PCAOB

정의

PCAOB(Public Company Accounting Oversight Board)는 미국 상장 회사, 그 종속회사, 기타 발행인의 감사를 수행하는 회계법인을 감독하는 독립적 비영리 기구입니다. 2002년 Sarbanes-Oxley Act(SOX) 제101조에 따라 설립되었으며, 미국 상장 회사의 감사 품질 유지와 투자자 보호를 목표로 합니다. PCAOB는 감사 기준을 설정하고, 감사 법인을 등록하며, 정기적으로 감시(inspection)를 수행합니다.

핵심 요약

PCAOB는 미국 상장 회사 감사 법인에 대해서만 권한을 행사합니다. 미국 내 비상장 회사 감사는 PCAOB 규제 대상이 아닙니다.
PCAOB 감시는 ISA 기반 감사와 병행되며, PCAOB가 발견한 결함은 별도의 규제 경로를 따릅니다.
PCAOB 규정 위반 시 법인은 벌금, 등록 정지, 업무 금지 등의 징계를 받을 수 있습니다.
PCAOB 감시 점검 빈도는 법인 규모와 위험도에 따라 결정됩니다(Big 4는 매년, 중소 법인은 3~5년마다).

어떻게 작동하는가

PCAOB의 규제 틀은 세 가지 핵심 기능으로 구성됩니다.
첫째, PCAOB는 미국 상장 회사 감사의 기준을 설정합니다. ISA를 기초로 하되 미국 규제 맥락을 반영한 기준(PCAOB Auditing Standards)을 발행합니다. ISA 320 '중요성'은 PCAOB AS 1320으로 대응되며, 문단 번호와 요구사항이 대체로 유사하지만 세부 지침에는 차이가 있습니다. 예를 들어 PCAOB AS 1320.08은 감사인이 수행한 감사 절차가 설정한 성과중요성(performance materiality)에 비추어 적절하였음을 입증해야 한다고 명시합니다.
둘째, PCAOB는 감사 법인 등록 및 감시를 담당합니다. 미국 상장 회사를 감사하는 모든 회계법인(국내 법인, 외국 법인, 자회사)은 PCAOB에 등록해야 합니다. 등록 법인은 대략 3~6년 주기로 정기적인 현장 점검(inspection)을 받습니다. Big 4(Deloitte, EY, KPMG, PwC) 미국 법인은 매년 점검받으며, 중소 법인은 리스크에 따라 3년에서 5년 주기로 점검받습니다.
셋째, PCAOB는 점검 결과에 따라 규제 조치를 실행합니다. 점검에서 중대한 결함(deficiency)이 발견되면 법인에 시정 명령(enforcement action)을 내릴 수 있습니다. 이는 벌금, 감시 기간 연장, 특정 산업 감사 금지, 심각한 경우 등록 취소 등으로 이어집니다.
PCAOB가 ISA와 다른 점은 보고 의무입니다. ISA 기반 감사에서는 감사의견을 발행하면 감시 기구가 별도로 감리하지만, PCAOB 규제 법인은 실시간 감시 대상입니다. PCAOB 검사원이 재무제표 감사 과정에서 증거 부족, 문서화 미흡, 기준 위반 등을 발견하면 이를 별도의 강제 조사(enforcement investigation)로 이어갈 수 있습니다.

