STARUG (Stock Corporation Integrity and Audit Reform Act, 독일)

핵심 포인트

> - STARUG/FISG의 실무적 핵심은 상장사에 대한 감사인 강제 교체(외부 감사인 10년 한도) 및 비감사용역 제한 강화입니다. > - 감사위원회의 권한이 명시적으로 확대되어 감사인 선임/감독 책임이 형식이 아닌 실질로 옮겨갔습니다. > - DPR(재무보고감독원) 제도가 폐지되고 BaFin이 감리 권한을 직접 행사하는 구조로 바뀌었습니다.

---

실무에서의 의미

STARUG가 시행되기 전 독일 상장사 감리는 2단계였습니다. 1단계는 민간 기구인 DPR(Deutsche Prüfstelle für Rechnungslegung)이 표본 또는 신고 기반으로 검토하고, 의심 사항을 BaFin에 넘기는 구조. Wirecard 사건에서 이 구조가 작동하지 않은 점이 드러나면서 2022년 DPR 제도가 폐지되고 BaFin이 1차 감독부터 직접 수행하게 됐습니다.

감사인 측면에서 가장 큰 변화는 PIE(공익기업) 정의 확대와 강제 교체 주기입니다. EU Audit Regulation 537/2014가 정한 10년 한도가 독일에서 더 엄격하게 적용되며, 비감사용역 한도와 금지 항목 목록이 늘었습니다. 감사인이 같은 PIE에 세무 자문이나 평가 용역을 동시에 제공하기가 사실상 어렵습니다.

회사 측면에서는 HGB §91 개정으로 상장사 이사회가 적정한 내부통제 시스템(IKS)과 리스크관리 시스템(RMS)을 구축할 의무가 명문화됐습니다. 한국 신외감법의 내부회계관리제도와 비교하면 범위가 더 넓습니다(재무보고에 한정되지 않음). 감사인은 ISA 315(개정)에 따라 이 시스템들을 위험평가 단계에서 이해해야 합니다.

---

실제 적용 사례: 한미산업 GmbH 독일 자회사

클라이언트: 프랑크푸르트 증권거래소 Prime Standard 상장 한국 모회사의 독일 자회사, 2024년 회계연도, HGB 단독재무제표 + IFRS 연결재무제표, 매출 1억 8천만 유로

1단계: PIE 여부 판정 독일 자회사 자체는 비상장이지만, 모회사가 EU 규제시장 상장사로 EU Audit Regulation상 PIE에 해당합니다. 그룹 감사인은 STARUG 강제 교체 시계에 들어옵니다. 감사자 노트: 그룹 차원 PIE 적격성을 조서에 정리. 한국 모회사 직전 감사인 교체 시점과 EU 10년 한도 연동 확인

2단계: 감사위원회 커뮤니케이션 의무 점검 HGB §107 개정에 따라 감사위원회는 외부 감사인 선정·감독에 대한 실질적 책임을 지며, 감사위원회 의장이 감사 영역에 대한 전문성 요건을 충족해야 합니다. 그룹 감사인은 ISA 260(거버넌스 책임자와의 커뮤니케이션)에 따른 보고 외에 STARUG가 추가로 요구하는 보고 항목을 제공해야 합니다. 감사자 노트: 감사위원회 보고서 표본 3건의 보고 항목과 HGB §107 요건을 매핑

3단계: 내부통제 및 리스크관리 시스템(IKS/RMS) 이해 HGB §91(3) 개정에 따라 이사회는 IKS와 RMS의 적정성을 보장할 의무가 있습니다. 감사인은 ISA 315에 따라 두 시스템을 이해하고 통제 의존 여부를 결정합니다. 한국 자회사는 모회사의 K-IFRS 내부회계관리제도(K-ICFR)를 따르지만 독일 자회사는 IKS/RMS 범위 내에서 별도로 평가됩니다. 감사자 노트: 자회사 IKS 문서, 통제 매트릭스, 모회사 K-ICFR 통제와의 매핑 내역을 조서에 첨부

4단계: 비감사용역 한도 점검 EU Audit Regulation 537/2014 제5조에 따른 비감사용역 한도 70% 및 금지 항목을 점검합니다. 자회사가 그룹 감사인 네트워크로부터 받은 세무 자문, IT 자문, 평가 용역 내역을 수집하고 한도 내인지 계산합니다. 감사자 노트: 비감사용역 수임 내역, 사전 승인 절차 기록, 한도 계산표를 조서에 첨부

결론: 그룹 감사인은 EU 10년 강제 교체 시계상 잔여 6년이며, 비감사용역 한도 내(매출 대비 42%). IKS/RMS는 모회사 K-ICFR과 일정 부분 중복되나 독일 측면에서 추가 검토가 필요한 운영 통제(공급망, 환위험)가 식별돼 이를 위험평가에 반영했습니다.

