BaFin 감독: 독일 감사법인이 알아야 할 사항

독일의 이중 감독 체계

독일은 2016년 EU 감사 규정 이행을 위해 감사품질법(Abschlussprüferaufsichtsgesetz, AuQuaG)을 도입했다. 이 법률은 감사법인에 대한 감독을 BaFin과 WPK로 이원화했다. 신외감법 도입 당시 로컬 법인 파트너들이 '이제 독일처럼 된다'고 했는데, 실제로는 그만큼은 안 됐다.

BaFin의 역할

BaFin(연방금융감독청)은 공익기업(PIE) 감사에 대한 직접 감독권을 갖는다. 여기에는 품질관리 검토, 제재 조치, 감사인 등록 관리가 포함된다. BaFin은 AuQuaG 제63조에 따라 PIE 감사법인을 3년마다 의무적으로 검토한다.

WPK의 역할

독일공인회계사협회(WPK)는 비PIE 감사에 대한 품질관리를 담당한다. WPK는 회원 법인의 품질관리 시스템을 6년마다 검토하며, BaFin의 감시를 받는다. WPK 검토에서 중대한 결함이 발견되면 BaFin에 보고해야 한다.

감독 범위의 구분

PIE 고객을 보유한 법인은 해당 업무에 대해 BaFin 직접 감독을 받는다. 동일한 법인이라도 비PIE 업무는 여전히 WPK 검토 대상이다. 이 이원 구조가 실무진의 혼란을 야기한다. 많은 법인이 PIE 업무와 비PIE 업무에 서로 다른 품질관리 기준을 적용해야 한다는 점을 놓친다.

BaFin 직접 감독 대상

AuQuaG 제1조에 따르면 다음 기업들이 공익기업(PIE)으로 분류된다.

상장회사

독일 또는 다른 EU 회원국의 규제시장에 상장된 모든 회사가 포함된다. 여기에는 DAX, MDAX, SDAX, TecDAX 상장사가 모두 해당한다. 프랑크푸르트 증권거래소의 일반시장(Freiverkehr) 상장사는 PIE에서 제외된다.

신용기관

독일 은행법(KWG)에 따른 모든 신용기관이 포함된다. 소규모 지역은행이라도 예외 없이 BaFin 직접 감독 대상이다. 협동조합은행, 저축은행, 상업은행 모두 동일하게 적용된다.

보험회사

보험감독법(VAG)의 적용을 받는 모든 보험회사와 재보험회사가 대상이다. 여기에는 생명보험, 손해보험, 건강보험회사가 포함된다. 보험중개회사는 제외된다.

대규모 기업

연속 2년간 다음 세 기준 중 두 개 이상을 충족하는 기업: - 총자산 20억 유로 이상 - 매출액 40억 유로 이상 - 연평균 직원 수 2만 명 이상

이 기준은 EU 감사 규정 제2조 제1항에서 가져온 것으로, 독일 상법(HGB)의 대기업 기준과 다르다.

빈도 상위 지적사항과 해결책

BaFin 2023년 연간 보고서에 따르면 PIE 감사에서 발견된 주요 결함은 다음과 같다.

독립성 문서화 부족 (42% 지적)

발견 사항을 BaFin은 이렇게 정리한다. "감사인이 독립성 위협 요소를 식별했지만 평가 과정과 결론을 충분히 문서화하지 않았다." 실무에서 이것이 의미하는 것: 조서에 위협만 적어 놓고, 그 다음 판단을 쓰지 않았다는 말이다. 감리 나오면 바로 걸리는 패턴이다.

발생 원인을 보면, EU 감사 규정 제6조는 독립성 위협의 식별뿐 아니라 평가와 안전장치 적용 과정의 문서화를 요구한다. 많은 팀이 위협 식별에만 집중하고 후속 평가 문서화를 간과한다.

해결책으로, 독립성 체크리스트에 위협 식별, 중요성 평가, 안전장치 검토, 최종 결론의 4단계를 모두 포함한다. 각 단계마다 날짜와 검토자 서명을 기록한다.

위험평가 절차의 부적절한 문서화 (38% 지적)

발견 사항으로, 감사팀이 기업과 환경에 대한 이해를 충분히 문서화하지 않았고, 위험 식별과 평가 과정이 불명확했다.

