데일리임팩트

[데일리임팩트 조혜진 객원기자] 지속가능성 정보의 검증 표준은 현재 크게 두 가지다. 다양한 이해관계자를 대상으로 넓은 범위의 지속가능성 분야를 검증하는 AA1000AS(AccountAbility1000 Assurance Standard) v3와 재무제표 감사 배경에서 만들어진 ISAE3000(International Standard on Assurance Engagements 3000)이다. 지난 8월에는 ISAE3000을 개발한 IAASB(국제감사인증기준위원회)가 새로운 표준인 ISSA5000(International Standard on Sustainability Assurance 5000)을 공개하며 검증 표준 생태계의 변화를 예고했다.

재무제표 감사에서 시작된 ISAE3000

IAASB는 1978년 IFAC(국제회계사연맹)의 지원으로 IAPC(국제감사실무위원회)란 이름으로 설립됐다. 초기에는 재무제표 감사의 대상과 범위, 계약, 일반 감사 세 개 지침이 중점 업무였다. 1991년, IAPC의 지침은 국제 감사 표준 업무로 재편성 됐고 이어 2002년에 IAPC는 국제 감사 및 보증 표준을 담당하기 위한 IAASB로 진화했다. 2023년 3월, 표준 제정 기구의 독립성과 전문성, 신뢰성을 제고하기 위해 IFEA(국제윤리감사재단)이 출범했고, IAASB는 IFAC에서 독립, IFEA로 이관됐다.

2005년 IAASB는 모든 전문 회계 네트워크가 준수해야 하는 비재무적 보고에 대한 내부 통제 표준인 ISAE3000을 제정했다. 이후 2013년 개정을 통해 보고 품질과 신뢰도를 높였다.

ISAE3000은 국제적으로 지속가능경영보고서 검증에서 내부 통제, 지속가능성 법률 및 규정 준수에 무게를 둔다. 공인회계사회가 '제1회 ESG인증 포럼‘에서 발표한 자료에 따르면, 회계법인에 의한 지속가능성 검증의 비율은 프랑스 98.1%, 독일 93.8%, 이탈리아 97.3%, 일본 62.8%, 영국 53.5% 등이다. ISAE3000 표준을 활용한 검증은 공인회계사 위주로 수행할 수 있고, 재무제표 감사에서 시작했기 때문에 까다로운 규정이 적용된다. 지속가능성 전반의 주제를 포괄하기에는 범위가 협소하지만 전문적인 자격과 검증 요건으로 인해 높은 신뢰도를 얻고 있다.

ISAE3000을 이해하기 위해서는 우선 EER(확장외부보고)에 대한 개념 파악이 중요하다. ISAE3000가 EER의 감사와 검토, 보증을 관리하기 위한 지침 중 하나이기 때문이다.

EER은 재무제표를 넘어 더 광범위하고 상세한 보고 유형을 지칭하기 위해 사용되는 용어다. 이는 기업 활동의 재무적, 비재무적 성과를 제공하는 보고로 지속가능성 보고, 비재무보고, ESG 보고 등 다양하게 표현된다.

EER 보증의 대상인 EER 정보는 정기보고서 내 EER 파트에 보고 될 수도 있고, 정기보고서 전체에 담길 수도 있다. 지금까지 EER 정보는 자발적으로 보고했지만, ESRS(유럽지속가능성공시기준)의 사례처럼 점차 법제화되고 있다.

EER 정보는 정량 정보 외에 정성 정보, 과거의 역사적인 정보와 미래 지향적인 정보 등 복합적인 특성을 갖고 있다. EER 정보 보고 시 사용 가능한 프레임워크가 광범위한데다 섬세하고 전문적인 접근이 필요한 이유다.

