CSRD 보증: 감사기준서 ISAE 3000과 ISAE 3410 언제 사용할까

이 글에서 배울 내용

> - CSRD 맥락에서 ISAE 3000과 ISAE 3410의 적용 범위와 핵심 차이점을 파악할 수 있다 > - 온실가스 데이터가 포함된 CSRD 보증업무에서 어떤 기준을 선택할지 판단할 수 있다 > - 두 기준을 조합하여 사용할 때의 실무적 고려사항을 이해할 수 있다 > - CSRD Article 34가 요구하는 보증 수준과 각 기준의 적합성을 평가할 수 있다

CSRD 보증 규제 프레임워크와 기준 선택

CSRD Article 34의 보증 요구사항

CSRD Article 34는 지속가능성 보고서에 대한 제한적 보증(limited assurance)을 의무화한다. 2028년부터는 합리적 보증(reasonable assurance)으로 전환될 예정이지만, 회원국이 이 시기를 연기할 수 있다.

보증 제공자는 법정감사인 또는 독립적인 보증 제공자가 될 수 있다. 핵심은 적절한 전문성과 독립성을 갖춘 제공자가 적절한 보증기준을 적용하는 것이다.

국제보증기준의 적용

EU는 CSRD 보증업무에 특별한 기준을 별도로 제정하지 않았다. 대신 기존의 국제보증기준(International Standards on Assurance Engagements)을 활용하도록 했다. ISAE 3000(일반 보증업무)과 ISAE 3410(온실가스 배출량 보증) 두 가지다.

각국의 감독기관이 추가 지침을 제공할 수 있지만 기본 프레임워크는 국제기준에 기반한다. 한국에서는 아직 금감원이 CSRD 보증에 대한 별도 해석을 공식화하지 않았고, 빅펌 지속가능성팀이 유럽 본사의 방법론을 그대로 들여와 쓰는 상황이 흔하다. 보증 제공자는 업무의 성격과 범위에 따라 적절한 기준을 선택해야 한다.

ESRS 표준과 보증 범위

ESRS(European Sustainability Reporting Standards)는 환경(E), 사회(S), 거버넌스(G) 세 영역으로 구성된다. 각 영역은 서로 다른 데이터 특성과 측정 복잡도를 가진다.

- ESRS E1(기후변화): 온실가스 배출량, 에너지 소비량, 기후 리스크 평가 - ESRS S1(자체 인력): 직원 수, 안전사고 건수, 교육 시간 - ESRS G1(사업 행위): 부패 방지 정책, 정치적 기부, 로비 활동

온실가스 배출량은 기술적 복잡성이 높아 전문적인 보증 접근법이 필요하다. 반면 직원 수나 안전사고 건수는 상대적으로 직관적인 데이터다.

ISAE 3000 vs ISAE 3410: 핵심 차이점

적용 범위의 차이

ISAE 3000은 재무정보 이외의 모든 주제에 적용되는 일반 보증기준이다. 적용 대상이 특정 지표로 고정되어 있지 않고, 보증 제공자가 업무 범위를 설계한다. CSRD 맥락에서는 모든 ESRS 주제(환경, 사회, 거버넌스)에 쓸 수 있다.

ISAE 3410은 반대로 범위가 좁다. 온실가스 배출량 보증 하나에만 특화된 기준이다. Scope 1, 2, 3 배출량과 관련된 기술적 요구사항을 구체적으로 다룬다. CSRD에서는 ESRS E1의 온실가스 데이터에만 적용된다.

전문성 요구사항

ISAE 3000.A25는 주제에 대한 적절한 전문성을 요구하지만 구체적인 자격 요건을 명시하지 않는다. 업무팀 구성과 외부 전문가 활용은 보증 제공자의 판단에 맡긴다.

ISAE 3410.17은 이와 달리 온실가스 배출량에 대한 구체적인 지식과 기술을 요구한다. 배출 인자, 계산 방법론, 데이터 수집 시스템에 대한 이해가 필요하다. 업무팀에 온실가스 전문가가 포함되어야 하는 경우가 많다. 막상 해보니까 이 지점에서 로컬 법인은 인원 확보에 고생한다.

중요성 판단과 위험 평가

두 기준 모두 중요성(materiality) 개념을 사용하지만 적용 방식이 다르다.

ISAE 3000에서는 정성적 중요성과 정량적 중요성을 모두 고려한다. 데이터의 성격에 따라 유연하게 접근할 수 있다. 사회적 지표나 거버넌스 지표에서는 정성적 판단이 더 중요할 수 있다.

