CPA 회계감사 - Performing Audit Procedures and Responding to Risk Assessment (USCPA, AICPA)

지난 포스팅에서 전반적인 감사 계획 (Overall Strategy) 에 대해 Team discussion 및 그 세부 내용 단계와 Internal Control Framework (COSO Framework) 에 대해서 알아보았다. 이번에는 그 중에서도 Internal Control 의 감사계획에 대해서 단계적으로 조금 더 깊게 알아보려고 한다.  

지난 포스팅 가기 

회계감사 – Understanding of Internal Control (AICPA, USCPA)

 

---

Assessing the Risks of Material Misstatements and Design Further Audit Procedures

회사 전체의 understanding 에 대해 이뤄졌다면 그 후 RMM(Risk of Material Misstatement)에 대한 평가가 이루어지고 그 RMM이 높거나 낮거나에 따라서 TOC (Test of Control) 수행 및 Substantive Procedure 의 단계를 거치게 된다.

 

여기서,

• TOC는 생략이 가능(RMM이 높아  TOC 가지고는 판단이 안 될 경우)
• 하지만 Substantive Procedure는 생략이 불가능 하다. 
  Substantive Procedure의 생략이 불가능한 이유는 RMM 자체가 감사인의 판단 (subjective) 이 들어가고 내부통제 자체의 inherent limitation이 존재하기에 모든 주장 (assertion) 관점에서 이를 확인해야하기 때문이다. 
  
  
  •  더 들어가서 다시 말하자면, RMM이라는 것을 생각했을때, IR, CR, DR이라는 요소들이 존재하고 각각의 Risk 들은 높거나 낮거나, 여러가지 내외부 조건에 의해서 그 위험성이 변동이 될 수 있다. 감사인과 클라이언트 회사는 정상적인 운영을 위해 적정의견을 표시하기 위해서 힘써야할텐데, 이 적정의견이 타당하기에 도달하기 까지에는 모든 위험을 다 판단할 수 없다. 각자 리스크의 허용되는 레벨이 있고, 그 안에서 잘못된 판단을 하지 않고자 모든 주장관점에서 클라이언트가 제시하는 숫자 및 정보를 검증하고, 감사인의 실수 또한 방지해야할 장치가 필요한 것이다.  
    

---

Auditor's Consideration of Internal Control 

이하 Internal Control에 대해서 감사인 어떠한 과정을 통해 감사를 플랜 및 진행하고자 하는지 알아본다. 

 

 

Understanding Internal Control Components 

지난 포스팅에서 설명하였던 COSO Framework에 기반하여 내부통제의 Design and Implementation 에 대해 알아보는 것이다. 여기서 중요한 것은 감사인은 클라이언트의 내부통제가 얼마나 효율적인지 판단하는 것이 아니다. 부정이 저질러질만한 가능성 및 잘못 설계되어있는 내용을 알아보고자 하는 것이다. 

 

• Design : Preventive Control 과 Detective Control 이라는 관점에서 알아볼 수 있는데,  Preventive Control (예방통제) 은 말 그대로 업무상에 있어서 직원이 미리 알아채고 예방할 수 있는 관점을 의미하며, Detective Control은 추후에 리뷰를 통해서 알아볼 수 있는 retrospective 한 관점에서 design이 잘 되있는지를 보는 것이다. 
• Design in IT : Information Technology system 에서 볼 수 있는 관점은 Automated Control 과 Manual Control이 있다. Automated Control 이라는 것은, 수 많은 transaction이 있으면서 항상 repetitive 한 transaction이 있는 경우, 이럴 상황에 디자인이 잘 되어있는지를 보는 것이고, Manual Control은 사람이 직접 개입을 하는 것인데, non-recurring transactions (즉 자주 있는 거래는 아닌 경우), difficult to define or predict 한 것과 상황 변화 (changes in circumstances)가 있는 경우이다. Manual Control 자체가 사람개입이 있는 것이기 때문에 human error의 발생여지가 있으며 더 위험성이 높을 가능성이 있다. 
• Implementation : Internal Control 수행과정에 있어 감사인이 잘 실행이 되고 있는지, 그 절차가 제대로 잘 이루어지고 있는지에 대해서 알아보는 것을 의미한다. 
  
