KIFRSGuide.

기준서 1100 내부회계관리제도의 감사

저작권 표시

감사기준서 1100내부회계관리제도의 감사’는 「주식회사 등의 외부감사에 관한 법률」 제16조에 따라 한국공인회계사회가 금융위원회의 사전승인을 받아 정한 회계감사기준의 일부로, 국제감사인증기준위원회(IAASB)가 공표한 국제감사기준(ISA)을 기초로 제정되었습니다.

기준서 원문의 저작권은 한국공인회계사회에 있으며 저작권법의 보호를 받습니다. 권리자의 사전 서면 승인 없이 원문의 전부 또는 일부를 영리 목적으로 복제·전송·배포하거나 2차적저작물을 작성하는 행위는 금지됩니다.

본 페이지는 실무 참고 목적의 비공식 게재본으로, 공식 간행물과 표기·구성이 다를 수 있고 최신 개정사항이 반영되지 않았을 수 있습니다. 공식 원문은 한국공인회계사회에서 확인하시기 바라며, 본 게재본과 공식 원문이 다른 경우 공식 원문이 우선합니다.

서론

이 감사기준서의 범위

문단 1

이 감사기준서는 감사인이 재무제표감사와 통합하여 수행되는 내부회계관리제도감사를 수행하는 경우 (통합감사)에 적용되는 요구사항을 규정하고 지침을 제공한다.

문단 2

주식회사 등의 외부감사에 관한 법률(이하 "외부감사법"이라 함)에 따라 주권상장법인의 재무제표를 감사하는 감사인은 외부감사법 제8조(내부회계관리제도의 운영 등)에서 정한 사항 및 같은 조 제4항에 따른 내부회계관리제도의 운영실태에 관한 보고내용을 감사하여야 한다. 따라서 외부감사법에 따라 내부회계관리제도감사를 수행하는 감사인은 해당 기업의 재무제표감사를 수행하는 감사인과 동일한 감사인이다.

문단 3

회계감사기준(이하 “감사기준”이라 한다)은 감사기준서 200~720과 이 감사기준서(감사기준서 1100)로 구성되어 있다. 감사기준서 200~720은 재무제표감사에 적용되는 요구사항과 지침을 기술하고 있으며, 재무제표감사와 통합되는 내부회계관리제도감사에 적용하는 경우에는 해당 상황에 맞게 조정되어야 한다. 이 감사기준서는 내부회계관리제도감사에 적용되는 감사절차 및 보고 기준을 정한다.

시행일

문단 4

이 감사기준서는 2019년 1월 1일 이후에 개시하는 보고기간에 대한 내부회계관리제도감사부터 시행된다. 1)

  1. 개정 외부감사법 부칙과 동법 시행령 부칙에서 정한 주권상장법인의 내부회계관리제도감사 등의 시행시기는 다음과 같다.

목적

문단 5

내부회계관리제도감사에서 감사인의 목적은 다음을 모두 포함한다. (문단 A1-A3 참조) (a) 내부회계관리제도의 효과성에 관한 경영진 평가(내부회계관리제도 운영실태보고서에 포함됨)에 명시된 일자(이하 “평가기준일”이라고 함) 현재 중요한 취약점이 존재하는지 여부에 대한 합리적인 확신을 얻음

(b) 감사인의 발견사항에 근거하여, 이 감사기준서에서 요구하는 바에 따라 내부회계관리제도의 효과성에 대한 의견을 내부회계관리제도 감사보고서에 표명하고 경영진 및 지배기구 (외부감사법에 따른 내부회계관리제도감사업무에서는 감사(감사위원회가 설치된 경우에는 감사위원회)를 말한다.2) 이 감사기준서에서는 이하 같다) 와 커뮤니케이션함

하나 이상의 중요한 취약점이 존재하는 경우 기업의 내부통제는 효과적이라고 간주될 수 없기 때문에, 감사인은 의견 표명의 기초를 형성하기 위하여, 평가기준일 현재 중요한 취약점이 존재하는지 여부에 대한 합리적인 확신을 얻기에 충분하고 적합한 증거를 입수하기 위해 계획을 수립하고 감사를 수행하여야 한다. 내부회계관리제도의 중요한 취약점은 재무제표가 중요하게 왜곡표시되지 않더라도 존재할 수 있다. 2) 외부감사법 제8조 제4항

용어의 정의

문단 6

이 감사기준에서 사용하는 용어의 정의는 다음과 같다. (a) 관련경영진주장(relevant assertion). 재무제표의 중요한 왜곡표시를 야기할 왜곡표시 또는 왜곡표시들을 포함할 가능성이 낮지 않은(more than remote) 재무제표 주장. 경영진주장이 관련경영진주장인지 여부에 대한 결정은 통제의 효과와 상관없이, 고유위험에 근거하여야 한다.

(b) 내부회계관리제도(Internal control over financial reporting). 기업의 재무제표가 해당 재무보고체계에 따라 신뢰성있게 작성되었는지에 대한 합리적인 확신을 제공하기 위해 설계되어, 지배기구, 경영진 및 그밖에 다른 직원에 의해 시행되는 프로세스로서 다음 내용의 정책과 절차를 포함한다.

(i) 기업 자산의 거래와 처분을 합리적으로 상세하게 그리고 정확하고 공정하게 반영하는 기록의 유지와 관련됨

(ii) 해당 재무보고체계에 따른 재무제표의 작성을 위하여 필요에 맞게 거래가 기록되고, 경영진과 지배기구의 승인에 의해서만 기업의 수입과 지출이 이루어지고 있다는 합리적인 확신을 제공함

(iii) 재무제표에 중요한 영향을 미칠 수 있는 기업 자산의 승인되지 않은 취득, 사용 또는 처분을 예방하거나 적시에 발견∙수정하는 것에 대한 합리적인 확신을 제공함

내부회계관리제도는 고유한계를 가지고 있다. 내부회계관리제도는 인간의 성실성과 준법성이 관련되는 프로세스이며, 인적오류로 인하여 판단 착오가 발생하거나 와해될 수 있다. 또한 공모 또는 부적절한 경영진의 통제무력화로 내부회계관리제도를 우회할 수 있다). 이러한 한계 때문에, 내부회계관리제도에 의해 중요한 왜곡표시가 적시에 예방되거나 발견∙수정되지 못할 위험이 존재한다. 그러나, 이 고유한계는 재무보고 프로세스의 잘 알려진 특성이다. 따라서, 프로세스 내에 안전장치를 설계함으로써 이러한 위험을 제거할 수는 없지만, 줄일 수는 있다. (문단 A4 참조) (c)
내부회계관리제도감사(Audit of Internal control over financial reporting). 기업의 내부회계관리제도의 설계 및 운영 효과성에 대한 감사

(d)
내부회계관리제도에 대한 경영진 평가(Management’s assessment about internal control over financial reporting). 적합하고 이용가능한 준거기준에 기초하여 기업의 내부회계관리제도의 효과성에 대해 경영진이 내린 결론. 경영진 평가는 내부회계관리제도 운영실태보고서에 포함된다. (문단 A6참조)

(e)
예방통제(Preventive control). 재무제표의 왜곡표시를 초래할 수 있는 오류나 부정을 예방하는 목적을 가진 통제

(f)
유의적인 거래유형, 계정잔액 및 공시(significant class of transaction, account balance or disclousre).3) 과대표시와 과소표시 위험을 모두 고려하여, 거래유형, 계정잔액 및 공시가, 개별적으로 또는 집합적으로, 재무제표에 중요한 영향을 미치는 왜곡표시를 포함할 가능성이 낮지 않은(more than remote) 경우의 거래유형, 계정잔액 및 공시. 거래유형, 계정잔액 및 공시가 유의적인지 여부에 대한 결정은 통제의 효과와 상관없이, 고유위험에 근거하여야 한다.

(g)
적발통제(Detective control). 이미 발생하여 이로 인해 재무제표의 왜곡표시를 가져올 것으로 예상되는 경우 해당 오류나 부정을 발견하고 수정하는 목적을 가진 통제

(h)
준거기준(Criteria). 인증대상을 측정하거나 평가하는데 사용되는 기준(문단 A5-A6 참조)

(i) 중요한 취약점(Material weakness). 내부회계관리제도 미비점 혹은 미비점들의 결합으로, 기업의 연차재무제표 또는 중간재무제표의 중요한 왜곡표시가 적시에 예방되거나 발견∙수정되지 못할 가능성이 낮지 않은(more than remote) 경우에 존재한다. 내부회계관리제도 미비점과 유의적 미비점의 용어의 정의에 대한 설명은 문단 A7에 포함되어 있다. (문단 A7 참조)

(j)
통제목적(Control objective). 통제의 목표 또는 목적. 통제목적은 통제가 완화하고자 하는 위험에 대처하는 것이다. 내부회계관리제도의 상황에서, 통제목적은 일반적으로 유의적인 거래유형, 계정잔액 및 공시에 대한 관련경영진주장과 관련되어 있으며 특정 영역의 통제가 관련경영진주장의 왜곡표시 또는 누락을 적시에 예방하거나 발견∙수정한다는 합리적인 확신을 제공하지 못할 위험에 대처한다.

  1. 감사기준서 330 에서 사용되는 "중요한(material) 거래유형, 계정잔액 및 공시"와 동일한 의미임

요구사항

내부회계관리제도감사의 전제조건

문단 7

감사기준서 210. "감사업무의 조건의 합의"는 감사인에게 감사를 위한 전제조건이 존재하는지 여부를 확인하도록 요구한다. 4) 내부회계관리제도감사에서, 감사인은 다음의 절차를 수행하여야 한다. (a) 다음의 책임을 인정하고 이해하고 있다는 점에 대하여 경영진의 동의를 받음(문단 A8-A11 참조)

(i) 효과적인 내부회계관리제도를 설계, 실행 및 유지할 책임

(ii) 적합하고 이용가능한 준거기준을 사용하여 기업의 내부회계관리제도의 효과성을 평가할 책임

(iii) 감사보고서에 첨부되는 보고서에 내부회계관리제도에 대한 경영진 평가 (내부회계관리제도 운영실태보고서를 말함)를 제공할 책임 (문단 59 참조)

(iv) 충분한 평가와 문서화를 통해 기업의 내부회계관리제도의 효과성에 대한 기업의 평가를 뒷받침할 책임

(v) 다음 사항을 감사인에게 제공할 책임

a. 기록, 문서, 기타사항 등 내부회계관리제도에 대한 경영진 평가와 관련하여 경영진이 알고 있는 모든 정보에 대한 접근

b. 감사인이 내부회계관리제도감사 목적으로 경영진에게 요청하는 추가적인 정보

c. 감사인이 감사증거를 입수하기 위하여 필요하다고 결정한 기업 내부의 관계자들에 대한 제한없는 접근

(b) 해당 평가기준일이 해당 재무제표 대상 기간의 재무상태표일 (또는 보고기간말일) 과 일치한다는 결정

  1. 감사기준서 210 "감사업무의 조건의 합의" 문단6
문단 8

감사인은 경영진이 경영진 평가에 사용한 준거기준과 동일하고 적합하며 이용가능한 준거기준을 사용하여 기업의 내부회계관리제도의 효과성을 평가하여야 한다. (문단 A12-A13 참조)

내부회계관리제도 운영실태보고서의 요청

문단 9

문단 7a(iii)에 따라, 감사인은 경영진에게 내부회계관리제도 운영실태보고서를 요청하여야 한다. 경영진이 내부회계관리제도 운영실태보고서의 제공을 거절하는 것은 범위제한을 의미하고, 감사인은 문단 79-82의 요구사항을 적용하여야 한다.

내부회계관리제도감사와 재무제표감사의 통합

문단 10

내부회계관리제도감사와 재무제표감사의 목적이 동일하지 않더라도, 감사인은 각각의 감사목적을 동시에 달성할 수 있도록 통합감사를 계획하고 수행하여야 한다. 감사인은 아래의 목적을 모두 달성할 수 있도록 통제테스트를 설계하여야 한다. (a) 평가기준일 (통상적으로 보고기간말일임) 현재의 내부회계관리제도에 대한 감사의견을 뒷받침할 충분하고 적합한 증거를 입수함

(b) 재무제표감사 목적상 감사인의 통제위험 평가를 뒷받침할 충분하고 적합한 감사증거를 입수함 (문단 A15–A16 참조)

문단 11

내부회계관리제도에 대하여 전체적으로 의견을 표명하기 위해서는, 감사인은 모든 관련경영진주장에 대하여 선정된 통제의 효과성에 대한 증거를 입수하여야 한다. 따라서 재무제표에 대해서만 의견을 표명할 때는 일반적으로 테스트하지 않는 통제의 설계 및 운영 효과성을 테스트하도록 감사인에게 요구된다.

문단 12

감사인은 재무제표감사와 관련하여 평가된 통제위험의 수준이나 평가된 중요왜곡표시위험에 관계없이, 모든 관련경영진주장에 대하여 실증절차를 수행하여야 한다. 내부회계관리제도에 대한 의견을 표명하기 위한 절차를 수행한 경우에도 이 요구사항을 경감시키지 않는다.

문단 13

내부회계관리제도에 대한 의견을 표명하는 목적으로 내부회계관리제도의 효과성에 대한 결론을 내릴 때, 감사인은 재무제표에 대한 의견표명과 관련된 목적을 달성하기 위하여 수행된 추가적인 통제테스트의 결과를 반영하여야 한다(문단A17 참조). 감사인은 재무제표감사 절차의 결과가 감사인의 위험평가와, 통제의 운영효과성에 대한 결론을 내리는데 필요한 테스트에 미치는 영향을 고려하여야 한다.

문단 14

만약, 내부회계관리제도감사 중에, 감사인이 내부회계관리제도 미비점을 식별한다면, 감사인은 재무제표감사에서의 감사위험을 수용가능한 낮은 수준으로 감소시키기 위하여 수행되어야 할 실증절차의 성격, 시기 및 범위에 해당 미비점이 미치는 영향을 결정하여야 한다. 내부회계관리제도의 효과성에 대한 의견을 형성할 때, 재무제표감사에서의 발견사항을 포함한 발견사항의 영향을 평가하는 것에 관한 요구사항은 문단 56-58을 참조한다.

