안녕하세요!
오늘은 SOX 대상 회사와 FSA 대상 회사의 기말감사 시점의 Rollforward에 대해서 작성해보도록 하겠습니다.
[설명]
SOX란 사베인즈 옥슬리 법(Sarbanes-Oxley Act)라는 뜻으로, 미국에서 회계 스캔들이 생기게 되자 2002년에 미국의 의회를 통과해서 만든 법입니다.
기업회계 및 재무보고의 투명성과 정확성을 목적으로 기업의 지배자의 바른 모습과 감사제도를 근본적으로 개혁과 투자자에 대한 기업경영의 책임과 의무, 벌칙등이 규정이 되어있습니다.
한국에서는 신외부감사법에 따라 2019년도 부터 자산총액 2조원 이상 상장 기업의 내부회계관리제도 감사제도가 도입되고 새로운 모범규준이 적용되었습니다. 자산 규모에 따라 순차적으로 적용됨에 따라, 2022년도에는 자산 규모 1천억원이상이 되는 등 점차 자산규모가 적은 회사들까지 다 뻗어나갈 계획입니다. 회계법인에서 감사를 수행하면, 회사의 규모에따라 SOX 대상인지 아닌지 파악하여 목적에 맞게 회사의 SOX 통제 운영 또한 추가로 검토하게 됩니다.
이 때문에, 중견/중소 상장사는 내부회계관리제도 구축과 운영에 대한 사전 준비가 필요하고 회사들이 이에 대비하기 위해 회계법인에서 SOX 컨설팅을 의뢰하게 됩니다.
SOX는 SOX 대상에 해당하는 회사에 대하여 12월말 시점을 기점으로 통제가 유효한지 확인을 하게 됩니다.
FSA는 Financial Statement Audit의 약자로, 재무제표감사를 뜻합니다. 이는 특정시점의 상태를 기준으로 수행하며 통제가 일련의 기간동안(1년) 유효한지 확인을 하게됩니다.
FSA 감사는 1년의 기간동안 유효한지 확인을 해야하기 때문에, 예를들어 FY21(21.01.01 ~ 21.12.31)의 감사를 수행한다고 가정하였을때 정석으로 3~5월달에 설계평가(Design and implementation)를 수행하여 회사의 통제가 존재하고, 그 대로 수행되고있는지 확인을 하고 평가를 합니다.
그리고 6~10월달 중간감사시점에 운영평가(Operating Effectiveness)를 수행하여 테스트를 수행하게 됩니다. (법인에서 수행하는 감사의 경우는 메인으로 FSA목적이며 해당 회사가 SOX대상의 회사인 경우 추가적으로 일련의 사항들(Remediation)을 검토하게 됩니다.)
[Rollforward Test]
마지막 기말감사시점에 중간감사시점 ~ 12월 31일까지 남은 잔여기간에 대한 평가(Rollforward Test)를 수행하여 전체 FY21 동안 통제가 유효했는지 판단합니다.
[테스트 방법]
D사
제가 K사로 이직하기 전 D사에서는 RF test를 수행할때 테스트하는 샘플 수가 달랐습니다.
예를들어, 모집단의 갯수가 365건 이상이었으며 통제의 위험이 높다고 판단하였을때 40건의 샘플을 확인한다고 가정합니다. 그럴 경우, 중간감사 시점에 20건 샘플을 수령하여 작성한 후, 기말감사 시점에 20건 샘플을 수령하여 통제가 유효한지 확인합니다. (통제의 변경이 있을경우 재 테스트(추가증거확보)를 수행합니다.)
K사
예를들어, 모집단의 갯수가 365건 이상이었으며 통제의 위험이 높다고 판단하여 40건의 샘플을 확인한다고 가정합니다. 그럴경우, 중간감사 시점에 40건 샘플을 수령하여 작성한 후, 기말감사 시점에 1건에 대한 샘플을 수령하여 통제가 유효한지 확인합니다. (K사는 통제의 위험도에 따라 RF시점에 담당자에게 질의하여(Inquiry) 통제가 동일하다는 답변을 받아 RF의 유효성을 확인할 수 있습니다. IT자동통제도는 기본적으로 질의를 수행합니다. 질의를 수행할 경우, RF 기간은 4개월을 초과하면 안됩니다.
또한, 통제의 변경이 있을 경우 재 테스트(추가증거확보)를 수행합니다.)
또 다른 예시로 만약 1-9월 기간의 모집단 수가 40건이라고 치면, 40건만 놓고봤을 때는 주별 통제라고 생각될 수 있지만 이를 12개월치로 환산 시 약 54건이 발생할 것이라고 예상하여 계산할 수 있다. (9개월치에 40건이니, 40/9 * 12 = 53.33) 그렇다면 9월 시점에는 일별 통제로 샘플 수를 선정하여 보는 것이 맞다.
통제 위험에 따라서 위험이 높을경우에, RF 시점에 나머지 10-12월에 발생한 모집단을 확인하여 실제 1-12월에 발생한 건수를 계산하여 또 테스트를 수행한다. (이는 회사마다 방법이 상이할 것이다. K사의 경우 위험이 낮다고 판단되는 경우 질의만으로 끝낼 수 있다.)
[SOX의 Rollforward]
SOX 대상회사의 Rollforward의 경우, 중간감사시점에 Effective로 결론난 통제들은 괜찮지만 Ineffective의 경우에는 회사에게 개선 권고를 하게 됩니다. 그리고나서 기말시점에 통제가 개선되었는지 확인하고, 개선이 되었다면 새로운 통제를 개선시점부터 12월 31일 까지 테스트하게됩니다.
SOX 대상회사가 아니고 FSA 목적으로만 감사를 수행하는 회사가 중간감사시점에 Ineffective를 받았다면 사실상 RF test 및 Remediation도 수행/확인하지 않아도 됩니다. FSA 감사의 목적은 일련의 효과성을 확인하기 위한 것이기 때문입니다. 하지만 Effective인 테스트에 대해선 RF test를 수행하여야합니다.
궁금하신 내용이나, 내용에 변경이 필요한 부분이 있다면 알려주세요! :)
'공부 > IT 감사 및 내부회계 IT' 카테고리의 다른 글
| [공부] 내부회계관리제도 IT감사, GITC(ITGC) 및 ITAC 요약 -1편- (0) | 2022.05.01 |
|---|---|
| [공부] Journal Entry Test, Journal Entry란? (0) | 2022.01.20 |
| [공부] ITAC 식별 - Journal Entry, RM-Risk of misstatement, RMM-Risk material Misstatement (2) | 2021.07.28 |
| [공부] SAP 프로그램 변경 개발/운영 분리, T-Code SCC4, SE06 설정값 (0) | 2021.07.19 |
| [공부] 내부회계관리제도 외부감사인에 의한 평가 (0) | 2021.07.14 |
댓글