[공부] ITAC 식별 - Journal Entry, RM-Risk of misstatement, RMM-Risk material Misstatement

회계감사를 수행할 때, 재무제표를 구성하는 회사의 주요 프로세스를 잡고, 프로세스 별 RM/RMM을 잡게됩니다.

*RM - Risk of Misstatement : 재무제표에 왜곡을 발생시킬 위험

*RMM - Risk Material Misstatement : 위의 위험 중에도 재무제표에 '중요한 왜곡'을 발생시킬 위험 -> 감사인의 판단에 따름. 감사팀이 통제를 의존할지 안 의존할지를 판단하는 부분

 

즉 이는, 프로세스 상에서 식별된 재무제표 왜곡 위험이 존재한다는 뜻이고, 그 중에서도 더 중요한 왜곡 위험이 있다는 뜻일 겁니다. 

 

간단하게 일번적인 왜곡 위험(RM)이라면, 기본적인 감사절차 상 추가로 수행해야할 필요는 없을 것입니다. (재무제표에 일반적으로 존재하는 위험이기 때문에)

 

하지만, 중요한 왜곡위험(RMM)이라면, 기본적인 감사 절차에 추가로 테스트를 수행하여야 합니다.

 

테스트를 수행할 때, RMM 별로 RMM을 발생시킬 수 있는 프로세스 상의 리스크를 식별을 하여야 하는데, 이를 PRP(Process Risk Point)라고 합니다. 이는 RMM이 있다면, 이 RMM(중요한 왜곡위험)을 발생할 위험이 무엇이지?라는 관점으로 생각하시면 됩니다. 이는 다 일반적으로 회계감사팀이 판단/식별을 하는게 일반적입니다.

 

예를들면, 충당금을 쌓아야되는 것보다 덜 쌓을 위험을 RMM으로 식별을 하게 되었다고 가정해봅니다.

 

충당금을 덜 쌓게되면, 이는 경영자의 주장(C-완전성, E-실재성, A-정확성&발생사실, V-평가, O-권리&의무, P-표시&공시) 중에서 Valuation-평가와 관련이 되어있습니다.

이 부분도 조금 헷갈리긴 하는데 충당금은 향후에 지출할 것이 확실한 특정 비용에 대비해서 사전에 대차대조표 부채항목에 미리 계상하는 금액이기에 충당금에 중요한 왜곡표시가 있다면, 감사인은 가정의 내용과 가정이 합리적인지 여부를 평가하여야 하기 때문에 Valuation이 왜곡표시될 위험으로 잡는것이 보통인 것 같습니다.

 

 

결국 회계감사의 목적은 경영자의 주장이 재무제표에 제대로 반영되었는지를 보는 것이기에, 충당금을 쌓아야 되는 것 보다 덜 쌓을 위험(RMM)이 있다면, 프로세스 상에서 어떤 위험이 있는지를 확인해야합니다.

 

그렇게 되면 PRP(Process Risk Point)를 두가지로 볼 수 있을 것 같은데, 예를 들면

1) 스테이지 분류가 잘못되어서 충당금을 덜 쌓을 위험 (예-2로 가야하는데 1로가면 덜 쌓이게 되니까)

2) 기초데이터가 부정확해서 충당금을 덜 쌓을 위험 (쌓아야하는 대상이 다 안들어와있다면 덜 쌓이게 되니까)

 

그랬을 때 감사팀은 2가지 선택을 할 수 있을겁니다.

1) 저런 위험들에 대해 감사인이 직접 확인하기.

2) 회사가 위험을 관리하는 어떤 통제를 갖고있는지 확인하기.

 

감사인이 1)처럼 확인을 하게 된다면 입증 절차가 되는것이고, 통제에 의존을 한다면 입증절차의 범위를 줄일 수 있을겁니다. 만약 통제에 의존을 안 한다고 하면 굉장히 많은 범위를 검토해야 할 것이구요..

 

그런데 여기서, Significant Risk로 선정한 프로세스(RMM 이전에 선정 했던 프로세스) 이거나, 회사의 환경 상 입증절차로만 충분한 감사증거를 얻지 못 하는 경우에는 통제에 의존을 해야만 한다고 회계사 시험 볼 때 이론에 나와있다고 합니다. 그래서 경영진의 주장 -> 프로세스 -> RMM -> PRP -> 통제 이런식으로 다 연결이 됩니다.

 

위의 식별한 PRP - 1)의 경우라면, 이 위험을 커버할 수 있는 통제를 식별한다고 예를 들어 봅시다.

통제 2가지:

1.1) 스테이지 분류가 회사에서 지정된 요건대로 시스템 상 자동으로 정확하게 산출되도록 설정되어 있음. (Automated)

2.1) 스테이지 분류가 정확하게 되었는지 담당자가 월말에 모두 재계산하여 검토하고 있음. (Manual)

 

이런 식으로 저 위험을 관리하기 위해 회사는 어떤 통제를 운영하고 있는지를 보게 됩니다!

 

PRP를 커버하고 있는 통제가 통제 1.1) 처럼 자동 통제인 경우에는 ITAC가 되는거고 2.1) 처럼 수기 통제일 경우에는, 보통 회계감사팀이 테스트하는 수기 통제가 될 것이구요.

ITAC도 PLC의 한 종류이고, PRP를 커버하고 있는 통제롤 모두 PLC(Process Level Control)이라고 합니다.

 

결론적으로, PRP를 커버하고 있는 통제가 자동통제일 경우에는 ITAC로 식별이 되는 것입니다.

 

Journal Entry와 관련된 ITAC 또한 이러한 느낌으로 식별이 되는 것이고, JE 프로세스의 경우는 전표랑 연관이 있기에 프로세스를 무조건 검토해야합니다. JE는 재무제표의 Fraud 위험을 커버하는 유일한 절차이기에 필수라는 것입니다.

 

그렇기에 전표 검토를 필수로 해야하는데, 그 전표가 데이터이고 그게 제대로 산출되고 있는지 위험으로 식별하여 보게됩니다. ITAC 같은 경우는 자동전표쪽의 위험에 대응이 되어서 검토되고, 수기전표는 매뉴얼 통제가 관련 위험을 막을수가 없어서 거의 위험으로 잘 잡지는 않는 것 같습니다. (잘 모르겠습니다.. 아시면 답변..)

그래서 이런식으로 JE와 관련된 ITAC통제가 유효하면, 나중에 JE테스트를 수행할 때 자동전표는 위험하지 않은 전표로 판단해서 분석 대상에서 제외하는 경우가 많습니다. (시나리오 등) 포함을 할 수도 있지만, 제외할 수 있는 근거로 사용이 가능하겠죠..?

 

물론 이러한 이야기는 GITC가 Fail일 경우, JE ITAC를 의존을 못하게 되면 관련이 없는 이야기가 될 것이고, 전수를 검토하게 될 것입니다.

 

여튼 위의 이야기는 제가 업무하면서 궁금했던 점과, 인차지님께 물어봐서 알게된 사실을 기반으로 긁어모아서 정리해 본 것인데요. 전반적인 회계감사 흐름과, 프로세스 확인 후 왜곡표시될 위험을 찾고, 그와 관련된 통제를 식별하는 내용에 대해서 작성하였는데 혹시나 추가할 내용이나 틀린 점 있다면 알려주시면 감사하겠습니다!