경영진이 모범규준 등에서 제시한 방법*에 따라 유의적 계정 등을 식별하였다면 경영진이 식별한 유의적인 계정 등이 감사인과 다르다는 점 자체로 미비점에 해당하지는 않습니다.
다만 감사인이 식별한 유의적인 계정 등을 경영진이 유의적인 계정 등으로 선정하지 않음에 따라 감사인이 테스트 대상으로 선정한 통제를 회사가 핵심통제로 선정하지 않았다면 이는 기업의 위험 평가프로세스에 미비점이 있음을 시사할 수 있습니다(FAQ 2 참조).

관련기준 감사기준서 1100 문단 24, 29, 30, 36, A31, A37

감사인은 경영진이 선정한 핵심 통제와 별도로 관련경영진주장의 왜곡표시위험에 충분히 대처하고 있는지 결론 내리는 데 중요한 통제를 테스트 대상으로 선정합니다.

감사인이 선정한 테스트 대상 통제가 경영진이 선정한 핵심통제에 포함되지 않았다면,

• 감사인은 경영진이 해당 통제를 핵심통제로 선정하지 않은 원인을 분석하여 회사의 위험 평가프로세스에 미비점이 있는지 평가하여야 합니다. 회사의 위험 평가프로세스에서 미비점이 식별된다면 감사인은 이에 따라 다른 통제 테스트의 성격?시기?범위를 조정하여야 합니다. 예를 들어 경영진이 해당 통제를 핵심통제로 선정하지 않은 이유가 재무보고에 중요한 영향을 미치는 변화를 식별하는 데 실패하였기 때문이라면 감사인은 그러한 변화에 영향을 받는 프로세스상 통제가 적절히 변경되었는지 평가하는 데 더 많은 주의를 기울이고 관련 통제를 테스트할 때 더 설득력 있는 증거를 입수해야 합니다.


• 감사인은 해당 통제가 실제로 존재하고 통제 목적을 달성하도록 설계되었는지 평가합니다. 해당 통제가 실제로 존재하고 통제 목적을 달성하도록 설계되었다면 감사인은 해당 통제의 설계?운영 효과성을 테스트하되 테스트의 성격?시기?범위를 결정할 때 해당 통제가 모니터링되지 않는다는 점을 반영하여야 합니다.

감사인이 테스트 대상으로 선정하지 않은 통제를 경영진이 내부회계관리제도 평가 목적으로 테스트하기로 결정한 경우, 경영진이 선정한 핵심통제에 감사인이 선정한 테스트 대상 통제가 완전하고 정확하게 포함되어 있다면 일반적으로 감사인이 추가 고려할 사항은 없습니다.

관련기준 감사기준서 1100 문단 24, 36, A30, A46~A47

복수의 사업장의 통제가 동질적인지는 감사인의 전문가적 판단으로 결정할 사항이며, 이때 감사인은 「모범규준 등 적용 FAQ」를 준용하여 다음과 같은 사항을 고려합니다(「모범규준 등 FAQ」 41 참조).

• 해당 통제가 본사 차원에서 설계되어 일부 또는 전체 사업부(또는 지점)이 수정 없이 적용하도록 요구되는가?
• 해당 통제에 대한 상세한 설명이나 관련된 정책과 절차가 본사 차원에서 개발되고 관리되며 적용되는 사업장에 공유되는가?
• 해당 통제가 비슷한 수준의 역량이나 전문성, 권한을 가진 개인에 의해 수행되는가?
• 해당 통제가 자동통제라면 해당 사업장(또는 지점)이 동일한 시스템 설정(Configuration)이 적용된 동일한 응용프로그램에서 작동하는가?
• 해당 통제가 정보시스템에서 산출되는 정보를 사용한다면, 해당 사업장이 동일한 정보시스템을 사용하는가?
• 해당 통제를 수행하기 위해 요구되는 판단이나 추정의 정도가 높지 않은가?

복수의 사업장의 통제가 동질적인지는 일반적으로 회사의 사업과 시스템을 이해하고 경영진이 작성한 통제 설계문서를 확인함으로써 결정할 수 있습니다.

그러나 위험 평가프로세스 또는 모니터링 절차 등 해당 통제에 영향을 미치는 전사적 수준 통제가 효과적이지 않은 경우와 같이 통제가 동질적으로 운영되지 않을 가능성이 커진다면 통제가 동질적인지 결정하기 위해 다수의 사업장을 대상으로 통제를 이해하는 절차(예: 추적조사)를 수행할 필요가 있습니다.

관련기준 감사기준서 1100 문단 31, 33, A41

감사인이 복수 사업장의 통제가 동질적이라고 결정하였다면,

• 설계효과성 테스트(추적조사 등)는 중앙 또는 대표적인 한 사업장을 대상으로 수행할 수 있습니다.
• 운영효과성 테스트는 다음 두 가지 방법이 가능합니다.
  - 통제가 동질적인 전체 사업장을 하나의 모집단으로 하여 표본 추출
  - 사업장이 너무 많거나 다른 이유로 상기 방법을 적용하기 어려운 경우, 대표 사업장들을 선정하고 대표 사업장들의 통제를 모집단으로 하여 표본 추출. (단, 매년 동일한 사업장들이 대표 사업장으로 선정되지 않게 테스트를 설계하여야 함)

관련기준 감사기준서 1100 문단 31, 33, A41

감사기준서 1100 문단 24에 따르면 감사인은 기업이 효과적인 내부회계관리제도를 갖추고 있는지 여부에 대한 감사인의 결론에 중요한 전사적 수준 통제를 식별하고 테스트하여야 합니다.

기업이 효과적인 내부회계관리제도를 갖추고 있는지 여부에 대한 감사인의 결론에 중요한 통제는 「설계 및 운영 개념체계」의 각 원칙을 달성하는 데 필요한 통제를 말합니다. 감사인은 식별된 통제로 각 원칙을 달성할 수 있는지 판단하여야 하며 이때 각 원칙별 중점고려사항을 참고할 수 있습니다.

관련기준 감사기준서 1100 문단 24~25, A34

간접 전사통제의 성격상 많은 경우 질문과 문서검사로 설계효과성 테스트를 수행하고 1~2개 표본을 추출하여 운영효과성 테스트를 수행하는 것으로 충분한 감사증거를 입수할 수 있습니다(예: 윤리강령 운영, 부정위험 평가 등).

다만 간접 전사 통제에 통제활동과 같이 구별되는 절차나 활동이 있다면 거래 수준 통제와 유사하게 실제 활동의 빈도 수에 따라 테스트 표본을 추출할 필요가 있습니다(예: 행동강령 준수 여부 서약, 내부고발 프로그램 고발 건 후속 조치 등).

관련기준 감사기준서 1100 문단 24~26, A30~A34, 감사기준서 315 문단 A78

간접 전사통제에서 미비점이 식별되더라도 거래 수준 통제와 같이 중요한 왜곡표시를 직접적으로 예방, 발견?수정할 수 있는 다른 통제가 효과적으로 설계?운영된다면 일반적으로 간접 전사통제의 미비점이 그 자체로 유의적 미비점이나 중요한 취약점에 해당하지는 않습니다.

다만 간접 전사통제의 미비점이 감사기준서 1100 문단 A82에서 제시한 중요한 취약점의 지표나 감사기준서 265 문단 A7에서 제시한 유의적 미비점의 징후에 해당한다면 간접 전사통제의 미비점 자체로도 중요한 취약점이나 유의적 미비점에 해당할 수 있으므로 감사인은 해당 미비점을 신중하게 평가하여야 합니다.

관련기준 감사기준서 1100 문단 24~25, 39, A30~A34, A53, A82, 감사기준서 265 문단 A7

간접 전사통제의 미비점은 거래 수준 통제와 같은 다른 통제의 설계?운영 효과성에 부정적인 영향을 미치므로 감사인은 간접 전사통제의 미비점이 다른 통제의 효과성에 미치는 영향을 평가하고 이에 대응하여 다른 통제를 테스트하는 절차의 성격?범위?시기를 변경하여야 합니다.

관련기준 감사기준서 1100 문단 24~25, 39, A30~A34, A53

경영진이 개선된 통제를 운영한 기간이 감사인이 운영 효과성 테스트를 하는 데 필요한 최소 표본을 추출할 수 있는 기간 이상이라면 개선된 통제가 ‘충분한 기간’ 동안 운영되었다고 결정할 수 있습니다. 예를 들어 연간 일 단위로 운영되는 통제의 운영 효과성 테스트를 위한 최소 표본 수가 25개라면 개선된 통제가 25일 이상 운영된 경우 충분한 기간 동안 운영되었다고 볼 수 있습니다.

다만 개선된 통제의 운영 기간이나 횟수가 최소 표본 수를 충족하지 못하더라도, 감사인이 ‘평가기준일 현재’ 통제가 효과적으로 운영되고 있다는 데에 높은 수준의 확신을 얻을 수 있다면, 감사인은 개선된 통제가 효과적으로 운영되고 있다고 판단하기에 충분한 증거를 입수할 수 있다고 결정할 수도 있습니다.

예를 들어 분기별 통제의 최소 표본 수가 2개라고 가정했을 때, 3분기말 테스트 수행 결과 분기별로 수행되는 통제에서 미비점을 식별하였고 경영진이 4분기에 미비점을 개선한 상황에서 감사인은 개선된 통제의 설계와 운영 방식을 철저히 이해하여 4분기 표본 1개를 테스트하는 것으로 충분한 증거를 입수할 수 있다고 결정할 수도 있습니다.

위와 같은 판단을 할 때 감사인은 다음과 같은 사항을 각각 고려하여야 합니다.

• 미비점의 성격과 심각성 (예: 통제 미비점이 개선되지 않았다면 유의적 미비점이나 중요한 취약점에 해당하는지?)
• 통제의 성격 (예: 자동통제인지 수동통제인지?)
• 통제 개선의 시점과 성격 (예: 미비점의 발견이 늦은 것인지? 경영진의 시정 조치가 늦은 것인지?)

관련기준 감사기준서 1100 문단 43, A63~A66

개선된 통제의 운영효과성을 테스트하기 위한 표본 수는 감사인의 정책과 전문가적 판단에 따릅니다. 이러한 표본 수는 통제가 충분한 기간 동안 운영되었는지 판단할 때 참조하는 표본 수(FAQ 9 참조)와 다를 수 있으며 각 감사인이 운영 기간이 보고기간(예: 1년)보다 짧은 통제의 테스트 표본 수를 결정하는 정책(예: 운영 주기가 유사한 통제에 해당하는 표본 수, 운영 횟수가 유사한 통제에 해당하는 표본 수)과 일관되어야 합니다.

예를 들어, 연간 주 단위로 운영되는 통제의 테스트 최소 표본 수가 5개라면, 통제가 충분한 기간 동안 운영되었는지 판단할 때는 5주 이상 운영되었는지가 기준이 되나, 개선된 통제를 모집단으로 하여 운영효과성 테스트를 할 때는 연간 운영된 통제의 최소 표본 수와 같은 5개를 표본으로 추출할 수도 있고 감사인의 정책에 따라 그보다 적은 수의 표본(예: 2개)을 테스트할 수도 있습니다.

관련기준 감사기준서 1100 문단 43, A63~A66

변경 전 통제와 변경 후 통제가 실질적으로 같으나 회사의 문서화만 개선된 것이라면 재무제표 감사에서는 보고기간 전체에 걸쳐 통제 의존 전략을 취할 수 있습니다.

통제가 실질적으로 변경되었다면, 감사인은 재무제표 감사를 수행할 때 변경 전후 기간을 구분하여 변경 후 기간에만 통제 의존 전략을 취할 수 있습니다(Partial control reliance). 예를 들어 통제가 변경되기 전 기간에는 통제에 의존하지 않고 실증전략을 취하여 세부 테스트의 범위를 확대하되 변경 이후 기간은 개선된 통제에 의존하는 전략을 취하여 세부 테스트 범위를 줄일 수 있습니다.

다른 방법으로 감사인은 변경 전 통제의 효과성을 테스트하여 변경 전후 통제가 모두 효과적이라고 결론을 내리고 보고기간 전체에 걸쳐 통제 의존 전략을 취할 수도 있습니다.

계속 감사의 경우 통합감사를 실시하기 이전 기간에 통제 의존 전략을 취한 경영진주장에서, 위험평가나 통제 운영테스트 결과가 달라지는 등 특별한 상황 변화가 없다면 일반적으로 내부회계관리제도 감사를 처음 수행하였다고 하여 실증절차의 범위가 확대되지는 않습니다.

관련기준 감사기준서 1100 문단 14, A17, 감사기준서 330 문단 11, A32

감사인이 평가기준일 전 기중에 운영효과성을 테스트 할 때에 다음 둘 중 하나의 방법으로 표본 수를 결정할 수 있습니다.

• 기중 일자를 기준으로 결론을 형성하고 잔여기간 테스트 수행
  중간기간에 운영테스트를 수행할 때 운영효과성에 대한 결론을 내릴 수 있는 수준으로 테스트를 수행(conclude at interim)하고 잔여기간 테스트(roll-forward) 절차 수행
  (예) 운영효과성 테스트 결론을 내릴 수 있는 표본 수가 25개라면, 중간기간에 25개 테스트, 중간기간~기말 잔여기간 테스트
• 테스트 표본 수를 중간기간과 이후 기간에 배분하는 방법
  운영효과성에 대한 결론을 내릴 수 있는 수준의 표본 수를 중간기간과 이후 기간에 배분하되 테스트 결론은 중간기간에 내리지 않고 평가기준일 테스트가 완료된 후 내리는 방법
  (예) 운영효과성 테스트 결론을 내릴 수 있는 표본 수가 25개라면, 중간기간에 20개 테스트, 중간기간~평가기준일 5개 테스트

다만 표본 수를 배분하는 방식을 사용할 때에는 다음 사항에 유의하여야 합니다.

• 배분 방식을 사용하면 중간기간에 통제가 효과적인지 결론을 확정할 수 없고 중간기간 이후 표본을 추가적으로 테스트하여야 통제 효과성에 대한 최종 결론을 확정할 수 있음
• 거래 빈도수에 계절성?주기성이 있으면 가정을 통해 배분한 표본 수가 실제 거래 빈도수에 상응하지 않을 수 있음

관련기준 감사기준서 1100 문단 43, 44, A63~A68

감사기준은 잔여기간 테스트의 표본 수를 결정할 때 test of one, 최소 표본 수와 같이 특정한 기준을 적용하도록 정하고 있지 않습니다.

잔여기간 테스트 표본 수는 감사기준서 1100 문단 A67의 위험 요소를 고려하여 감사인이 전문가적 판단으로 결정하여 합니다. 감사인은 잔여기간 테스트를 수행하고 통제 테스트 업데이트를 문서화합니다.

감사기준서 1100 문단 A67-A68에 따르면 어떤 상황에서는 해당 통제가 잔여기간에 효과적이지 않을 위험이 낮을 경우 질문만으로도 충분한 잔여기간 테스트 절차가 될 수 있습니다.

그러나 실증절차로 잔여기간 테스트를 대체할 수는 없습니다. 즉 잔여기간에 대해 실증절차만을 수행하고 발견된 왜곡표시가 없다는 것만으로 잔여기간에 통제가 효과적으로 운영되었다는 결론을 내릴 수는 없습니다.

관련기준 감사기준서 1100 문단 44, A67~A68

운영효과성 테스트 시 승인 대상이 되는 내용까지 검토해야 하는지는 통제의 성격에 따라 다릅니다.

해당 통제가 단순히 거래의 유효성을 확인하고 승인하는 통제(예: 특정 금액 이하의 구매 승인)라면 전결규정에 따른 승인 여부만 테스트할 수 있습니다.

