암호자산 감사 고려사항: 디지털 자산 보유량 평가, 테스트 및 문서화 방법

ISA 500과 암호자산의 실존성

ISA 500.A29는 전자적으로만 존재하는 자산에 대한 감사 증거가 물리적 자산보다 더 취약할 수 있다고 명시한다. 암호자산은 이 범주의 가장 극단적인 예다. 블록체인 주소는 존재하지만 접근 권한이 없으면 의미가 없다.

감사인이 직면하는 기본 질문은 네 가지다: - 회사가 실제로 이 암호자산을 소유하고 있는가 (실존성) - 회사가 모든 암호자산 보유량을 공시했는가 (완전성) - 평가가 정확한가 (정확성과 평가) - 기말 이후 가격 급변이 있었는가 (후속사건)

ISA 500.6은 감사 증거가 관련성과 신뢰성을 모두 갖춰야 한다고 요구한다. 암호자산의 경우 전통적인 은행 확인서로는 불충분하다. 실제 통제를 입증해야 한다.

블록체인 특성이 감사에 미치는 영향

블록체인의 불변성은 장점이다. 한번 기록된 거래는 변경할 수 없다. 그러나 이것만으로는 소유권을 증명하지 못한다. 개인키가 있어야 소유권이 있다.

ISA 315.A77에 따르면 IT 환경의 복잡성은 고유위험을 증가시킨다. 암호자산에서는 다음이 특히 문제가 된다: - 개인키 분실 위험 - 해킹과 도난 - 거래소 파산이나 출금 제한 - 포크나 에어드랍으로 인한 미공시 자산

감사 위험과 통제 고려사항

암호자산 감사에서 가장 큰 위험은 완전성이다. 고객이 의도적으로나 실수로 암호자산을 누락할 수 있다. ISA 240.A25는 자산 은닉이 일반적인 사기 수법이라고 지적한다.

고유위험 요소

다음 요소들이 고유위험을 높인다: - 경영진의 암호자산 지식 부족 - 복잡한 지갑 구조(멀티시그, 하드웨어 지갑) - 탈중앙화 금융(DeFi) 프로토콜 참여 - 국경 간 거래의 복잡성

ISA 315.31은 고유위험이 최대일 때를 식별하도록 요구한다. 암호자산에서는 다음 상황이 해당된다: - 연중 첫 번째 암호자산 투자 - 새로운 암호자산 유형 도입 - 보관 방식의 변경 - 금감원 규제 환경의 변화

통제 평가

ISA 315.26에 따라 관련 통제를 식별해야 한다.

접근 통제에서는 개인키와 지갑에 대한 접근을 누가 승인하고 모니터링하는지 확인한다. 솔직히 대부분의 중소기업에서는 이 통제가 약하거나 없다.

분리에서는 거래 승인, 실행, 기록이 적절히 분리되어 있는지 확인한다. 많은 경우 한 사람이 모든 단계를 담당한다.

정기적 대사에서는 지갑 잔액과 장부 기록을 정기적으로 대사하는지 확인한다. 실행 가능한 통제이지만 많은 회사에서 누락된다.

암호자산 식별과 완전성

완전성 테스트가 가장 어렵다. 고객이 보유 중인 모든 암호자산을 어떻게 확신할 수 있을까.

질의서 설계

표준 질의서에 다음을 포함한다: - 모든 암호자산 거래소 계정 - 모든 지갑 주소(하드웨어, 소프트웨어, 종이 지갑) - DeFi 프로토콜 참여 내역 - 스테이킹이나 렌딩 활동 - NFT나 기타 토큰 보유 현황

ISA 580.A13에 따르면 경영진 진술서는 구체적이어야 한다. "암호자산 투자가 없습니다"는 불충분하다. "2024년 12월 31일 현재 어떤 형태의 암호자산도 보유하지 않으며, 암호자산 거래소나 지갑에 계정이 없습니다"가 적절하다.

분석적 절차

ISA 520.A5는 예상하지 못한 관계를 식별하는 것이 분석적 절차의 목적이라고 한다. 다음을 확인한다: - 투자 수익이 공시된 포트폴리오와 일치하는가 - 은행 거래에서 암호자산 관련 송금이 보이는가 - 세무 신고서에 암호자산 수익이나 손실이 있는가

은행 거래 검토

대부분의 암호자산 구매는 은행 계좌에서 시작된다. 다음 항목을 확인한다: - Upbit, Bithumb, Coinone 등 거래소로의 송금 - P2P 거래를 시사하는 개인 계좌로의 송금 - 암호자산 관련 수수료

실무 적용 사례

한국디지털솔루션 주식회사는 소프트웨어 개발 회사로 2024년 매출 85억 원을 기록했다. 2023년 말부터 여유 자금 3억 원을 암호자산에 투자하기 시작했다.

