IT 일반통제에 의존할 수 있다(즉 관련 IT 응용프로그램에 대한 프로그램 변경통제). 그런 상황에서 IT 일반통제의 기대되는 운영효과성(또는 그 결여)은 통제위험에 대한 감사인의 평가에 영향을 줄 수 있다(예: 통제위험은 IT 일반통제가 비효과적이거나 감사인이 그 IT 일반통제를 테스트하지 않을 계획인 경우 높을 수 있다).•기업의 IT 응용프로그램에 의해서 혹은 IT 응용프로그램의 정보로 기업이 생성한 정보에 대한 감사인의 테스트 전략예시:기업이 생성하여 감사증거로 사용될 정보가 IT 응용프로그램에 의해 생성되는 경우, 감사인은 시스템에서 생성된 보고서에 대한 통제를 테스트(적절하지 않거나 승인되지 않은 프로그램 변경이나 보고서에 대한 직접적인 데이터 변경의 위험에 대처하는 IT 일반통제를 식별하고 테스트하는 것을 포함)하기로 결정할 수 있다.•경영진주장 수준의 고유위험에 대한 감사인의 평가예시:새로운 혹은 개정된 해당 재무보고체계의 보고 요구사항에 대처하기 위한 유의적이거나 광범위한 프로그램 변경이 있다면, 이것은 새로운 요구사항의 복잡성과 기업의 재무제표에 대한 영향을 나타내는 징후일 수 있다. 광범위한 프로그램이나 데이터 변경이 발생한 경우 IT 응용프로그램에는 IT의 사용으로 인한 위험이 따를 수 있을 것이다.•추가감사절차의 설계예시:정보처리 통제가 IT 일반통제에 의존하는 경우, 감사인은 IT 일반통제의 운영효과성을 테스트하기로 결정할 수 있으며, 이는 그러한 IT 일반통제에 대한 통제테스트의 설계를 요구할 것이다. 같은 상황에서 감사인이 IT 일반통제의 운영효과성을 테스트하지 않기로 결정하거나, IT 일반통제가 비효과적일 것으로 예상되는 경우, IT의 사용으로 발생하는 관련 위험을 실증절차의 설계를 통해 대처하여야 할 수 있다. 그러나 IT의 사용으로 인한 위험이 실증절차만으로는 충분하고 적절한 감사증거를 제공하지 못하는 위험과 관련된 경우 그러한 위험에 대처할 수 없을 수 있다. 이러한 상황에서 감사인은 감사의견에 대한 시사점을 고려할 필요가 있을 수 있다.
정보시스템과 관련된 IT 응용프로그램의 경우, 기업이 보유하고 있는 특정 IT 프로세스와 IT 일반통제의 특성과 복잡성에 대한 이해는 감사인이 기업의 정보시스템에서 정보를 정확하게 처리하고 정보의 무결성을 유지하기 위하여 기업이 의존하는 IT 응용프로그램을 결정하는 데 도움이 될 수 있다. 이러한 IT 응용프로그램에는 IT의 사용으로 인한 위험이 따를 수 있다.
IT의 사용으로 인한 위험이 따르는 IT 응용프로그램을 식별하려면 감사인이 식별한 통제를 고려하여야 한다. 왜냐하면 그러한 통제는 IT 사용을 수반하거나 IT에 의존할 수 있기 때문이다. 감사인은 IT 응용프로그램에 경영진이 의존하고 있으며 감사인이 식별한 자동화된 통제가 포함되는지 여부에 초점을 맞출 수 있다. 여기에는 실증절차만으로는 충분하고 적합한 감사증거를 제공하지 못하는 위험에 대처하는 통제를 포함한다. 감사인은 또한 유의적인 거래유형, 계정잔액 및 공시와 관련된 정보시스템에서 정보를 저장하고 처리하는 방법과 경영진이 해당 정보의 무결성을 유지하기 위하여 IT 일반통제에 의존하는지 여부를 고려할 수 있다.
감사인이 식별한 통제는 시스템에서 생성된 보고서에 의존할 수 있으며, 이 경우 해당 보고서를 생성하는 IT 응용프로그램에는 IT의 사용으로 인한 위험이 따를 수 있다. 다른 경우에, 감사인은 시스템에서 생성된 보고서에 대한 통제에 의존할 계획이 없으며, 이러한 보고서의 입출력을 직접 테스트할 계획을 세울 수 있다. 이 경우 감사인은 관련 IT 응용프로그램에 IT에서 발생하는 위험이 따르는 것으로 식별하지 않을 수 있다.
기업이 IT 일반통제를 갖추고 있는 정도를 포함한 IT 프로세스에 대한 감사인의 이해 정도는 기업과 기업환경의 성격과 상황, 그리고 감사인이 식별한 통제의 성격과 범위에 따라 다양할 것이다. IT의 사용으로 인한 위험이 따르는 IT 응용프로그램의 수도 이러한 요인에 따라 달라진다.예시: •상용 소프트웨어를 사용하고 프로그램을 변경하기 위해 소스 코드에 접근할 수 없는 기업은 프로그램 변경을 위한 절차를 갖출 가능성은 낮지만 소프트웨어를 구성하기 위한 프로세스나 절차(예: 계정 목록, 보고 매개변수 또는 임계값)를 갖출 수는 있다. 또한 기업은 소프트웨어에 대한 접근을 관리하기 위한 프로세스나 절차(예: 상용 소프트웨어에 대한 관리자 접근권한을 가진 지정된 개인)를 가질 수 있다. 이러한 상황에서 기업은 공식화된 IT 일반통제를 가지거나 필요로 할 가능성이 낮다.•대조적으로, 대규모기업은 IT에 크게 의존할 수 있고 IT 환경은 여러 IT 응용프로그램을 포함할 수 있으며 IT 환경을 관리하는 IT 프로세스는 복잡할 수 있다(예: 프로그램 변경사항을 개발 및 구현하고 접근권한을 관리하는 전담 IT 부서가 존재함). 또한 IT 프로세스에 대해 공식화된 IT 일반통제를 실행하고 있을 수 있다.•경영진이 거래를 처리하거나 데이터를 유지하기 위해 자동화된 통제 또는 IT 일반통제에 의존하지 않고, 감사인이 자동화된 통제 또는 기타 정보처리 통제(또는 IT 일반통제에 의존하는 통제)를 식별하지 않은 경우, 감사인은 기업이 IT를 사용하여 생성한 정보를 직접 테스트하겠다고 계획하고 IT의 사용으로 인한 위험이 따르는 IT 응용프로그램을 식별하지 않을 수도 있다.•경영진이 데이터를 처리하거나 유지 관리하기 위해 IT 응용프로그램에 의존하고 데이터의 규모가 유의적이며 경영진이 자동화된 통제(감사인도 식별한 통제)를 수행하기 위하여 IT 응용프로그램에 의존하는 경우 IT 응용프로그램에는 IT의 사용으로 인한 위험이 따를 것이다.
기업의 IT 환경이 더 복잡할수록 IT 응용프로그램과 IT 환경의 기타 측면을 식별하고 IT의 사용으로 인한 관련 위험을 결정하며 IT 일반통제를 식별하는 데는 IT에 대한 전문적인 기술을 가진 업무팀원의 참여가 필요할 가능성이 높다. 복잡한 IT 환경의 경우 그러한 참여는 필수적이며 광범위할 수도 있다.
IT의 사용으로 인한 위험이 따르는 IT 환경의 기타 측면에는 네트워크, 운영 체제와 데이터베이스, 그리고 특정 상황의 경우 IT 응용프로그램 간의 인터페이스를 포함한다. 감사인이 IT의 사용으로 인한 위험이 따르는 IT 응용프로그램을 식별하지 않은 경우 IT 환경의 기타 측면은 일반적으로 식별되지 않는다. 감사인이 IT의 사용으로 인한 위험이 따르는 IT 응용프로그램을 식별한 경우, IT 환경의 기타 측면(예: 데이터베이스, 운영 체제, 네트워크)은 식별된 IT 응용프로그램을 뒷받침하고 상호작용하기 때문에 식별될 것이다.
IT의 사용으로 인한 위험을 식별할 때, 감사인은 식별된 IT 응용프로그램 또는 IT 환경의 기타 측면의 성격과 이들에 IT의 사용으로 인한 위험이 따르는 원인을 고려할 수 있다. 일부 식별된 IT 응용프로그램 또는 IT 환경의 기타 측면에 대하여, 감사인은 주로 승인되지 않은 접근 또는 승인되지 않은 프로그램 변경과 관련된 위험과 부적절한 데이터 변경과 관련된 위험(예: 데이터베이스에 직접 접근하거나 직접 정보를 조작할 수 있어 데이터를 부적절하게 변경할 위험)을 IT의 사용으로 인한 해당 위험으로 식별할 수 있다.
IT의 사용으로 인한 해당 위험의 범위와 성격은 식별된 IT 응용프로그램과 IT 환경의 기타 측면의 성격과 특성에 따라 다양하다. 해당 IT 위험은 기업이 식별된 IT 환경의 일부 측면에 대하여 내부나 외부의 서비스제공자를 이용할 때(예: IT 환경 호스팅을 제3자에게 아웃소싱하거나 그룹 내 IT 프로세스의 중앙 관리를 위해 공유 서비스 센터를 사용하는 것) 발생할 수 있다. IT의 사용으로 인한 해당 위험은 또한 사이버보안과 관련하여 식별될 수 있다. 자동화된 응용통제가 많거나 복잡하고 경영진이 거래를 효과적으로 처리하거나 기초 정보의 무결성을 효과적으로 유지하기 위해 그러한 통제에 더 많이 의존하는 경우, IT의 사용으로 인한 위험이 더 많을 가능성이 더 높다.
통제활동 구성요소의 식별된 통제의 설계에 대한 평가 및 실행의 결정 (문단 26(d) 참조)
식별된 통제의 설계에 대한 평가는 통제가 개별적으로 또는 다른 통제와 결합하여 중요한 왜곡표시를 효과적으로 예방하거나 발견하고 수정할 수 있는지(즉 통제 목적)에 대한 감사인의 고려를 포함한다.
감사인은 통제가 존재하며 기업이 그것을 사용하고 있다는 것을 확인함으로써 통제의 실행을 결정한다. 감사인이 효과적으로 설계되지 않은 통제의 실행을 평가하는 것은 의미가 거의 없다. 따라서 감사인은 통제의 설계를 먼저 평가한다. 부적절하게 설계된 통제는 통제 미비점을 나타낼 수 있다.
통제활동 구성요소에서 식별된 통제의 설계와 실행에 대한 감사증거를 입수하기 위한 위험평가절차의 예는 다음과 같다.•기업의 인원에 대한 질문•특정 통제의 적용에 대한 관찰•문서와 보고서의 검사그러나 질문만으로는 이러한 목적에 충분하지 않다.
감사인은 실증절차를 설계할 때 효과적으로 설계되고 실행되는 통제의 운영효과성을 고려하기 위하여 통제를 테스트하는 것이 적절하다고 결론을 내릴 수 있다. 그러나 통제가 효과적으로 설계되거나 실행되지 않을 경우에는 통제를 테스트하는 데 아무런 이점이 없다. 감사인이 통제를 테스트하려고 계획할 때, 통제가 중요왜곡표시위험에 대처하는 정도에 대해 얻은 정보는 감사인이 경영진주장 수준에서 통제위험을 평가할 때 입력정보가 된다.
통제활동 구성요소에서 식별된 통제의 설계를 평가하고 실행을 결정하는 것만으로는 통제의 운영효과성을 테스트하기에 충분하지 않다. 그러나 자동화된 통제의 경우, 감사인은 자동화된 통제에서 직접적으로 운영효과성 테스트를 수행하는 대신 자동화된 통제의 일관된 운영을 지원하는 IT 일반통제를 식별하고 테스트함으로써 자동화된 통제의 운영효과성을 테스트하기로 계획할 수 있다. 특정 시점에 수작업 통제의 실행에 대한 감사증거를 입수하는 것은 감사 대상 기간 동안의 다른 시점의 통제의 운영효과성에 대한 감사증거를 제공하지 않는다. 간접통제의 테스트를 포함한 통제의 운영효과성 테스트는 감사기준 33044)에 추가적으로 설명되어 있다.
감사인이 식별된 통제의 운영효과성을 테스트할 계획이 없는 경우에도, 감사인의 이해는 관련 중요왜곡표시위험에 대응하는 실증감사절차의 성격, 시기 및 범위를 설계하는 데 여전히 도움을 준다.예시: 이러한 위험평가절차의 결과는 감사표본을 설계할 때 감사인이 모집단에서 발생할 수 있는 이탈을 고려하는 데 근거를 제공할 수 있다.
기업의 내부통제시스템 내의 통제 미비점 (문단 27 참조)
감사인이 하나 이상의 통제 미비점을 식별한 경우, 감사기준서 26546)에서는 감사인이 개별적으로 또는 결합하여 미비점이 유의적 미비점을 구성하는지 결정하도록 요구하고 있다. 감사인은 미비점이 유의적 통제 미비점을 나타내는지 여부를 결정할 때 전문가적 판단을 내린다.47)예시: 유의적 통제 미비점이 존재함을 나타내는 상황에는 다음과 같은 사항이 포함된다.•규모와 관계없이 고위경영진이 관여한 부정이 식별됨•내부감사에서 발견된 미비점을 보고하고 커뮤니케이션하는 것과 관련하여 내부 프로세스가 부적절함•이전에 커뮤니케이션한 미비점을 경영진이 적시에 시정하지 않음•유의적 위험에 대한 경영진의 대응 실패. 예를 들어, 유의적 위험에 대한 통제가 실행되지 않음•이전에 발행된 재무제표의 재작성
중요왜곡표시위험의 식별과 평가
감사인이 중요왜곡표시위험을 식별하고 평가하는 이유
감사인은 충분하고 적합한 감사증거를 입수하는 데 필요한 추가감사절차의 성격, 시기 및 범위를 결정하기 위하여 중요왜곡표시위험을 식별하고 평가한다. 이러한 증거는 감사인이 수용가능한 낮은 감사위험 수준에서 재무제표에 대한 의견을 표명할 수 있게 한다.
위험평가절차를 수행하여 입수한 정보는 중요왜곡표시위험의 식별과 평가에 근거를 제공하는 감사증거로 이용된다. 예를 들어, 통제활동 구성요소에서 식별된 통제의 설계를 평가하고 이러한 통제가 실행되었는지를 평가할 때 입수한 감사증거는 위험평가를 뒷받침하는 감사증거로 이용된다. 그러한 증거는 또한 감사인이 평가된 재무제표 수준의 중요왜곡표시위험에 대처하는 전반적인 대응을 설계하는 근거를 제공해 주며, 감사기준서 330에 따라 평가된 경영진주장 수준의 중요왜곡표시위험에 대응하여 추가감사절차의 성격, 시기 및 범위를 설계하고 수행하는 근거를 제공해 준다.
중요왜곡표시위험의 식별 (문단 28 참조)
중요왜곡표시위험의 식별은 또한 관련경영진주장에 대한 감사인의 결정에 근거를 제공해주며, 감사인이 유의적인 거래유형, 계정잔액 및 공시를 결정하는 데 도움을 준다.
경영진주장
감사인이 경영진주장을 이용하는 이유
중요왜곡표시위험을 식별하고 평가할 때, 감사인은 다양한 형태의 발생가능한 잠재적 왜곡표시를 고려하기 위하여 경영진주장을 이용한다. 감사인이 관련 중요왜곡표시위험을 식별한 경영진주장은 관련경영진주장이다.
경영진주장의 이용
중요왜곡표시위험을 식별하고 평가할 때, 감사인은 문단 A190(a)-(b)에서 기술된 경영진주장의 범주를 이용할 수 있고, 아래 기술된 모든 측면이 포함된다면 이를 다르게 표현할 수도 있다. 감사인은 거래유형과 사건 및 관련 공시에 대한 경영진주장을 계정잔액 및 관련 공시에 대한 경영진주장과 결합하기로 선택할 수도 있다.
감사인이 여러 가지 발생가능한 잠재적인 왜곡표시의 유형들을 고려하기 위해 이용하는 경영진주장은 다음과 같이 구분될 수 있다.
(a)감사대상기간의 거래 및 사건의 유형과 관련 공시에 대한 경영진주장(i)발생사실 – 기록되거나 공시된 거래와 사건은 발생되었고 기업에 귀속됨(ii)완전성 – 기록되어야 하는 모든 거래와 사건은 기록되었으며 재무제표에 포함되어야 하는 모든 관련 공시는 재무제표에 포함되었음(iii)정확성 – 기록된 거래와 사건에 관련된 금액 및 기타 데이터는 적합하게 기록되었고 관련 공시는 적합하게 측정되고 기술되었음(iv)기간귀속 – 거래와 사건은 해당 보고기간에 기록되었음(v)분류 – 거래와 사건은 적절한 계정으로 기록되었음(vi)표시 – 거래와 사건은 적합하게 합해지거나 세분화되고 명확하게 기술되었으며 관련 공시는 해당 재무보고체계의 요구사항의 측면에서 관련성이 있으며 이해가능함(b)보고기간말 계정잔액 및 관련 공시에 대한 경영진주장(i)실재성 – 자산, 부채 및 주주지분은 실재함(ii)권리와 의무 – 기업은 자산에 대한 권리를 보유하거나 통제하고 있으며 부채는 기업의 의무임(iii)완전성 – 기록되어야 하는 자산, 부채 및 주주지분은 모두 기록되었으며 재무제표에 포함되어야 하는 모든 관련 공시는 재무제표에 포함되었음(iv)정확성, 평가 및 배분 – 자산, 부채 및 주주지분은 적합한 금액으로 재무제표에 계상되어 있고 평가나 배분의 결과는 적합하게 기록되어 있으며, 관련 공시는 적합하게 측정되고 기술되어 있음(v)분류 – 자산, 부채 및 주주지분은 적절한 계정으로 기록되었음(vi)표시 – 자산, 부채 및 주주지분은 적합하게 합산되거나 세분화되고 명확하게 기술되었으며 관련 공시는 해당 재무보고체계의 요구사항의 측면에서 관련성이 있으며 이해가능함
문단 A190(a)-(b)에서 기술된 경영진주장은, 적합하게 적용된다면, 기록된 거래나 사건의 유형 또는 계정잔액과 직접적으로 관련되지 않은 공시에서 발생할 수 있는 다양한 형태의 잠재적 왜곡표시를 고려할 때에도 사용될 수 있을 것이다.예시: 그러한 공시의 예로 해당 재무보고체계에서 기업이 위험의 원천, 위험관리의 목적, 정책 및 절차 그리고 위험 측정에 사용되는 방법 등 금융상품에서 발생하는 위험에 대한 노출을 기술하도록 요구할 수 있다.
