Definition
감리에서 감사 파일을 열었더니 경영진의 통제 진술서가 없었다. 있어야 하는 서류인지도 모르는 인차지가 있다. 솔직히 로컬 법인에서는 이 서류를 형식적으로 처리하거나 아예 빠뜨리는 경우가 적지 않다. 하지만 ISA 315.35(b)가 서면 취득을 요구하는 이상 감리 지적의 단골 항목이 된다.
핵심 포인트
- 경영진이 내부통제의 설계 및 운영 책임을 확인하고, 감사인이 해당 통제를 업무에 활용하기 위한 기초를 제공한다 - 통제 환경, 위험 평가 절차, 정보 및 통신 시스템에 관한 경영진의 인식 수준을 파악하는 수단이다 - 미비하거나 부정확한 진술서는 감리에서 감사 절차의 범위와 충분성 지적의 근거가 된다
작동 방식
ISA 315.35(b)는 경영진으로부터 내부통제 환경에 관한 진술을 서면으로 취득하도록 요구한다. 계획 단계에서 이루어지는 정보 수집의 핵심 절차다. 진술서를 통해 경영진이 재무보고 관련 내부통제를 설계·운영하는 책임을 갖고 있음을 문서화한다. 감사인은 여기서 경영진의 통제 인식 수준, 현존하는 통제 활동의 성격, 시스템 변경이 통제에 미친 영향을 파악한다.
다만 진술서 자체를 독립적인 감사 증거로 취급하지는 않는다. 통제 테스트 수행 여부를 판단하고 감사 절차의 범위를 결정하는 기초 자료에 해당한다. 제 경험상 진술서가 경영진의 실제 인식을 제대로 반영하지 못하는 경우가 꽤 있는데, 그때는 ISA 315.34에 따라 위험 평가를 재수행하거나 감사 절차를 확대해야 한다.
실무 사례: 유럽 제조업체의 통제 진술서
기업: Metallurgica Europa S.r.l., 이탈리아 토리노 소재 금속 부품 제조사, 2024년도 연 매출 €34백만
상황: 계획 단계에서 경영진에게 내부통제에 관한 진술을 요청했다. 경영진은 판매, 구매, 급여 처리 프로세스에 보완 통제(compensating control)가 존재한다는 내용의 진술서를 제출했다.
1단계: 진술서 내용을 검토하고 언급된 각 통제에 대해 경영진에게 구체적인 질문을 던진다. 급여 처리의 경우 경영진이 설명한 통제는 '월별 급여 합계의 전월 대비 변동률 검토'였다.
조서 기록: "경영진이 ISA 315에 따라 진술서를 제출했으며, 판매(매출 인식), 구매(입금 전 검증), 급여(월별 분석적 검토) 세 영역의 통제 존재를 확인했다."
2단계: 경영진의 진술이 실제 운영을 반영하는지 검증한다. 급여 통제의 경우 최근 6개월 급여 총액 변동을 확인했고 경영진이 언급한 검토 절차가 실제로 이루어졌는지 대조한다.
조서 기록: "4월 급여 환급 오류(€8,200)가 발생했으나 경영진의 월별 검토에서 감지되지 않았다. 진술서에서 언급한 통제의 운영 유효성에 의문이 있다. ISA 330.17에 따라 통제 테스트 범위를 확대했다."
3단계: 수정된 위험 평가를 기반으로 통제 테스트 계획을 조정한다. 월별 급여 검토가 충분하지 않다고 판단되면 급여 거래의 표본 선정 범위를 늘리고 분석적 절차의 임계값을 낮춘다.
조서 기록: "경영진의 진술에도 불구하고 운영상 유효성이 확인되지 않아 급여 거래 450건 중 45건(10%)을 테스트하기로 결정했다(당초 계획 5%)."
결론: 진술서가 실제 운영을 정확히 반영하지 못할 경우 위험 증가의 신호로 해석하고 실질적 감사 절차를 강화해야 한다. 솔직히 경영진이 진술한 통제가 없거나 부실한 경우는 생각보다 흔하다. 해당 영역의 위험을 재평가하고 감사 증거를 추가로 수집한다.
감리에서 지적하는 오류
- 진술서 부재. 중소 법인의 감사 파일에서 경영진의 공식 진술서가 없거나 불완전한 경우가 많다. ISA 315.35(b)가 서면 취득을 요구하므로 감리 기관은 이를 감사 증거 부족 지적의 근거로 사용한다. - 진술과 실제 운영의 불일치. 감시 통제(monitoring control)의 유효성을 경영진이 진술했으나 실제로는 문서화되지 않았거나 주기적으로 수행되지 않은 경우다. 경영진이 '분기별 재무제표 조정 항목 검토'를 통제로 언급했으나 해당 검토 기록이 없거나 불규칙한 시점에만 실시된 사례가 전형적이다. - 통제 범위 축소. 진술서에서 IS 시스템 변경의 영향을 간과하는 경우다. 매출 인식 시스템이 변경되었으나 해당 변경 후 통제의 유효성을 재평가하지 않은 채 기존 통제를 계속 언급하는 식이다.
관련 용어
- 내부통제 환경. 조직이 통제를 설계하고 운영하는 기초적 태도와 의식 - 경영진의 진술 서신. 감사 종료 시 경영진이 제공하는 전반적 진술의 완전성 확인 - 감시 통제. 경영진이 내부통제의 설계와 운영 유효성을 계속 평가하는 활동 - ISA 315 위험 평가. 재무제표 왜곡표시의 위험을 식별하고 평가하는 감사 절차 - 통제 테스트. 통제가 유효하게 설계되고 운영되는지 확인하는 감사 절차 - 재무보고 관련 내부통제. 재무제표 작성의 정확성을 확보하기 위해 설계된 통제
계산기
ciferi ISA 315 위험 평가 계산기를 사용하면 경영진의 진술 내용을 기반으로 위험 수준을 재평가할 수 있다.
---