핵심 포인트

  • 지속가능성 실사는 재무감사의 범위 밖입니다. 별도의 보증 업무이며, 서로 다른 기준과 절차를 적용합니다.
  • 많은 감사인들이 CSRD 보증 업무 시 제한적 보증(limited assurance)과 합리적 보증(reasonable assurance)의 범위 차이를 과소평가합니다.
  • 실사 대상이 되는 데이터포인트는 기업의 실제 운영 지표이므로, 회계 기록만 검토하면 불충분합니다.

어떻게 작동하는가

지속가능성 실사는 네 단계로 진행됩니다.
1단계: 이중 중요성(Double Materiality) 식별
기업은 ESRS 규정에 따라 자신의 지속가능성 위험을 식별해야 합니다. ISSA 5000 초안에서는 감사인이 이 평가의 적절성을 검증해야 한다고 규정합니다. 즉, 기업이 식별한 중요 주제(material topics)가 ESRS 요구사항과 일치하는지, 그리고 산업 벤치마크와 비교했을 때 합리적인지 평가하는 것입니다.
2단계: 데이터 경로 추적
재무감사와 달리, 지속가능성 실사는 기업의 원시 운영 데이터를 추적합니다. 예를 들어, 온실가스 배출량 보고 시:
각 단계마다 계산 오류, 데이터 누락, 부적절한 계수 선택을 테스트합니다.
3단계: 통제 환경 평가
기업이 지속가능성 데이터를 수집, 검증, 보고하는 과정에 통제가 있는지 평가합니다. 재무 통제와 유사하지만, 범위가 다릅니다. 예를 들어, 온실가스 배출량이 자동화된 에너지 관리 시스템에서 추출되는지, 아니면 수동으로 집계되는지 확인합니다.
4단계: 공시 적절성 평가
보고된 지속가능성 정보가 ESRS 규정의 공시 요구사항과 일치하는지 검증합니다. ESRS에서 요구하는 모든 정보가 포함되었는지, 누락된 정보나 과장된 주장이 없는지 확인합니다.

  • 에너지 소비 기록(전기, 가스, 연료)
  • 배출 계수 적용(정부 또는 업계 기준)
  • 보고서에 기재된 최종 수치

실무 사례: 녹색산업 에너지(가명)

클라이언트: 독일 재생에너지 회사, 종업원 340명, 연매출 €82M, IFRS 보고업체
배경: 녹색산업 에너지는 2024년 처음으로 CSRD 공시 대상이 되었으며, 2024년 12월 31일 재무제표와 함께 지속가능성 보고서를 발행합니다. 온실가스 배출량(Scope 1, 2, 3), 수자원 사용량, 보건안전 지표를 ESRS 기준에 따라 보고하기로 했습니다.
1단계: 이중 중요성 식별
2단계: Scope 1 배출 데이터 추적
3단계: 통제 환경 평가
4단계: ESRS 공시 적절성 검증
결론: 녹색산업 에너지의 온실가스 배출 보고는 이중 중요성 프로세스, 데이터 수집 통제, ESRS 공시 요구사항을 모두 충족합니다. 다만 2월-3월의 누락 데이터에 대해서는 제한적 보증(limited assurance) 범위 내에서 예상 금액을 보고하고, 향후 연도 통제 개선을 권고했습니다.