공공부문에 특유한 고려사항
공공부문의 재무제표에 대한 경영진주장은 많은 경우, 경영진이 문단 A190(a)-(b)에 제시된 경영진주장에 추가하여 법규 또는 기타 지침의 요구에 따라 거래와 사건이 수행되었다고 주장할 수 있다. 그러한 경영진주장은 재무제표감사 범위에 포함될 것이다.
재무제표 수준의 중요왜곡표시위험 (문단 28(a), 30 참조)
감사인이 재무제표 수준의 중요왜곡표시위험을 식별하고 평가하는 이유
재무제표 수준의 중요왜곡표시위험은 또한 개별 경영진주장에 영향을 미치며 이러한 위험을 식별하는 것은 감사인이 경영진주장 수준의 중요왜곡표시위험을 식별하고 식별된 위험에 대처하는 추가감사절차를 설계하는 데 도움을 준다.
재무제표 수준의 중요왜곡표시위험의 식별과 평가
재무제표 수준의 중요왜곡표시위험은 재무제표 전체에 전반적으로 관련된 위험을 말하며, 잠재적으로 다수의 경영진주장에 영향을 미친다. 이러한 성격의 위험은 거래유형과 계정잔액 및 공시 수준의 특정 경영진주장에서 반드시 식별될 수 있는 위험이 아니다(예: 경영진의 통제무력화 위험). 그보다 이러한 위험은 경영진주장 수준의 중요왜곡표시위험이 전반적으로 증가될 수도 있는 상황을 나타낸다. 식별된 위험이 재무제표에 전반적으로 관련되는지 여부에 대한 감사인의 평가는 재무제표 수준의 중요왜곡표시위험에 대한 감사인의 평가를 뒷받침한다. 다른 경우에는 다수의 경영진주장이 이러한 위험에 취약한 것으로 식별될 수 있으며 따라서 경영진주장 수준의 중요왜곡표시위험에 대한 감사인의 위험 식별과 평가에 영향을 줄 수 있다.예시: 기업이 영업손실과 유동성 문제를 겪고 있으며 아직 확보되지 않은 자금조달에 의존하고 있다. 그러한 상황에서 감사인은 계속기업가정의 회계처리가 재무제표 수준의 중요왜곡표시위험을 야기한다고 판단할 수 있다. 이런 경우 회계체계는 청산기준을 사용하여 적용될 필요가 있을 수 있으며 이것은 모든 경영진주장에 전반적으로 영향을 줄 것이다.
부정으로 인한 중요왜곡표시위험은 재무제표 수준의 중요왜곡표시위험에 대한 감사인의 고려와 특히 관련될 수 있다.예시: 감사인은 경영진에 대한 질문을 통해서 운전자본의 유지를 위한 추가적인 자금조달을 위하여 대주와의 논의에 기업의 재무제표가 사용된다는 것을 이해한다. 따라서 감사인은 고유위험에 영향을 주는 부정위험요소로 인해 왜곡표시 가능성이 더 높다고 결정할 수 있다(즉, 자금조달을 확실히 이루기 위한 자산과 수익의 과대계상과 부채 및 비용의 과소계상과 같은 부정한 재무보고 위험 때문에, 재무제표가 중요하게 왜곡표시 될 위험).
통제환경과 내부통제시스템의 다른 구성요소에 대한 감사인의 이해와 관련 평가 결과 감사의견의 기초가 되는 감사증거를 입수하는 감사인의 능력에 의문이 들 수 있으며 해당 법규에서 해지가 가능한 상황에서는 계약 해지의 원인이 될 수 있다.예시: •기업의 통제환경을 평가한 결과 감사인은 기업 경영진의 성실성에 대하여 우려할 수 있으며, 그 우려가 매우 심각하여 경영진이 재무제표를 왜곡표시할 위험이 감사를 수행할 수 없을 정도라고 결론짓게 될 수 있다.•기업의 정보시스템과 커뮤니케이션에 대한 평가 결과, IT 환경의 유의적인 변화가 경영진이나 지배기구의 감시 없이 부실하게 관리되었다고 결정할 수 있다. 감사인은 기업의 회계기록의 상태와 신뢰성에 유의적인 우려가 있다고 결론지을 수 있다. 그러한 상황에서 감사인은 재무제표에 대한 적정의견을 뒷받침할 수 있는 충분하고 적합한 감사증거의 입수가 가능할 것 같지 않다고 결론을 내릴 수 있다.
감사기준서 70550)는 감사인이 한정의견이나 의견거절을 고려하거나, 관련 법규상 가능한 경우에는 감사업무를 해지할 필요가 있는지 여부를 결정할 때의 요구사항을 정하고 관련 지침을 제공한다.
- 감사기준서 705 “감사의견의 변형”
공공부문 특유의 고려사항
공공부문 실체의 경우 재무제표 수준의 위험 식별에는 정치적 환경, 공공의 이익 그리고 프로그램의 민감도와 관련된 사항에 대한 고려를 포함할 수 있다.
경영진주장 수준의 중요왜곡표시위험 (문단 28(b) 참조)
재무제표에 전반적으로 관련되지 않은 중요왜곡표시위험은 경영진주장 수준의 중요왜곡표시위험이다.
관련경영진주장과 유의적인 거래유형, 계정잔액 및 공시 (문단 29 참조)
관련경영진주장과 유의적 거래유형, 계정잔액 및 공시를 결정하는 이유
자동화된 도구와 기법
감사인은 유의적인 거래유형, 계정잔액 및 공시를 식별하는 데 도움을 주는 자동화된 기법을 이용할 수 있다.예시: •자동화된 도구와 기법을 이용하여 거래의 전체 모집단을 분석하여 거래의 성격, 원천, 규모 그리고 양을 이해할 수 있다. 자동화된 기법을 적용하여 감사인은 예를 들어 기말 시점에 ‘0’의 잔액을 가진 계정이 기중에 수많은 상계 거래와 분개로 이루어져 있는 것을 식별할 수 있으며 이것은 계정잔액이나 거래유형이 유의적임을 나타낸다(예: 급여청산계정). 동일한 급여청산계정에서 경영진(및 기타 직원)에 대한 비용정산이 식별될 수도 있으며 이는 특수관계자에 대한 지급이기 때문에 유의적인 공시일 수 있다.•수익 거래의 전체 모집단의 흐름을 분석함으로써 감사인은 이전에 식별하지 못하였던 유의적인 거래유형을 좀 더 쉽게 식별할 수 있다.
유의적일 수 있는 공시
유의적인 공시는 하나 이상의 관련경영진주장이 있는 질적, 양적 공시 모두를 포함한다. 질적 측면의 공시이면서 관련경영진주장이 있을 수 있어서 감사인이 유의적이라고 고려할 수 있는 공시의 예시는 다음 사항에 대한 공시를 포함한다.•재무적 곤경에 처한 기업의 유동성과 채무약정•손상을 인식하게 되는 사건이나 상황•미래에 대한 가정 등 추정불확실성의 주요 원천•회계정책 변경의 성격과, 예를 들어 새로운 재무보고 요구사항이 기업의 재무상태와 재무성과에 유의적인 영향을 줄 것으로 기대될 때와 같이 해당 재무보고체계에서 요구되는 기타 관련 공시•주식기준보상 약정. 인식된 금액이 어떻게 결정되었는지에 대한 정보와 기타 관련 공시를 포함함•특수관계자 및 특수관계자 거래•인식되거나 공시된 금액의 측정 불확실성을 이용자가 이해할 수 있게 하기 위한, 기업의 평가기법에 사용된 가정 변동의 영향을 포함한 민감도 분석
경영진주장 수준의 중요왜곡표시위험의 평가
고유위험의 평가 (문단 31-33 참조)
왜곡표시의 가능성과 규모의 평가 (문단 31 참조)
감사인이 왜곡표시의 가능성과 규모를 평가하는 이유
왜곡표시가 발생할 가능성과 왜곡표시의 발생 시 잠재적인 왜곡표시의 규모의 결합의 유의성에 따라 식별된 위험이 고유위험의 범위상 어느 지점으로 평가되는지 결정되며 이는 위험에 대처하기 위한 추가감사절차를 설계하는 데 필요한 정보를 제공한다. 따라서 감사인은 식별된 중요왜곡표시위험에 대하여 왜곡표시의 가능성과 규모를 평가한다.
식별된 중요왜곡표시위험의 고유위험에 대한 평가는 또한 감사인이 유의적 위험을 결정하는 데 도움을 준다. 감사인은 감사기준서 330과 다른 감사기준서에 따라 유의적 위험에 대한 구체적인 대응이 요구되기 때문에 유의적 위험을 결정한다.
고유위험요소는 감사인이 식별된 경영진주장 수준의 중요왜곡표시위험에 대하여 왜곡표시의 가능성과 규모를 평가하는 데 영향을 미친다. 거래유형, 계정잔액 또는 공시가 중요하게 왜곡표시될 가능성의 정도가 클수록 고유위험 평가는 더 높아질 것이다. 고유위험요소가 경영진주장의 왜곡표시 가능성에 영향을 주는 정도를 고려하는 것은 감사인이 경영진주장 수준의 중요왜곡표시위험에 대한 고유위험을 평가하고 그러한 위험에 더 정밀한 대응을 설계하는 데 도움을 준다.
고유위험의 범위
고유위험을 평가할 때 감사인은 전문가적 판단을 하여 왜곡표시의 가능성과 규모의 결합의 유의성을 결정한다.
특정 경영진주장 수준의 중요왜곡표시위험과 관련된 평가된 고유위험은 고유위험의 범위의 낮은 지점에서 높은 지점까지의 범위 내에서의 판단을 나타낸다. 범위 내의 어느 지점으로 고유위험이 평가되는지에 대한 판단은 기업의 성격, 규모 및 복잡성에 근거하여 달라질 수 있으며 왜곡표시의 가능성과 규모에 대한 평가와 고유위험요소를 고려한다.
왜곡표시의 가능성을 고려할 때 감사인은 고유위험요소에 대한 고려를 바탕으로 왜곡표시가 발생할 가능성을 고려한다.
왜곡표시의 규모를 고려할 때 감사인은 가능한 왜곡표시의 질적, 양적 측면을 고려한다(즉 거래유형, 계정잔액 또는 공시에 대한 경영진주장의 왜곡표시는 규모, 성격 또는 상황 때문에 중요한 것으로 판단될 수 있다).
감사인은 고유위험의 범위상 어느 지점으로 고유위험을 평가할지 결정할 때 가능한 왜곡표시의 가능성과 규모의 결합의 유의성을 이용한다. 가능성과 규모의 결합이 더 높을수록 고유위험이 더 높게 평가되며, 가능성과 규모의 결합이 낮을수록 고유위험이 더 낮게 평가된다.
위험이 고유위험의 범위상에서 높은 수준으로 평가되었다는 것이 왜곡표시의 규모와 가능성 모두가 높은 것으로 평가될 필요가 있다는 것을 의미하는 것은 아니다. 대신, 평가된 고유위험이 고유위험의 범위상 높은 수준인지 낮은 수준인지 여부를 결정하는 것은 고유위험의 범위상에서 중요한 왜곡표시의 규모와 가능성이 교차하는 지점이다. 높은 고유위험 평가는 또한 가능성과 규모의 다양한 결합에서 발생할 수 있다. 예를 들어 가능성은 낮지만 규모가 매우 큰 경우 고유위험이 높다고 평가될 수도 있다.
중요왜곡표시위험에 대응하기 위한 적합한 전략을 도출하기 위하여, 감사인은 고유위험에 대한 평가에 기초하여 중요왜곡표시위험을 고유위험의 범위를 따라 놓여 있는 범주 내에 지정할 수 있다. 이러한 범주는 다양한 방식으로 기술될 수 있다. 범주화의 방법에 관계없이, 경영진주장 수준의 식별된 중요왜곡표시위험에 대처하는 추가감사절차의 설계와 실행이 고유위험의 평가와 평가의 이유에 적합하게 대응한다면 감사인의 고유위험 평가는 적합하다.
전반적인 경영진주장 수준의 중요왜곡표시위험 (문단 31(b) 참조)
식별된 경영진주장 수준의 중요왜곡표시위험을 평가할 때 감사인은 일부 중요왜곡표시위험이 재무제표 전체에 더 전반적으로 관련되며 잠재적으로 다수의 왜곡표시에 영향을 준다고 결론지을 수 있다. 이런 상황에서 감사인은 재무제표 수준의 중요왜곡표시위험의 식별을 갱신할 수 있다.
중요왜곡표시위험이 다수의 경영진주장에 미치는 전반적인 영향으로 인하여 재무제표 수준의 위험으로 식별되면서 동시에 특정 경영진주장에서도 식별될 수 있는 상황에서 감사인은 해당 경영진주장 수준의 중요왜곡표시위험에 대한 고유위험을 평가할 때 이러한 위험을 고려하여야 한다.
공공부문에 특유한 고려사항
중요왜곡표시위험의 평가에 대한 전문가적 판단을 할 때, 공공부문 감사인은 규정과 지침의 복잡성 및 지침 등의 위반에 따른 위험을 고려할 수 있다.
유의적 위험 (문단 32 참조)
유의적 위험을 결정하는 이유와 감사에 대한 시사점
유의적 위험을 결정하면 감사인은 다음과 같은 구체적으로 요구되는 대응을 수행함으로써 고유위험의 범위의 위쪽 끝에 있는 이러한 위험에 좀 더 주의를 기울일 수 있다.•유의적 위험에 대처하는 통제는 문단26(a)(i)에 따라 식별되어야 하며, 문단 26(d)에 따라 통제가 효과적으로 설계되었고 실행되었는지 여부를 평가하여야 한다.•감사기준서 330은 유의적 위험에 대처하는 통제를 (감사인이 그러한 통제의 운영효과성에 의존하고자 하는 경우) 당기에 테스트하고, 식별된 유의적 위험에 구체적으로 대응하는 실증절차를 수행할 것을 요구한다.51)•감사기준서 330은 감사인의 위험평가가 높을수록 감사인이 더 설득력 있는 감사증거를 입수할 것을 요구한다.52)•감사기준서 260은 감사인이 식별한 유의적 위험에 대하여 지배기구와 커뮤니케이션할 것을 요구한다.53)•감사기준서 701은 감사인이 핵심감사사항이 될 수 있는 감사인의 주의를 요하는 사항들을 결정할 때 유의적 위험을 고려하도록 요구한다.54)•감사 과정의 적절한 단계에서 업무수행이사에 의한 감사문서의 시의적절한 검토는 유의적 위험을 포함한 유의적 사항들을 감사보고서일 이전에 적시에 업무수행이사가 만족하도록 해결할 수 있게 한다.55)•감사기준서 600은 유의적 위험이 그룹감사 내 부문과 관련된 경우 그룹업무수행이사가 더 많이 관여하고 그룹업무팀이 해당 부문에서 부문감사인이 수행할 업무를 지시하도록 요구한다.56)
유의적 위험의 결정
유의적 위험을 결정할 때 감사인은 먼저 고유위험의 범위에서 더 높게 평가된 중요왜곡표시위험을 식별하여 어떤 위험이 위쪽 끝에 근접할 수 있는지 고려하는 근거를 형성할 수 있다. 고유위험의 범위의 위쪽 끝에 근접하는지는 기업마다 다를 것이며, 기간마다 반드시 같지는 않을 것이다. 이는 위험이 평가되는 기업의 성격과 상황에 따라 달라질 수 있다.
평가된 중요왜곡표시위험 중 어떤 위험이 고유위험의 위쪽 끝에 근접하였고 따라서 유의적 위험인지 결정하는 것은, 해당 위험이 다른 감사기준서의 요구사항에 따라 유의적 위험으로 다루어지도록 명시된 종류가 아닌 한, 전문가적 판단사항이다. 감사기준서 240은 부정으로 인한 중요왜곡표시위험의 식별과 평가에 관한 추가적인 요구사항과 지침을 제공한다.57)예시: •슈퍼마켓 소매점의 현금은 (현금이 유용될 위험이 있기 때문에) 일반적으로 왜곡표시의 가능성이 높다고 결정되겠지만, 왜곡표시의 규모는 일반적으로 (매장에서 취급되는 물리적 현금이 적기 때문에) 매우 낮을 것이다. 고유위험의 범위에서 이러한 두 요소의 결합을 고려하면 현금의 실제성이 유의적 위험으로 결정되는 결과로 이어질 가능성은 낮을 것이다.•기업은 특정 사업 부문을 매각하기 위해 협상 중이다. 감사인은 영업권 손상에 미치는 영향을 고려하며, 주관성, 불확실성, 경영진편의 가능성 또는 그 밖의 부정 위험요소 등의 고유위험요소의 영향으로 인하여 왜곡표시의 가능성과 규모가 크다고 판단할 수 있다. 이로 인해 영업권 손상이 유의적 위험으로 결정될 수 있다.
