지속가능성 관련 제한적 확신 업무(Limited Assurance Engagement on

핵심 내용

제한적 확신은 합리적 확신보다 낮은 수준으로, 감사 절차 규모와 깊이가 상당히 축소됩니다.
감사인이 수행해야 할 최소 절차 집합이 있습니다. 무작위 샘플링이나 감시만으로는 부족합니다.
CSRD 규정 미충족으로 인한 재작업 위험이 비용 절감 유혹보다 높습니다.
ISAE 3000(수정) A17에 따르면 조회만으로는 제한적 확신도 달성할 수 없으며, 분석적 절차와 표본 검증이 최소한 병행되어야 합니다.

작동 방식

ISAE 3000(수정)은 제한적 확신 업무를 합리적 확신 업무와 구체적으로 구분합니다. 제한적 확신 업무에서 감사인은 피감사기업의 지속가능성 주장이 중요한 오류로부터 자유롭다는 합리적 근거를 얻기 위해 충분하지 않을 수 있는 절차를 수행합니다. ISAE 3000(수정) A15는 감사인이 여전히 지속가능성 정보의 신뢰성을 평가하기 위해 분석적 절차, 샘플링, 재계산, 관찰 및 조회를 결합해야 함을 명시합니다. 차이점은 범위에 있습니다. 합리적 확신 업무에서는 모집단의 5~10%를 샘플링하고 여러 통제 영역을 테스트할 수 있습니다. 제한적 확신 업무에서는 식별된 위험 영역만 샘플링하고, 대부분의 데이터 검증은 모니터링과 관리 통제 검토에 의존합니다.
절차 설계에서 가장 중요한 점은 위험 식별입니다. ISAE 3000(수정) A13은 감사인이 여전히 중요한 왜곡표시 위험이 높은 영역을 식별해야 함을 요구합니다. 다만, 이러한 위험에 대응할 때 절차의 정밀도와 포괄성이 합리적 확신 업무보다 낮습니다. 예를 들어, 범위 3 온실가스 배출(가치사슬 배출)이 중요하다면, 감사인은 피감사기업의 배출 계산 방법론을 검토하고 표본 공급업체의 배출 수치를 검증해야 합니다. 그러나 모든 공급업체를 검증하거나 모든 계산 세부사항을 테스트할 필요는 없습니다.
비용 절감 유혹이 클수록, 정규화된 최소 절차 집합을 문서화하는 것이 더욱 중요합니다. ISAE 3000(수정) A17–A19는 감사인이 기술적으로 제한적 확신이라는 프레임 내에서 조회만 수행했다면 이는 감사 절차가 아닌 컨설턴시일 수 있음을 명확히 합니다. CSRD는 2026년에 대형 기업(대형 비EU 기업 포함)에 대한 지속가능성 검증을 의무화하므로, 업무 범위가 부족하면 규정 비준수 및 재작업으로 이어집니다.

실무 사례: 뮬러 및 파트너 AG(오스트리아 건설회사)

클라이언트: 오스트리아 건설회사 뮬러 및 파트너 AG(뮌헨), 종업원 420명, 2024년 매출 €87M, IFRS 보고, 초기 CSRD 적용 대상 기업(2028년 보고서부터 검증 의무).
상황: 뮬러 AG는 2024년 지속가능성 보고서에서 범위 1 및 2 온실가스 배출, 보건 안전 사고율, 여성 임원 비율을 공시했습니다. 경영진이 감사인에게 ESRS 데이터포인트에 대한 제한적 확신 의견을 요청했습니다.
1단계 ─ 식별된 위험 이해: 감사인은 범위 1 배출(직접 배출, 기업 보유 자동차)이 범위 2 배출(구매 전기)보다 측정 위험이 낮다고 판단했습니다. 범위 1은 경비 기록과 자동차 연비 데이터로 검증하기 쉽습니다. 범위 2는 전력 공급업체 계약서와 사용량 데이터에 의존합니다.
문서화 노트: WP_C1.1 ─ 위험 평가 표, 범위별 위험 수준(낮음/중간/높음) 및 근거 기재
2단계 ─ 범위 2 배출량 샘플 검증: 감사인은 회계연도 중 6개월의 전력 청구서를 추출했습니다(연간 데이터의 50% 샘플). 각 청구서를 에너지 관리 소프트웨어의 기록과 대조했습니다. 3건의 청구서에서 기록된 수량과 불일치가 발견되었습니다(최대 2%). 피감사기업의 회계 담당자에게 확인한 결과, 이들은 청구서 수신 지연으로 인해 추정 수량을 사용했지만 최종 수량이 수신되었을 때 정정하지 않았습니다.
문서화 노트: WP_C2.3 ─ 표본 세부사항 시트(샘플 기간, 청구서 번호, 시스템 기록, 청구서, 불일치 금액 및 해석)
3단계 ─ 보건 안전 사고율 검증: 감사인은 인적자원 시스템에서 2024년 전체 사고 기록 목록을 추출했습니다(n=8 사고). 각 사고에 대해 의료 기록, 사업소 관리자 보고서, 보험 청구를 검토했습니다. 피감사기업은 8건의 사고 중 1건이 보고되지 않았음을 발견했습니다(산업용 밀링 머신 관련 경미한 상처). 경영진이 이를 공시 숫자에서 제외했는지 확인했습니다.
문서화 노트: WP_HS.1 ─ 사고 검증 표, 각 사고의 날짜, 유형, 심각도 및 공시 포함 여부. 보고되지 않은 사고 E-8의 영향 평가 포함
4단계 ─ 여성 임원 비율 데이터: 감사인은 조직도와 관리 급여 데이터베이스에서 경영진 목록을 추출했습니다(경영진 정의: 이사회 멤버 및 부장급 이상). 인사부 담당자에게 각 경영진의 성별을 확인했습니다. 보고된 8명 중 2명이 여성이라는 비율(25%)을 확인했습니다.
문서화 노트: WP_DIV.2 ─ 경영진 명부, 성별, 확인 방법(인사 담당자 조회 및 조직 정책 검토)
결론: 감사인은 ESRS 배출 및 다양성 데이터포인트에 대해 제한적 확신 의견을 발표했습니다. 범위 2 배출에서 불일치가 발견되었으므로, 피감사기업이 수정된 수치를 명시했고 감사인이 이를 재검증했습니다. 사고 미보고는 공시에 영향을 미쳤으므로, 경영진이 공시를 수정하고 내부 사고 보고 프로세스를 개선했습니다. 제한적 절차 범위 내에서도 이러한 발견사항들이 도출되었습니다. 합리적 확신 업무였다면 모든 배출 청구서와 모든 사고 기록을 검토했을 것입니다.

