목차

목차

GDPR과 감사 업무의 교차점

감사 업무에서 개인 데이터 처리가 불가피한 이유


감사기준서 230.9는 감사인이 충분하고 적절한 감사 증거를 문서화하도록 요구합니다. 이 과정에서 급여 대장, 이사회 의사록, 고객 계약서 등 개인 데이터가 포함된 문서를 검토해야 합니다. GDPR 제4조(1)에 따르면 개인 데이터는 "식별되거나 식별 가능한 자연인과 관련된 모든 정보"입니다.
일반적인 감사 절차에서 처리되는 개인 데이터:

감사인의 GDPR 의무


감사법인은 GDPR 제4조(7)에 따른 '처리자(processor)' 또는 제4조(8)에 따른 '공동 관리자(joint controller)'가 될 수 있습니다. 피감사회사가 데이터 관리자인 경우가 대부분이지만, 감사법인이 독립적으로 데이터 처리 목적과 방법을 결정하면 공동 관리자가 됩니다.
GDPR 제28조는 처리자에게 다음을 요구합니다:

  • 급여 명세서의 직원 이름, 주민등록번호
  • 매출 거래의 고객 연락처 정보
  • 이사회 의사록의 임원 개인정보
  • 출장비 영수증의 카드 번호 일부
  • 관리자의 문서화된 지시에 따른 처리
  • 처리 직원의 기밀 유지 의무
  • 기술적, 조직적 보안 조치 구현
  • 하위 처리자 사용 시 사전 승인

감사 데이터에서 개인정보 식별

직접 식별 정보 vs 간접 식별 정보


직접 식별 정보 (GDPR 제4조(1) 직접 적용):
간접 식별 정보 (추가 정보와 결합 시 개인 식별 가능):
감사 파일에서 가장 간과되는 개인 데이터는 Excel 파일의 메타데이터입니다. 파일 속성에 작성자 이름, 최종 수정자, 회사명이 자동 저장됩니다. 이는 GDPR 적용 대상입니다.

특수 범주 개인정보의 처리


GDPR 제9조는 다음 데이터의 처리를 원칙적으로 금지합니다:
감사 업무에서 마주치는 특수 범주 데이터:
GDPR 제9조(2)(f)는 "법적 청구의 제기, 행사, 방어"를 위한 처리를 허용합니다. 법정감사는 이 예외에 해당할 수 있지만, 데이터 최소화 원칙을 적용해야 합니다.

  • 성명, 주민등록번호, 여권번호
  • 이메일 주소, 전화번호
  • 신용카드 번호, 계좌번호
  • 부서명 + 급여 금액 + 입사일 조합
  • 거래처별 매출 + 지역 정보
  • IP 주소, 로그인 시간, 거래 패턴
  • 인종, 민족적 출신
  • 정치적 견해, 종교적 신념
  • 건강 정보, 성생활
  • 직원 건강보험료 내역
  • 종교 단체 기부금 내역
  • 노동조합 관련 거래

법적 근거와 처리 원칙

감사 업무의 법적 근거 (GDPR 제6조)


6조(1)(c) 법적 의무 이행:
EU 감사 지침 2014/56/EU와 각국 감사법은 감사인에게 특정 절차 수행을 의무화합니다. 이는 명확한 법적 근거입니다.
6조(1)(f) 정당한 이익:
법정감사가 아닌 경우 정당한 이익을 입증해야 합니다. 3단계 테스트:

데이터 처리 원칙 (GDPR 제5조)


적법성, 공정성, 투명성 (제5조(1)(a)):
피감사회사에 개인 데이터 처리 사실과 목적을 고지해야 합니다. 감사 약정서에 GDPR 준수 조항을 포함하십시오.
목적 제한 (제5조(1)(b)):
감사 목적 외 사용 금지. 마케팅, 영업 개발에 활용할 수 없습니다.
데이터 최소화 (제5조(1)(c)):
감사 목적에 필요한 최소한의 개인 데이터만 처리. 전체 급여 대장이 아닌 표본 추출된 항목만 복사합니다.
정확성 (제5조(1)(d)):
부정확한 개인 데이터 발견 시 피감사회사에 알리고 수정을 요구합니다.
보존 제한 (제5조(1)(e)):
감사기준서 230.A29는 감사 파일을 최소 5년간 보존하도록 요구합니다. GDPR과의 조화 방안을 다음 섹션에서 다룹니다.
무결성 및 기밀성 (제5조(1)(f)):
GDPR 제32조의 적절한 기술적, 조직적 조치를 구현해야 합니다.