감사인은 또한 고유위험을 평가할 때 고유위험요소의 상대적인 영향을 고려한다. 고유위험요소의 영향이 낮을수록 평가된 위험이 낮을 것이다. 고유위험이 높다고 평가되어 유의적 위험으로 결정될 수 있는 중요왜곡표시위험은 다음과 같은 사항에서 발생할 수 있다.•주관성이 있어 복수의 회계처리가 허용되는 거래•추정불확실성이 높거나 모델이 복잡한 회계추정치•계정잔액을 뒷받침하는 데이터 수집과 처리의 복잡성•복잡한 계산이 수반되는 계정잔액이나 양적 공시•다양한 해석이 따르는 회계원칙•회계의 변경이 수반되는 기업의 사업의 변화. 예를 들면, 인수합병
실증절차만으로 충분하고 적합한 감사증거를 제공하지 않는 위험 (문단 33 참조)
실증절차만으로는 충분하고 적합한 감사증거를 제공하지 않는 위험을 식별하여야 하는 이유
중요왜곡표시위험과 이에 대처하는 통제활동의 성격으로 인하여 일부 상황에서는 충분하고 적합한 감사증거를 입수하는 유일한 방법은 통제의 운영효과성을 테스트하는 것이다. 따라서 감사기준서 330에 따른 경영진주장 수준의 중요왜곡표시위험에 대처하는 추가감사절차의 설계와 수행에 대한 시사점 때문에 감사인에게 그러한 위험이 있는 경우 식별하도록 하는 요구사항이 있다.
실증절차만으로는 충분하고 적합한 감사증거를 제공하지 않는 위험의 결정
일상적인 사업거래가 수작업 개입이 거의 또는 전혀 없는 고도의 자동화된 처리과정을 거친다면, 그러한 위험과 관련하여 실증절차만을 수행하는 것은 가능하지 않을 수 있다. 기업의 IT 응용프로그램에 대한 고도의 통합이 이루어지는 정보시스템의 경우와 같이 상당량의 기업의 정보가 전자적 형태로만 개시, 기록, 처리 또는 보고되는 상황이 이러한 때에 해당된다고 고려할 수 있을 것이다. 이 경우는 다음과 같다.•감사증거는 단지 전자적 형태로만 이용가능하고, 증거의 충분성과 적합성은 일반적으로 정확성과 완전성에 대한 통제의 효과성에 따라 다름•부적절한 거래 개시나 정보의 변조가 발생하였으나 발견되지 않을 가능성은 적합한 통제가 효과적으로 운영되지 않는 경우에 더욱 커질 수 있음예시: 일반적으로 통신기업의 수익과 관련되어 실증절차만으로 충분하고 적합한 감사증거를 입수하는 것은 가능하지 않다. 왜냐하면 통화나 데이터활동의 증거는 관찰가능한 형태로 존재하지 않기 때문이다. 대신에 통화의 발생과 완료, 그리고 데이터활동(통화시간 또는 다운로드 용량)이 정확하게 포착되고 기업의 청구 시스템에 정확하게 기록되는지 결정하기 위하여 일반적으로 상당한 통제 테스트가 수행된다.
통제위험의 평가 (문단 34 참조)
통제의 운영효과성을 테스트할 감사인의 계획은 통제가 효과적으로 운영될 것이라는 기대에 근거하며 감사인의 통제위험의 평가에 대한 근거를 형성할 수 있다. 통제의 운영효과성에 대한 최초의 기대는 통제활동 구성요소에서 식별된 통제의 설계에 대한 감사인의 평가와 실행에 대한 판단에 기초한다. 일단 감사인이 감사기준서 330에 따라 통제의 운영효과성을 테스트하였다면, 감사인은 통제의 운영효과성에 대한 최초의 기대를 확인할 수 있을 것이다. 통제가 기대한 대로 효과적으로 운영되지 않는다면 감사인은 문단 37에 따라 통제위험평가를 갱신할 필요가 있을 것이다.
통제위험에 대한 감사인의 평가는 선호하는 감사 기법과 방법론에 따라 다양한 방식으로 수행될 수 있으며 다양한 방식으로 표현될 수 있다.
감사인이 통제의 운영효과성을 테스트할 계획이라면 통제가 효과적으로 운영되고 있다는 감사인의 기대를 확인하기 위하여 통제의 결합을 테스트할 필요가 있을 수 있다. 감사인은 IT 일반통제를 포함한 직접통제와 간접통제를 모두 테스트할 수 있으며 그러한 경우 통제위험을 평가할 때 통제의 결합된 기대효과를 고려한다. 테스트할 통제가 평가된 고유위험에 완전히 대처하지 않는 한, 감사인은 감사위험을 수용가능한 낮은 수준으로 낮추기 위하여 추가감사절차의 설계에 미치는 영향을 결정한다.
감사인이 자동화된 통제의 운영효과성을 테스트할 계획인 경우, 감사인은 IT의 사용으로 인한 위험에 대처하고 자동화된 통제가 전체 기간에 걸쳐 효과적으로 운영된다는 감사인의 기대에 대한 근거를 제공하기 위하여 그 자동화된 통제의 지속적인 작동을 뒷받침하는 관련 IT 일반통제의 운영효과성도 테스트하기로 계획할 수 있다. 감사인이 IT 일반통제가 비효과적이라고 기대한다면 이러한 결정은 경영진주장 수준의 통제위험의 평가에 영향을 줄 수 있으며 감사인의 추가감사절차는 IT의 사용으로 인한 해당 위험에 대처하는 실증절차를 포함할 필요가 있을 수 있다. 이러한 상황에서 감사인이 수행할 수 있는 절차에 대한 추가적인 지침은 감사기준서 330에 제공된다.60)
위험평가절차로부터 입수한 감사증거의 평가 (문단 35 참조)
감사인이 위험평가절차에서 입수한 감사증거를 평가하는 이유
위험평가절차를 수행하여 입수한 감사증거는 중요왜곡표시위험의 식별과 평가에 대한 근거를 제공한다. 이것은 감사인이 감사기준서 330에 따라 경영진주장 수준의 평가된 중요왜곡표시위험에 대응하여 추가감사절차의 성격, 시기 및 범위를 설계하는 데 근거를 제공한다. 따라서 위험평가절차에서 입수한 감사증거는 재무제표 수준과 경영진주장 수준에서 부정이나 오류로 인한 중요왜곡표시위험을 식별하고 평가하기 위한 근거를 제공한다.
감사증거의 평가
전문가적 의구심
위험평가절차에서 입수한 감사증거를 평가할 때, 감사인은 중요왜곡표시위험을 식별할 수 있도록 기업과 기업환경, 해당 재무보고체계 및 기업의 내부통제시스템에 대하여 충분한 이해를 하였는지 여부와 중요왜곡표시위험을 나타낼 수 있는 상반된 증거가 있는지 여부를 고려한다.
유의적이지 않지만 중요한 거래유형, 계정잔액 및 공시 (문단 36 참조)
중요하지만 유의적인 거래유형, 계정잔액 또는 공시로 결정되지 않은 거래유형, 계정잔액 또는 공시가 있을 수 있다(즉 식별된 관련경영진주장이 없음).예시: 기업이 임원 보상을 공시하였으나 감사인은 해당 공시에서 중요왜곡표시위험을 식별하지 않을 수 있다. 그러나 감사인은 이 공시는 문단 A233의 고려에 근거하였을 때 중요하다고 결정할 수 있다.
위험평가의 수정 (문단 37 참조)
감사과정에서 위험평가절차의 근거가 되는 정보와 유의적으로 다른 새로운 정보나 기타 정보가 감사인의 주의를 끌 수 있다.예시: 해당 기업의 위험평가는 특정 통제가 효과적으로 운영되고 있다는 기대에 근거할 수 있다. 이러한 통제에 대한 테스트를 수행하면서 감사인은 해당 통제가 감사 기간 동안 관련 시점에 효과적으로 운영되지 않고 있다는 감사증거를 입수할 수 있다. 이와 유사하게 감사인은 실증절차를 수행하면서 감사인의 위험평가와 일관되지 않은 금액이 더 크거나 빈도가 더 빈번한 왜곡표시를 발견할 수 있다. 그러한 상황에서 위험평가는 기업의 실제 상황을 적절하게 반영하지 않을 수 있으며 계획된 추가적인 감사절차가 중요한 왜곡표시를 적발하는 데 효과적이지 않을 수 있다. 감사기준서 330의 문단 16과 17은 통제의 운영효과성을 평가하는 데 대한 추가적인 지침을 제공한다.
문서화 (문단 38 참조)
계속감사의 경우 특정 문서를 이월하여 기업의 사업이나 절차의 변화를 반영하는 데 필요한 갱신을 할 수 있다.
감사기준서 230에서는 감사인이 전문가적 의구심의 행사를 문서화하는 방법이 한 가지만 있는 것은 아니지만 그럼에도 감사문서는 감사인의 전문가적 의구심의 행사에 대한 증거를 제공할 수 있다고 설명하고 있다.65) 예를 들어, 위험평가절차에서 입수한 감사증거에 경영진의 주장을 확인하는 증거와 경영진의 주장과 상반되는 증거가 모두 포함된다면, 문서화에는 감사인이 감사증거가 중요왜곡표시위험의 식별과 평가를 위한 충분하고 적합한 근거를 제공하는지 여부에 대한 평가를 할 때 내린 전문가적 판단을 포함하여 그 증거를 어떻게 평가하였는지를 포함할 수 있다. 감사인에 의한 전문가적 의구심 행사의 증거를 제공하는 문서화에 대한 이 감사기준서의 기타 요구사항의 예시는 다음과 같다.•문단 13. 감사인이 위험의 존재를 확인하는 감사증거를 입수하고 위험의 존재와 상반되는 감사증거를 배제하는 쪽으로 편향되지 않은 방식으로 위험평가절차를 설계하고 수행하도록 요구한다.•문단 17. 해당 재무보고체계의 적용과 기업의 재무제표가 중요하게 왜곡표시될 가능성에 대하여 주요 업무팀원들 간의 토의를 요구한다.•문단 19(b)와 문단20. 감사인이 기업의 회계정책의 변화의 이유를 이해하고 회계정책이 해당 재무보고체계에 적합하고 일관되는지 평가하도록 요구한다.•문단 21(b), 22(b), 23(b), 24(c), 25(c), 26(d), 27. 감사인이 요구되는 이해에 근거하여 기업의 내부통제시스템의 구성요소가 기업의 성격과 복잡성을 고려하였을 때 기업의 상황에 적합한지 여부를 평가하고 하나 이상의 통제 미비점이 식별되었는지 결정하도록 요구한다.•문단 35. 감사인이 경영진의 주장에 대하여 확인적이거나 상반되거나 간에 위험평가절차에서 입수한 모든 감사증거를 고려하고 위험평가절차에서 입수한 감사증거가 중요왜곡표시위험의 식별과 평가에 대한 적합한 근거를 제공하는지 여부를 평가하도록 요구한다.•문단 36. 해당되는 경우 중요한 거래유형, 계정잔액 또는 공시에 대한 중요한 왜곡표시가 없다는 감사인의 결정이 여전히 적합한지 여부를 평가하도록 요구한다.
확장가능성
문단 38의 요구사항이 문서화되는 방식은 감사인이 전문가적 판단을 사용하여 결정한다.
어려운 판단에 대한 근거를 뒷받침하기 위해서는 해당 감사에 대한 이전 경험이 없는 숙련된 감사인이 수행된 감사절차의 성격, 시기 및 범위를 이해하도록 하기에 충분한 더욱 자세한 문서화가 요구될 수 있다.
덜 복잡한 기업의 감사에서 문서화의 형태와 범위는 단순하고 상대적으로 간략할 수 있다. 감사인의 문서화의 형태와 범위는 기업의 성격, 규모 및 복잡성, 기업의 내부통제시스템, 기업으로부터 정보의 이용가능성, 감사과정에 사용되는 감사방법론과 기술의 영향을 받는다. 기업과 기업에 관련된 사항들에 대한 감사인의 이해를 모두 문서화할 필요는 없다. 감사인이 문서화할 이해의 핵심요소66)는 중요왜곡표시위험의 평가에 근거가 된 사항들이 포함된다. 그러나, 감사인이 경영진주장 수준의 중요왜곡표시위험의 식별과 평가에 고려한 모든 고유위험요소를 문서화하도록 요구되지는 않는다.예시: 덜 복잡한 기업의 감사에서 감사문서화는 감사인이 전반감사전략과 감사계획을 문서화할 때에 포함시킬 수 있다.67) 마찬가지로, 예를 들어 위험평가결과는 별도로 문서화하거나 감사인의 추가감사절차에 대한 문서화의 일부로써 포함될 수도 있다.68)
보론
보론 1 기업과 기업의 사업모델의 이해를 위한 고려사항 (문단 A61-A67 참조)
이 보론은 기업의 사업모델의 목적과 범위를 설명하고 감사인이 사업모델에 포함될 수 있는 기업의 활동을 이해할 때 고려할 수 있는 사항의 예시를 제공한다. 기업의 사업모델과 사업모델이 사업전략과 사업목적에 영향을 받는 방식에 대한 감사인의 이해는 감사인이 재무제표에 영향을 미칠 수 있는 사업위험을 식별하는 데 도움을 준다. 또한 이러한 이해는 감사인이 중요왜곡표시위험을 식별하는 데 도움을 준다.
기업의 사업모델의 목적과 범위
기업의 사업모델은 기업이 예를 들어 조직구조, 영업이나 활동의 범위, 사업분야(경쟁자와 고객 포함), 프로세스, 성장기회, 세계화, 규제 요구사항 및 기술을 고려하는 방식을 설명한다. 기업의 사업모델은 기업이 주주를 위한 재무적 가치 혹은 광범위한 가치를 창출하고 보전하고 포착하는 방식을 설명한다.
전략은 기업이 직면한 위험과 기회에 대처하는 계획을 세우는 방법을 포함하여 경영진이 기업의 목적을 달성하기 위하여 계획한 접근법이다. 기업의 전략은 목적과 기업이 운영되는 내외부의 상황의 변화에 대응하기 위하여 경영진에 의해 시간이 지남에 따라 변경된다.
사업모델에 대한 설명에는 일반적으로 다음을 포함한다.
• 기업의 활동의 범위와 활동의 이유
• 기업의 구조와 운영의 규모
• 기업이 운영되는 시장이나 지리적 또는 인구학적 영역, 가치 사슬의 일부, 기업이 그러한 시장 또는 영역과 어떻게 관련되는지(주요 제품, 고객층 및 유통 방법), 그리고 경쟁기반
• 기업이 활동을 수행하는 데 사용하는 사업 또는 운영프로세스(예: 투자, 자금조달 및 운영과정). 가치를 창출, 보전 또는 포착하는 데 중요한 사업프로세스의 부분에 초점을 둠
• 성공에 필요하거나 중요한 자원(예: 재무적 자원, 인적 자원, 지적 자원, 환경 자원 및 기술적 자원), 기타 투입물 및 관계(예: 고객, 경쟁업체, 공급업체 및 종업원)
• 기업의 사업모델이 IT 인터페이스 및 기타 기술을 통해 고객, 공급자, 대주 및 기타 이해관계자와의 상호작용에 IT의 사용을 통합하는 방법
사업위험은 경영진주장 수준이나 재무제표 수준에서 거래유형, 계정잔액 및 공시에 대한 중요왜곡표시위험에 즉각적인 결과를 초래할 수 있다. 예를 들어, 부동산 시장가치의 유의적인 하락에서 발생하는 사업위험은 중기 부동산담보대출의 대주에게 있어 평가 경영진주장과 관련된 중요왜곡표시위험을 증가시킬 수 있다. 그러나 동일한 위험은, 특히 대출금에 대한 전체기간 신용손실의 기초위험을 동시에 증가시키는 심각한 경기침체와 결합하여 더 장기적인 결과를 가져올 수도 있다. 이에 따른 신용손실에 대한 순노출은 계속기업으로 존속할 수 있는 기업의 능력에 유의적인 의문을 제기할 수 있다. 만약 그렇다면, 이는 경영진과 감사인이 계속기업 가정의 회계의 적합성에 대한 결론과 중요한 불확실성의 존재 여부를 결정하는 데 영향을 미칠 수 있다. 따라서 사업위험이 중요왜곡표시위험을 초래할 수 있는지는 기업의 상황에 비추어 고려한다. 중요왜곡표시위험을 야기할 수 있는 사건과 상황의 예는 보론 2에 제시되어 있다.
기업의 활동
기업의 활동(기업의 사업모델에 포함됨)을 이해할 때 감사인이 고려할 사항들의 예시는 다음과 같다.
