핵심 요약

  • 지속가능성 보증은 기존 재무감사와 별개의 업무이며, 별도의 기준과 역량이 필요합니다.
  • 합리적 확신 수준(ISAE 3410)과 제한적 확신 수준(ISAE 3000) 중 하나를 선택하여 수행합니다.
  • 감사인은 보고 주제, 기준, 증거에 대한 특정 계획을 수립해야 하며, 재무감사 문서와 구분된 조서를 유지합니다.
  • CSRD 적용 대상 기업은 2025 회계연도부터 지속가능성 보고에 대한 제한적 확신 보증을 의무적으로 받아야 하며, 합리적 확신으로의 전환이 예정되어 있습니다.

작동 방식

지속가능성 보증 업무는 ISAE 3000(개정)과 ISAE 3410의 구조를 따릅니다. ISAE 3000.16은 보증 업무의 기본 원칙을 정의합니다. 감사인은 먼저 피감사회사, 이용자 그룹, 보고 주제를 파악합니다. 그 다음 기준을 선택하는데, 이는 지속가능성 정보가 평가될 근거입니다. ESRS(유럽 지속가능성 보고 기준), GRI(글로벌 보고 이니셔티브) 또는 기타 공인된 기준이 될 수 있습니다.
ISAE 3410.A26은 합리적 확신 수준의 보증을 규정합니다. 감사인은 충분하고 적절한 증거를 수집하여 결론을 도출합니다. 제한적 확신을 선택하는 경우 ISAE 3000의 변형된 요구사항을 적용합니다. 업무 규획 단계에서 중요성 수준을 결정해야 하는데, 이는 재무감사의 중요성과 다를 수 있습니다. 예를 들어 탄소 배출량 감소 약속에 대한 거짓 표시는 재정적 금액이 작더라도 중대할 수 있습니다.
ISAE 3000.26은 감사인이 경영진의 책임과 감사인의 책임을 보증 보고서에서 명확히 구분하도록 요구합니다. 경영진이 지속가능성 정보를 준비하고 그에 대한 책임을 집니다. 감사인은 독립적으로 그 정보를 평가합니다.

산출 사례: 엘슨 주식회사(가명)

클라이언트: 슬로베니아의 소비재 제조업체, 2024년 회계연도, IFRS 보고사, GRI 기준에 따른 지속가능성 보고.
상황: 엘슨은 2030년까지 탄소 중립을 달성하겠다는 공약을 담은 보고서를 발행했습니다. 이사회는 보증을 통해 이 약속에 신뢰성을 더하려고 합니다.
단계 1: 업무 수락 및 범위 결정
감사인은 다음을 확인합니다: (1) 경영진이 지속가능성 정보 준비에 책임이 있는가? (2) 보증이 합리적 확신인가, 제한적 확신인가? (3) 누가 이용자인가(투자자, 규제당국, 일반 대중)? 엘슨은 합리적 확신을 선택했습니다.
문서화 노트: 업무 수락 문서에 이용자 그룹 정의, 기준 선택 근거(GRI G4 에너지 및 배출 기준), 확신 수준(합리적) 기록.
단계 2: 기준 선택 및 중요성 설정
GRI 기준이 평가 기준입니다. 감사인은 탄소 배출량(톤 CO2 상당)을 양적 중요성으로, 공급망 투명성 공시를 질적 중요성으로 설정합니다. ISAE 3410.A27에서는 정량적 및 정성적 요소를 모두 고려하도록 요구합니다. 엘슨의 전체 배출량은 150,000톤이므로, 감사인은 5,000톤(3.3%)을 정량적 중요성 임계치로 설정했습니다.
문서화 노트: 중요성 계산 조서에 선택한 벤치마크(총 배출량), 백분율(3.3%), 질적 중요성(공급망 투명성 10개 항목 이상의 누락 또는 오류) 기록.
단계 3: 기획 및 위험 평가
감사인은 영역별 위험을 평가합니다. 탄소 배출량 집계(데이터 입력 오류 위험), 공급사 배출량 보고(3자 정보 신뢰성 위험), 에너지 소비 추정(계산 모형 오류 위험). 높은 위험 영역은 공급사 배출량입니다. ISAE 3410.A35는 실질적 절차를 규정합니다.
문서화 노트: 위험 매트릭스에 각 영역별 위험(높음/중간/낮음), 위험 원인, 계획된 절차 기록.
단계 4: 증거 수집
합리적 확신 수준이므로 감사인은 상세한 절차를 수행합니다. 공급사 10곳(배출량의 80%)을 선택하여 현장 방문. 각 공급사에서 에너지 청구서, 배출량 계산 시트, ISO 14001 인증서 검토. 탄소 배출량 관리 시스템 사용자 접근 통제 테스트. 경영진과의 인터뷰를 통해 2030 중립 달성 경로에 대한 계획 평가.
문서화 노트: 현장 방문 보고(날짜, 방문 대상, 확인된 증거, 거리 및 교통 수단), 공급사별 배출량 재계산 결과, 편차 분석(허용범위 초과 여부) 기록.
단계 5: 결론 및 보고
감사인은 합리적 확신을 도출합니다. 배출량 계산에 오류가 없으며, 공시는 GRI 기준에 부합합니다. 한 가지 지적사항: 공급사 5곳의 기타 온실가스(스코프 3) 데이터가 누락되었으나, 총량의 2%에 불과하므로 중요성 미만입니다.
문서화 노트: 보증 보고서 초안에 결론 문단, 제한사항(특정 기준, 특정 시점), ISAE 3410 요구사항에 따른 감사인 책임 진술 기록.
결론: 이 업무는 재무감사와 명확히 구분되었습니다. 기준이 다르고(GRI vs IFRS), 중요성 개념이 다르고(톤 vs 유로), 증거 수집 방법도 다릅니다. 합리적 확신 수준의 선택은 경영진의 약속(탄소 중립)이 투자자 신뢰도와 직결되어 있기 때문입니다.