그러나 해당 통제에 검토 활동(review element), 즉 특정한 정보를 검토하고 검토의 결과에 기초하여 필요한 조치를 취하는 활동이 포함되고 이러한 검토활동이 해당 통제의 목적을 달성하는 데 중요하다면 감사인은 승인권자가 검토하는 정보, 승인 전에 이루어지는 일련의 검토 과정 등을 테스트하여야 합니다.

관련기준 감사기준서 1100 문단 38~40, A56~A57, A59~A60, 감사기준서 330 문단 A26

통제 운영의 문서 증거를 입수할 수 없다면 감사인은 질문과 결합하여 관찰이나 재수행을 함으로써 운영효과성을 테스트할 수 있습니다.

그러나 관찰은 효과적인 테스트 방법이 되는 상황이 제한적(예: 재고실사, 검토회의)이며 관찰하지 않은 시점에도 통제가 효과적으로 운영된다는 증거를 충분히 제공하지 못하는 한계가 있습니다. 또한 고도로 주관적인 검토 통제와 같이 통제의 성격상 재수행이 가능하지 않은 통제가 있을 수도 있습니다. 감사인이 관찰이나 재수행으로 효과적인 테스트를 할 수 없는 통제라고 판단한다면 경영진과 사전 협의하여 통제가 운영되었다는 문서 증거를 구비하도록 하는 것이 바람직합니다.

관련기준 감사기준서 1100 문단 40, A60~A61, 감사기준서 330 문단 A26~A27

감사 범위에 포함되는 해당 재무보고체계에 따른 기업 재무제표상의 보고에 대한 통제란 피투자회사 재무정보의 신뢰성을 확인하는 통제와 이러한 재무정보를 기초로 이루어지는 지분법 회계처리의 정확성을 확인하는 통제를 의미합니다. 내부회계관리제도 감사는 일반적으로 지분법으로 회계처리하는 피투자회사의 통제로 확대되지는 않습니다(감사기준서 1100 문단 A110).

피투자회사의 재무정보가 신뢰성을 확보하지 못할 위험은 각 회사의 상황에 따라 다르므로 피투자회사의 재무정보의 신뢰성을 확인하기 위해 요구되는 구체적인 통제는 전문가적 판단의 사항입니다. 이러한 통제에는 다음과 같은 통제가 포함될 수 있습니다.

• (1) 감사 받은 재무정보의 입수 및 검토 (회계정책에 대한 검토 포함)
  • 분석적 검토, 공시 재무제표 대사 등
• (2) 감사 받지 않은 재무제표(혹은 가결산 재무제표)에 대한 통제. 즉 감사 받은 재무제표와 중요한 차이가 발생하지 않을 것이라는 합리적 확신을 얻는 통제
  • 감사 받지 않은 재무제표에 대한 피투자회사의 대표이사 서명 날인 확보
  • 피투자회사가 시장에 공시한 중요한 거래나 회계적 사건을 포함하여 투자회사가 인지하고 있는 중요한 거래나 회계적 사건이 가결산 재무제표에 적절히 반영되었는지를 확인(예: 이사회 자료 등 내부 문서 요청하여 유의적인 거래, 회계정책, 영업환경 등 검토)
  • 기타 가결산 재무제표와 감사 받은 재무제표 간에 발생할 수 있는 차이 분석(전기말 사용된 재무정보에 대한 소급적 검토 포함)

관련기준 감사기준서 1100 문단 36, 87, A110

결산 체크리스트의 관리와 작성은 결산 절차에 대한 완전성 확보와 관련하여 효과적인 통제활동이나 결산 체크리스트만으로 각 항목에 대한 통제활동이 충분하게 수행되었다는 증거를 제시할 수는 없습니다. 따라서 유의적인 회계추정이나 특수관계자 거래 등과 같이 위험이 높은 항목에 대한 통제는 결산 체크리스트에 통합하기보다는 별도의 통제로 구분하여 설계, 운영하는 것이 바람직합니다.

위험이 높지 않은 결산 항목은 결산 체크리스트에 포함하고 체크리스트를 작성, 검토·승인하는 통제를 설계, 운영할 수 있습니다. 기업이 체크리스트 통제를 운영하는 경우 감사인은 통제 테스트 시 다음과 같은 사항을 고려합니다.

• 결산 조정 금액의 정확성/완전성을 확인하기 위한 목적 달성을 위해 결산 체크리스트가 충분한지?
• 결산 체크리스트 작성 시 설정된 기준에 따라 이상항목(outliers)을 식별하고 조사하고 해결하는 절차가 적절하게 설계되어 있는지?
• 이상항목들을 적시에 식별하고 조사하고 해결하기에 결산 체크리스트 작성 빈도가 충분한지?
• 결산 체크리스트 작성에 이용되는 내·외부 정보가 결산 체크리스트 목적을 달성하기에 충분하고 적절한지 (즉, 관련성이 있고 신뢰할 수 있는지)?

관련기준 감사기준서 1100 문단 27, 28, 36, A35

해당 공시 항목의 왜곡표시 위험이 단순히 재무제표 금액과 주석 공시 금액이 불일치할 여부에만 있다면 공시사항 점검표를 작성하여 공시사항의 완전성을 점검하고 각 주석 항목에 공시된 금액과 재무제표상 금액이 일치하는지 대조 확인하는 통제로도 해당 위험에 충분히 효과적으로 대처한다고 볼 수 있습니다.

그러나 공시 내용에 재무제표 금액을 특정 기준에 따라 분류한 내용이나 특수관계자 거래와 같이 추가적인 정보가 포함되는 경우에는 세부 내역 확인에 대한 통제를 별도로 식별하고 테스트해야 하여야 합니다. 다만 공시 내용의 정확성과 완전성을 확인하는 통제가 다른 거래 프로세스에서 수행될 수도 있습니다.

관련기준 감사기준서 1100 문단 27, 28, 36, A35

감사기준서 330 문단 13, 14는 재무제표 감사에만 적용되는 요구사항입니다. 감사인이 내부회계관리제도 감사 목적으로 통제의 운영효과성에 대한 감사증거를 입수할 때에는 감사기준서 1100 문단 100-102에 따라 자동화된 응용통제 테스트에 벤치마킹 전략을 적용하는 경우를 제외하고는 이전의 감사에서 입수된 감사증거를 이용할 수 없습니다. 즉 내부회계관리제도 감사 목적으로 테스트 대상 특정 통제가 효과적으로 운영되는지에 대한 감사증거는 매년 입수되어야 합니다.

다만 이전 연도의 통제 테스트 결과는 필요한 테스트의 성격, 시기, 범위를 결정할 때 통제와 연관된 위험에 영향을 미치는 요소로서 고려할 수 있습니다(감사기준서 1100 문단 45, A69).

관련기준 감사기준서 1100 문단 45, 46, A69

감사인이 입수하여야 하는 감사증거는 개별 통제의 설계효과성에 대한 증거입니다. 변화관리체계는 회사의 위험평가 프로세스, 즉 간접 전사적 수준 통제로서 개별 통제에 대한 테스트의 성격, 범위, 시기를 결정할 때 고려할 수는 있으나 개별 통제의 설계효과성에 대한 직접 증거를 제공하지 않습니다.

경영진은 내부통제의 변화를 일상적으로 모니터링할 수 있는 위치에 있으므로 회사의 변화관리체계의 효과성을 확인하는 것으로 개별 통제의 설계테스트를 대체하는 것이 가능하지만, 감사인은 그러한 위치에 있지 않으므로 변화관리체계의 효과성을 확인하는 것으로 개별 통제의 설계테스트를 대체할 수 없습니다. 즉 감사인은 전기 설계 효과성 테스트 결과 설계가 효과적이었다는 결론과 변화관리체계의 효과성 만을 근거로 당기에도 통제의 설계가 효과적이라고 결론 내릴 수 없으며 매년 개별 통제의 설계가 효과적이라는 증거를 입수하여야 합니다.

과거 감사에서 입수한 정보를 기초로 당기에 변화가 있었는지 여부에 초점을 맞추어 테스트를 수행하더라도 개별 통제의 설계에 변화가 없다는 증거를 입수하여야 하며, 질문만으로는 통제 설계에 변화가 없다는 충분한 증거를 입수할 수 없습니다.

관련기준 감사기준서 1100 문단 45, 46, A69

내부회계관리제도 감사 목적으로 IT일반통제를 식별하고 테스트하는 대상 시스템은 감사인이 테스트 대상으로 선정한 응용통제(자동화된 IT일반통제 포함)가 운영되거나 통제에 사용하는 정보, 데이터 등이 생성, 보관되는 시스템입니다.

해당 시스템이 기업의 재무보고 프로세스에 핵심적인 시스템이 아니고 일상적인 사업거래를 수작업 개입이 거의 또는 전혀 없이 처리하는 고도의 자동화된 시스템이 아닌 경우, 해당 시스템에 의존하는 응용통제 등 IT 의존 항목이 제한적이라면 감사인은 판단에 따라 다음과 같은 접근법을 취할 수 있습니다.

• 해당 시스템의 IT일반통제를 테스트하지 않고 이를 대체하는 다른 통제(예: 한 종류의 리포트만 생성하는 시스템의 경우 리포트의 완전성과 정확성을 확인하는 수동 통제)를 추가 식별하여 테스트하거나 IT 의존 항목에 대하여 대체적인 테스트 방법, 즉 IT일반통제가 효과적이지 않을 때 적용할 수 있는 테스트 방법을 적용(FAQ 21 참조)
• 일부 IT일반통제 범주에 대한 테스트 간소화. 예를 들어 프로그램이나 데이터 변경 권한이 부여되지 않은 경우, 프로그램 변경이 불가능한 경우, 배치 처리(batch job)를 적용하지 않는 경우 등

관련기준 감사기준서 1100 문단 35, A45

자동계산은 부정확한 계산을 방지하기 위해 일관된 처리를 보장하므로 통제에 해당합니다. 다만 자동계산 통제를 테스트할 때는 시스템상 로직이 거래나 제품 유형별로 적용되는 다양한 사업규칙이나 요건들을 반영하고 있는지, 계산이 실행될 때 입력되는 매개변수와 계산에 사용되는 데이터가 완전하고 정확한지 등을 고려해야 합니다.

기업은 시스템 간 데이터가 전송되는 과정에서 수작업의 개입으로 데이터가 훼손, 변경될 위험을 방지하기 위하여 자동 인터페이스를 설계, 운영할 수 있습니다. 이러한 자동 인터페이스 과정에서 다른 위험, 예를 들어 부정확한 데이터가 전송될 위험, 데이터가 훼손·변경될 위험, 같은 데이터가 두 번 이상 전송될 위험 등이 발생할 수 있습니다. 많은 경우 기업은 record count, control totals, hash-totals, 유효성 체크 등의 자동통제를 해당 위험에 대처하는 인터페이스 과정에 통합하여 수행하며 감사인은 데이터 전송 및 처리 과정에서 발생할 수 있는 위험을 이해하고 식별된 위험에 대응하는 회사의 적절한 통제를 식별하여 테스트하여야 합니다. 인터페이스 과정에서 이러한 자동통제가 수행되지 않는 경우 감사인은 유사한 수동통제를 회사의 프로세스상에서 추가로 식별하고 테스트할 필요가 있을 수도 있습니다.

관련기준 감사기준서 1100 문단 35, 36, A45

IT일반통제에서 미비점이 식별된 경우, 감사인은 회사의 검토 및 영향 분석과 별도로 IT일반통제의 미비점에 영향을 받는 응용통제를 결정하고 IT일반통제의 미비점이 각 관련 응용통제에 미치는 잠재적 영향을 평가하여 문서화한 후 다음과 같은 대응 절차를 수행할 수 있습니다.

• (1) 보완통제를 고려함
  • 동일한 위험에 대처하는 다른 IT일반통제
    상황에 따라 감사인은 IT일반통제에서 미비점이 식별된 경우 미비점이 있는 IT일반통제가 대응하고자 했던 위험을 충분히 감소시키는 다른 IT일반통제가 있는지, 즉 IT일반통제의 보완통제가 있는지 고려합니다. 예를 들어 프로그램 접근 통제에서 미비점이 식별되었으며 이러한 미비점 때문에 프로그램 개발자가 응용프로그램에 접속하여 프로그램을 무단 변경할 수 있는 경우에 시스템에서 변경 불가능한 프로그램 변경 로그 리포트가 생성되고 프로그램 개발자와 독립적인 경영진이 매주 로그 리포트와 프로그램 변경 승인 리스트를 비교하는 적발통제를 수행한다면 이러한 적발통제는 프로그램 접근 통제의 미비점을 보완할 수 있습니다.
    보완통제가 미비점이 있는 IT일반통제가 대처하고자 했던 위험을 충분히 경감시키고 감사인이 보완통제를 테스트한 결과 효과적으로 설계, 운영된다면 감사인은 IT일반통제의 지원을 받는 프로세스 수준 응용통제에 의존할 수 있습니다.
  • IT일반통제 미비점에 영향을 받지 않는 응용통제
    상황에 따라 감사인은 IT일반통제의 미비점에 영향을 받는 응용통제와 동일한 위험에 대처하면서 IT일반통제 미비점의 영향을 받지 않는 다른 프로세스 수준 통제, 즉 응용통제의 보완통제를 고려합니다. 예를 들어, 전표를 기표하는 총계정원장 시스템의 로그인 패스워드가 패스워드 정책을 준수하여 설정되지 않은 경우 해당 전표가 적절한 사람에 의해 승인받는 통제가 있을 경우 보완이 되는 것으로 판단할 수 있습니다.
    감사인은 IT일반통제 또는 응용통제의 보완통제가 위험을 충분히 경감시킬 수 있는지 유의하여야 합니다. 또한 감사인은 보완통제가 IT일반통제의 미비점 때문에 신뢰성이 훼손된 시스템에서 생성된 정보를 사용하는 경우처럼 보완통제가 미비점이 있는 IT일반통제에 의존하지는 않는지 유의하여야 합니다.
• (2) IT일반통제의 미비점이 응용통제에 미친 영향이 제한적임을 확인하는 경영진의 대체적 통제를 고려함
  IT일반통제에서 미비점이 식별되었으나 보완통제가 식별되지 않거나 비효과적인 경우, 경영진은 운영실태평가 등 모니터링 통제의 일환이나 개선 계획에 따른 신규 통제로 미비점이 있는 IT일반통제가 감사 대상 기간 동안 응용통제에 실제로 영향을 미쳤는지 확인하는 대체적인 통제를 설계?운영할 수 있습니다. 예를 들어 자동통제가 운영되는 응용프로그램의 프로그램 변경 권한에 대한 통제에서 미비점이 식별된 경우, 경영진은 감사 대상 기간 중 해당 응용프로그램에 변경이 없었는지 또는 모두 적절한 근거에 따라 임의 변경되지 않았는지 확인하는 대체적인 통제를 설계·운영할 수 있습니다.
  이처럼 경영진이 대체적인 통제를 설계·운영하여 IT일반통제 미비점이 응용통제에 영향을 미치지 않았음을 확인하였고 감사인이 대체적인 통제를 테스트한 결과 효과적으로 운영된다고 결론 내렸다면, 감사인은 IT일반통제의 지원을 받는 응용통제에 의존할 수 있습니다. 또한 감사인은 IT일반통제의 미비점을 평가할 때 이러한 대체적인 통제를 미비점의 심각성을 완화하는 보완통제로 고려할 수도 있습니다.
• (3) 프로세스 수준 자동통제(IT의존수동통제 포함)가 일관성 있게 운영되었다는 직접적인 증거를 입수하는 절차를 수행함
  IT일반통제가 효과적이지 않은 상황에서 감사인은 IT일반통제의 영향을 받는 자동통제가 일관성 있게 운영되었다는 직접적인 증거를 입수할 수 있습니다. 이러한 방법은 프로그램 변경 요청/테스트 승인 통제에 미비점이 있을 때만 적용 가능하며, 데이터 직접 변경 등 프로그램 변경 이력 추적만으로는 확신을 얻을 수 없는 다른 IT일반통제에서 미비점이 발생한 경우에는 적용이 불가할 수 있습니다.
  이러한 직접적인 증거를 입수하는 절차의 예는 다음과 같으며, 미비점이 발생한 IT일반통제의 성격에 따라 적절한 절차를 수행하여야 합니다.
  • 자동통제가 운영되는 응용프로그램이 마지막으로 테스트된 이후 변경되지 않았다는 증거를 입수함
  • 감사 대상 기간에 걸쳐 자동통제를 수동통제와 유사한 빈도로 테스트함. 다만, 감사대상기간에 걸쳐 해당 자동통제를 수동통제와 유사한 빈도로 테스트할지 여부를 결정하기 위해서는 아래 요소를 종합적으로 고려하여 판단하여야 함.
    ▷ IT 환경의 복잡성
    ▷ 유의적 위험에 대응하는 자동통제인지 여부
    ▷ 자동통제의 복잡성 및 운영빈도 (예: 운영 빈도가 빈번하여 감사인이 테스트하는 간격의 길이가 매우 짧은 경우에는 적용하기 어려움)
    ▷ 관련 IT시스템 변경의 빈도
    ▷ 자동통제와 관련된 위험의 유의성
    ▷ 자동통제와 관련된 IT일반통제 미비점의 평가수준 (예: 관련 미비점이 유의적 미비점으로 식별되는 경우에는 적용하기 어려움)
  감사인이 직접적인 증거를 입수한 결과 응용통제가 일관성 있게 운영되었다고 결정하였다면 감사인은 해당 응용통제에 의존할 수 있습니다.