(a) 다음과 같은 사업운영
° 수익 원천, 제품 또는 서비스, 시장의 성격(인터넷 매출과 마케팅 활동과 같은 전자상거래의 관여 포함)
° 사업의 수행(예를 들어 생산의 단계와 방법 또는 환경적 위험에 노출된 활동)
° 제휴, 합작투자 및 외주활동
° 지리적 분산과 산업 세분화
° 생산설비, 창고 및 사무실의 위치, 재고의 위치 및 수량
° 주요 고객 및 제품과 서비스의 중요한 공급자, 고용약정(노동조합계약의 존재, 연금 및 기타 퇴직후급여, 스톡옵션 또는 인센티브 약정, 고용사항과 관련된 정보규제 등)
° 연구개발활동과 지출
° 특수관계자와의 거래
(b) 다음과 같은 투자 및 투자활동
° 계획 중인 또는 최근에 실행한 취득 또는 매각
° 주식과 채권의 투자와 처분
° 자본투자 활동
° 파트너십, 조인트벤처, 특수목적기업 등 연결대상에서 제외되는 기업들에 대한 투자
(c) 다음과 같은 자금조달 및 자금조달 활동
° 주요 종속기업과 관계기업(연결대상 또는 연결대상에서 제외되는 구조 포함)
° 채무구조 및 관련 조건(부외 금융약정과 리스약정 포함)
° 수익자(예를 들면, 국내, 국외, 사업평판과 경험)와 특수관계자
° 파생금융상품의 이용
특수목적기업의 성격
특수목적기업 (특수목적기구라고도 함)은 금융자산에 대한 리스 또는 유동화를 실행하거나 연구개발활동을 수행하는 것과 같이 일반적으로 협의의 명확한 목적을 위해 설립된 기업이다. 이는 법인, 신탁, 파트너십 또는 조합의 형태를 띨 수 있다. 기업은 특수목적기업을 설립하기 위해 많은 경우 해당 특수목적기업에 자산을 양도하고(예를 들어, 그 일환으로 금융자산의 제거거래가 수반됨), 특수목적기업의 자산을 사용할 권리를 얻거나 특수목적기업을 위해 서비스를 수행할 권리를 취득하는데, 이와 달리 해당 특수목적기업에 자금을 제공하는 경우도 있다. 감사기준서 550에서 언급한 바와 같이, 특수목적기업은 어떤 상황에서는 해당 기업의 특수관계자일 것이다.69)
재무보고체계에서는 많은 경우에 지배력이 있는 것으로 보는 세부적인 요건 또는 특수목적기업이 연결범위에 포함되는지 고려하여야 하는 상황을 규정한다. 그러한 재무보고체계의 요구사항을 해석할 때는 많은 경우에 특수목적기업과 관련된 계약에 대하여 세부적인 지식이 요구된다.
보론 2 고유위험요소의 이해 (문단 12(f), 19(e), A7-A8, A85-89 참조)
이 보론은 고유위험요소와 경영진주장 수준의 중요왜곡표시위험의 식별과 평가에 고유위험요소를 이해하고 적용할 때 고려할 사항들에 대한 추가적인 설명을 제공한다.
고유위험요소
고유위험요소는 통제를 고려하기 전에 거래유형, 계정잔액 또는 공시에 대한 경영진주장이 부정이나 오류로 인하여 왜곡표시될 가능성에 영향을 미치는 사건이나 상황의 특성이다. 그러한 요소들은 질적이거나 양적일 수 있으며 복잡성, 주관성, 변화, 불확실성 또는 경영진 편의나 고유위험에 영향을 주는 한 기타 다른 부정위험요소70)로 인한 왜곡표시 가능성을 포함한다. 문단 19(a)-(b)에 따라 기업과 기업환경, 해당 재무보고체계 및 기업의 회계정책을 이해할 때, 감사인은 재무제표 작성에 있어 고유위험요소가 경영진주장이 왜곡표시될 가능성에 어떻게 영향을 주는지 또한 이해한다.
해당 재무보고체계에서 요구되는 정보(이 문단에서는 ‘요구되는 정보’로 부른다)의 작성과 관련된 고유위험요소는 다음을 포함한다.
• 복잡성 – 요구되는 정보의 성격이나 정보를 작성하는 방식에서 발생하며, 이러한 작성 과정이 본질적으로 더 적용하기 어려운 경우를 포함한다. 복잡성이 발생하는 상황의 예는 다음과 같다.
° 공급자할인 충당금을 계산할 때. 많은 서로 다른 공급자와의 다양한 상거래조건 또는 할인액 계산과 관련된 서로 연관된 많은 상거래 조건을 고려할 필요가 있기 때문이다.
° 회계추정치를 도출할 때 사용되는 많은 다른 특성을 가진 잠재적 데이터 원천이 있을 때. 데이터의 처리에 상호 관련된 많은 단계가 있어서 데이터의 식별, 포착, 접근, 이해 또는 처리가 본질적으로 어렵다.
• 주관성 – 지식이나 정보의 이용가능성의 제한으로 인하여 요구되는 정보를 객관적인 방식으로 작성하는 능력이 본질적으로 제한되는 데에서 발생한다. 예를 들어 경영진은 적합한 접근법과 그 결과 재무제표에 포함할 정보에 대하여 선택을 하거나 주관적인 판단을 하게 될 수 있다. 요구되는 정보를 작성하기 위한 접근법이 다양하기 때문에 해당 재무보고체계의 요구사항을 적절히 적용하더라도 다양한 결과가 나올 수 있다. 지식이나 정보의 제한이 증가할수록 합리적인 지식을 가진 독립적인 개인이 내린 판단의 주관성과 이러한 판단에 따라 가능한 결과의 다양성도 증가할 것이다.
• 변화 – 사건이나 상황이 시간의 경과에 따라 기업의 사업이나 경제, 회계, 규제, 산업 또는 기업이 영위하는 환경의 기타 측면에 영향을 주고 그 영향이 요구되는 정보에 반영될 때 발생한다. 이러한 사건과 상황은 재무보고기간 중에 또는 그 사이에 발생할 수 있다. 예를 들어 해당 재무보고체계의 요구사항이나 기업과 기업의 사업모델 또는 기업을 운영하는 환경의 발전으로 인하여 변화가 생길 수 있다. 그러한 변화는 경영진의 회계정책 선택이나 회계추정치가 도출되거나 관련 공시가 결정되는 방법과 관련되는 경우를 포함하여 경영진의 가정과 판단에 영향을 준다.
• 불확실성 – 요구되는 정보를 직접적인 관찰로 검증할 수 있는 충분히 정밀하고 포괄적인 데이터만으로 작성할 수 없는 경우에 발생한다. 이러한 상황에서 가능한 범위까지는 충분히 정밀하고 포괄적인 관측 가능한 데이터를 사용하고, 그렇지 않은 경우는 가장 적절한 이용가능한 데이터로 뒷받침되는 합리적인 가정을 사용하여, 정보를 작성하기 위해 이용 가능한 지식을 적용하는 접근방식을 취할 필요가 있을 수 있다. 지식이나 데이터의 가용성에 대한 제약은 그러한 제약이 경영진의 통제를 벗어난 경우(해당되는 경우 비용 제약 포함) 불확실성의 원천이며 그러한 제약이 요구되는 정보의 작성에 미치는 영향을 제거할 수는 없다. 예를 들어, 추정불확실성은 요구되는 화폐금액을 정확하게 산정할 수 없고 재무제표가 확정되기 전에 추정 결과를 알 수 없는 경우에 발생한다.
• 경영진편의 또는 고유위험에 영향을 주는 기타 부정위험요소로 인한 왜곡표시 가능성 – 경영진편의로 인한 왜곡표시 가능성은 정보를 작성하면서 경영진의 의도하거나 의도하지 않게 중립성 유지에 실패할 가능성을 만드는 상황에서 발생한다. 경영진편의는 많은 경우에 경영진이 판단을 함에 있어 중립성을 유지하지 못하도록 하는 잠재적 가능성이 있거나 의도적이라면 부정일 수 있는 정보의 중요한 왜곡표시로 이어질 수 있는 특정 상황(잠재적인 경영진편의의 징후)과 관련된다. 그러한 징후는 고유위험에 영향을 미치는 한 동기와 압력(예를 들어, 원하는 이익 목표나 자본비율과 같이 원하는 결과를 달성하도록 하는 동기부여의 결과로), 기회, 중립성을 유지하지 못하는 것을 포함한다. 부정한 재무보고나 자산의 유용 형태의 부정으로 인한 왜곡표시 가능성에 관한 요소는 감사기준서 240의 문단 A1-A5에 기술되어 있다.
복잡성이 고유위험요소일 때 정보를 작성하는 데 더 복잡한 절차가 본질적으로 필요할 수 있으며 그러한 절차는 본질적으로 적용하기에 더 어려울 수 있다. 그 결과 이의 적용을 위해서는 전문적인 기술과 지식이 필요하며 경영진측 전문가의 이용이 필요할 수 있다.
경영진의 판단이 좀 더 주관적일수록, 의도하였든 의도하지 않았든, 경영진 편의로 인한 왜곡표시 가능성 또한 증가한다. 예를 들어, 추정불확실성이 높은 것으로 식별된 회계추정치의 도출에 유의적인 경영진의 판단이 수반될 수 있으며 방법, 데이터 및 가정에 대한 결론에 의도하거나 의도하지 않은 경영진 편의가 반영될 수 있다.
중요왜곡표시위험을 유발할 수 있는 사건이나 상황의 예시
다음은 재무제표 수준과 경영진주장 수준에서 재무제표의 중요왜곡표시위험을 유발할 수 있는 사건(거래 포함)이나 상황의 예시이다. 고유위험요소별로 제공되는 예시는 광범위한 사건과 상황을 포함하지만 모든 사건과 상황이 전체 감사업무에 관련된 것은 아니며 사례의 목록이 반드시 완전한 것은 아니다. 각 사건과 상황은, 상황에 따라 가장 영향이 클 수 있는 고유위험요소별로 범주화되었다. 중요한 것으로는 고유위험요소 간 상호관련성으로 인하여 예시 사건과 상황은 다양한 정도로 다른 고유위험요소에 속하거나 다른 고유위험요소의 영향을 받을 것이라는 점이다.
| 관련 고유위험요소 | 경영진주장 수준의 중요왜곡표시위험의 존재를 나타낼 수 있는 사건이나 상황의 예시 |
|---|---|
| 복잡성 | 규제: •높은 수준의 복잡한 규제를 따르는 영업 사업모델: •복잡한 제휴와 합작투자 해당 재무보고체계: •복잡한 절차를 수반하는 회계측정 거래: •부외 자금조달, 특수목적기업, 기타 복잡한 재무 약정의 사용 |
| 주관성 | 해당 재무보고체계:•회계추정치에 대한 광범위한 가능한 측정 요건. 예를 들어 감가상각 또는 공사수익과 공사원가의 인식•투자부동산과 같은 비유동자산의 평가기법이나 모델에 대한 경영진의 선택 |
| 변화 | 경제 상황: •예를 들어 통화가 유의적으로 평가절하되거나 인플레이션이 극심한 국가와 같이 경제적으로 불안정한 지역에서의 영업 시장: •변동성 있는 시장에 노출된 영업. 예를 들어 선물시장. 고객 이탈: •유의적인 고객의 이탈을 포함한 계속기업과 청산 이슈 산업모델: •기업이 속한 산업의 변화 사업모델: •공급망의 변화.•새로운 제품이나 서비스의 개발 또는 제안, 또는 새로운 사업 계열로의 진출 지리: •새로운 지역으로의 확장 기업 구조: •대규모 인수 또는 재조직화 또는 기타 비경상적인 사건과 같은 기업의 변화 •매각가능성이 높은 기업 또는 사업 부문 인적자원의 경쟁력: •핵심 임원의 이탈과 같은 핵심 인원의 변화 IT: •IT 환경의 변화•재무보고와 관련된 유의적인 새로운 IT 시스템의 설치 해당 재무보고체계: •새로운 회계 의견서의 적용 자본: •자본과 신용의 이용가능성에 대한 새로운 제약 규제기관: •규제기관이나 정부기관에 의한 기업의 영업이나 재무 결과에 대한 조사의 착수•환경보호와 관련된 새로운 법률의 영향 |
| 불확실성 | 보고: •회계추정치와 관련 공시를 포함한 유의적인 측정 불확실성이 있는 사건이나 거래 •계류중인 소송과 우발부채. 예를 들어 판매보증, 재무보증, 환경복구 |
| 경영진편의 또는 고유위험에 영향을 미치는 기타 부정위험요소로 인한 왜곡표시 가능성 | 보고: •경영진과 종업원이 부정한 재무보고(공시상 유의적인 정보의 생략이나 모호한 기술 포함)에 개입할 기회 거래: •특수관계자와의 유의적인 거래 •유의적인 수의 비일상적이고 비체계적 거래(회사 간 거래 및 기말 시점의 거액의 수익거래 포함) •경영진의 의도에 기초하여 기록되는 거래. 예를 들어 채무재조달, 매각예정자산, 시장성 유가증권의 분류 |
재무제표 수준의 중요왜곡표시위험을 나타낼 수 있는 기타 사건과 상황
• 적합한 회계 및 재무보고 기술을 갖춘 인력의 부족
• 통제 미비점 - 특히 통제 환경, 위험평가절차와 모니터링 절차에서의 미비점으로 특히 경영진에 의해 대처가 되지 않은 것
• 과거의 왜곡표시, 오류의 이력 또는 기말시점의 유의적인 금액의 조정
보론 3 기업의 내부통제시스템의 이해 (문단 12(m), 21-26, A90-A181 참조)
기업의 내부통제시스템은 정책과 절차 매뉴얼, 시스템과 양식, 그리고 그 안에 내재된 정보에 반영되어 있을 수 있으며 사람들에 의해 작동된다. 기업의 내부통제시스템은 기업의 구조에 따라 경영진, 지배기구 및 기타 인원에 의해 실행된다. 기업의 내부통제시스템은 경영진, 지배기구 및 기타 인원의 의사결정에 따라 법규 요구사항의 관점에서 기업의 사업모델과 법적 구조 또는 이들의 결합에 적용될 수 있다.
이 보론은 재무제표 감사와 관련된 문단 12(m), 21~26, A90~A181에서 서술한 기업의 내부통제시스템의 구성요소와 한계를 추가로 설명한다.
기업의 내부통제시스템에는 재무보고목적을 포함하여 기업의 보고목적과 관련된 측면이 포함되지만 운영이나 준수목적과 관련된 측면도 포함될 수 있다.
예시:
법규의 준수에 대한 통제는 통제가 기업의 재무제표의 우발사항에 대한 공시 작성과 관련이 있는 경우 재무보고와 관련될 수 있다.
기업의 내부통제시스템의 구성요소
통제환경
통제환경에는 지배구조와 경영기능, 지배기구와 경영진의 내부통제시스템에 대한 태도, 인식, 행동과, 내부통제시스템의 기업 내에서의 중요성이 포함된다. 통제환경은 조직의 분위기를 조성하여 조직 구성원들의 통제 의식에 영향을 미치며, 기업의 내부통제시스템의 다른 구성요소들의 운영을 위한 전반적인 기초를 제공한다.
기업의 통제의식은 지배기구의 영향을 받는데, 지배기구의 역할 중 하나는 시장의 요구나 보상제도에서 발생할 수 있는 재무보고와 관련된 경영진에 대한 압력을 상쇄하는 것이기 때문이다. 따라서 지배기구의 참여와 관련된 통제환경 설계의 효과성은 다음과 같은 사항에 의해 영향을 받는다:
• 지배기구의 경영진으로부터의 독립성과 경영진의 행동을 평가하는 능력
• 지배기구가 기업의 사업 거래를 이해하는지 여부
• 재무제표에 적절한 공시가 포함되어 있는지를 포함하여 재무제표가 해당 재무보고체계에 따라 작성되었는지를 평가하는 정도
통제환경에는 다음과 같은 요소가 포함된다:
(a) 기업의 문화를 조성하고 유지하며, 정직성과 윤리적 가치에 대한 경영진의 의지를 보여주는 등 경영진의 책임이 수행되는 방법. 통제의 효과성은 통제를 만들고, 관리하고, 감시하는 사람들의 성실성과 윤리적 가치 이상으로 올라갈 수 없다. 성실성과 윤리적 행동은 기업의 윤리적, 행동기준과 행동강령, 그것들이 전달되는 방법(예: 정책 성명을 통해), 실무에서 강화되는 방법(예: 직원들이 정직하지 않은, 불법적인 또는 비윤리적인 행동을 하도록 유도하는 유인이나 유혹을 제거하거나 완화하기 위한 경영진의 행동을 통해)의 산물이다. 성실성과 윤리적 가치에 대한 기업 정책의 커뮤니케이션에는 정책성명서와 행동 강령을 통해 그리고 사례를 통해 직원들에게 행동기준을 커뮤니케이션하는 것이 포함될 수 있다.
(b) 지배기구가 경영진과 분리되어 있을 때, 지배기구가 경영진으로부터 독립성을 입증하고 기업의 내부통제시스템에 대한 감독을 행사하는 방법. 기업의 통제의식은 지배기구에 의해 영향을 받는다. 고려사항에는 평가와 의사결정에서 경영진과 충분히 독립적이고 객관적인 개인이 충분히 있는지 여부, 지배기구가 감시책임을 식별하고 수용하는 방법, 그리고 지배기구가 경영진의 내부통제시스템 설계와 실행 및 수행에 대한 감독 책임을 유지하는지 여부가 포함될 수 있다. 지배기구의 책임의 중요성은 지배기구를 위해 작성된 실천강령 및 기타 법규 또는 지침에서 인식된다. 지배기구의 다른 책임에는 내부고발절차의 설계와 효과적인 운영에 대한 감시가 포함된다.