  • 정당한 이익 존재 (재무제표 신뢰성 확보)
  • 처리의 필요성 (감사 목적 달성을 위한 필수성)
  • 균형성 테스트 (데이터 주체의 이익과 자유가 우선하지 않음)

실무 적용 사례

케이스 스터디: 김동건 회계법인의 유로피언 클라이언트 감사


김동건 회계법인이 독일 뮌헨에 본사를 둔 바이에른 자동차 부품 GmbH(매출 8,500만 유로)를 감사한다고 가정해보겠습니다. 이 회사는 한국 부산에 제조 자회사를 두고 있습니다.
1단계: 개인 데이터 매핑
2단계: 법적 근거 확립
김동건 회계법인은 독일 상법(HGB) 제316조에 따른 법정감사 의무를 법적 근거로 설정합니다.
3단계: 데이터 최소화 적용
전체 직원 850명의 급여 대장 대신 ISA 530에 따른 표본 25개만 추출합니다.
4단계: 기술적 보호조치
결과: GDPR 제83조의 과태료 위험을 최소화하면서 감사기준서 230의 문서화 요구사항을 충족했습니다. 독일 데이터보호청(BfDI)의 감독에 대비한 체계를 구축했습니다.

  • 급여 샘플 25개 항목 (직원명, 세전소득, 사회보험료)
  • 고객 계약서 15건 (서명자 성명, 연락처)
  • 이사회 의사록 12회분 (참석자 명단)
  • 문서화 노트: 개인정보 처리 목록을 별도 Excel 시트로 관리
  • 문서화 노트: 감사 약정서에 "GDPR 제6조(1)(c) 법적 의무 이행 근거"를 명시
  • 문서화 노트: 표본 선택 근거와 개인정보 보호 고려사항을 감사 조서에 기록
  • 파일 암호화 (AES-256)
  • 접근 권한 제한 (담당 감사인 2명만)
  • 전송 시 보안 채널 사용
  • 문서화 노트: 보안 조치 적용 내역을 별도 체크리스트로 관리

준수 체크리스트

감사 업무에서 GDPR 준수를 위한 6단계 체크리스트:

  • 감사 약정서에 GDPR 조항 포함 - 개인 데이터 처리 목적, 법적 근거, 보존 기간을 명시합니다. GDPR 제13조의 정보 제공 의무를 충족합니다.
  • 개인 데이터 처리 기록부 작성 - GDPR 제30조에 따른 처리 활동 기록을 감사업무별로 관리합니다. 직원 250명 미만 회계법인도 법정감사는 기록 의무가 있습니다.
  • 데이터 최소화 원칙 적용 - 감사 목적에 필요한 최소한의 개인 데이터만 수집하고 처리합니다. 표본 추출 시 개인정보 노출을 고려한 샘플링을 실시합니다.
  • 기술적 보호조치 구현 - 파일 암호화, 접근 권한 관리, 네트워크 보안을 적용합니다. GDPR 제32조의 적절한 보안 수준을 유지합니다.
  • 데이터 주체 권리 대응 절차 수립 - 정보 제공, 접근, 정정, 삭제 요구에 대한 내부 절차를 마련합니다. 1개월 내 응답 의무를 준수합니다.
  • 보존 및 폐기 정책 확립 - 감사기준서 230의 5년 보존 의무와 GDPR의 보존 제한 원칙을 조화시킨 정책을 운영합니다.

일반적 실수

  • 개인 데이터 범위 과소평가 - Excel 메타데이터, 이메일 헤더, 로그 파일에 포함된 개인 정보를 놓치는 경우가 많습니다. 유럽 데이터보호위원회(EDPB) 가이드라인은 간접 식별 정보도 개인 데이터로 분류한다고 명시합니다.
  • 하위 처리자 고려 부족 - 클라우드 저장소, 번역 서비스, IT 지원업체도 GDPR 제28조의 하위 처리자입니다. 각각과 데이터 처리 계약을 체결해야 합니다.

관련 자료

  • 개인정보 보호 체크리스트 - GDPR 준수를 위한 감사법인용 체크리스트 도구
  • 데이터 보존 정책 템플릿 - 감사기준서 230과 GDPR을 동시에 충족하는 보존 정책 템플릿
  • GDPR과 감사 문서화 - 감사 파일에서 개인정보 처리 기록 방법에 대한 심화 가이드

실무 감사 인사이트를 매주 받아보세요.

시험 이론이 아닙니다. 감사를 빠르게 만드는 실질적인 내용입니다.

290개 이상의 가이드 게시20개 무료 도구현직 감사인이 구축

스팸 없음. 저희는 감사인이지 마케터가 아닙니다.