문단 15

재무제표감사에서 통제 위험을 평가할 목적으로 통제의 효과성에 대해 결론을 내릴 때, 감사인은 기업의 내부회계관리제도에 대한 의견 표명과 관련된 목적을 달성하기 위하여 감사인이 수행한 추가적인 통제테스트의 결과를 평가하여야 한다. (문단 A18 참조)

내부회계관리제도감사계획의 수립

문단 16

감사기준서 300, "재무제표감사의 계획수립"에 따라, 감사인은 내부회계관리제도감사의 범위, 시기 및 방향을 정하고 감사계획 수립에 대한 지침이 되는 전반감사전략을 수립하여야 한다. 5) (문단 A19 참조) 5) 감사기준서 300 "재무제표감사의 계획수립" 문단7

위험평가의 역할

문단 17

감사인은 위험이 더 높은 영역에 주의를 더 많이 기울여야 한다. 기업의 내부회계관리제도의 특정 영역에 중요한 취약점이 존재할 수 있는 위험의 정도와 해당 영역에 기울여야 하는 주의의 정도 사이에는 직접적인 관계가 존재한다. 또한, 기업의 내부회계관리제도가 부정으로 인한 왜곡표시를 예방하거나 발견∙수정할 가능성은 오류로 인한 왜곡표시의 경우보다 낮다. 재무제표에 대한 중요한 왜곡표시의 가능성이 낮은(remote) 통제의 경우에는, 해당 통제가 미비하더라도, 테스트할 필요가 없다. (문단 A20-A22 참조)

부정위험에 대한 대처

문단 18

내부회계관리제도감사를 계획하고 수행할 때, 감사인은 감사인의 부정위험 평가 결과를 고려하여야 한다. 감사인은 기업의 통제가 식별된 부정으로 인한 중요왜곡표시위험과 경영진이 다른 통제를 무력화할 위험에 충분히 대처하는지 여부를 평가하여야 한다. (문단 A23 참조)

문단 19

감사기준서 240 "재무제표감사에서의 부정에 관한 감사인의 책임"은 감사인이 입수한 다른 정보가 부정으로 인한 중요왜곡표시위험을 나타내는지 여부를 고려하도록 감사인에게 요구한다. 6) 만약 감사인이 내부회계관리제도감사 수행 중에 부정으로 인한 왜곡표시를 예방하거나 발견∙수정하기 위해 설계된 통제에서 미비점을 식별하는 경우, 감사인은 재무제표감사 수행 중에 중요왜곡표시위험에 대한 대응을 수립할 때 해당 미비점을 고려하여야 한다. 7) 6) 감사기준서 240 "재무제표감사에서의 부정에 관한 감사인의 책임" 문단23 7) 감사기준서 240 문단 28–33

내부감사인이 수행한 업무의 활용

문단 20

외부감사인은 내부회계관리제도감사의 계획 및 수행과 관련이 있는 내부감사기능이 수행한 업무에 대하여 내부회계관리제도의 효과성과 관련된 그들의 활동을 식별할 수 있도록 충분히 이해하여야 한다. (문단 A24 참조)

문단 21

외부감사인은 외부감사인이 직접 수행해야 하는 감사절차의 성격이나 시기를 변경하고 그 범위를 줄이기 위해 내부감사인이 수행한 업무를 활용할 범위를 평가하여야 한다. 내부감사인의 업무를 활용하는 경우에는, 감사기준서 610 "내부감사인이 수행한 업무의 활용"이 적용된다. (문단A25-A26 참조)

중요성

문단 22

감사인은 내부회계관리제도감사와 재무제표감사의 계획수립과 수행을 위해 동일한 중요성을 사용하여야 한다. (문단 A27 참조)

하향식 접근법의 사용

문단 23

감사인은 내부회계관리제도감사 수행 시 테스트 대상 통제를 선정하기 위해 하향식 접근법을 사용하여야 한다. (문단 A28-A29 참조)

전사적 수준 통제

문단 24

감사인은 기업이 효과적인 내부회계관리제도를 갖추고 있는지 여부에 대한 감사인의 결론에 중요한 전사적 수준 통제를 식별하고 테스트하여야 한다. (문단 A30-A33 참조)

내부회계관리제도 구성요소 평가

문단 25

통합감사에서, 감사인은 내부회계관리제도 구성요소를 평가하고 다음을 결정하여야 한다. (문단 A34 참조)

(a)

구성요소가 내부회계관리제도의 설계, 실행 및 운영에 존재하고 기능하는지 여부

(b)

기업의 재무보고 목적을 달성하기 위해 구성요소가 연계되어 통합적으로 운영되고 있는지 여부

통제환경

문단 26

효과적인 내부회계관리제도에 미치는 영향이 중요하기 때문에, 감사인은 회사의 통제환경을 평가해야 한다. 통제환경 평가의 일부로 감사인은 다음사항을 평가해야 한다.

경영진의 철학과 경영방식이 효과적인 내부회계관리제도를 장려하는지 여부

건전한 도덕성과 윤리적 가치(특히, 최고 경영진의 경우)가 발전되고 이해되는지 여부

지배기구가 재무보고와 내부통제에 대한 감시책임을 이해하고 이행하고 있는지 여부

보고기간말 재무보고 프로세스

문단 27

재무보고 및 통합감사에 중요하기 때문에, 감사인은 보고기간말 재무보고 프로세스를 평가하여야 한다. 보고기간말 재무보고 프로세스에는 다음을 포함한다. (a) 총계정원장에 거래 총액을 기표하기 위해 사용되는 절차

(b) 회계정책의 선택과 적용과 관련된 절차

(c) 총계정원장에 분개를 생성, 승인, 기록 및 처리하기 위해 사용되는 절차

(d) 연차 및 분기 재무제표에 반복적∙ 비반복적 조정사항을 기록하기 위해 사용되는 절차

(e) 연차 및 분기 재무제표를 작성하기 위한 절차 (문단 A35 참조)

문단 28

보고기간말 재무보고 프로세스 평가의 일환으로, 감사인은 다음을 평가하여야 한다. (a) 기업이 재무제표 생성을 위해 사용하는 프로세스의 입력자료, 수행하는 절차 및 산출물

(b) 보고기간말 재무보고 프로세스에 정보기술이 관련되는 정도

(c) 경영진에서 누가 참여하는지

(d) 보고기간말 재무보고 프로세스에 포함되는 사업장

(e) 조정사항 및 연결조정 분개의 유형

(f) 경영진과 지배기구가 프로세스에 대해 수행하는 감시의 성격 및 범위

감사인은 기업의 통제가 평가기준일 현재 각각의 관련경영진주장에 대한 평가된 왜곡표시위험에 충분하게 대처하고 있는지 여부를 결정하는데 중요한 분기별 통제의 효과성에 대한 충분한 증거를 입수하여야 한다. 하지만, 감사인이 각 분기에 대해 개별적으로 충분한 증거를 확보해야 하는 것은 아니다

유의적인 거래유형, 계정잔액 및 공시와 관련경영진주장을 식별

문단 29

감사인은 유의적인 거래유형, 계정잔액 및 공시와 관련경영진주장을 식별하여야 한다. 관련경영진주장은 재무제표의 왜곡표시를 포함할 가능성이 낮지 않은(more than remote) 경영진주장이며, 감사인이 재무제표 감사를 수행할 때 잠재적인 왜곡표시의 유형들을 고려하기 위해 이용하는 경영진주장은 감사기준서 315 문단 A124 에 기술되어 있다 8) (문단 A36 참조). 8) 감사기준서 315 "기업과 기업환경에 대한 이해를 통한 중요왜곡표시위험의 식별과 평가" 문단A124

문단 30

유의적인 거래유형, 계정잔액 및 공시와 관련경영진주장을 식별하기 위하여, 감사인은 재무제표 항목과 공시와 관련된 질적 및 양적 위험요소를 평가하여야 한다. (문단 A37-A39 참조)

문단 31

유의적인 거래유형, 계정잔액 및 공시와 관련경영진주장을 식별하는 것의 일환으로, 감사인은 또한 재무제표의 중요한 왜곡표시를 야기할 잠재적 왜곡표시의 가능한 원천을 결정하여야 한다. (문단 A40-A41 참조)

문단 32

기업이 부문을 보유한 경우, 감사인은 그룹재무제표9) 에 근거하여 유의적인 거래유형, 계정잔액 및 공시와 관련경영진주장을 식별하여야 한다. (문단 A42 참조) 9) 연결기준이 아닌 내부회계관리제도감사에서 그룹재무제표는 부문이 다수인 경우의 별도재무제표 또는 개별재무제표를 의미한다.

왜곡표시의 가능한 원천에 대한 이해

문단 33

감사인은 잠재적 왜곡표시의 가능한 원천을 더 많이 이해하기 위하여, 그리고 테스트 대상 통제를 선정하는 것의 일부로써, 다음의 절차를 수행한다.

거래가 개시, 승인, 기록, 처리 및 보고되는 방법을 포함하여, 관련경영진주장과 관련된 거래의 흐름을 이해한다.

개별적으로 혹은 다른 왜곡표시와 결합하여 중요한 왜곡표시(부정으로 인한 왜곡표시 포함)가 발생할 수 있는 기업 프로세스 내의 지점을 식별한다(예를 들어, 정보가 개시, 이전 또는 수정되는 지점).

잠재적 왜곡표시에 대처하기 위하여 경영진이 실행한 통제를 식별한다.

재무제표에 중요한 영향을 미칠 수 있는 승인되지 않은 기업 자산의 취득, 사용 또는 처분을 예방하거나 적시에 발견∙수정하기 위해 경영진이 실행한 통제를 식별한다. (문단 A43-A44 참조)

문단 34

요구되는 판단의 정도 때문에, 감사인은 문단 33에 언급된 요구사항을 달성하기 위한 절차를 직접 수행하여야 한다.

문단 35

감사인은 정보기술이 기업의 거래 흐름에 어떻게 영향을 미치는지, 그리고 감사기준서 315 “기업과 기업환경에 대한 이해를 통한 중요왜곡표시위험의 식별과 평가”에서 요구된 바와 같이, 기업이 정보기술로 인하여 제기되는 위험에 어떻게 대응하는지 이해하여야 한다. 10) (문단 A45 참조) 10) 감사기준서 315 문단 21

테스트 대상 통제의 선정

문단 36

감사인은 기업의 통제가 각 관련경영진주장의 평가된 왜곡표시위험에 충분히 대처하고 있는지 여부에 대한 감사인의 결론에 중요한 통제를 식별하고 테스트하여야 한다. (문단 A46-A47 참조)

통제테스트

설계효과성의 테스트

문단 37

기업의 통제가 통제를 효과적으로 수행하는데 필요한 권한과 적격성을 보유한 사람에 의해 규정된 대로 운영되는 경우, 감사인은 해당 통제가 기업의 통제목적을 충족하고 재무제표의 중요한 왜곡표시를 초래할 수 있는 부정이나 오류로 인한 왜곡표시를 효과적으로 예방하거나 발견∙수정할 수 있는지 여부를 결정하여 통제의 설계효과성을 테스트하여야 한다. (문단 A48-A49 참조)

운영효과성의 테스트

문단 38

감사인은 통제가 설계된 대로 운영되는지 여부와 통제를 수행하는 사람이 통제를 효과적으로 수행하는데 필요한 권한과 적격성을 갖추었는지 여부를 결정하여 통제의 운영효과성을 테스트하여야 한다. (문단 A50-A51 참조)

위험과 입수해야 할 증거와의 관계

문단 39

테스트되고 있는 통제와 연관된 위험이 증가할수록, 감사인이 입수해야 할 증거의 충분성과 적합성도 증가하여야 한다. (문단 A52-A55 참조)

문단 40

감사인은 각각의 관련경영진주장에 대하여 선정된 통제의 효과성에 대하여 증거를 입수하여야 한다. 하지만 감사인이 개별 통제 각각의 효과성에 대한 의견을 뒷받침하기 위해 충분하고 적합한 감사증거를 입수할 책임은 없다. (문단 A56-A61 참조)

문단 41

선정된 통제가 효과적인지 여부에 대한 증거를 입수하기 위해서, 해당 통제 자체가 테스트되어야 한다. 실증절차에 의해 발견된 왜곡표시가 없다는 것이 통제의 운영효과성을 의미한다고 볼 수 없다. 그러나, 실증절차에 의해 발견된 왜곡표시가 없다는 것은 통제의 운영효과성에 대한 결론을 내리는데 필요한 테스트를 결정할 때 감사인의 위험평가에 반영된다.

문단 42

감사인이 통제 이탈을 식별하는 경우, 감사인은 이탈이 통제의 운영효과성에 미치는 영향뿐만 아니라, 테스트되고 있는 통제와 연관된 위험에 대한 감사인의 평가 및 입수하여야 할 증거에 미치는 영향을 결정하여야 한다. (문단 A62 참조)

통제테스트의 시기와 범위

문단 43

일정 시점의 내부회계관리제도에 대한 의견을 표명하기 위하여, 감사인은 내부회계관리제도가 충분한 기간 동안 효과적으로 운영되었다는 증거를 입수하여야 한다. 이 때, 충분한 기간은 기업의 재무제표의 대상기간인 전체 기간(일반적으로 1년)보다 짧을 수 있다. 감사인은 운영효과성에 대한 충분하고 적합한 감사증거를 얻기 위하여, 평가기준일에 가깝게 통제테스트를 수행하는 것과 충분한 기간에 걸쳐 통제를 테스트할 필요성이 있다는 것 간에 균형을 맞추어야 한다. (문단 A63-A66 참조)

잔여기간에 대한 테스트 절차

문단 44

감사인이 특정 일자를 기준으로 통제의 효과성에 대해 보고하고 통제의 운영효과성에 대한 증거는 기중 일자에 입수하는 경우, 감사인은 잔여기간의 통제 운영과 관련하여 필요한 추가적인 증거가 무엇인지를 결정하여야 한다. (문단 A67-A68 참조)

후속연도 감사에 대한 특별 고려 사항

문단 45

후속연도 감사에서, 감사인은 필요한 테스트의 성격, 시기 및 범위를 결정하기 위한 의사결정 프로세스에, 감사인이 과거에 기업의 내부회계관리제도를 감사하는 과정에서 입수한 지식을 반영하여야 한다. (문단 A69-A71 참조)

문단 46

또한, 감사인은 예측불가능성을 통제테스트에 도입하고 환경 변화에 대응하기 위하여 기간마다 통제테스트의 성격, 시기 및 범위를 변경하여야 한다. (문단 A72 참조)

내부회계관리제도 미비점의 식별과 평가

문단 47

감사인은 수행한 감사업무를 근거로 하나 이상의 내부회계관리제도 미비점을 식별하였는지 여부를 결정하여야 한다. (문단 A73 참조)

내부회계관리제도에 대한 평가기준일에 중요한 취약점이 존재하는지 여부의 결정

문단 48

내부회계관리제도의 효과성에 대한 의견을 형성할 목적으로, 감사인은 내부회계관리제도 미비점이, 개별적으로 혹은 결합하여, 평가기준일 현재 중요한 취약점인지 여부를 결정하기 위하여 내부회계관리제도 미비점 각각의 심각성을 평가하여야 한다. 감사인은 내부회계관리제도 미비점의 심각성을 평가할 때, 동일한 유의적인 거래유형∙계정잔액∙공시, 관련경영진주장, 또는 내부회계관리제도 구성요소에 영향을 미치는 미비점들이 집합적으로 중요한 취약점이 되는지 여부를 결정하여야 한다. (문단 A74-A80 참조)

문단 49

감사인은 내부회계관리제도 미비점 혹은 미비점들의 결합이 내부회계관리제도에 대한 경영진 평가 기준일 현재의 중요한 취약점인지 여부를 결정할 때, 보완통제의 영향을 평가하여야 한다. 감사인은 보완통제가 중요한 왜곡표시를 예방 또는 발견∙수정할 수 있는 정밀한 수준으로 운영되는지 여부를 결정하기 위하여, 그러한 보완통제의 운영효과성을 테스트하여야 한다. (문단 A81 참조)

문단 50

감사인은 내부회계관리제도 미비점 혹은 미비점들의 결합이 중요한 취약점이 아니라고 결정하는 경우, 동일한 사실과 상황에 대한 지식을 가진, 회계와 내부회계관리제도에 충분한 전문지식을 갖춘 객관적인 사람이 동일한 결론에 도달할 것인지 여부를 고려하여야 한다. 만약 감사인이 하나의 미비점 혹은 미비점들의 결합으로 인해, 회계와 내부회계관리제도에 충분한 전문지식을 갖춘 객관적인 사람이 직무수행에 있어서 해당 재무보고체계에 따라 재무제표가 작성될 수 있도록 필요에 맞게 거래가 기록된다는 합리적인 확신을 가지고 있다는 결론을 내릴 수가 없다고 결정한다면, 이 경우 감사인은 해당 미비점 혹은 미비점들의 결합을 중요한 취약점의 지표로 다루어야 한다. (문단 A82 참조)

통합감사 중 유의적 미비점이 존재하는지 여부에 대한 결정

문단 51

감사인은 내부회계관리제도 미비점이 개별적으로 또는 결합하여 유의적 미비점이 되는지 여부를 결정하기 위하여, 내부회계관리제도 미비점 각각의 심각성을 평가하여야 한다. 그러한 평가를 수행할 때, 감사인은 동일한 유의적인 거래유형∙계정잔액∙공시, 관련경영진주장, 또는 내부회계관리제도 구성요소에 영향을 미치는 미비점들이 집합적으로 유의적 미비점이 되는지 여부를 결정하여야 한다. (문단 A83-A84 참조)

후속사건

문단 52

내부회계관리제도의 변경 또는 내부회계관리제도에 유의적으로 영향을 미칠 수 있는 다른 요소가 평가기준일 후부터 감사보고서일자 전까지의 기간에 후속적으로 발생할 수 있다. 감사인은 경영진 또는 적합한 경우 지배기구에게 내부회계관리제도의 변경 또는 내부회계관리제도에 유의적으로 영향을 미칠 수 있는 상황이 평가기준일 후부터 감사보고서일 전까지 후속적으로 존재하였는지 여부를 질문하여야 한다. 내부회계관리제도의 변경이나, 기업의 내부회계관리제도의 효과성에 유의적인 영향을 미치는 상황에 대한 추가적인 정보를 입수하기 위하여, 감사인은 이 후속기간에 대하여 다음의 보고서 또는 정보에 대해서 질문하고 열람하여야 한다. (문단 A85 참조)

(a)

후속기간에 발행된 관련 내부감사 보고서 (또는 금융기관의 여신 검토와 같은 비슷한 기능의 보고서)

(b)

미비점에 대하여 다른 독립된 감사인이 발행한 보고서

기업의 내부회계관리제도에 대한 규제기관의 보고서

감사인이 수행한 다른 업무를 통하여 입수한 기업의 내부회계관리제도의 효과성에 대한 정보

문단 53

만약, 후속사건 절차를 통해 감사인이 내부회계관리제도에 대한 평가기준일 현재 존재하고 있었던 중요한 취약점에 대해 알게 된다면, 감사인은 문단 73에서 요구하는 바에 따라, 부적정의견을 표명하여야 한다. 만약 내부회계관리제도에 대한 경영진 평가에서 내부회계관리제도가 효과적이라고 기술하고 있다면, 감사인은 또한 문단 77을 따라야 한다. 감사인이 내부회계관리제도에 대한 평가기준일 현재의 기업의 내부회계관리제도의 효과성에 대해 후속사건이 미치는 영향을 결정할 수 없다면, 감사인은 의견표명을 거절하여야 한다. 또한 감사인은 기업이 취한 시정조치에 대해 경영진이 공시할 경우, 이에 대해 의견표명을 거절하여야 한다. (문단 A86 참조)

문단 54

만약 감사인이 평가일에는 존재하지 않았으나 해당 일자 후부터 감사보고서 발행 전까지 후속적으로 발생한 상황에 관해 알게 되고, 그러한 후속 정보가 기업의 내부회계관리제도에 중요한 영향을 미친다면, 감사인은 내부회계관리제도 운영실태보고서에 기술되어 있는 후속적으로 발견된 사실과 그 영향에 대한 이용자의 주의를 환기하는 강조사항문단을 감사보고서에 포함하거나, 후속적으로 발견된 사실과 그 영향을 기술하는 기타사항문단을 감사보고서에 포함하여야 한다. (문단 A87 참조)

문단 55

감사인이 감사보고서일 후 후속되는 사건에 대해 알아야 할 책임은 없다. 그러나, 감사보고서일에 알았더라면 감사보고서를 수정할 원인이 될 수도 있었던 사실을 감사인이 감사보고서일 후에 알게 된 경우, 감사인은 이에 적합하게 대응하여야 한다.