(c) 기업이 목적을 추구하기 위해 권한과 책임을 부여하는 방법. 여기에는 다음에 대한 고려사항이 포함될 수 있다:
• 권한 및 책임의 핵심 영역 및 적절한 보고 라인
• 적절한 사업 관행, 핵심 인력의 지식 및 경험, 임무 수행을 위해 제공되는 자원과 관련된 정책
• 모든 직원이 기업의 목적을 이해하고, 그들의 개별 행동이 그러한 목적과 어떻게 상호 관련되고 기여하는지를 알고, 그들이 어떻게 그리고 무슨 책임을 질 것인지를 인식하도록 하기 위한 정책과 커뮤니케이션
(d) 기업이 자신의 목적에 따라 역량있는 개인을 유치하고, 육성하고, 유지하는 방법. 여기에는 다음과 같이 개인이 각 개인의 직무를 정의하는 과업을 달성하는 데 필요한 지식과 기술을 보유하도록 하는 방법이 포함된다:
• 가장 적격한 인력을 채용하기 위한 기준. 교육 배경, 이전 업무 경험, 과거 성과, 성실성 및 윤리적 행동의 증거에 중점을 둠
• 잠재적 역할과 책임을 전달하는 훈련 정책. 기대되는 성과 및 행동 수준을 설명하는 교육기관과 세미나와 같은 관행을 포함함
• 정기적인 성과평가. 성과평가가 주도하는 승진을 통해 적격한 자를 상위직책으로 진급시킨다는 기업의 약속을 보여줌
(e) 기업의 내부통제시스템의 목적을 추구하면서 개인에게 책임을 묻는 방법. 이것을 수행하는 방법의 예는 다음과 같다.
• 통제책임의 수행에 대해 개인에게 전달하고 책임을 물으며 필요에 따라 시정조치를 이행하기 위한 체계
• 기업의 내부통제시스템에 책임이 있는 사람들에 대한 성과측정치, 인센티브 및 보상 기준을 수립함. 성과측정치를 평가하고 관련성을 유지하는 방법 포함
• 통제목표 달성과 관련된 압력이 개인의 책임과 성과 측정에 영향을 미치는 방법
• 필요에 따라 개인을 훈련시키는 방법
위 사항의 적절성은 기업의 규모, 구조의 복잡성 및 활동의 성격에 따라 기업마다 다를 것이다.
기업의 위험평가절차
기업의 위험평가절차는 기업의 목적을 달성하기 위하여 위험을 식별하고 분석하는 반복적 절차이며 경영진과 지배기구가 관리할 위험을 결정하는 방법의 근거를 형성한다.
재무보고 목적상, 기업의 위험평가절차는 경영진이 해당 재무보고체계에 따른 재무제표의 작성과 관련된 사업위험을 식별하고, 그 유의성을 추정하고, 발생할 가능성을 평가하며, 그 위험들과 그 결과를 관리하기 위한 조치를 결정하는 방법을 포함한다. 예를 들어, 기업의 위험평가절차는 기업이 거래가 기록되지 않을 가능성을 어떻게 고려하는지 또는 재무제표에 기록된 유의적인 추정치를 어떻게 식별하고 분석하는지를 다룰 수 있다.
신뢰할 수 있는 재무보고와 관련된 위험에는 재무제표의 경영진 주장과 일관되게 재무정보를 개시, 기록, 처리, 보고하는 능력에 부정적 영향을 미칠 수 있는 내, 외부의 사건, 거래 또는 상황이 포함된다. 경영진은 특정 위험에 대처하기 위한 계획, 프로그램 또는 행동에 착수할 수도 있고, 비용이나 다른 고려사항들 때문에 위험을 수용하기로 결정할 수도 있다. 이러한 위험은 다음과 같은 상황으로 인하여 발생하거나 변화할 수 있다.
• 영업환경의 변화. 규제환경, 경제환경 또는 영업환경의 변화로 경쟁 압력이 변화하고 유의적으로 다른 위험이 발생할 수 있다.
• 신규 인력. 신규 인력은 내부통제에 대하여 다른 관점을 가지거나 내부통제를 다르게 이해할 수 있다.
• 신규 또는 개편된 정보시스템. 유의적이고 급속한 정보시스템의 변화는 내부통제와 관련된 위험을 변화시킬 수 있다.
• 급속한 성장. 유의적이고 급속한 영업확장은 통제가 한계에 봉착하게 할 수 있고 통제가 와해될 위험을 증가시킨다.
• 새로운 기술. 생산공정 또는 정보시스템에 새로운 기술이 도입되면 내부통제와 연관된 위험을 변화시킬 수 있다.
• 새로운 사업모델, 제품 또는 활동. 기업이 거의 경험이 없는 사업분야나 거래에 참여하는 것은 내부통제와 연관하여 새로운 위험을 발생시킬 수 있다.
• 기업 구조조정. 구조조정은 내부통제와 연관된 위험을 변화시킬 수 있는 인원감축, 감독 및 업무분장의 변화를 가져올 수 있다.
• 해외사업의 확장. 해외사업의 확장이나 취득은 내부통제에 영향을 미치는 새로운 위험이나 많은 경우에 독특한 위험(예를 들어 외환거래로부터 추가적이거나 변화된 위험)을 유발한다.
• 새로운 회계기준의 공표. 새로운 회계기준의 도입 또는 회계기준의 변경은 재무제표를 작성할 때의 위험에 영향을 미칠 수 있다.
• IT의 이용. 다음과 관련된 위험을 포함한다.
° 데이터와 정보처리의 무결성의 유지
° 기업의 IT 전략이 기업의 사업전략을 효과적으로 뒷받침하지 못할 경우 발생하는 기업의 사업전략의 위험
° 기업의 IT 환경상 변화나 중단, IT 인력의 이직 또는 기업이 IT 환경에 필요한 업데이트를 하지 못하거나 적시에 업데이트하지 못하는 경우
내부통제시스템을 모니터링하는 기업의 절차
내부통제시스템을 모니터링하는 기업의 절차는 기업의 내부통제시스템의 효과성을 평가하고 적시에 필요한 시정조치를 취하는 연속적인 과정이다. 내부통제시스템을 모니터링하는 기업의 절차는 상시 활동, 별도의 평가(주기적으로 수행됨), 또는 이 두 가지의 결합으로 이루어질 수 있다. 상시 모니터링 활동은 많은 경우에 기업의 일상적이고 반복적인 활동에 포함되며, 정기적인 경영 및 감독 활동을 포함할 수 있다. 모니터링 절차의 범위와 빈도는 기업의 위험 평가에 따라 다양할 것이다.
내부감사기능의 목적과 범위는 일반적으로 기업의 내부통제시스템의 효과성을 평가하거나 모니터링하도록 설계된 활동을 포함한다.71) 내부통제시스템을 모니터링하는 기업의 절차는 은행계정조정이 적시에 작성되고 있는지 여부에 대한 경영진의 검토, 영업사원의 판매계약조건에 관한 정책의 준수 여부에 대한 내부감사인의 평가, 기업의 윤리정책이나 기업실무 정책의 준수 여부에 대한 법률부서의 감시와 같은 활동을 포함할 수 있다. 모니터링은 또한 통제가 지속적이고 효과적으로 운영되는지 확인하기 위해 수행된다. 예를 들어, 은행계정조정의 적시성과 정확성이 모니터링되지 않는다면, 담당자는 은행계정의 조정을 중단할 가능성이 있다.
내부통제시스템을 모니터링하는 기업의 절차와 관련된 통제(모니터링 대상 기초 통제가 자동화된 통제인 경우 포함)는 자동화되거나 수작업이거나 혹은 두 가지의 결합일 수 있다. 예를 들어, 기업은 특정기술에 대한 접근을 모니터링하는 자동화된 통제를 사용하고 해당 통제는 경영진에게 비일상적인 활동에 대한 자동화된 보고서를 제공할 수 있으며 경영진은 식별된 이상사항에 대하여 수작업으로 조사할 수 있다.
모니터링 활동과 정보시스템과 관련된 통제를 구별할 때, 특히 활동에 어느 정도 감독상의 검토(supervisory review)가 포함된 경우, 기초적인 세부활동을 고려한다. 감독상의 검토는 자동적으로 모니터링 활동으로 분류되지는 않으며, 검토가 정보시스템과 관련된 통제로 분류되는지 모니터링 활동으로 분류되는지 여부는 판단의 문제일 수 있다. 예를 들어 월별 완전성 통제의 목적은 오류를 적발하고 수정하는 것인 반면에, 모니터링 활동은 오류가 발생하는 이유를 묻고 미래의 오류를 방지하기 위해 절차를 수정하는 책임을 경영진에게 부여한다. 간단히 말해서, 정보시스템과 관련된 통제는 특정 위험에 대응하는 반면에, 모니터링 활동은 기업의 내부통제시스템의 다섯 가지 구성요소 내의 통제가 의도한 대로 작동하는지를 평가한다.
모니터링 활동에는 외부당사자와의 커뮤니케이션에서 문제점을 나타내거나 개선이 필요한 영역을 부각시키는 것일 수 있는 정보를 이용하는 것이 포함될 것이다. 고객은 대금을 지급하거나 아니면 청구액에 불만을 표시함으로써 암묵적으로 청구관련 데이터를 확인해 준다. 뿐만 아니라, 은행의 규제기관에 의한 조사와 관련된 커뮤니케이션의 경우와 같이, 규제기관은 기업의 내부통제시스템의 작동에 영향을 미치는 사항들에 대하여 기업과 커뮤니케이션하기도 한다. 또한, 경영진은 모니터링 활동을 수행할 때 외부감사인과 내부통제에 관하여 커뮤니케이션하는 것을 고려할 수 있을 것이다.
정보시스템과 커뮤니케이션
재무제표 작성에 관련된 정보시스템은 다음 목적을 위하여 설계되고 수립된 활동과 정책, 회계기록 및 이를 뒷받침하는 기록으로 구성된다.
• 기업의 거래를 개시, 기록, 처리(및 거래 이외의 사건과 상황에 대한 정보의 포착, 처리, 공시)하고 관련 자산, 부채 및 자본에 대한 수탁책임을 유지
• 예를 들어 자동으로 계류되고 있는 파일과 이를 적시에 처리하기 위해 따르는 절차와 같이, 거래에 대한 부정확한 처리의 해결
• 시스템의 무력화나 통제의 우회를 처리하고 고려
• 거래처리시스템에서 총계정원장으로 정보를 전기
• 자산의 감가상각 및 매출채권 회수가능성의 변화와 같이, 거래 외의 사건이나 상황에 대한 재무정보 관련 정보의 포착
• 해당 재무보고체계에 따라 공시되어야 할 정보가 집계, 기록, 처리, 요약되고 재무제표에 적합하게 보고되도록 함
기업의 사업프로세스는 다음을 위해 설계된 활동을 포함한다.
• 기업의 제품과 서비스의 개발, 구매, 생산, 판매 및 유통
• 법규의 준수
• 회계와 재무보고 정보 등 정보의 기록
사업프로세스는 정보시스템에 기록, 처리 및 보고되는 거래를 생성한다.
정보의 질은 경영진이 기업활동을 관리, 통제할 때 적합한 의사결정을 내리고 신뢰할 수 있는 재무보고서를 작성하는 능력에 영향을 미친다.
커뮤니케이션은 재무보고에 대한 기업의 내부통제시스템과 관련된 개인의 역할과 책임에 대한 이해를 제공하는 것을 수반하며 이는 정책매뉴얼, 회계 및 재무보고매뉴얼 그리고 비망록의 형태를 취할 수 있다. 또한, 커뮤니케이션은 전자형태, 구두 또는 경영진의 행동을 통하여도 이루어질 수 있다.
기업이 재무보고의 역할과 책임, 재무보고와 관련된 유의적 사항들을 커뮤니케이션할 때는 재무보고에 대한 내부통제와 관련된 개인의 역할과 책임을 이해하는 것이 수반된다. 이러한 커뮤니케이션에는 구성원들이 재무보고 정보시스템에서 자신의 활동이 다른 사람의 업무와 어떻게 관련되는지에 대한 이해의 정도, 그리고 기업 내의 적절한 상급자에게 예외사항을 보고하는 방법과 같은 것이 포함된다.
통제활동
통제활동 구성요소 내 통제는 문단 26에 따라 식별된다. 그러한 통제에는 정보처리 통제와 IT 일반통제가 포함되며, 둘 다 성격상 수작업 또는 자동화된 통제일 수 있다. 경영진이 재무보고에 대하여 사용하고 신뢰하는 자동화된 통제 또는 자동화된 측면이 수반된 통제의 범위가 클수록, 기업이 자동화된 측면의 정보처리 통제의 계속적인 기능을 다루는 IT 일반통제를 실행하는 것이 더 중요하다. 통제활동 구성요소 내 통제는 다음과 관련된다.
• 권한부여와 승인. 권한부여와 승인은 거래가 유효하다(즉, 실제의 경제적 사건을 나타내거나 기업의 정책 내에 있음)는 것을 확인한다. 일반적으로 권한부여와 승인은 상급 경영진의 승인 또는 거래의 유효성에 대한 검증과 판단의 형태를 가진다. 예를 들어 관리자는 비용이 합리적이고 정책에 부합하는지 검토한 후 비용보고서를 승인한다. 자동 승인의 예로는 송장의 단가가 사전 설정된 허용가능한 수준 내에 있는 관련 구매주문의 단가와 자동으로 비교되는 경우가 있다. 허용가능한 수준 내의 송장은 자동적으로 지급이 승인된다. 허용 범위를 벗어난 송장은 추가 조사를 위해 표시가 된다.
• 대사 – 대사는 둘 이상의 데이터 요소를 비교한다. 차이가 식별되면 데이터를 일치시키기 위한 조치를 취한다. 대사는 일반적으로 거래처리의 완전성과 정확성을 다룬다.
• 검증 – 검증은 둘 이상의 항목을 서로 비교하거나 한 항목을 정책과 비교하며 두 항목이 일치하지 않거나 해당 항목이 정책과 일관되지 않은 경우 후속조치를 취하도록 할 것이다. 검증은 일반적으로 거래처리의 완전성, 정확성 또는 유효성을 다룬다.
• 물리적 또는 논리적 통제. 승인되지 않은 접근, 취득, 사용 또는 처분으로부터 자산을 보호하는 통제 포함
통제는 다음을 포함한다.
° 자산의 물리적 보안, 자산 및 기록 접근에 대한 보안 시설과 같은 적절한 안전장치 포함
° 컴퓨터 프로그램과 데이터 파일에 대한 접근의 권한부여(즉 논리적 접근)
° 정기적인 실사 및 통제기록에 나타나는 금액과의 비교(예를 들어 현금, 유가증권, 재고실사의 결과를 회계기록과 비교)
자산의 도난을 방지하기 위한 물리적 통제가 재무제표 작성의 신뢰성과 관련이 있는 정도는 자산이 유용에 매우 취약한 경우와 같이 상황에 따라 달라진다.
• 업무분장 –거래를 승인하는 책임, 거래를 기록하는 책임, 자산 보관을 유지할 책임을 서로 다른 사람에게 부여하는 것. 업무분장은 특정인이 일상적인 업무과정에서 오류나 부정을 저지르고 숨길 수 있는 위치에 있을 기회를 줄이기 위한 것이다.
예를 들어, 신용판매를 승인하는 관리자는 매출채권 기록을 유지하거나 현금수취를 다루는 책임을 지지 않는다. 만약 한 사람이 이러한 활동 모두를 수행한다면, 그 사람은 예를 들어 적발되지 않는 허위 매출을 만들 수 있다. 이와 유사하게, 판매사원이 제품 가격파일이나 수수료율을 수정할 능력을 가져서는 안된다.
경우에 따라 업무분장이 실무적이지 않거나 비용 효율적이지 않거나 실현가능하지 않을 수 있다. 예를 들어 소규모의 덜 복잡한 기업은 이상적인 업무분장을 달성하기에 충분한 자원이 부족하고 추가적인 직원을 고용하는 것이 제한적일 수 있다. 이러한 상황에서 경영진은 추가적인 통제를 구성할 수 있다. 위의 예시에서, 매출 기능과 관련되어 있지 않은 직원이 정기적으로 판매사원이 가격을 변경하는지 여부와 어떤 상황에서 변경하는지를 검토하는 적발통제 활동을 실행할 수 있을 것이다.
어떤 통제는 경영진이나 지배기구가 수립한 적합한 상위수준의 통제가 존재하는지 여부에 따라 달라질 수 있다. 예를 들어, 승인 통제는 지배기구가 수립한 투자기준과 같이 수립된 지침에 따라 위임될 수도 있다. 이와 달리, 대규모의 취득이나 처분과 같이 비일상적인 거래는 경우에 따라 주주와 같은 특정 상위수준의 승인이 요구될 수도 있다.
내부통제의 한계
기업의 내부통제시스템은 아무리 효과적이라 할지라도 기업의 재무보고목적을 달성하는 것에 대한 합리적인 확신만을 제공할 수 있다. 재무보고목적의 달성가능성은 내부통제의 고유한계에 의해 영향을 받는다. 여기에는 의사결정에서 인간의 판단이 잘못될 수 있고 인간의 실수로 인해 기업의 내부통제시스템의 붕괴가 발생할 수 있는 현실이 포함된다. 예를 들어, 통제의 설계 또는 변경에 오류가 있을 수 있다. 마찬가지로, 정보를 검토할 책임이 있는 개인이 목적을 이해하지 못하거나 적절한 조치를 취하지 못하기 때문에 기업의 내부통제시스템의 목적을 위해 생성된 정보(예: 예외사항 보고서)가 효과적으로 사용되지 않는 경우와 같이 통제의 운용이 효과적이지 않을 수도 있다.
