Beta콘텐츠와 기능을 보강하는 중이며, 현재 게시된 실무해설·실무가이드는 샘플입니다.

AccountingWiki.

기준서 315 중요왜곡표시위험의 식별과 평가

보론

보론 1 기업과 기업의 사업모델의 이해를 위한 고려사항 (문단 A61-A67 참조)

이 보론은 기업의 사업모델의 목적과 범위를 설명하고 감사인이 사업모델에 포함될 수 있는 기업의 활동을 이해할 때 고려할 수 있는 사항의 예시를 제공한다. 기업의 사업모델과 사업모델이 사업전략과 사업목적에 영향을 받는 방식에 대한 감사인의 이해는 감사인이 재무제표에 영향을 미칠 수 있는 사업위험을 식별하는 데 도움을 준다. 또한 이러한 이해는 감사인이 중요왜곡표시위험을 식별하는 데 도움을 준다.

기업의 사업모델의 목적과 범위

    1. 기업의 사업모델은 기업이 예를 들어 조직구조, 영업이나 활동의 범위, 사업분야(경쟁자와 고객 포함), 프로세스, 성장기회, 세계화, 규제 요구사항 및 기술을 고려하는 방식을 설명한다. 기업의 사업모델은 기업이 주주를 위한 재무적 가치 혹은 광범위한 가치를 창출하고 보전하고 포착하는 방식을 설명한다.
    1. 전략은 기업이 직면한 위험과 기회에 대처하는 계획을 세우는 방법을 포함하여 경영진이 기업의 목적을 달성하기 위하여 계획한 접근법이다. 기업의 전략은 목적과 기업이 운영되는 내외부의 상황의 변화에 대응하기 위하여 경영진에 의해 시간이 지남에 따라 변경된다.
    1. 사업모델에 대한 설명에는 일반적으로 다음을 포함한다.
    • 기업의 활동의 범위와 활동의 이유
    • 기업의 구조와 운영의 규모
    • 기업이 운영되는 시장이나 지리적 또는 인구학적 영역, 가치 사슬의 일부, 기업이 그러한 시장 또는 영역과 어떻게 관련되는지(주요 제품, 고객층 및 유통 방법), 그리고 경쟁기반
    • 기업이 활동을 수행하는 데 사용하는 사업 또는 운영프로세스(예: 투자, 자금조달 및 운영과정). 가치를 창출, 보전 또는 포착하는 데 중요한 사업프로세스의 부분에 초점을 둠
    • 성공에 필요하거나 중요한 자원(예: 재무적 자원, 인적 자원, 지적 자원, 환경 자원 및 기술적 자원), 기타 투입물 및 관계(예: 고객, 경쟁업체, 공급업체 및 종업원)
    • 기업의 사업모델이 IT 인터페이스 및 기타 기술을 통해 고객, 공급자, 대주 및 기타 이해관계자와의 상호작용에 IT의 사용을 통합하는 방법
    1. 사업위험은 경영진주장 수준이나 재무제표 수준에서 거래유형, 계정잔액 및 공시에 대한 중요왜곡표시위험에 즉각적인 결과를 초래할 수 있다. 예를 들어, 부동산 시장가치의 유의적인 하락에서 발생하는 사업위험은 중기 부동산담보대출의 대주에게 있어 평가 경영진주장과 관련된 중요왜곡표시위험을 증가시킬 수 있다. 그러나 동일한 위험은, 특히 대출금에 대한 전체기간 신용손실의 기초위험을 동시에 증가시키는 심각한 경기침체와 결합하여 더 장기적인 결과를 가져올 수도 있다. 이에 따른 신용손실에 대한 순노출은 계속기업으로 존속할 수 있는 기업의 능력에 유의적인 의문을 제기할 수 있다. 만약 그렇다면, 이는 경영진과 감사인이 계속기업 가정의 회계의 적합성에 대한 결론과 중요한 불확실성의 존재 여부를 결정하는 데 영향을 미칠 수 있다. 따라서 사업위험이 중요왜곡표시위험을 초래할 수 있는지는 기업의 상황에 비추어 고려한다. 중요왜곡표시위험을 야기할 수 있는 사건과 상황의 예는 보론 2에 제시되어 있다.

기업의 활동

    1. 기업의 활동(기업의 사업모델에 포함됨)을 이해할 때 감사인이 고려할 사항들의 예시는 다음과 같다.
    • (a) 다음과 같은 사업운영
      • ° 수익 원천, 제품 또는 서비스, 시장의 성격(인터넷 매출과 마케팅 활동과 같은 전자상거래의 관여 포함)
      • ° 사업의 수행(예를 들어 생산의 단계와 방법 또는 환경적 위험에 노출된 활동)
      • ° 제휴, 합작투자 및 외주활동
      • ° 지리적 분산과 산업 세분화
      • ° 생산설비, 창고 및 사무실의 위치, 재고의 위치 및 수량
      • ° 주요 고객 및 제품과 서비스의 중요한 공급자, 고용약정(노동조합계약의 존재, 연금 및 기타 퇴직후급여, 스톡옵션 또는 인센티브 약정, 고용사항과 관련된 정보규제 등)
      • ° 연구개발활동과 지출
      • ° 특수관계자와의 거래
    • (b) 다음과 같은 투자 및 투자활동
      • ° 계획 중인 또는 최근에 실행한 취득 또는 매각
      • ° 주식과 채권의 투자와 처분
      • ° 자본투자 활동
      • ° 파트너십, 조인트벤처, 특수목적기업 등 연결대상에서 제외되는 기업들에 대한 투자
    • (c) 다음과 같은 자금조달 및 자금조달 활동
      • ° 주요 종속기업과 관계기업(연결대상 또는 연결대상에서 제외되는 구조 포함)
      • ° 채무구조 및 관련 조건(부외 금융약정과 리스약정 포함)
      • ° 수익자(예를 들면, 국내, 국외, 사업평판과 경험)와 특수관계자
      • ° 파생금융상품의 이용

특수목적기업의 성격

    1. 특수목적기업 (특수목적기구라고도 함)은 금융자산에 대한 리스 또는 유동화를 실행하거나 연구개발활동을 수행하는 것과 같이 일반적으로 협의의 명확한 목적을 위해 설립된 기업이다. 이는 법인, 신탁, 파트너십 또는 조합의 형태를 띨 수 있다. 기업은 특수목적기업을 설립하기 위해 많은 경우 해당 특수목적기업에 자산을 양도하고(예를 들어, 그 일환으로 금융자산의 제거거래가 수반됨), 특수목적기업의 자산을 사용할 권리를 얻거나 특수목적기업을 위해 서비스를 수행할 권리를 취득하는데, 이와 달리 해당 특수목적기업에 자금을 제공하는 경우도 있다. 감사기준서 550에서 언급한 바와 같이, 특수목적기업은 어떤 상황에서는 해당 기업의 특수관계자일 것이다.69)
    1. 재무보고체계에서는 많은 경우에 지배력이 있는 것으로 보는 세부적인 요건 또는 특수목적기업이 연결범위에 포함되는지 고려하여야 하는 상황을 규정한다. 그러한 재무보고체계의 요구사항을 해석할 때는 많은 경우에 특수목적기업과 관련된 계약에 대하여 세부적인 지식이 요구된다.

69) 감사기준서 550 문단 A7

보론 2 고유위험요소의 이해 (문단 12(f), 19(e), A7-A8, A85-89 참조)

이 보론은 고유위험요소와 경영진주장 수준의 중요왜곡표시위험의 식별과 평가에 고유위험요소를 이해하고 적용할 때 고려할 사항들에 대한 추가적인 설명을 제공한다.

고유위험요소

    1. 고유위험요소는 통제를 고려하기 전에 거래유형, 계정잔액 또는 공시에 대한 경영진주장이 부정이나 오류로 인하여 왜곡표시될 가능성에 영향을 미치는 사건이나 상황의 특성이다. 그러한 요소들은 질적이거나 양적일 수 있으며 복잡성, 주관성, 변화, 불확실성 또는 경영진 편의나 고유위험에 영향을 주는 한 기타 다른 부정위험요소70)로 인한 왜곡표시 가능성을 포함한다. 문단 19(a)-(b)에 따라 기업과 기업환경, 해당 재무보고체계 및 기업의 회계정책을 이해할 때, 감사인은 재무제표 작성에 있어 고유위험요소가 경영진주장이 왜곡표시될 가능성에 어떻게 영향을 주는지 또한 이해한다.
    1. 해당 재무보고체계에서 요구되는 정보(이 문단에서는 ‘요구되는 정보’로 부른다)의 작성과 관련된 고유위험요소는 다음을 포함한다.
    • 복잡성 – 요구되는 정보의 성격이나 정보를 작성하는 방식에서 발생하며, 이러한 작성 과정이 본질적으로 더 적용하기 어려운 경우를 포함한다. 복잡성이 발생하는 상황의 예는 다음과 같다.
      • ° 공급자할인 충당금을 계산할 때. 많은 서로 다른 공급자와의 다양한 상거래조건 또는 할인액 계산과 관련된 서로 연관된 많은 상거래 조건을 고려할 필요가 있기 때문이다.
      • ° 회계추정치를 도출할 때 사용되는 많은 다른 특성을 가진 잠재적 데이터 원천이 있을 때. 데이터의 처리에 상호 관련된 많은 단계가 있어서 데이터의 식별, 포착, 접근, 이해 또는 처리가 본질적으로 어렵다.
    • 주관성 – 지식이나 정보의 이용가능성의 제한으로 인하여 요구되는 정보를 객관적인 방식으로 작성하는 능력이 본질적으로 제한되는 데에서 발생한다. 예를 들어 경영진은 적합한 접근법과 그 결과 재무제표에 포함할 정보에 대하여 선택을 하거나 주관적인 판단을 하게 될 수 있다. 요구되는 정보를 작성하기 위한 접근법이 다양하기 때문에 해당 재무보고체계의 요구사항을 적절히 적용하더라도 다양한 결과가 나올 수 있다. 지식이나 정보의 제한이 증가할수록 합리적인 지식을 가진 독립적인 개인이 내린 판단의 주관성과 이러한 판단에 따라 가능한 결과의 다양성도 증가할 것이다.
    • 변화 – 사건이나 상황이 시간의 경과에 따라 기업의 사업이나 경제, 회계, 규제, 산업 또는 기업이 영위하는 환경의 기타 측면에 영향을 주고 그 영향이 요구되는 정보에 반영될 때 발생한다. 이러한 사건과 상황은 재무보고기간 중에 또는 그 사이에 발생할 수 있다. 예를 들어 해당 재무보고체계의 요구사항이나 기업과 기업의 사업모델 또는 기업을 운영하는 환경의 발전으로 인하여 변화가 생길 수 있다. 그러한 변화는 경영진의 회계정책 선택이나 회계추정치가 도출되거나 관련 공시가 결정되는 방법과 관련되는 경우를 포함하여 경영진의 가정과 판단에 영향을 준다.
    • 불확실성 – 요구되는 정보를 직접적인 관찰로 검증할 수 있는 충분히 정밀하고 포괄적인 데이터만으로 작성할 수 없는 경우에 발생한다. 이러한 상황에서 가능한 범위까지는 충분히 정밀하고 포괄적인 관측 가능한 데이터를 사용하고, 그렇지 않은 경우는 가장 적절한 이용가능한 데이터로 뒷받침되는 합리적인 가정을 사용하여, 정보를 작성하기 위해 이용 가능한 지식을 적용하는 접근방식을 취할 필요가 있을 수 있다. 지식이나 데이터의 가용성에 대한 제약은 그러한 제약이 경영진의 통제를 벗어난 경우(해당되는 경우 비용 제약 포함) 불확실성의 원천이며 그러한 제약이 요구되는 정보의 작성에 미치는 영향을 제거할 수는 없다. 예를 들어, 추정불확실성은 요구되는 화폐금액을 정확하게 산정할 수 없고 재무제표가 확정되기 전에 추정 결과를 알 수 없는 경우에 발생한다.
    • 경영진편의 또는 고유위험에 영향을 주는 기타 부정위험요소로 인한 왜곡표시 가능성 – 경영진편의로 인한 왜곡표시 가능성은 정보를 작성하면서 경영진의 의도하거나 의도하지 않게 중립성 유지에 실패할 가능성을 만드는 상황에서 발생한다. 경영진편의는 많은 경우에 경영진이 판단을 함에 있어 중립성을 유지하지 못하도록 하는 잠재적 가능성이 있거나 의도적이라면 부정일 수 있는 정보의 중요한 왜곡표시로 이어질 수 있는 특정 상황(잠재적인 경영진편의의 징후)과 관련된다. 그러한 징후는 고유위험에 영향을 미치는 한 동기와 압력(예를 들어, 원하는 이익 목표나 자본비율과 같이 원하는 결과를 달성하도록 하는 동기부여의 결과로), 기회, 중립성을 유지하지 못하는 것을 포함한다. 부정한 재무보고나 자산의 유용 형태의 부정으로 인한 왜곡표시 가능성에 관한 요소는 감사기준서 240문단 A1-A5에 기술되어 있다.
    1. 복잡성이 고유위험요소일 때 정보를 작성하는 데 더 복잡한 절차가 본질적으로 필요할 수 있으며 그러한 절차는 본질적으로 적용하기에 더 어려울 수 있다. 그 결과 이의 적용을 위해서는 전문적인 기술과 지식이 필요하며 경영진측 전문가의 이용이 필요할 수 있다.
    1. 경영진의 판단이 좀 더 주관적일수록, 의도하였든 의도하지 않았든, 경영진 편의로 인한 왜곡표시 가능성 또한 증가한다. 예를 들어, 추정불확실성이 높은 것으로 식별된 회계추정치의 도출에 유의적인 경영진의 판단이 수반될 수 있으며 방법, 데이터 및 가정에 대한 결론에 의도하거나 의도하지 않은 경영진 편의가 반영될 수 있다.

