가상자산 감사 이슈 및 감사가이드라인안

황근식 (한국공인회계사회 감사기준팀장)

가상자산
재무모델 감사의 어려움
작성

가상자산의 특성

새로운 기술과 사업모델 급변하는 규제 환경 자산상실 위험

익명성 자금세탁 등 위험 (도난·해킹 ·거래소 파산 등)

탈중앙화 불확실한 회계기준 가격 변동의 불안정성

• 산업과 기업을 이해하기 어려워 중요왜곡표시위험을 파악하기 어려움

• 기존에 감사인이 익숙한 감사절차로 충분하고 적합한 감사증거를 입수하기 어려움

• 전문성을 갖춘 인력이나 감사 툴을 확보하기 어려움

• 회계처리의 적정성을 판단하기 어려움

• 기업의 규제 준수 여부, 불법행위 연루 여부를 파악하기 어려움

2
감사의
재무모델 수용과 유지
작성

가이드라인안
Ÿ 암호자산 관련 산업에 대한 충분한 지식 보유 여부

감사인의 Ÿ 암호자산 전문가 활용의 필요 및 내·외부 전문가 확보 가능 여부

적격성
Ÿ 블록체인 검증이나 암호자산 평가에 기술 또는 감사 툴 필요 및 활용 가능 여부
Ÿ 업무품질관리검토가 필요 여부 및 적격성 있는 검토자 확보 가능 여부
가이드라인안

Ÿ 경영진의 규제환경과 변화 이해 여부, 법규 파악과 준수를 위한 절차 실행 여부

Ÿ 불법적인 거래를 모니터링하는 절차의 구축, 실행 여부
(KYC(Know Your Client), 자금세탁방지 등)
의뢰인의 Ÿ 경영진이 관련 내부통제를 실행할 만큼 충분한 경험과 능력이 있는지 여부
성실성,
적격성 Ÿ 가상자산 회계 논점을 이해하고 회계정책을 수립, 적용할 수 있는 적격한 인력
보유 또는 전문가 활용 여부
Ÿ 암호자산과 관련한 적합한 거래 기록 유지 여부
Ÿ 제3자 이용 여부, 제3자의 혼합보관 여부 및 유형 2 보고서 입수 가능 여부

3
중요왜곡표시위험의
재무모델 식별과 평가
작성

암호자산 관련 프로세스의 이해 시 고려사항 예시 가이드라인안

Ÿ 개인키의 생성, 보관 절차 및 개인키 접근 권한 모니터링 절차

Ÿ 블록체인 데이터 추출에 사용하는 도구(예: 블록체인 익스플로러), 도구의 신뢰성을 파악하기
위한 경영진의 고려사항
Ÿ 장부상 거래 기록과 블록체인 또는 제3자 조회서와 같은 기타 증거의 대사 여부, 방법 및
증거의 완전성과 정확성을 확인하는 통제
Ÿ 암호자산 거래 모니터링 절차, 적절한 승인권자가 모든 암호자산 거래를 승인하는지 여부
Ÿ 하드포크, 에어드롭 등 암호자산 취득 사건을 모니터링하는 절차
Ÿ 암호자산 거래의 기간귀속을 결정하기 위한 적절한 정책의 수립과 일관된 적용 여부
Ÿ 암호자산 손상징후를 식별하는 절차, 공정가치 측정을 위한 가격 정보를 수집, 검증하는 절차
Ÿ 블록체인상 특수관계자 거래 식별 절차

4
중요왜곡표시위험의
재무모델 식별과 평가
작성
중요왜곡표시위험이 높은 상황 예시
Ÿ 블록체인으로 추적가능하지 않은 거래
Ÿ 현금이 수반되지 않는 거래
Ÿ 빈번한 매각
Ÿ 투명성이 결여된 수탁회사 이용
Ÿ 혼합주소 사용
Ÿ Hot Wallet에 개인키 보관
Ÿ 다중서명 지갑이 아닌 한 명의 승인자만
거래를 승인하는 지갑 이용
Ÿ 널리 사용되지 않는 암호자산
기타 보유 암호자산 관련 중요왜곡표시 위험은 가이드라인안 보론에서 제시
가이드라인안
Ÿ 검증 노드수가 적거나 분산되지 않은
블록체인
Ÿ 스마트계약이 적용되는 암호자산
Ÿ 자산 기반 토큰 (예: 스테이블코인)
Ÿ 암호자산 시장이 활성화되지 않은 경우
Ÿ 투명한 가격결정이 이루어지지 않는
암호자산 시장
Ÿ 규제되지 않는 시장에서 이루어지는
가격결정 체계
5
가상자산의
재무모델 실재성과 소유권
작성

경영진 주장

1 실재성 장부상 수량은 실제 블록체인상에 존재한다.

2 소유권 기업은 개인키에 접근할 수 있다.

3 ‘단독’
오직 기업만이 개인키에 접근할 수 있다.
소유권

6
가상자산의
재무모델 실재성과 소유권
작성

1 실재성 장부상 수량은 실제 블록체인상에 존재한다.

