Definition

내부통제가 아무리 견고해도 경영진은 정의상 그 통제 위에 있다. 자신이 설계하고 운영하는 절차이므로 마음만 먹으면 우회할 수 있다. ISA 240이 management override를 항상 유의위험(significant risk)으로 분류하는 이유다. 감리 결과 분식회계가 드러난 사례 대부분이 이 통로를 거쳤다.

감사에서 실제로 어떻게 적용되는가

경영진의 통제 무시는 내부통제의 약점이 아니다. 통제를 설계하고 운영하는 책임이 있는 경영진이 직접 그 통제를 우회하는 행위다. ISA 240.A64가 이를 정의한다. 의도적인 행동이다. 감사인은 이 위험이 존재한다고 가정해야 한다(ISA 240.32에서 명시적으로 요구한다).

경영진 무시 위험의 주체는 통제 환경에 영향을 미칠 수 있는 자다. CEO, CFO, 재무이사, 또는 회계팀장. 한 명의 부정직한 직원이 통제를 우회하는 것과 다르다. 이것은 통제 시스템 자체의 완전성에 대한 질문이다. ISA 240.A65는 경영진의 통제 무시를 부정행위의 특별한 특성으로 식별한다. 내부감사, 감사위원회, 이사회 등 감시 통제도 경영진에 의해 무시될 수 있기 때문이다.

ISA 240.32에 따라 감사인은 모든 감사에서 경영진의 통제 무시 위험을 평가해야 한다. 선택사항이 아니다. 위험 평가 단계 이후의 회계감시 절차도 아니다. ISA 240.32의 요구사항은 계획 단계부터 적용된다.

대응은 특정한 절차를 요구한다. ISA 240.A67은 네 가지 영역의 절차를 제시한다(IT 통제 환경의 평가, 저널 항목 처리 절차의 검토 및 테스트, 회계추정에 대한 편향 검토, 경영진의 기록되지 않은 조정 또는 변동을 식별하기 위한 거래의 상세 검토). 각각은 구체적인 이유로 필요하다. IT 통제는 경영진이 적절한 승인 경로를 우회할 수 없도록 설계되어야 한다. 저널 항목 절차는 기록된 거래 경로를 따르지 않는 항목을 찾아낸다. 상세 검토는 기록이 완전하지만 관리상 이상한 거래를 찾아낸다.

ISA 240.A68에서는 추가 고려사항을 요구한다. 경영진이 내부감시 기능을 제한했거나 특정 영역을 감시로부터 제외했다는 증거가 있는가? 감사위원회 또는 이사회가 경영진의 행동에 대해 의문을 제기했는가? 경영진이 비정상적인 승인이나 우회를 정당화했는가? 모두 통제 환경 평가의 일부다.

Management override 테스트는 모두가 형식적으로 한다. 그래서 진짜 분식이 여기서 빠져나간다. 품관실 리뷰에서 가장 자주 지적되는 항목이 이 영역인 것도 같은 이유다.

사례: Bergström Investerings AB

클라이언트: 스웨덴 투자회사, FY2024, 자산 €285M, IFRS 보고.

단계 1 – 경영진 무시 위험 식별

Bergström은 부동산 포트폴리오 관리 회사다. 저당권 거래, 임차료 수금, 부동산 평가가 정기적이다. 회사의 통제는 모든 부동산 거래에 대한 승인 경로와 월간 재조정 절차를 포함한다. CEO와 CFO가 €500,000 이상의 거래를 승인한다. 감사위원회가 부동산 포트폴리오를 분기마다 검토한다.

문서화 노트: 경영진 무시 위험 식별 메모에 기재. 경영진(CEO/CFO)이 모든 주요 거래의 승인 경로에 포함되어 있으므로 경영진의 통제 무시 위험은 높은 수준이다. IT 통제가 이 승인 경로를 강제하는가? 강제하지 않으면 경영진이 시스템에서 승인을 우회할 수 있다.

단계 2 – IT 통제 환경 평가

감사팀은 부동산 거래 시스템에 로그인했다. 발견사항: 거래 금액과 상대방이 입력되면 시스템이 자동으로 승인자에게 경로를 지정한다. 단 CEO 계정은 관리자 권한을 가지고 있었다. CEO는 시스템에서 필드를 편집하고 승인을 자동 처리할 수 있다. CFO 계정도 동일했다.

문서화 노트: IT 통제 평가. 발견: 경영진 계정이 거래 승인 경로를 우회할 수 있는 관리자 권한을 가지고 있다. 이는 ISA 240.A67(1)에서 요구하는 IT 통제 강화가 충분하지 않음을 나타낸다. 결론: 이 영역의 IT 통제는 경영진의 통제 무시 위험을 충분히 다루지 못한다.

단계 3 – 저널 항목 처리 절차 테스트

표준 절차: 부동산 평가 변동은 월간 저널 항목을 통해 기재된다. 모든 항목은 부동산 관리자가 입력하고 CFO가 승인한다. 기록된 항목의 샘플을 검토했을 때, 3개 항목이 외부 평가사 보고서와 일치하지 않았다. 항목 금액은 €2.3M, €1.8M, €950K였다. 외부 평가 범위는 각각 +€1.2M, +€2.1M, +€1.1M이었다. 조정된 금액은 더 높은 가치를 기재했다.

문서화 노트: 저널 항목 테스트, 경영진 승인 항목. 3개 항목이 외부 평가 범위를 초과한다. 입력 기록은 부동산 관리자를 보여주지만, 변경 내역/감사 추적에서 CFO의 후속 수정이 기재되어 있다. CFO가 저널 항목을 수동으로 조정했다. 승인 후에 이루어진 조정이다.