중요왜곡표시위험을 유발할 수 있는 사건이나 상황의 예시

    1. 다음은 재무제표 수준과 경영진주장 수준에서 재무제표의 중요왜곡표시위험을 유발할 수 있는 사건(거래 포함)이나 상황의 예시이다. 고유위험요소별로 제공되는 예시는 광범위한 사건과 상황을 포함하지만 모든 사건과 상황이 전체 감사업무에 관련된 것은 아니며 사례의 목록이 반드시 완전한 것은 아니다. 각 사건과 상황은, 상황에 따라 가장 영향이 클 수 있는 고유위험요소별로 범주화되었다. 중요한 것으로는 고유위험요소 간 상호관련성으로 인하여 예시 사건과 상황은 다양한 정도로 다른 고유위험요소에 속하거나 다른 고유위험요소의 영향을 받을 것이라는 점이다.
관련 고유위험요소경영진주장 수준의 중요왜곡표시위험의 존재를 나타낼 수 있는 사건이나 상황의 예시
복잡성규제:
높은 수준의 복잡한 규제를 따르는 영업
사업모델:
복잡한 제휴와 합작투자
해당 재무보고체계:
복잡한 절차를 수반하는 회계측정
거래:
부외 자금조달, 특수목적기업, 기타 복잡한 재무 약정의 사용
주관성해당 재무보고체계:•
회계추정치에 대한 광범위한 가능한 측정 요건. 예를 들어 감가상각 또는 공사수익과 공사원가의 인식
투자부동산과 같은 비유동자산의 평가기법이나 모델에 대한 경영진의 선택
변화경제 상황:
예를 들어 통화가 유의적으로 평가절하되거나 인플레이션이 극심한 국가와 같이 경제적으로 불안정한 지역에서의 영업
시장:
변동성 있는 시장에 노출된 영업. 예를 들어 선물시장.
고객 이탈:
유의적인 고객의 이탈을 포함한 계속기업과 청산 이슈
산업모델:
기업이 속한 산업의 변화
사업모델:
공급망의 변화.
새로운 제품이나 서비스의 개발 또는 제안, 또는 새로운 사업 계열로의 진출
지리:
새로운 지역으로의 확장
기업 구조:
대규모 인수 또는 재조직화 또는 기타 비경상적인 사건과 같은 기업의 변화
매각가능성이 높은 기업 또는 사업 부문
인적자원의 경쟁력:
핵심 임원의 이탈과 같은 핵심 인원의 변화
IT:
IT 환경의 변화
재무보고와 관련된 유의적인 새로운 IT 시스템의 설치
해당 재무보고체계:
새로운 회계 의견서의 적용
자본:
자본과 신용의 이용가능성에 대한 새로운 제약
규제기관:
규제기관이나 정부기관에 의한 기업의 영업이나 재무 결과에 대한 조사의 착수
환경보호와 관련된 새로운 법률의 영향
불확실성보고:
회계추정치와 관련 공시를 포함한 유의적인 측정 불확실성이 있는 사건이나 거래
계류중인 소송과 우발부채. 예를 들어 판매보증, 재무보증, 환경복구
경영진편의 또는 고유위험에 영향을 미치는 기타 부정위험요소로 인한 왜곡표시 가능성보고:
경영진과 종업원이 부정한 재무보고(공시상 유의적인 정보의 생략이나 모호한 기술 포함)에 개입할 기회
거래:
특수관계자와의 유의적인 거래
유의적인 수의 비일상적이고 비체계적 거래(회사 간 거래 및 기말 시점의 거액의 수익거래 포함)
경영진의 의도에 기초하여 기록되는 거래. 예를 들어 채무재조달, 매각예정자산, 시장성 유가증권의 분류

재무제표 수준의 중요왜곡표시위험을 나타낼 수 있는 기타 사건과 상황

  • 적합한 회계 및 재무보고 기술을 갖춘 인력의 부족
  • 통제 미비점 - 특히 통제 환경, 위험평가절차와 모니터링 절차에서의 미비점으로 특히 경영진에 의해 대처가 되지 않은 것
  • 과거의 왜곡표시, 오류의 이력 또는 기말시점의 유의적인 금액의 조정

70) 감사기준서 240 문단 A24-A27

보론 3 기업의 내부통제시스템의 이해 (문단 12(m), 21-26, A90-A181 참조)

    1. 기업의 내부통제시스템은 정책과 절차 매뉴얼, 시스템과 양식, 그리고 그 안에 내재된 정보에 반영되어 있을 수 있으며 사람들에 의해 작동된다. 기업의 내부통제시스템은 기업의 구조에 따라 경영진, 지배기구 및 기타 인원에 의해 실행된다. 기업의 내부통제시스템은 경영진, 지배기구 및 기타 인원의 의사결정에 따라 법규 요구사항의 관점에서 기업의 사업모델과 법적 구조 또는 이들의 결합에 적용될 수 있다.
    1. 이 보론은 재무제표 감사와 관련된 문단 12(m), 21~26, A90~A181에서 서술한 기업의 내부통제시스템의 구성요소와 한계를 추가로 설명한다.
    1. 기업의 내부통제시스템에는 재무보고목적을 포함하여 기업의 보고목적과 관련된 측면이 포함되지만 운영이나 준수목적과 관련된 측면도 포함될 수 있다.

예시:

법규의 준수에 대한 통제는 통제가 기업의 재무제표의 우발사항에 대한 공시 작성과 관련이 있는 경우 재무보고와 관련될 수 있다.

기업의 내부통제시스템의 구성요소

통제환경

    1. 통제환경에는 지배구조와 경영기능, 지배기구와 경영진의 내부통제시스템에 대한 태도, 인식, 행동과, 내부통제시스템의 기업 내에서의 중요성이 포함된다. 통제환경은 조직의 분위기를 조성하여 조직 구성원들의 통제 의식에 영향을 미치며, 기업의 내부통제시스템의 다른 구성요소들의 운영을 위한 전반적인 기초를 제공한다.
    1. 기업의 통제의식은 지배기구의 영향을 받는데, 지배기구의 역할 중 하나는 시장의 요구나 보상제도에서 발생할 수 있는 재무보고와 관련된 경영진에 대한 압력을 상쇄하는 것이기 때문이다. 따라서 지배기구의 참여와 관련된 통제환경 설계의 효과성은 다음과 같은 사항에 의해 영향을 받는다:
    • 지배기구의 경영진으로부터의 독립성과 경영진의 행동을 평가하는 능력
    • 지배기구가 기업의 사업 거래를 이해하는지 여부
    • 재무제표에 적절한 공시가 포함되어 있는지를 포함하여 재무제표가 해당 재무보고체계에 따라 작성되었는지를 평가하는 정도
    1. 통제환경에는 다음과 같은 요소가 포함된다:
    • (a) 기업의 문화를 조성하고 유지하며, 정직성과 윤리적 가치에 대한 경영진의 의지를 보여주는 등 경영진의 책임이 수행되는 방법. 통제의 효과성은 통제를 만들고, 관리하고, 감시하는 사람들의 성실성과 윤리적 가치 이상으로 올라갈 수 없다. 성실성과 윤리적 행동은 기업의 윤리적, 행동기준과 행동강령, 그것들이 전달되는 방법(예: 정책 성명을 통해), 실무에서 강화되는 방법(예: 직원들이 정직하지 않은, 불법적인 또는 비윤리적인 행동을 하도록 유도하는 유인이나 유혹을 제거하거나 완화하기 위한 경영진의 행동을 통해)의 산물이다. 성실성과 윤리적 가치에 대한 기업 정책의 커뮤니케이션에는 정책성명서와 행동 강령을 통해 그리고 사례를 통해 직원들에게 행동기준을 커뮤니케이션하는 것이 포함될 수 있다.
    • (b) 지배기구가 경영진과 분리되어 있을 때, 지배기구가 경영진으로부터 독립성을 입증하고 기업의 내부통제시스템에 대한 감독을 행사하는 방법. 기업의 통제의식은 지배기구에 의해 영향을 받는다. 고려사항에는 평가와 의사결정에서 경영진과 충분히 독립적이고 객관적인 개인이 충분히 있는지 여부, 지배기구가 감시책임을 식별하고 수용하는 방법, 그리고 지배기구가 경영진의 내부통제시스템 설계와 실행 및 수행에 대한 감독 책임을 유지하는지 여부가 포함될 수 있다. 지배기구의 책임의 중요성은 지배기구를 위해 작성된 실천강령 및 기타 법규 또는 지침에서 인식된다. 지배기구의 다른 책임에는 내부고발절차의 설계와 효과적인 운영에 대한 감시가 포함된다.
    • (c) 기업이 목적을 추구하기 위해 권한과 책임을 부여하는 방법. 여기에는 다음에 대한 고려사항이 포함될 수 있다:
      • 권한 및 책임의 핵심 영역 및 적절한 보고 라인
      • 적절한 사업 관행, 핵심 인력의 지식 및 경험, 임무 수행을 위해 제공되는 자원과 관련된 정책
      • 모든 직원이 기업의 목적을 이해하고, 그들의 개별 행동이 그러한 목적과 어떻게 상호 관련되고 기여하는지를 알고, 그들이 어떻게 그리고 무슨 책임을 질 것인지를 인식하도록 하기 위한 정책과 커뮤니케이션
    • (d) 기업이 자신의 목적에 따라 역량있는 개인을 유치하고, 육성하고, 유지하는 방법. 여기에는 다음과 같이 개인이 각 개인의 직무를 정의하는 과업을 달성하는 데 필요한 지식과 기술을 보유하도록 하는 방법이 포함된다:
      • 가장 적격한 인력을 채용하기 위한 기준. 교육 배경, 이전 업무 경험, 과거 성과, 성실성 및 윤리적 행동의 증거에 중점을 둠
      • 잠재적 역할과 책임을 전달하는 훈련 정책. 기대되는 성과 및 행동 수준을 설명하는 교육기관과 세미나와 같은 관행을 포함함
      • 정기적인 성과평가. 성과평가가 주도하는 승진을 통해 적격한 자를 상위직책으로 진급시킨다는 기업의 약속을 보여줌
    • (e) 기업의 내부통제시스템의 목적을 추구하면서 개인에게 책임을 묻는 방법. 이것을 수행하는 방법의 예는 다음과 같다.
      • 통제책임의 수행에 대해 개인에게 전달하고 책임을 물으며 필요에 따라 시정조치를 이행하기 위한 체계
      • 기업의 내부통제시스템에 책임이 있는 사람들에 대한 성과측정치, 인센티브 및 보상 기준을 수립함. 성과측정치를 평가하고 관련성을 유지하는 방법 포함
      • 통제목표 달성과 관련된 압력이 개인의 책임과 성과 측정에 영향을 미치는 방법
      • 필요에 따라 개인을 훈련시키는 방법
  • 위 사항의 적절성은 기업의 규모, 구조의 복잡성 및 활동의 성격에 따라 기업마다 다를 것이다.

