합의된 절차(Agreed-Upon Procedures)

Definition

거래처에서 "감사 말고 AUP만 해주세요"라는 말을 들으면 머리가 아파진다. 인차지 시절 필자도 그 말을 가볍게 받았다가 시즌 끝에 조서를 다시 뜯어본 적이 있다. 막상 해보니까 AUP는 절차 자체가 어려운 게 아니다. 어려운 건 그 보고서가 거래처 손을 떠난 뒤에 어디로 가서 어떻게 읽히는지를 통제하지 못한다는 것이다.

핵심 요약

- AUP는 감사도 검토도 아니며, 어떤 형태의 의견이나 확신도 제공하지 않는다. - 절차는 지정된 당사자(보통 경영진 또는 감시기구)가 요청하고, 실무자는 그 범위와 한계를 명시적으로 합의한 뒤에만 수행한다. - 금감원 감리에서 AUP 관련 지적 사항은 대부분 "보고서가 본문 한 줄에서 결론 톤으로 넘어갔다"는 패턴이다. - ISA 4410.13의 보고 요건을 형식적으로 따라도, 보고서가 은행이나 제3자에게 흘러간 순간 책임 구조가 완전히 달라진다.

작동 방식

AUP를 정의로만 외우면 현장에서 무너진다. 그래서 무엇이 아닌지부터 다시 본다. 종합 결론을 내리지 않는다. "적정하다"라는 표현을 쓰지 않는다. 표본을 임의로 늘리지 않는다. 절차를 추가로 수행해놓고 보고에 반영하지 않는 경우도 위반이다.

ISA 4410.5는 실무자가 지정된 당사자와 사전에 합의한 절차만 수행하도록 제한한다. 이 합의는 약정서(engagement letter) 본문에 박혀 있어야 한다. 구두 합의는 조서에서 사라진다. 필자도 인차지 때 한 번 그렇게 잃었다.

ISA 4410.13은 보고서에 들어가야 하는 요소를 나열한다. 절차의 범위, 수행한 절차의 정확한 기술, 발견한 사실, 실무자의 책임 범위, 지정된 당사자의 책임 범위, 그리고 ISA 4410.13(f)의 배포 제한 문구. 발견 중에 부정 또는 중요한 오류가 드러나면 보고서에 적고, 지정된 당사자에게 즉시 통지한다.

여기까지는 책에 나온다. 실제 현장에서는 한 줄이 더 들어간다. "전반적으로 문제가 없는 것으로 판단된다." 이 한 줄이 감리에서 잡히는 한 줄이다.

빅펌과 로컬에서 AUP를 다루는 결이 다르다는 점도 짚어둘 만하다. 빅펌은 보고 템플릿을 표준화해서 결론 톤으로 넘어가는 표현을 사전에 차단한다. 로컬은 의뢰인이 "은행 제출용으로 한 줄 도와달라"고 요청하면 거절하기가 솔직히 어렵다. 똑같은 ISA 4410을 적용하지만, 그 압력이 다른 모양으로 들어온다.

두 실무자가 같은 사안에서 갈리는 지점

AUP의 회색 지대는 "합의된 절차에 명시되지 않았지만 의뢰인이 명백히 의도한 것으로 보이는 인접 절차"다. 보수적 입장에 선 파트너는 약정서에 적힌 항목 외에는 손대지 않는다. 인접 절차가 필요하다고 판단되면 약정서를 개정하거나 별도 업무로 분리한다. 실용적 입장에 선 파트너는 의뢰인이 분명히 의도했고 추가 시간이 미미하면 절차에 포함시키되 보고서에 그 사실을 기술한다. 둘 다 ISA 4410을 위반하지 않는다고 본다. 다만 감리관이 어떻게 읽느냐가 다르다. 필자는 후자가 합리적이라고 보지만, 그 합리성이 조서에 살아남으려면 약정서 개정 메모가 따라붙어야 한다.

왜 같은 실수가 반복되는가

지적 사항을 보면 늘 같은 종류다. 범위를 넘었거나, 결론을 적었거나, 보고서가 제3자에게 흘러갔다. 이게 구조적으로 반복되는 이유가 있다. 시즌이 끝나가는 시점에 AUP가 들어온다. 인차지는 이미 다른 감사 마감 두 건을 안고 있다. 의뢰인은 말로는 "절차만"이라고 하지만, 보고서가 은행 대출 심사에 쓰일 거라는 사실을 양쪽 다 알고 있다. 로컬 펌의 경우 수임료 압력까지 얹힌다. 그래서 "OK다" 한 줄을 더 쓰게 된다. 그게 화근이다. ISA 4410의 진짜 위험은 절차 자체가 아니라 보고서가 손을 떠난 후 어떻게 읽히는가에 있다.

산출 예시: 롯데 항공 물류 주식회사

클라이언트: 한국 항공 물류 기업, 2024년 회계연도, 매출 85억 원, K-IFRS 적용 기업.

상황: 클라이언트의 이사회가 실무자에게 특정 판매 거래의 인수 상태와 관련된 합의된 절차 업무를 요청했다. 이는 연간 감사의 일부가 아니며, 별도의 업무다.

