Professional Documents
Culture Documents
Cryptocurrency Guide Line
Cryptocurrency Guide Line
목 차
구 분 문단번호
목적 및 범위
I. 1-4
용어의 정의
II. 5
감사업무의 수용과 유지
III. 6-9
Ⅳ 중요왜곡표시위험의 식별과 평가
. 10-14
Ⅴ 보유 암호자산에 대한 감사절차
.
라 . 특수관계자와의 거래 42-43
보론 보유 암호자산 관련 중요왜곡표시위험
[ 1]
보론 개인키에 대한 통제절차 예시
[ 2]
- 1 -
I. 목적 및 범위
1. ‘ 암호자산에 대한 감사 가이드라인’(이하 ‘가이드라인’이라 한다)은 회계감사기준에
따라 암호자산 관련 기업의 재무제표를 감사하는 감사인이 필요한 감사절차를 설계
하고, 감사증거를 입수하고, 입수한 감사증거의 충분성과 적합성을 평가할 때 고려
할 사항을 제공함으로써 감사 실무에 도움을 주는 것을 목적으로 한다.
2. 이 가이드라인은 암호자산 관련 기업의 일반목적 재무제표 감사 시 참고한다. 다만
이 가이드라인이 다루는 상황과 유사한 상황이 있는 경우 암호자산 관련 기업이 아
닌 기업의 재무제표 감사에도 참고할 수 있다.
3. 이 가이드라인은 참고자료로서 회계감사기준의 요구사항이나 적용 및 기타 설명자
료에 우선하거나 회계감사기준의 요구사항이나 적용 및 기타 설명자료를 변경하지
않는다. 이 가이드라인은 암호자산 관련 기업의 감사와 관련된 모든 사항을 다루고
있지 않으며 암호자산 관련 기업의 감사에 이 가이드라인의 고려사항을 모두 적용
해야 하는 것은 아니다.
4. 이 가이드라인에서 참조하는 주요 기준은 다음과 같다.
Ÿ 품질관리기준서 1 ‘재무제표 감사와 검토, 그리고 기타 인증 및 관련 서비스업무를 수행
하는 회계법인의 품질관리’
Ÿ 감사기준서 210 ‘감사업무 조건의 합의’
II. 용어의 정의
5. 이 가이드라인에서 사용하는 용어의 정의는 다음과 같다. 아래에서 정의하지 않은
용어는 회계감사기준에서 정의한 의미로 사용된다.
Ÿ 암호자산 – 분산원장 기술 또는 유사한 기술을 사용하고 암호화되며, 전자적으로
이전 또는 저장될 수 있는 디지털화한 가치나 권리. 대체불가능 토큰(NFT: Non
Fungible Token), 중앙은행 디지털화폐(CBDC: Central Bank Digital Currency)는
제외한다.
- 2 -
Ÿ 암호자산 관련 기업 - 암호자산을 보유, 개발 발행하거나 타인의 암호자산을 보관
·
Ÿ 급변하는 규제, 감독 환경
Ÿ 도난, 해킹 등에 취약한 특성
감사인의 적격성과 역량
7. 감사인이 암호자산 관련 기업에 대한 감사와 관련된 적격성과 역량을 평가할 때 고
려할 요소의 예는 다음과 같다.
Ÿ 감사인 구성원들이 가산자산 또는 암호자산 관련 산업에 대한 충분한 지식을 보유
하고 있는지 여부
Ÿ 가산자산 또는 암호자산 관련 산업에 특화된 전문가를 활용할 필요가 있는지 여부,
필요한 경우 내 외부 전문가를 활용할 수 있는지 여부
·
- 블록체인으로 추적 가능하지 않은 거래
- 현금이 수반되지 않는 거래
- 빈번한 가상자산 매각
Ÿ 가상자산 보관 방법
Ÿ 개인키 보안
Ÿ 암호자산과 블록체인의 특성
- 널리 사용되지 않는 암호자산
- 검증 노드 수가 적거나 분산되지 않은 통제
Ÿ 평가 및 측정
증하는 절차
Ÿ 블록체인상 특수관계자 거래 식별 절차
14. 감사기준서 315는 감사인이 식별된 중요왜곡표시위험이 유의적 위험에 해당되는지
결정하고 유의적 위험에 해당하는 경우 관련 통제를 이해할 것을 요구한다 . 또한 1)
V. 보유 암호자산에 대한 감사절차
가 암호자산의 실재성과 소유권
.