  

그렇다면 감사인은 왜 이러한 과정을 알아봐야하는 것일까? (비슷한 내용의 반복이지만) 

• 이러한 일련의 과정을 통해서 RMM을 파악하고 further audit procedure를 제대로 design 하여 감사의 효율성을 높이고 potentially misstatement에 대해 진짜로 잘못되었는지 잘 찾아내기 위함이다. 
  
  

어떻게 바라볼 것인데? 

이하 과정으로 알아볼 수 있다. 

• Inquire (사람들에게 직접 물어본다)
• Inspect (관련 서류를 뒤져본다)
• Observe (실제로 어떻게 하는지 관찰해본다)  

---

 

Responding to Risk Assessment 

Internal Control 은 CR (Control Risk) 파트에 포함되는 영역으로 CR을 판단하므로서 DR(Detection Level)의 영향을 줄수 있고, 추후 Substantive Procedure 에 또한 그에 따라 영향을 받는다.  이 단계에서는 두가지의 단계로 나눠서 바라볼 수가 있는데, Overall Response 와 General Response 이다. Overall Reponse 라 함은 위에서, 전반적인 감사 시점에서 바라보는 것으로 사람이 더 필요하면 더 assign을 하는 것과 같은 것을 말하고, General Response 라는 것은 F/S account level 에서 나타는 위험성에 대해 보는 것을 의미한다. 예를 들면 AR, AP 의 Process와 같은 것을 말한다. 

똑같이, Substantive Procedures 수행하기전에 Type 1 to 3로 나눠서 생각해볼 수 있으며,

• Type 1의 경우 TOC의 수행을 거쳐 Substantive Procedure 단계에서 많은 것을 save 할 수 있지만,
• Type 2의 경우 TOC를 생략하고 거의 모든 감사 과정을 Substantive Procedure 단계에서 검증해야 한다. 
• Type 3의 경우 IT 시스템이 발달된 케이스로 검증이 불가능 한 것이기에 주로 Disclaimer 의 의견표명을 하게 된다. 

Test of Control 단계에서는 Internal Control 자체가 Operating effectively 하게 잘 되는지를 판단하는 것인데, 주로 중간감사 과정 (Interim audit)에서 진행이 된다. 만약 중간에 어떠한 significant change가 있을 경우 TOC를 하는 것이 돈과 시간이 많이 들면 그것은 비효율적인 감사인 경우로 하지 않아도 되며 (합리적인 부분 내에서 실행). 만약 크게 바뀌지 않았을 경우 비상장 회사는 3년에 한번 전체 flow를 검사해봐도 괜찮다. 

 

그렇다면 TOC 에서 어떻게 그 과정들을 수행할 것인가? 

이렇게 바라볼 수 있다. 

• Inquire (사람들에게 직접 물어본다)
• Inspect (관련 서류를 뒤져본다), 이 과정에서는 Vouching 과 Tracing 이라는 것이 있는데 각각 Existence 와 Completeness의 주장을 알아볼 수 있다. 더 자세하게 설명하면 이렇다.
  
  
  
  • Vouching : GL 계정에 담겨져있는 balance를 검증하는데, 하나하나 들어있는 Journal Entry 가 의미하는 숫자의 증거가 되는 서류들을 찾아보고 실제로 맞는지를 체크한다. 그래서 과대계상이 되어있는지를 알아볼 수 있다. (반영된 숫자의 실체가 맞는지 확인하는 것, Existence) 
  • Tracing : 원본 서류에서 시작을 하는데, 이 서류가 결과적으로 특정 GL 계정에 반영이 되있는 지를 본다. 만약 반영되지 않았다면 그건 과소계상이다. (완전하게 모든 서류가 반영됬는지를 알아보는 것, Completeness 주장) 
• Observe (실제로 어떻게 하는지 관찰해본다), 특히 SoD (Segregation of Duties)를 파악할때 좋다. 
• Reperformance (Procedure 자체를 이해하는 것) 이다.

 

---

 

Conclusion on Control Risk (CR) and Design Substantive Procedures

결과적으로 TOC 수행을 한 후에 Internal Control이 잘 이루어지고 있는지 확신이 섰다면, Type 1의 case로 진행하여 less substantive procdedure를 통해 감사를 진행할 수 있으며 잘안된다면 더 빡세게 감사를 진행해야 할 것이다.

