Definition
빅펌이든 로컬이든 보증 업무 수임이 늘어나고 있는데, 막상 조서를 열어보면 재무제표 감사 조서를 거의 그대로 복사해 쓰는 경우가 많다. ISAE 3000과 ISA는 증거 수집 기준, 결론 표현 방식, 조서 구성이 전부 다르다. 감리에서 ISAE 3402 업무가 걸리면 대부분 이 차이를 인식하지 못한 데서 지적이 나온다.
보증 업무의 작동 방식
ISAE 3000(보증 업무에 관한 국제기준)은 감사인이 재무제표가 아닌 주장에 대해 어떻게 신뢰성 있는 결론을 내릴지 규정한다. 예를 들어 경영진이 "우리의 내부 통제는 효과적이다"라고 주장할 때 감사인은 이 주장을 테스트하고 그에 대한 확신 수준을 표현한다.
ISAE 3000.13에 따르면 보증 업무는 두 가지 수준으로 나뉜다. 첫째, 긍정적 확신(합리적 확신)은 감사인이 충분하고 적절한 증거를 수집했으며 결론이 방어 가능함을 의미한다. 둘째, 제한적 확신은 감사인이 제한된 절차를 수행했으므로 결론에 대한 신뢰도가 낮음을 뜻한다.
실무적으로는 보증 업무가 내부 통제 평가(ISAE 3402 기준), 지속가능성 보고서 검증, 준법 감시 결과 보고 등으로 나타난다. 각 업무는 경영진의 주장이 무엇인지, 감사인이 어느 수준의 확신을 제공할 수 있는지에 따라 달라진다.
실무 사례: 한진산업 주식회사
고객: 한국 제조업, 2024년도, 매출 340억 원, IFRS 적용 회사
1단계 내부 통제 효과성 주장 평가: 한진산업의 경영진이 "재무 거래 승인 통제가 효과적이다"라고 주장했다. 감사인은 먼저 이 주장의 의미를 파악한다. 어떤 거래가 통제 대상인지, 통제가 작동하지 않으면 무엇이 발생하는지를 정의한다. 문서화 노트: 작업 조서 TB-04에 주장의 범위, 테스트 시기, 표본 크기 명시
2단계 증거 수집: 감사인은 거래 50건을 선택했다. 각 거래에 대해 (1) 승인이 있는가, (2) 승인한 사람이 권한이 있는가, (3) 거래액이 정책에 부합하는가를 확인한다. 50건 중 48건이 통제를 충족했다. 2건은 승인 없이 처리되었다. 문서화 노트: 통제 테스트 표본 명세를 별지 A에 첨부. 편차 2건의 영향도 분석 — 중요성을 초과했는가
3단계 결론 도출: 표본에서 96% 준수율은 높다. 하지만 편차 2건이 모두 금액이 작았고(총 850만 원), 이는 중요성 기준(3,400만 원)을 훨씬 밑돈다. 감사인은 "경영진의 주장이 모든 중요한 측면에서 타당하다"는 제한적 확신을 표현할 수 있다. 문서화 노트: 의견 서한에 "제한적 확신(limited assurance)"임을 명시. 편차 내용, 영향, 경영진의 시정 조치를 기재
결론: 보증 업무에서 중요한 것은 증거의 충분성(표본 크기)과 적절성(오류와 통제가 연결되었는가), 그리고 결론의 명확성이다. 편차가 없으면 좋지만 현실에서는 발생한다. 인차지 입장에서 진짜 문제는 편차가 결론을 바꿀 정도로 중요한지를 판단하는 것이다.
감시 담당자와 실무자가 자주 놓치는 부분
금감원 감리 대상 ISAE 3402 업무 중 "충분한 증거 없는 결론 표현" 문제로 지적받는 건이 꾸준히 나온다. 특히 표본이 10개 미만이거나 명확한 오류 분석이 없는 경우가 많다. ISAE 3000.47에 따르면 감사인은 수집한 증거의 충분성과 적절성을 입증해야 한다.
기대와 다르게 많은 회계법인이 ISAE 3402 보고서를 내부 통제 감사(ISA 330)와 혼동한다. ISA 330은 재무보고 내부 통제만 다루지만 ISAE 3402 보고서는 서비스 조직의 모든 통제(급여 처리, 데이터 보안, 시스템 유지보수 등)를 다룬다. 요구되는 증거의 수준과 조서 구성이 완전히 다르다.
ISAE 3000.64에 따르면 감사인은 제공한 확신의 수준(긍정적/제한적)을 명시해야 한다. 실제 현장에서는 의견 서한에서 이를 생략하거나 모호하게 표현하는 경우가 비일비재하다. "합리적인 확신을 제공할 수 없지만 주장이 중요한 측면에서 타당하다"는 표현은 제한적 확신의 명확한 신호인데, 이걸 분명히 적어두지 않으면 감리에서 바로 걸린다.
관련 용어
내부 통제: 보증 업무에서 가장 자주 평가되는 주장이다. ISAE 3402 업무의 핵심 대상이다.
ISAE 3402: 서비스 조직 감사에 적용되는 보증 기준이다. 실무에서 보증 업무의 대부분을 차지한다.
제한적 확신: 보증 업무의 한 유형이다. 감사보다 절차가 제한된다.
합리적 확신: 보증 업무의 다른 유형이다. 감사와 유사한 수준의 절차가 필요하다.
검토: 재무 이외의 정보에 대한 제한적 확신 업무다. ISRE 2400으로 규율된다.
감시 업무: 재무제표에 대한 의견을 제공하는 감사인의 주요 업무다. ISA 200으로 규율된다.
관련 도구
ISAE 3000 준수를 위한 ISAE 3402 보고서 작성 도구를 사용하면 보증 업무의 필수 절차, 증거 수집 기준, 결론 도출 방식을 단계별로 구현할 수 있다. 이 도구는 조서 템플릿, 오류 분석 워크시트, 의견 서한 작성 가이드를 포함한다.
---