기업의 위험평가절차

    1. 기업의 위험평가절차는 기업의 목적을 달성하기 위하여 위험을 식별하고 분석하는 반복적 절차이며 경영진과 지배기구가 관리할 위험을 결정하는 방법의 근거를 형성한다.
    1. 재무보고 목적상, 기업의 위험평가절차는 경영진이 해당 재무보고체계에 따른 재무제표의 작성과 관련된 사업위험을 식별하고, 그 유의성을 추정하고, 발생할 가능성을 평가하며, 그 위험들과 그 결과를 관리하기 위한 조치를 결정하는 방법을 포함한다. 예를 들어, 기업의 위험평가절차는 기업이 거래가 기록되지 않을 가능성을 어떻게 고려하는지 또는 재무제표에 기록된 유의적인 추정치를 어떻게 식별하고 분석하는지를 다룰 수 있다.
    1. 신뢰할 수 있는 재무보고와 관련된 위험에는 재무제표의 경영진 주장과 일관되게 재무정보를 개시, 기록, 처리, 보고하는 능력에 부정적 영향을 미칠 수 있는 내, 외부의 사건, 거래 또는 상황이 포함된다. 경영진은 특정 위험에 대처하기 위한 계획, 프로그램 또는 행동에 착수할 수도 있고, 비용이나 다른 고려사항들 때문에 위험을 수용하기로 결정할 수도 있다. 이러한 위험은 다음과 같은 상황으로 인하여 발생하거나 변화할 수 있다.
    • 영업환경의 변화. 규제환경, 경제환경 또는 영업환경의 변화로 경쟁 압력이 변화하고 유의적으로 다른 위험이 발생할 수 있다.
    • 신규 인력. 신규 인력은 내부통제에 대하여 다른 관점을 가지거나 내부통제를 다르게 이해할 수 있다.
    • 신규 또는 개편된 정보시스템. 유의적이고 급속한 정보시스템의 변화는 내부통제와 관련된 위험을 변화시킬 수 있다.
    • 급속한 성장. 유의적이고 급속한 영업확장은 통제가 한계에 봉착하게 할 수 있고 통제가 와해될 위험을 증가시킨다.
    • 새로운 기술. 생산공정 또는 정보시스템에 새로운 기술이 도입되면 내부통제와 연관된 위험을 변화시킬 수 있다.
    • 새로운 사업모델, 제품 또는 활동. 기업이 거의 경험이 없는 사업분야나 거래에 참여하는 것은 내부통제와 연관하여 새로운 위험을 발생시킬 수 있다.
    • 기업 구조조정. 구조조정은 내부통제와 연관된 위험을 변화시킬 수 있는 인원감축, 감독 및 업무분장의 변화를 가져올 수 있다.
    • 해외사업의 확장. 해외사업의 확장이나 취득은 내부통제에 영향을 미치는 새로운 위험이나 많은 경우에 독특한 위험(예를 들어 외환거래로부터 추가적이거나 변화된 위험)을 유발한다.
    • 새로운 회계기준의 공표. 새로운 회계기준의 도입 또는 회계기준의 변경은 재무제표를 작성할 때의 위험에 영향을 미칠 수 있다.
    • IT의 이용. 다음과 관련된 위험을 포함한다.
      • ° 데이터와 정보처리의 무결성의 유지
      • ° 기업의 IT 전략이 기업의 사업전략을 효과적으로 뒷받침하지 못할 경우 발생하는 기업의 사업전략의 위험
      • ° 기업의 IT 환경상 변화나 중단, IT 인력의 이직 또는 기업이 IT 환경에 필요한 업데이트를 하지 못하거나 적시에 업데이트하지 못하는 경우

내부통제시스템을 모니터링하는 기업의 절차

    1. 내부통제시스템을 모니터링하는 기업의 절차는 기업의 내부통제시스템의 효과성을 평가하고 적시에 필요한 시정조치를 취하는 연속적인 과정이다. 내부통제시스템을 모니터링하는 기업의 절차는 상시 활동, 별도의 평가(주기적으로 수행됨), 또는 이 두 가지의 결합으로 이루어질 수 있다. 상시 모니터링 활동은 많은 경우에 기업의 일상적이고 반복적인 활동에 포함되며, 정기적인 경영 및 감독 활동을 포함할 수 있다. 모니터링 절차의 범위와 빈도는 기업의 위험 평가에 따라 다양할 것이다.
    1. 내부감사기능의 목적과 범위는 일반적으로 기업의 내부통제시스템의 효과성을 평가하거나 모니터링하도록 설계된 활동을 포함한다.71) 내부통제시스템을 모니터링하는 기업의 절차는 은행계정조정이 적시에 작성되고 있는지 여부에 대한 경영진의 검토, 영업사원의 판매계약조건에 관한 정책의 준수 여부에 대한 내부감사인의 평가, 기업의 윤리정책이나 기업실무 정책의 준수 여부에 대한 법률부서의 감시와 같은 활동을 포함할 수 있다. 모니터링은 또한 통제가 지속적이고 효과적으로 운영되는지 확인하기 위해 수행된다. 예를 들어, 은행계정조정의 적시성과 정확성이 모니터링되지 않는다면, 담당자는 은행계정의 조정을 중단할 가능성이 있다.
    1. 내부통제시스템을 모니터링하는 기업의 절차와 관련된 통제(모니터링 대상 기초 통제가 자동화된 통제인 경우 포함)는 자동화되거나 수작업이거나 혹은 두 가지의 결합일 수 있다. 예를 들어, 기업은 특정기술에 대한 접근을 모니터링하는 자동화된 통제를 사용하고 해당 통제는 경영진에게 비일상적인 활동에 대한 자동화된 보고서를 제공할 수 있으며 경영진은 식별된 이상사항에 대하여 수작업으로 조사할 수 있다.
    1. 모니터링 활동과 정보시스템과 관련된 통제를 구별할 때, 특히 활동에 어느 정도 감독상의 검토(supervisory review)가 포함된 경우, 기초적인 세부활동을 고려한다. 감독상의 검토는 자동적으로 모니터링 활동으로 분류되지는 않으며, 검토가 정보시스템과 관련된 통제로 분류되는지 모니터링 활동으로 분류되는지 여부는 판단의 문제일 수 있다. 예를 들어 월별 완전성 통제의 목적은 오류를 적발하고 수정하는 것인 반면에, 모니터링 활동은 오류가 발생하는 이유를 묻고 미래의 오류를 방지하기 위해 절차를 수정하는 책임을 경영진에게 부여한다. 간단히 말해서, 정보시스템과 관련된 통제는 특정 위험에 대응하는 반면에, 모니터링 활동은 기업의 내부통제시스템의 다섯 가지 구성요소 내의 통제가 의도한 대로 작동하는지를 평가한다.
    1. 모니터링 활동에는 외부당사자와의 커뮤니케이션에서 문제점을 나타내거나 개선이 필요한 영역을 부각시키는 것일 수 있는 정보를 이용하는 것이 포함될 것이다. 고객은 대금을 지급하거나 아니면 청구액에 불만을 표시함으로써 암묵적으로 청구관련 데이터를 확인해 준다. 뿐만 아니라, 은행의 규제기관에 의한 조사와 관련된 커뮤니케이션의 경우와 같이, 규제기관은 기업의 내부통제시스템의 작동에 영향을 미치는 사항들에 대하여 기업과 커뮤니케이션하기도 한다. 또한, 경영진은 모니터링 활동을 수행할 때 외부감사인과 내부통제에 관하여 커뮤니케이션하는 것을 고려할 수 있을 것이다.

정보시스템과 커뮤니케이션

    1. 재무제표 작성에 관련된 정보시스템은 다음 목적을 위하여 설계되고 수립된 활동과 정책, 회계기록 및 이를 뒷받침하는 기록으로 구성된다.
    • 기업의 거래를 개시, 기록, 처리(및 거래 이외의 사건과 상황에 대한 정보의 포착, 처리, 공시)하고 관련 자산, 부채 및 자본에 대한 수탁책임을 유지
    • 예를 들어 자동으로 계류되고 있는 파일과 이를 적시에 처리하기 위해 따르는 절차와 같이, 거래에 대한 부정확한 처리의 해결
    • 시스템의 무력화나 통제의 우회를 처리하고 고려
    • 거래처리시스템에서 총계정원장으로 정보를 전기
    • 자산의 감가상각 및 매출채권 회수가능성의 변화와 같이, 거래 외의 사건이나 상황에 대한 재무정보 관련 정보의 포착
    • 해당 재무보고체계에 따라 공시되어야 할 정보가 집계, 기록, 처리, 요약되고 재무제표에 적합하게 보고되도록 함
    1. 기업의 사업프로세스는 다음을 위해 설계된 활동을 포함한다.
    • 기업의 제품과 서비스의 개발, 구매, 생산, 판매 및 유통
    • 법규의 준수
    • 회계와 재무보고 정보 등 정보의 기록
  • 사업프로세스는 정보시스템에 기록, 처리 및 보고되는 거래를 생성한다.
    1. 정보의 질은 경영진이 기업활동을 관리, 통제할 때 적합한 의사결정을 내리고 신뢰할 수 있는 재무보고서를 작성하는 능력에 영향을 미친다.
    1. 커뮤니케이션은 재무보고에 대한 기업의 내부통제시스템과 관련된 개인의 역할과 책임에 대한 이해를 제공하는 것을 수반하며 이는 정책매뉴얼, 회계 및 재무보고매뉴얼 그리고 비망록의 형태를 취할 수 있다. 또한, 커뮤니케이션은 전자형태, 구두 또는 경영진의 행동을 통하여도 이루어질 수 있다.
    1. 기업이 재무보고의 역할과 책임, 재무보고와 관련된 유의적 사항들을 커뮤니케이션할 때는 재무보고에 대한 내부통제와 관련된 개인의 역할과 책임을 이해하는 것이 수반된다. 이러한 커뮤니케이션에는 구성원들이 재무보고 정보시스템에서 자신의 활동이 다른 사람의 업무와 어떻게 관련되는지에 대한 이해의 정도, 그리고 기업 내의 적절한 상급자에게 예외사항을 보고하는 방법과 같은 것이 포함된다.