결론 절차

의견형성

문단 56

감사인은 다음을 포함하여 모든 원천에서 입수한 증거를 평가함으로써 내부회계관리제도의 효과성에 대한 의견을 형성하여야 한다.

(a)

내부회계관리제도감사를 위한 감사인의 통제테스트

(b)

재무제표에 대한 의견표명과 관련된 목적을 달성하기 위해 수행한 추가적인 통제테스트

(c)

재무제표감사 과정에서 발견된 왜곡표시

(d)

식별된 미비점들

문단 57

모든 원천으로부터 입수한 증거를 평가하는 것의 일환으로, 감사인은 내부감사기능 (혹은 비슷한 기능)이 해당 연도 중에 발행한 내부회계관리제도 관련 통제에 대한 보고서를 검토하고 해당 보고서에 식별되어 있는 미비점을 평가하여야 한다.

문단 58

내부회계관리제도감사를 위한 감사인의 통제테스트에서 발견된 사항을 평가하는 것에 추가하여, 감사인은 재무제표감사에서 수행한 실증절차의 발견사항이 내부회계관리제도의 효과성에 미치는 영향을 평가하여야 한다. 이 평가는 최소한 다음의 사항을 포함하여야 한다.

(a)

실증절차의 선택 및 적용과 관련된 감사인의 위험평가 (특히, 부정과 관련한 사항)

(b)

법규 미준수와 관련된 발견사항

(c)

특수관계자 거래와 복잡하고 비경상적인 거래와 관련된 발견사항

(d)

회계추정을 하고 회계원칙을 선택하는데 있어서 회계추정치를 도출하고 회계원칙을 선택할 때 경영진 편의의 징후

(e)

실증절차에 의해 발견된 왜곡표시의 성격과 범위 (이러한 왜곡표시의 정도는 통제의 효과성에 대한 감사인의 판단을 변경시킬 수 있다.)

문단 59

감사인은 기업의 내부회계관리제도의 효과성에 대하여 의견을 형성한 후, 외부감사법령에 따라 내부회계관리제도 운영실태보고서의 필수 요소에 대한 경영진의 표시내용을 평가하여야 한다. 11) 11) 외부감사법 제8조(내부회계관리제도의 운영 등), 동법 시행령 제9조(내부회계관리제도의 운영 등)

문단 60

감사인이 내부회계관리제도에 대한 내부회계관리제도 운영실태보고서의 필수 요소가 불완전하거나 부적절하게 표시되었다고 결정하는 경우, 감사인은 경영진에게 내부회계관리제도 운영실태보고서를 수정하도록 요청하여야 한다. (문단 A88 참조)

경영진 서면진술의 입수

문단 61

감사인은 내부회계관리제도감사를 수행할 때, 다음 내용이 모두 포함된 경영진의 서면진술을 입수하여야 한다. (문단 A89 참조)

(a)

효과적인 내부회계관리제도를 수립하고 유지할 경영진의 책임을 인정함

(b)

경영진이 기업의 내부회계관리제도의 효과성에 대한 평가를 수행하였음을 진술하고, 준거기준을 구체적으로 명시함

(c)

통합감사 중에 감사인이 수행한 감사절차를 경영진이 내부회계관리제도 효과성에 대한 경영진 평가에 대한 근거의 일부로 활용하지 않았음을 명시함

(d)

평가기준일 현재 준거기준에 근거한 내부회계관리제도의 효과성에 대한 경영진의 평가내용을 명시함

(e)

내부회계관리제도의 설계 또는 운영상의 모든 미비점을 감사인에게 공개하였음을 명시함(유의적 미비점이나 중요한 취약점이라고 생각되는 모든 미비점을 경영진이 별도로 감사인에게 공개한 것을 포함함)

(f)

기업의 재무제표에 중요한 왜곡표시를 초래하는 부정과 재무제표에 중요한 왜곡표시를 초래하지는 않지만 고위경영진 또는 기업의 내부회계관리제도에서 유의적인 역할을 담당하는 경영진 또는 기타 직원이 연루된 부정을 기술함

(g)

문단 63에 따라 이전의 업무를 수행하는 동안에 식별되고 경영진과 지배기구에게 커뮤니케이션된 유의적 미비점과 중요한 취약점이 해결되었는지 여부를 명시하고, 해결되지 않은 미비점을 구체적으로 식별함

(h)

유의적 미비점과 중요한 취약점에 대하여 경영진이 취한 시정조치를 포함하여, 내부회계관리제도의 변경 또는 내부회계관리제도에 유의적으로 영향을 미칠 수 있는 다른 상황이 평가기준일 후에 후속적으로 존재했는지 여부를 명시함

문단 62

경영진이 문단 61에서 요구되는 서면진술을 제공하지 않으면, 감사인은 문단 78에 따른 요구사항을 적용하여야 한다. (문단 A90 참조)

내부회계관리제도 관련 사항의 커뮤니케이션

문단 63

감사인은 통합감사 중에 시정되었거나 이전에 커뮤니케이션 되었으나 아직 시정되지 않은 유의적 미비점과 중요한 취약점을 포함하여, 통합감사 중 식별된 유의적 미비점과 중요한 취약점을 경영진과 지배기구에게 서면으로 커뮤니케이션하여야 한다. (문단 A91-A93 참조)

문단 64

감사인이 기업의 재무보고 및 내부회계관리제도에 대한 지배기구의 감시가 비효과적이라고 결론을 내리면, 감사인은 해당 결론을 이사회(또는 다른 유사한 기구)에 서면으로 커뮤니케이션하여야 한다.

문단 65

문단 63-64에서 언급된 서면 커뮤니케이션은 적시에 그리고 내부회계관리제도에 대한 감사보고서가 발행되기 이전에 이루어져야 한다.

문단 66

감사인은 통합감사 중에 식별한 내부회계관리제도의 모든 미비점을 경영진에게 서면으로 적시에, 감사보고서 발행 이전에 커뮤니케이션하여야 하며, 이러한 커뮤니케이션이 언제 수행되었는지 혹은 언제 수행될 예정인지를 지배기구에 알려야 한다. 이 문단에 언급된 서면 커뮤니케이션을 할 때, 감사인은 이전의 서면 커뮤니케이션에 포함되어 있는 미비점에 관한 정보를 반복할 필요가 없다. 이전의 커뮤니케이션이 감사인, 내부감사인 또는 조직 내의 다른 누군가에 의해 수행되었는지는 관계가 없다. (문단 A94–A95 참조)

문단 67

통합감사는 감사인이 중요한 취약점보다 덜 심각한 모든 미비점을 식별하였다는 합리적인 확신을 감사인에게 제공하지 않는다. 따라서 감사인은 통합감사 중에 식별된, 중요한 취약점보다 덜 심각한 미비점이 없다고 명시하는 보고서를 발행해서는 안 된다. 또한, 감사인은 기업의 내부회계관리제도의 효과성에 대해 의견을 표명하는 보고서를 발행하기 때문에, 감사인이 통합감사 중 중요한 취약점이 식별되지 않았음을 나타내는 보고서를 발행해서는 안 된다.

문단 68

내부회계관리제도를 감사할 때, 감사인은 부정 혹은 가능한 불법행위를 인지하게 될 수 있다. 그러한 상황에서, 감사인은 감사기준서 250 "재무제표감사에서의 법률과 규정의 고려'와 외부감사법 제22조에 따라 감사인의 책임을 결정하여야 한다.

내부회계관리제도에 대한 보고

문단 69

내부회계관리제도 감사보고서는 재무제표 감사보고서와 별도로 작성되어야 하며 다음의 요소를 포함하여야 한다. 12)

제목 (a) 감사보고서 제목은 독립된 감사인의 감사보고서임을 명확히 나타내기 위하여 “독립된(independent)” 문구를 포함하여야 한다.

수신인 (b) 감사보고서는 해당 감사의 상황에 기초하여 적합한 수신인을 기재하여야 한다.

내부회계관리제도에 대한 의견 (c) 감사보고서의 첫 번째 단락의 제목은 “ 내부회계관리제도에 대한 의견” 으로 하고, 다음 요소를 기술하여야 한다.

내부회계관리제도 감사대상 기업의 이름

통제 준거기준(예를 들어, 『내부회계관리제도 설계 및 운영 개념체계』)에 근거하여, 평가기준일 현재, 중요성의 관점에서 기업이 효과적인 내부회계관리제도를 유지하였는지 여부에 대한 감사의견

내부회계관리제도 감사의견의 근거 (d) 감사보고서의 두 번째 단락의 제목은 “ 내부회계관리제도 감사의견의 근거” 라고 하고, 다음 요소를 기술하여야 한다.

내부회계관리제도감사가 회계감사기준에 따라 수행되었다는 기술

감사기준에 따른 감사인의 책임을 기술하는 감사보고서의 단락 언급

감사인은 감사와 관련된 윤리적 요구사항에 따라 기업으로부터 독립적이며 그러한 요구사항에 따른 윤리적 책임을 이해하였다는 기술(관련 윤리적 요구사항의 원천에 대한 관할지의 표시 또는 국제윤리기준에 대한 언급이 포함되어야 함)

입수한 감사증거가 감사의견의 근거를 제공하기에 충분하고 적합하다고 감사인이 믿는지 여부에 대한 기술

내부회계관리제도에 대한 경영진과 지배기구의 책임 (e) 감사보고서의 세 번째 단락의 제목은 “ 내부회계관리제도에 대한 경영진과 지배기구의 책임”이라고 하고, 다음 사항에 대한 경영진과 지배기구의 책임을 기술하여야 한다.

내부회계관리제도 운영실태보고서에 대한 언급

효과적인 내부회계관리제도를 유지하고 내부회계관리제도의 효과성을 평가할 책임이 경영진에게 있다는 진술

내부회계관리제도를 감시할 책임이 지배기구에게 있다는 진술

내부회계관리제도감사에 대한 감사인의 책임 (f) 감사보고서는 “ 내부회계관리제도감사에 대한 감사인의 책임”이라는 제목의 단락을 포함하고, 다음 사항을 기술하여야 한다. 감사인의 책임을 기술하는 위치는 감사기준서 700 “재무제표에 대한 의견형성과 보고”의 요구사항 13) 을 따른다.

감사인의 책임은 감사에 근거하여 기업의 내부회계관리제도에 대한 의견을 표명하는 것이라는 진술

회계감사기준은 감사인이 중요성의 관점에서 효과적인 내부회계관리제도가 유지되었는지 여부에 대한 합리적인 확신을 얻기 위해 감사를 계획하고 수행할 것을 요구한다는 진술

내부회계관리제도감사가 내부회계관리제도에 대한 이해의 획득, 중요한 취약점이 존재할 위험의 평가, 평가된 위험에 근거한 내부통제의 설계 및 운영의 효과성에 대한 테스트 및 평가, 그리고 감사인이 상황에 따라 필요하다고 판단한 기타 절차의 수행을 포함하였다는 진술

내부회계관리제도의 정의와 한계 (g) 감사보고서의 다섯번째 단락의 제목은 “ 내부회계관리제도의 정의와 한계” 라고 하고, 다음 요소를 포함하여야 한다.

문단 6 용어의 정의에 기술된 내부회계관리제도의 정의

고유한계로 인하여 내부회계관리제도가 왜곡표시를 예방하거나 발견∙수정하지 못할 수 있고, 효과성의 평가를 미래 기간에 투영하는 것은 상황의 변화로 인하여 통제가 부적합하게 될 위험이 있으며, 또는 정책이나 절차의 준수 정도가 저하될 위험이 있을 수 있다는 설명

업무수행이사의 이름 (h) 감사대상 기업이 상장기업인 경우, 업무수행이사의 이름 기재에 관한 내용은 감사기준서 700의 요구사항을 따른다. 14)

감사인의 서명, 감사인의 주소 및 감사보고서일 (i) 감사보고서에는 감사인의 서명이 있어야 한다.

(j) 감사보고서에는 감사인의 소재지를 기재하여야 한다.

(k) 감사보고서일은 문단 71에 따라 기재하여야 한다.

  1. 내부회계관리제도 감사보고서의 수신인, 업무수행이사의 이름, 감사인의 서명, 감사인의 주소 및 감사보고서일은 재무제표 감사보고서와 같아야 한다.
  2. 감사기준서 700 "재무제표에 대한 의견형성과 보고" 문단40-41
  3. 감사기준서 700 문단 45
문단 70

감사인은 재무제표에 대한 감사보고서에 다음 문단을 (의견문단 바로 뒤에) 추가하여야 한다. "우리는 또한 회계감사기준에 따라, [통제준거기준 식별]에 근거한 회사의 20X8년 12월 31일 현재의 내부회계관리제도를 감사하였으며, 20X9년 XX월 XX일자 [재무제표에 대한 보고서일자와 동일한 보고서일자] 감사보고서에서 [의견의 성격 포함]을 표명하였습니다."

감사인은 또한 내부회계관리제도에 대한 감사보고서에 다음 문단을 (의견문단 바로 뒤에) 추가하여야 한다. "우리는 또한 회계감사기준에 따라, 회사의 [재무제표 식별]를 감사하였으며, 20X9년 XX월 XX일자[내부회계관리제도의 효과성에 대한 감사보고서일자와 동일한 보고서일자] 감사보고서에서 [의견의 성격 포함]을 표명하였습니다." (문단 A96 참조)

감사보고서일

문단 71

내부회계관리제도 감사보고서일은 감사의견을 뒷받침하는 충분하고 적합한 증거(감사문서가 검토되었다는 증거를 포함함)를 입수한 날보다 빠르지 않아야 한다. 감사인이 재무제표를 감사하지 않고 내부회계관리제도만을 감사할 수가 없으므로 내부회계관리제도감사와 재무제표감사는 통합되어 진행된다. 따라서 내부회계관리제도 감사보고서일은 재무제표 감사보고서일과과 동일하여야 한다.

