의료기관 감사 시 고려사항

이 글에서 배울 내용

• 의료기관의 핵심 비즈니스 위험과 ISA 315.A142에 따른 감사 위험 연결 방법
• 환자 정보보호법 준수 상황에서 ISA 500.A30에 따른 충분하고 적절한 감사증거 확보 전략
• 의료수가와 급여/비급여 수익 분류에서 ISA 240.A31에 따른 부정 위험 평가 절차
• 의료기관 내부통제 평가 시 ISA 330.18에 따른 통제 테스트 설계 방법

의료업계 특유의 감사 환경

의료기관 감사에서 가장 중요한 요소는 환자 정보보호입니다. 개인정보보호법과 의료법에 따라 환자 기록 접근이 엄격히 제한됩니다. ISA 500.A30은 감사인이 충분하고 적절한 증거를 확보해야 한다고 규정하지만, 의료기관에서는 이 요구사항과 환자 정보보호 의무가 충돌할 수 있습니다.
의료기관의 수익 구조는 일반 기업보다 복잡합니다. 국민건강보험 수가, 비급여 진료, 입원료, 약제비가 서로 다른 시스템에서 처리되는 경우가 많습니다. 각각의 수익 인식 시점과 측정 기준이 다르므로 ISA 315.25에 따른 중요한 거래 유형별 위험 평가가 필수적입니다.
의료기관은 보건복지부, 식품의약품안전처, 국민건강보험공단 등 여러 규제기관의 감독을 받습니다. ISA 250.14에 따라 감사인은 재무제표에 직접적 영향을 미치는 법규의 준수 여부를 평가해야 합니다. 의료기관에서는 의료법, 의료기기법, 약사법 위반이 과징금이나 업무정지로 이어져 재무적 영향을 미칠 수 있습니다.

주요 위험 영역과 감사 접근법

수익 인식의 복잡성

재고자산 관리

고정자산과 감가상각

실무 적용 사례

대상 기관: 메디컬센터 삼성 종합병원 (가명)
소재지: 서울특별시
규모: 연매출 2,400억 원, 병상 수 1,200개
특징: 종합병원급, 상급종합병원 지정, 건강검진센터 운영

1단계: 위험 평가 절차

2단계: 수익 인식 통제 평가

3단계: 표본 추출과 증거 확보

4단계: 예외사항 처리

실무 체크리스트

• 사전 기획 단계: 의료법, 개인정보보호법, 의료기기법 등 관련 법규의 최신 개정사항을 확인하고, 재무제표에 미치는 직접적 영향을 평가하세요. ISA 250.A15 참조.
• 위험 평가: 의료정보시스템과 회계시스템 간 인터페이스 구조를 파악하고, 데이터 정합성 통제의 효과성을 평가하세요. 실시간 연동이 아닌 경우 시점 차이로 인한 오류 위험을 고려하세요.
• 수익 테스트: 급여/비급여 구분의 적정성과 건강보험심사평가원 삭감 추정의 합리성을 검토하세요. 과거 삭감율 추이와 현재 추정치를 비교하여 일관성을 확인하세요.
• 재고자산 실사: 의약품의 유효기간과 보관 상태를 확인하고, 폐기 예정 의약품의 장부가액 조정 필요성을 평가하세요. ISA 501.A1 참조.
• 환자 정보보호: 감사절차 수행 시 개인정보보호법 준수 방안을 사전에 병원과 협의하고, 필요 시 익명화나 제한적 접근 방법을 사용하세요.
• 가장 중요한 점: 의료기관의 수익 인식은 건강보험 제도와 직결되어 있으므로, 보험 수가 정책 변화가 재무제표에 미치는 영향을 항상 고려해야 합니다. 이는 계속기업 가정 평가에서 특히 중요합니다.

흔한 실수들

• 환자 기록 접근 시 개인정보보호법 위반: 감사팀이 환자 개인정보에 무분별하게 접근하여 법적 문제가 발생하는 경우가 있습니다. 반드시 병원의 개인정보보호 책임자와 사전 협의 후 제한적 방법으로 접근해야 합니다.
• 의료수가 삭감 추정 오류: 과거 데이터만으로 삭감율을 추정하고 최근 심사 기준 변화를 반영하지 않는 경우입니다. 건강보험심사평가원의 최신 심사 지침과 병원별 삭감 추이를 함께 고려해야 합니다.

관련 자료

• 감사 중요성 계산기 - 의료기관의 변동성이 큰 수익 구조를 고려한 중요성 산정에 사용하세요.
• 내부통제 평가 워크북 - 의료정보시스템과 연계된 수익 인식 통제의 설계 및 운영 효과성 평가 도구입니다.
• 계속기업 평가 가이드 - 의료정책 변화가 병원 경영에 미치는 영향과 관련된 계속기업 위험 평가 방법을 다룹니다.