---

감리자와 실무자들이 착각하는 점

처음 STARUG 적용 회사를 맡았을 때 한국 신외감법이랑 비슷하겠지 하고 들어갔다가 자괴감을 느낀 적이 있습니다. 감사위원회와의 커뮤니케이션 빈도와 깊이가 차원이 달랐습니다. 한국에서는 감사위원회 보고가 형식적으로 끝나는 경우도 있는데, 독일 PIE에서는 감사위원회가 내가 작성한 KAM 초안을 문장 단위로 깎아오는 경험을 합니다. 품관실에 올리기 전에 감사위원회 의장한테 먼저 깨지는 셈입니다.

BaFin: "Die Aufsicht über Rechnungslegung börsennotierter Unternehmen wird einstufig durch die BaFin wahrgenommen."(상장사 재무보고 감독은 BaFin이 1단계로 직접 수행한다) 실무에서 이것이 의미하는 것: 한국 금감원처럼 BaFin이 직접 표본 추출과 심층조사를 하며, 과거 DPR을 거치며 시간이 벌렸던 완충이 사라졌다는 것. 이슈가 잡히면 회신 시한이 짧고 자료 요구가 즉각적입니다.

- PIE 정의 오판: 독일 자회사가 비상장이라는 이유로 PIE 비대상으로 처리하는 경우. 모회사가 EU 규제시장 상장사이면 그룹 감사인 측면에서 EU Audit Regulation의 강제 교체 및 비감사용역 제한이 그룹 전체에 작용합니다. EU Audit Regulation 537/2014 제16조 적용 범위를 조서에서 명확히 해야 합니다.

- K-ICFR과 IKS/RMS 동일시: 한국 내부회계관리제도는 재무보고에 한정되지만 HGB §91(3)의 IKS/RMS는 운영·법규준수까지 포함합니다. 모회사 K-ICFR 평가 결과를 그대로 가져다 쓰면 독일 측 위험 영역(노동법, GDPR, 환경 규제 등)이 누락됩니다.

---

STARUG vs 한국 신외감법

---

실제 감사 절차

감사인은 다음을 수행합니다.

1단계: PIE/그룹 PIE 적격성 판정 EU Audit Regulation 537/2014 및 독일 HGB §319a를 적용해 클라이언트 또는 그룹의 PIE 여부를 판정합니다. 한국 모회사 그룹 구조의 경우 EU 상장 모회사와의 연결 여부, 자회사 중 EU 규제시장 상장 여부를 확인합니다.

2단계: 감사인 강제 교체 및 독립성 점검 직전 감사인 선임 시점, 누적 임기, 비감사용역 한도(매출 대비 70%)를 확인합니다. 그룹 차원 비감사용역 풀링도 확인합니다.

3단계: IKS/RMS 위험평가 ISA 315(개정)에 따라 클라이언트의 IKS와 RMS를 이해합니다. 운영 통제와 법규준수 통제까지 범위를 넓혀 위험평가에 반영합니다.

4단계: 감사위원회 커뮤니케이션 설계 ISA 260, ISA 265 외에 HGB §107이 요구하는 보고 항목을 사전에 합의합니다. KAM 초안, 비감사용역 내역, 독립성 확인서를 감사위원회와 공식 회의 전에 공유합니다.

---

관련 용어

- PIE(공익기업): EU Audit Regulation 537/2014가 규제하는 기업 분류. STARUG 적용의 진입점. - KAM(핵심감사사항): ISA 701에 따라 PIE 감사보고서에 포함되는 항목. 독일 감사위원회 검토 강도가 높음. - 내부회계관리제도(K-ICFR): 한국 신외감법의 내부통제 평가 제도. STARUG의 IKS/RMS와 범위가 다름. - 감사인 강제 교체(Mandatory Auditor Rotation): EU PIE에 적용되는 10년 한도 규정. - ISA 315(개정): 위험평가 절차. IKS/RMS 이해의 근거.

---

관련 자료

PIE 적격성 및 감사인 교체 시계 점검표: 한국 모회사·EU 자회사 그룹의 PIE 적격성과 잔여 임기를 입력하면 강제 교체 시점을 산출합니다. 도구로 이동

---