통제활동

    1. 통제활동 구성요소 내 통제는 문단 26에 따라 식별된다. 그러한 통제에는 정보처리 통제와 IT 일반통제가 포함되며, 둘 다 성격상 수작업 또는 자동화된 통제일 수 있다. 경영진이 재무보고에 대하여 사용하고 신뢰하는 자동화된 통제 또는 자동화된 측면이 수반된 통제의 범위가 클수록, 기업이 자동화된 측면의 정보처리 통제의 계속적인 기능을 다루는 IT 일반통제를 실행하는 것이 더 중요하다. 통제활동 구성요소 내 통제는 다음과 관련된다.
    • 권한부여와 승인. 권한부여와 승인은 거래가 유효하다(즉, 실제의 경제적 사건을 나타내거나 기업의 정책 내에 있음)는 것을 확인한다. 일반적으로 권한부여와 승인은 상급 경영진의 승인 또는 거래의 유효성에 대한 검증과 판단의 형태를 가진다. 예를 들어 관리자는 비용이 합리적이고 정책에 부합하는지 검토한 후 비용보고서를 승인한다. 자동 승인의 예로는 송장의 단가가 사전 설정된 허용가능한 수준 내에 있는 관련 구매주문의 단가와 자동으로 비교되는 경우가 있다. 허용가능한 수준 내의 송장은 자동적으로 지급이 승인된다. 허용 범위를 벗어난 송장은 추가 조사를 위해 표시가 된다.
    • 대사 – 대사는 둘 이상의 데이터 요소를 비교한다. 차이가 식별되면 데이터를 일치시키기 위한 조치를 취한다. 대사는 일반적으로 거래처리의 완전성과 정확성을 다룬다.
    • 검증 – 검증은 둘 이상의 항목을 서로 비교하거나 한 항목을 정책과 비교하며 두 항목이 일치하지 않거나 해당 항목이 정책과 일관되지 않은 경우 후속조치를 취하도록 할 것이다. 검증은 일반적으로 거래처리의 완전성, 정확성 또는 유효성을 다룬다.
    • 물리적 또는 논리적 통제. 승인되지 않은 접근, 취득, 사용 또는 처분으로부터 자산을 보호하는 통제 포함
    • 통제는 다음을 포함한다.
      • ° 자산의 물리적 보안, 자산 및 기록 접근에 대한 보안 시설과 같은 적절한 안전장치 포함
      • ° 컴퓨터 프로그램과 데이터 파일에 대한 접근의 권한부여(즉 논리적 접근)
      • ° 정기적인 실사 및 통제기록에 나타나는 금액과의 비교(예를 들어 현금, 유가증권, 재고실사의 결과를 회계기록과 비교)
    • 자산의 도난을 방지하기 위한 물리적 통제가 재무제표 작성의 신뢰성과 관련이 있는 정도는 자산이 유용에 매우 취약한 경우와 같이 상황에 따라 달라진다.
    • 업무분장 –거래를 승인하는 책임, 거래를 기록하는 책임, 자산 보관을 유지할 책임을 서로 다른 사람에게 부여하는 것. 업무분장은 특정인이 일상적인 업무과정에서 오류나 부정을 저지르고 숨길 수 있는 위치에 있을 기회를 줄이기 위한 것이다.
    • 예를 들어, 신용판매를 승인하는 관리자는 매출채권 기록을 유지하거나 현금수취를 다루는 책임을 지지 않는다. 만약 한 사람이 이러한 활동 모두를 수행한다면, 그 사람은 예를 들어 적발되지 않는 허위 매출을 만들 수 있다. 이와 유사하게, 판매사원이 제품 가격파일이나 수수료율을 수정할 능력을 가져서는 안된다.
    • 경우에 따라 업무분장이 실무적이지 않거나 비용 효율적이지 않거나 실현가능하지 않을 수 있다. 예를 들어 소규모의 덜 복잡한 기업은 이상적인 업무분장을 달성하기에 충분한 자원이 부족하고 추가적인 직원을 고용하는 것이 제한적일 수 있다. 이러한 상황에서 경영진은 추가적인 통제를 구성할 수 있다. 위의 예시에서, 매출 기능과 관련되어 있지 않은 직원이 정기적으로 판매사원이 가격을 변경하는지 여부와 어떤 상황에서 변경하는지를 검토하는 적발통제 활동을 실행할 수 있을 것이다.
    1. 어떤 통제는 경영진이나 지배기구가 수립한 적합한 상위수준의 통제가 존재하는지 여부에 따라 달라질 수 있다. 예를 들어, 승인 통제는 지배기구가 수립한 투자기준과 같이 수립된 지침에 따라 위임될 수도 있다. 이와 달리, 대규모의 취득이나 처분과 같이 비일상적인 거래는 경우에 따라 주주와 같은 특정 상위수준의 승인이 요구될 수도 있다.

내부통제의 한계

    1. 기업의 내부통제시스템은 아무리 효과적이라 할지라도 기업의 재무보고목적을 달성하는 것에 대한 합리적인 확신만을 제공할 수 있다. 재무보고목적의 달성가능성은 내부통제의 고유한계에 의해 영향을 받는다. 여기에는 의사결정에서 인간의 판단이 잘못될 수 있고 인간의 실수로 인해 기업의 내부통제시스템의 붕괴가 발생할 수 있는 현실이 포함된다. 예를 들어, 통제의 설계 또는 변경에 오류가 있을 수 있다. 마찬가지로, 정보를 검토할 책임이 있는 개인이 목적을 이해하지 못하거나 적절한 조치를 취하지 못하기 때문에 기업의 내부통제시스템의 목적을 위해 생성된 정보(예: 예외사항 보고서)가 효과적으로 사용되지 않는 경우와 같이 통제의 운용이 효과적이지 않을 수도 있다.
    1. 또한 둘 이상의 사람들이 공모나 부적절한 경영진의 통제 무력화로 통제를 우회할 수 있다. 예를 들어 경영진은 고객과 기업의 표준판매계약의 조건을 변경하는 부수적인 계약을 체결하여 수익을 부적절하게 인식할 수 있다. 또한 지정된 신용 한도를 초과하는 거래를 식별하고 보고하도록 설계된 IT 응용프로그램의 입력값 검증(edit check)이 무시되거나 비활성화될 수 있다.
    1. 더 나아가 통제를 설계하고 실행할 때 경영진은 실행하기로 선택한 통제의 성격과 범위와 감수하기로 한 위험의 성격과 범위에 대하여 판단을 내릴 수 있다.

71) 감사기준서 610과 이 감사기준서의 보론 4는 내부감사와 관련된 추가적인 지침을 제공한다.

보론 4 기업의 내부감사기능의 이해를 위한 고려사항 (문단 14(a), 24(a)(ii), A25-A28, A118 참조)

이 보론은 기업의 내부감사기능이 존재하는 경우 내부감사기능의 이해에 관한 추가적인 고려사항을 제공한다.

내부감사기능의 목적과 범위

    1. 내부감사기능의 목적과 범위, 직무의 권한과 책임을 포함한 조직 내 책임의 성격과 지위는 매우 다양하며 기업의 규모, 복잡성 및 구조, 경영진 및 해당되는 경우 지배기구에 따라 달라진다. 이러한 사항들은 내부감사 헌장 또는 업무규정에 제시될 수 있다.
    1. 내부감사기능의 책임에는 위험관리, 기업의 내부통제시스템과 지배구조 프로세스의 설계 및 효과성과 관련하여 경영진과 지배기구에게 확신을 제공하기 위한 절차를 수행하고 그 결과를 평가하는 것이 포함될 수 있다. 만약 그렇다면, 내부감사기능은 기업의 내부통제시스템을 감시하는 과정에서 중요한 역할을 할 수 있다. 그러나 내부감사기능의 책임은 운영의 경제성, 효율성 및 효과성을 평가하는 데 집중될 수 있으며, 그러한 경우에는 그 직무의 업무가 기업의 재무보고와 직접 관련되지 않을 수 있다.

내부감사기능에 대한 질문

    1. 기업이 내부감사기능을 가지고 있는 경우, 그 기능에 속하는 적절한 개인에 대한 질문은 기업과 기업환경, 해당 재무보고체계 및 기업의 내부통제시스템을 이해하고 재무제표 및 경영진주장 수준의 중요왜곡표시위험에 대한 위험을 식별하고 평가하는 데 유용한 정보를 제공할 수 있다. 내부감사기능은 업무를 수행함에 있어 기업의 운영과 사업위험에 대한 통찰을 얻었을 가능성이 높으며, 해당 업무를 기반으로 발견한 통제미비점이나 위험과 같은 발견사항은 기업과 기업환경, 해당 재무보고체계, 기업의 내부통제시스템에 대한 감사인의 이해, 감사인의 위험평가 또는 감사의 기타 측면에 가치 있는 정보를 제공할 수 있다. 따라서 감사인이 내부감사기능의 업무를 이용하여 감사절차의 성격이나 시기를 변경하거나 그 범위를 축소할 것으로 예상하는지 여부에 관계없이 감사인의 질문은 이뤄진다.72) 특히 관련성이 높은 질문은 내부감사기능이 지배기구에게 제기한 문제와 내부감사기능의 자체 위험평가절차 결과에 관한 것일 수 있다.
    1. 감사인의 질문에 대한 답변에 기초하여 기업의 재무보고와 재무제표의 감사와 관련될 수 있는 발견사항이 있는 경우, 감사인은 내부감사기능의 관련 보고서를 읽는 것이 적절하다고 판단할 수 있다. 관련성이 있을 수 있는 내부감사기능 보고서의 예로는 내부감사기능의 전략 및 계획 문서와 경영진이나 지배기구를 위해 작성된 내부감사기능의 조사 결과를 설명하는 보고서가 있다.
    1. 또한 감사기준서 24073)에 따라 내부감사기능이 감사인에게 실제로 발생하였거나 의심되는 부정 또는 혐의중인 부정과 관련된 정보를 제공하는 경우 감사인은 부정으로 인한 중요왜곡표시위험을 식별할 때 이를 고려한다.
    1. 내부감사기능 내에서 질문을 할 적절한 개인은 감사인의 판단에 따라 내부감사 책임자와 같은 적절한 지식, 경험 및 권한을 가진 사람 또는 상황에 따라 해당 기능 내의 다른 인원이다. 감사인은 또한 이러한 개인들과 정기적인 회의를 갖는 것이 적절하다고 생각할 수 있다.

통제환경의 이해에 있어 내부감사기능의 고려사항

    1. 통제환경을 이해함에 있어 감사인은 재무제표 작성과 관련하여 확인된 통제 미비점에 대한 내부감사기능의 발견사항과 권고에 경영진이 어떻게 대응하였는지 고려할 수 있다. 여기에는 그러한 대응이 실행되었는지, 어떻게 실행되었는지, 그리고 내부감사기능에 의하여 후속적으로 평가되었는지를 포함한다.