- 7 -
관련 문서 검사
Ÿ 생성되어 보관장치에 저장된 이후 개인키의 이전 절차 관찰 및 관련 문서 검사
Ÿ 개인키가 보관된 장소와 각 보관장소에 대한 안전장치 운영 관찰 및 관련 문서
검사
Ÿ 보안담당자 면담을 통해 개인키에 대한 접근권 보유 인원, 담당자 퇴사 시 회수
및 신규 부여 절차의 관리, 개인키 사용대장 기록 및 모니터링(예, 주기적 리뷰)
등 절차 수행 여부를 질문하고 사용대장 등 관련 문서 검사
Ÿ 출입증이나 비밀번호 등 물리적 보안절차를 관찰하고 해당 통제절차가 수행된 기
간 및 사용대장 등 과거 사용기록에 대한 문서 검사
Ÿ 개인키를 암호화하는 경우 암호화 방식, 시기와 절차, 담당자 및 복호화하기 위해
필요한 정보 등을 이해하고 관련 절차를 관찰
Ÿ 관련 인원의 전문성 및 역량 등을 고려하여 암호자산(개인키)에 대한 접근과 기록
업무의 적절한 분장을 검증할 수 있는 절차를 이해하고 관찰
Ÿ 개인키를 분할하는 경우, 분할된 개인키에 대한 접근권한 보유자, 개인키를 재조
합하는 데 요구되는 인원의 수, 분할된 개인키 보관장소 및 암호화 여부, 그리고
분할된 개인키의 재조합 절차 및 활용되는 IT 시스템 등을 이해하고 관련 통제를
관찰(다중서명 지갑을 사용하는 경우도 유사할 것임)
18. 감사인은 암호자산의 실재성 및 단독소유권과 관련하여 통제의 운영효과성을 테스
트하여 추가적인 감사증거를 입수할 것을 고려한다. 특히 개인키의 도난 또는 부적
절한 공유 등으로 인한 자산 유용 관련 부정 위험 및 개인키의 망실로 인한 암호
자산에 대한 접근 상실 위험 등이 유의적 위험으로 식별된 경우, 감사인은 기업의
개인키 생성, 관리, 보안 통제를 이해하고 그 운영효과성을 테스트할 필요가 있다.
19. 암호자산의 실재성 또는 단독소유권과 관련하여 문단 18에서 언급한 바와 같이 유
의적 위험이 식별되었으나 관련 내부통제가 효과적이지 않은 경우, 실증절차만으로
는 충분하고 적합한 감사증거를 입수하기 어려우며, 감사인은 그러한 상황에서 감
사의견에 미치는 영향을 고려할 필요가 있다.
- 8 -
실재성과 소유권에 대한 실증절차
기말 잔액 대사
20. 감사인은 장부상 암호자산 수량을 블록체인상 기록과 대사하는 절차를 고려한다.
이러한 대사 절차의 예는 다음과 같다.
Ÿ 감사 솔루션 등을 이용하여 블록체인에 노드를 생성하고 개별 노드에 저장된 분
산원장의 기록을 장부상 수량과 대사함
Ÿ 감사인이 노드를 직접 생성하여 확인할 수 없는 경우에는 공개된 블록체인 익스
플로러(예, 비트코인: btc.com, 이더리움: etherscan.io)의 활용을 고려함. 이 경우
블록체인 익스플로러 제공자와 소프트웨어에 대한 평판과 시장의 활용 정도를 고
려하여 익스플로러의 신뢰성을 평가하고, 필요한 경우 실물 증거(Off-chain 증거)
(예: 문단 38의 거래 테스트) 등 추가적인 감사증거를 획득함
개인키에 대한 접근 테스트
21. 장부상 암호자산 수량을 블록체인상 기록과 대사하는 절차는 해당 공개주소상 해
당 수량의 암호자산이 존재한다는 증거는 제공하나 해당 암호자산을 기업이 소유
하고 있음을 입증하는 증거는 제공하지 않는다. 감사인은 기업의 소유권을 입증하
기 위해 기업이 개인키에 접근할 수 있는지 검증하는 절차를 추가로 고려한다.