감사보고서 변형

문단 72

다음 상황이 존재하는 경우, 감사인은 내부회계관리제도 감사보고서를 변형하여야 한다. (a) 하나 이상의 중요한 취약점이 존재함

(b) 내부회계관리제도 운영실태보고서의 구성요소가 불완전하거나 부적절하게 표시되어 있음

(c) 업무의 범위에 제한이 존재함 (문단 A97 참조)

(d) 내부회계관리제도 운영실태보고서에 문단 A83의 추가정보가 포함되어 있음

부적정의견

문단 73

평가기준일 현재에 개별적으로 혹은 결합적으로 하나 이상의 중요한 취약점이 존재한다면, 감사인은 업무 범위에 대한 제한이 없는 한, 내부회계관리제도에 대해 부적정의견을 표명하여야 한다. (문단 A98–A99 참조)

문단 74

하나 이상의 중요한 취약점 때문에 내부회계관리제도가 효과적이지 않아 내부회계관리제도에 대하여 부적정의견을 표명할 때, 감사보고서는 다음을 포함하여야 한다. • 문단 6에서 정한 중요한 취약점의 정의

• 하나 이상의 중요한 취약점이 식별되었다는 진술과, 해당 중요한 취약점이

내부회계관리제도 운영실태보고서에 기술되어 있다는 언급 (문단 A100 참조)

문단 75

하나 이상의 중요한 취약점이 감사보고서에 첨부되는 내부회계관리제도 운영실태보고서에 포함되지 않았다면, 감사보고서는 하나 이상의 중요한 취약점이 식별되었으나 내부회계관리제도 운영실태보고서에 포함되지 않았음을 언급하도록 변형되어야 한다. 또한, 감사보고서는 내부회계관리제도 운영실태보고서에 포함되지 않은 각각의 중요한 취약점에 대한 설명을 포함하여야 한다. 이 설명은 중요한 취약점의 성격과 중요한 취약점이 존재하였던 기간에 발행된 기업의 재무제표의 표시에 중요한 취약점이 미치는 실질적 그리고 잠재적 영향에 대한 구체적인 정보를 감사보고서 이용자에게 제공하여야 한다. 이 경우, 감사인은 또한 내부회계관리제도 운영실태보고서에 하나 이상의 중요한 취약점이 보고되지 않았거나 중요한 취약점으로 식별되지 않았음을 지배기구에 서면으로 커뮤니케이션하여야 한다. 만약 내부회계관리제도 운영실태보고서에 중요한 취약점이 포함되었으나, 감사인이 중요한 취약점의 공시가 중요성의 관점에서 공정하게 표시되지 않았다고 결론을 내리면, 해당 중요한 취약점을 공정하게 기술하는데 필요한 정보뿐 아니라 해당 결론을 감사보고서에 기술하여야 한다.

문단 76

감사인은 내부회계관리제도에 대한 부적정의견이 재무제표에 대한 감사의견에 미치는 영향을 결정하여야 한다. 또한, 감사인은 내부회계관리제도에 대한 부적정의견이 재무제표에 대한 감사의견에 영향을 미쳤는지 여부를 공시하여야 한다. (문단 A101 참조)

내부회계관리제도 운영실태보고서의 구성요소가 불완전하거나 부적절하게 표시되어 있는 경우

문단 77

만약 문단 59에 기술된 내부회계관리제도 운영실태보고서의 필수 구성요소가 불완전하거나 부적절하게 표시되어 있다고 감사인이 결정하고, 경영진이 이를 수정하지 않는다면, 감사인은 내부회계관리제도 감사보고서를 변형하여 해당 결정의 사유를 기술하는 기타사항문단을 포함하여야 한다. 만약 감사인이 중요한 취약점에 대하여 요구된 공시가 중요성의 관점에서 공정하게 표시되지 않았다고 결정한다면, 감사인은 문단 75의 요구사항을 적용하여야 한다.

범위제한

문단 78

감사인은 감사업무 범위에 대한 제한이 없는 경우에만 내부회계관리제도의 효과성에 대한 의견을 형성할 수 있다. 만약 통합감사 업무를 수임한 후에, 내부회계관리제도감사의 업무범위에 대한 제한이 있다면, 감사인은 법규에 의해 가능한 경우 통합감사 계약을 해지하거나 내부회계관리제도에 대한 의견을 거절하여야 하고, 재무제표 감사에 미치는 영향을 고려하여야 한다.

문단 79

경영진이 내부회계관리제도의 효과성에 대한 경영진의 서면진술의 제공을 거부함으로 인해 감사범위의 제한이 발생되는 경우, 감사인은 통합감사 계약을 해지하여야 한다. 감사계약의 해지가 관련 법규에 의해 가능하지 않은 경우, 감사인은 내부회계관리제도에 대한 의견을 거절하여야 한다. 또한, 감사인은 경영진의 서면진술 제공 거부가 다른 진술서들(기업의 재무제표감사를 수행할 때 입수한 진술서들을 포함함)에 대해 감사인이 의존할 수 있는 능력에 미치는 영향을 평가하는 것을 포함하여, 재무제표 감사에 미치는 영향을 고려하여야 한다.

문단 80

범위제한으로 의견을 거절하는 경우, 감사인은 감사범위가 감사의견을 표명하는데 충분하지 않았다는 내용과 의견거절의 실질적인 사유를 기술하여야 한다. 감사인은 수행된 절차를 식별하거나 문단 69(f)에 기재된 것과 같이, 내부회계관리제도감사의 특성을 기술하는 문구를 포함해서는 안 된다. 그렇게 하는 것은 의견거절의 취지를 흐릴 수 있다. (문단 A102-103 참조)

문단 81

감사인이 의견거절을 하는 상황에서 감사인이 수행한 제한된 절차에 의해 하나 이상의 중요한 취약점이 존재한다는 결론을 내리게 된 경우, 감사보고서에는 또한 다음 내용이 포함되어야 한다. • 문단 6에서 정한 중요한 취약점의 정의

• 기업의 내부회계관리제도에서 식별된 중요한 취약점에 대한 설명. 이 설명은 감사보고서 이용자에게 중요한 취약점의 성격에 대한 구체적인 정보와, 해당 취약점이 존재하는 동안에 발행된 기업의 재무제표의 표시에 해당 취약점이 미치는 실제적이고 잠재적인 영향에 대한 구체적인 정보를 제공하여야 한다. 이 설명은 또한 문단 74의 요구사항을 적용하여야 한다.

감사인은 또한 문단 76의 요구사항도 적용하여야 한다. (문단 A99 참조)

문단 82

만약 감사인이 감사범위에 대한 제한이 존재하여 감사의견을 표명할 수 없다고 결론을 내리면, 감사인은 내부회계관리제도감사가 만족스럽게 완료될 수 없음을 경영진과 지배기구에 서면으로 커뮤니케이션하여야 한다.

추가정보

문단 83

경영진은 내부회계관리제도 운영실태보고서 내 또는 동 보고서를 포함하는 문서 내에, 감사인의 평가대상에 해당하는 문단 59에 기술된 요소 외에 추가정보를 포함할 수 있으며, 이 경우, 감사인은 다음을 수행하여야 한다. (a) 내부회계관리제도 운영실태보고서에 추가정보가 포함된 경우, 감사인은 기타사항문단에서 해당 정보에 대한 의견을 거절하여야 한다. (문단 A105 참조)

(b) 추가정보가 내부회계관리제도 운영실태보고서와 관련 감사보고서를 포함하는 문서 내에서 내부회계관리제도 운영실태보고서 외의 다른 부분에 포함되어 있고, 감사인이 경영진의 추가정보가 내부회계관리제도 운영실태보고서와의 명백한 중요한 불일치사항과 사실의 중요한 왜곡표시를 포함하고 있다고 믿는다면, 감사인은 해당 사항을 경영진과 논의하여야 한다. 만약, 경영진과의 논의 후에도, 감사인이 사실의 중요한 왜곡표시가 남아있다고 결론을 내리면, 감사인은 감사기준서 720의 요구사항을 적용하여야 한다. 또한, 외부감사법 제22조에 의해 감사인이 추가적인 조치를 취해야 할 수도 있다. 15) (문단 A106 참조)

  1. 외부감사법 제22조(부정행위 등의 보고)

특별 주제

부문이 다수인 기업

문단 84

통제테스트를 수행할 부문을 결정할 때, 그룹업무팀은 해당 부문과 관련한 재무제표의 중요왜곡표시위험을 평가하고 해당 부문과 관련한 위험에 상응하는 정도의 주의를 기울여야 한다. (문단 A107-A108 참조)

문단 85

위험을 평가하고 위험에 대응하는데 있어서, 그룹업무팀은 그룹재무제표에 중요한 왜곡표시를 발생시킬 가능성이 낮지 않은(more than remote) 특정 위험에 대한 통제를 테스트하거나, 부문감사인이 그룹업무팀을 대신하여 테스트하도록 하여야 한다. (문단 A109 참조)

문단 86

후속년도 감사에 대한 특별 고려사항에 관한 문단 46의 요구사항을 적용함에 있어서, 그룹업무팀은 부문에 대한 통제테스트의 성격, 시기 및 범위에 해마다 변화를 주어야 한다.

특별한 상황

문단 87

지분법을 적용하는 경우, 감사 범위는 해당 재무보고체계에 따른 기업 재무제표상의 보고(피투자자의 손익에 대한 기업 지분∙투자잔액∙손익과 투자잔액에 대한 조정사항 및 관련 공시에 대한 보고를 말함)에 대한 통제를 포함하여야 한다. (문단 A110 참조)

문단 88

문단 89에서 기술한 내용을 제외하고, 감사 범위는 평가기준일 이전에 취득한 기업 및 평가기준일에 중단사업으로 회계처리되어 해당 재무보고체계에 따라 기업의 재무제표에 반영된 사업을 포함하여야 한다.

문단 89

『내부회계관리제도 평가 및 보고 적용기법』에 의해 경영진 평가에서 특정 부문을 제외하는 것이 허용되는 상황에서는, 감사인도 이와 동일한 방식으로 해당 부문을 감사에서 제외할 수 있다. 이 경우는 감사의견 표명과 관련된 범위제한에 해당되지 않는다. 그러나, 감사인은 내부회계관리제도에 대한 경영진 평가 및 감사인의 감사 범위에서 해당 부문이 제외된 점에 관하여 경영진의 공시와 유사한 공시를 감사보고서의 기타사항문단 또는 감사의견의 근거 단락의 일부로 포함하여야 한다. 또한, 감사인은 해당 상황이 『내부회계관리제도 평가 및 보고 적용기법』이 허용하는 제외기준을 충족한다는 경영진의 결론의 합리성과 이러한 제외와 관련하여 요구되는 공시의 적합성을 평가하여야 한다. (문단 A111 참조)

문단 90

감사인이 해당 제외와 관련된 경영진의 공시가 변경되어야 한다고 판단하는 경우, 감사인은 해당 사항을 적합한 직위의 경영진에게 커뮤니케이션하여야 한다. 만약, 감사인이 판단하기에, 경영진이 합리적인 기간 내에 감사인의 커뮤니케이션에 적합하게 대응하지 않는다면, 감사인은 해당 사항을 가능한 빨리 지배기구에 알려야 한다. 경영진과 지배기구가 적합하게 대응하지 않는 경우, 감사인은 감사인이 경영진의 공시로 인해 내부회계관리제도 감사보고서를 변형해야 한다고 판단한 이유를 기타사항문단에 기술하여야 한다.

서비스조직의 활용

문단 91

기업이 서비스조직의 서비스를 활용하는 경우, 감사인은 기업의 내부회계관리제도의 효과성에 대한 감사의견을 뒷받침하기 위하여 요구되는 증거를 결정할 때, 해당 서비스조직의 활동을 포함하여야 한다. (문단 A112-A113 참조)

문단 92

감사인은 서비스조직이 수행하는 활동에 관하여 감사기준서 402 "서비스조직을 이용하는 기업에 관한 감사 고려사항"의 절차를 수행하도록 요구된다. 16) 내부회계관리제도 감사 시, 감사인은 또한 내부회계관리제도 감사의견과 관련된 서비스조직의 통제가 효과적으로 운영되는지에 대한 증거를 획득하여야 한다. (문단 A114-A116 참조) 16) 감사기준서 402 "서비스조직을 이용하는 기업에 관한 감사 고려사항" 문단 9-19

문단 93

만약 감사인이 통제가 효과적으로 운영된다는 감사증거로 유형 2 보고서를 사용하기로 계획한다면, 감사인은 다음을 평가함으로써, 유형 2 보고서가 감사의견을 뒷받침하는 통제효과성에 관한 충분하고 적합한 감사증거를 제공하는지 여부를 결정하여야 한다.

(a)

통제테스트 대상기간 및 이 대상기간과 평가기준일과의 관계

(b)

서비스감사인의 업무범위 및 포함되는 서비스와 프로세스의 범위, 테스트된 통제와 수행된 테스트, 그리고 테스트된 통제와 기업의 통제가 관련되는 방식

(c)

통제테스트의 결과 및 통제의 운영효과성에 대한 서비스감사인의 감사의견 (문단 A117 참조)

문단 94

감사인은 유형 2 보고서에 식별된 보충적인 이용자기업 통제가 중요왜곡표시위험에 대처하는 데 있어서 관련성이 있는지 여부를 결정하여야 한다. 만약 관련성이 있다면, 관련 보충적인 이용자기업 통제의 설계와 실행을 평가하고 그 운영 효과성을 테스트하여야 한다. (문단 A118 참조)

문단 95

유형 2 보고서가 내부회계관리제도 감사의견을 뒷받침할 충분하고 적합한 감사증거를 제공하는지 여부를 결정할 때, 감사인은 다음 사항에 만족하여야 한다.

(a)

서비스감사인의 전문가적 적격성과 서비스조직으로부터의 독립성 (문단 A119 참조)

(b)

유형 2 보고서가 발행되었을 때 적용된 기준의 적절성 (문단 A120 참조)

문단 96

감사인은 경영진이 서비스감사인의 보고서 대상기간 후에 후속적으로 발생한 서비스조직 통제의 변경을 식별하였는지 여부를 결정하기 위하여 경영진에게 질문하여야 한다. 만약 경영진이 이러한 변경을 식별하였다면, 감사인은 그러한 변경의 효과가 기업의 내부회계관리제도의 효과성에 미치는 영향을 평가하여야 한다. 감사인은 또한 감사인이 수행한 다른 절차의 결과가 서비스조직의 통제에 변경이 존재해 있었음을 나타내는지 여부를 평가하여야 한다. (문단 A121 참조)

문단 97

감사인은 경영진 또는 감사인이 수행한 절차와 그 절차의 결과에 근거하고 다음의 위험요소에 대한 평가에 근거하여 서비스조직 통제의 운영효과성에 대한 추가적인 증거를 입수할 지 여부를 결정하여야 한다. 위험이 증가할수록, 감사인이 추가적인 증거를 입수할 필요성도 증가한다. • 서비스감사인의 보고서상 통제테스트 대상기간과 평가기준일 사이에 경과한 기간

• 서비스조직 활동의 유의성

• 서비스조직의 프로세스수행에서 식별된 오류가 있는지 여부

• 경영진 또는 감사인에 의해 식별된 서비스조직 통제상 변경의 성격 및 유의성 (문단 A122 참조)

문단 98

서비스감사인의 보고서상 통제테스트 대상기간과 평가기준일 사이에 상당한 기간이 경과한 경우, 내부회계관리제도 감사의견과 관련된 서비스조직 통제의 운영효과성에 대하여 충분하고 적합한 감사증거를 얻기 위하여 추가적인 절차가 수행되어야 한다.

문단 99

감사인은 내부회계관리제도에 대한 감사의견을 표명할 때 서비스감사인의 보고서를 언급하여서는 안 된다.

자동화된 통제의 벤치마킹

문단 100

자동화된 응용통제의 테스트를 위하여 벤치마킹 전략을 사용할지 여부를 결정하기 위해, 감사인은 다음의 위험요소를 평가하여야 한다.

(a)

응용통제가 응용프로그램 내에 정의된 프로그램과 일치하는 정도

(b)

응용프로그램이 안정된 정도 (즉, 기간마다 변경이 거의 없음)

(c)

실행중인 프로그램의 변경일자 (compilation dates)에 대한 보고서의 이용가능성 및 신뢰성 (문단 A123-A126 참조)

문단 101

벤치마킹 전략을 사용할 때, 감사인은 자동화된 응용통제가 변경되지 않았음을 결정하기 위한 증거를 획득하여야 한다. (문단 A127-A128 참조)

문단 102

일정 기간 경과 후(상황에 따라 그 기간의 길이가 달라짐), 자동화된 응용통제의 운영의 출발점이 재설정되어야 한다. 출발점을 언제 재설정 하는지를 결정하기 위하여, 감사인은 다음 요소를 평가하여야 한다.

