Definition
조서가 얇다고 지적당하는 인증 업무의 대다수는 결론이 틀려서가 아니라 결론을 뒷받침하는 대상정보 자체의 완전성을 확인한 흔적이 없어서다. 보고서일 직전에 대상정보의 출처가 한 시스템에 몰려 있는 것을 발견하고 추가 시스템을 다시 더해 대조해야 했던 경험이 있다면, 이 페이지가 정리하는 정의가 왜 실무 단계에서 작동하는지 이해하기 쉽다.
작동 방식
인증 업무에서 실무자는 주장 자체를 직접 관찰하거나 측정하지 않습니다. 그 주장을 뒷받침하는 대상정보를 평가합니다. ISA 315.6에 따른 재무제표감사에서 대상정보는 회계 기록, 거래 로그, 보조원장, 분개장, 그리고 입증 문서를 포함한다. ISAE 3402 Type II 업무에서는 대상정보가 통제 운영 자체다. 통제가 실행된 시점을 보여주는 로그, 예외 보고서, 시정 기록, 시스템 구성이 여기에 들어간다. ISAE 3000.13은 대상정보를 "기준이 적용되는 기초 데이터, 기록, 시스템, 절차, 그리고 상태"로 정의합니다. 실무자의 역할은 그 정보가 존재하고 완전하며 정확한지, 그리고 표명된 주장을 뒷받침하는지 평가하는 것입니다.
실무에서 어려운 점은 대상정보가 여러 시스템에 흩어져 있다는 점입니다. 단일 거래가 송장 시스템, GL, 은행 기록, 보조원장 모두에 데이터를 가지고 있을 수 있습니다. 통제 하나에 대해 수기 로그와 시스템 출력 양쪽에 증거가 존재하기도 합니다. 실무자는 관련 대상정보가 존재하는 모든 위치를 식별하고, 어느 출처가 신뢰할 만한지 판단하며, 중요한 정보가 누락되지 않도록 해야 합니다.
산출 예시: Nexus Logistics B.V.
클라이언트: 네덜란드 물류 운영사, 2024년도, 매출 1억 2,700만 유로, IFRS 보고자. 클라이언트는 340대의 트럭 차량을 운영하며, 연료 카드 거래 통제의 효과성에 대한 Type II 보고서 발행을 위해 Nexus Assurance를 선임했습니다(그룹 정책: 모든 연료 구매는 영업일 2일 이내에 기록되어야 하며, 정확한 비용 센터로 코딩되어야 함).
1단계: 대상정보의 위치 식별
실무자는 연료 카드 거래의 대상정보가 세 곳에 존재함을 식별합니다: (1) 연료 카드 공급자의 거래 포털(날짜, 금액, 위치, 운전자 ID 표시), (2) 비용관리시스템(입력 날짜, 금액, 할당된 비용 센터 코드 표시), (3) GL 연료비 계정(월별 요약 잔액).
감사 문서화 노트: 세 데이터 출처를 매핑한 메모, 시스템 접근 일자 확인, 각 요소별 권위 출처 식별(연료 카드 포털 = 거래 발생 및 금액의 기준; 비용 시스템 = 적시성 및 비용 센터 코딩의 기준).
2단계: 대상정보의 완전성 평가
팀은 12개월치 연료 카드 거래(4,847건, 합계 214만 유로)를 다운로드합니다. 비용 시스템에서 이에 대응하는 모든 항목을 확인합니다. 비용 시스템에는 4,681건만 기록되어 있음을 발견합니다. 차이는 166건입니다.
감사 문서화 노트: 합의된 마감일 기준으로 비용 시스템에 미입력된 166건의 연료 카드 거래를 보여주는 예외 로그 작성. 실무자는 클라이언트에 연락하여 이들이 처리 중인 항목인지 미기록 거래인지 확인.
3단계: 대상정보의 신뢰성 평가
대조된 4,681건에 대해 팀은 입력 날짜를 거래 날짜와 비교 추적합니다. 847건(18%)이 거래 날짜로부터 영업일 2일을 초과하여 기록되었음을 발견합니다. 비용 센터 코딩은 4,621건(99%)에서 정확합니다.