또한 둘 이상의 사람들이 공모나 부적절한 경영진의 통제 무력화로 통제를 우회할 수 있다. 예를 들어 경영진은 고객과 기업의 표준판매계약의 조건을 변경하는 부수적인 계약을 체결하여 수익을 부적절하게 인식할 수 있다. 또한 지정된 신용 한도를 초과하는 거래를 식별하고 보고하도록 설계된 IT 응용프로그램의 입력값 검증(edit check)이 무시되거나 비활성화될 수 있다.
더 나아가 통제를 설계하고 실행할 때 경영진은 실행하기로 선택한 통제의 성격과 범위와 감수하기로 한 위험의 성격과 범위에 대하여 판단을 내릴 수 있다.
- 감사기준서 610과 이 감사기준서의 보론 4는 내부감사와 관련된 추가적인 지침을 제공한다.
보론 4 기업의 내부감사기능의 이해를 위한 고려사항 (문단 14(a), 24(a)(ii), A25-A28, A118 참조)
이 보론은 기업의 내부감사기능이 존재하는 경우 내부감사기능의 이해에 관한 추가적인 고려사항을 제공한다.
내부감사기능의 목적과 범위
내부감사기능의 목적과 범위, 직무의 권한과 책임을 포함한 조직 내 책임의 성격과 지위는 매우 다양하며 기업의 규모, 복잡성 및 구조, 경영진 및 해당되는 경우 지배기구에 따라 달라진다. 이러한 사항들은 내부감사 헌장 또는 업무규정에 제시될 수 있다.
내부감사기능의 책임에는 위험관리, 기업의 내부통제시스템과 지배구조 프로세스의 설계 및 효과성과 관련하여 경영진과 지배기구에게 확신을 제공하기 위한 절차를 수행하고 그 결과를 평가하는 것이 포함될 수 있다. 만약 그렇다면, 내부감사기능은 기업의 내부통제시스템을 감시하는 과정에서 중요한 역할을 할 수 있다. 그러나 내부감사기능의 책임은 운영의 경제성, 효율성 및 효과성을 평가하는 데 집중될 수 있으며, 그러한 경우에는 그 직무의 업무가 기업의 재무보고와 직접 관련되지 않을 수 있다.
내부감사기능에 대한 질문
기업이 내부감사기능을 가지고 있는 경우, 그 기능에 속하는 적절한 개인에 대한 질문은 기업과 기업환경, 해당 재무보고체계 및 기업의 내부통제시스템을 이해하고 재무제표 및 경영진주장 수준의 중요왜곡표시위험에 대한 위험을 식별하고 평가하는 데 유용한 정보를 제공할 수 있다. 내부감사기능은 업무를 수행함에 있어 기업의 운영과 사업위험에 대한 통찰을 얻었을 가능성이 높으며, 해당 업무를 기반으로 발견한 통제미비점이나 위험과 같은 발견사항은 기업과 기업환경, 해당 재무보고체계, 기업의 내부통제시스템에 대한 감사인의 이해, 감사인의 위험평가 또는 감사의 기타 측면에 가치 있는 정보를 제공할 수 있다. 따라서 감사인이 내부감사기능의 업무를 이용하여 감사절차의 성격이나 시기를 변경하거나 그 범위를 축소할 것으로 예상하는지 여부에 관계없이 감사인의 질문은 이뤄진다.72) 특히 관련성이 높은 질문은 내부감사기능이 지배기구에게 제기한 문제와 내부감사기능의 자체 위험평가절차 결과에 관한 것일 수 있다.
감사인의 질문에 대한 답변에 기초하여 기업의 재무보고와 재무제표의 감사와 관련될 수 있는 발견사항이 있는 경우, 감사인은 내부감사기능의 관련 보고서를 읽는 것이 적절하다고 판단할 수 있다. 관련성이 있을 수 있는 내부감사기능 보고서의 예로는 내부감사기능의 전략 및 계획 문서와 경영진이나 지배기구를 위해 작성된 내부감사기능의 조사 결과를 설명하는 보고서가 있다.
또한 감사기준서 24073)에 따라 내부감사기능이 감사인에게 실제로 발생하였거나 의심되는 부정 또는 혐의중인 부정과 관련된 정보를 제공하는 경우 감사인은 부정으로 인한 중요왜곡표시위험을 식별할 때 이를 고려한다.
내부감사기능 내에서 질문을 할 적절한 개인은 감사인의 판단에 따라 내부감사 책임자와 같은 적절한 지식, 경험 및 권한을 가진 사람 또는 상황에 따라 해당 기능 내의 다른 인원이다. 감사인은 또한 이러한 개인들과 정기적인 회의를 갖는 것이 적절하다고 생각할 수 있다.
통제환경의 이해에 있어 내부감사기능의 고려사항
통제환경을 이해함에 있어 감사인은 재무제표 작성과 관련하여 확인된 통제 미비점에 대한 내부감사기능의 발견사항과 권고에 경영진이 어떻게 대응하였는지 고려할 수 있다. 여기에는 그러한 대응이 실행되었는지, 어떻게 실행되었는지, 그리고 내부감사기능에 의하여 후속적으로 평가되었는지를 포함한다.
내부통제시스템을 모니터링하는 기업의 절차에서 내부감사기능이 맡는 역할에 대한 이해
내부감사기능의 책임과 인증활동의 성격이 기업의 재무보고와 관련된다면, 감사인은 감사증거를 입수할 때 내부감사기능의 업무를 활용하여 감사인이 직접 수행할 감사절차의 성격이나 시기를 수정하거나 그 범위를 축소할 수도 있다. 감사인은 예를 들어 과거 감사경험이나 감사인의 위험평가절차에 기초하여 기업이 기업의 복잡성과 운영의 성격에 비례하여 충분하고 적합하게 자원을 갖춘 내부감사기능을 가지고 있고 내부감사기능이 지배기구와 직접적인 보고 관계가 있다고 판단될 때, 기업의 내부감사기능을 활용할 수 있는 가능성이 더 높을 수 있다.
만약 내부감사기능에 대한 감사인의 예비적 이해에 기초하여 감사인이 내부감사기능의 업무를 활용하여 감사절차의 성격과 시기를 수정하거나 범위를 축소하고자 한다면, 감사기준서 610이 적용된다.
감사기준서 610에서 추가적으로 논의되는 것처럼, 내부감사기능의 활동은 기업이 왜곡표시를 예방하거나 발견하는 데 기여하도록 설계된 회계정보에 대한 경영진의 검토와 같은 재무보고와 관련된 기타 모니터링 통제와 구별된다.
업무 초기에 기업의 내부감사기능 내에서 적절한 개인들과의 커뮤니케이션을 확립하고, 업무 전반에 걸쳐 그러한 커뮤니케이션을 유지하는 것은 효과적인 정보 공유를 촉진할 수 있다. 이는 내부감사기능이 주의를 기울이는 유의적인 사항이 감사인의 업무에 영향을 미칠 수 있는 경우 감사인에게 알릴 수 있게 하는 환경을 조성한다. 감사기준 200은 감사인이 감사증거로 사용될 문서의 신뢰성과 질문에 대한 답변에 의문을 불러일으키는 정보에 대해 주의를 유지하는 것을 포함하여 전문가적 의구심을 갖고 감사를 계획하고 수행하는 것의 중요성에 대해 논의한다.74) 따라서, 업무 전반에 걸친 내부감사기능과의 커뮤니케이션은 내부감사인이 그러한 정보를 감사인에게 알릴 수 있는 기회를 제공할 수 있다. 그러한 경우 감사인은 중요왜곡표시위험을 식별하고 평가할 때 그러한 정보를 고려할 수 있다.
보론 5 IT의 이해에 대한 고려사항 (문단 25(a), 26(b)-(c), A94, A166-A172 참조)
이 보론은 감사인이 기업의 내부통제시스템에서의 IT 사용을 이해하는 데 고려할 수 있는 추가적인 사항들을 제공한다.
기업의 내부통제시스템 구성요소에서의 IT 사용의 이해
기업의 내부통제시스템은 수작업 요소와 자동화된 요소(즉 수작업 통제와 자동화된 통제 그리고 기업의 내부통제시스템에서 사용되는 기타 자원)를 가지고 있다. 기업의 수작업 요소와 자동화 요소의 조합은 기업의 IT 사용의 성격과 복잡성에 따라 다양하다. 기업의 IT 사용은 해당 재무보고체계에 따른 재무제표 작성에 관련된 정보가 처리, 저장, 커뮤니케이션 되는 방식에 영향을 주고 따라서 기업의 내부통제시스템이 설계되고 실행되는 방식에 영향을 준다. 기업의 내부통제시스템의 각 구성요소는 어느 정도 IT을 사용할 수 있다. 일반적으로 IT는 기업이 다음과 같은 것을 할 수 있도록 함으로써 기업의 내부통제시스템에 유용하다.
• 사전에 정의된 사업 규칙을 일관되게 적용하고 대량의 거래나 데이터를 처리하는 복잡한 계산을 수행한다.
• 정보의 적시성, 이용가능성 및 정확성을 강화한다.
• 정보의 추가적인 분석을 용이하게 한다.
• 기업의 활동과 기업의 정책 및 절차의 수행을 모니터링하는 능력을 강화한다.
• 통제가 우회될 위험이 감소한다.
• IT 응용프로그램, 데이터베이스 및 운영 체제에서 보안통제를 실행함으로써 효과적인 업무분장을 달성할 능력을 강화한다.
수작업 또는 자동화 요소의 특성은 중요왜곡표시위험에 대한 감사인의 식별과 평가 및 이에 기초한 추가감사절차와 관련된다. 자동화된 통제는 쉽게 우회하거나 무시하거나 무력화할 수 없으며 단순한 오류나 실수가 발생하기 쉽지 않기 때문에 수작업 통제보다 신뢰할 수 있다. 자동화된 통제가 수작업 통제보다 효과적일 수 있는 상황은 다음과 같다.
• 대량의 반복적인 거래 또는 기대되거나 예상되는 오류가 자동화를 통하여 예방, 적발 또는 수정될 수 있는 상황
• 통제를 수행하는 특정 방식이 적절히 설계되고 자동화될 수 있는 통제
기업의 정보시스템의 IT 사용에 대한 이해 (문단 25(a) 참조)
기업의 정보시스템은 수작업 요소와 자동화 요소를 포함할 수 있으며 이것은 또한 거래가 개시, 기록, 처리, 보고되는 방식에 영향을 준다. 특히 거래를 개시, 기록, 처리, 보고하는 절차는 기업이 사용하는 IT 응용프로그램과 기업이 이러한 소프트웨어를 설정하는 방법에 의해 강제될 수 있다. 또한 디지털 정보 형태의 기록은 종이 문서의 형태의 기록을 대체하거나 보완할 수 있다.
정보시스템 내 거래 흐름과 정보 처리에 관련된 IT 환경에 대한 이해를 할 때, 감사인은 사용되는 IT 응용프로그램 및 이를 뒷받침하는 IT 인프라와 IT의 성격과 특성에 대한 정보를 수집한다. 다음 표는 감사인이 IT 환경을 이해할 때 고려할 사항들의 예시와 기업의 정보시스템에서 사용하는 IT 응용프로그램의 복잡성에 기초한 IT 환경의 전형적인 특성의 예시를 포함한다. 그러나 이러한 특성들은 방향성을 제시한 것이며 기업이 사용중인 특정 IT 응용프로그램의 성격에 따라 다를 수 있다.
| 전형적인 특성의 예시 | |||
|---|---|---|---|
| 복잡하지 않은 상용 소프트웨어 | 중간 규모의 중간 정도로 복잡한 상용소프트웨어 또는 IT 응용프로그램 | 대규모 또는 복잡한 IT 응용프로그램 (예: ERP 시스템) | |
| 자동화와 데이터 사용 정도에 관련된 사항 | |||
| •고도로 자동화된 종이 없는 처리 여부를 포함한 자동화된 처리 절차 및 그 절차의 복잡성 정도 | (해당사항 없음) | (해당사항 없음) | 광범위하며 많은 경우에 복잡한 자동화된 절차 |
| •정보처리에서 시스템 생성보고서에 대한 기업의 의존정도 | 단순하며 자동화된 보고서 로직 | 단순한 관련 자동화된 보고서 로직 | 복잡하고 자동화된 보고서 로직. 보고서 작성 소프트웨어 |
| •데이터가 입력되는 방법(즉, 수동 입력, 고객 또는 공급업체 입력, 또는 파일 업로드) | 수작업 데이터 입력 | 소량의 데이터 입력과 단순한 인터페이스 | 대량의 데이터 입력 또는 복잡한 인터페이스 |
| •IT가 응용프로그램과 데이터베이스 또는 IT 환경의 기타 요소와 내외부적으로, 적절한 경우 시스템 인터페이스를 통한 커뮤니케이션을 용이하게 하는 방법 | 자동화된 인터페이스 없음(수작업 입력) | 소량의 데이터 입력 또는 단순한 인터페이스 | 대량의 데이터 입력 또는 복잡한 인터페이스 |
| •정보시스템에 의해 처리되는 디지털 형태의 데이터의 양과 복잡성(회계기록 또는 기타 정보가 디지털 형태로 저장되는지 여부 및 데이터가 저장되는 위치 포함) | 수작업으로 검증될 수 있는 소량의 데이터 또는 단순한 데이터. 데이터는 로컬에 저장 | 소량의 데이터 또는 단순한 데이터 | 대량의 데이터 또는 복잡한 데이터. 데이터 웨어하우스75). 내 외부의 IT 서비스 제공자의 이용(예: 제3자의 저장소 또는 데이터 호스팅) |
| IT 응용프로그램과 IT 인프라와 관련된 사항 | |||
| •응용프로그램의 형태 (예: 맞춤화가 거의 없는 상용소프트웨어, 또는 고도로 맞춤화 되거나 고도로 통합된 응용프로그램(구매하여 맞춤화하거나 자체 개발할 수 있음)) | 맞춤화가 거의 없는 구매한 응용프로그램 | 맞춤화가 거의 없는, 구매한 응용프로그램 또는 단순한 레거시/저가 ERP 프로그램 | 맞춤 개발한 응용프로그램 또는 유의적인 맞춤화가 이루어진 좀 더 복잡한 ERP |
| •IT 응용프로그램과 기초 IT 인프라의 성격의 복잡성 | 작고 단순한 랩톱 또는 클라이언트 서버 기반 솔루션 | 성숙하고 안정된 메인프레임, 소규모 또는 단순한 클라이언트 서버, 서비스형 소프트웨어(SaaS) 클라우드 | 복잡한 메인프레임, 대규모의 또는 복잡한 클라이언트 서버, 웹에 접속된 서비스로서의 인프라 클라우드 |
| •제3자 호스팅 또는 IT 아웃소싱이 있는지 여부 | 아웃소싱한 경우, 숙련되고 성숙하고 검증된 제공자(예: 클라우드 제공자) | 아웃소싱한 경우, 숙련되고 성숙하고 검증된 제공자(예: 클라우드 제공자) | 특정 응용프로그램에 대하여는 숙련되고 성숙하고 검증된 제공자, 다른 응용프로그램에 대하여는 새로운 또는 스타트업 제공자 |
| •기업이 재무보고에 영향을 미치는 신기술을 사용하고 있는지 여부 | 신기술의 사용 없음 | 일부 응용프로그램에서 신기술의 제한적 사용 | 플랫폼 전반에 걸쳐 신기술의 혼합된 사용 |
| IT 프로세스와 관련된 사항 | |||
| •IT 환경을 유지하는 데 관여하는 인원(IT 환경의 보안과 변경을 관리하는 IT 지원 자원의 수와 기술 수준) | 소프트웨어 공급업체의 업그레이드를 처리하고 접근을 관리하는 제한적인 IT 지식을 가진 소수의 인원 | IT 기술을 보유하고 / IT를 전담하는 제한적인 인원 | 프로그래밍 기술을 포함한 숙련된 인원들로 구성된 IT 전담부서 |
| •접근권한을 관리하는 절차의 복잡성 | 접근권한을 관리하는 관리자 권한을 가진 단일 인원 | 접근권한을 관리하는 관리자 권한을 가진 소수의 인원 | IT 부서에 의해 관리되는 접근권한을 관리하기 위한 복잡한 절차 |
| •IT 환경에 대한 보안의 복잡성(특히 웹 기반의 거래 또는 외부 인터페이스가 포함된 거래가 있는 경우, IT 응용프로그램, 데이터베이스 및 IT 환경의 기타 요소가 사이버 위험에 취약한 정도 포함.) | 외부 웹 접속 요소가 없는 단순한 온 프레미스(on-premise) 접근 | 주로 단순한 역할 기반 보안을 갖춘 일부 웹 기반 응용프로그램 | 웹 기반의 접근과 복잡한 보안 모델을 갖춘 다중 플랫폼 |
| •정보가 처리되는 방식에 프로그램 변경이 이루어졌는지 여부 및 기중 그러한 변경의 범위 | 소스코드가 설치되지 않은 상용소프트웨어 | 소스코드가 없는 일부 상용소프트웨어 및 기타 소수의 또는 단순한 변경을 한 성숙한 응용프로그램. 전통적인 시스템 개발 주기 | 새롭거나 규모가 크거나 복잡한 변경. 매년 여러 번의 개발 주기 |
| •IT 환경 내 변경의 정도(예: IT 환경의 새로운 측면 또는 IT 응용프로그램 또는 기초 IT 인프라에 대한 유의적인 변경) | 상용소프트웨어의 버전 업그레이드로 한정된 변경 | 상용소프트웨어 업그레이드와 ERP 버전 업그레이드 또는 기존 프로그램의 개선으로 구성된 변경 | 새롭거나 규모가 크거나 복잡한 변경. 매년 여러 번의 개발 주기. ERP의 광범위한 맞춤화. |
| •기중 중대한 데이터 변환이 있었는지 여부. 변환이 있었다면 변경의 성격과 유의성 및 변환이 이루어진 방법 | 공급업체가 제공한 소프트웨어 업그레이드. 업그레이드에 데이터 변환 기능 없음 | 상용소프트웨어에 대한 소규모 버전 업그레이드. 제한된 데이터 변환. | 대규모의 버전 업그레이드, 새로운 출시, 플랫폼 변경 |
새로운 기술(예: 블록체인, 로보틱스 또는 인공지능)은 기업의 운영 효율성을 증가시키거나 재무보고를 개선할 특정한 기회를 제시할 수 있으므로 기업은 그러한 기술을 사용할 수 있다. 재무제표의 작성과 관련된 기업의 정보시스템에 새로운 기술을 사용하는 경우, 감사인은 IT의 사용으로 인한 위험이 따르는 IT 응용프로그램 및 IT 환경의 기타 측면의 식별에 그러한 기술을 포함할 수 있다. 새로운 기술이 기존의 기술에 비해 더 정교하고 복잡해 보일 수 있지만, 문단 26(b)-(c)에 따른 IT 응용프로그램과 식별된 IT 일반통제에 관련된 감사인의 책임은 변함이 없다.
