ISA 265 내부통제 미비점 소통: 언제 어떻게 보고할 것인가

내부통제 미비점 식별

ISA 265.6은 내부통제 미비점을 "통제가 존재하지 않거나 설계·운영되지 않아서 재무보고의 목적을 달성할 수 없는 상황"으로 정의한다.

실무에서 나타나는 유형은 크게 두 가지다. 설계 미비점(필요한 통제가 아예 없음)과 운영 미비점(통제는 있지만 작동하지 않음)이다. 이 두 유형 외에 통제가 작동하지만 식별된 위험에 대응하기에 불충분한 경우도 있다. 솔직히 현장에서 가장 많이 놓치는 건 세 번째 유형이다.

ISA 315.26에 따라 내부통제를 이해하는 과정에서 미비점을 발견하게 되고 ISA 330의 세부 감사절차를 수행하면서도 추가 식별이 가능하다. 모든 미비점이 소통 대상은 아니다. ISA 265.7은 "경영진과 지배기구의 주의가 필요하다고 판단하는" 미비점만 소통하도록 규정한다.

소통 대상 결정 기준

ISA 265.A1은 소통 여부를 결정할 때 고려해야 할 요소를 제시한다. 미비점이 재무제표 왜곡표시로 이어질 가능성과 보상통제의 존재 여부가 핵심이다. 피감사기업이 미비점을 이미 인지하고 있는지도 고려 대상이다.

가능성 평가에서는 미비점이 중요한 왜곡표시를 야기할 "합리적 가능성"이 있는지 판단한다. 원격하거나 희박한 가능성이 아니라 정상적 상황에서 발생할 수 있는 현실적 위험을 의미한다.

기업의 인지 가능성도 따져야 한다. 경영진이나 지배기구가 이미 인지하고 적절한 조치를 취하고 있다면 소통의 우선순위가 낮아진다. 다만 인지 여부를 가정하지 말고 직접 확인해야 한다. 막상 해보니까 "당연히 알고 있겠지"라고 넘긴 미비점이 경영진에게 처음 들어보는 이야기인 경우가 빈번하다.

보상통제는 원래 통제의 미비점을 상쇄할 수 있는지 평가해야 한다. ISA 265.A3은 보상통제가 충분히 정확하고 세밀해야 한다고 규정한다. 월말 분석검토가 일일 승인 통제의 미비점을 보상할 수 있는지는 거래의 성격과 금액에 따라 다르다.

중요한 미비점 평가

ISA 265.8은 중요한 미비점을 "감사인의 전문가적 판단으로 지배기구의 주의가 필요할 정도로 심각한 내부통제 미비점"으로 정의한다. 중요한 미비점으로 분류되면 지배기구에 서면으로 소통해야 한다(ISA 265.9).

ISA 265.A5-A7은 중요한 미비점을 나타내는 지표를 제시한다. 부정 위험이 있는 영역의 통제 부족과 경영진에 의한 재무보고 절차 무시가 대표적이다. 재무보고 담당 인력의 역량 부족도 해당된다.

정량적 지표도 있다. 미비점으로 인해 발생할 수 있는 왜곡표시의 크기가 수행중요성을 초과한다면 중요한 미비점일 가능성이 높다. 그런데 금액이 작더라도 질적 요소(부정 위험, 특수관계자거래)가 있다면 중요한 미비점이 될 수 있다. 빅펌에서는 이 질적 판단을 품관실 리뷰에서 특히 꼼꼼하게 본다.

통제 환경의 미비점은 별도로 주의해야 한다. 최고경영진의 윤리적 자세나 지배기구의 독립성 문제는 개별 통제의 효과성에 광범위한 영향을 미친다. 이건 한 건만 걸려도 감리에서 문제가 된다.

실무 적용 사례

한빛제조 주식회사는 매출 350억 원 규모의 제조업체(직원 120명)다. 감사팀은 다음 미비점들을 발견했다.

매출 인식 통제 부재

월 매출 15억 원을 처리하는 과정에서 출하 문서와 매출 기록 대조 절차가 없었다. 창고직원이 출하증을 작성하면 회계팀이 그대로 매출로 인식한다.

조서 기재 예시: "매출 인식 시 출하 증명 검증 통제 부재. 월 15억 원 거래에 영향. 잠재적 조기 매출 인식 위험 존재."

경비 승인 한도 초과

100만 원 초과 경비는 이사 승인이 필요하지만 3건(250만 원, 180만 원, 320만 원, 150만 원)이 과장 승인만으로 처리되었다.

조서 기재 예시: "경비 승인 한도 위반 4건. 총 900만 원. 승인 권한 매트릭스 준수 미흡."

IT 접근 권한 관리

퇴사자 5명의 ERP 접근 권한이 퇴사 후 평균 2주간 유지되었다. 이 중 2명은 회계모듈 접근이 가능했다.

조서 기재 예시: "퇴사자 접근 권한 해지 지연. 회계모듈 접근 가능 2명 포함. 무단 거래 처리 위험."

매출 인식 통제 부재 건은 중요한 미비점(매출 인식 위험, 금액 중요성)으로 분류하여 지배기구에 서면 소통한다. 경비 승인과 IT 접근 권한 건은 일반 미비점으로 경영진에 구두 또는 서면 소통한다.

소통 체크리스트

소통 대상 결정 시 확인 사항:

1. 재무제표 왜곡표시 발생 가능성이 원격 수준을 넘는가? 2. 미비점이 수행중요성 수준의 영향을 미칠 수 있는가? 3. 기업이 해당 미비점을 인지하고 있는가? 4. 보상통제가 존재하며 실제로 작동하는가?

중요한 미비점 판단 시:

5. 부정 위험 영역의 통제와 관련되는가? 6. 경영진이 내부통제를 무시한 증거가 있는가? 7. 통제 환경 전반에 영향을 미치는가? 8. 지배기구의 즉각적 주의가 필요한 정도로 심각한가?

소통 형태: - 중요한 미비점은 지배기구에 서면 소통(ISA 265.9) - 기타 미비점은 경영진에 구두 또는 서면 소통 가능(ISA 265.10)

흔한 실수들

보상통제 과대평가

월말 분석검토가 모든 일일 거래 통제 부재를 보상한다고 가정하는 경우가 있다. ISA 265.A3은 보상통제의 정확성과 세밀함을 요구한다. 기대와 다르게 월말 분석검토 하나로 일일 통제 미비를 커버하겠다는 논리는 품관실에서 받아들이지 않는다.

소통 시기 지연

중요한 미비점을 최종 감사보고서와 함께 소통하는 팀들이 있다. ISA 265.12는 적시 소통을 요구하므로 발견 즉시 소통해야 한다. 보고서일까지 미루면 경영진이 개선 조치를 취할 시간이 없다.

정량적 기준에만 의존

금액이 작다고 자동으로 중요하지 않다고 판단하면 안 된다. 부정 위험이나 특수관계자거래와 연결된 미비점은 금액과 관계없이 중요할 수 있다. 금감원 감리에서도 금액보다 성격을 따지는 경우가 많다.