감사인과 검토자가 놓치는 점

불충분한 위험 식별: 많은 비Big 4 회계법인은 제한적 확신 업무를 낮은 비용 외주로 취급하며 위험 식별 단계를 건너뜁니다. ISAE 3000(수정) A13은 여전히 위험을 식별해야 함을 명시합니다. 위험 없이 "임의 샘플"만 선택하거나 "모든 공개 기록 검토"하는 것은 지속가능성 검증이 아닙니다.
조회만 업무로 제시: 피감사기업의 지속가능성 담당자와만 인터뷰하고 기초 데이터를 검증하지 않으면 그것은 제한적 확신 업무가 아닙니다. ISAE 3000(수정) A15는 최소한 분석적 절차, 샘플 검증, 재계산을 포함할 것을 요구합니다. CSRD 검증 규정이 시행되면 이러한 부족함이 규제 위험으로 바뀝니다.
통제 테스트 누락: 제한적 확신은 합리적 확신보다 절차가 적지만, 중요 영역의 관리 통제를 여전히 평가해야 합니다. 예를 들어, 배출 데이터가 월별 에너지 청구서에서 자동으로 추출되고 스프레드시트로 집계된다면, 감사인은 추출 논리와 집계 공식을 최소한 테스트해야 합니다. "경영진이 검토했다"는 것으로는 부족합니다.
참여 서신의 수준 명시 부재: ISAE 3000(수정) A8은 확신 수준(제한적 또는 합리적)을 참여 서신에 명시하도록 요구합니다. 수준이 명시되지 않으면 이해관계자가 제한적 확신 의견을 합리적 확신과 동일하게 해석할 위험이 있으며, 이는 감사인의 법적 책임 범위에도 영향을 미칩니다.

합리적 확신 업무 vs. 제한적 확신 업무

| 측면 | 합리적 확신 | 제한적 확신 |
|------|----------|----------|
| 절차 범위 | 모집단의 주요 부분(모든 영역 또는 주요 표본) | 위험 영역만(대상화된 샘플) |
| 샘플 크기 | 표본 크기 계산표 또는 통계 방법 기반 | 위험 수준에 따른 판단적 샘플, 더 작음 |
| 통제 평가 | 모든 주요 통제 테스트 | 식별된 위험을 완화하는 통제만 |
| 의견 수준 | "~가 중요한 오류로부터 자유롭다" | "~가 중요한 오류를 나타낼 가능성이 낮다" |
| 절차 깊이 | 계층적 샘플링, 감시 테스트, 상세 테스트 | 분석적 절차, 대상화된 상세 테스트 |
| 업무 비용 | 높음(모집단의 대부분 커버) | 낮음(위험 영역에 집중) |
합리적 확신 업무에서는 에너지 공급업체 전체 12개월 청구서를 검증할 수 있습니다. 제한적 확신 업무에서는 위험 높은 월(예: 계절 피크 사용)만 샘플링합니다. 두 업무 모두 통제와 데이터를 검증해야 하지만, 범위와 깊이가 다릅니다.

지속가능성 관련 제한적 확신 업무(Limited Assurance Engagement on Sustainability)

핵심 내용

작동 방식

실무 사례: 뮬러 및 파트너 AG(오스트리아 건설회사)

감사인과 검토자가 놓치는 점

합리적 확신 업무 vs. 제한적 확신 업무

관련 용어

관련 도구