암호자산 감사 고려사항: 디지털 자산 보유량 평가, 테스트 및 문서화 방법

ISA 500.A29는 전자적으로만 존재하는 자산에 대한 감사 증거가 물리적 자산보다 더 취약할 수 있다고 명시합니다. 암호자산은 이 범주의 가장 극단적인 예입니다. 블록체인 주소는 존재하지만 접근 권한이 없으면 의미가 없습니다. 감사인이 직면하는 세 가지 기본 질문이 있습니다: ISA 500.6은 감사 증거가 관련성과 신뢰성을 모두 갖춰야 한다고 요구합니다.

ISA 500과 암호자산의 실존성

ISA 500.A29는 전자적으로만 존재하는 자산에 대한 감사 증거가 물리적 자산보다 더 취약할 수 있다고 명시합니다. 암호자산은 이 범주의 가장 극단적인 예입니다. 블록체인 주소는 존재하지만 접근 권한이 없으면 의미가 없습니다.
감사인이 직면하는 세 가지 기본 질문이 있습니다:
ISA 500.6은 감사 증거가 관련성과 신뢰성을 모두 갖춰야 한다고 요구합니다. 암호자산의 경우 전통적인 은행 확인서로는 불충분합니다. 실제 통제를 입증해야 합니다.

블록체인 특성이 감사에 미치는 영향

블록체인의 불변성은 장점입니다. 한번 기록된 거래는 변경할 수 없습니다. 그러나 이것만으로는 소유권을 증명하지 못합니다. 개인키가 있어야 소유권이 있습니다.
ISA 315.A77에 따르면 IT 환경의 복잡성은 고유위험을 증가시킵니다. 암호자산에서는 다음이 특히 중요합니다:

회사가 실제로 이 암호자산을 소유하고 있는가? (실존성)
회사가 모든 암호자산 보유량을 공시했는가? (완전성)
평가가 정확한가? (정확성과 평가)
개인키 분실 위험
해킹과 도난
거래소 파산이나 출금 제한
포크나 에어드랍으로 인한 미공시 자산

감사 위험과 통제 고려사항

암호자산 감사에서 가장 큰 위험은 완전성입니다. 고객이 의도적으로나 실수로 암호자산을 누락할 수 있습니다. ISA 240.A25는 자산 은닉이 일반적인 사기 수법이라고 지적합니다.

고유위험 요소

다음 요소들이 고유위험을 높입니다:
ISA 315.31은 고유위험이 최대일 때를 식별하도록 요구합니다. 암호자산에서는 다음 상황이 여기에 해당합니다:

통제 평가

ISA 315.26에 따라 관련 통제를 식별해야 합니다:
접근 통제: 개인키와 지갑에 대한 접근을 누가 승인하고 모니터링하는가? 대부분의 중소기업에서는 이 통제가 약하거나 없습니다.
분리: 거래 승인, 실행, 기록이 적절히 분리되어 있는가? 많은 경우 한 사람이 모든 단계를 담당합니다.
정기적 대사: 지갑 잔액과 장부 기록을 정기적으로 대사하는가? 이것은 실행 가능한 통제이지만 많은 회사에서 누락됩니다.

경영진의 암호자산 지식 부족
복잡한 지갑 구조(멀티시그, 하드웨어 지갑)
탈중앙화 금융(DeFi) 프로토콜 참여
국경 간 거래의 복잡성
연중 첫 번째 암호자산 투자
새로운 암호자산 유형 도입
보관 방식의 변경
규제 환경의 변화

암호자산 식별과 완전성

완전성 테스트가 가장 어렵습니다. 고객이 보유 중인 모든 암호자산을 어떻게 확신할 수 있을까요?

전수 질의서

표준 질의서에 다음을 포함하십시오:
ISA 580.A13에 따르면 경영진 진술서는 구체적이어야 합니다. "암호자산 투자가 없습니다"는 불충분합니다. "2024년 12월 31일 현재 어떤 형태의 암호자산도 보유하지 않으며, 암호자산 거래소나 지갑에 계정이 없습니다"가 적절합니다.

분석적 절차

ISA 520.A5는 예상하지 못한 관계를 식별하는 것이 분석적 절차의 목적이라고 합니다. 다음을 확인하십시오:

은행 거래 검토

대부분의 암호자산 구매는 은행 계좌에서 시작됩니다. 다음을 찾으십시오:

모든 암호자산 거래소 계정
모든 지갑 주소(하드웨어, 소프트웨어, 종이 지갑)
DeFi 프로토콜 참여
스테이킹이나 렌딩 활동
NFT나 기타 토큰
투자 수익이 공시된 포트폴리오와 일치하는가?
은행 거래에서 암호자산 관련 송금이 보이는가?
세무 신고서에 암호자산 수익이나 손실이 있는가?
Coinbase, Binance, Kraken 등 거래소로의 송금
P2P 거래를 시사하는 개인 계좌로의 송금
암호자산 관련 수수료

실무 적용 사례

한국디지털솔루션 주식회사는 소프트웨어 개발 회사로 2024년 매출 85억 원을 기록했습니다. 2023년 말부터 여유 자금 3억 원을 암호자산에 투자하기 시작했습니다.