회계감사와 유사한 검증 요건

ISAE3000 표준은 목표와 일반 요구 사항, 윤리적 요구 사항, 보증 업무의 전제 조건, 품질 관리, 전문가적 의구심, 전문가적 판단, 증빙의 확보, 보증 결론 도출 등의 내용으로 구성됐다. 전문가적 의구심 등 사용 용어나 결론을 도출하는 프로세스가 회계감사와 유사한 면이 많다.

ISAE3000에 따른 인증 업무를 위해선 다음 규칙을 따라야 한다. △감사인은 ISAE3000의 요구사항을 모두 준수하고, 해당 요건을 충족해야 한다. △감사인은 ISAE의 모든 내용을 이해해야 한다. △예외적으로 ISAE의 요구사항을 지키지 못할 때는 해당 요구사항의 목적을 달성하게 위한 대체 절차를 수행해야 한다. △ISAE의 목적을 달성할 수 없는 경우 감사인은 결론을 수정하거나 업무를 중단하는 것도 검토해야 한다는 내용이다. ISAE 목표 달성의 중단은 그 내용을 문서화해야 하는 중요한 주제다.

또한, ISAE3000은 IESBA(국제회계사윤리표준위원회)에서 발행한 전문 회계사 윤리강령 제A부와 B부를 적용한 윤리의무를 요구한다. 검증 수행인은 독립성을 비롯하여 보증 업무와 관련된 법률이나 규정을 지켜야 한다.

검증 수행인은 업무 수락 전에 보고 당사자와 논의를 통해 역할과 책임, 보고 주제, 보고 기준 및 범위, 증빙 수집, 계약 조건 및 변경 여부, 검증 보고서의 양식에 대해 합의해야 한다. 또한, 검증 업무에서 요구되는 조건은 △연계성(Relevance) △완전성(Completeness) △신뢰성(Reliability) △중립(Neutrality) △이해도(Understandability) 등이다. 

ISAE3000은 ISQC(품질관리국제표준) 1 수준의 전문성을 갖춘 회계법인 책임자의 업무 총괄을 요구하고 있다. ISQC는 특정 유형의 업무에 대한 품질 관리 절차와 관련해 해당 직원의 책임에 대한 표준 및 지침을 명시하고 있다. 이는 보증 기술 및 기법에 대한 숙련된 역량과 보증 결론에 대한 책임을 담보한다. 검증 실무자 또한 충분한 역량을 보유함으로써 총괄자의 지시, 감독, 검토를 적게 받을 수 있어야 한다.

ISAE3000을 사용한 검증엔 전문가적 의구심과 전문가적 판단이 필요하다. 전문가적 의구심은 획득한 증거와 일치하지 않는 증거, 문서의 신뢰성에 의문을 제기하는 질의에 대한 답변, ISAE에서 요구하는 추가 절차의 필요가 예상되는 상황, 허위 진술 가능성 등에 주목한다. 증거를 비판적으로 평가하려면 전문가적 의구심이 필요해서 검증 수행자는 이를 방해하는 장애 요인은 제거하고, 이를 뒷받침하는 행동이나 기술을 확보해야 한다는 내용이다. 장애 요인으로는 다양하고 많은 EER 주제와 표준, 개인적인 편견과 집단 사고 등이 있다. 전문가적 의구심을 뒷받침 하는 요인은 비판적인 시각과 질문하는 태도 등이 있다.

전문가적 판단은 ISAE3000 검증 업무 수행에 필수적이다. 사실과 상황에 대한 관련 교육, 지식, 경험을 적용하지 않고는 관련 사항에 대한 결정을 내릴 수 없기 때문이다. 특히 △중요성(Materiality)과 위험(Risk) △ISAE의 요구사항을 충족하고 증빙을 확보하는 절차 △제한적 보증의 경우 충분하고 적절한 증거가 확보됐는지 여부 평가 △획득한 증빙을 바탕으로 한 적절한 결론 도출 등이 전문가적 판단의 필수사항이다.

