지속가능성 실사(Due Diligence Sustainability)

Definition

CSRD 첫 시즌을 뛴 동료들에게 가장 자주 듣는 말은 이거다. "재무감사 조서는 두꺼운데, 지속가능성 보증 조서는 얇다." 솔직히 이건 감리에서 가장 자주 지적받는 항목이다. 같은 팀이 같은 클라이언트를 보는데, 한쪽은 청구서까지 추적하고 다른 한쪽은 "기업이 그렇게 답했다"로 끝난다.

핵심 포인트

- 지속가능성 실사는 재무감사의 범위 밖이다. 별도의 보증 업무이며 적용 기준과 절차가 다르다. - 우리 펌에서는 CSRD 보증 업무에서 제한적 보증(limited assurance)과 합리적 보증(reasonable assurance)의 범위 차이를 가장 자주 놓친다. - 실사 대상이 되는 데이터포인트는 기업의 실제 운영 지표라서, 회계 기록만 검토하면 부족하다.

어떻게 작동하는가

지속가능성 실사는 네 단계로 진행된다.

1단계: 이중 중요성(Double Materiality) 식별

기업은 ESRS 규정에 따라 자신의 지속가능성 위험을 식별한다. ISSA 5000 초안은 감사인이 이 평가의 적절성을 검증해야 한다고 규정한다. 즉, 기업이 식별한 중요 주제(material topics)가 ESRS 요구사항과 일치하는지, 산업 벤치마크와 비교했을 때 합리적인지 평가한다.

2단계: 데이터 경로 추적

재무감사와 다르게, 지속가능성 실사는 기업의 원시 운영 데이터를 추적한다. 예를 들어 온실가스 배출량 보고에서는 다음을 확인한다. - 에너지 소비 기록(전기, 가스, 연료) - 배출 계수 적용(정부 또는 업계 기준) - 보고서에 기재된 최종 수치

각 단계마다 계산 오류, 데이터 누락, 부적절한 계수 선택을 테스트한다.

3단계: 통제 환경 평가

기업이 지속가능성 데이터를 수집, 검증, 보고하는 과정에 통제가 있는지 평가한다. 재무 통제와 비슷하지만 범위가 다르다. 예를 들어 온실가스 배출량이 자동화된 에너지 관리 시스템에서 추출되는지, 수동으로 집계되는지 확인한다.

4단계: 공시 적절성 평가

보고된 지속가능성 정보가 ESRS 규정의 공시 요구사항과 일치하는지 검증한다. ESRS에서 요구하는 정보가 빠짐없이 들어갔는지, 누락된 항목이나 과장된 주장이 없는지 본다.

실무 사례: 녹색산업 에너지(가명)

클라이언트: 독일 재생에너지 회사, 종업원 340명, 연매출 €82M, IFRS 보고업체

배경: 녹색산업 에너지는 2024년 처음으로 CSRD 공시 대상이 됐다. 2024년 12월 31일 재무제표와 함께 지속가능성 보고서를 발행한다. 온실가스 배출량(Scope 1, 2, 3), 수자원 사용량, 보건안전 지표를 ESRS 기준에 따라 보고하기로 했다.

1단계: 이중 중요성 식별 - 기업은 16개 ESG 주제를 식별했고, 그 중 7개를 "중요"로 분류했다. - 실사 과정에서 산업 벤치마크(유럽 재생에너지 협회 데이터, 동료사 CSRD 보고서)와 비교한 결과, 온실가스 배출 영역이 빠진 것을 발견했다. 재생에너지 회사라도 제조 공정에서 간접 배출(Scope 3)이 발생한다. - 조서 노트: 이중 중요성 프로세스 문서(CEO 확인 메모, 이해관계자 설문 결과, 벤치마크 매핑 표), 수정된 중요 주제 목록

2단계: Scope 1 배출 데이터 추적 - 기업은 독일의 4개 생산 시설과 1개 사무실에서 천연가스 사용량을 월별로 기록했다. - 청구서 기반 데이터: 2024년 천연가스 소비 1,200,000 kWh - 배출 계수: 독일 에너지청(BDEW) 2024년 배출 계수 0.206 kg CO₂e/kWh - 최종 계산: 1,200,000 kWh × 0.206 = 247.2 톤 CO₂e - 조서 노트: 월별 에너지 청구서(감사인 선택 샘플 검증), 배출 계수 출처 확인(BDEW 공시 웹사이트 스크린샷), 계산 재수행