내부통제시스템을 모니터링하는 기업의 절차에서 내부감사기능이 맡는 역할에 대한 이해

    1. 내부감사기능의 책임과 인증활동의 성격이 기업의 재무보고와 관련된다면, 감사인은 감사증거를 입수할 때 내부감사기능의 업무를 활용하여 감사인이 직접 수행할 감사절차의 성격이나 시기를 수정하거나 그 범위를 축소할 수도 있다. 감사인은 예를 들어 과거 감사경험이나 감사인의 위험평가절차에 기초하여 기업이 기업의 복잡성과 운영의 성격에 비례하여 충분하고 적합하게 자원을 갖춘 내부감사기능을 가지고 있고 내부감사기능이 지배기구와 직접적인 보고 관계가 있다고 판단될 때, 기업의 내부감사기능을 활용할 수 있는 가능성이 더 높을 수 있다.
    1. 만약 내부감사기능에 대한 감사인의 예비적 이해에 기초하여 감사인이 내부감사기능의 업무를 활용하여 감사절차의 성격과 시기를 수정하거나 범위를 축소하고자 한다면, 감사기준서 610이 적용된다.
    1. 감사기준서 610에서 추가적으로 논의되는 것처럼, 내부감사기능의 활동은 기업이 왜곡표시를 예방하거나 발견하는 데 기여하도록 설계된 회계정보에 대한 경영진의 검토와 같은 재무보고와 관련된 기타 모니터링 통제와 구별된다.
    1. 업무 초기에 기업의 내부감사기능 내에서 적절한 개인들과의 커뮤니케이션을 확립하고, 업무 전반에 걸쳐 그러한 커뮤니케이션을 유지하는 것은 효과적인 정보 공유를 촉진할 수 있다. 이는 내부감사기능이 주의를 기울이는 유의적인 사항이 감사인의 업무에 영향을 미칠 수 있는 경우 감사인에게 알릴 수 있게 하는 환경을 조성한다. 감사기준 200은 감사인이 감사증거로 사용될 문서의 신뢰성과 질문에 대한 답변에 의문을 불러일으키는 정보에 대해 주의를 유지하는 것을 포함하여 전문가적 의구심을 갖고 감사를 계획하고 수행하는 것의 중요성에 대해 논의한다.74) 따라서, 업무 전반에 걸친 내부감사기능과의 커뮤니케이션은 내부감사인이 그러한 정보를 감사인에게 알릴 수 있는 기회를 제공할 수 있다. 그러한 경우 감사인은 중요왜곡표시위험을 식별하고 평가할 때 그러한 정보를 고려할 수 있다.

72) 관련된 요구사항은 감사기준서 610에 포함되어 있다.

73) 감사기준서 240, 문단 19

74) 감사기준서 문단 7

보론 5 IT의 이해에 대한 고려사항 (문단 25(a), 26(b)-(c), A94, A166-A172 참조)

이 보론은 감사인이 기업의 내부통제시스템에서의 IT 사용을 이해하는 데 고려할 수 있는 추가적인 사항들을 제공한다.

기업의 내부통제시스템 구성요소에서의 IT 사용의 이해

    1. 기업의 내부통제시스템은 수작업 요소와 자동화된 요소(즉 수작업 통제와 자동화된 통제 그리고 기업의 내부통제시스템에서 사용되는 기타 자원)를 가지고 있다. 기업의 수작업 요소와 자동화 요소의 조합은 기업의 IT 사용의 성격과 복잡성에 따라 다양하다. 기업의 IT 사용은 해당 재무보고체계에 따른 재무제표 작성에 관련된 정보가 처리, 저장, 커뮤니케이션 되는 방식에 영향을 주고 따라서 기업의 내부통제시스템이 설계되고 실행되는 방식에 영향을 준다. 기업의 내부통제시스템의 각 구성요소는 어느 정도 IT을 사용할 수 있다. 일반적으로 IT는 기업이 다음과 같은 것을 할 수 있도록 함으로써 기업의 내부통제시스템에 유용하다.
    • 사전에 정의된 사업 규칙을 일관되게 적용하고 대량의 거래나 데이터를 처리하는 복잡한 계산을 수행한다.
    • 정보의 적시성, 이용가능성 및 정확성을 강화한다.
    • 정보의 추가적인 분석을 용이하게 한다.
    • 기업의 활동과 기업의 정책 및 절차의 수행을 모니터링하는 능력을 강화한다.
    • 통제가 우회될 위험이 감소한다.
    • IT 응용프로그램, 데이터베이스 및 운영 체제에서 보안통제를 실행함으로써 효과적인 업무분장을 달성할 능력을 강화한다.
    1. 수작업 또는 자동화 요소의 특성은 중요왜곡표시위험에 대한 감사인의 식별과 평가 및 이에 기초한 추가감사절차와 관련된다. 자동화된 통제는 쉽게 우회하거나 무시하거나 무력화할 수 없으며 단순한 오류나 실수가 발생하기 쉽지 않기 때문에 수작업 통제보다 신뢰할 수 있다. 자동화된 통제가 수작업 통제보다 효과적일 수 있는 상황은 다음과 같다.
    • 대량의 반복적인 거래 또는 기대되거나 예상되는 오류가 자동화를 통하여 예방, 적발 또는 수정될 수 있는 상황
    • 통제를 수행하는 특정 방식이 적절히 설계되고 자동화될 수 있는 통제

기업의 정보시스템의 IT 사용에 대한 이해 (문단 25(a) 참조)

    1. 기업의 정보시스템은 수작업 요소와 자동화 요소를 포함할 수 있으며 이것은 또한 거래가 개시, 기록, 처리, 보고되는 방식에 영향을 준다. 특히 거래를 개시, 기록, 처리, 보고하는 절차는 기업이 사용하는 IT 응용프로그램과 기업이 이러한 소프트웨어를 설정하는 방법에 의해 강제될 수 있다. 또한 디지털 정보 형태의 기록은 종이 문서의 형태의 기록을 대체하거나 보완할 수 있다.
    1. 정보시스템 내 거래 흐름과 정보 처리에 관련된 IT 환경에 대한 이해를 할 때, 감사인은 사용되는 IT 응용프로그램 및 이를 뒷받침하는 IT 인프라와 IT의 성격과 특성에 대한 정보를 수집한다. 다음 표는 감사인이 IT 환경을 이해할 때 고려할 사항들의 예시와 기업의 정보시스템에서 사용하는 IT 응용프로그램의 복잡성에 기초한 IT 환경의 전형적인 특성의 예시를 포함한다. 그러나 이러한 특성들은 방향성을 제시한 것이며 기업이 사용중인 특정 IT 응용프로그램의 성격에 따라 다를 수 있다.
전형적인 특성의 예시
복잡하지 않은 상용 소프트웨어중간 규모의 중간 정도로 복잡한 상용소프트웨어 또는 IT 응용프로그램대규모 또는 복잡한 IT 응용프로그램 (예: ERP 시스템)
자동화와 데이터 사용 정도에 관련된 사항
고도로 자동화된 종이 없는 처리 여부를 포함한 자동화된 처리 절차 및 그 절차의 복잡성 정도(해당사항 없음)(해당사항 없음)광범위하며 많은 경우에 복잡한 자동화된 절차
정보처리에서 시스템 생성보고서에 대한 기업의 의존정도단순하며 자동화된 보고서 로직단순한 관련 자동화된 보고서 로직복잡하고 자동화된 보고서 로직. 보고서 작성 소프트웨어
데이터가 입력되는 방법(즉, 수동 입력, 고객 또는 공급업체 입력, 또는 파일 업로드)수작업 데이터 입력소량의 데이터 입력과 단순한 인터페이스대량의 데이터 입력 또는 복잡한 인터페이스
IT가 응용프로그램과 데이터베이스 또는 IT 환경의 기타 요소와 내외부적으로, 적절한 경우 시스템 인터페이스를 통한 커뮤니케이션을 용이하게 하는 방법자동화된 인터페이스 없음(수작업 입력)소량의 데이터 입력 또는 단순한 인터페이스대량의 데이터 입력 또는 복잡한 인터페이스
정보시스템에 의해 처리되는 디지털 형태의 데이터의 양과 복잡성(회계기록 또는 기타 정보가 디지털 형태로 저장되는지 여부 및 데이터가 저장되는 위치 포함)수작업으로 검증될 수 있는 소량의 데이터 또는 단순한 데이터. 데이터는 로컬에 저장소량의 데이터 또는 단순한 데이터대량의 데이터 또는 복잡한 데이터.
데이터 웨어하우스75). 내 외부의 IT 서비스 제공자의 이용(예: 제3자의 저장소 또는 데이터 호스팅)
IT 응용프로그램과 IT 인프라와 관련된 사항
응용프로그램의 형태
(예: 맞춤화가 거의 없는 상용소프트웨어, 또는 고도로 맞춤화 되거나 고도로 통합된 응용프로그램(구매하여 맞춤화하거나 자체 개발할 수 있음))
맞춤화가 거의 없는 구매한 응용프로그램맞춤화가 거의 없는, 구매한 응용프로그램 또는 단순한 레거시/저가 ERP 프로그램맞춤 개발한 응용프로그램 또는 유의적인 맞춤화가 이루어진 좀 더 복잡한 ERP
IT 응용프로그램과 기초 IT 인프라의 성격의 복잡성작고 단순한 랩톱 또는 클라이언트 서버 기반 솔루션성숙하고 안정된 메인프레임, 소규모 또는 단순한 클라이언트 서버, 서비스형 소프트웨어(SaaS) 클라우드복잡한 메인프레임, 대규모의 또는 복잡한 클라이언트 서버, 웹에 접속된 서비스로서의 인프라 클라우드
제3자 호스팅 또는 IT 아웃소싱이 있는지 여부아웃소싱한 경우, 숙련되고 성숙하고 검증된 제공자(예: 클라우드 제공자)아웃소싱한 경우, 숙련되고 성숙하고 검증된 제공자(예: 클라우드 제공자)특정 응용프로그램에 대하여는 숙련되고 성숙하고 검증된 제공자, 다른 응용프로그램에 대하여는 새로운 또는 스타트업 제공자
기업이 재무보고에 영향을 미치는 신기술을 사용하고 있는지 여부신기술의 사용 없음일부 응용프로그램에서 신기술의 제한적 사용플랫폼 전반에 걸쳐 신기술의 혼합된 사용
IT 프로세스와 관련된 사항
IT 환경을 유지하는 데 관여하는 인원(IT 환경의 보안과 변경을 관리하는 IT 지원 자원의 수와 기술 수준)소프트웨어 공급업체의 업그레이드를 처리하고 접근을 관리하는 제한적인 IT 지식을 가진 소수의 인원IT 기술을 보유하고 / IT를 전담하는 제한적인 인원프로그래밍 기술을 포함한 숙련된 인원들로 구성된 IT 전담부서
접근권한을 관리하는 절차의 복잡성접근권한을 관리하는 관리자 권한을 가진 단일 인원접근권한을 관리하는 관리자 권한을 가진 소수의 인원IT 부서에 의해 관리되는 접근권한을 관리하기 위한 복잡한 절차
IT 환경에 대한 보안의 복잡성(특히 웹 기반의 거래 또는 외부 인터페이스가 포함된 거래가 있는 경우, IT 응용프로그램, 데이터베이스 및 IT 환경의 기타 요소가 사이버 위험에 취약한 정도 포함.)외부 웹 접속 요소가 없는 단순한 온 프레미스(on-premise) 접근주로 단순한 역할 기반 보안을 갖춘 일부 웹 기반 응용프로그램웹 기반의 접근과 복잡한 보안 모델을 갖춘 다중 플랫폼
정보가 처리되는 방식에 프로그램 변경이 이루어졌는지 여부 및 기중 그러한 변경의 범위소스코드가 설치되지 않은 상용소프트웨어소스코드가 없는 일부 상용소프트웨어 및 기타 소수의 또는 단순한 변경을 한 성숙한 응용프로그램.
전통적인 시스템 개발 주기
새롭거나 규모가 크거나 복잡한 변경. 매년 여러 번의 개발 주기
IT 환경 내 변경의 정도(예: IT 환경의 새로운 측면 또는 IT 응용프로그램 또는 기초 IT 인프라에 대한 유의적인 변경)상용소프트웨어의 버전 업그레이드로 한정된 변경상용소프트웨어 업그레이드와 ERP 버전 업그레이드 또는 기존 프로그램의 개선으로 구성된 변경새롭거나 규모가 크거나 복잡한 변경. 매년 여러 번의 개발 주기. ERP의 광범위한 맞춤화.
기중 중대한 데이터 변환이 있었는지 여부. 변환이 있었다면 변경의 성격과 유의성 및 변환이 이루어진 방법공급업체가 제공한 소프트웨어 업그레이드.
업그레이드에 데이터 변환 기능 없음
상용소프트웨어에 대한 소규모 버전 업그레이드. 제한된 데이터 변환.대규모의 버전 업그레이드, 새로운 출시, 플랫폼 변경
    1. 새로운 기술(예: 블록체인, 로보틱스 또는 인공지능)은 기업의 운영 효율성을 증가시키거나 재무보고를 개선할 특정한 기회를 제시할 수 있으므로 기업은 그러한 기술을 사용할 수 있다. 재무제표의 작성과 관련된 기업의 정보시스템에 새로운 기술을 사용하는 경우, 감사인은 IT의 사용으로 인한 위험이 따르는 IT 응용프로그램 및 IT 환경의 기타 측면의 식별에 그러한 기술을 포함할 수 있다. 새로운 기술이 기존의 기술에 비해 더 정교하고 복잡해 보일 수 있지만, 문단 26(b)-(c)에 따른 IT 응용프로그램과 식별된 IT 일반통제에 관련된 감사인의 책임은 변함이 없다.