(a)

정보기술 통제환경 (응용프로그램 및 시스템 소프트웨어의 취득과 유지에 대한 통제, 접근통제 및 컴퓨터 운영을 포함함)의 효과성

(b)

통제를 포함하고 있는 특정 프로그램의 변경의 성격에 대한 감사인의 이해

(c)

그밖에 관련된 테스트의 성격과 시기

(d)

벤치마크된 응용통제와 관련된 오류가 미치는 영향

(e)

변경되었을 수 있는 다른 사업요소에 통제가 민감한지 여부. (문단 A129 참조)

적용 및 기타 설명자료

목적 (문단 5 참조)

문단 A1

합리적인 확신을 얻기 위한 감사인의 목적과 관련된 추가적인 설명은 감사기준서 200, "독립된 감사인의 전반적인 목적 및 감사기준에 따른 감사의 수행"에서 다룬다. 17) 17) 감사기준서 200 "독립된 감사인의 전반적인 목적 및 감사기준에 따른 감사의 수행" 문단5

문단 A2

효과적인 내부회계관리제도는 재무보고의 신뢰성과 해당 재무보고체계에 따른 재무제표의 작성에 대한 합리적인 확신을 기업에 제공한다. 하나 이상의 중요한 취약점이 존재하는 경우 기업의 내부회계관리제도는 효과적이라고 간주될 수 없다. 이 기준에서 요구하는 기업의 내부회계관리제도의 효과성에 대한 평가는 모든 관련성있는 통제목적을 포괄한다; 따라서, 내부회계관리제도에서 하나의 중요한 취약점을 식별하였더라도 감사인이 기업의 내부회계관리제도의 모든 관련성있는 통제목적의 효과성을 평가하는 절차를 중단하는 것은 정당화되지 않는다.

문단 A3

감사인이 개별적으로 혹은 결합하여, 중요한 취약점보다 덜 심각한 미비점을 식별하기 위해 통합감사를 계획하고 수행할 의무는 없다.

용어의 정의 (문단 6 참조)

내부회계관리제도

문단 A4

통합감사의 일부로 감사인이 수행하는 절차는 기업의 내부회계관리제도의 일부가 아니다.

준거기준

문단 A5

이 감사기준서에서, 인증대상(즉, 감사대상)은 내부회계관리제도이다.

문단 A6

감사인은 내부회계관리제도감사를 수행할 때 내부회계관리제도 운영실태에 관한 보고내용이 외부감사법의 요구사항을 포함하여 "내부회계관리제도 평가 및 보고 모범규준"에 따라 작성되었는지를 평가한다.

중요한 취약점

문단 A7

감사기준서 265 “내부통제 미비점에 대한 지배기구와 경영진과의 커뮤니케이션” 은 내부통제의 미비점(Deficiency in internal control)과 내부통제의 유의적 미비점(Significant deficiency in internal control)에 대한 용어의 정의를 포함하고 있다. 18) 또한 『내부회계관리제도 평가 및 보고 모범규준』에서는 중요한 취약점에 대한 추가 설명을 제공하고 19) 내부회계관리제도의 미비점을 설계의 미비점과 운영의 미비점으로 구분하여 설명하고 있다. 20) 18) 감사기준서 265 "내부통제 미비점에 대한 지배기구와 경영진과의 커뮤니케이션" 문단6 19) 『내부회계관리제도 평가 및 보고 모범규준』 문단16에서 내부회계관리제도의 중요한 취약점(Material weakness)은 내부통제의 중요한 미비점(Major deficiency)에 수준에 대응한다고 설명 20) 『내부회계관리제도 평가 및 보고 모범규준』 문단15

내부회계관리제도감사의 전제조건 (문단 7 참조)

문단 A8

경영진은 통제와 통제가 달성하고자 하는 통제목적을 식별하고 문서화할 책임이 있다. 그러한 문서화는 내부회계관리제도에 대한 경영진 평가의 근거가 된다. 해당 통제에 대한 변경을 포함한, 통제 설계의 문서화는 내부회계관리제도에 대한 경영진 평가의 기초가 되는 통제가 다음과 같다는 증거이다.

통제가 식별됨

통제의 수행에 대한 책임을 지는 사람에게 통제에 대해 커뮤니케이션될 수 있음

통제가 기업에 의해 모니터링되고 평가될 수 있음

문단 A9

경영진의 문서화는 다양한 형태를 띤다. 기업 정책매뉴얼, 회계매뉴얼, 서술형식의 메모, 업무흐름도, 의사결정표(decision tables), 절차상의 기록 또는 작성완료된 질문서 등이 있다. 문서화의 형태에 대하여 특별히 규정된 바가 없으며, 문서화의 범위는 기업의 규모와 복잡성과 기업의 모니터링 활동에 따라 변경될 수 있다.

문단 A10

경영진의 모니터링 활동은 또한 내부회계관리제도에 대한 경영진 평가를 뒷받침하는, 내부회계관리제도의 설계 및 운영 효과성에 대한 증거를 제공할 수 있다. 통제의 모니터링은 지속적으로 내부회계관리제도 수행의 효과성을 평가하는 프로세스이다. 이는 적시에 통제의 효과성을 평가하고, 조직 내의 적합한 개인에게 미비점을 식별하여 보고하며, 그리고 필요한 시정조치를 취하는 것을 포함한다. 경영진은 상시적인 평가나 별도의 평가 또는 이 두 가지를 결합하여 통제의 모니터링을 달성한다.

문단 A11

상시적인 평가는 종종 기업의 정상적인 반복활동에 내재되어 있고 정규적인 경영 및 감독 활동을 포함한다. 상시적인 평가의 정도와 효과성이 클 수록, 별도의 평가를 할 필요가 줄어든다. 경영진은 상시적인 평가와 별도의 평가를 결합하여 수행할 수 있다. 별도의 평가의 범위와 빈도는 경영진의 판단사항이다.

문단 A12

적합한 준거기준은 내부회계관리제도 운영실태보고서 이용자에게 적절하고 이용가능하다. 적합한 준거기준은 다음의 특성을 모두 나타낸다.

관련성. 준거기준은 내부회계관리제도와 관련성이 있다.

객관성. 준거기준은 편향되지 않는다.

측정가능성. 준거기준은 내부회계관리제도에 대하여 양적으로나 질적으로, 합리적으로 일관되게 측정된다.

완전성. 준거기준은 해당 준거기준에 따라 작성된 내부회계관리제도의 효과성에 대한 평가가, 의도된 이용자가 내부회계관리제도 운영실태보고서에 근거하여 내리는 의사결정에 영향을 미칠 것으로 합리적으로 기대되는 관련 요인을 누락하지 않는 경우에 완전하다.

문단 A13

내부회계관리제도운영위원회가 공표한 “내부회계관리제도 설계 및 운영 개념체계(이하 “내부회계관리제도 개념체계”)는 경영진이 기업의 내부회계관리제도의 효과성을 평가하고 보고할 수 있는 적합하고 이용가능한 준거기준을 제공한다. 내부회계관리제도 개념체계는 경영진이 보다 적절하다고 판단하는 경우 다른 내부통제체계(예를 들어, COSO Framework(미국) 등 외부감사법 제8조의 정의에 부합하는 기타 기준)를 선택하여 일반적으로 인정되는 내부통제체계로 사용하는 것을 허용하고 있다. 만약 경영진이 다른 체계를 선택하는 경우에는, 경영진이 선택한 체계의 적합성 평가에 관한 지침을 위해 문단 A12를 참조한다.

문단 A14

내부통제는 경영진이 사용하는 체계에서 정의하는 바와 같이, 내부회계관리제도보다 더 광범위하게 정의될 수 있다. 그러나, 이 기준은 오직 내부회계관리제도에 대해서만 초점을 맞춘다.

내부회계관리제도감사와 재무제표감사의 통합 (문단 10-15 참조)

문단 A15

재무제표감사 목적으로 통제의 운영효과성을 뒷받침하는 충분하고 적합한 증거를 입수하는 경우, 통상적으로 감사인은 그렇지 않았다면 재무제표에 대한 의견표명을 위해 필요했을 수도 있는 실증절차를 완화할 수 있다.

어떤 상황에서, 특히 소규모 기업의 감사를 수행할 때, 감사인이 재무제표감사 목적으로는 통제위험이 낮다고 평가하지 않기로 결정할 수 있다. 그러한 상황에서, 통제의 운영효과성에 대한 감사인의 테스트는 주로 보고기간말 기준으로 기업의 내부회계관리제도가 효과적인지 여부에 대한 감사의견을 뒷받침하기 위하여 수행될 것이다.

문단 A16

감사기준서 500 “감사증거”는 충분하고 적합한 감사증거의 입수에 관해 추가적인 설명을 제공한다.

문단 A17

재무제표에 대한 의견을 표명하기 위하여 감사인은 일반적으로 통제테스트와 실증절차를 수행한다. 이 목적을 위해 감사인이 수행하는 통제테스트의 목적은 통제위험을 평가하는 것이다. 특정 재무제표주장에 대한 통제위험을 최대보다 낮게 평가하기 위해서는, 감사인이 해당 통제에 의존하기로 계획한 ‘전체기간’ 동안 관련 통제가 효과적으로 운영되었다는 증거를 입수하도록 감사인에게 요구된다. 그러나, 감사인은 ‘모든’ 관련경영진주장에 대한 통제위험을 최대보다 낮게 평가하도록 요구되지는 않으며, 다양한 이유로 감사인이 그렇게 하지 않기로 선택할 수 있다.

문단 A18

통제테스트의 결과를 고려하여 감사인은, 특히 식별된 미비점에 대응하여 실증절차의 성격, 시기 및 범위를 변경하고 추가적인 통제테스트를 계획하고 수행할 수 있다.

내부회계관리제도감사계획의 수립 (문단 16 참조)

문단 A19

다음 사항이 기업의 재무제표와 내부회계관리제도에 중요한지 여부와, 중요하다면 감사절차에 어떻게 영향을 미칠 것인지를 평가하는 것은 감사인이 내부회계관리제도 감사계획을 수립할 때 도움을 줄 수 있다.

감사인이 다른 업무를 수행하는 과정 또는 해당되는 경우, 전임감사인의 업무조서를 검토하는 과정에서 획득한 기업의 내부회계관리제도에 대한 지식

기업이 속한 산업에 영향을 미치는 사항 (예, 재무보고관행, 경제적 상황, 법규 및 기술적 변화)

기업 조직, 경영특성 및 자본구조를 포함한, 기업의 사업과 관련된 사항

기업, 기업 운영 또는 기업의 내부회계관리제도의 최근 변화 정도

재무제표 중요성, 위험 및 중요한 취약점의 결정과 관련된 기타 요소에 대한 감사인의 예비적 판단

지배기구 또는 경영진과 이전에 커뮤니케이션된 미비점

기업이 인지하고 있는 법규사항

기업의 내부회계관리제도의 효과성과 관련하여 이용가능한 증거의 유형과 범위

내부회계관리제도의 효과성에 대한 예비적 판단

재무제표의 중요한 왜곡표시 가능성과 기업의 내부회계관리제도의 효과성에 대한 평가와 관계 있는 기업 관련 공개정보

감사인의 의뢰인 수용과 유지 평가의 일환으로 평가된 기업 관련 위험에 관한 지식

기업 운영의 상대적 복잡성

위험평가의 역할 (문단 17 참조)

문단 A20

위험평가는 이 기준에서 기술하는 전체 내부회계관리제도감사 프로세스(유의적인 거래유형, 계정잔액, 공시 및 관련경영진주장의 결정, 테스트할 통제의 선정, 그리고 정해진 통제의 효과성에 대한 결론을 내리는데 필요한 증거의 결정을 포함함)의 근간이 된다. 감사기준서 315에서 기술하는 위험평가절차는 재무제표감사와 내부회계관리제도 감사 모두를 뒷받침한다.

감사의 범위조정

문단 A21

기업의 규모와 복잡성, 사업프로세스 및 구조는 기업이 많은 통제목적을 달성하는 방식에 영향을 미칠 수 있다. 많은 소규모 기업의 운영은 덜 복잡하다. 그리고 일부 대규모의 복잡한 기업들도 덜 복잡한 사업 단위나 프로세스로 구성되어 있을 수 있다. 덜 복잡한 운영으로 볼 수 있는 요소들은 소수의 사업부문, 덜 복잡한 사업프로세스와 재무보고 시스템, 더 중앙 집중화된 회계 기능, 일일 업무 활동에 대한 고위 경영진의 광범위한 관여, 경영진의 단계가 더 적고 각 경영진의 통제범위가 넓은 경우를 포함한다. 따라서, 소규모의 덜 복잡한 기업이나 대규모의 덜 복잡한 기업도 더 복잡한 기업과 상이한 방식으로 통제목적을 달성할 수 있다.

문단 A22

기업의 규모와 복잡성, 사업프로세스 및 구조는 또한 감사인의 위험평가와 그러한 위험에 대처하기 위해 필요한 절차와 필요한 통제의 결정에 영향을 미칠 수 있다. 감사의 범위를 조정하는 것은 위험 기반 접근법의 정상적인 확장으로서 가장 효과적이며 모든 기업의 감사에 적용 가능하다.

부정위험에 대한 대처 (문단 18-19 참조)

문단 A23

감사기준서 240은 부정으로 인한 중요왜곡표시위험의 식별과 평가를 다룬다.21) 이 위험에 대처하는 통제는 다음을 포함한다.

유의적인 비경상적 거래, 특히 지연되거나 비경상적인 분개를 발생시키는 거래에 대한 통제

보고기간말 재무보고 프로세스에서 이루어진 분개 및 조정사항에 대한 통제

특수관계자 거래에 대한 통제

유의적인 경영진 추정치와 관련된 통제

경영진이 재무실적을 조작하거나 부적합하게 다룰 유인이나 압박을 완화시키는 통제

  1. 감사기준서 240 문단 25–27 참조

내부감사인이 수행한 업무의 활용(문단 20-21 참조)

문단 A24

문단 20에서 요구하는 이해를 얻는데 필요한 절차의 범위는 그러한 활동의 성격에 따라 달라질 것이다. 위험평가 절차를 수행할 때, 감사인은 내부감사기능(만약 그러한 기능이 존재한다면) 내의 적합한 개인에게 질문을 하도록 요구된다. 22) 감사기준서 315는 그러한 질문과 그러한 질문에 대한 답변을 기초로한 특정 추가적인 절차에 관한 지침을 제공한다. 23) 22) 감사기준서 315 문단 6a 23) 감사기준서 315 문단A9–A13

문단 A25

내부회계관리제도감사에서, 외부감사인은 감사증거를 입수할 때 내부감사기능이 수행한 업무를 활용할 수 있다. 통합감사에서, 감사인은 또한 재무제표감사 목적으로 통제위험의 평가를 뒷받침할 증거를 입수하기 위해 내부감사인이 수행한 업무를 활용할 수 있다.

문단 A26

통제와 연관된 위험이 증가할수록, 해당 통제에 대해 감사인이 직접 업무를 수행할 필요성이 증가한다(예를 들어, 특정 부정위험을 다루는 통제에 대해서는, 내부감사기능이 수행한 업무를 활용할 수는 있겠지만 그 활용이 제한될 것이다).

중요성 (문단 22 참조)

문단 A27

감사기준서 320, "감사의 계획수립과 수행에 있어서의 중요성"은 중요성에 대한 추가적인 설명을 제공한다.

하향식 접근법의 사용 (문단 23 참조)

문단 A28

하향식 접근법은 위험과 테스트 대상 통제를 식별함에 있어서 감사인의 순차적인 사고프로세스를 기술하는 것으로, 감사인이 감사절차를 수행할 순서일 필요는 없다.

문단 A29

하향식 접근법은 다음을 포함한다.

재무제표수준에서 시작함

내부회계관리제도의 전반적인 위험에 대한 감사인의 이해를 사용함

전사적 수준 통제에 초점을 둠

유의적인 거래유형, 계정잔액, 공시 및 관련경영진주장으로 업무를 옮겨감

재무제표에 중요한 왜곡표시가 존재할 가능성이 낮지 않음을 나타내는 거래유형, 계정, 공시 및 경영진주장으로 감사인의 주의를 기울이게 함

기업의 프로세스 내에 존재하는 위험에 대한 감사인의 이해를 검증함

각각의 관련경영진주장에 대한 평가된 왜곡표시위험에 충분히 대처하는 통제를 테스트 대상으로 선정함

전사적 수준 통제 (문단 24 참조)

문단 A30

전사적 수준 통제에 대한 감사인의 평가는 감사인이 다른 통제에 대해 수행했을 수도 있는 테스트를 늘리거나 줄이는 결과를 발생시킬 수 있다.