22. 감사인은 기업이 보유한 공개주소의 개인키에 접근할 수 있는지에 대한 확신을 얻
기 위해 다음과 같은 테스트 절차를 고려한다.
Ÿ 소액 이전 테스트(Penny transfer test): 다음과 같은 단계로 소액 이전 테스트를
수행한다.
- 감사인은 기업이 통제하는 공개주소 중 일부를 무작위로 선정
3) 전자서명 검증 테스트는 기업이 공개주소에 대한 개인키에 접근할 수 있는 권한를 보유했다는 증거를 제공해 주지
만 이전 제한이 없다는 증거를 제공하지 않는다. 블랙리스트 지정 등 이전 제한에 대한 감사증거를 획득할 수 없는
경우에는 소액 이전 테스트의 수행을 고려할 필요가 있다.
- 9 -
기업은 해시메시지에 개인키로 서명하여 전자서명을 생성
-
- 10 -
27. 감사인은 단독소유권과 관련하여 다음과 같은 실증절차의 수행을 고려한다.
Ÿ 암호자산 소액 이전 테스트의 표본 크기 확대
- 11 -
제3자의 내부통제에 대한 고려
32. 기업이 제3자를 활용하여 중요한 금액의 암호자산을 보유하거나 거래하는 경우, 감
사인은 제3자의 내부통제가 효과적으로 설계되고 운영되는지를 평가할 필요가 있
는지 고려한다. 예를 들어 제3자가 보관하는 암호자산의 실재성과 권리ㆍ의무와 관
련하여 유의적인 위험이 식별된 경우 제3자의 내부통제가 효과적으로 설계되고 운
영되는지를 평가할 필요가 있을 수 있다.
33. 감사인이 제3자의 내부통제가 효과적으로 설계되고 운영되는지를 평가할 필요가
있다고 결정한 경우, 감사인은 유형 2 보고서 입수를 고려한다.
34. 감사인이 제3자의 내부통제가 효과적으로 설계되고 운영되는지를 평가할 필요가
있다고 결정한 상황에서, 유형 2 보고서를 입수할 수 없거나 동 보고서가 충분하지
않은 경우에 감사인은 제3자의 관련 통제에 대한 직접 테스트 등 대체적 절차를
고려한다.
35. 제3자가 고객 자산을 별도 공개주소에 보관하지만 제3자에 대한 유형 2 인증보고
서를 입수할 수 없고 대체적 절차도 수행할 수 없는 경우, 기업이 암호자산을 직접
보유하고 있는 경우와 동일한 감사절차를 수행할 것을 고려한다. 예를 들어 감사인
은 문단 21의 소액 이전 테스트(Penny transfer test)와 유사하게 기업의 담당자가
제3자의 거래시스템에 거래를 입력하여 거래를 개시하는 것을 관찰하고 제3자가
동 거래요청을 처리한 후 블록체인상 기록을 검사할 수 있다.
제3자가 암호자산을 혼합주소에 보관하는 경우 추가 고려사항
36. 제3자가 하나의 공개주소에 여러 고객의 암호자산을 혼합하여 보관(혼합주소)하는
경우, 블록체인상 혼합주소에서 발생한 거래는 다수 기업의 거래를 포함하기 때문
에, 감사인이 거래소 내에서 이루어진 암호자산 거래를 블록체인과 대사하는 것이
불가능하다. 또한 혼합주소의 경우 제3자가 모든 암호자산 거래를 해당 공개주소에
서 처리하지 않을 수 있다(예를 들어, 한 고객이 1개 매입을 지시하고 다른 고객이
1개 매도를 지시한 경우 블록체인상에서는 거래를 일으키지 않고 내부 원장에만
기록). 따라서 혼합주소를 사용하는 경우 제3자는 식별된 위험(예: 기업의 암호자산
거래가 다른 기업의 암호자산 거래로 기록될 위험)에 대응하여 효과적인 내부통제
를 설계 운영할 필요가 있으며, 감사인은 이를 포함한 유형 2 보고서 입수를 고려
·
한다.