상기 (1)~(3)의 절차를 수행한 결과 효과적인 보완통제나 대체적인 통제가 설계·운영되지 않고 응용통제가 일관성 있게 운영되었다는 증거를 입수하지 못하였다면 감사인은 IT일반통제의 영향을 받는 프로세스 수준 응용통제에 의존할 수 없으며 응용통제 관련 사항도 미비점으로 식별하고 심각성 평가를 수행하여야 합니다.

관련기준 감사기준서 1100 문단 35, 36, A45

IT일반통제의 미비점은 데이터 변경 관련 미비점을 제외하고는 일반적으로 재무제표 왜곡표시를 직접적으로 초래하지는 않지만, 해당 IT일반통제 미비점에 영향을 받는 비효과적인 응용통제는 왜곡표시를 초래할 수 있습니다. 따라서 IT일반통제 미비점은 해당 통제가 응용통제에 미치는 영향과 관련하여 평가됩니다.

감사인은 IT일반통제의 미비점의 심각성을 평가할 때 감사기준서 1100 A75~A77과 더불어 다음과 같은 요소를 고려할 수 있습니다.

• 미비점의 성격과 중요성 (예: 미비점이 프로그램 개발 프로세스상 단일 단계와 관련이 있는지? 아니면 전체 프로세스 미비점인지)
• 미비점이 IT 응용프로그램과 데이터에 미치는 전반적인 영향 (예: IT일반통제 미비점의 영향을 받는 중요한 거래 유형과 관련된 자동통제와 IT의존수동통제의 범위 및 개수)
• 기업의 IT 환경의 복잡성과 미비점이 재무제표와 관련된 프로그램과 데이터의 무결성에 악영향을 미칠 수 있는 가능성.
• IT일반통제의 미비점이 손실 또는 부정에 취약한 계정과목이나 공시사항과 관련된 응용프로그램 또는 데이터에 영향을 미치는지 여부.
• IT일반통제의 미비점의 영향으로 발생한 예외사항의 원인과 빈도. 예를 들어 기중 프로그램 변경이 없었다는 사실은 프로그램 변경 통제의 심각성을 낮추는 요소 중 하나로 고려할 수도 있습니다.
• IT일반통제 미비점의 영향을 받는 응용프로그램과 관련된 왜곡표시 이력을 통해 입증된 위험의 증가 징후 (당기 왜곡표시 포함)

관련기준 감사기준서 1100 문단 48~50, A74~A82

경영진 검토 통제는 주관적이고 복잡한 판단이 필요하여 특별한 설계·운영 테스트가 필요한 유형의 검토 통제를 의미합니다. 따라서 감사인은 통제가 대응하는 관련경영진주장의 왜곡표시위험이 높으며 주관적이고 복잡한 판단이 수반되는 통제를 경영진 검토 통제로 식별합니다. 통제의 목적과 유형을 고려하여 단순한 대사·승인 목적의 통제 등 지나치게 많은 통제가 경영진 검토 통제로 선정되지 않도록 유의할 필요가 있습니다.

경영진 검토 통제를 대신할 수 있는 다른 거래 수준 통제가 존재할 수 있습니다. 따라서 감사인은 회사의 활동을 세분화하여 경영진 검토 통제를 대신할 수 있는 다른 거래 수준 통제를 식별하고 해당 통제가 효과적으로 설계·운영될 것으로 기대하는 경우 해당 통제를 테스트 대상으로 선정할 것입니다.

관련기준 감사기준서 1100 문단 36, A46~A47

기업이 생성한 정보의 완전성과 정확성에 대한 통제에 미비점이 있으면서 다른 보완 통제가 없다면 통제 운영에 해당 정보를 사용하는 통제 역시 미비점이 있는 것으로 식별하고 미비점의 심각성을 평가하여야 합니다.

관련기준 감사기준서 1100 문단 48, A77~A80, 감사기준서 330 문단 10.(b), A30~31

내부회계관리제도 감사 목적상 감사인이 수행하는 절차는 회사가 기업이 생성한 정보의 완전성과 정확성을 확인하기 위하여 설계?운영하는 통제를 식별하고 테스트하는 것입니다. 내부회계관리제도의 감사 목적상 감사인이 직접 실증절차를 수행하여 해당 정보의 완전성과 정확성을 확인하는 것으로 통제 효과성 테스트를 대신할 수 없습니다.

관련기준 감사기준서 1100 문단 41, 감사기준서 330 문단 10.(b), A30~31

최종 사용자 컴퓨팅을 감사하는 특정한 방법이 정해져 있지는 않으며 감사인은 해당 상황에 적합한 감사 방법을 전문가적 판단으로 결정하여야 합니다. 감사인은 최종 사용자 컴퓨팅에서 발생할 수 있는 왜곡표시 위험에 상응하는 통제를 식별하고 테스트하여야 하며, 특히 수작업으로 데이터를 입력, 변경하거나 논리(logic)을 변경할 수 있는 경우 수작업에서 발생하는 위험에 적합한 통제를 식별?테스트하여야 합니다.

관련기준 감사기준서 1100 문단 33~36, A45, 감사기준서 315 문단 A104~A105

감사인이 운영 효과성 테스트를 수행한 결과 통제 이탈^*을 식별한 경우, 통제 이탈이 변이^*가 아니고 이탈 횟수가 허용가능 오류^*를 초과한다면 내부회계관리제도 미비점으로 식별하여야 합니다. 극히 드문 상황에서, 감사인이 표본에서 발견된 통제 이탈을 변이라고 본다면 감사인은 그러한 이탈이 모집단을 대표하지 않는다는 점에 높은 수준의 확신을 얻어야 합니다. 감사인은 이러한 높은 수준의 확신을 얻기 위해 추가적인 감사절차를 수행함으로써 통제 이탈이 모집단의 잔여 부분에는 영향을 미치지 않는다는 것을 입증하는 충분하고 적합한 감사증거를 입수하여야 합니다(감사기준서 530 문단 13).

실무적으로 감사인이 통제 이탈을 변이라고 판단하였고 표본을 확대하여 테스트를 수행한다면 모집단의 실제 이탈률이 허용이탈률 이내라는 결론을 내릴 수 있을 것으로 예상하는 경우 감사인은 테스트 표본을 확대하기로 결정할 수 있습니다.

예를 들어 일별 통제에서 표본 수가 25개이고 표본 내 통제이탈이 없거나 표본 수가 40개이고 표본 내 통제이탈 1개일 경우 모집단 내 실제 이탈률이 허용이탈률 이내라는 결론을 내릴 수 있는 상황을 가정했을 때, 최초 25개 표본을 테스트한 결과 변이로 판단되는 통제 이탈이 1개 식별될 수 있습니다. 이러한 상황에서 추가적인 통제 이탈이 발생하지 않을 것이라고 예상한다면 감사인은 15개의 표본을 추가(총 40개) 테스트 할 수 있습니다.

통제 이탈이 변이인 경우, 표본을 확대하여 테스트를 수행하고 추가적인 통제 이탈이 식별되지 않아 모집단의 실제 이탈률이 허용이탈률 이내라는 결론을 내릴 수 있다면 감사인은 통제가 효과적으로 운영된다고 결론 내릴 수 있습니다.

관련기준 감사기준서 1100 문단 42, A62, 감사기준서 530 문단 12~13, A17

회사가 감사인과 증권선물위원회에 감사 전 재무제표를 제출한 이후 재무제표가 수정되었다면 감사인은 회계감사실무지침 2018-3 문단 15~17에 따라 재무제표 수정사항이 회사의 적절한 내부통제에 의해 식별, 승인, 반영되었는지 평가하여야 합니다. 감사인의 평가 결과 재무제표 수정사항이 회사의 적절한 내부통제에 의해 식별, 승인, 반영되지 않았다면 이는 내부회계관리제도의 미비점입니다.

이러한 평가를 할 때 감사인이 고려할 사항의 예를 들면 다음과 같습니다.

• 통제 성격상 감사 전 재무제표 제출 이후 수행하는 것으로 통제를 설계(예: 재무제표 제출 이후 확정된 성과급 지급률 반영)하였고 그러한 설계대로 통제를 수행함에 따라 재무제표가 수정되었는지?
• ‘보고기간 후 사건’이 감사 전 재무제표 제출 이후 발생하였거나 인지 가능하였고, 회사가 내부통제에 의해 그러한 사건을 식별하여 반영하였는지?

관련기준 감사기준서 1100 문단 50, 58, A82, 회계감사실무지침 2018-3 문단 15~17

감사인이 식별한 중요한 왜곡표시는 감사기준서 1100 문단 A82에 따라 중요한 취약점의 지표로 고려하여야 합니다. 그러나 중요한 취약점의 지표에 해당한다고 하여 해당 미비점이 반드시 중요한 취약점인 것은 아니며 감사인은 왜곡표시가 발생한 원인과 미비점의 성격을 면밀히 검토하여 중요한 취약점 여부를 신중하게 판단하여야 합니다.

다음의 예에서와 같이 회사가 적절한 회계처리 방안을 도출하기 위해 통제 절차를 효과적으로 설계?운영하였다면 회계기준 해석 차이나 판단 차이로 중요한 왜곡표시가 식별되었더라도 중요한 취약점에 해당하지 않을 수 있습니다.

• 회계정책 매뉴얼 작성, 변경 등 회계정책 수립, 적용과 관련한 통제 절차를 효과적으로 설계?운영하였음
• 적절한 회계처리 방안 도출을 위해 외부 전문가의 도움을 받고 외부 전문가의 의견을 검토하는 등 경영진 검토 통제를 효과적으로 설계?운영하였음

관련기준 감사기준서 1100 문단 50, 58, A82

간접 전사통제는 일반적으로 관련경영진주장 수준에서 왜곡표시를 예방하거나 발견·수정하지 않으므로 미비점이 초래하는 잠재적 왜곡표시의 규모를 정량적으로 결정하기 어렵습니다. 따라서 간접 전사통제의 미비점은 내부회계관리제도 설계 및 운영 개념체계에 따라 내부회계관리제도의 각 구성요소와 관련 원칙이 존재하고 기능하는지 여부에 미비점이 미치는 영향을 질적으로 평가하여 그 심각성을 평가합니다. 이때 감사인은 다음과 같은 사항을 고려할 수 있습니다.

• 미비점의 성격이 무엇이고 어느 정도 유의한지?
• 미비한 통제가 관련 내부통제 구성요소와 원칙에 어느 정도 유의한 것인지?
• 해당 전사적 수준 통제의 미비점에 직접적으로 영향을 받는 구체적인 프로세스 수준 통제활동이 무엇이고 그 규모는 어는 정도인지?
• 영향을 받는 프로세스 수준의 통제활동에 미비점이 있는지? 미비점이 있는 경우 영향을 받는 프로세스수준의 통제활동이 왜곡표시를 예방하거나 발견·수정하지 못할 가능성이 낮지 않은지 (more than remote), 가능성이 낮지 않다고 판단되는 경우 그 잠재적 왜곡표시의 크기는 어느 정도인지?

간접 전사통제는 설계 및 운영 개념체계상 관련 원칙 여러 개에 대응할 수 있으므로 특정 원칙을 달성하기 위해 설계된 통제가 다른 원칙에서 발생한 미비점의 영향을 완화시킬 수 있습니다. 감사인이 이처럼 미비점의 영향을 완화시키는 통제를 식별하여 테스트한 결과 해당 통제가 미비점이 식별된 통제가 대응하고자 한 원칙을 달성할 수 있도록 효과적으로 설계·운영된다면 미비점의 심각성이 완화된다고 볼 수 있습니다.

관련기준 감사기준서 1100 문단 48~50, A74~A82

간접 전사통제는 해당 통제의 성격과 수행 빈도에 따라 질문과 문서검사로 설계효과성 테스트를 수행하고 1~2개 표본을 추출하여 운영효과성 테스트를 수행하거나, 거래 수준 통제와 유사하게 실제 활동의 빈도 수에 따라 테스트 표본을 추출하여 운영효과성 테스트를 수행합니다(FAQ 6 참조). 이와 마찬가지로 개선된 간접 전사통제도 설계효과성 테스트를 수행하고 해당 통제의 성격과 수행 빈도에 따라 운영테스트를 수행하여 개선된 통제가 효과적으로 운영된다고 결정할 수 있는 증거를 입수하여야 합니다.

추가적으로 전사적 수준 통제 중 통제환경 등 특정 요소는 일반적으로 상당한 기간을 운영해야만 통제 개선의 효과가 나타날 수 있다는 점을 고려하여야 하며 이 과정에서 지배기구의 관점 등을 개선 완료 시점 판단에 반영할 필요가 있습니다.

관련기준 감사기준서 1100 문단 48~50, A74~A82

기업이 생성한 정보를 통제에 사용하는 경우, 해당 정보를 생성하고 유지하는 과정 또는 해당 정보를 사용하는 통제를 수행하는 과정에서 정보의 완전성과 정확성에 대한 통제를 설계·운영할 필요가 있습니다.

이러한 정보의 완전성과 정확성에 대한 통제에서 미비점이 식별된 경우, 경영진은 정보의 완전성과 정확성에 대한 통제의 미비점이 해당 정보를 사용한 통제에 실제 영향을 미쳤는지 확인하기 위해, 해당 정보가 실제로 완전하고 정확하게 작성되었음을 직접 확인하는 절차를 대체적인 통제로서 설계·

운영할 수 있습니다. 동일한 목적으로 경영진은 유사한 절차를 모니터링 통제의 일부로 내부회계관리제도 평가 절차에 포함하고 주기적으로 수행할 수도 있습니다.