가이드라인안

실증절차

장부상 수량과 블록체인상 기록을 대사

블록체인상 기록을 어떻게 확인하는가?

Ÿ 감사 솔루션 등을 이용하여 블록체인에 노드를 생성

Ÿ 공개된 블록체인 익스플로러(btc.com, etherscan.io)의 활용 고려

공개된 블록체인 익스플로러를 신뢰할 수 있는가?

Ÿ 익스플로러 제공자와 소프트웨어에 대한 평판과 시장의 활용 정도 고려

Ÿ Off-chain 증거(매매계약서, 입출금 증거) 등 추가적인 감사증거 입수 고려

7
가상자산의
재무모델 실재성과 소유권
작성

2 소유권 기업은 개인키에 접근할 수 있다.

해당 공개주소상 해당 수량의 가상자산이

존재한다는 증거
블록체인의
블록체인상 기록
익명성
해당 가상자산을 기업이 소유하고 있음을
입증하는 증거

기업이 개인키에 접근할 수 있음을 입증해야 함

8
가상자산의
재무모델 실재성과 소유권
작성

2 소유권 기업은 개인키에 접근할 수 있다.

가이드라인안

실증절차

기업이 보유한 공개주소의 개인키에 접근할 수 있는지 테스트

소액 이전 테스트 전자서명 검증 테스트

Ÿ 무작위로 선정한 공개주소에서 Ÿ 기업이 특정 문자열로 해시 메시지

다른 주소로 소액의 암호자산 이전 생성하고 개인키로 서명 à
요청 전자서명 생성

Ÿ 이전 완료 즉시 실제 이전 여부를 Ÿ 감사인은 해시메시지를 재생성 à

블록체인상 거래 기록으로 확인 공개키를 이용하여 가상서명 검증

9
가상자산의
재무모델 실재성과 소유권
작성

3 ‘단독’
오직 기업만이 개인키에 접근할 수 있다.
소유권

도난, 해킹

개인키 다른 당사자가
가상자산 접근 권한 획득
부적절한 공유
(예: w/ 특수관계자)

단독 소유권을 확보하지 못했을 위험에 따라 추가 절차 수행 고려

10
가상자산의
재무모델 실재성과 소유권
작성

3 ‘단독’
오직 기업만이 개인키에 접근할 수 있다.
소유권

가이드라인안
내부통제 테스트

개인키의 도난, 부적절한 공유, 망실 등에 유의적 위험이 있는 경우?

Ÿ 실증절차만으로는 충분·적합한 감사증거 입수가 어려움

Ÿ 개인키 생성, 관리, 보안 통제를 이해하고 그 운영효과성을 테스트할 필요 있음

개인키에 대한 통제 예시 (가이드라인안 본문과 보론에서 더욱 상세한 예시 제공)

Ÿ 키 생성 통제: 키 생성 절차 접근 제한, 키 생성 관여 인원 업무 분장
Ÿ 보관·관리 통제: 보관 개인키의 물리적, 논리적 접근 제한, 복사·전송 통제
Ÿ 운영 보안: 개인키 분할, 다중 서명 사용
Ÿ 기타 백업, 복구 통제 등

11
가상자산의
재무모델 실재성과 소유권
작성

3 ‘단독’
오직 기업만이 개인키에 접근할 수 있다.
소유권

가이드라인안
실증절차

추가적인 실증절차 고려

Ÿ 소액 이전 테스트의 표본 크기 확대

Ÿ 기업의 공개주소와 특수관계자의 공개주소 비교 à 중복된 암호자산 확인

개인키에 대한 통제 운영 전 취득한 암호자산이 있으면?

Ÿ 경영진에게 공개주소 Reset* 요청 고려
* 새로운 개인키를 생성하고 새로 생성된 주소로 자산 이전

12
가상자산의
재무모델 실재성과 소유권
작성

암호자산을 제3자(거래소 또는 수탁기관)에게 위탁 보관하는 경우

가이드라인안

Ÿ 암호자산 수량, 거래 리스트, 담보, 단독 소유권, 가격, 모든 공개주소 등

외부조회
조회 고려

제3자 내부통제에 대한 고려 가이드라인안

내부통제 제3자의 관련 통제에 대한 인증보고서(유형 2 보고서) 입수 고려

설계, 운영
입수 불가
평가 필요?
(예: 제3자 보관 가상자산에
제3자의 관련 통제에 대한 직접 테스트 등 대체적 절차를 고려
유의적 위험 식별)
대체적 절차 불가