확장가능성
기업의 IT 환경에 대한 이해는 기업이 상용소프트웨어를 사용하고, 프로그램 변경을 위한 소스코드에 접근할 수 없는 덜 복잡한 기업의 경우 더 쉽게 이루어질 수 있다. 그런 기업은 전담 IT 인력을 보유하지 않을 수 있지만 종업원들의 접근을 승인하고 소프트웨어 공급업체가 제공하는 IT 응용프로그램의 업데이트를 설치하는 관리자 역할을 배정받은 사람이 있을 수 있다. 덜 복잡한 기업이 정보시스템에서 사용하는 단일의 IT 응용프로그램일 수 있는 상용 회계 소프트웨어 패키지의 성격을 이해할 때 감사인이 특히 고려할 사항의 예는 다음과 같다.
• 소프트웨어가 얼마나 확고하게 자리를 잡았는지, 신뢰성에 대한 평판은 어느 정도인지
• 기업이 소프트웨어의 소스코드를 수정하여 기본 소프트웨어에 추가적인 모듈(즉, 확장프로그램(add-on))을 포함하거나 데이터를 직접 변경할 수 있는 범위
• 소프트웨어에 이루어진 변경의 성격과 범위. 기업이 소프트웨어의 소스코드를 변경할 수 없다 하더라도, 많은 소프트웨어 패키지에서는 설정(예: 보고 매개변수를 설정하거나 수정함)을 허용할 수 있다. 이러한 변경은 통상 소스코드의 변경을 수반하지 않지만 감사인은 소프트웨어에서 생성되어 감사증거로 사용되는 정보의 완전성과 정확성을 고려할 때 기업이 소프트웨어를 설정할 수 있는 범위를 고려할 수 있다.
• 재무제표의 작성과 관련된 데이터에 직접 접근(즉 IT 응용프로그램을 사용하지 않고 데이터베이스에 직접 접근)할 수 있는 정도와 처리되는 데이터의 양. 데이터의 양이 많을수록 기업은 데이터의 무결성을 유지하기 위한 통제가 더욱 필요할 수 있으며, 여기에는 데이터에 대한 승인되지 않은 접근과 변경에 대한 IT 일반통제를 포함할 수 있다.
복잡한 IT 환경은 고도로 맞춤화 되거나 통합된 IT 응용프로그램을 포함할 수 있으므로 이를 이해하는 데 더 많은 노력을 필요로 할 수 있다. 재무보고 프로세스나 IT 응용프로그램은 다른 IT 응용프로그램과 통합될 수 있다. 그러한 통합에는 기업의 사업 운영에 사용되면서 기업의 정보시스템 내 거래 흐름과 정보 처리에 관련된 IT 응용프로그램에 정보를 제공하는 IT 응용프로그램을 포함할 수 있다. 그런 상황에서는 기업의 사업 운영에 사용되는 특정 IT 응용프로그램이 재무제표의 작성에도 관련될 수 있다. 복잡한 IT 환경은 또한 소프트웨어 개발과 IT 환경 유지관리 기술을 보유한 인력이 뒷받침하는 조직화된 IT 프로세스를 갖춘 IT 전담 부서를 필요로 할 수 있다. 다른 경우에 기업은 IT 환경의 특정 측면이나 IT 처리를 관리하는 내부 혹은 외부의 서비스 제공자를 사용할 수 있다(예: 제3자 호스팅).
IT의 사용으로 인한 위험이 따르는 IT 응용프로그램의 식별
정보처리 통제의 성격과 범위를 포함한 기업의 IT 환경의 성격과 복잡성에 대한 이해를 통하여, 감사인은 기업이 재무정보를 정확하게 처리하고 무결성을 유지하기 위하여 의존하는 IT 응용프로그램을 결정할 수 있다. 기업이 의존하는 IT 응용프로그램의 식별은 그러한 IT 응용프로그램 내의 자동화된 통제가 식별된 중요왜곡표시위험에 대처함을 전제로 감사인이 그러한 자동화된 통제를 테스트할지를 결정하는 데 영향을 줄 수 있다. 반대로 기업이 IT 응용프로그램에 의존하지 않고 있다면 그러한 IT 응용프로그램 내의 자동화된 통제는 운영 효과성 테스트의 목적상 적합하거나 충분히 정밀하지 않을 가능성이 높다. 문단 26(b)에 따라 식별될 수 있는 자동화된 통제에는 예를 들어 구매주문서, 판매자 선적서류 그리고 판매자 송장의 상호일치(3 way match)와 같은 자동화된 계산이나 입력, 처리, 출력 통제를 포함할 수 있다. 감사인이 자동화된 통제를 식별하고 IT 환경에 대한 이해를 통하여 이러한 자동화된 통제를 포함한 IT 응용프로그램에 기업이 의존하고 있다고 결정한 경우, 감사인은 해당 IT 응용프로그램을 IT의 사용으로 인한 위험이 따르는 것으로 식별할 가능성이 높을 것이다.
감사인이 자동화된 통제를 식별한 IT 응용프로그램에 IT의 사용으로 인한 위험이 따르는지 여부를 고려할 때, 감사인은 기업의 경영진이 그러한 통제나 IT 응용프로그램에 대한 프로그램 변경을 가능하게 하는 소스코드에 접근할 수 있는지 여부와 그 범위를 고려할 것이다. 기업이 프로그램이나 설정을 변경하는 범위와 그러한 변경과 관련된 IT 프로세스가 공식화된 정도 또한 관련 고려사항이 될 수 있다. 감사인은 또한 데이터에 대한 부적절한 접근이나 변경 위험을 고려할 수 있다.
감사인이 감사증거로 사용하고자 하는 시스템 생성 보고서에는 예를 들어 매출채권연령보고서나 재고평가보고서가 포함될 수 있다. 이러한 보고서의 경우, 감사인은 보고서의 입력과 출력을 실증적으로 테스트하여 보고서의 완전성과 정확성에 대한 감사증거를 입수할 수 있다. 다른 경우에, 감사인은 보고서의 작성 및 유지에 대한 통제의 운영효과성을 테스트할 계획을 세울 수 있으며, 이 경우 보고서가 생성되는 IT 응용프로그램은 IT의 사용으로 인한 위험이 따르게 될 가능성이 높다. 감사인은 보고서의 완전성과 정확성을 테스트하는 것 외에도 보고서에 대한 부적절하거나 승인되지 않은 프로그램 변경 또는 데이터 변경과 관련된 위험에 대처하는 IT 일반통제의 운영효과성을 테스트할 계획을 세울 수 있다.
일부 IT 응용프로그램은 보고서 작성기능을 포함할 수 있지만 일부 기업은 별도의 보고서 작성 프로그램(즉, report-writers)을 사용할 수도 있다. 이 경우 감사인은 IT의 사용으로 인한 위험이 따르는 IT 응용프로그램을 결정하기 위해 시스템 생성 보고서의 출처(즉, 보고서를 작성하는 프로그램 및 보고서에서 사용하는 데이터 소스)를 결정하여야 할 수 있다.
IT 응용프로그램에서 사용되는 데이터 소스는 예를 들어, 해당 IT 응용프로그램을 통해서만 접근할 수 있거나 데이터베이스 관리 권한을 가진 IT 담당자만이 접근할 수 있는 데이터베이스일 수 있다. 다른 경우에는 데이터 소스가 데이터 웨어하우스일 수 있으며 데이터 웨어하우스 자체가 IT의 사용으로 인한 위험이 따르는 IT 응용프로그램으로 간주될 수 있다.
감사인은 기업이 복수의 통합 IT 응용프로그램을 필요로 하는 고도로 자동화되고 종이가 없는 거래처리를 사용하기 때문에 실증절차만으로는 충분하지 않은 위험을 식별했을 수 있다. 이러한 상황에서 감사인이 식별한 통제에는 자동화된 통제가 포함될 가능성이 높다. 더욱이 기업은 처리된 거래와 처리에 사용되는 그 밖의 정보의 무결성을 유지하기 위하여 IT 일반통제에 의존할 수 있다. 이러한 경우 정보의 처리 및 저장에 관련된 IT 응용프로그램은 IT의 사용으로 인한 위험이 따를 수 있다.
최종 사용자 컴퓨팅
감사증거가 최종 사용자 컴퓨팅 도구(예: 스프레드시트 소프트웨어 또는 단순 데이터베이스)에서 수행되는 계산에 사용되는 시스템 생성 출력의 형태로 나타날 수도 있지만, 그러한 도구는 일반적으로 문단 26(b)의 관점에서 IT 응용프로그램으로 식별되지 않는다. 최종 사용자 컴퓨팅 도구에 대한 접근 및 변경에 대한 통제를 설계하고 실행하는 것은 어려울 수 있으며, 이러한 통제는 IT 일반통제와 동등하거나 그만큼 효과적인 경우가 드물다. 따라서 감사인은 다음과 같이 관련된 최종 사용자 컴퓨팅의 목적과 복잡성을 고려하여 정보처리 통제의 조합을 고려할 수 있다.
• 소스 데이터의 개시와 처리에 대한 정보처리 통제. 데이터가 추출되는 지점(즉, 데이터 웨어하우스)에 대한 관련 자동화된 통제 또는 인터페이스 통제를 포함
• 로직이 의도한 대로 작동하는지 확인하는 통제. 예를 들어 보고서와 해당 보고서를 생성한 데이터를 대사하거나, 보고서의 개별 데이터를 소스 데이터와 비교하거나 그 반대로 비교하는 것과 같이 데이터의 추출을 검증하는 통제, 또는 수식이나 매크로를 확인하는 통제
• 스프레드시트 무결성 도구와 같이 수식이나 매크로를 체계적으로 검사하는 검증 소프트웨어 도구의 사용
확장가능성
정보시스템에 저장되고 처리되는 정보의 무결성을 유지하는 기업의 능력은 관련 거래와 그 밖의 정보의 복잡성과 양에 따라 달라질 수 있다. 유의적인 거래유형, 계정잔액 또는 공시를 뒷받침하는 데이터의 복잡성과 양이 클수록 정보처리 통제(예: 입출력 통제 또는 검토 통제)만으로 정보의 무결성을 유지할 가능성이 낮아질 수 있다. 또한 그러한 정보가 감사증거로 사용될 때 감사인은 실증 테스트만으로 그러한 정보의 완전성과 정확성에 대한 감사증거를 입수할 수 있을 가능성이 낮아진다. 어떤 상황에서는 거래 규모와 복잡성이 낮을 때, 경영진은 데이터의 정확성과 완전성을 확인하기에 충분한 정보처리 통제를 가질 수 있다(예: 처리되고 청구된 개별 판매 주문은 원래 IT 응용프로그램에 입력된 하드 카피와 대사할 수 있다). 기업이 IT 응용프로그램에서 사용하는 특정 정보의 무결성을 유지하기 위해 IT 일반통제에 의존하는 경우, 감사인은 해당 정보를 유지하는 IT 응용프로그램에 IT의 사용으로 인한 위험이 따른다고 결정할 수 있다.
| IT의 사용으로 인한 위험이 따르지 않을 가능성이 높은 IT 응용프로그램의 특성의 예시 | IT의 사용으로 인한 위험이 따를 가능성이 높은 IT 응용프로그램의 특성의 예시 |
|---|---|
| •단독의 응용프로그램•데이터(거래)의 양이 유의적이지 않음•응용프로그램의 기능성이 복잡하지 않음•각각의 거래가 원본 하드카피 문서로 뒷받침됨 | •응용프로그램들이 인터페이스됨•데이터(거래)의 양이 유의적임•응용프로그램의 기능성이 다음과 같이 복잡함 °응용프로그램이 자동적으로 거래를 개시 °다양하고 복잡한 계산에 기반한 자동화된 분개 |
| IT 응용프로그램은 다음과 같은 이유로 IT의 사용으로 인한 위험이 따르지 않을 수 있다. •데이터의 양이 유의적이지 않으며 따라서 경영진은 데이터를 처리하거나 유지하기 위하여 IT 일반통제에 의존하지 않는다. •경영진이 자동화된 통제나 기타 자동화된 기능에 의존하지 않는다. 감사인은 문단 26(a)에 따라 자동화된 통제를 식별하지 않았다.•비록 경영진이 통제에 시스템 생성보고서를 사용하더라도 이러한 보고서에 의존하는 것은 아니다. 대신에 경영진은 보고서를 하드카피 문서와 대사하며 보고서의 계산을 검증한다. •감사인이 기업이 생성하여 감사증거로 사용되는 정보를 직접 테스트할 것이다. | IT 응용프로그램은 다음과 같은 이유로 IT의 사용으로 인한 위험이 따를 수 있다. •데이터의 양이 유의적이므로 경영진이 데이터를 처리하거나 유지하기 위하여 IT 일반통제에 의존한다.•경영진이 특정 자동화된 통제를 수행하기 위하여 응용프로그램 시스템에 의존하며 감사인도 해당 통제를 식별하였다. |
IT의 사용으로 인한 위험이 따르는 IT 환경의 기타 측면
감사인이 IT의 사용으로 인한 위험이 따르는 IT 응용프로그램을 식별하는 경우, IT 환경의 기타 측면도 일반적으로 IT의 사용으로 인한 위험이 따른다. IT 인프라에는 데이터베이스, 운영 체제 및 네트워크가 포함된다. 데이터베이스는 IT 응용프로그램에서 사용되는 데이터를 저장하며 상호 관련된 다수의 데이터 테이블로 구성될 수 있다. 데이터베이스의 데이터는 IT 또는 데이터베이스 관리 권한을 가진 다른 직원이 데이터베이스 관리 시스템을 통해 직접 접근할 수도 있다. 운영 체제는 하드웨어, IT 응용프로그램 및 네트워크에 사용되는 기타 소프트웨어 간의 커뮤니케이션을 관리하는 역할을 한다. 따라서 IT 응용프로그램과 데이터베이스는 운영 체제를 통해 직접 접근할 수 있다. 네트워크는 IT 인프라에서 데이터를 전송하고 공유 통신 경로를 통해 정보, 리소스 및 서비스를 공유하는 데 사용된다. 네트워크는 또한 일반적으로 (기본 리소스에 대한 접근을 위해 운영 체제를 통해 활성화된) 논리적 보안 계층을 설정한다.
감사인이 IT 응용프로그램에 IT의 사용으로 인한 위험이 따르는 것으로 식별한 경우, 식별된 IT 응용프로그램에서 처리되는 데이터를 저장하는 데이터베이스(들) 또한 그러한 것으로 식별된다. 이와 유사하게 IT 응용프로그램의 운영능력이 운영 체제에 의존하는 경우가 많고 IT 응용프로그램 및 데이터베이스는 운영 체제에서 직접 접근할 수 있기 때문에, 그러한 운영 체제에는 일반적으로 IT의 사용으로 인한 위험이 따른다. 네트워크는 식별된 IT 응용프로그램 및 관련 데이터베이스에 대한 중앙접근 지점인 경우, IT 응용프로그램이 인터넷을 통해 공급업체 또는 외부 당사자와 상호 작용하는 경우, 또는 감사인이 웹 기반 IT 응용프로그램을 식별한 경우에 IT의 사용으로 인한 위험이 따르는 것으로 식별될 수 있다.
IT의 사용으로 인한 위험과 IT 일반통제의 식별
IT의 사용으로 인한 위험의 예시로는 다음과 같이 데이터를 부정확하게 처리하거나 부정확한 데이터를 처리하거나 두 가지 모두에 해당하는 IT 응용프로그램에 대한 부적절한 의존과 관련된 위험이 있다.
• 승인되지 않거나 존재하지 않는 거래의 기록 또는 부정확한 거래의 기록을 포함하여 데이터가 파괴되거나 데이터가 부적절하게 변경될 수 있는 데이터에 대한 승인되지 않은 접근. 여러 사용자가 공통 데이터베이스에 접근하는 경우 특정 위험이 발생할 수 있다.