문단 A31

전사적 수준 통제에는 다음이 포함된다 -

통제환경과 관련된 통제

경영진 무력화에 대한 통제;

기업의 위험 평가프로세스;

공유서비스 환경을 포함한, 중앙 집중화된 프로세스 및 통제;

운영 결과를 모니터링 하는 통제;

내부감사기능, 지배기구 및 자가 평가 프로그램의 활동을 포함한, 다른 통제를 모니터링 하는 통제;

보고기간말 재무보고 프로세스에 대한 통제;

유의적인 사업위험에 대처하는 프로그램과 통제

문단 A32

전사적 수준 통제는 그 성격과 정밀함이 다양하다 –

통제환경 통제와 같은 일부 전사적 수준 통제는 왜곡표시를 적시에 예방하거나 발견∙ 수정할 가능성에 중요하지만 간접적인 영향을 미친다. 이 통제들은 감사인이 테스트를 위해 선정한 다른 통제와 감사인이 다른 통제에 대해 수행하는 절차의 성격, 시기 및 범위에 영향을 미칠 수 있다.

일부 전사적 수준 통제는 다른 통제의 효과성을 모니터링한다. 그러한 통제는 더 하위 수준의 통제 내에서 발생가능한 와해(breakdown)를 식별할 수 있도록 설계되었을 수 있으나, 그 통제 자체로 관련경영진주장에 대한 중요한 왜곡표시가 적시에 예방되거나 발견∙수정될 것이라고 평가된 위험에 충분히 대처할 정도로 정밀한 수준이 아닐 수 있다. 이 통제가 효과적으로 운영될 때, 감사인이 다른 통제에 대한 테스트를 줄이는 것이 허용될 수 있다.

일부 전사적 수준 통제는 하나 이상의 관련경영진주장의 왜곡표시를 적시에 적절하게 예방하거나 발견∙수정할 정도의 정밀한 수준으로 운영되도록 설계되었을 수 있다. 전사적 수준 통제가 평가된 중요왜곡표시위험에 충분히 대처하고 있다면, 감사인은 해당 위험과 관련된 추가적인 통제를 테스트할 필요가 없다.

소규모기업에 특유한 고려사항

문단 A33

경영진 무력화에 대한 통제는 모든 기업의 효과적인 내부회계관리제도에 중요하며, 통제 수행 및 보고기간말 재무보고 프로세스에 고위경영진의 참여가 많기 때문에 소규모기업에 특히 중요할 수 있다. 소규모기업의 경우, 경영진 무력화 위험에 대처하는 통제는 대규모 기업의 통제와 다를 수 있다. 예를 들어, 소규모기업은 경영진 무력화 위험에 초점을 두는 지배기구의 더 세부적인 감시에 의존할 수 있다.

내부회계관리제도 구성요소 평가 (문단 25-26 참조)

문단 A34

『내부회계관리제도 설계∙운영 개념체계』는 5개의 내부통제 구성요소별로 달성되어야 할 원칙들을 제시하고 있다. 경영진이 『내부회계관리제도 설계∙운영 개념체계』를 적용하는 경우 이 원칙들은 기업의 재무보고 목적을 달성하기 위한 내부회계관리제도의 설계, 실행 및 운영에 내부회계관리제도 구성요소가 존재하고 기능하는지 여부에 대한 감사인의 평가와도 관련된다.

보고기간말 재무보고 프로세스 (문단 27-28 참조)

문단 A35

연도말 재무보고 프로세스는 통상적으로 경영진 평가의 "기준"일 후에 발생하므로, 이 통제는 해당 평가기준일 이후에 테스트되는 것이 보통이다.

유의적인 거래유형, 계정잔액 및 공시와 관련경영진주장을 식별 (문단 29-32 참조)

문단 A36

감사인이 재무제표의 중요한 왜곡표시를 발생하게 할 왜곡표시를 포함할 가능성이 낮지 않은(more than remote) 유의적인 거래유형, 계정 및 공시 각각에 대해 관련 위험에 대한 통제를 선정하고 테스트한 경우, 감사인은 감사기준서 315 문단 A124에서 제시된 경영진주장과 상이한 경영진주장에 근거하여 업무를 수행할 수 있다.24) 24) 감사기준서 402 "서비스조직을 이용하는 기업에 관한 감사 고려사항" 문단 9-19

문단 A37

유의적인 거래유형, 계정잔액 및 공시와 관련경영진주장의 식별과 관련된 위험요소에는 다음이 포함된다.

계정의 규모와 구성

오류 또는 부정으로 인한 왜곡표시에 대한 민감성

계정으로 처리되거나 공시에 반영된 개별 거래의 활동규모, 복잡성 및 동질성

계정, 거래유형 또는 공시의 성격

계정, 거래유형 또는 공시와 연관된 회계처리 및 보고의 복잡성

계정 내 손실에 대한 노출

계정 또는 공시에 반영된 활동으로부터 유의적인 우발채무가 발생할 가능성

계정 내 특수관계자 거래의 존재

계정, 거래유형 또는 공시 특성의 전기 대비 변동

문단 A38

감사인이 내부회계관리제도감사에서 유의적인 거래유형, 계정잔액, 공시 및 관련경영진주장을 식별할 때 평가하여야 하는 문단 29의 위험요소는 재무제표감사에서 평가하여야 하는 위험요소와 동일하다; 따라서, 유의적인 거래유형, 계정잔액 및 공시와 관련경영진주장은 통합감사에서 동일하다. 25) 25) 재무제표감사에서 감사인은 유의적인 거래유형, 계정잔액 및 공시와 관련경영진주장으로 결정되지 않은 재무제표 거래유형, 계정잔액 및 공시와 관련경영진주장에 대해 실증적인 감사절차를 수행할 수 있을 것이다. 이러한 예로 식별되지 않은 왜곡표시가 재무제표를 중요하게 왜곡표시할 위험에 대한 감사인의 평가를 수용가능한 수준으로 낮추기 위한 경우나(발견되지 않은 왜곡표시에 대한 추가적인 논의는 감사기준서 450 문단 6 참조), 식별된 왜곡표시위험에 대한 추가감사절차 설계시의 예측불가능성을 도입하는 경우가 포함될 수 있다(감사절차에서 예측불가능성에 관한 추가적인 논의는 감사기준서330 문단A1 참조)

문단 A39

재무제표감사와 연계된 위험평가절차는 감사기준서 315에 기술되어 있다.

문단 A40

감사인은 주어진 유의적인 거래유형, 계정잔액 또는 공시 내에서 "무엇이 잘못될 수 있는가?"라고 자문을 함으로써 잠재적 왜곡표시의 가능한 원천을 결정할 수 있을 것이다.

문단 A41

잠재적으로 유의적인 거래유형, 계정잔액 및 공시의 구성요소는 유의적으로 다른 위험에 노출될 수 있다. 그렇다면, 이러한 위험들에 적절히 대처하기 위한 서로 다른 통제가 필요할 수 있을 것이다.

문단 A42

부문이 다수인 상황에 대해서는 문단 84에서 논의된다.

왜곡표시의 가능한 원천에 대한 이해 (문단 33-35 참조)

문단 A43

추적조사 수행은 많은 경우에 문단 33의 목적을 달성하는 가장 효과적인 방법일 것이다. 추적조사는 거래의 발생부터 해당 거래가 정보시스템을 포함한 기업의 프로세스를 거쳐 기업의 재무기록으로 반영되기까지, 기업 담당자가 사용하는 동일한 문서와 정보기술을 이용하여 거래를 따라가는 과정을 포함한다. 추적조사 절차는 적합한 담당자에 대한 질문, 특정 통제의 적용의 관찰, 관련 문서의 검사 및 통제 재수행이다. 감사인은 이 절차들의 어떤 조합이라도 선택할 수 있으나, 질문만으로는 문단 33의 목적을 달성하는 데 충분하지 않다.

문단 A44

추적조사를 수행할 때, 감사인은 기업 담당자에게 중요한 거래 처리절차가 수행되는 시점에 기업의 규정된 절차 및 통제에 의하여 요구되는 사항에 대한 기업 담당자의 이해에 관해 질문한다. 이러한 탐색적 질문(probing question)은 다른 추적조사 절차와 결합하여, 감사인이 해당 프로세스에 대한 충분한 이해를 얻고 필요한 통제가 누락되거나 효과적으로 설계되지 않은 중요한 지점을 식별할 수 있게 한다. 또한, 추적조사의 기초로 사용된 단일거래에 대한 제한된 초점을 넘어서는 탐색적 질문은 해당 프로세스에 의해 다루어지는 상이한 유형의 유의적인 거래에 대한 이해를 제공한다.

문단 A45

정보기술 내에서 위험과 통제의 식별은 별도의 평가가 아니다. 대신에, 위험을 평가하고 감사노력을 배분하는데 뿐만 아니라, 유의적인 거래유형, 계정잔액 및 공시와 관련경영진주장과 테스트 대상 통제를 식별하는 데 사용되는 하향식 접근법의 필수적인 부분이다.

테스트 대상 통제의 선정 (문단 36 참조)

문단 A46

특정 관련경영진주장의 평가된 왜곡표시위험에 대처하는 통제는 하나 이상일 수 있다. 이와 반대로, 하나의 통제가 하나 이상의 관련경영진주장의 평가된 왜곡표시위험에 대처할 수도 있다. 관련경영진주장과 관련된 모든 통제를 테스트할 필요가 없고, 통제 중복 자체가 통제목적이 아닌 이상 중복된 통제를 테스트할 필요도 없을 수 있다.

문단 A47

통제를 테스트 대상으로 선정할 것인지 여부에 대한 결정은, 통제가 어떻게 분류되는지(예를 들어, 전사적 수준 통제, 거래수준통제, 통제활동, 모니터링 통제, 예방통제, 적발통제 등)보다는, 해당 통제가 개별적으로 혹은 결합하여 특정 관련경영진주장의 평가된 왜곡표시위험에 충분히 대처할 수 있는지 여부에 달려 있다.

통제테스트

설계효과성의 테스트 (문단 37 참조)

문단 A48

설계효과성을 평가하기 위해 수행되는 절차는 적합한 기업 담당자에 대한 질문, 특정 통제의 운영에 대한 관찰 그리고 관련 문서의 검사의 결합으로 이루어질 수 있다. 이러한 절차를 포함한 추적조사는 일반적으로 설계효과성을 평가하는데 충분하다.

소규모기업에 특유한 고려사항

문단 A49

소규모기업은 더 복잡한 대규모 조직과는 다른 방법으로 통제 목적을 달성할 수 있을 것이다. 예를 들어, 소규모기업은 회계기능 인력이 소수여서, 업무분장 기회가 제한되고 통제목적을 달성하기 위해 다른 통제를 실행하게 될 것이다.

운영효과성의 테스트 (문단 38 참조)

문단 A50

운영효과성을 테스트하기 위해 수행되는 절차는 적합한 기업 담당자에 대한 질문, 특정 통제의 운영에 대한 관찰, 관련 문서의 검사 그리고 통제의 재수행의 결합으로 이루어질 수 있다. 그러나, 질문만으로는 그러한 목적을 달성하기에 충분하지 않다. 감사기준서 330 “평가된 위험에 대한 감사인의 대응”은 질문과 결합하여, 통제의 운영효과성을 테스트할 때 적합할 수 있는 다른 감사절차에 대한 추가적인 지침을 제공한다. 26) 26) 감사기준서 330 문단 A26-A27

문단 A51

어떤 상황에서는, 특히 소규모기업의 경우, 기업이 특정 재무보고기능을 보조하게 하기 위하여 제3자를 활용할 수 있다. 기업의 재무보고와 관련 통제에 대해 책임을 지는 담당자의 적격성을 평가할 때, 감사인은 기업담당자의 적격성과 재무보고 관련 기능을 보조하는 제3자의 적격성을 결합하여 고려할 수 있다.

위험과 입수해야 할 증거와의 관계(문단 39-42 참조)

문단 A52

각각의 테스트 대상 통제에 대하여, 통제가 효과적이라고 감사인을 설득하는데 필요한 증거는 통제와 연관된 위험에 따라 다르다. 통제와 연관된 위험은 통제가 효과적이지 않을 위험과, 통제가 효과적이지 않을 경우에 중요한 취약점이 존재할 위험으로 구성된다.

문단 A53

통제와 연관된 위험에 영향을 미치는 요소는 다음을 포함한다.

통제가 예방하거나 발견∙수정하고자 의도하는 왜곡표시의 성격과 중요성

관련되는 계정 및 경영진주장과 연관된 고유위험

통제설계 또는 운영효과성에 부정적 영향을 미칠 수 있는 거래의 규모나 성격에 변화가 있었는지 여부

해당 계정에 오류내력이 있는지 여부

전사적 수준 통제, 특히, 다른 통제를 모니터링하는 통제의 효과성

통제의 성격과 통제가 운영되는 빈도

해당 통제가 다른 통제의 효과성에 의존하는 정도 (예를 들어, 통제환경 또는 정보기술 일반통제)

통제를 수행하거나 통제의 수행을 모니터링하는 기업 담당자의 적격성. 그리고 통제를 수행하거나 통제의 수행을 모니터링하는 핵심 인원에 변경이 있었는지 여부

통제가 개인의 수행에 의존하는지 또는 자동화되었는지 여부 (즉, 자동통제는 관련 정보기술 일반통제가 효과적이면, 일반적으로 위험이 낮은 것으로 기대된다)

통제의 복잡성 및 통제의 운영과 연계하여 내릴 수 있는 판단의 유의성

문단 A54

일반적으로, 통제가 효과적으로 운영되지 않고 있다는 결론은 통제가 효과적으로 운영되고 있다는 결론을 뒷받침하는데 필요한 증거보다 더 적은 증거로 뒷받침될 수 있다.

문단 A55

소규모기업에 특유한 고려사항 사업프로세스가 단순하고 회계업무가 중앙 집중화되어 있는 소규모 기업이나 부문은 표준화된 범용소프트웨어(off-the-shelf packaged software)를 변형하지 않고 사용하는 비중이 큰, 비교적 단순한 정보시스템을 보유할 것이다. 범용 소프트웨어가 사용되는 영역에서, 정보기술 통제에 대한 감사인의 테스트는, 경영진이 통제목적을 달성하기 위하여 의존하는 범용 소프트웨어에 내재된 응용통제와, 이러한 응용통제의 효과적 운영에 중요한 정보기술 일반통제에 초점을 둘 수 있다.

문단 A56

감사인의 목적은 기업의 내부회계관리제도 전반에 대한 의견을 표명하는 것이다. 이로 인해 감사인은 개별 통제와 연관된 위험에 기초하여 테스트 대상 개별 통제의 효과성에 대해 입수하는 증거를 다양화할 수 있다.

문단 A57

통제의 효과성에 대한 감사인의 테스트가 제공하는 증거는 감사절차의 성격, 시기 및 범위의 조합에 따라 달라진다. 또한, 개별 통제에 대해 테스트의 성격, 시기 및 범위를 상이하게 조합하면 통제와 연관된 위험과 관련하여 충분하고 적합한 감사증거를 제공할 수 있다.

문단 A58

추적조사는 다음에 따라 운영효과성에 대한 충분하고 적합한 감사증거를 제공할 수 있을 것이다.

테스트되고 있는 통제와 연관된 위험

통제의 운영 주기

통제가 정보기술 응용통제인지 여부

추적조사의 일환으로 수행된 특정 절차

그 절차의 결과

통제테스트의 성격

문단 A59

어떤 유형의 테스트는 테스트의 성격으로 인해 다른 테스트보다 통제의 효과성에 대한 더 많은 증거를 산출한다. 감사인이 수행할 수 있는 테스트를 일반적으로 가장 적은 증거를 산출하는 테스트에서 가장 많은 증거를 산출하는 테스트를 순서대로 나열하면 다음과 같다: 질문, 관찰, 관련 문서의 검사, 통제의 재수행 그러나, 질문만으로는 통제의 효과성에 대한 결론을 뒷받침하는 충분하고 적합한 감사증거를 제공하지 않는다.

문단 A60

충분하고 적합한 감사증거를 제공할 효과성 테스트의 성격은, 대개, 테스트되어야 할 통제의 성격(통제의 운영으로 통제 운영에 대한 문서 증거가 산출되는지 여부를 포함함)에 따라 달라진다. 경영진의 철학과 경영 스타일과 같은 몇몇 통제의 경우에는 그 운영에 대한 문서 증거가 존재하지 않을 수 있다.