발생 원인은 두 가지다. ISA 315(개정)의 요구사항을 독일어 번역본에서만 참조하다 보니 뉘앙스를 놓치는 경우가 생긴다. PIE 업무에서는 더 상세한 위험평가 문서화가 필요하다.

해결책으로, 위험평가 워크지에 정보 출처, 토론 참여자, 식별된 위험, 평가 근거, 대응 절차를 모두 포함한다. 각 위험에 대해 "왜 중요한 위험인지" 또는 "왜 일반 위험인지"를 명시적으로 기술한다.

감사의견 형성 과정의 불충분한 문서화 (33% 지적)

발견 사항으로, 업무수행이사의 전반적 결론 도달 과정이 불분명했고, 핵심감사사항(KAM) 결정 근거가 부족했다.

발생 원인을 보면, PIE 감사에서는 KAM 보고가 의무이지만, 많은 팀이 KAM 식별과 기술을 형식적으로만 처리한다. BaFin은 KAM의 실질적 검토에 중점을 둔다.

해결책으로, KAM 결정 회의 의사록을 작성하고, 각 KAM에 대해 "감사 대응", "관찰 사항", "결론"을 구분해 문서화한다. 업무수행이사의 전반적 검토 체크리스트에 KAM 적절성 평가를 포함한다.

실무 사례: 뮌헨 제조업체

배경을 보면, 하우저 정밀기계 AG(가명)는 뮌헨에 본사를 둔 상장 제조업체다. 매출 8억 5천만 유로, 직원 3,200명 규모로 MDAX에 상장되어 있어 PIE에 해당한다.

상황은 다음과 같다. 2023년 감사에서 BaFin 품질관리 검토를 받게 되었다. 법인은 중견 규모로 PIE 업무 경험이 제한적이었다.

단계별 대응:

1. PIE 분류 확인 문서화: MDAX 상장 확인서, PIE 해당성 판단 메모 작성

2. 독립성 평가 강화 문서화: 5년간 비감사서비스 내역 검토, 위협 요소 평가표 작성, 안전장치 적용 내역 기록

3. 위험평가 세분화 문서화: 제조업 특성을 반영한 고유위험 식별, 통제위험 평가, 발견위험 목표 설정 근거 기술

4. KAM 식별 및 보고 문서화: 지배구조 담당자와의 KAM 논의 의사록, 각 KAM별 감사 대응 절차 및 결과 요약

5. 업무수행이사 검토 문서화: 전반적 결론 도달 과정, KAM 보고 적절성 검토, 감사의견 형성 근거 명시

결과로, BaFin 검토에서 "만족" 등급을 받았고, 독립성과 KAM 보고가 우수하다는 평가를 받았다.

핵심 교훈으로, PIE 업무는 일반 감사보다 문서화 수준이 훨씬 높아야 한다. 단순한 체크리스트가 아니라 판단 과정과 근거를 상세히 기록해야 한다.

실무 체크리스트

다음 체크리스트는 BaFin 검토 준비에 바로 쓸 수 있다:

1. PIE 해당성을 감사 시작 전에 재확인하고 문서화한다 (AuQuaG 제1조 기준)

2. 독립성 평가서에 식별-평가-안전장치-결론의 4단계를 모두 포함시킨다 (EU 감사 규정 제6조)

3. 위험평가 워크지에 각 위험의 분류 근거를 명시적으로 기술한다 (ISA 315.31 요구사항)

4. KAM 결정 회의를 개최하고 의사록을 작성한다 (ISA 701.9 적용)

5. 업무수행이사의 전반적 검토에 KAM 보고 적절성 평가를 포함한다 (ISA 720.12 연계)

6. BaFin은 형식적 준수가 아니라 실질적 감사품질을 평가한다는 점을 기억한다

자주 발생하는 실수들

- PIE 분류 착오: 프랑크푸르트 일반시장 상장사를 PIE로 잘못 분류하거나, 대기업 기준을 독일 상법 기준으로 적용하는 경우 - 이원 감독 혼동: PIE 업무와 비PIE 업무에 동일한 품질관리 기준을 적용하려는 시도