경영진이 위와 같은 대체적인 통제를 설계·운영하여 해당 정보의 완전성과 정확성을 직접 확인함으로써 정보의 완전성과 정확성에 대한 통제의 미비점이 해당 정보를 사용한 통제에는 실제 영향을 미치지 않았음을 입증하였고, 감사인이 대체적인 통제를 테스트한 결과 해당 통제가 효과적으로 설계·운영된다고 결정하였다면, 감사인은 해당 정보를 사용하는 통제 자체에는 미비점이 없고 기업이 생성한 정보의 완전성과 정확성에 대한 통제에만 미비점이 있는 것으로 고려할 수 있습니다. 또한 감사인은 해당 정보의 완전성과 정확성에 대한 통제 미비점을 평가할 때 이러한 대체적인 통제를 미비점의 심각성을 완화하는 보완통제로 고려할 수도 있습니다.

경영진이 이와 같은 대체적인 통제도 설계·운영하지 않은 경우, 기업이 생성한 정보의 완전성과 정확성에 대한 통제뿐 아니라 해당 정보를 사용하는 통제에도 미비점이 식별될 가능성이 매우 높으며 정보의 완전성과 정확성에 대한 통제의 심각성도 높게 평가될 가능성이 높습니다. 이러한 경우에 미비점 평가 목적만으로 감사인이 기업이 생성한 정보의 완전성과 정확성을 직접 확인하는 절차를 수행하는 것은 적절하지 않습니다.

다만 감사 과정에서 해당 정보의 완전성과 정확성을 확인하는 실증절차가 수행되고 해당 정보가 실제로 완전하고 정확하게 작성되었음을 뒷받침하는 충분하고 적합한 감사증거가 입수될 수 있습니다. 이러한 경우에도 해당 정보가 실제로 완전하고 정확하게 작성되었다는 사실만으로 해당 정보의 완전성과 정확성에 대한 통제 미비점의 심각성이 낮다고 결론 내릴 수는 없습니다. 그러나 해당 정보가 실제로 완전하고 정확하다는 사실은 아래와 같이 미비점의 심각성을 낮추는 요소가 있음을 시사할 수 있습니다.

감사인은 해당 통제 미비점의 심각성을 평가할 때 미비점의 심각성에 영향을 미치는 위험요소로 해당 정보의 복잡성, 생성·사용 빈도, 부정 취약성 등의 특성을 고려할 수 있습니다. 예를 들어 해당 정보가 부정에 노출될 위험이

낮다거나, 복잡하지 않다거나, 해당 정보를 작성하는 데 주관적인 판단이 개입되지 않는다거나, 해당 정보가 드물게 생성·사용된다면 감사인은 이와 같은 특성을 왜곡표시의 발생 가능성을 낮추는 요소로 고려할 수 있습니다.

감사인이 위와 같은 해당 정보의 특성 등을 왜곡표시의 발생가능성을 낮추는 요소로 판단할 때 해당 정보가 실제 완전하고 정확하게 작성되었다는 사실은 감사인의 판단을 뒷받침하는 간접 증거로 고려할 수 있습니다.

관련기준 감사기준서 1100 문단 48~50, A74~A82

고위 경영진이 저지른 부정을 식별한 경우 이는 중요한 취약점의 지표이며, 감사인은 부정의 금액적 중요성과 관계없이 지배기구나 적합한 다른 경영진에게 부정이 발생한 근본 원인을 분석하여 원인이 된 통제 미비점을 파악하고 해당 미비점을 시정하도록 요청하여야 합니다. 또한 해당되는 경우 감사인은 외부감사법 제22조와 금융위원회가 발표한 ‘회계부정 조사 관련 가이드라인’에 따라 감사(또는 감사위원회)에 부정 사실을 통보하고 회계부정 조사 등 필요한 조치를 취하도록 요청하여야 합니다.

감사(또는 감사위원회)나 경영진이 부정 발생의 원인을 파악하기에 충분한 정도로 조사를 하지 않거나 평가기준일까지 부정 발생의 원인이 된 통제 미비점을 개선하고 효과적으로 운영하지 않는다면 일반적으로 감사인은 이를 중요한 취약점으로 고려합니다.

관련기준 감사기준서 1100 문단 48~50, A74~A82

코로나 19의 영향으로 불확실성이 높아진 상황에서 경영진이 재무제표 작성 시점 현재 이용 가능한 내·외부 증거를 바탕으로 최선의 추정을 수행할 수 있게 통제를 효과적으로 설계, 운영하였고 그 결과 미래현금흐름 추정 시 사용한 가정과 최선의 추정치가 명백히 비합리적이지 않고 적용한 할인율이 시장에서 수용가능한 할인율 조정 범위 이내라면 향후 그 추정치가 변경되더라도 내부회계관리제도 미비점에 해당하지 않습니다. 이때 감사인은 회사가 통제를 운영한 결과 회계추정에 사용한 가정과 근거를 문서화하였는지, 이를 충분히 공시하였는지를 함께 고려합니다.

관련기준 감사기준서 1100 문단 48~50, A74~A82

감사기준서 1100 문단 5에 따라 내부회계관리제도 감사를 수행하는 감사인이 달성할 목적은 내부회계관리제도 평가기준일 현재 중요한 취약점이 존재하는지 여부에 대해 합리적인 확신을 얻는 것입니다. 감사기준서 1100은 문단 A5에서 감사인의 인증 대상이 ‘내부회계관리제도’ 자체임을 명확히 하고 있습니다.

감사기준서 1100 문단 A6은 감사인이 내부회계관리제도감사를 수행할 때 내부회계관리제도 운영실태에 관한 보고내용이 외부감사법의 요구사항을 포함하여 ‘내부회계관리제도 평가 및 보고 모범규준’에 따라 작성되었는지를 평가하도록 하고 있습니다. ‘운영실태에 관한 보고내용’은 인증 대상, 즉 의견 표명 대상이 아니므로 감사인이 ‘운영실태에 관한 보고내용’에 대한 별도의 의견을 형성할 목적으로 감사 절차를 수행할 필요는 없습니다. 감사기준서 1100 문단 A6은 운영실태 보고 내용이 외부감사법과 모범규준에 따라 작성되었는지를 평가하는 절차를 내부회계관리제도의 효과성을 감사하는 절차의 일부로서 수행하여야 한다는 의미입니다.

다시 말해 감사인은 회사가 ‘운영실태에 관한 보고 내용을 작성하는 절차’를 내부통제의 일부로서 고려하여 다른 통제와 마찬가지로 통제의 성격에 적합한 테스트 절차를 수행하면 됩니다. ‘운영실태에 관한 보고 내용을 작성하는 절차’는 주로 경영진의 운영실태 평가?보고 절차와 이를 뒷받침하는 회사의 통제 설계 문서화로 구성되며 대부분 전사적 수준 통제(예: 위험평가 프로세스, 모니터링 통제)에 해당합니다.

한편 감사인은 감사기준서 1100 문단 59, 60에 따라 내부회계관리제도의 효과성에 대한 의견을 형성한 후 내부회계관리제도 운영실태보고서의 ‘필수요소에 대한 경영진의 표시내용’을 평가하여 필수 요소가 불완전하거나 부적절하게 표시되었다고 결정하는 경우 운영실태보고서를 수정하도록 요청하고 경영진이 수정하지 않으면 감사보고서에 기타사항으로 기재합니다.

관련기준 감사기준서 1100 문단 5, 59~60, A5~A6

경영진의 운영실태 평가는 내부통제 구성 요소 중 모니터링에 해당합니다. 감사인은 경영진의 운영실태 평가에 대해 일반적으로 다른 전사적 수준 통제를 식별하고 테스트하는 수준의 감사 절차를 수행하고 문서화하여야 합니다.

운영실태 평가와 관련하여 상기와 같은 절차는 주로 경영진의 평가계획, 평가결과, 경영진이 식별한 미비점, 개선 계획을 검토하고 평가계획 등이 해당 상황에 적합한지 평가하는 절차로 구성됩니다. 일반적으로 감사인이 경영진의 개별 평가 절차를 대상으로 재수행 등의 절차를 수행할 필요는 없습니다.

관련기준 감사기준서 1100 문단 7, 24, A10~A11, A31~A32, 감사기준서 315 문단 15~17, 감사기준서 265 문단 A7

경영진의 운영실태 평가는 내부통제 구성요소 중 모니터링에 해당합니다. 따라서 경영진의 운영실태 평가가 미비한 경우 감사인은 이를 모니터링 구성요소상 미비점으로 식별하여 다른 통제의 테스트에 미치는 영향을 결정하고 미비점의 심각성을 평가하여야 합니다(FAQ 7, 8 참조).

한편 내부감사기능이 수행한 운영실태 평가 절차에서 미비점이 식별되었다면 감사인은 내부감사기능이 수행한 업무를 감사 목적으로 활용할 수 없습니다(FAQ 54, 55 참조).

관련기준 감사기준서 1100 문단 24, 60, 77, A6, A10~A11, A31~A32

감사기준서 1100 문단 A9에 따르면 경영진의 문서화의 형태에 대하여 특별히 규정된 바는 없으며 문서화의 범위는 기업의 규모와 복잡성과 기업의 모니터링 활동에 따라 변경될 수 있습니다.

감사인이 제시 받아야 하는 문서는 감사인이 기업의 규모와 복잡성 등에 비추어 해당 프로세스와 통제를 이해하는 데 필요하다고 판단한 문서입니다. 예를 들어 감사인은 기업의 규모가 크고 프로세스가 복잡한 경우 프로세스와 통제를 이해하는 데에 업무흐름도, 업무기술서 등의 문서가 필요하다고 판단할 수도 있으며, 반대로 기업의 규모가 작고 프로세스가 단순한 경우 업무흐름도 등이 아닌 다른 문서로도 프로세스와 통제를 충분히 이해할 수 있다고 판단할 수도 있습니다.

관련기준 감사기준서 1100 문단 7, A6, A8~A9

회사의 통제 설계 문서화는 전사적 수준 통제(예: 위험평가 프로세스)의 일부입니다. 따라서 감사인이 회사의 통제 설계 문서화가 충분하지 않다고 판단하였다면 이는 전사적 수준 통제의 미비점에 해당할 수 있습니다. (FAQ 7, 8참조)

회사의 통제 설계 문서화가 충분하지 않을 경우 다음과 같이 통제와 연관된 위험이 높아질 수 있으므로, 감사인은 이러한 위험을 반영하여 통제의 설계?운영 효과성 테스트의 성격, 시기, 범위를 조정하여야 합니다.

• 경영진이 통제를 식별하는 데 실패하여 통제가 실행되지 않음
• 통제 수행에 책임이 있는 사람에게 적절한 커뮤니케이션이 이루어지지 않아 통제가 효과적으로 운영되지 않음
• 통제가 모니터링되지 않음

관련기준 감사기준서 1100 문단 7, A8~A9

모범규준 등^*에 따르면 경영진의 테스트 절차는 독립적인 제3자가 평가 절차와 결과를 이해하고 테스트의 적정성을 검토할 수 있도록 충분하게 문서화되어야 합니다.
감사인은 모니터링 통제를 테스트할 때 경영진의 테스트 절차가 상기 수준으로 충분히 문서화되었는지 평가하고 그 결과를 모니터링 통제의 효과성에 영향을 미치는 요소 중 하나로 고려하여야 합니다.

관련기준 감사기준서 1100 문단 7, 24, A10~A11, A31~A32

내부회계관리제도 전담 조직이 없거나 CFO 산하에 있더라도 회사가 평가 및 보고 적용기법, 모범규준 등 적용 FAQ*에 따라 객관적인 평가를 수행하는 조직을 운영한다면 미비점에 해당하지 않습니다.
상기와 같은 미비점 해당 여부와는 별개로, 경영진이 객관적인 평가를 수행하였는지는 평가수행자의 객관성과 적격성에 영향을 받으므로 감사인은 평가수행자가 실질적으로 객관성과 적격성을 갖추었는지를 평가하여야 합니다.

관련기준 감사기준서 1100 문단 7, 24, A10~A11, A31~A32

감사인은 전사적 수준 통제 테스트 등의 목적으로 경영진이 위험평가 및 설계 테스트를 수행하였다는 근거를 확인하여야 합니다. 추적조사는 이러한 근거 중 하나이며 경영진이 다른 방법으로 위험평가 및 설계 테스트를 수행하였음을 입증할 수 있다면 경영진이 반드시 추적조사를 수행할 필요는 없습니다. 즉 추적조사를 수행하지 않았다고 해서 그 사실만으로 이를 내부통제 미비점으로 식별하여야 하는 것은 아닙니다.

관련기준 감사기준서 1100 문단 7, 24, A10~A11, A31~A32

평가 및 보고 모범규준에 따르면 감사(위원회)가 동 모범규준 문단 95의 활동을 수행한 경우 감사(위원회)의 독립적인 평가 이뤄졌다고 판단할 수 있습니다.

감사(위원회)의 독립적 평가에만 국한한다면, 일반적으로 감사인은 회의록이나 기타 문서를 열람하여 감사(위원회)가 모범규준 문단 95의 활동을 수행하였다는 증거를 입수하고 감사(위원회)의 평가보고서가 정보이용자를 호도하지 않는지를 확인하는 것으로 감사(위원회)의 독립적인 평가가 이루어졌는지를 결정할 수 있습니다. 이때 감사인은 감사(위원회)가 모범규준 문단 95의 활동을 수행하였다는 증거를 입수하여야 하므로 경영진이 감사(위원회)에 보고한 자료만으로는 감사위원회가 모범규준 문단 95의 활동을 수행하였다는 증거가 될 수 없습니다.

그러나 감사(위원회)의 감독 기능이 전반적으로 효과적인지를 평가하는 감사 절차는 감사(위원회)의 독립적 평가를 테스트하는 절차에 국한되지 않습니다. 감사인은 감사(위원회)의 감독 기능이 효과적인지를 평가하기 위하여 통제환경 테스트를 포함한 다른 감사 절차에서도 충분한 감사 증거를 입수하여야 합니다.

관련기준 감사기준서 1100 문단 26, A31, A82

재무제표 감사보고서와 함께 내부회계관리제도에 대한 감사보고서를 발행할 때에는 재무제표 감사보고서의 재무제표감사에 대한 감사인의 책임 단락에서 ‘내부통제에 대한 감사인의 고려가 해당 기업의 내부통제의 효과성에 대한 의견을 표명하기 위한 목적이 아니’라는 문구(아래 ‘그러나’ 이하 밑줄 표시 부분)를 삭제하여야 합니다. 관련기준 감사기준서 700 문단 38.(b).(ii)

법규나 감사기준에서 사용 제한 문구를 기재하도록 요구하지 않으므로 내부회계관리제도 감사보고서에 사용 제한 문구를 기재할 의무는 없습니다. 다만 감사인이 판단하여 사용 제한 문구를 기재할 수는 있습니다.

감사인의 판단에 따라 내부회계관리제도 감사보고서에 사용 제한 문구를 기재한다면 다른 감사보고서와 통일성을 높이는 차원에서 다음과 같은 문구를 기술할 수 있습니다.

내부회계관리제도 감사보고서에서 참조하는 재무제표 감사 의견은 되도록 재무제표 감사보고서와 일치하는 것이 바람직합니다.

따라서 감사기준서 1100 보론의 내부회계관리제도 감사보고서 사례에서 재무제표 감사 의견을 참조하는 부분에 아래 예시와 같이 ‘유의적인 회계정책의 요약을 포함한 재무제표의 주석’을 추가(밑줄 부분 추가)하는 것이 바람직할 것으로 판단됩니다. 관련기준 감사기준서 1100 문단 70

내부회계관리제도 감사보고서에도 윤리적 요구사항의 원천을 ‘대한민국의 윤리적 요구사항’으로 기재(감사기준서 1100 감사보고서 사례를 밑줄 부분처럼 수정)하면 재무제표 감사보고서와 일관성을 높일 수 있습니다. 또한 대한민국의 윤리적 요구사항은 공인회계사 윤리기준 외에 외부감사법 등에서 요구하는 독립성 요구사항까지 포괄하는 의미가 있습니다. 관련기준 감사기준서 1100 문단 69.d, 감사기준서 700 28.(c), A29~A31

감사의견이 변형되면 주가 하락 등 투자자에게 미치는 영향이 크므로 감사인은 손해를 입은 투자자들의 위협에 당연히 직면하게 됩니다. 회계감사실무지침 2018-1은 이러한 위협에서 감사인을 보호하여 감사인이 독립적으로 의견을 형성할 수 있게 하려는 취지로 감사의견 변형 상황에서 업무수행이사 이름을 기재하지 않을 수 있게 하였습니다.