이 과정에서 Type 1의 경우, 

• Nature : Test of Details 과정이 더 emphasize 되야할 것이다. 
• Time : Interim Date에 더 focus를 맞춰야 한다. 
• Extent : 중요 계정들에 대해서는 꼭 Substantive Procedure를 진행해야한다.
  
  

Type 2 의 경우, 

• Nature : Substantive Procedure 단계에서 모든 것을 다 휘저으면서 알아봐야한다. 
• Time : After Balance sheet date에서 이루어지는 Substantive Procedure에서 이루어져야 한다. 
• Extent : 폭 넓은 범위에서 합리적인 효과를 낼 수 있는 범위를 찾아 진행해야 한다. 

 

 

---

Documentation of Internal Control 

감사과정에 있어 필히 중요한 것이 working paper 인데, 이는 전후 감사에 있어서 중요한 흔적이므로 제대로 표시하고 그걸 설명할 수 있는 단계에 있어야 한다.

 

Internal Control에 대해 documenting 하는 방법은 3가지가 있는데 Flowchart (도식), Questionnaire (질문), and Narratives (설명) 이다. 

 

• 먼저 Flowchart 라는 것은 Internal Control을 도식화 하여 표현하는 것인데 이하 도식을 통하여 표현을 할 수 있다. 
  Flowchart의 장점은 누가봐도 알기 쉽다는 것이고 IT 시스템을 판단하는데 있어 굉장히 유용하지만, 만드는데 많은 노력과 시간이 든다는 점이 단점이다. 
  Internal Control Flowchart 

Internal Control and Auditing Diagram Symbols | EdrawMax Template

 

• Questionnaire : 말대로 질문을 만들어서 직접 클라이언트에서 일하는 구성원에게 물어보는 것이다. 질문 자체는 Yes or No 로 꼭 대답하게 만들어야 한다. 만들기 쉽고, 취약점을 찾기가 쉽지만, 대답 자체가 "예" 혹은 "아니오" 이므로 정말로 원하는 대답을 얻을 수 있는지는 생각해봐야할 것이다. (포함하는 의미가 너무 넓으므로) 
• Narratives : Flowchart를 그림으로 표현한 것이 아닌 말로써 풀어 설명하는 것이다. 각자 회사의 맞게 tailor-made 할 수 있는 장점이 있으나 감사인으로 하여금 무엇이 중요한지 깜빡할 수 있는 단점이 있다. 

---

Other Proecures the auditor is performing as planning stage

이와 별개로, 감사인이 수행해야 할 절차들이 있는데, 감사보고서에 성격에 대해 생각해보는 것이라던지, SOC (Service Organization) 리포트를 사용 할 것인지, 특수관계자 거래라던지 등이 존재한다. 더불어 internal auditor 와 specialist 등을 감사에 어떻게 활용할지, 만약 non-auditing service를 같이 제공하고 있을 경우 그 쪽에 참여하고 있는 인원과 어떠한 문제가 있을지에 대해 생각해봐야 할 것이다. 

 

---

Prepare Audit Program (GAAS)

모든 준비 과정을 수행한 후, 이제 GAAS 기준에 맞는 감사 Program 을 준비하는데, 앞서 알아봤던 Substantive Procedure 내용을 구체화 시키고, Written (서면) 으로서 프로그램을 디자인한 내용을 설명한 것이 있어야 한다. 이 Audit Program 은 과정 중에서 필요에 따라 변경이 충분히 가능하며, 하나의 감사 과정 속에서도 동시에 여러가지를 알아볼 수 있다. Audit Program 은 F/S assertion 별로 작성하여 그 알맞는 assertion을 확인 하면 된다. 

 

---

마무리

오늘은 이렇게 Internal Control 감사 준비 과정에 대해서 알아보았다. 지난 포스팅에서 CR 파트에 하나의 부분적인 framework에 대해서 설명했다면 이번 포스팅에는 그 후의 전반적인 흐름 즉 Risk Assessment 를 통해 Further Audit Procedure가 어떻게 가야하는 지에 대해 흐름을 알아보았다. 추가적으로 Significant Risk 라는 주제가 있는데, 이 Significant Risk는 IR (Inherent Risk) 중에서도 가장 중요한 위험성을 의미한다.