소액 이전 테스트와 유사하게 제3자의 거래시스템에 거래를

입력하게 하고 제3자가 거래요청을 처리한 후 블록체인상 기록 검사

13
가상자산의
재무모델 실재성과 소유권
작성

제3자가 암호자산을 혼합주소에 보관하는 경우 추가 고려사항

기업의 거래를 제3자의 고객 자산과 제3자 자체 보유 자산,

블록체인상에서 내부시스템에만 고객별 자산을 정확하게 구분하려면
대사 불가 거래 기록 존재 제3자의 효과적인 내부통제가 필수적임

가이드라인안

제3자의 관련 통제에 대한 인증보고서(유형 2 보고서) 입수 고려

유형 2 보고서 입수 불가
대체적 절차 불가

제3자 보관분을 자체 공개주소로 이전할 것을 요구 à 기말 계정잔액에 대한 증거 입수

다만, 기중 거래에 대해 충분하고 적합한 감사증거를 입수하지 못한 것이 감사의견에

미치는 영향을 고려할 필요가 있음

14
가상자산의
재무모델 발생사실 및 완전성
작성

가이드라인안
실증절차

발생사실에 대한 실증절차

Ÿ 테스트 대상 거래를 선정하여, 거래 상세내역(수량, 일자 등)을 블록체인 정보와 대사하거나,

해당되는 경우 거래상대방의 거래확인서 또는 계약서상 정보와 일치 여부를 확인

Ÿ 거래로부터 수수한 현금 금액을 입출금내역과 대사

완전성에 대한 실증절차

Ÿ 블록체인에서 일부를 선택하여 기업의 장부에 적절한 기간에 기록되었는지 대사

Ÿ 공개주소의 기중 증감 분석 또는 기초-기말 리스트 비교

Ÿ 예외적인 경로(하드포크나 에어드롭 등)로 취득한 자산의 인식 여부, 인식 시기 및 방법에

대한 기업의 정책을 이해. 예외적으로 취득한 암호자산을 모두 인식하였는지 평가

Ÿ 경영진의 서면 진술 입수

15
가상자산의
재무모델 측정 및 평가
작성

가이드라인안
실증절차

Ÿ 가산자산 평가 회계정책이 회계기준에 부합하는지 평가

Ÿ 가산자산의 공정가치가 기업의 회계정책 및 재무보고체계에 따라 결정되었는지 테스트

Ÿ 활성시장에서 가격을 관찰할 수 있는 암호자산은 공정가치를 독립적으로 재계산

Ÿ 다른 원천으로부터 가격 정보를 입수할 수 있는 경우, 독립적으로 입수한 가격 정보를 기업

이 사용하는 가격과 비교하고 합리성을 평가

16
특수관계자
재무모델 거래
작성

가이드라인안
실증절차

특수관계자와의 암호자산 거래를 모두 식별하거나 공개하지 않을 위험에 대응

Ÿ 경영진에게 기중 존재한 특수관계자의 공개 주소의 목록 전체를 요청

Ÿ 기업이 블록체인에서 거래한 공개주소를 특수관계자의 공개주소 목록과 비교

17
암호자산
재무모델 거래소 감사 시 추가 고려할 사항
작성

가이드라인안
수익인식 테스트

수익 기록에 고도로 자동화된 프로세스를 사용하는 경우 à 내부통제 테스트 수행

실증적 분석적 절차

Ÿ (ITGC가 효과적인 경우) 기업의 IT 시스템에서 입수한 거래 횟수 정보를 입수하고 완전성과

정확성을 검증

Ÿ 거래 규모 또는 기타 요인에 따라 고객에게 다른 수수료율을 부과하는지를 검토

Ÿ 거래 횟수에 기업이 부과하는 수수료 비율을 곱하여 계산한 금액과 장부금액 비교

가이드라인안
고객 자산과 기업 자산의 분리

Ÿ 자체 보유 자산과 고객 암호자산을 구분·유지하기 위해 운영하는 내부통제 테스트 고려

Ÿ 혼합주소를 사용하는 경우: 관련 내부통제의 운영효과성을 테스트해야 할 가능성이 높음

18
암호자산
재무모델 발행 기업 감사 시 추가 고려할 사항
작성

가이드라인안
수익인식 회계정책 평가

Ÿ 기업의 회계정책상 식별된 수행의무 식별 방법 이해

Ÿ 암호자산의 백서에 대한 검토 등을 통해 식별된 수행의무가 적절한지 평가

Ÿ 기업의 회계정책상 수익인식 시점의 결정의 근거(예를 들어, 플랫폼 활성화 여부 또는

지분증명, 분산화 수준 등을 판단하기 위해 설정된 기준에 대한 근거) 검토

Ÿ 수행의무가 일정 시점에 이행되는지 또는 기간에 걸쳐서 이행되는지 여부에 대한

경영진의 판단 및 진행률 산정방법의 적합성을 검토

가이드라인안
검증 노드 생성 전 발행하여 보유하는 자산

Ÿ 새로운 개인키를 생성하고 해당 암호자산을 새로 생성된 주소로 이전하도록 함

Ÿ 백서 상 코인 발행수량, Pre-sale 계약서 상 투자자 이전 수량 및 잔여 수량과 대사

Ÿ 수탁회사 보관 시 외부조회 실시

19
감사합니다