감사 문서화 노트: 적시성 예외와 비용 센터 예외를 보여주는 통제 예외 요약 작성. 적시성 항목에서 실무자는 지연이 일관되게 발생했는지(절차상 지연 시사) 산발적으로 발생했는지(개별 오류 시사) 기록. 비용 센터 항목에서는 예외가 특정 비용 센터에 집중되었는지 운영 전반에 분산되었는지 판단.
결론: 연료 카드 거래에 대한 대상정보는 존재하며 대부분 완전하고 정확하지만, 적시성 측면에서 측정 가능한 예외가 포함되어 있습니다. 실무자는 통제가 예외와 함께 운영되고 있다는 결론을 내리고 그 예외를 정량화하기에 충분한 대상정보를 보유하고 있습니다. 예외가 그룹의 내부통제 목표에 비추어 중요했다면 Type II 보고서에 명시되었을 것입니다. 대상정보가 부재했거나 불완전했거나 추적과 대조가 불가능할 정도로 신뢰할 수 없었다면 실무자는 범위 제한에 직면하고 통제의 효과성에 대한 의견을 표명하지 못할 수 있습니다.
감시자들과 실무자들이 놓치는 것
대상정보를 체크박스처럼 다루는 것. 많은 실무자가 대상정보 수집을 첫 주에 끝내야 하는 사전 단계로 간주하고, 그 뒤에는 다음 작업으로 넘어갑니다. ISAE 3000.13과 ISA 500.5(a)는 실무자가 인증 업무 전체 기간에 걸쳐 대상정보의 신뢰성과 충분성을 평가하도록 요구한다. 이는 일회성 데이터 추출이 아니다. 감리 지적은 실무자가 초기 대상정보를 수집했지만 조건이 변했을 때(기간 중 시스템이 업데이트되고, 인력 교체가 절차 통제에 영향을 주고, 새로운 사업장이 추가됨) 재평가하지 않았음을 보여줍니다. 실무자의 초기 평가 이후 대상정보가 중요하게 변경되었다면 실무자는 재평가해야 합니다.
전자 시스템이 완전하다고 가정하는 것. 흔한 오류는 거래가 시스템에 있으면 모든 거래가 포착되었다고 가정하는 것입니다. 시스템 완전성은 가정이 아니라 테스트가 필요합니다. 위 연료 카드 예시에서는 실무자가 완전성을 가정하지 않았기 때문에 누락된 166건을 발견했다. 금감원의 감리, 그리고 FRC와 PCAOB의 국제 감리 데이터는 거래 누락 또는 지연 입력이 반복적으로 지적되는 항목임을 보여줍니다. 신뢰하기 전에 항상 대조 또는 분석적 절차를 통해 대상정보의 완전성을 검증하십시오.
대상정보와 기준을 혼동하는 것. 대상정보는 기초 데이터다. 기준은 그 데이터를 평가하기 위해 적용되는 표준입니다(IFRS, 내부 정책, 규제 요구사항). 실무자가 완벽한 대상정보(모든 거래 기록, 모든 필드 완료)를 가지고 있어도 기준을 정확히 적용하지 못할 수 있습니다(예: 거래가 클라이언트 자체 정책을 위반한다는 점을 식별하지 못함). 어느 요소가 대상정보이고 어느 요소가 적용되는 기준인지 조서에 명확하게 문서화하십시오.
관련 용어
- 주장(Assertion): 대상정보에 대한 클라이언트의 주장으로, 일반적으로 재무제표 또는 계정 수준에서 표명되며 감사인이 평가합니다. - 계약서(Engagement letter): 실무자가 검토할 대상과 적용될 표준(기준)을 명시한 서면 합의서입니다. - 증거(Evidence): 결론을 뒷받침하기 위해 실무자가 대상정보에 대해 수집하는 정보입니다. 기초 데이터 자체와 관련되지만 구별됩니다. - 범위 제한(Scope limitation): 실무자가 충분하고 적절한 대상정보를 입수하지 못하게 하는 제약으로, 인증 의견의 수정으로 이어지는 경우가 많습니다. - 기준(Criteria): 대상정보를 평가하는 기준점 또는 표준입니다(예: IFRS, ISA, 내부통제 프레임워크, 규제 요구사항). - 재무보고에 대한 내부통제(ICFR): ISA 315 업무에서 대상정보의 한 종류로, 클라이언트의 통제환경, 위험평가, 통제활동의 설계와 운영으로 구성됩니다.
관련 용어 링크
- 내부통제 - 감사증거 - 계약서
---