1단계: 절차 범위 합의 감시기구는 실무자에게 2024년 1월부터 6월까지 발생한 매출액 5천만 원 이상의 국제 항공사 계약 50건을 추출하고, 해당 송장(Airway Bill) 사본과 인수증을 확인하도록 요청했다. 실무자는 경영진과 이사회와 회의하여 다음 네 가지를 명확히 했다: (1) 절차의 정확한 범위, (2) 샘플 추출 방법, (3) "인수"의 정의(송장 발행일인지 배송 완료일인지), (4) 발견사항의 보고 형식. 문서화 노트: 합의된 절차 약정서에 범위, 절차, 한계, 보고 형식을 명시. 이사회와 경영진의 서명.

2단계: 절차 수행 실무자는 감시기구가 제공한 50건의 거래를 추출했고, 해당 거래의 송장과 인수증을 확인했다. 결과는 다음과 같다. 48건의 송장과 인수증 쌍이 문서에 따라 일치했고(date 일관), 2건에서는 송장 발행 후 인수증까지 30일 이상의 지연이 확인되었다. 문서화 노트: 추출 로그(거래 목록), 표본 수행 절차, 발견 기록표 작성. 지연 건에 대해 경영진에게 즉시 통지.

3단계: 복잡성의 등장 보고서 초안 회람 단계에서 경영진이 자료를 추가 제공했다. 지연으로 분류된 2건 중 1건은 사실 화주측 시스템 변경으로 인수증이 다른 양식(전자 PoD)으로 발급된 정상 건이었다. 즉, 표면상의 "30일 지연"은 양식 차이에서 비롯된 기록 누락이었다.

여기서 판단이 필요해진다. 발견사항을 그대로 "2건 지연"으로 적으면 사실과 다르다. 그렇다고 "1건은 정상 건으로 확인됨"이라고만 적으면 실무자가 인수증의 적정성을 결론지은 셈이 되어 AUP의 범위를 넘는다. 실무에서 이것이 의미하는 것: 보고서는 두 사실을 분리해서 적어야 한다. 첫째, 합의된 절차상 송장 대 인수증 매칭 기준으로 2건이 30일 이상 지연. 둘째, 그중 1건에 대해 경영진이 다른 양식의 인수증을 사후 제공했다는 사실. 이 양식이 회사 정책상 유효한지에 대한 판단은 보고하지 않는다.

조서가 너무 얇았다면 여기서 무너진다.

4단계: 보고 보고서는 다음 세 요소를 포함했다. (1) 수행한 절차의 정확한 설명(표본 50건, 확인 항목 송장과 인수증), (2) 발견사항(48건 일치, 2건이 합의된 매칭 기준상 30일 이상 지연 / 그중 1건에 대해 경영진이 다른 양식의 인수증을 사후 제공), (3) 명확한 면책 조항("이는 감사가 아니며, 합의된 절차의 결과만 보고한다") 및 ISA 4410.13(f)의 배포 제한. 보고서는 이사회와 실무자만 배포받도록 제한되었다.

보고서는 특정 거래의 인수 상태를 합의된 절차 범위 내에서 사실적으로 기술했다. 감사 의견이 아니며, 재무제표 전체에 대한 어떤 판단도 담고 있지 않다.

감리에서 발견되는 오류

같은 종류의 지적이 매년 반복된다. 실무에서 어떻게 발생하는지부터 본 다음, 기준이 무엇을 요구하는지, 그리고 회색 지대가 어디인지 짚는다.

- 범위 팽창: 시즌 막바지에 인차지가 "이 거래도 같이 봐달라"는 요청을 받고 표본 외 거래 몇 건을 추가로 들여다본다. 결과는 보고서에 못 적는다. ISA 4410.5는 합의된 범위를 넘는 절차 수행을 금지한다. 회색 지대는 "사후 약정서 개정"이다. 절차 수행 후에 약정서를 개정해 정당화할 수 있는가. 감리관에 따라 다르게 본다. 필자는 사후 개정으로 살아남는 사례를 본 적이 있긴 하나, 추천할 만한 경로는 아니다.

- 결론 톤으로의 미끄러짐: "확인 결과 인수가 적절히 문서화됨"이라는 한 줄이 보고서 마지막에 들어간다. 의뢰인이 좋아한다. 감리관은 이를 결론 진술로 읽는다. ISA 4410.13(d)는 발견사항을 "X를 확인했다", "Y건이 일치하지 않았다" 형식의 사실 진술로 적도록 요구한다. 회색 지대는 형용사다. "적절히", "충실히", "이상 없이"라는 단어 하나가 결론 톤으로 넘어가는 신호다.

- 제3자 배포로 빠지는 보고서: 의뢰인이 보고서를 받아 은행에 그대로 제출한다. 실무자는 그 사실을 모를 수 있다. ISA 4410.13(f)는 보고서에 배포 제한을 명시하도록 요구한다. 회색 지대는 의뢰인이 명시적 동의 없이 보고서를 전달했을 때의 책임이다. 명시 문구가 있으면 책임이 줄어들지만 사라지지는 않는다. 금감원: "AUP 업무에서 보고 형식이 합의된 절차의 범위를 초과하여 결론을 제시한 사례가 확인되었다." 실무에서 이것이 의미하는 것: "OK다"라고 한 줄 더 쓴 게 화근이었다.

- 조서의 부재: 절차는 했는데 조서에 남지 않는다. 표본 추출 로그, 매칭 결과표, 경영진 통지 메모가 없으면 절차를 수행했다는 사실 자체를 입증하지 못한다. ISA 4410은 문서화 요건을 별도로 자세히 두진 않으나, ISQM 1과 결합해 읽으면 빠져나갈 길이 없다. 회색 지대는 전자 매칭 도구의 로그를 조서에 어떻게 보존할 것인가다.