  • 기업은 16개 ESG 주제를 식별했으며, 그 중 7개를 "중요"로 분류했습니다.
  • 실사 과정에서 산업 벤치마크(유럽 재생에너지 협회 데이터, 동료사 CSRD 보고서)와 비교한 결과, 온실가스 배출 영역이 누락되었음을 발견했습니다. 재생에너지 회사이지만 제조 공정 중 간접 배출(Scope 3)이 발생합니다.
  • 문서화 노트: 이중 중요성 프로세스 문서(CEO 확인 메모, 이해관계자 설문 결과, 벤치마크 매핑 표), 수정된 중요 주제 목록
  • 기업은 독일의 4개 생산 시설과 1개 사무실에서 천연가스 사용량을 월별로 기록했습니다.
  • 청구서 기반 데이터: 2024년 천연가스 소비 1,200,000 kWh
  • 배출 계수: 독일 에너지청(BDEW) 2024년 배출 계수 0.206 kg CO₂e/kWh
  • 최종 계산: 1,200,000 kWh × 0.206 = 247.2 톤 CO₂e
  • 문서화 노트: 월별 에너지 청구서(감사인 선택 샘플 검증), 배출 계수 출처 확인(BDEW 공시 웹사이트 스크린샷), 계산 재수행
  • 에너지 청구서는 중앙 회계팀이 수령하며, 영업본부가 각 시설의 책임자로 서명합니다.
  • 그러나 실사 과정에서 2024년 2월, 3월 청구서가 누락된 것을 발견했습니다(시설 이전 기간).
  • 기업은 해당 기간 에너지 사용 기록이 없다고 했으나, 감사인은 이전 시설 운영자와의 인수인계 회의록에서 예상 사용량을 추정해야 한다고 권고했습니다.
  • 문서화 노트: 내부 통제 평가 양식(각 시설별 담당자, 검증 빈도), 누락 데이터에 대한 대체 증거(이전 운영자 통신, 에너지 소비 추세 분석)
  • 기업의 지속가능성 보고서는 ESRS E1(에너지)에서 요구하는 다음 항목을 포함했는지 확인했습니다:
  • 에너지 소비 총량 (위에서: 1,200,000 kWh 기록)
  • 재생에너지 비율 (기업: 자체 재생에너지 설비에서 연간 생산량 3,200,000 kWh 중 자체 사용률 55%)
  • 에너지 효율 개선 계획
  • 공시 검증: 보고서의 모든 수치가 감사인 검증 대상 근거 문서와 일치했습니다.
  • 최종 문서화: 공시 체크리스트(ESRS E1 각 항목별 준수 확인), 보고서 초안과 최종본 비교표

감사인과 검증 전문가가 하는 실수

Tier 1 국제 검증 지적사항
ISAE 3000 기반 지속가능성 보증 업무에서 PCAOB는 다음을 반복적으로 지적했습니다: 많은 감사인이 제한적 보증(Limited Assurance) 업무에서도 합리적 보증 수준의 증거를 수집하지 않으면서, 동시에 합리적 보증 의견을 표현하려고 시도합니다. ISSA 5000 초안에서도 이 구분을 명확히 하고 있습니다. ISSA 5000.73(a)는 제한적 보증 시 감사인의 절차가 합리적 보증보다 "유의하게 제한되어야" 한다고 규정합니다. 그 차이를 문서화하지 않으면 검증 의견의 신뢰성이 훼손됩니다.
Tier 2 표준 참조 실무 오류
기업들은 종종 이중 중요성 평가(double materiality assessment) 후 중요 주제(material topics)를 선정하지만, ESRS 요구사항에 따라 해당 주제의 범위와 공시 방식이 고정되어 있음을 간과합니다. 예를 들어, 기업이 "직원 복지"를 중요 주제로 식별했더라도, ESRS S1은 "직원 임금, 근로 시간, 산업재해율"의 세 가지 구체적 데이터포인트만 요구합니다. 감사인은 기업이 추가적으로 공시한 "직원 교육 시간"이나 "직원 만족도" 같은 항목이 ESRS 범위 밖이므로 제한적 보증 대상에서 제외되어야 함을 명확히 해야 합니다. ISSA 5000.36의 "기준 식별(Identifying the Criteria)" 절차가 바로 이를 위한 것입니다.
Tier 3 기록 부족
대부분의 중소 감사법인이 놓치는 부분은 데이터 추적 문서입니다. 재무감사에서는 회계 기록, 영수증, 계정 명세서로 증거를 남깁니다. 지속가능성 실사에서도 동일하게 진행되어야 하지만, 많은 업무팀이 구두 확인이나 기업 담당자의 설명만 기록합니다. 예를 들어, "온실가스 배출량은 에너지청 계수를 사용했다"는 기록만 남기는데, 실제로는 그 계수 문서(다운로드 날짜, 출처 URL, 버전)를 조서에 첨부해야 합니다. ISSA 5000이 최종확정되면 이 문서화 요구사항은 더욱 명시적이 될 것입니다.

관련 용어

관련 도구

ciferi는 ISSA 5000 기반 지속가능성 실사 업무용 제한적 보증 시험 계획 작성기를 제공합니다. 이 도구는 ESRS 데이터포인트별로 테스트 절차를 자동 매핑하고, 증거 기준을 설정하며, 최종 보증 결론까지 단계별로 안내합니다.
---

실무 감사 인사이트를 매주 받아보세요.

시험 이론이 아닙니다. 감사를 빠르게 만드는 실질적인 내용입니다.

290개 이상의 가이드 게시20개 무료 도구현직 감사인이 구축

스팸 없음. 저희는 감사인이지 마케터가 아닙니다.