단계 4 – 거래의 상세 검토

FY2024의 모든 €500K 이상 부동산 거래를 검토했다. 12개 거래가 있었다. 11개는 기록된 승인 경로를 따랐다. 1개는 따르지 않았다. 거래: CEO가 부동산을 €18.5M에 취득하기로 협상했다. 기록된 거래 메모에서 가격은 €19.2M이었다. 가격 상향조정은 기재되지 않았다. 외부 평가는 €18.3M을 보였다. 기재된 금액 €19.2M은 평가를 초과한다.

문서화 노트: 경영진 무시 절차, 상세 거래 검토. 1개 거래에서 기재 가격이 협상 가격을 초과했고, 초과분이 문서화되지 않았다. 이는 경영진에 의한 후속 조정을 시사한다. 거래 시스템 기록에서 CEO 계정은 06:15에 로그인했고, 가격 필드가 €18.5M에서 €19.2M으로 변경되었으며, 타임스탬프는 06:23이다.

결론

Bergström에서 경영진의 통제 무시 위험은 식별되었고 발견되었다. IT 통제가 경영진의 우회를 방지하지 못했다. 저널 항목 절차가 기재 후 조정을 식별했다. 상세 거래 검토가 미문서화된 가격 조정을 식별했다. 같은 경영진(CEO/CFO)에 의한 것이다. ISA 240.33에 따라 경영진의 통제 무시가 의심되면 감사인은 부정행위의 진행 수준을 평가하고 그 영향을 결정해야 한다. 이 경우 조정된 금액은 누적적으로 ISA 320에서 설정된 중요성 임계치를 초과했다. 보정이 필요했다.

감사인과 검토자가 놓치는 사항

Tier 1 – 명시된 감리 지적

국제 감리 데이터에 따르면 경영진의 통제 무시 위험 대응은 일관되게 감리 의견을 받는다. FRC는 2023 감리 주기에서 검토한 파일의 약 35%에서 경영진 무시 절차의 불충분함을 식별했다. 공통적인 발견은 다음과 같다. (1) 저널 항목 절차가 경영진이 생성한 항목에 적용되지 않았다. (2) IT 통제 평가가 경영진 계정의 관리자 권한을 다루지 않았다. (3) 주요 거래 검토가 금액, 기록 타이밍, 승인 경로의 변경을 구체적으로 찾지 않았다. (4) 회계추정 검토가 전기 추정과 당기 결과 비교를 누락했다.

금감원 표현으로는 "경영진 통제 무시에 대한 감사절차가 형식적으로 수행되었음." 실무에서 이것이 의미하는 것: 절차명만 조서에 적었다. 무엇을 찾으려 했는지, 무엇을 찾지 못했는지가 없다. 감리 들어오면 바로 걸린다.

Tier 2 – 표준 참조 실무 오류

많은 팀이 경영진의 통제 무시 위험을 식별하지만, ISA 240.A67에서 요구하는 절차 중 하나 이상을 빠뜨린다. 팀이 저널 항목 절차를 수행하지만 경영진 무시 위험을 ISA 240.A68의 감시 통제 평가(특히 감사위원회의 유효성)와 연결하지 않는다. 또 다른 사례: 팀이 IT 통제를 테스트하지만 경영진 계정의 권한 분리와 감사 추적 요구사항을 다루지 않는다. ISA 240.A66은 경영진의 통제 무시를 "부정행위 위험이 존재한다는 가정"으로 명시한다. 낮은 위험도를 이유로 절차를 생략할 수 없음을 의미한다.

Tier 3 – 문서화 격차

경영진 무시 절차가 수행되었지만, 조서가 왜 각 절차가 수행되었는지, 무엇을 찾기 위해 설계되었는지, 결과가 경영진 무시 위험 평가를 어떻게 변경했는지를 명확하게 보여주지 않는다. 저널 항목 테스트에서 샘플링 메모는 항목 수와 테스트 범위만 보여준다. 경영진이 입력한 항목이나 경영진이 승인한 항목이 샘플에 포함되었는지는 명시되지 않는다. IT 통제 메모는 시스템 설정을 설명하지만, 경영진 계정이 우회 가능한 통제를 실제로 우회했는지는 다루지 않는다. 필자가 검토한 파일에서는 이 격차가 가장 빈번하게 발견된다.

관련 용어

부정행위 위험: 경영진의 통제 무시는 부정행위 위험의 한 범주다. ISA 240은 부정행위 위험의 특정 형태로 명시한다.

내부통제: 경영진의 통제 무시는 내부통제의 약점이 아니라 내부통제를 설계한 사람이 그것을 우회하는 행위다.

감사 증거: 경영진 무시 위험에 대한 대응은 IT 시스템 접근 로그, 저널 항목 기록, 거래 타임스탬프 및 수정 내역을 포함한 증거 수집을 요구한다.

위험 평가: ISA 240.32는 감사인이 계획 단계에서 경영진의 통제 무시 위험을 평가해야 한다고 명시한다.

저널 항목: 경영진 무시 절차의 핵심 부분은 경영진이 입력하거나 승인한 저널 항목의 검토 및 테스트다.

IT 통제: 경영진의 통제 무시 위험을 다루기 위한 IT 환경 평가는 ISA 240.A67(1)에 의해 요구된다.

---

실무 감사 인사이트를 매주 받아보세요.

시험 이론이 아닙니다. 감사를 빠르게 만드는 실질적인 내용입니다.

290개 이상의 가이드 게시20개 무료 도구현직 감사인이 구축

스팸 없음. 저희는 감사인이지 마케터가 아닙니다.