수많은 내부회계관리제도 설계 용역 산출물의 공통된 속성이 있는데 그것은 승인(approval) 통제가 통제의 대부분을 차지한다는 점이다. 통제 Matrix에 나열된 통제활동의 대부분은 상위자의 승인활동이다. 승인은 앞단 업무를 총체적이고 종합적으로 점검하는 관리자의 통제활동이라는 점에서 통제의 핵심인 것처럼 이해되고 있다. 이처럼 승인이 주(main)가 되는 통제는 적절한 수준의 통제라고 할 수 있을까?
내부회계관리제도 감사기준(감사기준서1100)과 내부회계관리제도 모범규준(내부회계관리제도 운영위원회 제정)에서는 이에 대해 명료한 답을 제시하지는 않는다. 아마도 그렇기 때문에 실무에서 승인통제가 통제의 대부분을 구성하는 관행이 만들어지고 있는지도 모른다. 그러나 내부회계관리제도는 구체적인 언급을 하지 않을 뿐 위험평가와 통제활동의 속성과 성격에 대해서는 요구하고 있는 사항이 당연히 있다.
재무제표 감사의 위험평과 내부회계관리제도 감사의 위험평가는 동일하다.
내부회계관리제도감사의 출발점은 관련경영진주장(relevant assertion)의 식별이다. 이는 감사기준서상의 용어로 "유의적인 거래유형, 계정잔액 및 공시"이며 실무적으로 "스캇(SCOT ; Significant Class Of Transaction)"이라고 일컫는다. SCOT의 의미는 왜곡표시를 포함할 가능성이 "낮지 않은(more than remote)" 계정과목이다. remote는 ‘희박하다‘는 의미이므로 SCOT의 직관적인 의미는 중요성(PM ; Performance Materiality)을 초과하는 계정과목 중 부정과 오류 위험이 희박하지 않은 대부분의 계정과목 등이라고 이해해도 무방하다. 요약하면 내부회계관리제도 감사 대상은 "양적중요성을 초과하는 오류위험이 있는 계정과목과 관련된 위험에 대한 통제"라고 요약된다. 감사기준서 1100(내부회계관리제도) 문단29에 이 내용을 언급하고 있다.
뒤이어 문단30에서는 관련경영자주장을 식별하기 위해서 위험평가를 수행하여야 한다고 규정한다. 즉, 관련경영진주장은 위험이 존재하는(MORE THAN REMOTE) 계정과목이므로 무엇이 위험인지가 식별됨을 전제로 할 것이다. 감사인은 내부회계관리제도 감사를 위해서는 먼저 위험을 식별해야 한다(MUST).
A20과 A38에서는 내부회계관리제도의 위험평가 절차가 재무제표감사시 실시하는 감사기준서315에 근거한 위험평가와 동일하다고 언급한다. 즉, 재무제표 감사시 고유위험과 통제위험 식별을 하기 위한 최초단계로 SCOT을 식별하는 것은 내부회계관리제도 감사시 SCOT식별과 동일한 의미로 하나의 절차로 통합수행된다.
29. 감사인은 유의적인 거래유형, 계정잔액 및 공시와 관련경영진주장을 식별하여야 한다. 관련경영진주장은 재무제표의 왜곡표시를 포함할 가능성이 낮지 않은(more than remote) 경영진주장이다.
30. 유의적인 거래유형, 계정잔액 및 공시와 관련경영진주장을 식별하기 위하여, 감사인은 재무제표 항목과 공시와 관련된 질적 및 양적 위험요소를 평가하여야 한다.
A20. 위험평가는 이 기준에서 기술하는 전체 내부회계관리제도감사 프로세스(유의적인 거래유형, 계정잔액, 공시 및 관련경영진주장의 결정, 테스트할 통제의 선정, 그리고 정해진 통제의 효과성에 대한 결론을 내리는데 필요한 증거의 결정을 포함함)의 근간이 된다. 감사기준서 315 에서 기술하는 위험평가절차는 재무제표감사와 내부회계관리제도 감사 모두를 뒷받침한다.
A38. 감사인이 내부회계관리제도감사에서 유의적인 거래유형, 계정잔액, 공시 및 관련경영진주장을 식별할 때 평가하여야 하는 문단 29 위험요소는 재무제표감사에서 평가하여야 하는 위험요소와 동일하다. 따라서, 유의적인 거래유형, 계정잔액 및 공시와 관련경영진주장은 통합감사에서 동일하다.
(감사기준서 1100.내부회계관리제도 감사)
내부회계관리제도 감사시 위험평가는 재무제표 감사시 위험평가와 동일하다. 이 말은 SCOT, 즉, 유의적인 계정과목이라고 지칭하는 대상도 동일하다는 의미이다. 그렇다면 재무제표 감사와 관련된 감사기준서 330에서 관련 문단을 찾아보자.
문단18. 감사인은 평가된 중요왜곡표시위험과 관계없이 중요한 각 거래유형과 계정잔액 및 공시에 대하여는 실증절차를 설계하고 수행하여야 한다.
