경영진의 통제 무시(Management Override of Controls)

경영진의 통제 무시란 무엇인가

경영진의 통제 무시는 내부통제를 설계하고 운영하는 책임이 있는 경영진이 직접 그 통제를 우회하는 행위입니다. 이는 단순한 내부통제의 약점이나 오작동과는 다릅니다. ISA 240.A64는 경영진의 통제 무시를 정의합니다. 그것은 의도적인 행동입니다. 감사인은 이 위험이 존재한다고 가정해야 합니다. ISA 240.32에서 명시적으로 요구하는 사항입니다.
경영진 무시 위험은 업무 당직자, 재무이사, CFO, 또는 통제 환경에 영향을 미칠 수 있는 기타 주요 경영진이 할 수 있습니다. 한 명의 부정직한 직원이 통제를 무시하는 것이 아닙니다. 이는 통제 시스템 자체의 완전성에 대한 질문입니다. ISA 240.A65는 경영진의 통제 무시를 부정행위의 특별한 특성으로 식별합니다. 왜냐하면 내부감사, 감사위원회, 이사회 등의 감시 통제도 경영진에 의해 무시될 수 있기 때문입니다.

감사에서 실제로 어떻게 적용되는가

ISA 240.32에 따르면, 감사인은 모든 감사에서 경영진의 통제 무시 위험을 평가해야 합니다. 이것은 선택사항이 아닙니다. 그리고 이것은 위험 평가 단계 이후의 회계감시 절차가 아닙니다. ISA 240.32의 요구사항은 계획 단계부터 적용됩니다.
경영진 무시 위험에 대한 대응은 특정한 절차를 요구합니다. ISA 240.A67은 세 가지 기본 절차를 제시합니다: 정보 기술 통제 환경의 평가, 저널 항목 처리 절차의 검토 및 테스트, 그리고 경영진의 기록되지 않은 조정 또는 변동을 식별하기 위한 거래의 상세 검토입니다. 각각은 매우 구체적인 이유로 필요합니다. IT 통제는 경영진이 적절한 승인 경로를 우회할 수 없도록 설계되어야 합니다. 저널 항목 절차는 기록된 거래 경로를 따르지 않는 항목을 찾아냅니다. 상세 검토는 기록이 완전하지만 관리상 이상한 거래를 찾아냅니다.
ISA 240.A68에서는 경영진의 통제 무시와 관련하여 기타 사항을 고려하도록 요구합니다. 예를 들어 경영진이 내부감시 기능을 제한했거나 특정 영역을 감시로부터 제외했다는 증거가 있습니까? 감사위원회 또는 이사회가 경영진의 행동에 대해 의문을 제기했습니까? 경영진이 비정상적인 승인이나 우회를 정당화했습니까? 이들은 모두 통제 환경 평가의 일부입니다.