내부회계관리제도 감사의견 변형이 투자자에게 미치는 영향과 이에 따라 감사인이 직면하게 될 위협이 재무제표 감사 의견이 변형될 때보다 적다고 볼 이유가 없으므로 실무지침 2018-1 문단 4를 준용하여 업무수행이사 이름 기재를 생략할 수 있을 것으로 판단됩니다.

관련기준 감사기준서 1100 문단 69.h, 감사기준서 700 문단 45, 회계감사실무지침 2018-1 문단 4.(1)

평가 및 보고 모범규준 문단 88에 따라 중요한 취약점은 운영실태보고서의 필수 구성요소이므로 감사인이 식별한 중요한 취약점이 운영실태보고서에 포함되지 않으면 감사인이 운영실태보고서의 필수요소가 불완전하거나 부적절하게 표시되었다고 볼 수 있습니다.

이 경우 감사기준서 1100 문단 77이 적용되며 감사기준서 1100 문단 77에서 운영실태보고서상 중요한 취약점의 불공정 공시는 다시 문단 75의 요구사항을 적용하도록 하였으므로 위와 같은 상황에서 감사인은 감사기준서 1100 문단 75에 따르면 됩니다. 감사기준서 1100 문단 75는 해당되는 경우 하나 이상의 내부회계관리제도 운영실태보고서에 중요한 취약점이 포함되지 않았음을 언급하도록 요구하고 있으나 기술할 단락의 위치는 특정하고 있지 않습니다.

다만 의견근거 문단에서 경영진의 운영실태보고서를 언급하게 되면 정보이용자가 운영실태보고서의 불완전한 기재 때문에 부적정의견을 표명한 것으로 오해할 수 있으므로 경영진의 운영실태보고서에 대한 언급은 기타사항에 기재하는 것을 우선 고려할 필요가 있습니다.

만약 의견근거 문단에 중요한 취약점이 운영실태보고서에 포함되지 않았음을 기술한 경우에는 기타사항을 추가로 기재할 필요는 없으나 정보이용자가 운영실태보고서의 불완전한 기재 때문에 부적정의견을 표명한 것으로 오해하지 않게 문구를 기재하도록 유의할 필요가 있습니다.

관련기준 감사기준서 1100 문단 60, 75, 77, A88

경영진이 재무보고 목적으로 가치평가, 계리평가 등에 외부전문가를 활용하였다면 감사인은 외부전문가가 감사기준서 500에 따른 경영진측 전문가인지 감사기준서 402에 따른 서비스조직인지 판단하여야 합니다. 이러한 판단을 할 때 감사인은 회사와 외부전문가가 체결한 계약서, 외부전문가가 제공한 산출물 등을 검토하여 외부전문가의 성격을 이해하고 경영진측 전문가와 서비스조직을 구분하는 다음과 같은 특징을 종합적으로 고려합니다.

(아래 구분은 절대적인 기준이 아니며 특정 항목에 해당한다고 자동적으로 결론을 내릴 수 있는 것은 아님)

• 감사기준상 정의
  
  경영진측 전문가는 회계나 감사 외의 분야에서 전문성을 보유하고 해당 분야에서 기업의 재무제표 작성에 도움을 주는 개인 또는 조직입니다(감사기준서 500 문단 5.(d)).
  서비스조직은 이용자기업의 재무보고 관련 정보시스템의 일부를 구성하는 서비스를 이용자기업에게 제공하는 제3자 조직이며(감사기준서 402 문단 8.(e)), 이러한 조직들이 제공하는 서비스는 대부분 그 기업의 사업운영에 필수적인 부분입니다(감사기준서 402 문단 2).
  따라서 외부전문가가 재무제표 작성에 도움을 주는 성격에 가까울수록 경영진측 전문가일 가능성이 높으며, 정보시스템의 일부를 구성하고 사업운영에 필수적인 부분을 수행하는 성격에 가까울수록 서비스조직일 가능성이 높습니다.



• 기업의 전문성에 대한 기대
  
  상기 감사기준서의 정의를 다른 관점에서 보면, 유사한 기업에서 경영진이나 다른 통제수행자가 해당 외부전문가와 비슷한 수준의 전문성을 갖추는 것이 일반적이라면 외부전문가는 서비스조직에 해당할 가능성이 높습니다. 반면 일반적으로 유사한 기업의 경영진 등이 그러한 전문성을 갖추기를 기대하지 않는다면 외부전문가는 경영진측 전문가에 해당할 가능성이 높습니다.



• 중요왜곡표시위험의 변동
  
  기업은 재무제표를 작성하는 데 필요한 전문성을 확보하기 위해 경영진측 전문가를 고용하거나 경영진측 전문가와 계약을 맺을 수 있으며, 기업이 이와 같은 전문성이 필요한데도 그렇게 하지 않을 경우 중요왜곡표시위험이 증가합니다(감사기준서 500 문단 A34). 즉 전문성이 필요한 분야에 경영진측 전문가를 활용하면 중요왜곡표시위험은 감소합니다.
  
  반면 서비스조직을 이용하면 제공되는 서비스의 성격과 서비스에 대한 통제에 따라 이용자기업의 중요왜곡표시위험이 증가할 수도 있고 감소할 수도 있습니다.(감사기준서 402 문단 A24)
  
  따라서 외부전문가를 사용하여 중요왜곡표시위험이 감소했다는 사실로는 어떠한 결론도 내릴 수 없으나, 외부전문가를 사용하였음에도 중요왜곡표시위험이 감소하지 않는다면 외부 전문가는 서비스조직에 해당할 가능성이 높습니다.



• 외부전문가 사용 목적
  
  상기 감사기준서 402 문단 2, 감사기준서 500 문단 A34 등에 비추어 보면, 외부전문가를 사용하는 목적에 재무제표를 작성하는 데 필요한 전문성을 확보하는 것 외의 다른 목적이 있을수록 외부전문가는 서비스조직에 해당할 가능성이 높습니다. 예를 들어 경영 효율성을 높이거나 특정 정보의 비밀을 유지하기 위한 목적으로 외부전문가를 사용한다면 이러한 외부전문가는 서비스조직일 가능성이 높습니다.
  
  반대로 순수하게 재무제표 작성에 도움을 받을 목적으로 외부전문가를 사용한다면 이러한 외부전문가는 경영진측 전문가일 가능성이 높습니다.
  
  
• 외부전문가의 서비스 제공 방식
  
  외부전문가의 해당 서비스가 일상적으로 다수 정보이용자(예: 구독자)에게 제공된다면 외부전문가는 서비스조직일 가능성이 높습니다. 반면 기업의 특정 자산이나 거래에 한정하여 개별적인 서비스를 제공한다면 외부전문가는 경영진 측 전문가일 가능성이 높습니다.
  
  예를 들어 자산평가기관에서 유료회원에게 정기적으로 다양한 금융상품의 가격 정보를 제공하는 경우 기업이 재무보고 목적으로 이러한 서비스를 이용한다면 내부회계관리제도 목적상 자산평가기관은 서비스조직일 가능성이 높습니다. 그러나 정기적으로 가격 정보가 제공되지 않는 금융상품의 가치산정을 위해 이러한 자산평가기관과 개별 계약을 맺고 특정 금융상품에 대한 가치평가 서비스를 제공받는다면 내부회계관리제도 목적상 자산평가기관은 경영진측 전문가일 가능성이 높습니다.



• 감사기준상 예시
  
  감사기준서 500는 기업이 경영진측 전문가를 고용하거나 계약을 맺을 수 있을 예로 다음을 들고 있습니다(감사기준서 500 문단 A34).
  
  - 보험수리적 계산
  - 가치평가
  - 공학적 데이터
  
  감사기준서 402는 서비스조직의 예로 다음을 들고 있습니다(감사기준서 402 문단 A3).
  
  - 은행 신탁부서(종업원급여제도 등의 자산을 투자하고 관리)
  - 모기지 은행(타인의 모기지를 관리)
  - 응용서비스 제공자(고객의 채무 및 영업거래 처리용 응용 패키지 소프트웨어 및 기술 환경을 제공)

상기 사항을 종합적으로 고려했을 때, 가치평가나 계리평가와 같은 외부전문가 서비스가 회사의 영업에 필수적이지 않은 회사라면, 재무제표 작성 목적의 가치평가나 계리평가 등을 제공하는 외부전문가는 많은 경우 경영진측 전문가에 해당할 가능성이 높습니다.

관련기준 감사기준서 1100 문단 91~93, A112~A116, 감사기준서 402 문단 2~5, 8.(e), 감사기준서 500 문단 8, A34~A48

회사가 경영진측 전문가를 이용하였다면 감사인은 회사가 다음과 같은 통제를 효과적으로 설계?운영하였는지 테스트합니다.

• ① 전문가가 수행한 업무에 기업에서 제공한 원천데이터가 유의적으로 사용되었다면, 원천데이터의 관련성, 완전성 및 정확성에 대한 통제
• ② 적합한 전문가를 선임하기 위해 전문가의 적격성, 역량 및 객관성을 평가하고 업무 계약 내용을 검토하는 통제
• ③ 전문가가 수행한 업무를 이해하고 전문가가 수행한 업무가 관련경영진주장에 대한 증거로서 적합한지 검토하는 통제. 이러한 통제는 다음을 포함합니다.
  • 전문가의 발견사항이나 결론의 관련성과 합리성, 다른 증거와의 일관성, 그리고 이들이 재무제표에 적합하게 반영되었는지 여부를 검토함
  • 해당 전문가가 유의적 가정과 방법을 사용한 경우, 그러한 가정과 방법의 관련성과 합리성을 검토함

회사가 위 ③의 통제 중 일부를 직접 운영하는 대신 전문가의 관련성 있는 통제(예: 평가모델의 적절성 검증)에 의존한다면, 감사인은 서비스조직과 유사하게 경영진측 전문가의 관련성 있는 통제가 효과적으로 운영되고 있다는 증거를 입수하는 절차를 수행할 수 있습니다(FAQ 53 참조).

관련기준 감사기준서 1100 문단 36, 감사기준서 500 문단 8, A34~A48

회사가 서비스조직을 이용하고 서비스조직의 통제가 감사인이 내부회계관리제도의 효과성에 대한 결론을 내리는 데에 관련성이 있다면 감사인은 다음 중 하나 이상의 절차를 통해 감사증거를 입수하여야 합니다(감사기준서 1100 문단 A114).

• 입수가능하다면 유형 2 보고서를 입수함
• 서비스조직의 통제에 대해 적합한 통제테스트를 수행함
• 서비스조직의 통제에 대해 통제테스트를 수행한 타감사인의 업무를 활용함

또한 서비스조직에 설치되어 있는 통제와 무관하게, 이용자기업이 서비스조직의 서비스에 대한 통제를 수립하고 관련경영진주장의 일부나 전부에 대응하도록 효과적으로 운영한다면, 감사인은 이러한 이용자기업의 통제를 테스트할 수 있습니다. 이러한 통제에는 다음이 포함될 수 있습니다(감사기준서 1100 문단 A115, 감사기준서 402 문단 A12).

• 이용자기업이, 서비스조직이 처리한 항목 중 일부를 선택하여 독립적으로 재수행함
• 이용자기업이, 서비스조직의 산출물과 원천문서를 대사하고 조정(reconciliation)함

관련기준 감사기준서 1100 문단 91~93, A112~A116, 감사기준서 402 문단 2~5, 8.(e)

감사인은 감사기준서 1100 문단 21에 따라 내부회계관리제도 감사에서 내부감사인이 수행한 업무를 활용할 수 있습니다. 감사기준서 1100 문단 A25에서도 감사증거를 입수할 때 ‘내부감사기능’이 수행한 업무를 활용할 수 있다고 명시되어 있습니다. 따라서 내부회계관리제도 감사를 수행하는 감사인은 ‘내부감사기능’이 수행한 업무를 활용할 수 있습니다.

감사기준서 1100 제정개요의 문단 38은 “기준위원회는 AS2201 내용 중 내부감사기능의 직접적 보조 활용과 ‘타인’이 수행한 업무의 활용 관련 내용은 제정안에 반영하지 않았다”라고 언급하고 있습니다. 여기서 타인이란 ‘내부감사기능을 제외한’ 타인을 의미합니다. 즉 제정개요의 문단 38은 감사기준서 1100에 따른 감사에서는 ‘내부감사기능을 제외한’ 타인이 수행한 업무를 활용할 수 없다는 의미입니다.

관련기준 감사기준서 1100 문단 21, A25

감사기준서 610 문단 A2에 따르면 내부감사기능이 수행한 활동과 비슷한 활동을 기업 내 다른 명칭을 가진 기능이 수행할 수 있으며 내부감사기능의 일부 또는 전체 활동은 제3자 서비스 제공자에게 아웃소싱될 수도 있습니다. 따라서 내부회계관리제도 전담팀이나 외부 테스트 전문가도 감사기준서 610의 내부감사기능의 정의(기준서 610 문단 14, A1~A4 참조)를 충족한다면 내부감사기능에 해당할 수 있습니다.

감사인은 감사기준서 610 문단 15~16, A5~A14에 따라 내부감사기능의 객관성, 적격성, 체계적이고 규율된 접근법의 적용 여부를 평가하여 내부감사기능이 수행한 업무를 감사목적을 위해 활용할 수 있는지 결정하여야 합니다.

요컨대 내부회계관리제도 전담팀이나 외부 테스트 전문가가 감사기준서 610에 따른 내부감사기능의 정의를 충족하고 동 기준서에 따라 객관성, 적격성, 체계적이고 규율된 접근법의 적용 등 활용 요건을 갖추었다면, 감사인은 내부회계관리제도 전담팀이나 외부 테스트 전문가가 수행한 업무를 활용할 수 있습니다.

다만 감사인은 내부감사기능, 특히 지배기구 직속이 아닌 내부감사기능이 감사기준서 610에 따라 객관성, 적격성, 체계적이고 규율된 접근법 적용 등의 활용 요건을 충족하기는 매우 어렵다는 점에 유의하여 활용 요건 충족 여부를 엄격하게 판단하여야 합니다. 또한 내부감사기능이 수행한 업무를 활용하기로 결정하였다면 동 기준서에 따른 절차를 철저하게 준수하여야 합니다. 이러한 판단과 절차의 예는 다음과 같습니다.