37. 제3자가 혼합주소를 사용하지만 제3자에 대한 유형 2 인증보고서를 입수할 수 없
고 제3자의 내부통제에 대한 직접 테스트도 수행할 수 없는 경우, 제3자가 보관하
- 12 -
고 있는 암호자산 잔액의 조회확인만으로 충분하고 적합한 감사증거를 획득하기
어려울 수 있다. 이 경우 감사인은 경영진에게 제3자 보관분을 자체 공개주소로 이
전할 것을 요구함으로써 보고기간말 계정잔액 관련 경영진주장에 대한 충분하고
적합한 감사증거를 획득할 수도 있다. 다만 이러한 절차는 기중 거래 관련 경영진
주장에 대해서는 충분하고 적합한 감사증거를 제공하지 못하므로 감사인은 그러한
상황이 감사의견에 미치는 영향을 고려할 필요가 있다.
나 암호자산의 발생사실 및 완전성에 대한 실증절차
.
- 13 -
다 암호자산의 측정 및 평가에 대한 실증절차
.
4) 감사기준서 550 문단 22
- 14 -
마 표시와 공시에 대한 고려사항
.
수익인식 테스트
46. 감사인은 암호자산 거래소 등을 감사할 때 기업이 거래하는 고객 유형과 계약 조
건을 포함하여 기업의 수익 창출 활동의 성격을 이해하여야 한다. 기업의 수익창출
활동에 대한 이해에는 다음과 같은 사항을 포함할 수 있다.
Ÿ 금액을 기록하는 방법, 실행된 각 고객 거래를 뒷받침하기 위해 경영진이 보유하
는 증거, 장부 및 기록의 완전성과 정확성
Ÿ 수수료가 현금 또는 암호자산으로 징수되는지 여부
- 17 -
[ 보론 보유 암호자산 관련 중요왜곡표시위험
1]
n 기타 중요왜곡표시위험
Ÿ 기업 특수관계자와의 암호자산 거래를 모두 식별되거나 공개되지 않음
- 18 -
[ 보론 개인키에 대한 통제절차 예시
2]
n 지갑 생성
Ÿ 중요한 지갑에 대한 거래는 최소 2인 이상이 서명을 수행함
Ÿ 정책 변경 시 다수의 승인 및 검토 절차를 수행함
- 20 -
Ÿ 키 접근 장애 등을 해결하기 위해 복구 목적으로 할당된 백업 키가 존재하며, 다중
서명 형태로 키를 생성 및 보관함
n 지갑 관리
Ÿ 지갑 프로그램에 대하여 보안코드 검토(Security code review) 및 보안성 검토 절
차를 수행하고, 그 결과를 문서화함
- 취약점 점검 및 제3자로부터 보안성 검증 결과 검토
Ÿ 지갑 프로그램 설정에 대해 주기적으로 검토함
Ÿ 내부 DB에 기록된 회사 보유 가상자산 수량(회사 보유분/고객 보유분)과 지갑 내
수량(외부 블록체인 상 기록된 수량)에 대해 주기적으로 대사함
Ÿ 대사 결과 불일치 시 적시에 원인 소명 및 조치가 이루어지고 별도의 승인 절차를
수행함
n 운영
Ÿ 블록체인 관련 시스템에 대한 모든 사건과 행위는 기록되며, 해당 로그에 대해 주
기적으로 검토함
Ÿ 로그는 위 변조 방지 장치 내 안전하게 보관함
·
n 키 담당자
Ÿ 키 보관/관리 정책은 정책서에 기술되며, 아래 내용을 포함함
- 정기적인 비밀번호 변경
- 키 접근 모니터링
Ÿ 키 보관/관리 담당자에 대한 주기적인 키 보관/관리 교육을 수행함
n 키 권한부여 회수/
n 검증
Ÿ 블록체인 상의 거래는 블록체인별 설정된 확인 절차가 끝난 후에 회사 장부에 기
록함
- 21 -
n 거래 서명
Ÿ 거래 서명은 제한된 인원만 가능하며, 고액 거래 서명은 두 가지 이상의 보안 요소
를 요구하도록 함
Ÿ 서버 서명(Server-signing)인 경우 최소한 다음 사항을 포함함
- 서버 서명(Server-signing) 어플리케이션의 접근 통제
- 공급업체 보안 지침에 따라 설정 및 운용
- 서버 서명(Server-signing) 어플리케이션에 대한 개발 문서, 설정 및 소스코드 적
정성 검토
Ÿ 서버 서명(Server-signing) 어플리케이션은 물리적ㆍ논리적으로 안전한 환경에서
운영함
- 22 -