ISAE3000 검증 유형과 보고 방식

ISAE3000에 따른 검증 시 증빙 확보 수준은 검증 유형에 따라 다르다. ISAE3000 검증은 제한적 검증(Limited Assurance)과 합리적 검증(Resonable Assurance)으로 나뉜다. 제한적 검증에선 제한적인 적절한 증거가 수집돼야 하고, 합리적 검증에선 위험 검토 및 위험에 대한 대응을 포함하여 더 많은 증거를 수집하여 평가한다.

그리고 검증 수행인은 보증 업무와 관련하여 증빙의 적절성을 평가하고 검증 대상 정보에 왜곡 표현이 없는지에 대한 결론을 내려야 한다. 충분한 증빙을 확보할 수 없거나, 범위 제한이 존재한다면 검증 수행인은 △한정된 결론을 표명하거나 △결론을 부인하거나 △해당 법률이나 규정에 따라, 가능한 경우 검증 업무를 철회해야 한다.

마지막으로 서면으로 보고서가 독립적이라는 것을 나타내는 제목, 수신인, 검증인이 획득한 보증 수준과 검증 대상의 정보, 검증인의 결론 등을 포함하여 검증보고서를 작성해야 한다.

ISAE3000은 검증 수준에 따라 유형 1(Type 1)과 유형 2(Type 2), 두 가지로 분류된다. 유형 1 보고서는 특정 날짜의 통제 설계 및 적합성을 보증한다. 유형 2 보고서는 특정 기간(보통 1년)동안 통제의 설계와 적합성, 지속적인 효율성에 대해 보증한다. 이는 외부 검증 수행인이 서비스 조직의 내부 통제를 자세히 조사하고 모든 통제가 사전 정의된 프로세스에 따라 효과적으로 운영되고 있는지도 조사한다는 것을 의미한다.

보다 포괄적인 검증 표준 ISSA5000 발표와 전망

지난 8월 2일(현지시각) IAASB는 다양한 지속가능성 정보를 통일적으로 검증할 새 국제 기준인 ISSA5000의 초안을 발표했다. 최초의 포괄적인 독립형 표준을 목표로 지속가능성 정보 전반이 검증 대상이다. 기후, 노동 관행, 경제적 영향, 생물 다양성, 거버넌스, 위험 및 기회, 지표 및 핵심 성과 지표 등 기업이 보고할 것으로 예상되는 모든 지속가능성 정보에 대한 보증 업무를 지원한다.

지속가능성 정보 공시를 위한 국제 표준 의무화 추세에 맞춰 ISSA5000은 GRI 표준 및 ISSB 표준, CSRD(기업지속가능성보고지침), ISO 등의 글로벌 보고 표준과의 호응을 염두에 두고 개발돼 보다 넓은 범위의 활용이 기대된다.

또한, ISAE3000 검증 표준은 공인회계사 위주로 수행할 수 있었지만 ISSA5000은 공인회계사 및 비회계 보증 수행인 모두가 수행할 수 있다. 하지만 지속가능성 정보의 검증은 폭넓은 전문성과 지식을 바탕으로 하기 때문에 총괄 책임자와 실무자의 역량. 그리고 이들의 조합 등에 대한 지침도 구체화될 것으로 보인다.

한편, ISSA5000 또한 ISAE3000처럼 제한적 검증과 합리적 검증을 구분할 예정이다. 합리적 검증은 검증 대상의 정보가 왜곡되지 않았다는 높은 수준의 확신을 제공하고, 제한적 검증은 검증 대상 정보에 대한 신뢰도가 높지만 합리적 검증보단 낮은 수준의 확신을 제시한다.

ISSA5000은 2023년 12월까지 초안에 대한 피드백을 접수해 2024년 말 최종안 발표될 예정이다. 목표와 범위가 포괄적이고 기존 검증 표준이 크게 보완됐기 때문에 ISSA5000은 지속가능성 정보 공시 신뢰성 확보의 근간으로 자리할 전망이다.

<조혜진 코스리 선임연구원>