• 내부회계관리 전담팀이나 외부 테스트 전문가가 객관성, 적격성, 체계적이고 규율된 접근법을 갖추었는지 판단할 때 감사기준서 610 문단 15와 A5~A11의 요구사항을 충분하게 고려함. 예를 들어 내부감사기능이 객관성을 갖추려면 내부감사기능의 조직 내 위상과 관련 정책 및 절차가 내부감사인의 객관성을 지원하여야 하며 지원 여부를 판단하기 위해 내부감사기능이 지배기구에게 직접 보고하는지 여부, 내부감사기능이 내부감사기능 외의 관리?운영상 책임이 없는지 여부, 지배기구가 내부감사기능의 보상 정책을 결정하는지 여부 등을 고려하여야 함(감사기준서 610 문단 A7)



• 내부감사기능이 수행한 업무를 감사에 활용하려면 감사 계획 단계부터 정교한 활용 계획을 수립하고 내부감사기능과 협의하여야 하며 지배기구와도 활용 계획을 커뮤니케이션해야 함. 사전에 정교한 활용 계획을 수립하지 않고 즉흥적으로 업무를 활용하는 것은 허용되지 않음



• 관련된 감사절차 계획?수행과 입수된 감사증거의 평가에 판단이 많이 수반될수록, 유의적 위험을 포함하여 관련경영진주장의 평가된 중요왜곡표시가 높을수록, 통제와 연관된 위험이 높을수록 내부감사기능이 수행한 업무의 활용을 줄이고 감사인이 직접 수행한 업무를 늘리도록 계획하여야 함. 일반적으로 감사인이 내부감사기능의 업무를 활용하는 분야는 위험이 낮은 분야에 국한되며 중요왜곡표시위험이나 통제와 연관된 위험이 높은 분야는 내부감사기능을 활용할 수 있는 상황이 극히 드물 것임. 또한 추적조사 등 잠재적 왜곡표시의 원천을 이해하는 절차는 감사인이 직접 수행하여야 함(감사기준서 1100 문단 33)



• 감사인이 내부감사기능을 활용하더라도 내부감사기능의 운영실태평가는 내부통제의 일부로서 독립적으로 수행되어야 함. 예를 들어 운영실태 평가를 위한 테스트 표본 추출에 감사인이 개입하는 것은 허용되지 않음.



• 감사인은 내부감사기능이 수행한 업무가 감사 목적상 적절한지 평가하기 위해 충분한 감사 절차를 수행하여야 함. 이러한 감사 절차에는 일부 업무의 재수행을 포함하여야 함.



• 또한 감사인은 상기와 같이 내부감사기능이 수행한 업무를 평가한 결과를 반영하여 내부감사기능을 활용하는 것이 여전히 적합한지 재평가하여야 함. 특히 내부감사기능이 수행한 운영실태 평가 절차에서 미비점이 식별되었다면 감사인은 내부감사인이 수행한 업무를 감사 목적으로 활용할 수 없음(FAQ 37 참조)
• 감사인은 내부감사기능의 객관성, 적격성, 체계적이고 규율된 접근법 적용 여부를 평가한 결과와 근거, 내부감사기능의 활용과 관련하여 지배기구 등과 커뮤니케이션한 내용, 활용한 업무의 적절성을 평가하기 위해 수행한 절차를 구체적으로 문서화 하여야 함

관련기준 감사기준서 1100 문단 21, A25-A26, 감사기준서 610

통제테스트를 수행할 부문을 결정할 때, 그룹업무팀은 해당 부문과 관련한 재무제표의 중요왜곡표시위험을 평가하고 해당 부문과 관련한 위험에 상응하는 정도의 주의를 기울여야 합니다(감사기준서 1100 문단 84). 이처럼 부문의 중요왜곡표시위험을 평가하고 이에 대응하는 위험기반 접근법은 재무제표 감사와 다르지 않으며, 감사인은 감사기준서 600 ‘그룹재무제표 감사 － 부문감사인이 수행한 업무 등 특별 고려사항’의 요구사항을 필요에 맞게 조정하여 내부회계관리제도 감사에 적용할 수 있습니다(감사기준서 1100 문단 A107).

연결 내부회계관리제도 감사 목적으로 각 부문은 다음과 같이 구분할 수 있습니다.

• (1) 유의적 부문
  그룹업무팀이 다음 중 하나의 특성을 갖는 것으로 식별한 부문입니다.
  • 재무적으로 유의적인 부문: 그룹재무제표에 대해 개별적으로 재무적 유의성을 가지는 부문(감사기준서 600 문단 9(m)(i))
  
  
  • 특정 위험으로 인하여 유의적인 부문: 부문의 고유한 성격이나 상황으로 인하여 그룹재무제표에 대하여 유의적인 중요왜곡표시위험을 포함할 가능성이 있는 부문(감사기준서 600 문단 9(m)(ii))
• (2) 유의적이지 않은 부문
  상기 유의적 부문에 해당하지 않는 부문으로, 다음과 같은 부문들이 있습니다.
  • 개별적으로 그룹재무제표에 중요한 왜곡표시를 발생시킬 가능성이 낮지 않은(more than remote) 특정 위험을 포함하는 부문
  
  
  • 개별적으로는 그룹재무제표에 중요한 왜곡표시를 발생시킬 가능성이 낮지만 다른 부문과 합쳤을 때 그룹재무제표의 특정 거래유형, 계정잔액 또는 공시에 중요한 왜곡표시를 발생시킬 가능성이 낮지 않은(more than remote) 부문
  
  
  • 기타: 개별적으로 또는 합쳤을 때 그룹재무제표에 중요한 왜곡표시를 발생시킬 가능성이 낮은(remote) 부문(감사기준서 1100 문단 A108) 등 상기에 해당하지 않는 기타 부문

관련기준 감사기준서 1100 문단 84, A107-A108, 감사기준서 600

아래에 해당하는 부문은 유의적이지 않은 부문이라도 추가 고려에 포함하여야 합니다. (이하 추가 고려로 인하여 테스트에 포함된 부문을 “in-scope” 부문이라 함) 즉 해당 부문에서는 특정 위험에 대한 통제 테스트 등 추가 절차를 수행하여 통제의 운영효과성에 대한 감사증거를 입수하여야 합니다.

• 개별적으로 그룹재무제표에 중요한 왜곡표시를 발생시킬 가능성이 낮지 않은(more than remote) 특정 위험을 포함하는 부문. 즉 개별 부문에서 식별된 중요왜곡표시위험이 유의적 위험이 아니더라도 해당 위험으로 인하여 그룹재무제표에 중요한 왜곡표시를 발생시킬 가능성이 낮지 않다면 추가 고려에 포함하여야 합니다.


• 둘 이상의 부문을 합쳤을 때 그룹재무제표에 중요한 왜곡표시를 발생시킬 가능성이 낮지 않은(more than remote) 부문

그룹업무팀이 추가 고려에서 제외하는 부문(이하 ‘잔여 부문’)을 줄여가는 방식으로 업무 범위를 정한다면 잔여 부문을 합쳤을 때 그룹재무제표에 중요한 왜곡표시를 발생시킬 가능성이 낮아질(remote) 때까지 유의적이지 않은 부문의 일부를 추가 고려에 포함하여야 합니다.

그룹업무팀은, 개별적으로 또는 합쳤을 때, 그룹재무제표에 중요한 왜곡표시를 발생시킬 가능성이 낮은(remote) 부문을 추가 고려에서 제외할 수 있습니다(감사기준서 1100 문단 A108).

관련기준 감사기준서 1100 문단 84, A107-A108, 감사기준서 600

개별적으로 그룹재무제표에 중요한 왜곡표시를 발생시킬 가능성이 낮지 않은(more than remote) 특정 위험을 포함하는 부문을 결정할 때, 그룹업무팀은 다음과 같은 양적, 질적 위험 요소를 고려할 수 있습니다(감사기준서 600 문단 A51 참조).

• 개별 부문의 특정 거래유형, 계정잔액 및 공시(이하 ‘계정 등’)의 절대적인 규모 또는 개별 부문의 특정 계정 등이 그룹재무제표의 유의적인 거래유형, 계정잔액 및 공시(이하 ‘유의적인 계정 등’)에서 차지하는 상대적인 중요도


• 그룹수준에서 수행된 분석적절차의 결과로 비경상적인 변동이 식별됨


• 부문이 최근에 신설되었거나 인수되었음


• 부문에서 유의적 변화가 발생함(예: 사업활동의 변경, 주요경영진의 구성 변경, 부문경영진의 성실성 및 적격성에 관한 우려, 재무보고체계의 변경 등)


• 부문에서 그룹 공통의 시스템과 절차를 적용하지 않음


• 해당 부문에 적용되는 그룹차원 통제의 운영효과성이 낮음


• 부문에서 내부감사기능의 업무가 수행되지 않음


• 부문이 더 큰 위험이 존재하는 지역에서 영업하는지 여부와 같은 부문과 관련된 특정 위험


• 특수관계자와 유의적 거래가 있음


• 그룹의 정상적인 사업 과정에서 벗어난 유의적 거래가 있거나 부문에서 거래가 실행된 시기, 규모 또는 성격으로 인해 비정상적인 것으로 보임


• 과거 감사에서 중요한 왜곡표시 또는 유의적인 내부통제 미비점이 식별되었음


• 부문에서의 중요한 부외부채가 존재할 가능성이 있음

관련기준 감사기준서 1100 문단 84, A107-A108, 감사기준서 600

그룹업무팀은 잔여 부문을 합쳤을 때 그룹재무제표의 특정 거래유형, 계정잔액 또는 공시에 중요한 왜곡표시를 발생시킬 가능성이 낮지 않은(more than remote)지 여부를 결정할 때 다음과 같은 양적, 질적 기준을 고려할 수 있습니다.

<양적 기준>

• 특정 계정 등의 수준에서, 잔여 부문의 특정 계정 등의 합계금액(이하 ‘잔여 금액’)이 그룹중요성 또는 그룹수행중요성 금액의 일정 배수를 초과하는지 여부, 또는 그룹재무제표 특정 계정 등의 일정 비율을 초과하는지 여부


• 잔여 금액을 구성하는 부문의 수, 잔여 금액이 존재하는 부문의 유의적 계정의 평균 금액(평균, 중앙값 등) 등 잔여 금액의 분산도. 잔여 금액이 여러 부문에 소액으로 분산되어 있다면 소수 부문에 집중되어 있을 때보다 중요왜곡표시가 발생할 가능성이 낮을 수 있음.

이때 일정 배수나 비율은 각 계정 등의 왜곡표시위험을 고려하여 전문가적 판단에 따라 결정하여 그 근거를 문서화하여야 합니다. 즉 특정 계정 등의 왜곡표시위험이 낮은 경우에는 왜곡표시위험이 높은 경우보다 위와 같이 양적 기준 참고치를 산정할 때 상대적으로 더 큰 배수나 비율을 적용할 수 있으나 그 판단 근거를 문서화하여야 합니다.

<질적 기준>

• 기록과 정보처리의 중앙집중화 정도


• 부문으로의 권한 이양과 부문의 활동에 대한 감독을 포함한 통제환경의 효과성


• 부문에 대한 모니터링 활동 등 그룹차원 통제의 주기, 시기, 범위

이상과 같은 양적, 질적 고려요소는 잔여 부문 중 추가 고려에 포함할 부문을 선정할 때에도 고려할 수 있습니다.

예를 들어 모든 부문이 그룹 공통의 시스템과 절차를 적용하면서 그룹차원 통제가 효과적인 그룹은 부문별로 시스템과 절차가 다양하거나 그룹차원 통제가 효과적이지 않은 그룹에 비해 추가 고려에 포함할 유의적이지 않은 부문의 수나 범위를 줄일 수 있습니다.

추가적으로 그룹업무팀은 해당 부문이 법규 또는 기타의 사유에 따라 감사 대상인지 여부를 고려할 수도 있습니다(감사기준서 600 문단 A51). (예: 외부감사법상 내부회계관리제도 감사 대상인 국내 상장 종속기업)

또한 그룹업무팀은 유의적이지 않은 부문 중 추가 고려에 포함할 부문을 선정할 때 예측불가능성의 요소를 포함시킴으로써 해당 부문들의 재무제표상 중요왜곡표시위험을 식별할 가능성을 증대시킬 수 있으며 순환기준에 따라 대상 부문을 변경할 수도 있습니다(감사기준서 600 문단 A51). 예를 들어 그룹업무팀은 전기에 테스트되지 않은 5개의 유의적이지 않은 부문 중 최소 하나의 부문을 당기 추가 고려에 포함하는 등 유의적이지 않은 부문 중 추가 고려에 포함될 부문을 매년 다르게 할 수 있습니다.

관련기준 감사기준서 1100 문단 84, 85, A107-A109, 감사기준서 600

• (1) 재무적으로 유의적인 부문
  재무적으로 유의적인 부문에서 그룹업무팀 또는 그룹업무팀을 대신하는 부문감사인(이하 ‘부문감사인 등’)은 그룹업무팀이 별도로 지정하거나 부문중요성 금액을 기준으로 선정한 부문재무제표의 유의적인 거래유형, 계정잔액 및 공시와 식별된 모든 관련경영진주장에 대하여 평가된 왜곡표시위험에 대처하는 통제를 테스트합니다.
• (2) 특정 위험으로 인하여 유의적인 부문
  부문감사인 등은 그룹업무팀이 결정한 업무 유형에 따라 특정 위험으로 인하여 유의적인 부문에서 다음 중 하나 이상의 절차를 수행합니다.
  • 그룹업무팀이 별도로 지정하거나 부문중요성 금액을 기준으로 선정한 부문재무제표의 유의적 거래유형, 계정잔액 및 공시와 식별된 모든 관련경영진주장에 대하여 평가된 왜곡표시위험에 대처하는 통제를 테스트함
  
  
  • 그룹재무제표에 유의적인 중요왜곡표시위험을 발생시키는 특정 위험을 포함하여 그룹재무제표의 특정 거래유형, 계정잔액 또는 공시에 중요한 왜곡표시를 발생시킬 가능성이 낮지 않은(more than remote) 특정 위험에 대처하는 통제를 테스트함 (또는 특정 위험이 발생하는 관련경영진주장의 평가된 왜곡표시위험에 대처하는 통제를 테스트함)
    
    추가적으로 부문감사인 등이 일부 전사적 수준 통제의 운영효과성 테스트를 수행할 필요가 있을 수 있습니다(FAQ 68 참조).

관련기준 감사기준서 1100 문단 84, 85, A107-A109, 감사기준서 600

그룹업무팀이 특정 위험으로 인하여 유의적인 부문에서 수행할 업무 유형을 결정하는 것의 일환으로, 모든 관련경영진주장에 대하여 통제 테스트를 수행할지, 아니면 특정 관련경영진주장에 대해서만 통제 테스트를 수행할지 결정할 때, 식별된 특정 위험이 전반적인지 아니면 특정 계정과목 등에만 관련되어 있는지 여부를 고려할 수 있습니다. 예를 들어 다음과 같은 경우에는 특정 위험에 대한 통제만을 테스트하는 것보다 해당 부문의 모든 관련 경영진주장에 대하여 통제 테스트를 수행하는 것이 적절할 수 있습니다.

• 특정 부문에서 부정위험이 식별된 경우


• 신규 취득한 부문으로 해당 부문에 대한 충분한 정보가 없어 유의적인 부문으로 식별된 경우

또한 다음과 같은 요소도 특정 위험으로 인하여 유의적인 부문에서 수행할 절차의 성격, 범위 등을 결정할 때 고려할 수 있습니다.

• 부문이 그룹 공통의 시스템과 절차를 적용하는지 여부


• 그룹차원의 통제의 운영효과성

추가적으로 특정 계정과목에서 통제 테스트가 수행된 범위를 확대하기 위해(즉 coverage를 넓히기 위해) 특정 위험으로 인하여 유의적인 부문에서 모든 관련경영진주장에 대하여 통제 테스트를 수행하도록 하거나 특정 위험과 관련이 없는 다른 계정과목이나 관련경영진주장에 대한 통제를 테스트 범위에 추가할 수 있습니다.

관련기준 감사기준서 1100 문단 84, 85, A107-A109, 감사기준서 600

유의적이지 않은 부문 중 개별적으로 그룹재무제표에 중요한 왜곡표시를 발생시킬 가능성이 낮지 않은(more than remote) 특정 위험을 포함하는 부문은, 특정 위험에 대응하는 거래수준 통제의 운영효과성 테스트 등 ‘특정 위험으로 인하여 유의적인 부문’과 유사한 절차(FAQ 62, 63 참조)를 수행할 필요가 있습니다.