ISAE 3410.A70-A72는 온실가스 배출량의 특성을 반영한 중요성 판단을 요구한다. 배출량 데이터는 정량적 성격이 강하므로 백분율 기준의 중요성 판단이 일반적이다. 전체 배출량의 5% 또는 개별 배출원의 특정 임계치를 사용한다.

보고서 형식과 의견 표명

ISAE 3000의 보고서는 일반적인 보증의견을 제시한다. "우리의 제한적 보증업무에 기초하여, 지속가능성 정보가 적용 기준에 따라 중요한 측면에서 적정하게 작성되지 않았다고 믿을 만한 사항이 발견되지 않았습니다."

ISAE 3410의 보고서는 온실가스 배출량에 특화된 의견을 제시한다. 배출량 산정 방법론, 데이터 수집 절차, 배출 인자의 적정성을 구체적으로 언급한다. Scope별 배출량과 총 배출량에 대한 개별적인 의견을 제시할 수도 있다.

온실가스 데이터 보증에서의 기준 선택

단독 적용 시나리오

ISAE 3000 단독 적용은 CSRD 보증업무 전체를 하나의 통합된 접근법으로 수행하려는 경우에 적합하다. 모든 ESRS 주제를 동일한 보증 프레임워크 안에서 다룰 수 있다. 온실가스 데이터가 상대적으로 단순하거나 전체 지속가능성 데이터 중 비중이 작은 경우에 쓸 만하다.

ISAE 3410 단독 적용은 온실가스 배출량이 CSRD 보고서의 핵심 부분을 차지하고 기술적 복잡성이 높은 경우에 맞는다. 다만 ISAE 3410은 온실가스 데이터에만 적용되므로, 다른 ESRS 주제에 대해서는 별도의 접근법이 필요하다.

조합 적용 시나리오

실무에서는 ISAE 3410(온실가스 데이터) + ISAE 3000(기타 ESRS 주제)의 조합이 가장 일반적이다. 각 기준의 강점을 활용하면서 보증을 제공할 수 있다.

이 접근법에서는 보증의견이 분리될 수 있다. 온실가스 배출량에 대해서는 ISAE 3410에 따른 의견을, 기타 지속가능성 정보에 대해서는 ISAE 3000에 따른 의견을 제시한다. 또는 통합된 하나의 의견에서 적용 기준을 병기할 수도 있다.

클라이언트 특성별 고려사항

제조업체의 경우 Scope 1, 2 배출량이 상당하고 복잡한 생산 공정으로 인해 배출량 산정이 기술적이다. ISAE 3410의 전문적인 접근법이 유용하다.

서비스업체의 경우 Scope 1, 2 배출량은 상대적으로 단순하지만 Scope 3 배출량(특히 공급망)이 복잡할 수 있다. 업무 범위와 데이터 가용성에 따라 기준을 선택해야 한다.

금융기관의 경우 자체 운영으로 인한 배출량은 적지만 투자 포트폴리오를 통한 간접 배출량(financed emissions)이 중요할 수 있다. 이는 ISAE 3410의 범위를 벗어날 수 있어 ISAE 3000이 더 적합할 수 있다.

실무 적용 사례

한국제강 주식회사의 CSRD 보증업무

배경 정보: - 업종: 철강 제조업 - 연매출: 840억 원 - 직원 수: 2,300명 - EU 자회사를 통해 CSRD 대상 기업 - 주요 배출원: 고로, 전기로, 발전 설비 - 적용 ESRS: E1(기후변화), E3(물), S1(자체 인력), G1(사업 행위)

1단계: 적용 범위 결정

보증업무팀은 먼저 각 ESRS 주제의 데이터 특성을 평가했다.

문서화 노트: 업무 계획서에 각 ESRS 주제별 데이터 유형, 측정 복잡도, 오류 위험도를 기록

- ESRS E1: 온실가스 배출량 연간 45만 tCO2e, 복잡한 배출원 다수, 높은 기술적 전문성 필요 - ESRS E3: 용수 사용량, 폐수 배출량, 상대적으로 직관적 - ESRS S1: 직원 수, 안전사고, 교육시간, 인사 시스템에서 직접 추출 가능 - ESRS G1: 정책 문서, 정성적 공시 위주

2단계: 기준 선택 결정

온실가스 데이터의 높은 복잡성과 전체 CSRD 보고서에서의 중요도를 고려하여 조합 접근법을 선택했다.