사례: Bergström Investerings AB

클라이언트: 스웨덴 투자회사, FY2024, 자산 €285M, IFRS 보고.
단계 1 – 경영진 무시 위험 식별
Bergström은 부동산 포트폴리오 관리 회사입니다. 저당권 거래, 임차료 수금, 부동산 평가가 정기적입니다. 회사의 통제는 모든 부동산 거래에 대한 승인 경로와 월간 재조정 절차를 포함합니다. CEO와 CFO가 €500,000 이상의 거래를 승인합니다. 감사위원회가 기재된 부동산 포트폴리오를 분기마다 검토합니다.
문서화 노트: 경영진 무시 위험 식별 메모에 기재: 경영진(CEO/CFO)이 모든 주요 거래의 승인 경로에 포함되어 있으므로, 경영진의 통제 무시 위험은 높은 수준입니다. IT 통제가 이 승인 경로를 강제합니까? 강제하지 않으면 경영진이 시스템에서 승인을 우회할 수 있습니다.
단계 2 – IT 통제 환경 평가
감사팀은 부동산 거래 시스템에 로그인했습니다. 발견사항: 거래 금액과 상대방이 입력되면, 시스템이 자동으로 승인자에게 경로를 지정합니다. 하지만 CEO 계정은 관리자 권한을 가지고 있었습니다. CEO는 시스템에서 필드를 편집하고 승인을 자동 처리할 수 있습니다. CFO 계정도 동일했습니다.
문서화 노트: IT 통제 평가. 발견: 경영진 계정이 거래 승인 경로를 우회할 수 있는 관리자 권한을 가지고 있습니다. 이는 ISA 240.A67(1)에서 요구하는 IT 통제 강화가 충분하지 않음을 나타냅니다. 결론: 이 영역의 IT 통제는 경영진의 통제 무시 위험을 충분히 다루지 못합니다.
단계 3 – 저널 항목 처리 절차 테스트
표준 절차: 부동산 평가 변동은 월간 저널 항목을 통해 기재됩니다. 모든 항목은 부동산 관리자가 입력하고 CFO가 승인합니다. 기록된 항목의 샘플을 검토했을 때, 3개 항목이 외부 평가사 보고서와 일치하지 않았습니다. 항목 금액은 €2.3M, €1.8M, €950K였습니다. 외부 평가 범위는 각각 +€1.2M, +€2.1M, +€1.1M이었습니다. 조정된 금액은 더 높은 가치를 기재했습니다.
문서화 노트: 저널 항목 테스트, 경영진 승인 항목. 3개 항목이 외부 평가 범위를 초과합니다. 입력 기록은 부동산 관리자를 보여주지만, 변경 내역/감사 추적에서 CFO의 후속 수정이 기재되어 있습니다. CFO가 저널 항목을 수동으로 조정했습니다. 승인 후에 이루어진 조정입니다.
단계 4 – 거래의 상세 검토
FY2024의 모든 €500K 이상 부동산 거래를 검토했습니다. 12개 거래가 있었습니다. 11개는 기록된 승인 경로를 따랐습니다. 1개는 따르지 않았습니다. 거래: CEO가 부동산을 €18.5M에 취득하기로 협상했습니다. 기록된 거래 메모에서 가격은 €19.2M이었습니다. 가격 상향조정은 기재되지 않았습니다. 외부 평가는 €18.3M을 보였습니다. 기재된 금액 €19.2M은 평가를 초과합니다.
문서화 노트: 경영진 무시 절차, 상세 거래 검토. 1개 거래에서 기재 가격이 협상 가격을 초과했고, 초과분이 문서화되지 않았습니다. 이는 경영진에 의한 후속 조정을 시사합니다. 거래 시스템 기록에서 CEO 계정은 06:15에 로그인했고, 가격 필드가 €18.5M에서 €19.2M으로 변경되었으며, 타임스탬프는 06:23입니다.
결론
Bergström에서 경영진의 통제 무시 위험은 식별되었고 발견되었습니다. IT 통제가 경영진의 우회를 방지하지 못했습니다. 저널 항목 절차가 기재 후 조정을 식별했습니다. 상세 거래 검토가 미문서화된 가격 조정을 식별했습니다. 이들은 서로 다른 거래를 다룹니다. 같은 경영진(CEO/CFO)에 의한 것입니다. ISA 240.33에 따르면, 경영진의 통제 무시가 의심되면 감사인은 부정행위의 진행 수준을 평가하고 그 영향을 결정해야 합니다. 이 경우, 조정된 금액은 누적적으로 ISA 320에서 설정된 중요성 임계치를 초과했습니다. 보정이 필요했습니다.

감사인과 검토자가 놓치는 사항

Tier 1 – 명시된 감리 지적
국제 감리 데이터에 따르면, 경영진의 통제 무시 위험 대응은 일관되게 감리 의견을 받습니다. FRC는 2023 감리 주기에서 검토한 파일의 약 35%에서 경영진 무시 절차의 불충분함을 식별했습니다. 공통적인 발견사항은 다음과 같습니다: (1) 저널 항목 절차가 경영진이 생성한 항목에 적용되지 않았습니다. (2) IT 통제 평가가 경영진 계정의 관리자 권한을 다루지 않았습니다. (3) 주요 거래 검토가 금액, 기록 타이밍, 승인 경로의 변경을 구체적으로 찾지 않았습니다.
Tier 2 – 표준 참조 실무 오류
많은 팀이 경영진의 통제 무시 위험을 식별하지만, ISA 240.A67에서 요구하는 세 가지 절차 중 하나 이상을 빠뜨립니다. 예를 들어, 팀이 저널 항목 절차를 수행하지만 경영진 무시 위험을 ISA 240.A68의 감시 통제 평가(특히 감사위원회의 유효성)와 연결하지 않습니다. 또 다른 예: 팀이 IT 통제를 테스트하지만 경영진 계정의 권한 분리와 감사 추적 요구사항을 다루지 않습니다. ISA 240.A66은 경영진의 통제 무시를 "부정행위 위험이 존재한다는 가정"으로 명시합니다. 이는 낮은 위험도를 이유로 절차를 생략할 수 없음을 의미합니다.
Tier 3 – 문서화 격차
경영진 무시 절차가 수행되었지만, 문서화가 왜 각 절차가 수행되었는지, 무엇을 찾기 위해 설계되었는지, 그리고 결과가 경영진 무시 위험 평가를 어떻게 변경했는지를 명확하게 보여주지 않습니다. 예를 들어, 저널 항목 테스트에서 샘플링 메모는 항목 수와 테스트 범위만 보여줍니다. 경영진이 입력한 항목 또는 경영진이 승인한 항목이 샘플에 포함되었는지는 명시되지 않습니다. IT 통제 메모는 시스템 설정을 설명하지만, 경영진 계정이 우회 가능한 통제를 실제로 우회했는지는 다루지 않습니다.

경영진의 통제 무시란 무엇인가

감사에서 실제로 어떻게 적용되는가

사례: Bergström Investerings AB

감사인과 검토자가 놓치는 사항

관련 용어