반면 그룹업무팀이 위험이 낮다고 판단한 부문(특정 부문이 다른 부문들과 합쳤을 때에만 중요한 왜곡표시를 발생시킬 가능성이 낮지 않은 경우 등)의 경우, 먼저 전사적 수준 통제(조직 전체에 걸쳐 적합한 통제가 존재한다는 확신을 제공하는 모니터링 통제 포함)를 테스트하는 것이 감사인에게 충분한 증거를 제공하는지 여부를 평가할 수 있습니다(감사기준서 1100 문단 A109).

이때 충분한 증거를 제공할 수 있는 전사적 수준 통제는 거래 수준 통제와 유사하게 해당 부문 또는 부문 집합에서 발생할 수 있는 왜곡표시를 적시에 예방하거나 발견·수정할 정도로 정밀한 수준으로 운영되는 통제입니다. 그러한 통제는 많은 경우 여러 부문의 상위 수준(sub-group) 또는 그룹 수준에서 운영될 수 있습니다(FAQ 67 참조). FAQ 67에서 언급한 그룹차원 통제의 경우도 해당 부문 또는 부문 집합에서 발생할 수 있는 왜곡표시를 적시에 예방하거나 발견·수정할 정도로 정밀한 수준으로 운영된다면 감사인에게 충분한 증거를 제공하는 통제일 수 있습니다.

예를 들어 그룹재무보고 매뉴얼을 배포하여 그룹 회계정책을 일관되게 적용하게 하는 통제는 왜곡표시를 적시에 예방하거나 발견·수정할 정도로 정밀하지 않으므로 이러한 통제를 테스트하는 것은 감사인에게 충분한 증거를 제공하지 않으나, 그룹경영진이 유의적이지 않은 부문에서 제출한 보고패키지를 검토하여 정밀한 수준(예: 그룹수행중요성 금액의 일정 비율 이하)으로 이상 변동치를 식별하고 원인을 파악하는 통제를 수행하는 경우 이러한 통제는 감사인에게 충분한 증거를 제공하는 통제일 수 있습니다.

동일한 목적을 위해 설계된 그룹차원의 통제일지라도, 통제활동의 세부 내용 및 정밀함의 수준에 따라 해당 그룹차원의 통제로부터 감사인이 입수하는 증거의 충분성은 다를 수 있습니다. 예를 들어, 그룹경영진이 유의적이지 않은 부문에서 제출한 보고패키지의 재무정보에 대하여 그룹수행중요성의 일정 비율을 기준으로 주요 변동을 검토하는 통제에서, 일정 비율을 낮게 결정하도록 설계된 통제는 그렇지 않은 통제보다 감사인에게 더 충분한 증거를 제공할 수 있습니다.

유의적 부문에서 수행한 업무, 유의적이지 않은 부문 중 개별적으로 그룹재무제표에 중요한 왜곡표시를 발생시킬 가능성이 낮지 않은 특정 위험을 포함하는 부문(FAQ 64 참고)에서 수행한 업무, 그리고 기타 유의적이지 않은 부문에서 수행한 전사적 수준 통제 테스트를 통해 충분하고 적합한 감사증거를 입수하지 못한 경우, 그룹업무팀은 유의적이지 않은 부문 중 일부를 추가로 선정하여 거래수준 통제(예: 다른 부문과 합쳤을 때 그룹재무제표에 중요한 왜곡표시를 발생시킬 가능성이 낮지 않은(more than remote) 위험에 대처하는 통제)에 대해 테스트를 요청하는 등 추가 증거를 입수합니다.

이상과 같이 위험 평가에 따른 부문 구분과 해당 부문에서 부문감사인 등이 수행하는 절차를 요약하면 다음과 같습니다.


관련기준 감사기준서 1100 문단 84, 85, A107-A109, 감사기준서 600

그룹재무제표를 대상으로 하는 것이므로 내부거래 제거 후 재무제표를 기준으로 감사 범위 등을 결정하는 것이 타당합니다. 다만 회사의 연결 결산 프로세스의 한계 등으로 범위 결정 시점에 내부거래 제거 후 그룹재무제표가 정확하게 산출되지 않는 경우에는 내부거래 제거 전 금액에 내부거래는 파악되는 수준에서 별도로 고려하여 범위 결정에 활용할 수 있습니다.

그룹업무팀은 그룹경영진이 연결 결산 절차의 일부로서 내부거래의 기록과 제거의 정확성 및 완전성에 대한 통제의 효과성을 테스트하여야 합니다. 또한 특수관계자 주석 작성에 대한 통제 역시 테스트 대상 통제로 선정하여야 할 가능성이 높습니다.

관련기준 감사기준서 1100 문단 84, 85, A107-A109, 감사기준서 600

위험평가의 결과는 중요왜곡표시위험을 식별하고 평가하는 것이며 중요왜곡표시위험이 감사 목적에 따라 달라질 수 없으므로 재무제표 감사와 내부회계관리제도 감사 목적의 위험평가 결과는 동일하여야 합니다. 이는 그룹감사에서 부문의 중요왜곡표시위험을 식별하고 평가할 때에도 마찬가지입니다. 따라서 다음과 같은 위험평가의 결과는 재무제표 감사와 내부회계관리제도 감사에서 동일하여야 합니다.

• 유의적 부문. 유의적인 부문의 중요왜곡표시위험(관련 계정과 경영진주장 포함)


• 개별적으로 중요왜곡표시위험이 낮지 않은(more than remote) 부문. 해당 부문의 중요왜곡표시위험(관련 계정과 경영진주장 포함)


• 위 부문에서 in-scope된 부분을 제외한 유의적 계정의 잔여 금액에 중요한 왜곡표시가 발생할 가능성이 낮지 않은지(more than remote) 여부

다만, 위험평가 결과에 대응하여 회사가 갖추고 있는 통제의 수준과 감사인이 수행하는 실증절차의 수행 단위가 달라서 실증절차를 수행하는 부문과 통제 테스트를 수행하는 부문이 최종적으로 일치하지 않을 수 있습니다. 예를 들어 특정 유의적 계정 등의 잔여 금액에 중요한 왜곡표시가 발생할 가능성이 낮지 않은 경우에 내부회계관리제도 감사에서는 그룹(또는 하위그룹) 수준에서 운영되는 통제^*로 잔여 금액의 중요왜곡표시위험에 충분히 대응하고 있다고 판단하여 그룹 수준에서 운영되는 통제를 테스트하였으나, 재무제표 감사에서는 통제를 고려하여도 추가 실증절차의 수행이 필요하다고 판단하여 일부 부문에서 세부테스트를 수행하는 것과 같은 차이가 있을 수 있습니다. 한편 감사인은 내부회계관리제도 감사와 관련하여 모든 관련경영진주장에 대하여 선정된 통제의 효과성에 대한 증거를 입수하여야 하므로 재무제표에 대해서만 의견을 표명할 때는 일반적으로 테스트하지 않는 통제의 설계 및 운영 효과성을 테스트하여야 합니다(감사기준서 1100 문단 11). 또한, 재무제표 감사의 경우 중요한 계정 등은 중요왜곡표시위험이 식별되지 않았더라도 실증절차를 설계하고 수행하여야 하나(감사기준서 330 문단 18) 내부회계관리제도 감사의 경우 중요왜곡표시위험이 낮은 경우 통제테스트를 할 필요가 없으므로, 이러한 차이 때문에 일부 계정 등은 일부 부문에서 실증절차를 수행하지만 통제테스트를 수행하지 않을 수 있습니다.

관련기준 감사기준서 1100 문단 11, 84, 85, A107-A109, 감사기준서 600

그룹차원 통제는 그룹경영진이 그룹의 재무보고에 대하여 설계, 실행하고 유지하는 통제(감사기준서 600 문단 9.(l))로서 다음과 같은 통제의 조합을 포함합니다(감사기준서 600 보론 2).

• 사업동향을 논의하고 그 성과를 검토하기 위한 그룹경영진과 부문경영진과의 정규 회의


• 통상적인 정기보고 등 부문의 영업과 그 재무결과에 대한 모니터링. 이를 통해 그룹경영진은 부문의 예산 대비 실적을 모니터링하고 적합한 조치를 취할 수 있다.


• 그룹경영진의 위험평가절차, 즉 그룹재무제표에 중요한 왜곡표시를 초래할 수 있는 사업위험(부정위험 포함)을 식별, 분석, 관리하는 절차


• 그룹 내부거래 및 미실현이익, 그룹 내부거래 계정잔액에 대하여 그룹수준에서 수행하는 모니터링, 통제, 조정 및 제거 절차


• 부문에서 제공받은 재무정보의 적시성을 모니터링하고 해당 정보의 정확성 및 완전성을 평가하기 위한 절차


• 그룹의 전체 또는 일부에 적용되는 공통의 일반정보기술통제에 의해 통제되는 중앙 정보기술시스템


• 모든 부문이나 일부 부문에 공통으로 적용되고 있는 정보시스템 내부의 통제활동


• 그룹재무보고절차에 대한 매뉴얼 등 일관된 정책과 절차


• 윤리규정이나 부정예방 프로그램 등 그룹차원의 프로그램


• 부문경영진에게 권한과 책임을 위임하는 절차

그룹업무팀은 그룹·부문과 그 환경을 이해하는 절차의 일환으로 감사와 관련 있는 그룹차원 통제의 설계효과성과 실행 여부를 결정하여야 합니다(감사기준서 600 문단 17). 또한 그룹업무팀은 그룹이 효과적인 연결 내부회계관리제도를 갖추고 있는지 여부에 대한 감사인의 결론에 중요한 그룹차원통제를 식별하고 테스트하여야 합니다(감사기준서 1100 문단 24).

또한 그룹업무팀은 다음과 같은 경우에 해당 그룹차원 통제의 운영효과성을 테스트하여야 합니다.

• 유의적이지 않은 부문 중 추가 고려에 포함될 부문을 결정할 때 그룹차원 통제가 효과적으로 운영된다고 기대한 경우


• 특정 위험으로 인하여 유의적인 부문, 유의적이지 않은 부문 중 추가 고려에 포함된 부문에서 수행할 업무 유형을 결정할 때 그룹차원 통제가 효과적으로 운영된다고 기대한 경우


• 부문감사인 등이 해당 부문에서 관련경영진주장에 대한 통제 테스트의 성격, 시기, 범위를 결정할 때 그룹차원 통제가 효과적으로 운영된다고 기대한 경우


• 유의적이지 않은 부문 중 추가 고려에 포함된 부문에서 그룹차원 통제를 포함한 전사적 수준 통제를 테스트하여 충분한 증거를 입수하기로 결정한 경우

그룹차원 통제는 그룹경영진이 설계하고 실행하지만 통제의 운영은 하위 그룹(예: 중간지배회사)이나 각 부문 수준에서 이루어질 수 있습니다. 예를 들어 ‘그룹재무보고절차에 대한 매뉴얼 등 일관된 정책과 절차’는 그룹경영진이 설계하고 실행하지만 실제 정책과 절차를 준수하고 적용하는 것은 부문에서 이루어질 수 있습니다. 또한 그룹차원 통제의 운영에 필요한 정보를 하위 그룹이나 각 부문에서 생성할 수도 있습니다. 하위 그룹이나 부문 수준에서 운영되는 그룹차원 통제의 테스트 또는 하위 그룹이나 각 부문에서 생성되는 정보에 대한 통제 테스트는 그룹업무팀이 직접 수행하거나 부문감사인이 수행하도록 요청할 수 있습니다.

관련기준 감사기준서 1100 문단 11, 24, 85, A31-A32, A109, 감사기준서 600

연결 내부회계관리제도 감사 시 감사와 관련된 전사적 수준 통제는 주로 그룹경영진이 그룹 수준에서 설계, 운영하는 통제이므로 그룹 수준에서 통제테스트를 수행하는 경우가 일반적이지만 다음과 같은 경우에는 부문에서 전사적 수준 통제를 테스트할 필요가 있을 수도 있습니다.

• 그룹경영진이 설계, 실행하는 통제이나 운영은 해당 부문에서 이루어지는 경우. 예를 들어 그룹 전체에서 윤리강령을 준수하는 통제의 경우, 윤리강령의 제정·배포·관리는 그룹경영진이 수행하지만 임직원의 윤리강령 준수서약서 작성은 부문수준에서 이루어질 수 있습니다.


• 그룹업무팀이 부문의 전사적 수준 통제를 테스트하는 것이 감사 목적에 더 적합하다고 판단하여 부문감사인에게 전사적 수준 통제의 테스트를 요청한 경우(예: 그룹재무제표에서 유의적인 비중을 차지하면서 새로 인수한 해외 부분, 실질적으로 그룹 전사적 수준 통제의 영향 밖에 있는 부문 등)

관련기준 감사기준서 1100 문단 24, 85, 감사기준서 600

연결 내부회계관리제도 감사에 부문감사인을 활용하는 경우, 부문감사인으로부터 부문 내부회계관리제도에 대한 감사 ‘의견’을 수령하도록 요구되지는 않습니다.

연결 내부회계관리제도 감사에서 그룹업무팀은 부문감사인에게 연결 내부회계관리제도 감사 목적에서 필요한 통제를 테스트하도록 요청하고 부문감사인으로부터 (1) 업무 유형에 해당하는 범위에 따라 수행한 통제 테스트의 성격, 시기, 범위 및 그 결과, (2) 부문에서 식별된 통제 미비점으로 주로 구성된 결과물을 제공받음으로써 연결 내부회계관리제도의 효과성을 평가할 수 있습니다.

부문감사인이 그룹업무팀의 요청에 따라 수행하는 절차만으로 부문 내부회계관리제도에 대해 감사의견을 표명할 수 있는 경우는 드물 것으로 예상됩니다. 예를 들어 그룹업무팀의 요청에 따라 수행하는 절차만으로 부문에서 ‘내부회계관리제도 설계 및 운영 개념체계’와 같은 적합한 준거기준 전체를 누락 없이 적용하였는지 여부에 대해 의견을 형성할 수 있는 경우는 드물 것입니다.

관련기준 감사기준서 1100 문단 85, A107-A109, 감사기준서 600

부문감사인이 부문의 내부회계관리제도와 관련하여 업무를 수행하는 경우, 통제테스트 외에 다음과 같이 재무제표 감사와 관련된 절차를 수행하거나 고려할 필요가 있습니다.

• 통제테스트의 성격, 시기, 범위 등을 결정하기 위한 위험평가절차. 예를 들어, 중요왜곡표시위험의 식별과 평가, 유의적인 계정과 관련경영진주장의 식별, 잠재적 왜곡표시의 가능한 원천 이해 등


• 통제와 연관된 위험을 평가하거나 식별된 미비점을 평가를 위해 실증절차의 결과 또는 재무제표 감사 과정에서 발견한 왜곡표시를 고려함

또한 부문감사인이 내부회계관리제도 관련 목적으로 수행한 통제테스트의 결과는 재무제표 감사 실증절차의 성격, 시기, 범위에 영향을 미칠 수 있습니다.

이와 같이 재무제표 관련 업무와 내부회계관리제도 관련 업무가 통합되어 수행되므로 재무제표 관련 업무를 수행하는 부문감사인과 내부회계관리제도 관련 업무를 수행하는 부문감사인이 일치하는 것이 효과적이며 바람직합니다.