1단계: 초기 위험 평가

문서화 참고사항: 암호자산 관련 고유위험을 '높음'으로 평가한 근거를 기재
회사는 다음을 보유합니다:
고유위험을 높음으로 설정한 이유: CFO가 암호자산 투자 경험이 1년 미만이고, DeFi 투자에 대한 이해가 제한적입니다.

2단계: 통제 테스트

문서화 참고사항: 각 통제 테스트 결과와 발견된 미비점을 기록
접근 통제: Coinbase와 Binance 계정은 2단계 인증(2FA)을 사용하지만 개인 휴대폰으로만 설정되어 있습니다. MetaMask는 하드웨어 지갑에 연결되어 있지 않습니다.
승인 통제: ₩10,000,000 이상의 거래는 이사회 승인이 필요하다고 하지만 실제로는 CFO가 단독으로 실행합니다.
대사 절차: 월말 지갑 잔액 확인을 한다고 하지만 DeFi 포지션은 포함되지 않습니다.

3단계: 실질적 절차

문서화 참고사항: 각 확인 절차의 실행 일시와 결과를 상세히 기록
거래소 확인: Coinbase와 Binance에서 직접 잔액 확인서를 받았습니다. 계정 소유권은 이메일 주소와 회사명으로 확인했습니다.
지갑 검증: MetaMask 지갑 주소 0x742d35Cc6Bf426...에서 고객이 테스트 거래(₩1,000 상당의 USDC 전송)를 실행하도록 요청했습니다. 이를 통해 개인키 통제를 확인했습니다.
블록체인 검증: Etherscan.io에서 해당 주소의 모든 보유량과 거래 기록을 확인했습니다.

4단계: 평가 테스트

문서화 참고사항: 평가 방법과 시장가격 출처를 기록
CoinGecko와 CoinMarketCap에서 2024년 12월 31일 종가를 확인했습니다. Bitcoin과 Ethereum은 유동성이 높아 직접 시장가격을 사용했습니다. 소액 DeFi 토큰의 경우 Uniswap에서 실제 거래 가능한 수량을 확인하여 유동성 할인을 적용했습니다.
총 암호자산 ₩300,000,000이 재무제표에 정확히 반영되었고, 모든 보유량이 확인되었으며, 평가가 적절함을 입증했습니다.

Coinbase에서 Bitcoin 1.2개 (시장가 ₩85,000,000)
Binance에서 Ethereum 150개 (시장가 ₩180,000,000)
MetaMask 지갑에서 다양한 DeFi 토큰 (시장가 ₩35,000,000)

실무 체크리스트

다음 체크리스트를 현재 업무에서 내일 당장 사용할 수 있습니다:

전수 질의: 고객에게 모든 거래소 계정, 지갑 주소, DeFi 참여를 서면으로 요청하고 "해당 없음"이라면 그 이유를 문의하십시오. ISA 580.8이 근거입니다.
은행 거래 스캔: 지난 12개월간 거래소 이름이나 암호자산 관련 키워드로 은행 거래를 검색하십시오. "Coinbase", "Binance", "crypto"가 기본 검색어입니다.
지갑 통제 테스트: 각 지갑에서 소액 테스트 거래를 실행하도록 요청하여 개인키 접근권을 확인하십시오. ISA 500.A42가 근거입니다.
독립적 확인: 거래소 잔액은 직접 확인서를 받고, 온체인 지갑은 블록 탐색기에서 독립적으로 검증하십시오.
완전성 분석: 투자 수익, 세무 신고, 이자 수익이 공시된 암호자산과 일치하는지 확인하십시오. 불일치는 누락 가능성을 시사합니다.
가장 중요한 것: 암호자산이 전체 자산에서 차지하는 비중이 중요성 기준치를 넘는다면 전문가의 도움을 받는 것을 고려하십시오. 이는 새로운 영역이며 실수 비용이 높습니다.

일반적인 실수

• 지갑 통제 미확인: 거래소 확인서만 받고 실제 개인키 접근권을 테스트하지 않는 경우. 거래소가 파산하거나 출금이 제한될 수 있습니다.
• DeFi 포지션 누락: 전통적인 거래소 계정만 확인하고 탈중앙화 거래소나 스테이킹 포지션을 간과하는 경우. 이는 종종 가장 큰 위험입니다.
• 포크 자산 간과: Bitcoin Cash, Ethereum Classic처럼 포크로 생성된 새로운 코인을 확인하지 않는 경우. 원래 자산을 보유했다면 포크 자산도 자동으로 받았을 가능성이 있습니다.