3단계: 통제 환경 평가 - 에너지 청구서는 중앙 회계팀이 수령하고, 영업본부가 각 시설의 책임자로 서명한다. - 그런데 실사 과정에서 2024년 2월, 3월 청구서가 빠진 것을 발견했다(시설 이전 기간). - 기업은 해당 기간 에너지 사용 기록이 없다고 했지만, 감사인은 이전 시설 운영자와의 인수인계 회의록에서 예상 사용량을 추정해야 한다고 권고했다. - 조서 노트: 내부 통제 평가 양식(각 시설별 담당자, 검증 빈도), 누락 데이터에 대한 대체 증거(이전 운영자 통신, 에너지 소비 추세 분석)

4단계: ESRS 공시 적절성 검증 - 기업의 지속가능성 보고서가 ESRS E1(에너지)에서 요구하는 다음 항목을 포함했는지 확인했다. - 에너지 소비 총량 (위에서: 1,200,000 kWh 기록) - 재생에너지 비율 (기업: 자체 재생에너지 설비에서 연간 생산량 3,200,000 kWh 중 자체 사용률 55%) - 에너지 효율 개선 계획 - 공시 검증: 보고서의 모든 수치가 감사인 검증 대상 근거 문서와 일치했다. - 최종 조서: 공시 체크리스트(ESRS E1 각 항목별 준수 확인), 보고서 초안과 최종본 비교표

녹색산업 에너지의 온실가스 배출 보고는 이중 중요성 프로세스, 데이터 수집 통제, ESRS 공시 요구사항을 충족했다. 다만 2월~3월의 누락 데이터는 제한적 보증(limited assurance) 범위 안에서 추정 금액으로 보고하고, 다음 연도 통제 개선을 권고했다.

감사인과 검증 전문가가 하는 실수

Tier 1 국제 검증 지적사항 ISAE 3000 기반 지속가능성 보증 업무에서 PCAOB는 같은 패턴을 반복해서 지적했다. 많은 감사인이 제한적 보증(Limited Assurance) 업무에서도 합리적 보증 수준의 증거를 수집하지 않으면서 합리적 보증 의견을 표현하려 한다. ISSA 5000 초안도 이 구분을 명확히 하고 있다. ISSA 5000.73(a)는 제한적 보증 시 감사인의 절차가 합리적 보증보다 "유의하게 제한되어야" 한다고 규정한다. 그 차이를 조서에 기록하지 않으면 검증 의견의 신뢰성이 무너진다.

Tier 2 표준 참조 실무 오류 기업들은 종종 이중 중요성 평가(double materiality assessment) 후 중요 주제(material topics)를 선정하지만, ESRS 요구사항이 해당 주제의 범위와 공시 방식을 고정한다는 사실을 놓친다. 예를 들어 기업이 "직원 복지"를 중요 주제로 식별했더라도, ESRS S1은 "직원 임금, 근로 시간, 산업재해율"의 세 가지 구체적 데이터포인트만 요구한다. 감사인은 기업이 추가로 공시한 "직원 교육 시간"이나 "직원 만족도" 같은 항목이 ESRS 범위 밖이므로 제한적 보증 대상에서 제외돼야 한다는 점을 명확히 해야 한다. ISSA 5000.36의 "기준 식별(Identifying the Criteria)" 절차가 이를 위한 것이다.

Tier 3 기록 부족 대부분의 중소 감사법인이 놓치는 부분은 데이터 추적 문서다. 재무감사에서는 회계 기록, 영수증, 계정 명세서로 증거를 남긴다. 지속가능성 실사에서도 똑같이 진행해야 하는데, 많은 업무팀이 구두 확인이나 기업 담당자의 설명만 기록한다. 금감원 화법으로 옮기면 "충분·적합한 보증증거 확보가 미흡하다"가 되고, 현장에서는 "조서가 너무 얇다"가 된다. 예컨대 "온실가스 배출량은 에너지청 계수를 사용했다"는 기록만 남기는데, 실제로는 그 계수 문서(다운로드 날짜, 출처 URL, 버전)를 조서에 첨부해야 한다. ISSA 5000이 최종확정되면 이 문서화 요구사항은 더 명시적이 될 것이다.

지속가능성 실사(Due Diligence Sustainability)

핵심 포인트

어떻게 작동하는가

실무 사례: 녹색산업 에너지(가명)

감사인과 검증 전문가가 하는 실수

관련 용어

관련 도구