통제 진술서(Controleverklaring)

핵심 포인트

• 경영진은 통제 진술서에서 내부통제의 설계 및 운영에 대한 책임을 확인하며, 감사인이 해당 통제를 감사 업무에서 활용하기 위한 기초를 제공합니다.
• 통제 진술서는 감사인이 통제 환경, 위험 평가 절차, 정보 및 통신 시스템에 관한 경영진의 이해를 확인하는 수단입니다.
• 미비하거나 부정확한 통제 진술서는 감사 절차의 범위와 충분성에 관한 감리 의견 대상이 됩니다.
• ISA 580.11은 감사인이 경영진의 서면 진술이 다른 감사증거와 일관되는지 평가하도록 요구합니다. 통제 진술서의 내용이 감사인의 통제 테스트 결과와 불일치할 경우, 감사인은 해당 불일치의 원인을 조사하고 추가 감사 절차를 수행해야 합니다.

작동 방식

ISA 315.35(b)는 경영진으로부터 내부통제 환경에 관한 진술을 서면으로 취득하도록 요구합니다. 이는 계획 단계에서 이루어지는 정보 수집의 중요한 부분입니다. 통제 진술서는 경영진이 재무보고와 관련된 내부통제를 설계하고 운영하는 책임을 가지고 있음을 문서화합니다. 감사인은 이 진술을 통해 경영진의 통제 인식 수준, 현존하는 통제 활동의 성격, 그리고 시스템 변경이 통제에 미친 영향을 파악합니다.
감사인은 통제 진술서를 독립적인 감사 증거로 보지 않습니다. 대신, 감사인이 통제 테스트를 수행할 필요성을 결정하고 감사 절차의 범위를 결정하는 기초를 마련합니다. 통제 진술서가 경영진의 내부통제 인식을 명확하게 반영하지 못하면, 감사인은 ISA 315.34에 따라 위험 평가를 재수행하거나 감사 절차를 확대해야 합니다.

실무 사례: 유럽 제조업체의 통제 진술서

기업: Metallurgica Europa S.r.l., 이탈리아 토리노 소재 금속 부품 제조사, 2024년도 연 매출 €34백만
상황: 감사인은 계획 단계에서 경영진으로부터 내부통제에 관한 진술을 요청했습니다. 경영진은 판매, 구매, 급여 처리 프로세스에 계정 조정(compensating control)이 존재한다는 내용의 진술서를 제출했습니다.
1단계. 감사인은 진술서 내용을 검토하고 언급된 각 통제에 대해 경영진에게 구체적인 질문을 제시합니다. 급여 처리의 경우, 경영진이 설명한 통제는 '월별 급여 합계의 전월 대비 변동률 검토'였습니다.
문서화 노트: 감사 계획 조서에 기록: "경영진이 ISA 315에 따라 통제 진술서를 제출했으며, 판매(매출 인식), 구매(입금 전 검증), 급여(월별 분석적 검토) 세 영역의 통제 존재를 확인했습니다."
2단계. 감사인은 경영진의 진술이 실제 운영을 반영하는지 검증합니다. 급여 통제의 경우, 감사인은 최근 6개월 급여 총액 변동을 확인했고, 경영진이 언급한 검토 절차가 실제로 이루어졌는지 확인합니다.
문서화 노트: "4월 급여 환급 오류(€8,200)가 발생했으나 경영진의 월별 검토에서 감지되지 않았습니다. 이는 진술서에서 언급한 통제의 유효성에 의문을 제기합니다. ISA 330.17에 따라 통제 테스트 범위를 확대했습니다."
3단계. 감사인은 수정된 위험 평가를 기반으로 통제 테스트 계획을 조정합니다. 월별 급여 검토가 충분하지 않다고 판단되면, 급여 거래의 표본 선정 범위를 증가시키고 분석적 절차의 임계값을 낮춥니다.
문서화 노트: "경영진의 통제 진술에도 불구하고 운영상 유효성이 확인되지 않아, 급여 거래 450건 중 45건(10%)을 테스트하기로 결정했습니다(당초 계획 5%)."
결론: 통제 진술서가 실제 운영을 정확하게 반영하지 못할 경우, 감사인은 이를 위험 증가의 신호로 해석하고 실질적 감사 절차를 강화해야 합니다. 경영진이 진술한 통제가 없거나 부실하다고 확인되면, 해당 영역의 위험을 재평가하고 감사 증거를 추가로 수집합니다.

감리에서 지적하는 오류

• 통제 진술서 부재: 많은 중소 법인의 감사 파일에서 경영진의 공식적인 통제 진술서가 없거나 불완전합니다. ISA 315.35(b)는 이를 요구하며, 감리 기관은 이를 감사 증거 부족 지적의 근거로 사용합니다.
• 경영진 진술과 실제 운영의 불일치: 감시 통제(monitoring control)의 유효성을 경영진이 진술했으나 실제로는 문서화되지 않았거나 주기적으로 수행되지 않은 경우입니다. 예를 들어, 경영진이 '분기별 재무제표 조정 항목 검토'를 통제로 언급했으나 해당 검토 기록이 없거나 불규칙한 시점에만 실시된 경우입니다.
• 통제의 범위 축소: 경영진의 진술서에서 IS 시스템 변경의 영향을 간과하는 경우입니다. 예를 들어, 매출 인식 시스템이 변경되었으나 해당 변경 후 통제의 유효성을 재평가하지 않은 채 기존 통제를 계속 언급하는 것입니다.
• 통제 진술서와 경영진 진술 서신 간의 불일치 미검증: ISA 580.A19는 감사인이 경영진의 여러 서면 진술 간 일관성을 확인하도록 요구합니다. 예를 들어 통제 진술서에서 '모든 거래에 이중 승인이 적용된다'고 기재했으나, 경영진 진술 서신에서는 '특정 거래에 예외적 단독 승인이 허용된다'고 기재한 경우, 감사인은 이 불일치의 원인과 통제 유효성에 미치는 영향을 조사해야 합니다.

관련 용어

• 내부통제 환경: 조직이 통제를 설계하고 운영하는 기초적 태도와 의식
• 경영진의 진술 서신: 감사 종료 시 경영진이 제공하는 전반적 진술의 완전성 확인
• 감시 통제: 경영진이 내부통제의 설계와 운영 유효성을 계속 평가하는 활동
• ISA 315 위험 평가: 재무제표 왜곡표시의 위험을 식별하고 평가하는 감사 절차
• 통제 테스트: 통제가 유효하게 설계되고 운영되고 있는지 확인하는 감사 절차
• 재무보고 관련 내부통제: 재무제표 작성의 정확성을 보장하기 위해 설계된 통제

계산기

이 용어와 관련된 ciferi ISA 315 위험 평가 계산기를 사용하여 경영진의 통제 진술 내용을 기반으로 위험 수준을 재평가할 수 있습니다.
---