문단 18은 감사인은 각각의 중요한 거래유형과 계정잔액 및 공시에 대해서는 평가된 중요왜곡표시위험과 관계없이 실증절차를 설계하고 수행할 것을 요구한다. 이러한 요구사항은 (i) 감사인의 위험평가에는 판단이 수반되므로 모든 중요왜곡표시위험이 식별되지 않을 수 있고, (ii) 경영진의 통제무력화 등 내부통제에 고유한계가 존재한다는 사실을 반영하는 것이다.
(감사기준서 330.평가된 위험에 대한 감사인의 대응)
감사기준서 330 문단 18에서는 중요한 계정잔액 등에 대해서는 위험평가 결과와 상관없이 "모두" 실증절차가 수행되어야 한다고 규정한다. 감사기준서 315와 330에서 "중요한 계정잔액"에 대한 정의를 별도로 하고 있지는 않지만 "중요왜곡표시위험(RoMM ; Risk of Material Misstatement)"라는 용어를 사용한다. 감사기준서200 문단13(용어의 정의) (n)에서는 중요왜곡표시위험을 다음과 같이 정의한다.
중요왜곡표시위험 - 감사의 착수 이전에 재무제표가 중요하게 왜곡표시 되어 있을 위험. 이것은 경영진주장의 수준에서 다음과 같이 두 가지 구성요소로 설명된다.
(i) 고유위험 - 모든 관련 통제를 고려하기 전에 거래유형, 계정잔액 혹은 공시에 대한 경영진의 주장이, 개별적으로 또는 다른 왜곡표시와 합칠 때 중요하게 왜곡표시 될 가능성
(ii) 통제위험 - 거래유형, 계정잔액 혹은 공시에 대한 경영진의 주장에서 발생할 수 있으며, 개별적으로 또는 다른 왜곡표시와 합쳐 중요할 수 있는 왜곡표시가 기업의 내부통제에 의해 적시에 예방되거나 발견, 수정되지 못할 위험
(감사기준서 200.독립된 감사인의 전반적인 목적 및 감사기준에 따른 감사의 수행)
즉, 재무제표가 중요하게 왜곡표시되어 있을 위험이다. 위험이 크고 작고를 설명하지는 않으므로 위험이 존재함을 의미한다고 할 수 있다. 또한 중요왜곡표시위험은 고유위험과 통제위험의 결합으로 이 두 위험은 Low, Moderate, High등 다양한 수준으로 평가될 수 있는 점을 고려하면 위험은 폭넓게 정의된다고 할 수 있다.
다시말해 재무제표감사에서의 위험평가는 내부회계관리제도 위험평가와 동일하다.
이것이 감사기준서1100에서 말하는 통합감사(Intergated Audit)이다.
무엇이 잘못될 수 있는가? (What Could Go Wrong?)
내부회계관리제도 감사의 대상은 관련경영진주장과 관련된 위험을 예방, 적발할 수 있는 통제가 설계(design)되어 있고 운영(operation)되고 있는지에 대한 합리적확신을 얻는 것이다.
여기서 통제 이전에 위험이 먼저 식별되는 것이고 그 위험식별 활동은 재무제표 감사와 관련하여 자주 언급하는 "위험평가" 그것을 의미한다. 따라서 감사기준서315의 모든 내용이 곧 내부회계관리제도 감사 전체를 이끌고 가는 엔진의 역할을 하는 것이다. 따라서 내부회계관리제도 감사시 피감사회사의 내부회계관리제도 용역산출물에 기재된 위험(risk)는 감사인이 재무제표 감사시 수행했던 위험평가와 동일한 것이 되어야 한다.
따라서 감사인이 재무제표 감사시 수행했던 위험평가의 결과는 내부회계관리제도 감사시 회사로부터 제시받은 용역산출물인 Control Matrix에 포함된 위험(risk)가 적절한지에 대한 판단기준을 제공한다. Control Matrix상 Risk가 적절하다고 판단(설계평가의 적적성)했다면 감사인이 수행한 위험평가 결과와 유사했다는 의미이다. 다르게 표현하면 Control Matrix상 Risk가 적절한 수준이 아니었음에도 내부회계관리제도 감사에서 적정의견이 표명되었다면 이는 재무제표 감사에서 위험평가가 흠결이 있었다는 의미와 다르지 않다.
위험평가의 핵심은 What Could Go Wrong(무엇이 잘못될 수 있는가?, 이하 WCGW)이다. 이는 단순히 승인통제가 있다 없다의 수준은 아니다. GAAP, 다시말해 회사가 IFRS와 같은 어려운 회계기준을 충분하게 이해하고 있는지에 대한 검증과 다르지 않다. 회사의 결산실무자와 CFO가 중요거래와 관련한 IFRS를 잘 이해하지도 못한 상황에서 내부회계관리제도 구축용역에만 의존하여 위험을 설계하고 그 결과물에 대한 충분한 이해가 뒤따르지 않았다면 그 자체로 심각한 통제흠결이다. 이는 감사인이 회사가 제시하는 용역산출물이 승인절차 있느냐 없느냐로 판단할 수준이 아닌 것이다.