문서화 노트: 기준 선택의 근거를 업무 계획서 "적용 기준" 섹션에 기록

- ESRS E1 온실가스 데이터: ISAE 3410 적용 - ESRS E3, S1, G1: ISAE 3000 적용 - 보증의견: 분리하여 제시

3단계: 업무팀 구성

ISAE 3410 적용을 위해 온실가스 전문가를 업무팀에 포함했다.

문서화 노트: 각 팀원의 자격과 담당 영역을 업무팀 구성표에 명시

- 업무수행이사: CSRD 보증업무 총괄, ISAE 3000 경험 5년 - 온실가스 전문가: 배출량 산정 검토, ISO 14064 검증 경험 3년 - 시니어: 사회/거버넌스 데이터 검토, 감사 경험 7년

4단계: 중요성 설정

온실가스 배출량과 기타 지속가능성 지표에 대해 서로 다른 중요성 기준을 적용했다.

문서화 노트: 중요성 산정 근거와 임계치를 업무 계획서 부록에 첨부

- 온실가스 배출량: 전체 배출량의 5% (22,500 tCO2e) - 기타 정량적 지표: 개별 지표별 5-10% - 정성적 공시: 정성적 중요성 기준 적용

5단계: 보증절차 수행 결과

각 기준에 따라 차별화된 보증절차를 수행했다. ISAE 3410에서는 배출 인자 검토와 계산 방법론 테스트에 집중했고, ISAE 3000에서는 데이터 수집 통제와 공시 완전성에 집중했다.

온실가스 배출량에서 Scope 2 전력 사용량 계산에 구버전 배출 인자가 사용된 것을 발견했다. 수정 후 배출량이 3% 감소했다. 기타 지표에서는 중요한 오류가 발견되지 않았다.

실무 체크리스트

1. 업무 수임 전 평가 - 클라이언트의 온실가스 데이터 복잡성과 중요도 평가 - 업무팀의 온실가스 전문성 보유 여부 확인 - ISAE 3410 적용 시 추가 비용과 시간 고려

2. 기준 선택 문서화 - 각 ESRS 주제별 적용 기준을 업무 계획서에 명시 - 기준 선택의 근거를 구체적으로 기록 - 조합 적용 시 업무 범위 경계를 명확히 정의

3. 업무팀 구성 점검 - ISAE 3410 적용 시 온실가스 전문가 포함 필수 - 각 팀원의 담당 영역과 자격 요건 문서화 - 외부 전문가 활용 시 독립성과 객관성 확인

4. 중요성과 위험 평가 - 온실가스 데이터와 기타 지표에 대한 차별화된 중요성 설정 - 각 ESRS 주제별 고유 위험 식별 및 대응 방안 수립 - 데이터 품질과 통제 환경 평가

5. 보증절차 설계 - ISAE 3410의 기술적 요구사항을 반영한 절차 설계 - 배출량 산정 방법론과 배출 인자의 적정성 검토 절차 - 데이터 수집부터 공시까지의 전 과정 추적 가능성 확인

6. 보고서 작성 준비 - 적용 기준별 의견 형식 사전 검토 - 제한사항이나 강조사항의 적절한 공시 방법 결정 - 통합 의견 vs 분리 의견 선택과 근거 문서화

흔한 실수들

온실가스 데이터의 기술적 복잡성 과소평가: ISAE 3000만으로 온실가스 보증을 수행하려다 배출량 산정 방법론의 적정성을 제대로 평가하지 못하는 경우가 발생한다. Scope 3 배출량이나 복잡한 생산 공정의 배출량에서 주로 조서가 얇아진다. 지적 사항으로 이어지는 전형적인 경로다.

업무팀 전문성 부족: ISAE 3410을 선택했지만 업무팀에 온실가스 전문가가 없거나 부족한 전문성으로 인해 표면적인 검토에 그치는 경우다. 배출 인자의 적정성이나 계산 방법론의 정확성을 판단하지 못한다. 필자도 첫 번째 업무에서 배출 인자 출처를 일일이 확인하며 밤을 샜다.

조합 적용 시 업무 범위 중복이나 누락: 온실가스 관련 데이터 중 일부는 ISAE 3410으로, 일부는 ISAE 3000으로 다루면서 업무 범위의 경계가 모호해지는 경우다. 에너지 효율성 지표나 재생에너지 비율 등이 애매한 영역이다.