• IT 직원이 할당된 직무를 수행하는 데 필요한 권한을 넘어 특권적인 접근 권한을 가지게 됨으로써 업무분장이 와해될 가능성
• 마스터 파일 내 데이터의 승인되지 않은 변경
• IT 응용프로그램 또는 IT 환경의 기타 측면에 대한 승인되지 않은 변경
• IT 응용프로그램 또는 IT 환경의 기타 측면에 대하여 필요한 변경의 실패
• 부적절한 수작업 개입
• 데이터의 잠재적 손실 또는 필요한 데이터에 대한 접근 불능
승인되지 않은 접근에 대한 감사인의 고려에는 내부 또는 외부 당사자의 승인되지 않은 접근과 관련된 위험(사이버 보안 위험이라고도 함)이 포함될 수 있다. 기업의 IT 환경에는 운영이나 준수 요구를 다루는 IT 응용프로그램과 관련 데이터가 포함될 수 있기 때문에 이러한 위험이 재무보고에 반드시 영향을 미치지 않을 수 있다. 사이버 사고는 일반적으로 경계(perimeter) 및 내부 네트워크 계층을 통해 먼저 발생하며, 이는 재무제표 작성에 영향을 미치는 IT 응용프로그램, 데이터베이스 및 운영 체제에서 더 멀리 떨어져 있는 경향이 있다는 점에 주목할 필요가 있다. 따라서 보안 침해에 대한 정보가 식별된 경우, 감사인은 일반적으로 그러한 위반이 재무보고에 영향을 미칠 수 있는 가능성의 정도를 고려한다. 재무보고가 영향을 받을 수 있는 경우, 감사인은 재무제표의 잠재적인 왜곡표시의 영향이나 범위를 결정하기 위해 관련 통제를 이해하고 테스트하기로 결정하거나 그러한 보안 침해와 관련하여 적절한 공시가 제공되었다는지 판단할 수 있다.
또한 기업의 재무제표에 직접적 또는 간접적인 영향을 미칠 수 있는 법규에는 정보보호법이 포함될 수 있다. 감사기준서 250에 따라 기업이 그러한 법규를 준수하는 것을 고려할 때, 관련 법규를 다루기 위해 기업이 시행한 기업의 IT 프로세스와 IT 일반통제를 이해하는 것을 포함할 수 있다.
IT 일반통제는 IT의 사용으로 인한 위험에 대처하기 위해 실행된다. 따라서 감사인은 식별할 IT 일반통제를 결정할 때 식별된 IT 응용프로그램 및 IT 환경의 기타 측면과 IT의 사용으로 인한 해당 위험에 대한 이해를 사용한다. 경우에 따라 기업은 IT 환경이나 특정 IT 응용프로그램 전반에 걸쳐 공통의 IT 프로세스를 사용할 수 있으며, 이 경우에는 공통의 IT의 사용으로 인한 위험과 공통의 IT 일반통제가 식별될 수 있다.
일반적으로 IT 환경의 기타 측면보다 IT 응용프로그램 및 데이터베이스와 관련된 IT 일반통제가 더 많이 식별될 가능성이 높다. 이는 이러한 측면이 기업의 정보시스템상 정보처리 및 정보의 저장과 가장 밀접하게 관련되기 때문이다. IT 일반통제를 식별할 때, 감사인은 최종 사용자와 기업의 IT 인력 또는 IT 서비스 제공자 모두의 행동에 대한 통제를 고려할 수 있다.
보론 6은 일반적으로 IT 환경의 다양한 측면에 대해 실행되는 IT 일반통제의 성격에 대한 추가 설명을 제공한다. 또한 다양한 IT 프로세스에 대한 IT 일반통제의 예시를 제공한다.
- 데이터 저장소는 일반적으로 보고서가 생성되거나 기업이 다른 데이터 분석 활동에 사용할 수 있는 하나 이상의 상이한 원천(복수의 데이터베이스와 같은)의 통합 데이터의 중앙 저장소로 설명된다. 보고서 작성 프로그램(report-writer)은 하나 이상의 원천(예: 데이터 저장소, 데이터베이스 또는 IT 응용프로그램)에서 데이터를 추출하고 지정된 형식으로 데이터를 표시하는 데 사용되는 IT 응용프로그램이다.
보론 6 IT 일반통제의 이해를 위한 고려사항 (문단 26(c), A173-A174 참조)
이 보론은 감사인이 IT 일반통제를 이해할 때 고려할 추가사항들을 제공한다.
일반적으로 IT 환경의 각 측면에 대해 실행되는 IT 일반통제의 성격:
(a) 응용프로그램 IT 응용프로그램 계층의 IT 일반통제는 응용프로그램 기능의 특성과 범위 및 해당 기술 내에서 허용된 접근 경로와 관련이 있다. 예를 들어, 거래를 통해서만 접근할 수 있는 소수의 계정 잔액을 지원하는 기존 IT 응용프로그램보다 복잡한 보안 옵션을 갖춘 고도로 통합된 IT 응용프로그램에 더 많은 통제가 관련된다.
(b) 데이터베이스 데이터베이스 계층의 IT 일반통제는 일반적으로 데이터베이스에 직접 접근하거나 스크립트 또는 프로그램을 실행하여 데이터베이스의 재무보고 정보를 무단으로 업데이트하는 것과 관련된 IT의 사용으로 인한 위험에 대처한다.
(c) 운영체제 운영체제 계층의 IT 일반통제는 일반적으로 다른 통제의 무력화를 용이하게 할 수 있는 접근관리와 관련된 IT의 사용으로 인한 위험에 대처한다. 여기에는 다른 사용자의 자격증명 도용, 인증되지 않은 새 사용자의 추가, 악성 프로그램이나 스크립트 또는 기타 인증되지 않은 프로그램의 실행과 같은 행동이 포함된다.
(d) 네트워크 네트워크 계층의 IT 일반통제는 일반적으로 네트워크 분리, 원격접속 및 인증과 관련된 IT의 사용으로 인한 위험에 대처한다. 네트워크 통제는 기업이 재무보고에 웹 기반 응용프로그램을 사용하는 경우에 관련될 수 있다. 네트워크 통제는 또한 기업이 데이터 전송과 원격접속의 필요성을 증가시킬 수 있는 유의적인 사업 파트너 관계를 맺고 있거나 제3자 아웃소싱을 하고 있는 경우에도 관련될 수 있다.
IT 프로세스별로 구성된 IT 일반통제의 예는 다음과 같다.
(a) 접근 관리 프로세스:
° 인증 IT 응용프로그램 또는 IT 환경의 기타 측면에 접근하는 사용자가 사용자 자신의 로그인 자격 증명을 사용하는지 확인하는 통제(즉, 사용자가 다른 사용자의 자격 증명을 사용하지 않음)
° 권한 부여 사용자가 자신의 직무에 필요한 정보에만 접근할 수 있도록 하며, 이를 통해 적절한 업무분장을 가능하게 하는 통제
° 프로비저닝 새 사용자 및 기존 사용자의 접근 권한 변경을 승인하는 통제
° 프로비저닝 해제 퇴사 또는 부서이동 시 사용자 접근을 삭제하는 통제
° 특별 권한 접근 관리자 또는 강력한 사용자의 접근에 대한 통제
° 사용자 접근 검토 지속적인 권한부여를 위해 사용자 접근을 재인증하거나 평가하는 통제
° 보안 설정 통제 각 기술에는 일반적으로 환경에 대한 접근을 제한하는 데 도움이 되는 주요 설정이 있음
° 물리적 접근 데이터 센터 및 하드웨어에 대한 물리적 접근에 대한 통제. 이러한 접근은 다른 통제를 무력화하는 데 사용될 수 있다.
(b) IT 환경에 대한 프로그램 또는 기타 변경 사항을 관리하는 프로세스:
° 변경 관리 프로세스 변경을 설계, 프로그래밍, 테스트하고 운영(즉, 최종 사용자) 환경에 이관하는 절차에 대한 통제
° 변경 이관에 대한 업무분장 변경을 만드는 권한과 변경을 운영환경으로 이관 권한을 분리하는 통제
° 시스템 개발, 구매 또는 실행 초기 IT 응용프로그램의 개발 또는 실행(또는 IT 환경의 기타 측면과 관련된)에 대한 통제
° 데이터 변환 IT 환경의 개발, 실행 또는 업그레이드 과정의 데이터 변환에 대한 통제
(c) IT 운영관리 프로세스
° 작업 일정관리 재무보고에 영향을 미칠 수 있는 작업 또는 프로그램의 일정 및 시작에 대한 접근 통제
° 작업 모니터링 재무보고 작업 또는 프로그램의 성공적인 실행을 위해 모니터링하는 통제
° 백업 및 복구 재무보고 데이터의 백업이 계획대로 수행되고 정전 또는 공격 시 데이터를 적시에 이용가능하도록 하고 복구될 수 있도록 하는 통제
° 침입 탐지 IT 환경의 취약성 및 침입을 모니터링하는 통제
아래 표는 성격에 따른 다양한 IT 응용프로그램을 포함하여 IT의 사용으로 인한 위험의 예시에 대처하는 IT 일반통제의 예시를 보여준다.
| 프로세스 | 위험 | 통제 | IT 응용프로그램 | ||
|---|---|---|---|---|---|
| IT 프로세스 | IT의 사용으로 인한 위험의 예시 | IT 일반통제의 예시 | 복잡하지 않은 상용 소프트웨어 – 해당 여부 (네/아니요) | 중간 규모의 중간 정도로 복잡한 상용 소프트웨어 또는 IT 응용 프로그램 – 해당 여부 (네/아니요) | 대규모 또는 복잡한 응용프로그램 (예: ERP 시스템) – 해당 여부 (네/아니요) |
| 접근 관리 | 사용자 접근 권한: 사용자가 부여된 업무를 수행하기에 필요한 권한 이상의 접근권한을 가지며 업무분장을 부적절하게 한다. | 경영진이 표준 프로그램 프로필/역할, 주요 재무보고거래와 업무분장을 포함하여 새로운 사용자와 수정된 사용자에 대한 사용자 권한 성격과 범위를 승인한다. | 네 – 아래 기술된 사용자 접근 검토 대신 | 네 | 네 |
| 퇴직하였거나 부서이동한 사용자에 대한 접근이 적시에 제거되거나 수정된다 | 네 – 아래 사용자 접근 검토 대신 | 네 | 네 | ||
| 사용자 접근을 주기적으로 검토한다. | 네 – 위의 프로비저닝과 프로비저닝 해제 통제 대신 | 네 ‒ 특정 응용프로그램의 경우 | 네 | ||
| 업무분장이 모니터링되고 상충하는 접근은 제거하거나 보완통제에 연결하며 이러한 통제는 문서화되고 테스트된다. | 해당사항 없음 – 업무분장이 가능한 시스템 없음 | 네 ‒ 특정 응용프로그램의 경우 | 네 | ||
| 특별 수준의 접근(예: 설정, 데이터 및 보안관리자)은 승인되고 적절히 제한된다. | 네 – IT 응용프로그램 계층에서만일 가능성 높음 | 네 ‒ IT 응용프로그램과 플랫폼을 위한 특정 IT 환경 계층에서 | 네 ‒ 플랫폼을 위한 모든 IT 환경 계층에서 | ||
| 접근 관리 | 데이터 직접 접근: 응용프로그램상 거래 이외의 수단을 통하여 직접적으로 재무 정보의 부적절한 변경이 이루어진다. | 응용프로그램의 데이터 파일이나 데이터베이스의 오브젝트/테이블/데이터에 대한 접근은 직무상 책임과 부여된 역할에 기초하여 승인된 인원으로 제한되며, 그러한 접근은 경영진의 승인을 받는다. | 해당사항 없음 | 네 ‒ 특정 응용프로그램과 데이터베이스의 경우 | 네 |
| 접근 관리 | 시스템 설정: 적절히 승인된 적합한 사용자에게 시스템 접근을 제한하도록 시스템이 충분히 설정되거나 업데이트되지 않는다. | 접근은 고유한 사용자 아이디와 암호를 통하여 인증되며 고유한 사용자 암호 또는 사용자가 시스템에 접근할 권한이 있음을 검증하는 장치로써 기타 방법을 통하여 접근이 인증된다. 암호의 조건은 회사 또는 산업 표준을 충족한다(예: 암호의 최소길이, 복잡성, 만기, 계정잠금) | 네 – 암호 인증만 있음 | 네 – 암호인증과 복수 요소의 인증을 같이 사용함 | 네 |
| 보안 설정의 핵심 속성이 적절히 실행된다. | 해당사항 없음 – 기술적보안설정이 존재하지 않음 | 네 ‒ 특정 응용프로그램과 데이터베이스의 경우 | 네 | ||
| 변경관리 | 응용프로그램 변경: 관련 자동화된 통제(즉, 구성가능한 설정, 자동화된 알고리즘, 자동화된 계산, 자동화된 데이터 추출) 또는 보고서 로직을 포함하는 응용프로그램 시스템이나 프로그램에 부적절한 변경이 이루어진다. | 응용프로그램 변경이 적절하게 테스트되며 운영환경으로 옮겨지기 전에 승인된다. | 해당사항 없음 ‒ 설치된 소스코드를 확인하지 않음 | 네 ‒ 상용소프트웨어가 아닌 경우 | 네 |
| 응용프로그램 운영환경으로 변경을 실행하기 위한 접근이 적절히 제한되며 개발환경과 분리된다. | 해당사항 없음 | 네 ‒ 상용소프트웨어가 아닌 경우 | 네 | ||
| 변경관리 | 데이터베이스 변경: 데이터베이스 구조와 데이터 간의 관계에 부적절한 변경이 이루어진다. | 데이터베이스 변경이 적절하게 테스트되며 운영환경으로 옮겨지기 전에 승인된다. | 해당사항 없음 – 기업이 데이터베이스 변경을 하지 않음 | 네 ‒ 상용소프트웨어가 아닌 경우 | 네 |
| 변경관리 | 시스템 소프트웨어변경: 시스템 소프트웨어 (예:운영 체제, 네트워크, 변경관리 소프트웨어, 접근통제 소프트웨어)에 부적절한 변경이 이루어진다. | 시스템 소프트웨어 변경이 적절하게 테스트되며 운영환경으로 옮겨지기 전에 승인된다. | 해당사항 없음 – 기업이 시스템 소프트웨어 변경을 하지 않음 | 네 | 네 |
| 변경관리 | 데이터 변환: 변환으로 불완전하거나 중복되거나 모호하거나 부정확한 데이터를 이전하는 경우 기존 시스템이나 이전 버전에서 변환된 데이터가 데이터 오류를 일으킨다. | 경영진이 구 응용프로그램 시스템이나 데이터 구조에서 새로운 응용프로그램이나 데이터 구조로의 데이터 변환의 결과(예: balancing 및 reconciliation 활동)를 승인하고, 변환이 설정된 변환 정책과 절차에 따라 수행되었는지 모니터링한다. | 해당사항 없음 – 수작업 통제로 대처함 | 네 | 네 |
| IT 운영 | 네트워크: 승인되지 않은 사용자가 정보시스템에 부적절하게 접근하는 것을 네트워크가 충분히 예방하지 못한다. | 접근은 고유한 사용자 아이디와 암호를 통하여 인증되며 고유한 사용자 암호 또는 사용자가 시스템에 접근할 권한이 있음을 검증하는 장치로써 기타 방법을 통하여 접근이 인증된다. 암호의 조건은 회사 또는 산업 표준을 충족한다(예: 암호의 최소길이, 복잡성, 만기, 계정잠금) | 해당사항 없음 – 별도의 네트워크 인증 방법이 존재하지 않음 | 네 | 네 |
| 네트워크는 웹에 접속하는 응용프로그램이 재무보고 내부통제와 관련된 응용프로그램이 접속되는 내부 네트워크로부터 분리되도록 설계된다. | 해당사항 없음 – 네트워크 분리를 채택하지 않음 | 네 ‒ 판단이 필요함 | 네 ‒ 판단이 필요함 | ||
| 정기적으로 네트워크 관리팀에 의해 네트워크 경계(perimeter)에 대한 취약성 검토가 이루어지며 잠재적인 취약점에 대한 조사도 이루어진다. | 해당사항 없음 | 네 ‒ 판단이 필요함 | 네 ‒ 판단이 필요함 | ||
| 정기적으로 침입 탐지 시스템에 의해 식별된 위협을 통지하는 경고가 생성된다. 이러한 위협은 네트워크 관리팀에 의해 조사가 이루어진다. | 해당사항 없음 | 네 ‒ 판단이 필요함 | 네 ‒ 판단이 필요함 | ||
| 가상사설네트워크(VPN) 접근을 승인받은 적합한 사용자로 제한하는 통제가 구현되어 있다. | 해당사항 없음 – VPN 없음 | 네 ‒ 판단이 필요함 | 네 ‒ 판단이 필요함 | ||
| IT 운영 | 데이터 백업 및 복구: 데이터 손실이 발생한 경우 재무정보를 적시에 복구하거나 접근할 수 없다. | 재무 데이터가 설정된 일정과 빈도로 정기적으로 백업된다. | 해당사항 없음 – 재무팀에 의한 수작업 백업에 의존함 | 네 | 네 |
| IT 운영 | 작업 일정관리: 생성시스템, 프로그램 또는 작업으로 인해 부정확하거나 불완전하거나 승인되지 않은 데이터 처리가 발생한다. | 승인된 사용자만이 작업 일정관리 소프트웨어에서 일괄 작업(인터페이스 작업 포함)을 업데이트하기 위한 접근을 할 수 있다. | 해당사항 없음 – 일괄 작업 없음 | 네 – 특정 응용프로그램의 경우 | 네 |
| 주요 시스템, 프로그램 또는 작업이 모니터링되고 처리 오류가 성공적으로 완료될 수 있도록 수정된다. | 해당사항 없음 – 작업 모니터링 없음 | 네 – 특정 응용프로그램의 경우 | 네 |