31.유의적인 거래유형, 계정잔액 및 공시와 관련경영진주장을 식별하는 것의 일환으로, 감사인은 또한 재무제표의 중요한 왜곡표시를 야기할 잠재적 왜곡표시의 가능한 원천을 결정하여야 한다. 감사인은 잠재적 왜곡표시의 가능한 원천을 더 많이 이해하기 위하여, 그리고 테스트 대상 통제를 선정하는 것의 일부로써, 다음의 절차를 수행한다.
▶ 개별적으로 혹은 다른 왜곡표시와 결합하여 중요한 왜곡표시(부정으로 인한 왜곡표시 포함)가 발생할 수 있는 기업 프로세스 내의 지점을 식별한다(예를 들어, 정보가 개시, 이전 또는 수정되는 지점).
A39. 재무제표감사와 연계된 위험평가절차는 감사기준서 315 에 기술되어 있다.
A40 감사인은 주어진 유의적인 거래유형, 계정잔액 또는 공시 내에서 "무엇이 잘못될 수 있는가?"라고 자문을 함으로써 잠재적 왜곡표시의 가능한 원천을 결정할 수 있을 것이다.
(감사기준서 1100.내부회계관리제도 감사)
감사기준서1100 문단31에서는 잠재적 왜곡표시의 원천(likely sources of potential misstatements)을 결정하여야 한다(MUST)고 규정한다. 실무에서는 간단히 LSPM의 원천이라고도 한다. 이는 쉽게 표현하면 위험이 발생하는 근본원인을 의미한다. 이 문단은 PCAOB Audit Standards인 AS2201 Paragraph 30.과 동일한 내용이다. (참고로 감사기준서 1100은 IAASB가 제정한 기준서가 아닌 pcaob audit standards이다)
As part of identifying significant accounts and disclosures and their relevant assertions, the auditor also should determine the likely sources of potential misstatements that would cause the financial statements to be materially misstated. The auditor might determine the likely sources of potential misstatements by asking himself or herself "what could go wrong?" within a given significant account or disclosure., PCAOB AS2201, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements
이 내용은 내부회계관리제도 평가 및 보고 모범규준에서도 동일하게 언급하고 있다.
내부회계관리제도 평가 및 보고 모범규준 (재무보고위험의 식별)
26. 경영진은 잠재적 왜곡표시 가능성과 원천 및 중요한 왜곡표시가 발생하는 원인을 식별하기 위해 재무보고 요소에서"무엇이 잘못될 수 있는가(What Could Go Wrong?)"를 고려하는 것이 효과적이다.
잠재적왜곡표시의 원천을 파악한다는 것
회사가 잠재적왜곡표시의 원천(Source)을 이해한다는 의미는 IFRS를 잘 이해하고 있다는 의미와 횡령 등 자금관련 부정이 발생할 수 있는 근본원인을 잘 파악하고 있다는 의미이다. 실무자와 경영진은 회사의 거래(Transaction)와 관련된 회계기준(IFRS)을 잘 이해하고 있어서 거래와 기준을 접목시켜 회계기준 위반이 발생할 수 있는 지점(spot)이 어디인지를 잘 포착하고 식별해 낼 수 있어야 한다. 또한 횡령과 같은 자금사고가 발생하지 않으려면 어느 지점을 정확하게 통제하고 있어야 하는지에 대해 잘 알고 있다는 의미이다.
내부회계관리제도 감사를 수행하는 감사인은 회사가 상기와 같은 능력을 보유하고 있는지를 Walk-Through 등의 절차를 통해서 점검해야 한다. 이는 단순히 회사의 내부회계관리제도 산출물을 받아서 승인절차가 기술되어 있는지를 확인하는 수준과는 차원이 다르다.
View & Opinion
내부회계관리제도 감사가 형식적이라는 지적을 받는데는 회사가 제시하는 내부회계관리제도 관련 문서, 특히 통제메트릭스에 기재된 위험(risk)의 식별이 정확하고 충분한지에 대한 구체적인 검토없이 주어진 자료를 따라가는 수동적인 감사를 하기 때문이다. 내부회계관리제도 감사는 회사의 용역산출물을 검토하는 것이 아니라 회사의 경영자와 실무자가 회계부정과 자금부정이 발생하는 구체적인 지점이 어딘지를 잘 알고 있는지를 점검하는 감사이다. 감사기준 1100에서는 추적조사(Walk-Through Test)를 언급하면서 "탐색적질문(probing question)"을 해야 한다고 언급한다. 이 탐색적질문은 회사가 위험을 적절히 파악하고 있는지에 대한 의구심을 가진 질문일 것이다.
38 In performing a walkthrough, at the points at which important processing procedures occur, theauditor questions the company‘s personnel about their understanding of what is required by the company‘s prescribed procedures and controls.These probing questions,combined with the other walkthrough procedures, allow the auditor to gain a sufficient understanding of the process and to be able to identify important points at which a necessary control is missing or not designed effectively. Additionally, probing questions that go beyond a narrow focus on the single transaction used as the basis for the walkthrough allow the auditor to gain an understanding of the different types of significant transactions handled by the process.
3From PCAOB AS2201; AS 2201: An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements
댓글