확장가능성

    1. 기업의 IT 환경에 대한 이해는 기업이 상용소프트웨어를 사용하고, 프로그램 변경을 위한 소스코드에 접근할 수 없는 덜 복잡한 기업의 경우 더 쉽게 이루어질 수 있다. 그런 기업은 전담 IT 인력을 보유하지 않을 수 있지만 종업원들의 접근을 승인하고 소프트웨어 공급업체가 제공하는 IT 응용프로그램의 업데이트를 설치하는 관리자 역할을 배정받은 사람이 있을 수 있다. 덜 복잡한 기업이 정보시스템에서 사용하는 단일의 IT 응용프로그램일 수 있는 상용 회계 소프트웨어 패키지의 성격을 이해할 때 감사인이 특히 고려할 사항의 예는 다음과 같다.
    • 소프트웨어가 얼마나 확고하게 자리를 잡았는지, 신뢰성에 대한 평판은 어느 정도인지
    • 기업이 소프트웨어의 소스코드를 수정하여 기본 소프트웨어에 추가적인 모듈(즉, 확장프로그램(add-on))을 포함하거나 데이터를 직접 변경할 수 있는 범위
    • 소프트웨어에 이루어진 변경의 성격과 범위. 기업이 소프트웨어의 소스코드를 변경할 수 없다 하더라도, 많은 소프트웨어 패키지에서는 설정(예: 보고 매개변수를 설정하거나 수정함)을 허용할 수 있다. 이러한 변경은 통상 소스코드의 변경을 수반하지 않지만 감사인은 소프트웨어에서 생성되어 감사증거로 사용되는 정보의 완전성과 정확성을 고려할 때 기업이 소프트웨어를 설정할 수 있는 범위를 고려할 수 있다.
    • 재무제표의 작성과 관련된 데이터에 직접 접근(즉 IT 응용프로그램을 사용하지 않고 데이터베이스에 직접 접근)할 수 있는 정도와 처리되는 데이터의 양. 데이터의 양이 많을수록 기업은 데이터의 무결성을 유지하기 위한 통제가 더욱 필요할 수 있으며, 여기에는 데이터에 대한 승인되지 않은 접근과 변경에 대한 IT 일반통제를 포함할 수 있다.
    1. 복잡한 IT 환경은 고도로 맞춤화 되거나 통합된 IT 응용프로그램을 포함할 수 있으므로 이를 이해하는 데 더 많은 노력을 필요로 할 수 있다. 재무보고 프로세스나 IT 응용프로그램은 다른 IT 응용프로그램과 통합될 수 있다. 그러한 통합에는 기업의 사업 운영에 사용되면서 기업의 정보시스템 내 거래 흐름과 정보 처리에 관련된 IT 응용프로그램에 정보를 제공하는 IT 응용프로그램을 포함할 수 있다. 그런 상황에서는 기업의 사업 운영에 사용되는 특정 IT 응용프로그램이 재무제표의 작성에도 관련될 수 있다. 복잡한 IT 환경은 또한 소프트웨어 개발과 IT 환경 유지관리 기술을 보유한 인력이 뒷받침하는 조직화된 IT 프로세스를 갖춘 IT 전담 부서를 필요로 할 수 있다. 다른 경우에 기업은 IT 환경의 특정 측면이나 IT 처리를 관리하는 내부 혹은 외부의 서비스 제공자를 사용할 수 있다(예: 제3자 호스팅).

IT의 사용으로 인한 위험이 따르는 IT 응용프로그램의 식별

    1. 정보처리 통제의 성격과 범위를 포함한 기업의 IT 환경의 성격과 복잡성에 대한 이해를 통하여, 감사인은 기업이 재무정보를 정확하게 처리하고 무결성을 유지하기 위하여 의존하는 IT 응용프로그램을 결정할 수 있다. 기업이 의존하는 IT 응용프로그램의 식별은 그러한 IT 응용프로그램 내의 자동화된 통제가 식별된 중요왜곡표시위험에 대처함을 전제로 감사인이 그러한 자동화된 통제를 테스트할지를 결정하는 데 영향을 줄 수 있다. 반대로 기업이 IT 응용프로그램에 의존하지 않고 있다면 그러한 IT 응용프로그램 내의 자동화된 통제는 운영 효과성 테스트의 목적상 적합하거나 충분히 정밀하지 않을 가능성이 높다. 문단 26(b)에 따라 식별될 수 있는 자동화된 통제에는 예를 들어 구매주문서, 판매자 선적서류 그리고 판매자 송장의 상호일치(3 way match)와 같은 자동화된 계산이나 입력, 처리, 출력 통제를 포함할 수 있다. 감사인이 자동화된 통제를 식별하고 IT 환경에 대한 이해를 통하여 이러한 자동화된 통제를 포함한 IT 응용프로그램에 기업이 의존하고 있다고 결정한 경우, 감사인은 해당 IT 응용프로그램을 IT의 사용으로 인한 위험이 따르는 것으로 식별할 가능성이 높을 것이다.
    1. 감사인이 자동화된 통제를 식별한 IT 응용프로그램에 IT의 사용으로 인한 위험이 따르는지 여부를 고려할 때, 감사인은 기업의 경영진이 그러한 통제나 IT 응용프로그램에 대한 프로그램 변경을 가능하게 하는 소스코드에 접근할 수 있는지 여부와 그 범위를 고려할 것이다. 기업이 프로그램이나 설정을 변경하는 범위와 그러한 변경과 관련된 IT 프로세스가 공식화된 정도 또한 관련 고려사항이 될 수 있다. 감사인은 또한 데이터에 대한 부적절한 접근이나 변경 위험을 고려할 수 있다.
    1. 감사인이 감사증거로 사용하고자 하는 시스템 생성 보고서에는 예를 들어 매출채권연령보고서나 재고평가보고서가 포함될 수 있다. 이러한 보고서의 경우, 감사인은 보고서의 입력과 출력을 실증적으로 테스트하여 보고서의 완전성과 정확성에 대한 감사증거를 입수할 수 있다. 다른 경우에, 감사인은 보고서의 작성 및 유지에 대한 통제의 운영효과성을 테스트할 계획을 세울 수 있으며, 이 경우 보고서가 생성되는 IT 응용프로그램은 IT의 사용으로 인한 위험이 따르게 될 가능성이 높다. 감사인은 보고서의 완전성과 정확성을 테스트하는 것 외에도 보고서에 대한 부적절하거나 승인되지 않은 프로그램 변경 또는 데이터 변경과 관련된 위험에 대처하는 IT 일반통제의 운영효과성을 테스트할 계획을 세울 수 있다.
    1. 일부 IT 응용프로그램은 보고서 작성기능을 포함할 수 있지만 일부 기업은 별도의 보고서 작성 프로그램(즉, report-writers)을 사용할 수도 있다. 이 경우 감사인은 IT의 사용으로 인한 위험이 따르는 IT 응용프로그램을 결정하기 위해 시스템 생성 보고서의 출처(즉, 보고서를 작성하는 프로그램 및 보고서에서 사용하는 데이터 소스)를 결정하여야 할 수 있다.
    1. IT 응용프로그램에서 사용되는 데이터 소스는 예를 들어, 해당 IT 응용프로그램을 통해서만 접근할 수 있거나 데이터베이스 관리 권한을 가진 IT 담당자만이 접근할 수 있는 데이터베이스일 수 있다. 다른 경우에는 데이터 소스가 데이터 웨어하우스일 수 있으며 데이터 웨어하우스 자체가 IT의 사용으로 인한 위험이 따르는 IT 응용프로그램으로 간주될 수 있다.
    1. 감사인은 기업이 복수의 통합 IT 응용프로그램을 필요로 하는 고도로 자동화되고 종이가 없는 거래처리를 사용하기 때문에 실증절차만으로는 충분하지 않은 위험을 식별했을 수 있다. 이러한 상황에서 감사인이 식별한 통제에는 자동화된 통제가 포함될 가능성이 높다. 더욱이 기업은 처리된 거래와 처리에 사용되는 그 밖의 정보의 무결성을 유지하기 위하여 IT 일반통제에 의존할 수 있다. 이러한 경우 정보의 처리 및 저장에 관련된 IT 응용프로그램은 IT의 사용으로 인한 위험이 따를 수 있다.

최종 사용자 컴퓨팅

    1. 감사증거가 최종 사용자 컴퓨팅 도구(예: 스프레드시트 소프트웨어 또는 단순 데이터베이스)에서 수행되는 계산에 사용되는 시스템 생성 출력의 형태로 나타날 수도 있지만, 그러한 도구는 일반적으로 문단 26(b)의 관점에서 IT 응용프로그램으로 식별되지 않는다. 최종 사용자 컴퓨팅 도구에 대한 접근 및 변경에 대한 통제를 설계하고 실행하는 것은 어려울 수 있으며, 이러한 통제는 IT 일반통제와 동등하거나 그만큼 효과적인 경우가 드물다. 따라서 감사인은 다음과 같이 관련된 최종 사용자 컴퓨팅의 목적과 복잡성을 고려하여 정보처리 통제의 조합을 고려할 수 있다.
    • 소스 데이터의 개시와 처리에 대한 정보처리 통제. 데이터가 추출되는 지점(즉, 데이터 웨어하우스)에 대한 관련 자동화된 통제 또는 인터페이스 통제를 포함
    • 로직이 의도한 대로 작동하는지 확인하는 통제. 예를 들어 보고서와 해당 보고서를 생성한 데이터를 대사하거나, 보고서의 개별 데이터를 소스 데이터와 비교하거나 그 반대로 비교하는 것과 같이 데이터의 추출을 검증하는 통제, 또는 수식이나 매크로를 확인하는 통제
    • 스프레드시트 무결성 도구와 같이 수식이나 매크로를 체계적으로 검사하는 검증 소프트웨어 도구의 사용