소규모기업에 특유한 고려사항

문단 A61

소규모기업에 특유한 고려사항 소규모 기업이나 사업단위에서는 통제 운영에 관한 문서화가 덜 공식적일 수 있다. 그러한 상황에서는, 다른 절차(예, 특정 통제의 운영에 대한 관찰), 덜 공식적인 문서의 검사 또는 특정 통제의 재수행)와 결합된 질문을 통한 통제테스트가 해당 통제가 효과적인지 여부에 대한 충분하고 적합한 감사증거를 제공할 수 있다.

문단 A62

통제 이탈은 통제가 설계된대로 운영되지 않을 때 발생한다. 통제 이탈은 내부통제에 미비점이 존재하는지 여부를 결정할 때 평가된다. 효과적인 내부회계관리제도가 기업의 통제목적 달성에 대한 절대적인 확신을 제공하지 않고 제공할 수도 없기 때문에, 기업의 통제목적을 달성하고 효과적이라고 간주되기 위하여 개별 통제가 어떤 이탈도 없이 운영되어야 할 필요는 없다.

문단 A63

내부회계관리제도감사에서 통제테스트의 목적은 기업의 내부회계관리제도에 대한 감사의견을 뒷받침하기 위해 통제의 효과성에 대한 증거를 입수하는 것이다. 감사의견은 일정 시점의 그리고 전체적인 기업의 내부회계관리제도의 효과성과 관련된다. 따라서, 내부회계관리제도감사에서는 재무제표에 대해서만 의견을 표명할 때는 테스트하지 않는 통제의 설계 및 운영 효과성에 대한 테스트가 수반될 수 있다. 그러나, 내부회계관리제도감사뿐 아니라 재무제표감사를 수행할 때에도, 감사인은 누락되거나 미비할 경우에 재무제표의 중요한 왜곡표시를 발생시킬 가능성이 낮지 않은(more than remote) 통제에 주의를 기울인다.

문단 A64

더 긴 기간에 대한 통제를 테스트하는 것이 더 짧은 기간에 대해 테스트하는 것보다 통제의 효과성에 대해 더 많은 증거를 제공한다. 또한, 평가기준일에 더 가까운 시기에 수행된 테스트가 해당 연도 내 더 이른 시기에 수행된 테스트보다 더 많은 증거를 제공한다.

문단 A65

통제를 더 광범위하게 테스트할수록, 해당 테스트로부터 더 많은 증거를 입수할 수 있다.

문단 A66

평가기준일 전에, 내부통제의 효과성 또는 효율성을 높이기 위하여 또는 통제미비점에 대처하기 위하여 경영진이 기업의 통제를 변경하여 실행할 수 있다. 만약 감사인이 새로운 통제가 통제 준거기준의 관련 목적을 달성하고 통제테스트를 수행하여 감사인이 새로운 통제의 설계 및 운영 효과성을 평가할 수 있을 정도로 새로운 통제가 충분한 기간 동안 시행되어 왔다고 결정한다면, 감사인은 내부회계관리제도에 대한 의견을 표명할 목적으로 변경 전 통제의 설계 및 운영 효과성을 테스트할 필요가 없을 것이다. 만약 변경 전 통제의 운영효과성이 재무제표감사 시 감사인의 위험평가에 중요하다면, 감사인은 그러한 변경 전 통제의 설계 및 운영 효과성을 적합하게 테스트하여야 한다.

잔여기간에 대한 테스트 절차 (문단 44 참조)

문단 A67

기중 일자에서부터 기업의 보고기간말까지의 테스트 결과를 갱신하기 위하여 필요한 추가적인 증거는 다음 요소에 따라 달라진다.

평가기준일 전에 테스트한 특정 통제(해당 통제와 연관된 위험, 해당 통제의 성격 및 해당 테스트 결과를 포함함)

기중 일자에 획득한 운영효과성에 대한 증거의 충분성

잔여기간의 정도

기중 일자 후에 내부회계관리제도에 유의적인 변경이 존재했을 가능성

문단 A68

어떤 상황에서는, 예를 들어 상기 요소들을 평가한 결과, 해당 통제가 잔여기간에 더 이상 효과적이지 않을 위험이 낮을 경우, 질문만으로도 충분한 잔여기간 테스트 절차가 될 수 있다.

후속연도 감사에 대한 특별 고려 사항 (문단 45 참조)

문단 A69

후속연도 감사에서 통제와 연관된 위험에 영향을 미치는 요소는 문단 A53에 언급된 요소와 다음을 포함한다.

이전 감사에서 수행된 절차의 성격, 시기 및 범위

이전 연도의 통제테스트의 결과

이전 감사 이후 통제나 통제가 운영되는 프로세스에 변경이 있었는지 여부

문단 A70

문단 A53과 A69에 식별된 위험요소의 고려 후, 후속연도 감사에서 이용가능한 추가적인 정보로 인해 감사인은 위험을 최초 연도보다 낮게 평가할 수 있을 것이다. 이로 인해, 결과적으로 감사인은 후속연도의 테스트를 줄일 수 있을 것이다.

문단 A71

감사인은 또한 후속연도 감사에서 자동화된 응용통제에 대해 벤치마킹 전략을 사용할 수 있다. 벤치마킹은 문단 100에 추가로 기술되어 있다.

문단 A72

감사인은 해마다 상이한 기중의 일자에 통제를 테스트하거나, 수행하는 테스트의 갯수와 유형을 증가 또는 감소시키거나, 혹은 사용하는 절차의 조합을 변경할 수도 있다.

내부회계관리제도 미비점의 식별과 평가 (문단 47 참조)

문단 A73

재무제표 및 내부회계관리제도에 대해 수행된 감사업무에서 발견된 사항은 감사인이 내부회계관리제도 미비점을 식별하였는지 여부를 결정하는데 관련이 있다.

내부회계관리제도에 대한 평가기준일에 중요한 취약점이 존재하는지 여부의 결정 (문단 48-50 참조)

문단 A74

내부회계관리제도 미비점 혹은 미비점들의 결합의 심각성은 다음에 따라 달라진다.

미비점 혹은 미비점들로부터 초래되는 잠재적 왜곡표시의 크기

기업의 통제가 거래유형, 계정잔액이나 공시의 왜곡표시의 예방 또는 발견∙수정에 실패할 가능성이 낮지 않은(more than remote)지 여부

미비점의 심각성은 왜곡표시가 실제로 발생하였는지 여부가 아니라, 오히려 기업의 통제가 왜곡표시를 예방 또는 발견∙수정에 실패할 가능성이 낮지 않은(more than remote)지 여부로 결정된다. 감사인이 통합감사를 수행하는 동안에 왜곡표시를 식별하지 않았다고 하더라도 중요한 취약점은 존재할 수 있다. 중요한 취약점의 지표는 A83에 기술되어 있다.

문단 A75

내부회계관리제도 미비점 혹은 미비점들로부터 초래될 수 있는 왜곡표시의 크기에 영향을 미치는 요소들을 예시하면 다음과 같다.

미비점에 노출된 재무제표 금액 또는 거래 총액

미비점에 노출된 계정이나 거래유형에서 당기에 발생하거나 미래 기간에 발생이 예상되는 활동의 규모

문단 A76

잠재적 왜곡표시의 크기를 평가할 때, 계정잔액 또는 거래 총액이 과대표시될 수 있는 최대금액은 일반적으로 장부상금액이다. 반면, 과소표시될 수 있는 금액은 장부상금액보다 더 클 수 있다.

문단 A77

위험요소는 내부회계관리제도 미비점 혹은 미비점들의 결합이 계정잔액이나 공시의 왜곡표시를 초래할 가능성이 낮지 않은(more than remote)지 여부에 영향을 준다. 해당 요소들을 예시하면 다음과 같다. • 재무제표, 거래유형, 계정잔액, 공시 및 관련되는 경영진주장의 성격

• 내부회계관리제도 미비점 혹은 미비점들로 인하여 발생하는 예외사항의 원인과 빈도

• 관련 자산이나 부채의 손실이나 부정에 대한 민감성

• 관련되는 금액을 결정하는데 요구되는 주관성, 복잡성 또는 판단의 정도

• 해당 통제와 다른 통제와의 상호작용 또는 관계(통제들이 상호의존적인지 중복적인지 여부를 포함함)

• 내부회계관리제도의 다른 미비점들과의 상호작용

• 내부회계관리제도 미비점 혹은 미비점들로 인하여 향후에 있을 수 있는 영향

• 재무보고프로세스에 미치는 다음과 같은 통제의 중요성- 일반적인 모니터링 통제(예, 경영진의 감시)

  • 부정의 예방과 발견에 대한 통제
  • 유의적인 회계정책의 선택과 적용에 관한 통제
  • 특수관계자와의 유의적 거래에 대한 통제
  • 기업의 정상적인 사업과정을 벗어난 유의적 거래에 대한 통제
  • 보고기간말 재무보고프로세스에 대한 통제(예, 비경상적인 분개에 대한 통제)
문단 A78

내부회계관리제도 미비점이 왜곡표시의 가능성이 낮지 않음을 나타내는지 여부에 대한 평가는 발생 확률을 특정 비율이나 범위로 정량화하지 않고 수행될 수 있다. 또한, 많은 경우에, 작은 규모의 왜곡표시가 규모가 큰 왜곡표시보다 발생 확률이 더 크다.

문단 A79

통제는 왜곡표시를 효과적으로 예방 또는 발견∙수정하기 위하여 개별적으로 혹은 결합하여 운영되도록 설계될 수 있다. 예를 들어, 매출채권에 대한 통제는 계정잔액의 왜곡표시를 예방 또는 발견∙수정하기 위하여 함께 운영되도록 설계된 자동통제와 수동통제를 모두 포함하여 구성될 수 있다.

문단 A80

내부회계관리제도 미비점은 단독으로는 중요한 취약점을 구성하기에 충분히 중요하지 않을 수 있다. 그러나, 동일한 유의적인 거래유형, 계정잔액 또는 공시; 관련경영진주장; 내부회계관리제도 구성요소에 영향을 미치는 미비점들의 결합은 중요한 취약점을 발생시키는 정도까지 왜곡표시 위험을 증가시킬 수 있다. 또한, 동일한 유의적인 거래유형, 계정잔액 또는 공시; 관련경영진주장; 내부회계관리제도 구성요소에 영향을 미치는 미비점들의 결합은 집합적으로 유의적 미비점이 될 수 있다.

문단 A81

보완통제는 내부회계관리제도 미비점의 심각성을 제한하고, 중요한 취약점이 되는 것을 예방할 수 있다. 중요한 왜곡표시를 예방 또는 발견∙수정할 정도의 정밀한 수준으로 운영되는 보완통제만이 완화효과를 가질 수 있다. 비록 보완통제가 내부회계관리제도 미비점의 효과를 완화할 수 있다 하더라도, 보완통제가 미비점을 제거할 수는 없다.

문단 A82

내부회계관리제도의 중요한 취약점을 나타내는 지표는 다음을 포함한다.

고위 경영진이 저지른 부정을 식별함(부정이 중요한지 여부는 관계없음). 여기서 고위 경영진은 대표이사, 재무담당임원, 그밖에 기업의 재무보고프로세스에 유의적인 역할을 하는 다른 고위 경영진을 포함한다

부정이나 오류로 인한 중요한 왜곡표시의 수정을 반영하기 위해 이전에 발행된 재무제표를 재작성함

재무제표의 중요한 왜곡표시가 기업의 내부회계관리제도에 의해 발견∙수정되지 못하였을 상황에서 감사 중 감사인에 의해 해당 왜곡표시가 식별됨

기업의 재무보고 및 내부회계관리제도에 대한 지배기구의 감시가 효과적이지 않음

통합감사 중 유의적 미비점이 존재하는지 여부에 대한 결정(문단 51 참조)

문단 A83

문단 A74-A81는 식별된 내부회계관리제도 미비점의 심각성 평가와 관련된 지침을 제공한다. 문단 A82은 중요한 취약점 지표를 기술하고 있다.

문단 A84

내부회계관리제도 미비점이 개별적으로 또는 결합하여 유의적 미비점이 되는지 여부를 결정하기 위하여 각각의 미비점의 심각성을 평가하는 것은, 통합감사 과정에서 식별된 유의적 미비점들을 경영진 및 지배기구에 서면으로 커뮤니케이션하기 위한 목적이다. 커뮤니케이션 요구사항은 문단 63-67에 기술되어 있다.

후속사건 (문단 52–55 참조)

문단 A85

감사기준서 560 "후속사건"은 재무제표 감사 시 후속사건에 대한 요구사항을 규정하고 지침을 제공하며, 필요에 따라 내부회계관리제도 감사에 맞게 조정되고 적용된다. 감사인은 문단 61에 따라 경영진으로부터 후속사건과 관련한 서면진술을 입수하여야 한다.

문단 A86

시정조치에 관한 경영진 공시에 대한 의견을 거절하는 경우에는 문단 82을 참조한다.

문단 A87

문단 54와 55의 후속사건에 대한 절차는 감사기준서 560에 기술된 재무제표감사에서의 후속사건에 대한 절차와 유사하다.

결론 절차 (문단 56–60 참조)

문단 A88

경영진이 내부회계관리제도 운영실태보고서를 수정하지 않는 경우 문단 77를 적용한다. 감사인이 하나 이상의 중요한 취약점에 대하여 경영진에게 요구된 공시가 중요성의 관점에서 공정하게 표시되어 있지 않다고 결정하는 경우에는 문단 75도 적용한다. 경영진이 내부회계관리제도에 관한 경영진 평가를 포함하는 보고서의 제공을 거절하는 경우에는, 문단 79을 적용한다.

서면진술의 입수 (문단 61-62 참조)

문단 A89

재무제표감사의 일부로써 경영진의 서면진술 입수에 관한 추가적인 요구사항과 지침은 감사기준서 580 "서면진술"을 참조한다. 감사기준서 580은 누가 서면진술에 서명해야 하는지, 서면진술의 대상기간 및 갱신된 서면진술을 언제 입수해야 하는지 등에 관한 사항을 다루고 있다.

문단 A90

경영진이 서면진술 제공을 거부하는 경우는 감사범위 제한에 해당한다.

내부회계관리제도 관련 사항의 커뮤니케이션 (문단 63-68 참조)

문단 A91

감사기준서 265 “내부통제 미비점에 대한 지배기구와 경영진과의 커뮤니케이션”의 내용이 이 감사기준서와 상충되는 경우에는 이 감사기준서가 우선 적용된다.

문단 A92

상대적으로 유의적이고 추후 시정조치가 긴급한 특정 사항의 경우, 경영진이나 지배기구와의 조기 커뮤니케이션이 중요할 수 있다. 유의적 미비점과 중요한 취약점에 대한 서면 커뮤니케이션의 시기에 관계없이, 감사인은 경영진과 지배기구가 중요왜곡표시위험을 최소화하기 위한 시정조치를 적시에 취하는데 도움을 주기 위하여 경영진이나 적합한 경우 지배기구에게 우선 구두로 이 사항을 커뮤니케이션할 수 있다. 그러나 구두 커뮤니케이션이 감사인이 유의적 미비점과 중요한 취약점을 서면으로 커뮤니케이션해야 하는 책임을 경감하는 것은 아니다.

문단 A93

만약 이전에 커뮤니케이션한 유의적 미비점과 중요한 취약점이 남아있다면, 당기 커뮤니케이션은 이전의 커뮤니케이션을 반복하거나, 단순하게 이전의 커뮤니케이션과 해당 커뮤이케이션일자를 언급할 수 있다.

문단 A94

감사인이 모든 미비점을 식별할 만큼 충분한 절차를 수행해야 하는 것은 아니다. 오히려, 감사인은 단지 알고 있는 미비점을 커뮤니케이션 할 필요가 있을 뿐이다.

문단 A95

내부회계관리제도감사와 통합되지 않은 재무제표감사와 달리, 감사인은 유의적 미비점이나 중요한 취약점 수준에 이르지 못한 미비점도 서면으로 커뮤니케이션 하여야 한다. 이는 내부회계관리제도감사가 내부회계관리제도의 미비점을 식별하는 데 중점을 두고 있기 때문이다. 반면 재무제표의 왜곡표시를 식별하는 데 중점을 두는 (내부회계관리제도 감사와 통합되지 않은)재무제표감사에서는 미비점을 식별하는 것은 부수적인 것이다.