실제 사례: Nordic Logistics 자회사의 PCAOB 등록 요구

Nordic Logistics는 스웨덴 기반의 물류 회사로, 2019년 미국 뉴욕 증권거래소(NYSE)에 상장했습니다. 연간 매출 €380M, 자산 €620M 규모입니다. 모회사는 스웨덴의 감사기준(revisorslag)을 따르는 로컬 감사인과 함께 컨설팅을 받았습니다. 그런데 상장 당시 SEC에 신고한 Form 20-F에서 미국 상장 회사의 등록 의무를 간과했습니다.
1단계: PCAOB 등록 요구 통지
상장 후 3개월째, PCAOB로부터 Nordic Logistics의 미국 자회사 감사를 수행하는 모든 감사인은 등록해야 한다는 통지를 받았습니다. (감시 문서: 등록 법인 목록(PCAOB registration list)에서 Nordic Logistics와 관련된 감사인 확인)
2단계: 감시 점검 준비
등록 후 2년 뒤, PCAOB 점검팀이 현장 감시를 예고했습니다. 점검 범위: 최근 3년간 Nordic Logistics 미국 자회사의 감사 파일 5건. (감시 문서: 점검 공문, 요청 파일 목록, 점검 일정)
3단계: 점검 결과와 결함 식별
점검에서 두 가지 결함이 발견되었습니다. 첫째, ISA 240(부정)에서 요구하는 경영진 재정 인센티브 분석이 일부 파일에서 미흡했습니다. (점검 부적절 사항: "파일 4에서 경영진의 스톡옵션 행사 일정이 재무제표 발표와의 관계를 분석하지 않음") 둘째, ISA 500(감사 증거)의 증거 수집이 일부 절차에서 문서화 기준 이하였습니다. (점검 부적절 사항: "외부 확인 절차 증거의 추적 가능성 부족")
4단계: 시정 조치 및 벌금
PCAOB는 법인에 벌금 €200만 원과 시정 명령을 부과했습니다. 명령에는 내부 감사 품질 관리(ISQM 1)의 강화, 3개월 내 재교육 이수, 12개월간 미국 상장 회사 감사 파일별 사전 검토 의무화가 포함되었습니다. (규제 문서: PCAOB Enforcement Release, 벌금 규모, 시정 조건)
결론: 모회사가 ISA를 따르더라도 미국 자회사 감사에는 PCAOB 기준이 적용되며, PCAOB 점검에서 식별된 결함은 ISA 지침의 미충족과 동치로 취급됩니다. PCAOB의 점검 판단은 기준 초과(above the standard)의 신중함을 요구합니다.

감시 기구와 실무자가 자주 놓치는 점

• PCAOB 등록 범위의 오해: 비미국 법인이라도 미국 상장 회사나 그 자회사의 감사를 수행하면 PCAOB 등록 대상입니다. ISA 적용 여부와 무관합니다. 예를 들어 영국 법인이 스웨덴 모회사의 미국 자회사 감사를 수행한다면, 그 영국 법인도 PCAOB에 등록해야 합니다.
• 점검 주기의 위험 저평가: PCAOB 점검은 ISA 감리와 독립적으로 진행됩니다. AFM이나 FRC의 감리 패스 기록이 있어도 PCAOB는 별도 점검을 합니다. 중소 법인의 경우 3~5년 주기라고 해서 안심하면 안 됩니다. 리스크 신호(감사 결함 기록, 인력 변동, 새로운 산업 진출)가 있으면 점검 주기가 단축됩니다.
• PCAOB 기준과 ISA의 미묘한 차이 무시: PCAOB AS와 ISA의 문단 구조는 유사하지만, 구체적 요구사항에는 차이가 있습니다. 예를 들어 PCAOB AS 1220(품질관리)은 ISA 220(품질관리)보다 감사팀의 전문성 검증을 더 엄격하게 요구합니다. ISA 기반으로만 파일을 구성하면 PCAOB 기준을 충족하지 못할 수 있습니다.
• 강제 조사(enforcement)와 민사 소송의 연계: PCAOB 점검에서 발견된 중대 결함은 SEC 강제 조사로 이어질 수 있으며, 이는 투자자 소송의 증거로 사용될 수 있습니다. 많은 감사인이 PCAOB 벌금으로만 생각하지만, 실제 재정적 피해는 이후 민사 소송에서 발생합니다.

관련 용어

• ISA 320: 중요성: 감사 중요성 설정은 PCAOB AS 1320에서도 동일하게 요구되지만, PCAOB는 중요성 재평가 빈도를 더 자주 문서화할 것을 요구합니다.
• ISA 240: 부정: PCAOB는 부정 위험 평가 과정(특히 경영진 인센티브 분석)을 ISA 240보다 더 깊이 있게 요구합니다.
• ISQM 1: 품질관리: 미국 상장 회사 감사를 수행하는 법인은 ISQM 1의 요구사항 외에 PCAOB의 품질 관리 기준(AS 1220)도 동시에 충족해야 합니다.
• 감시 보고서: PCAOB의 연례 감시 결과(Public Report)는 AFM이나 FRC와 다르게 법인별로 명시되지 않지만, 업계 동향으로는 공개됩니다.
• SEC Form 20-F: 외국 상장 회사가 미국에서 증권을 거래할 때 제출하는 보고서이며, PCAOB 등록 요구사항이 명시됩니다.
• Sarbanes-Oxley Act (SOX): PCAOB의 법적 근거이며, 상장 회사 회계 및 감시에 관한 미국 연방법입니다.

관련 도구

ciferi의 ISA 감사 기준 점검표는 PCAOB 기준과 ISA의 교차 매핑을 포함하고 있어, 미국 상장 회사 감사 파일을 구성할 때 두 기준을 동시에 충족하는 증거 수집 계획을 수립할 수 있습니다. ISA 감사 기준 점검표 보기
---