확장가능성

    1. 정보시스템에 저장되고 처리되는 정보의 무결성을 유지하는 기업의 능력은 관련 거래와 그 밖의 정보의 복잡성과 양에 따라 달라질 수 있다. 유의적인 거래유형, 계정잔액 또는 공시를 뒷받침하는 데이터의 복잡성과 양이 클수록 정보처리 통제(예: 입출력 통제 또는 검토 통제)만으로 정보의 무결성을 유지할 가능성이 낮아질 수 있다. 또한 그러한 정보가 감사증거로 사용될 때 감사인은 실증 테스트만으로 그러한 정보의 완전성과 정확성에 대한 감사증거를 입수할 수 있을 가능성이 낮아진다. 어떤 상황에서는 거래 규모와 복잡성이 낮을 때, 경영진은 데이터의 정확성과 완전성을 확인하기에 충분한 정보처리 통제를 가질 수 있다(예: 처리되고 청구된 개별 판매 주문은 원래 IT 응용프로그램에 입력된 하드 카피와 대사할 수 있다). 기업이 IT 응용프로그램에서 사용하는 특정 정보의 무결성을 유지하기 위해 IT 일반통제에 의존하는 경우, 감사인은 해당 정보를 유지하는 IT 응용프로그램에 IT의 사용으로 인한 위험이 따른다고 결정할 수 있다.
IT의 사용으로 인한 위험이 따르지 않을 가능성이 높은 IT 응용프로그램의 특성의 예시IT의 사용으로 인한 위험이 따를 가능성이 높은 IT 응용프로그램의 특성의 예시
단독의 응용프로그램
데이터(거래)의 양이 유의적이지 않음
응용프로그램의 기능성이 복잡하지 않음
각각의 거래가 원본 하드카피 문서로 뒷받침됨
응용프로그램들이 인터페이스됨
데이터(거래)의 양이 유의적임
응용프로그램의 기능성이 다음과 같이 복잡함
°
응용프로그램이 자동적으로 거래를 개시
°
다양하고 복잡한 계산에 기반한 자동화된 분개
IT 응용프로그램은 다음과 같은 이유로 IT의 사용으로 인한 위험이 따르지 않을 수 있다.
데이터의 양이 유의적이지 않으며 따라서 경영진은 데이터를 처리하거나 유지하기 위하여 IT 일반통제에 의존하지 않는다.
경영진이 자동화된 통제나 기타 자동화된 기능에 의존하지 않는다. 감사인은 문단 26(a)에 따라 자동화된 통제를 식별하지 않았다.
비록 경영진이 통제에 시스템 생성보고서를 사용하더라도 이러한 보고서에 의존하는 것은 아니다. 대신에 경영진은 보고서를 하드카피 문서와 대사하며 보고서의 계산을 검증한다.
감사인이 기업이 생성하여 감사증거로 사용되는 정보를 직접 테스트할 것이다.
IT 응용프로그램은 다음과 같은 이유로 IT의 사용으로 인한 위험이 따를 수 있다.
데이터의 양이 유의적이므로 경영진이 데이터를 처리하거나 유지하기 위하여 IT 일반통제에 의존한다.
경영진이 특정 자동화된 통제를 수행하기 위하여 응용프로그램 시스템에 의존하며 감사인도 해당 통제를 식별하였다.

IT의 사용으로 인한 위험이 따르는 IT 환경의 기타 측면

    1. 감사인이 IT의 사용으로 인한 위험이 따르는 IT 응용프로그램을 식별하는 경우, IT 환경의 기타 측면도 일반적으로 IT의 사용으로 인한 위험이 따른다. IT 인프라에는 데이터베이스, 운영 체제 및 네트워크가 포함된다. 데이터베이스는 IT 응용프로그램에서 사용되는 데이터를 저장하며 상호 관련된 다수의 데이터 테이블로 구성될 수 있다. 데이터베이스의 데이터는 IT 또는 데이터베이스 관리 권한을 가진 다른 직원이 데이터베이스 관리 시스템을 통해 직접 접근할 수도 있다. 운영 체제는 하드웨어, IT 응용프로그램 및 네트워크에 사용되는 기타 소프트웨어 간의 커뮤니케이션을 관리하는 역할을 한다. 따라서 IT 응용프로그램과 데이터베이스는 운영 체제를 통해 직접 접근할 수 있다. 네트워크는 IT 인프라에서 데이터를 전송하고 공유 통신 경로를 통해 정보, 리소스 및 서비스를 공유하는 데 사용된다. 네트워크는 또한 일반적으로 (기본 리소스에 대한 접근을 위해 운영 체제를 통해 활성화된) 논리적 보안 계층을 설정한다.
    1. 감사인이 IT 응용프로그램에 IT의 사용으로 인한 위험이 따르는 것으로 식별한 경우, 식별된 IT 응용프로그램에서 처리되는 데이터를 저장하는 데이터베이스(들) 또한 그러한 것으로 식별된다. 이와 유사하게 IT 응용프로그램의 운영능력이 운영 체제에 의존하는 경우가 많고 IT 응용프로그램 및 데이터베이스는 운영 체제에서 직접 접근할 수 있기 때문에, 그러한 운영 체제에는 일반적으로 IT의 사용으로 인한 위험이 따른다. 네트워크는 식별된 IT 응용프로그램 및 관련 데이터베이스에 대한 중앙접근 지점인 경우, IT 응용프로그램이 인터넷을 통해 공급업체 또는 외부 당사자와 상호 작용하는 경우, 또는 감사인이 웹 기반 IT 응용프로그램을 식별한 경우에 IT의 사용으로 인한 위험이 따르는 것으로 식별될 수 있다.

IT의 사용으로 인한 위험과 IT 일반통제의 식별

    1. IT의 사용으로 인한 위험의 예시로는 다음과 같이 데이터를 부정확하게 처리하거나 부정확한 데이터를 처리하거나 두 가지 모두에 해당하는 IT 응용프로그램에 대한 부적절한 의존과 관련된 위험이 있다.
    • 승인되지 않거나 존재하지 않는 거래의 기록 또는 부정확한 거래의 기록을 포함하여 데이터가 파괴되거나 데이터가 부적절하게 변경될 수 있는 데이터에 대한 승인되지 않은 접근. 여러 사용자가 공통 데이터베이스에 접근하는 경우 특정 위험이 발생할 수 있다.
    • IT 직원이 할당된 직무를 수행하는 데 필요한 권한을 넘어 특권적인 접근 권한을 가지게 됨으로써 업무분장이 와해될 가능성
    • 마스터 파일 내 데이터의 승인되지 않은 변경
    • IT 응용프로그램 또는 IT 환경의 기타 측면에 대한 승인되지 않은 변경
    • IT 응용프로그램 또는 IT 환경의 기타 측면에 대하여 필요한 변경의 실패
    • 부적절한 수작업 개입
    • 데이터의 잠재적 손실 또는 필요한 데이터에 대한 접근 불능
    1. 승인되지 않은 접근에 대한 감사인의 고려에는 내부 또는 외부 당사자의 승인되지 않은 접근과 관련된 위험(사이버 보안 위험이라고도 함)이 포함될 수 있다. 기업의 IT 환경에는 운영이나 준수 요구를 다루는 IT 응용프로그램과 관련 데이터가 포함될 수 있기 때문에 이러한 위험이 재무보고에 반드시 영향을 미치지 않을 수 있다. 사이버 사고는 일반적으로 경계(perimeter) 및 내부 네트워크 계층을 통해 먼저 발생하며, 이는 재무제표 작성에 영향을 미치는 IT 응용프로그램, 데이터베이스 및 운영 체제에서 더 멀리 떨어져 있는 경향이 있다는 점에 주목할 필요가 있다. 따라서 보안 침해에 대한 정보가 식별된 경우, 감사인은 일반적으로 그러한 위반이 재무보고에 영향을 미칠 수 있는 가능성의 정도를 고려한다. 재무보고가 영향을 받을 수 있는 경우, 감사인은 재무제표의 잠재적인 왜곡표시의 영향이나 범위를 결정하기 위해 관련 통제를 이해하고 테스트하기로 결정하거나 그러한 보안 침해와 관련하여 적절한 공시가 제공되었다는지 판단할 수 있다.
    1. 또한 기업의 재무제표에 직접적 또는 간접적인 영향을 미칠 수 있는 법규에는 정보보호법이 포함될 수 있다. 감사기준서 250에 따라 기업이 그러한 법규를 준수하는 것을 고려할 때, 관련 법규를 다루기 위해 기업이 시행한 기업의 IT 프로세스와 IT 일반통제를 이해하는 것을 포함할 수 있다.
    1. IT 일반통제는 IT의 사용으로 인한 위험에 대처하기 위해 실행된다. 따라서 감사인은 식별할 IT 일반통제를 결정할 때 식별된 IT 응용프로그램 및 IT 환경의 기타 측면과 IT의 사용으로 인한 해당 위험에 대한 이해를 사용한다. 경우에 따라 기업은 IT 환경이나 특정 IT 응용프로그램 전반에 걸쳐 공통의 IT 프로세스를 사용할 수 있으며, 이 경우에는 공통의 IT의 사용으로 인한 위험과 공통의 IT 일반통제가 식별될 수 있다.
    1. 일반적으로 IT 환경의 기타 측면보다 IT 응용프로그램 및 데이터베이스와 관련된 IT 일반통제가 더 많이 식별될 가능성이 높다. 이는 이러한 측면이 기업의 정보시스템상 정보처리 및 정보의 저장과 가장 밀접하게 관련되기 때문이다. IT 일반통제를 식별할 때, 감사인은 최종 사용자와 기업의 IT 인력 또는 IT 서비스 제공자 모두의 행동에 대한 통제를 고려할 수 있다.
    1. 보론 6은 일반적으로 IT 환경의 다양한 측면에 대해 실행되는 IT 일반통제의 성격에 대한 추가 설명을 제공한다. 또한 다양한 IT 프로세스에 대한 IT 일반통제의 예시를 제공한다.

75) 데이터 저장소는 일반적으로 보고서가 생성되거나 기업이 다른 데이터 분석 활동에 사용할 수 있는 하나 이상의 상이한 원천(복수의 데이터베이스와 같은)의 통합 데이터의 중앙 저장소로 설명된다. 보고서 작성 프로그램(report-writer)은 하나 이상의 원천(예: 데이터 저장소, 데이터베이스 또는 IT 응용프로그램)에서 데이터를 추출하고 지정된 형식으로 데이터를 표시하는 데 사용되는 IT 응용프로그램이다.

보론 6 IT 일반통제의 이해를 위한 고려사항 (문단 26(c), A173-A174 참조)

이 보론은 감사인이 IT 일반통제를 이해할 때 고려할 추가사항들을 제공한다.