감사인과 기업이 놓치는 부분

Tier 1: 규제당국 지적사항
국제감사위원회 협의회(IAASB)의 2024년 보증 기준 구현 보고서에 따르면, 지속가능성 보증 업무를 수행하는 감사팀의 60%가 합리적 확신과 제한적 확신의 차이를 문서화하지 못했습니다. 특히 증거 수집의 상세 수준에서 두 확신 수준이 혼재되는 오류가 빈번합니다. ISAE 3410.23은 합리적 확신을 위해서는 충분하고 적절한 증거가 필요하며, ISAE 3000.A50은 제한적 확신은 보다 제한된 범위의 절차로 충분하다고 규정합니다.
Tier 2: 기준 선택 오류
감사인이 지속가능성 정보를 평가할 기준을 명확히 선택하지 못하는 경우가 흔합니다. ESRS, GRI, SASB, 또는 기업 자체 기준 중 어느 것을 적용할지 미리 결정해야 합니다. 업무 수락 단계에서 기준을 선택하지 않으면 보고서의 신뢰성이 훼손됩니다. 예를 들어 "GRI 기준에 따르면 부합합니다"와 "ESRS 기준에 따르면 부합합니다"는 다른 결론을 낳을 수 있습니다.
Tier 3: 중요성 설정의 부재
재무감사에서는 중요성을 계산하는 것이 당연하지만, 지속가능성 보증에서는 중요성 설정을 건너뛰는 팀이 있습니다. ISAE 3410.A27은 보증 업무에서도 중요성을 정의하고 문서화하도록 명시합니다. 탄소 배출량 감소 목표를 검토할 때 "배출량 감소 3%는 중요한가?"라는 질문에 답하지 않으면 증거 수집 범위를 결정할 수 없습니다.

지속가능성 보증(ISAE 3410)과 제한적 확신 보증(ISAE 3000) 비교

| 측면 | 합리적 확신(ISAE 3410) | 제한적 확신(ISAE 3000) |
|------|-----|-----|
| 증거 범위 | 상세 표본, 현장 방문, 3자 확인 | 질문, 검토, 분석적 절차 |
| 보고 결론 | "부합합니다" 또는 "부합하지 않습니다" | "중대한 오류를 발견하지 못했습니다" |
| 감사팀 역량 | 지속가능성 분야 전문가 필수 | 일반 감사 역량으로 충분할 수 있음 |
| 비용 | 높음(200~400시간 또는 그 이상) | 중간(80~150시간) |
| 사용 시나리오 | 투자자 공시, 규제 준수, 차입 계약 | 내부 검증, 이해관계자 신뢰성 확보 |
합리적 확신은 보증의 수준이 높아서 재무감사와 비슷한 엄격성을 요구합니다. 제한적 확신은 업무 범위가 좁지만, 여전히 독립적인 평가와 기준에 기반한 절차가 필요합니다.

감사인이 자주 실수하는 사항

기준 없이 업무 시작하기
지속가능성 보고서를 받고 "이것이 맞는가?"라고 평가하려는 감사팀이 있습니다. 하지만 평가 기준이 없으면 의견을 낼 수 없습니다. ISAE 3000.16은 "적절한 기준"의 존재를 업무 수락의 전제 조건으로 규정합니다. 기준이 없으면 업무 자체를 거절해야 합니다.
중요성을 설정하지 않은 채 표본 크기 결정
재무감사에서처럼 "주요 항목 10개"를 표본으로 선택하는 것은 부정확합니다. ISAE 3410.A27은 미리 정한 중요성 수준에 따라 표본을 설계하도록 요구합니다. 탄소 배출량이 총 150,000톤일 때 3,000톤 미만의 오류를 기준으로 표본을 선택해야 합니다.
경영진 책임과 감사인 책임 혼재
지속가능성 보고서를 작성하는 것은 경영진의 책임입니다. 감사인이 보고서 초안을 수정하거나 숫자를 변경하면 독립성이 침해됩니다. ISAE 3000.26은 이를 명확히 구분하도록 요구합니다.

관련 용어

  • [ISAE 3000(개정)]: 역무(engagement) 수락부터 보증 보고서 작성까지 지속가능성 보증의 전체 프레임워크 정의.
  • [ISAE 3410]: 환경 정보에 대한 합리적 확신 보증의 구체적 요구사항.
  • [ESRS]: 유럽 지속가능성 보고 기준. EU 규제에 따라 일부 기업이 의무적으로 따르는 기준.
  • [GRI 기준]: 글로벌 보고 이니셔티브가 발행한 국제적 지속가능성 기준. ESRS와 함께 주요 평가 기준.
  • [보증 보고서]: 감사인의 결론을 담은 독립적 보고서. 재무감사의 감사의견과 유사한 역할.

도움이 되셨나요?

이 항목이 도움이 되었다면 [지속가능성 보증 체크리스트]를 확인해보세요. ISAE 3410 및 ISAE 3000 준수 항목을 실제 업무에 바로 적용할 수 있습니다.

실무 감사 인사이트를 매주 받아보세요.

시험 이론이 아닙니다. 감사를 빠르게 만드는 실질적인 내용입니다.

290개 이상의 가이드 게시20개 무료 도구현직 감사인이 구축

스팸 없음. 저희는 감사인이지 마케터가 아닙니다.