1단계: 초기 위험 평가

문서화 참고사항: 암호자산 관련 고유위험을 '높음'으로 평가한 근거를 기재

회사 보유 내역: - Upbit에서 Bitcoin 1.2개 (시장가 1억 2,000만 원) - Bithumb에서 Ethereum 150개 (시장가 1억 8,000만 원) - MetaMask 지갑에서 DeFi 토큰 (시장가 3,500만 원)

고유위험을 높음으로 설정한 이유는 CFO의 암호자산 투자 경험이 1년 미만이고, DeFi 투자에 대한 이해가 제한적이기 때문이다.

2단계: 통제 테스트

문서화 참고사항: 각 통제 테스트 결과와 발견된 미비점을 기록

접근 통제 테스트 결과, Upbit과 Bithumb 계정은 2단계 인증(2FA)을 쓰지만 개인 휴대폰으로만 설정되어 있었다. MetaMask는 하드웨어 지갑에 연결되어 있지 않았다.

승인 통제 테스트 결과, 1,000만 원 이상의 거래는 이사회 승인이 필요하다고 하지만 실제로는 CFO가 단독으로 실행하고 있었다.

대사 절차 테스트 결과, 월말 지갑 잔액 확인을 한다고 하지만 DeFi 포지션은 포함되지 않았다.

3단계: 실질적 절차

문서화 참고사항: 각 확인 절차의 실행 일시와 결과를 상세히 기록

거래소 확인에서 Upbit과 Bithumb에서 직접 잔액 확인서를 받았다. 계정 소유권은 본인인증 기록과 회사명으로 확인했다.

지갑 검증에서 MetaMask 지갑 주소 0x742d35Cc6Bf426...에서 고객이 테스트 거래(1,000원 상당의 USDC 전송)를 실행하도록 요청했다. 이를 통해 개인키 통제를 확인했다.

블록체인 검증에서 Etherscan.io를 통해 해당 주소의 모든 보유량과 거래 기록을 확인했다.

4단계: 평가 테스트

문서화 참고사항: 평가 방법과 시장가격 출처를 기록

CoinGecko와 CoinMarketCap에서 2024년 12월 31일 종가를 확인했다. Bitcoin과 Ethereum은 유동성이 높아 직접 시장가격을 적용했다. 소액 DeFi 토큰의 경우 Uniswap에서 실제 거래 가능한 수량을 확인하여 유동성 할인을 적용했다.

총 암호자산 3억 원이 재무제표에 정확히 반영되었고, 모든 보유량이 확인되었으며, 평가가 적절함을 입증했다.

실무 체크리스트

다음 체크리스트를 현재 업무에서 바로 쓸 수 있다:

1. 질의서 발송: 고객에게 모든 거래소 계정, 지갑 주소, DeFi 참여를 서면으로 요청하고 "해당 없음"이라면 그 이유를 문의한다. ISA 580.8이 근거다.

2. 은행 거래 스캔: 지난 12개월간 거래소 이름이나 암호자산 관련 키워드로 은행 거래를 검색한다. "Upbit", "Bithumb", "Coinone"이 기본 검색어다.

3. 지갑 통제 테스트: 각 지갑에서 소액 테스트 거래를 실행하도록 요청하여 개인키 접근권을 확인한다. ISA 500.A42가 근거다.

4. 독립적 확인: 거래소 잔액은 직접 확인서를 받고, 온체인 지갑은 블록 탐색기에서 독립적으로 검증한다.

5. 완전성 분석: 투자 수익, 세무 신고, 이자 수익이 공시된 암호자산과 일치하는지 확인한다. 불일치는 누락 가능성을 시사한다.

빈번한 실수

지갑 통제 미확인이 가장 흔하다. 거래소 확인서만 받고 실제 개인키 접근권을 테스트하지 않는 경우다. 거래소가 파산하거나 출금이 제한될 수 있다. 막상 해보니까 이 절차 하나 빠뜨렸다가 감리에서 전체 감사의견 적정성에 의문이 제기된 사례를 직접 본 적이 있다.

DeFi 포지션 누락도 문제다. 전통적인 거래소 계정만 확인하고 탈중앙화 거래소나 스테이킹 포지션을 간과하는 경우다. 이 부분이 종종 가장 큰 위험이 된다.

포크 자산 간과도 발생한다. Bitcoin Cash, Ethereum Classic처럼 포크로 생성된 새로운 코인을 확인하지 않는 경우다. 원래 자산을 보유했다면 포크 자산도 자동으로 받았을 가능성이 있다.