    1. 일반적으로 IT 환경의 각 측면에 대해 실행되는 IT 일반통제의 성격:
    • (a) 응용프로그램 IT 응용프로그램 계층의 IT 일반통제는 응용프로그램 기능의 특성과 범위 및 해당 기술 내에서 허용된 접근 경로와 관련이 있다. 예를 들어, 거래를 통해서만 접근할 수 있는 소수의 계정 잔액을 지원하는 기존 IT 응용프로그램보다 복잡한 보안 옵션을 갖춘 고도로 통합된 IT 응용프로그램에 더 많은 통제가 관련된다.
    • (b) 데이터베이스 데이터베이스 계층의 IT 일반통제는 일반적으로 데이터베이스에 직접 접근하거나 스크립트 또는 프로그램을 실행하여 데이터베이스의 재무보고 정보를 무단으로 업데이트하는 것과 관련된 IT의 사용으로 인한 위험에 대처한다.
    • (c) 운영체제 운영체제 계층의 IT 일반통제는 일반적으로 다른 통제의 무력화를 용이하게 할 수 있는 접근관리와 관련된 IT의 사용으로 인한 위험에 대처한다. 여기에는 다른 사용자의 자격증명 도용, 인증되지 않은 새 사용자의 추가, 악성 프로그램이나 스크립트 또는 기타 인증되지 않은 프로그램의 실행과 같은 행동이 포함된다.
    • (d) 네트워크 네트워크 계층의 IT 일반통제는 일반적으로 네트워크 분리, 원격접속 및 인증과 관련된 IT의 사용으로 인한 위험에 대처한다. 네트워크 통제는 기업이 재무보고에 웹 기반 응용프로그램을 사용하는 경우에 관련될 수 있다. 네트워크 통제는 또한 기업이 데이터 전송과 원격접속의 필요성을 증가시킬 수 있는 유의적인 사업 파트너 관계를 맺고 있거나 제3자 아웃소싱을 하고 있는 경우에도 관련될 수 있다.
    1. IT 프로세스별로 구성된 IT 일반통제의 예는 다음과 같다.
    • (a) 접근 관리 프로세스:
      • ° 인증 IT 응용프로그램 또는 IT 환경의 기타 측면에 접근하는 사용자가 사용자 자신의 로그인 자격 증명을 사용하는지 확인하는 통제(즉, 사용자가 다른 사용자의 자격 증명을 사용하지 않음)
      • ° 권한 부여 사용자가 자신의 직무에 필요한 정보에만 접근할 수 있도록 하며, 이를 통해 적절한 업무분장을 가능하게 하는 통제
      • ° 프로비저닝 새 사용자 및 기존 사용자의 접근 권한 변경을 승인하는 통제
      • ° 프로비저닝 해제 퇴사 또는 부서이동 시 사용자 접근을 삭제하는 통제
      • ° 특별 권한 접근 관리자 또는 강력한 사용자의 접근에 대한 통제
      • ° 사용자 접근 검토 지속적인 권한부여를 위해 사용자 접근을 재인증하거나 평가하는 통제
      • ° 보안 설정 통제 각 기술에는 일반적으로 환경에 대한 접근을 제한하는 데 도움이 되는 주요 설정이 있음
      • ° 물리적 접근 데이터 센터 및 하드웨어에 대한 물리적 접근에 대한 통제. 이러한 접근은 다른 통제를 무력화하는 데 사용될 수 있다.
    • (b) IT 환경에 대한 프로그램 또는 기타 변경 사항을 관리하는 프로세스:
      • ° 변경 관리 프로세스 변경을 설계, 프로그래밍, 테스트하고 운영(즉, 최종 사용자) 환경에 이관하는 절차에 대한 통제
      • ° 변경 이관에 대한 업무분장 변경을 만드는 권한과 변경을 운영환경으로 이관 권한을 분리하는 통제
      • ° 시스템 개발, 구매 또는 실행 초기 IT 응용프로그램의 개발 또는 실행(또는 IT 환경의 기타 측면과 관련된)에 대한 통제
      • ° 데이터 변환 IT 환경의 개발, 실행 또는 업그레이드 과정의 데이터 변환에 대한 통제
    • (c) IT 운영관리 프로세스
      • ° 작업 일정관리 재무보고에 영향을 미칠 수 있는 작업 또는 프로그램의 일정 및 시작에 대한 접근 통제
      • ° 작업 모니터링 재무보고 작업 또는 프로그램의 성공적인 실행을 위해 모니터링하는 통제
      • ° 백업 및 복구 재무보고 데이터의 백업이 계획대로 수행되고 정전 또는 공격 시 데이터를 적시에 이용가능하도록 하고 복구될 수 있도록 하는 통제
      • ° 침입 탐지 IT 환경의 취약성 및 침입을 모니터링하는 통제
  • 아래 표는 성격에 따른 다양한 IT 응용프로그램을 포함하여 IT의 사용으로 인한 위험의 예시에 대처하는 IT 일반통제의 예시를 보여준다.
프로세스위험통제IT 응용프로그램
IT 프로세스IT의 사용으로 인한 위험의 예시IT 일반통제의 예시복잡하지 않은 상용 소프트웨어 – 해당 여부 (네/아니요)중간 규모의 중간 정도로 복잡한 상용 소프트웨어 또는 IT 응용 프로그램 – 해당 여부 (네/아니요)대규모 또는 복잡한 응용프로그램 (예: ERP 시스템) – 해당 여부 (네/아니요)
접근 관리사용자 접근 권한:
사용자가 부여된 업무를 수행하기에 필요한 권한 이상의 접근권한을 가지며 업무분장을 부적절하게 한다.
경영진이 표준 프로그램 프로필/역할, 주요 재무보고거래와 업무분장을 포함하여 새로운 사용자와 수정된 사용자에 대한 사용자 권한 성격과 범위를 승인한다.네 – 아래 기술된 사용자 접근 검토 대신
퇴직하였거나 부서이동한 사용자에 대한 접근이 적시에 제거되거나 수정된다네 – 아래 사용자 접근 검토 대신
사용자 접근을 주기적으로 검토한다.네 – 위의 프로비저닝과 프로비저닝 해제 통제 대신네 ‒ 특정 응용프로그램의 경우
업무분장이 모니터링되고 상충하는 접근은 제거하거나 보완통제에 연결하며 이러한 통제는 문서화되고 테스트된다.해당사항 없음 – 업무분장이 가능한 시스템 없음네 ‒ 특정 응용프로그램의 경우
특별 수준의 접근(예: 설정, 데이터 및 보안관리자)은 승인되고 적절히 제한된다.네 – IT 응용프로그램 계층에서만일 가능성 높음네 ‒ IT 응용프로그램과 플랫폼을 위한 특정 IT 환경 계층에서네 ‒ 플랫폼을 위한 모든 IT 환경 계층에서
접근 관리데이터 직접 접근: 응용프로그램상 거래 이외의 수단을 통하여 직접적으로 재무 정보의 부적절한 변경이 이루어진다.응용프로그램의 데이터 파일이나 데이터베이스의 오브젝트/테이블/데이터에 대한 접근은 직무상 책임과 부여된 역할에 기초하여 승인된 인원으로 제한되며, 그러한 접근은 경영진의 승인을 받는다.해당사항 없음네 ‒ 특정 응용프로그램과 데이터베이스의 경우
접근 관리시스템 설정: 적절히 승인된 적합한 사용자에게 시스템 접근을 제한하도록 시스템이 충분히 설정되거나 업데이트되지 않는다.접근은 고유한 사용자 아이디와 암호를 통하여 인증되며 고유한 사용자 암호 또는 사용자가 시스템에 접근할 권한이 있음을 검증하는 장치로써 기타 방법을 통하여 접근이 인증된다. 암호의 조건은 회사 또는 산업 표준을 충족한다(예: 암호의 최소길이, 복잡성, 만기, 계정잠금)네 – 암호 인증만 있음네 – 암호인증과 복수 요소의 인증을 같이 사용함
보안 설정의 핵심 속성이 적절히 실행된다.해당사항 없음 – 기술적보안설정이 존재하지 않음네 ‒ 특정 응용프로그램과 데이터베이스의 경우
변경관리응용프로그램 변경:
관련 자동화된 통제(즉, 구성가능한 설정, 자동화된 알고리즘, 자동화된 계산, 자동화된 데이터 추출) 또는 보고서 로직을 포함하는 응용프로그램 시스템이나 프로그램에 부적절한 변경이 이루어진다.
응용프로그램 변경이 적절하게 테스트되며 운영환경으로 옮겨지기 전에 승인된다.해당사항 없음 ‒ 설치된 소스코드를 확인하지 않음네 ‒ 상용소프트웨어가 아닌 경우
응용프로그램 운영환경으로 변경을 실행하기 위한 접근이 적절히 제한되며 개발환경과 분리된다.해당사항 없음네 ‒ 상용소프트웨어가 아닌 경우
변경관리데이터베이스 변경:
데이터베이스 구조와 데이터 간의 관계에 부적절한 변경이 이루어진다.
데이터베이스 변경이 적절하게 테스트되며 운영환경으로 옮겨지기 전에 승인된다.해당사항 없음 – 기업이 데이터베이스 변경을 하지 않음네 ‒ 상용소프트웨어가 아닌 경우
변경관리시스템 소프트웨어변경: 시스템 소프트웨어 (예:운영 체제, 네트워크, 변경관리 소프트웨어, 접근통제 소프트웨어)에 부적절한 변경이 이루어진다.시스템 소프트웨어 변경이 적절하게 테스트되며 운영환경으로 옮겨지기 전에 승인된다.해당사항 없음 – 기업이 시스템 소프트웨어 변경을 하지 않음
변경관리데이터 변환: 변환으로 불완전하거나 중복되거나 모호하거나 부정확한 데이터를 이전하는 경우 기존 시스템이나 이전 버전에서 변환된 데이터가 데이터 오류를 일으킨다.경영진이 구 응용프로그램 시스템이나 데이터 구조에서 새로운 응용프로그램이나 데이터 구조로의 데이터 변환의 결과(예: balancing 및 reconciliation 활동)를 승인하고, 변환이 설정된 변환 정책과 절차에 따라 수행되었는지 모니터링한다.해당사항 없음 – 수작업 통제로 대처함
IT 운영네트워크: 승인되지 않은 사용자가 정보시스템에 부적절하게 접근하는 것을 네트워크가 충분히 예방하지 못한다.접근은 고유한 사용자 아이디와 암호를 통하여 인증되며 고유한 사용자 암호 또는 사용자가 시스템에 접근할 권한이 있음을 검증하는 장치로써 기타 방법을 통하여 접근이 인증된다. 암호의 조건은 회사 또는 산업 표준을 충족한다(예: 암호의 최소길이, 복잡성, 만기, 계정잠금)해당사항 없음 – 별도의 네트워크 인증 방법이 존재하지 않음
네트워크는 웹에 접속하는 응용프로그램이 재무보고 내부통제와 관련된 응용프로그램이 접속되는 내부 네트워크로부터 분리되도록 설계된다.해당사항 없음 – 네트워크 분리를 채택하지 않음네 ‒ 판단이 필요함네 ‒ 판단이 필요함
정기적으로 네트워크 관리팀에 의해 네트워크 경계(perimeter)에 대한 취약성 검토가 이루어지며 잠재적인 취약점에 대한 조사도 이루어진다.해당사항 없음네 ‒ 판단이 필요함네 ‒ 판단이 필요함
정기적으로 침입 탐지 시스템에 의해 식별된 위협을 통지하는 경고가 생성된다. 이러한 위협은 네트워크 관리팀에 의해 조사가 이루어진다.해당사항 없음네 ‒ 판단이 필요함네 ‒ 판단이 필요함
가상사설네트워크(VPN) 접근을 승인받은 적합한 사용자로 제한하는 통제가 구현되어 있다.해당사항 없음 – VPN 없음네 ‒ 판단이 필요함네 ‒ 판단이 필요함
IT 운영데이터 백업 및 복구: 데이터 손실이 발생한 경우 재무정보를 적시에 복구하거나 접근할 수 없다.재무 데이터가 설정된 일정과 빈도로 정기적으로 백업된다.해당사항 없음 – 재무팀에 의한 수작업 백업에 의존함
IT 운영작업 일정관리: 생성시스템, 프로그램 또는 작업으로 인해 부정확하거나 불완전하거나 승인되지 않은 데이터 처리가 발생한다.승인된 사용자만이 작업 일정관리 소프트웨어에서 일괄 작업(인터페이스 작업 포함)을 업데이트하기 위한 접근을 할 수 있다.해당사항 없음 – 일괄 작업 없음네 – 특정 응용프로그램의 경우
주요 시스템, 프로그램 또는 작업이 모니터링되고 처리 오류가 성공적으로 완료될 수 있도록 수정된다.해당사항 없음 – 작업 모니터링 없음네 – 특정 응용프로그램의 경우

이 주제에 대해 더 궁금한 점이 있으신가요?

실무 적용, 회계처리 판단 등 구체적인 사안은 문의 폼으로 보내 주세요.

문의하기 →