내부회계관리제도에 대한 보고 (문단 69-70 참조)

문단 A96

감사인이 내부회계관리제도에 대하여 부적정의견을 표명하는 경우, 내부회계관리제도에 대한 부적정의견이 재무제표에 미치는 영향과 관련하여 문단 76에서 요구하는 공시는 문단 70에서 기술된 보고서 문구와 결합될 수 있다. 감사인은 결합된 문구를 별도 문단 혹은 중요한 취약점을 식별하였다는 문단의 일부로 표시할 수 있다.

감사보고서 변형 (문단 72 참조)

문단 A97

감사의 범위제한은 감사인이 충분하고 적합한 감사증거를 입수할 수 없는 경우를 말하며, 다음 상황에서 발생할 수 있다.

  • 기업의 통제를 벗어나는 상황
  • 감사인 업무의 성격과 시기와 관련된 상황
  • 경영진이 부여한 제약

부적정 의견 (문단 73-76 참조)

문단 A98

문단 48-51는 미비점의 평가를 기술한다. 업무의 범위가 제한된 경우는 문단 78-82을 참조한다.

문단 A99

감사기준서 705 "감사의견의 변형" 은 재무제표에 대한 부적정의견과 관련한 요구사항을 정하고 지침을 제공하며 필요에 따라 내부회계관리제도감사에 조정 및 적용된다. (이 감사기준서의 보론 "내부회계관리제도 감사보고서 사례" 중 사례2. “내부회계관리제도에 대한 부적정의견” 사례 참조).

문단 A100

문단 74에서 기술된 바와 같이 중요성의 관점에서 각각의 중요한 취약점이 내부회계관리제도 운영실태보고서에 포함되고 공정하게 표시된다면, 감사보고서에서는 "내부회계관리제도 운영실태보고서에 기술된 중요한 취약점"만 언급하면 되며, 각각의 중요한 취약점에 대한 설명을 포함할 필요는 없다.

문단 A101

문단 A98에서 기술된 바와 같이, 문단 76에서 요구되는 공시는 문단 70에서 제시된 보고서 문구와 결합될 수 있다.

범위제한 (문단 78-82 참조)

문단 A102

감사기준서 705는 재무제표 감사에서의 의견거절에 대한 요구사항을 규정하고 지침을 제공하며 필요에 따라 내부회계관리제도 감사에 조정 및 적용한다. (이 감사기준서의 보론1 "내부회계관리제도 감사보고서 예시" 중 “내부회계관리제도에 대한 의견거절” 사례 참조).

문단 A103

범위제한이 감사인이 의견을 표명하는데 필요한 합리적인 확신을 얻는 것을 방해할 것이라는 결론을 내리는 즉시, 감사인은 내부회계관리제도에 대한 의견거절 보고서를 발행할 수 있다. 내부회계관리제도 감사를 수행할 때, 감사인이 의견을 표명하기 위한 충분하고 적합한 감사증거를 입수할 수 없을 것이라는 결론을 내리는 경우, 감사인이 의견거절 보고서를 발행하기 전에 추가적인 업무를 수행해야 할 의무는 없다. 이 경우, 감사보고서 일자에 관한 문단 71의 지침을 따르는데 있어서, 감사보고서 일자는 감사보고서의 진술내용울 뒷받침하는 충분하고 적합한 증거를 감사인이 입수한 일자이다.

문단 A104

각각의 중요한 취약점이 내부회계관리제도 운영실태보고서에 포함되고 중요성의 관점에서 공정하게 표시된다면, 감사보고서에서는 "내부회계관리제도 운영실태보고서에 기술된 중요한 취약점"만 언급하면 되며, 각각의 중요한 취약점에 대한 설명을 포함할 필요는 없다.

추가정보 (문단 83 참조)

문단 A105

다음은 추가적인 정보에 대한 의견을 거절할 때 쓰는 문구의 예시이다. 기타사항 우리는 [경영진의 비용-수익 분석과 같은 추가적인 정보]에 대한 감사절차를 수행하지 않았으며, 따라서 이에 대하여 의견을 표명하거나 어떠한 확신도 제공하지 않습니다.

문단 A106

경영진이 내부회계관리제도에 대한 연차보고서 외부에 문단82에서 기술된 유형의 공시를 하고 해당 공시가 기업의 재무제표에 대한 연차보고서 내의 다른 부분에 포함되어 있다면, 감사인이 해당 추가정보에 대한 의견거절을 할 필요가 없을 것이다. 그러나, 이 상황에서, 감사인이 추가정보가 내부회계관리제도 운영실태보고서와의 명백한 중요한 불일치사항 또는 사실의 중요한 왜곡표시를 포함한다고 믿는다면, 감사인의 책임은 문단 83에 기술된 것과 동일하다.

특별 주제

부문이 다수인 기업 (문단 84-86 참조)

문단 A107

감사기준서 600은 이 기준에 기술되어 있는 부문과 관련된 요구사항과 지침을 고려하여, 필요에 맞게 조정하여 내부회계관리제도감사에 적용된다.

문단 A108

그룹업무팀은, 개별적으로 또는 합쳤을 때, 그룹재무제표에 중요한 왜곡표시를 발생시킬 가능성이 낮은(remote) 부문을, 추가 고려에서 제외할 수 있다.

문단 A109

위험이 낮은 부문에서는, 그룹업무팀은 먼저 전사적 수준 통제(조직 전체에 걸쳐 적합한 통제가 존재한다는 확신을 제공하기 위해 가동 중인 통제를 포함함)를 테스트하는 것이 감사인에게 충분한 증거를 제공하는지 여부를 평가할 것이다. 그룹업무팀 또는 그룹업무팀을 대신하는 부문감사인이 특정 위험에 대한 통제 또는 그룹차원의 통제의 운영효과성을 테스트할 수 있다.

특별한 상황 (문단 87–90 참조)

문단 A110

내부회계관리제도감사는 일반적으로 지분법으로 회계처리하는 피투자회사 27) 의 통제로 확대되지 않는다. 27) 관계기업, 공동기업 및 별도재무제표에서 지분법으로 회계처리하는 종속기업을 말한다.

문단 A111

감사인은, 예를 들어 경영진이 평가기준일에 최근 취득한 사업에 대한 통제에 접근할 시간이 충분하지 않을 경우, 경영진이 『내부회계관리제도 평가 및 보고 모범규준』 및 관련 지침에 따라 해당 사업을 제외함으로써 평가를 제한하는 것이 적합하다고 결론을 내릴 수 있다. 그러나, 사업 취득의 경우에, 그러한 제외 기간이 사업취득일로부터 1년을 초과하는 것은 적합하지 않을 것이다. 그리고 내부회계관리제도 운영실태보고서에 포함하지 않는 횟수가 1회를 초과하는 것도 적합하지 않을 것이다. 『내부회계관리제도 평가 및 보고 모범규준』 및 관련 지침 외의 법규에서 경영진이 특정 부문을 경영진 평가에서 제외하는 것을 허용할 수 있고, 그러한 경우 해당 상황에 대한 구체적 공시를 요구할 수 있다. 만약, 감사인이 판단하기에, 경영진이 특정 부문을 경영진 평가에서 제외하는 것이 적합하다면, 감사인은 동일한 방식으로 내부회계관리제도감사에서 해당 부문을 제외할 수 있다. 이 경우는 감사의견 표명과 관련한 범위제한에 해당되지 않을 것이다.

서비스조직의 활용 (문단 91-99 참조)

문단 A112

감사기준서 402는 서비스조직을 활용하는 기업의 감사를 하는 감사인(이용자기업 감사인)에게 적용되는 요구사항과 적용지침을 포함한다. 감사기준서 402는 하나 이상의 서비스조직을 사용하는 기업(이용자기업)의 재무제표를 감사 시 충분하고 적합한 감사증거를 획득하여야 하는 감사인의 책임을 다룬다. (서비스조직이 하위서비스조직을 활용하는 경우에 대한 지침은 감사기준서 402 참조) 28) 28) 감사기준서 402 문단 A20

문단 A113

감사기준서 402는 서비스조직의 서비스와 그러한 서비스에 대한 통제가 기업의 정보시스템의 일부가 되는 상황을 식별하고 있다. 29) 서비스조직의 서비스가 기업의 정보시스템의 일부라면, 감사기준서 402에 기술된 바와 같이, 해당 서비스는 기업의 내부회계관리제도의 일부이다. 29) 감사기준서 402 문단 3

문단 A114

내부회계관리제도 감사의견과 관련성이 있는 통제가 효과적으로 운영되고 있다는 증거는 감사기준서 402에 기술된 절차30) 를 포함하여 다음 중 하나 이상의 절차를 통해 입수할 수 있다.

(a)

입수가능한 경우, 유형 2 보고서를 입수함

(b)

서비스조직의 통제에 대해 적합한 통제테스트를 수행함

(c)

서비스조직의 통제에 대해 통제테스트를 수행한 타감사인의 업무를 활용함

  1. 감사기준서 402 문단 16-17
문단 A115

감사기준서 402에 기술된 바와 같이 31) 서비스조직의 활동에 대한 통제를 이용자기업이 수립하고 운영하는 경우, 감사인은 내부회계관리제도 감사의견과 관련성이 있는 이용자기업의 통제가 효과적으로 운영되고 있다는 증거를 입수하기 위하여 해당 통제를 다음과 같이 테스트할 수 있다. • 이용자기업이 서비스조직에 의해 처리된 항목을 선택하여 독립적으로 재수행한 것을 테스트함

• 이용자기업이 산출보고서와 원천문서를 조정한 것을 테스트함

  1. 감사기준서 402 문단 A12-A13
문단 A116

서비스조직 통제에 대한 기술과 설계에 관한 보고서(유형 1 보고서)는 서비스감사인의 통제테스트와 그 결과에 대한 기술, 또는 통제의 운영효과성에 대한 서비스감사인의 의견이 포함되어 있지 않으며, 따라서, 통제의 운영효과성에 대한 증거를 제공하지 않는다. 유형 1 보고서와 유형 2 보고서는 감사기준서 402에 기술되어 있다.

문단 A117

이 요소들은 감사기준서 402에 기술된 바와 같이, 서비스감사인의 보고서가 재무제표감사에서 감사인이 평가한 통제위험의 수준을 뒷받침할 충분하고 적합한 감사증거를 제공하는지 여부를 결정할 때 감사인이 고려하는 요소와 유사하다. 32) 32) 감사기준서 402 문단 A30-A37

문단 A118

감사기준서 402는 보충적인 이용자기업 통제를, 해당 서비스를 설계할 때, 이용자기업이 실행할 것이라고 서비스조직의 경영진이 가정한 통제로서, 통제목적을 달성하는데 필요하다면 서비스조직의 시스템에 관한 경영진 기술서에 식별되는 통제로 정의한다.

문단 A119

서비스감사인의 전문가적 적격성과 독립성에 대한 정보의 적합한 출처는 감사기준서 402에서 논의된다. 33) 33) 감사기준서 402 문단 A21-A22

문단 A120

서비스조직은 서비스감사인이 서비스조직 통제에 대한 기술 및 설계에 대한 보고서 (유형 1 보고서) 또는 서비스조직 통제에 대한 기술, 설계 및 운영효과성에 대한 보고서(유형 2 보고서)를 발행하도록 계약할 수 있을 것이다. 유형 1 또는 유형 2 보고서는 한국공인회계사회가 제정한 “서비스조직의 통제에 대한 인증업무기준” 등 또는 권한이 있거나 인정된 기준제정기구가 제정한 다른 기준들 34) 에 따라 발행될 수 있다 (이러한 기준들은 유형 1 과 유형 2 보고서를 다른 명칭, 예를 들어 유형A 보고서와 유형B 보고서와 같은 명칭으로 구분하고 있을 수도 있다). 34) 국제감사인증기준위원회가 제정한 "서비스조직의 통제에 대한 인증업무기준(International Standard on Assurance Engagements (ISAE) 3402, Assurance Reports on Controls at a Service Organization)"과 미국회계사회가 제정한 서비스조직 통제에 대한 감사기준서 "서비스조직(SAS 70 Service Organization)"

문단 A121

서비스조직 통제의 변경에는 다음이 포함될 수 있다.

서비스조직의 프로세스와 정보시스템과 관련된 변경을 포함하여, 서비스조직이 경영진에게 커뮤니케이션한 변경

경영진이 상호작용하는 서비스조직 담당자의 변경

통제목적을 달성하는 데 필요한 통제의 설계 또는 실행의 변경

서비스조직으로부터 입수하는 보고서 또는 다른 데이터의 변경

서비스조직과의 계약 또는 서비스 수준 약정의 변경

서비스조직의 프로세스수행에서 식별된 오류 또는 법규위반 및 부정 사건

문단 A122

위험이 증가할수록, 감사인이 추가적인 증거를 입수할 필요성도 증가한다. 만약 감사인이 서비스조직의 통제의 운영효과성에 대한 추가적인 증거가 요구된다는 결론을 내린다면, 감사인의 추가적인 절차는 다음을 포함할 것이다.

경영진에 의해 수행된 절차와 그 절차의 결과를 평가함

특정 정보를 입수하기 위하여, 이용자조직을 통해 서비스조직과 연락함

필요한 정보를 제공할 절차를 수행하기 위해 서비스감사인이 계약을 체결하도록 요청함

서비스조직을 방문하고 그러한 절차를 수행함

자동화된 통제의 벤치마킹 (문단 100-102 참조)

문단 A123

완전히 자동화된 응용통제는 일반적으로 인간의 실패로 인한 와해에 덜 취약하다. 이러한 특성으로 인해 감사인이 "벤치마킹" 전략을 사용할 수 있다. 벤치마킹이란 운영효과성에 대한 구체적인 테스트를 반복하지 않고도 감사인이 자동화된 응용통제가 효과적이라고 결론지을 수 있도록, 효과적인 IT 일반통제와 결합할 수 있는 출발점(baseline)을 수립하여 자동화된 응용통제를 테스트하는 프로세스이다.

문단 A124

벤치마킹 전략을 결정할 때 평가된 위험요소가 낮은 위험을 나타내면, 평가되는 통제는 벤치마킹에 적합할 수 있다. 이러한 위험요소가 높은 위험을 나타내면, 평가되는 통제는 벤치마킹에 덜 적합하다.

문단 A125

운영중인 프로그램의 변경일자(compilation dates) 에 대한 보고서는 프로그램 내의 통제가 변경되지 않았다는 증거로 사용될 수 있다.

문단 A126

자동화된 응용통제를 벤치마킹하는 것은 프로그램 변경 가능성이 희박한 소프트웨어(예를 들어, 판매자가 소스코드에 대한 접근이나 변형을 허용하지 않는 경우)를 구입하여 사용하는 기업에 특히 효과적일 수 있다.

문단 A127

만약 프로그램 변경, 프로그램에 대한 접근 및 컴퓨터 운영에 대한 일반통제가 효과적이고 지속적으로 테스트된다면, 그리고 자동화된 응용 통제가 감사인이 정한 출발점(즉, 응용통제를 마지막으로 테스트한 시점) 이후 변경이 없었다는 것을 감사인이 결정한다면, 감사인은 자동화된 응용통제에 대하여 전기에 수행한 구체적인 운영테스트를 반복하지 않아도 해당 자동화된 응용통제가 계속해서 효과적이라고 결론 내릴 수 있다. 감사인이 통제가 변경되지 않았음을 결정하기 위해 입수하는 증거의 성격과 범위는 상황(기업의 프로그램 변경 통제의 강도를 포함함)에 따라 달라질 수 있다.

문단 A128

자동화된 응용통제의 일관되고 효과적인 작동은 관련 파일, 테이블, 데이터 및 설정값에 의존할 수 있다. 예를 들어, 이자수익을 계산하는 자동화된 응용프로그램은 자동 계산에 사용되는 이자율테이블의 지속적인 무결성에 의존할 것이다.

문단 A129

통제는 변경되었을 수 있는 다른 사업요소에 민감할 수 있다. 예를 들어, 자동화된 통제는 파일에 양(+)의 금액만 존재할 것이라는 가정을 가지고 설계될 수 있다. 그러한 통제는 해당 계정에 음(-)의 금액(대변 금액)이 기표되기 시작하면 더 이상 효과적이지 않을 것이다.

이 주제에 대해 더 궁금한 점이 있으신가요?

실무 적용, 회계처리 판단 등 구체적인 사안은 이메일로 문의해 주세요.

이메일로 문의하기

AuditGuide|외부감사가 처음인 회사를 위한 공인회계사 무료 상담

바로가기 →