다만 재무제표 감사 목적과 내부회계관리제도 감사 목적에 따라 절차를 수행하는 주체나 그룹업무팀이 부문의 업무에 관여하는 정도는 다를 수 있습니다. 예를 들어 특정 부문에서, 재무제표 감사는 부문감사인을 활용하지만 내부회계관리제도 감사는 그룹업무팀이 직접 수행할 수도 있고, 경우에 따라서는 그룹업무팀이 부문 위험평가를 직접 수행하여 특정 테스트 절차를 설계하고, 재무제표 관련 업무를 수행하는 부문감사인 또는 다른 부문감사인에게 특정 테스트 절차를 수행하고 그 결과를 보고하도록 요청할 수도 있습니다. 다만 이러한 경우 그룹업무팀은 부문의 재무제표 감사인이 아닌 다른 부문감사인을 활용하는 사유 등을 충분히 검토하고 문서화할 필요가 있으며, 업무를 요청하는 모든 부문감사인에 대해 부문감사인의 독립성, 적격성 등 감사기준서 600 문단 19에 열거된 사항을 이해하고 부문감사인의 활용이 가능한지 결정하여야 합니다.

법적으로 부문감사인이 부문의 자체 재무제표 수준에서 통합감사를 수행하는 경우가 존재할 수 있습니다. 이러한 상황에서 부문감사인은 감사기준서 1100에 따른 통합감사 요구사항을 준수할 것이고, 부문의 경영진은 부문의 내부회계관리제도 효과성을 평가하고 관련 경영진 평가를 보고(내부회계관리제도 운영실태보고서)합니다. 이러한 경우 그룹업무팀은 부문감사인이 법정감사를 위하여 수행한 절차와 보고 내용이 연결감사 목적에도 적합한지 여부를 검토(예를 들어, 중요성, 범위설정, 개념체계의 모든 구성 요소 적용여부)하고, 그러한 절차의 활용 여부를 결정할 수 있습니다.

관련기준 감사기준서 1100 문단 85, A107-A109, 감사기준서 600

그룹업무팀은 연결 기준의 내부회계관리제도 감사의견을 형성하기 위하여 부문에서 식별된 모든 미비점을 집계하여야 합니다. 그룹업무팀은 부문에서 식별된 미비점을 집계할 때 부문감사인에게 미비점으로 인해 발생할 수 있는 잠재적 왜곡표시의 규모와 발생가능성을 평가하도록 요청할 수 있습니다.

또한 그룹업무팀은 부문감사인에게 요청하여 보완통제를 식별하고 테스트하도록 요청할 수도 있습니다.

다만, 부문감사인에게 미비점에 대한 평가를 요청한 경우에도 미비점에 대한 최종 평가는 그룹업무팀이 수행하여야 합니다.

그룹업무팀은 부문에서 식별된 모든 미비점을 집계하고 미비점이 개별적으로 또는 결합하여 그룹재무제표 수준에서 중요한 왜곡표시를 발생시킬 가능성이 낮지 않은지 평가합니다. 그룹업무팀의 평가 결과는 부문의 평가 결과와 다를 수 있습니다. 예를 들어 그룹중요성과 부문중요성의 차이로 부문에서 유의한 미비점이 그룹 수준에서는 유의하지 않을 수도 있고, 동일한 성격의 미비점이 여러 부문에서 발생한 경우 개별 부문에서는 심각성이 낮은 미비점을 그룹 수준에서 심각성이 높다고 평가할 수도 있습니다.

관련기준 감사기준서 1100 문단 85, A107-A109, 감사기준서 600

감사인은 재무제표 감사에서 수행한 실증절차의 발견사항이 내부회계관리제도의 효과성에 미치는 영향을 평가하여야 하며 그러한 발견사항에는 실증절차에 의해 발견된 왜곡표시의 성격과 범위가 포함됩니다. 이러한 왜곡표시의 정도는 통제의 효과성에 대한 감사인의 판단을 변경시킬 수 있습니다.(감사기준서 1100 문단 58)

이는 잔여부문에 대해서도 동일하게 적용됩니다. 따라서 그룹업무팀은 잔여부문에서 실증절차에 의해 발견된 왜곡표시의 성격과 범위가 내부회계관리제도의 효과성에 미치는 영향을 평가하여야 합니다.

관련기준 감사기준서 1100 문단 58, 감사기준서 600

감사기준서 402에 따르면 이용자기업 감사인이 위험을 평가할 때 서비스조직의 통제가 효과적으로 이루어지고 있다는 기대가 포함되어 있으면, 이용자기업 감사인은 다음의 절차 중 하나 이상을 수행하여 서비스조직 통제의 운영효과성에 관한 감사증거를 입수하여야 합니다. (감사기준서 402 문단 16 참조)

• 입수가능한 경우, 유형 2 보고서를 입수함


• 서비스조직의 통제에 대하여 적합한 통제테스트를 수행함


• 서비스조직의 통제에 대하여 통제테스트를 수행한 타감사인의 업무를 활용

이와 같이 그룹사가 서비스 제공자이면서 이용자 기업인 이중적 지위를 가지는 상황에서 이용자기업 감사인(상기의 상황에서는 그룹업무팀)은 서비스조직의 통제에 대하여 적합한 통제테스트를 수행하였음에 따라 해당 유형 2 보고서를 감사증거로 활용할 수 있습니다.

추가적으로 이용자기업 감사인이 서비스조직의 통제가 효과적으로 운영되는지에 대한 감사증거로 유형 2 보고서를 이용하는 경우, 이용자기업 감사인은 다음의 절차를 수행함으로써 서비스감사인의 감사보고서가 이용자기업 감사인의 위험평가를 뒷받침하는 데 통제의 효과성에 대한 충분하고 적합한 감사증거를 제공하는지 여부를 결정하여야 합니다. (감사기준서 402 문단 17 참조)

• 서비스조직 통제에 대한 기술, 설계 및 운영효과성이 이용자기업 감사인의 감사목적에 적합한 일자 또는 적합한 기간에 대한 것인지 여부를 평가함


• 서비스조직에 의해 식별된 보충적인 이용자기업 통제가 이용자기업과 관련성이 있는지 여부를 결정하고, 관련성이 있다면 이용자기업이 그러한 통제를 설계하였고 실행하였는지 여부를 이해하고 통제의 운영효과성을 테스트함


• 통제테스트의 대상기간 및 그러한 통제테스트를 수행한 후 경과된 시간의 적절성을 평가함


• 서비스감사인의 감사보고서에 기술된 해당 감사인의 통제테스트와 그 결과가 이용자기업 재무제표의 경영진주장과 관련이 있으며, 이용자기업 감사인의 위험평가에 도움이 되도록 충분하고 적합한 감사증거를 제공하는지 여부를 평가함

관련기준 감사기준서 1100 문단 91-94, A112, A114, 감사기준서 402

회사가 평가·보고 대상범위를 선정(Scoping)하는 절차는 내부통제 구성 요소 중 위험평가와 모니터링의 일부이며 성격상 간접 전사적 수준 통제에 해당합니다. 감사인은 회사의 Scoping 절차를 간접 전사적 수준 통제로서 고려하고 설계·운영 효과성 테스트를 수행하여야 합니다.

이러한 통제는 금융감독원이 제정한 ‘내부회계관리제도 평가 및 보고기준(회사가 연결내부회계관리제도 평가·보고 대상범위 선정(Scoping) 가이드라인에 따라 Scoping 절차를 수행한 경우 해당 가이드라인 포함)’(이하 ‘평가 및 보고기준’)에 따라 회사의 평가·보고 대상 범위를 선정하기 위하여 설계, 운영되며 다음과 같은 절차를 포함합니다.

• 그룹 구조, 그룹 및 각 부문의 환경과 그 변화, 부문의 재무정보 등 관련 정보를 입수하는 절차


• 평가 및 보고기준에 따라 각 단계별 양적, 질적 판단기준을 고려하는 절차


• Scoping 결과를 검토하고 승인하는 절차

감사인의 설계·운영 효과성 테스트는 회사의 Scoping 절차를 이해하고 회사의 Scoping 절차가 평가 및 보고기준에 따라 대상 범위를 선정하는 통제로서 효과적인지 평가하는 것입니다. 이때 감사인이 고려할 수 있는 사항의 예는 다음과 같습니다.

• 회사의 Scoping 방법이 평가 및 보고기준에 부합하는지


• 양적, 질적 판단기준이 적절한 근거와 함께 문서화되었는지


• 적절한 경영진이 Scoping 결과를 검토하고 승인하는 절차

다시 말해서 일반적으로 감사인의 테스트는 회사의 Scoping 절차에 대한 이해를 바탕으로 적절한 질문과 함께 회사의 Scoping 문서를 검사하는 것으로 진행됩니다.

관련기준 감사기준서 1100 문단 11, 84, 85, A107-A109, 감사기준서 600

회사의 Scoping 결과가 감사인과 다른 경우 이는 감사인이 이전에 식별하지 못한 내부통제 미비점을 시사할 수 있으므로 감사인은 회사의 Scoping 결과가 감사인과 다른 원인을 분석하고 회사의 Scoping 절차에 미비점이 존재하는지 평가하여야 합니다(FAQ 2 참조).

또한, 회사의 Scoping 결과가 감사인과 달라 감사인이 in-scope으로 선정한 부문을 회사는 평가 대상 부문으로 선정하지 않았더라도 감사인은 해당 부문에서 통제 테스트를 수행할 수 있습니다. 통제는 회사의 정책과 절차이므로 회사가 평가 대상으로 선정하지 않은 부문이더라도 감사인이 테스트하고자 하는 통제가 설계, 운영될 수 있으며 감사인은 그러한 통제의 설계·운영 효과성을 테스트할 수 있습니다. 이 경우 감사인은 설계·운영 효과성 테스트의 성격·시기·범위를 결정할 때 해당 통제가 모니터링되지 않는다는 점을 반영하여야 합니다.

이처럼 회사가 평가 대상으로 선정하지 않은 부문이라도 감사인이 통제 테스트를 수행할 수는 있으나, 회사가 평가 대상으로 선정하지 않은 부문에서는 관련 통제가 효과적으로 설계·운영되지 않아 통제 테스트 결과 미비점이 식별될 가능성이 높습니다. 따라서 감사인은 회사의 Scoping 결과와 차이가 나는 원인을 분석하고 원인에 맞게 적절한 대응 절차를 실행할 필요가 있습니다.

예를 들어 회사의 Scoping 결과가 감사인과 다른 데에는 다음과 같은 원인이 있을 수 있습니다. (아래 차이의 원인과 감사인의 대응 방안은 참고 목적의 예시일 뿐입니다. 감사인은 Scoping 차이의 원인을 충분히 분석하고 상황에 맞게 적절한 대응 방안을 실행하여야 합니다.)

• 회사와 감사인의 적용한 양적 기준에 차이가 있음(중요성/수행중요성 적용 여부 포함)
• 회사에서 양적 기준 위주로 Scoping하는 경향 때문에 질적 기준을 충분히 고려하지 않음
• 잔여 부문의 위험에 대응하는 통제(예: 그룹 수준에서 운영하는 통제)에 대한 견해에 차이가 있음
• 회사가 평가를 수행하는 데 현실적인 제약(다수 부문으로 분산된 그룹구조, 부문의 자원 부족, 해외 법인에 대한 접근성 제한 등)이 존재함

각 원인별로 감사인이 실행할 수 있는 대응 방안의 예시는 다음과 같습니다.

• 회사와 감사인의 적용한 양적 기준에 차이가 있음(중요성/수행중요성 적용 여부 포함)

일률적으로 양적 기준을 어느 한쪽으로 일치시키는 것은 일반적으로 적절한 대응 방안이 아닙니다. 그보다 감사인은 Scoping에 차이가 있는 부문에서 중요왜곡표시위험이 낮지 않은지 여부를 재검토할 필요가 있습니다.

예를 들어 회사가 감사인보다 더 높은 양적 기준을 적용함에 따라 감사인이 in-scope한 부문이 회사의 평가 대상으로 선정되지 않은 경우, 감사인은 먼저 해당 부문에 중요왜곡표시위험이 낮지 않은지 재검토할 필요가 있습니다.

감사인이 재검토하였음에도 해당 부문에 여전히 중요왜곡표시위험이 낮지 않다고 판단하는 경우, 감사인은 회사가 Scoping 가이드라인에서 제시한 질적 요소를 충분히 고려하였는지 평가할 필요가 있습니다. 만약 회사가 Scoping 가이드라인상 질적 요소를 충분히 고려하지 않았다면 해당 상황에 맞는 대응 절차를 수행할 필요가 있습니다(⇒ 아래 참조).

감사인이 재검토한 결과 해당 부문에 중요왜곡표시위험이 낮다고 판단한 경우, 감사인은 해당 부문을 in-scope 부문에서 제외하고, 추가적으로 감사인의 양적 기준 자체를 올릴 수 있는지 재검토할 수 있습니다.

회사와 감사인이 적용한 양적 기준이 달라진 이유가 그 출발점으로 사용한 금액이 중요성 금액과 수행중요성 금액으로 서로 달랐기 때문일 때에도 감사인의 대응 절차는 크게 달라지지 않을 것입니다.

• 회사에서 양적 기준 위주로 Scoping하는 경향 때문에 질적 기준을 충분히 고려하지 않음

감사인은 Scoping 가이드라인에 따르면 양적 판단기준 뿐만 아니라 질적 판단기준도 종합적으로 고려하여야 함을 회사에 설명하고 질적 판단기준을 충분히 고려하도록 권고할 수 있습니다.

특히 부정 위험이 높은 부문, 대규모 비경상 거래의 발생이나 지속적으로 손실이 발생하는 부문, 전기에 유의적 미비점 이상의 내부통제 미비점이 식별된 부문은 회사의 평가 범위에도 포함될 수 있도록 조기에 회사와 협의할 필요가 있습니다.

그럼에도 회사의 Scoping 결과가 감사인과 차이가 나는 경우에는 그룹(또는 하위그룹) 수준에서 설계, 운영되는 통제^*로 감사인이 in-scope한 부문의 위험에 대응할 수 있는지 평가하고 필요한 경우 그러한 통제를 테스트하거나, 회사에 최소한 그룹 수준 통제*를 설계, 운영하도록 권고하는 것을 고려할 수 있습니다.

• 잔여 부문의 위험에 대응하는 통제(예: 그룹 수준에서 운영하는 통제)에 대한 견해에 차이가 있음

경우에 따라 회사는 잔여금액에 그룹(또는 하위그룹) 수준에서 운영되는 통제(예: 리포팅 패키지 검토)로 충분히 대응 가능하다고 판단하였으나, 감사인은 그러한 통제가 왜곡표시를 발견, 수정할 만큼 충분히 정밀하지 않다고 판단할 수 있습니다.

이러한 경우 감사인은 회사에 그룹 수준 통제를 충분히 정밀하게 설계, 운영하도록 개선할 것을 권고하고 회사가 필요한 개선을 하는 경우 해당 통제를 테스트할 수 있습니다.

만약 충분히 정밀한 수준으로 그룹 수준 통제가 개선되지 않는다면 잔여금액을 구성하는 부문 중 일부를 선정하여 해당 부문에서 통제를 테스트할 것을 고려합니다.

• 회사가 평가를 수행하는 데 현실적인 제약(다수 부문으로 분산된 그룹구조, 부문의 자원 부족, 해외 법인에 대한 접근성 제한 등)이 존재함

Scoping에 차이가 있는 부문 중 질적 요소에 따라 중요왜곡표시위험이 높다고 판단되는 부문은 평가 대상에 포함하도록 회사에 권고할 필요가 있습니다.

부문에서 거래 수준 통제를 운영하거나 해당 통제를 평가하기에 현실적인 제약이 큰 경우에는 그룹(또는 하위그룹) 수준에서 왜곡표시를 예방, 발견할 정도로 정밀한 수준의 그룹차원 통제를 설계, 운영하도록 권고하고 해당 통제를 테스트하는 방안을 고려할 수 있습니다. 이를 위해서는 지배기업에서 필요한 자원을 확보하고 역량을 강화하는 것이 선행될 필요가 있을 수 있습니다.

관련기준 감사기준서 1100 문단 11, 84, A107-A108, 감사기준서 600