감사위험모형 해설: ISA 200과 ISA 315 하에서 AR = IR × CR × DR

이 글에서 배우게 될 내용

> - 감사위험모형의 세 구성요소(고유위험, 통제위험, 발견위험)가 어떻게 맞물리는지 > - ISA 315.12에 따라 중요한 왜곡표시 위험을 주장 수준에서 평가하는 방법 > - 발견위험을 조정해 전체 감사위험을 수용 가능한 수준으로 제한하는 실무 접근법 > - 감사위험모형이 감사절차의 성격, 시기, 범위 결정에 미치는 영향

감사위험모형의 구성요소

감사위험(Audit Risk, AR)

ISA 200.13(c)에 따르면 감사위험은 "재무제표에 중요한 왜곡표시가 존재하는데도 감사인이 부적절한 감사의견을 표명할 위험"이다. 감사인이 스스로 조정할 수 있는 최종 위험 수준이다.

감사위험은 5% 또는 10%로 설정된다. 5%는 "높은 확신" 수준으로 상장회사나 공익법인에 적용되고, 10%는 "중간 확신" 수준으로 중소기업 감사에 쓰인다. 이 설정은 감사 계획 단계에서 이루어지며 감사 전반에 걸쳐 일관되게 적용되어야 한다.

고유위험(Inherent Risk, IR)

ISA 200.13(j)에서 고유위험은 "관련 내부통제가 존재하지 않는다고 가정할 때 재무제표의 주장에 중요한 왜곡표시가 단독으로 또는 다른 왜곡표시와 결합하여 발생할 수 있는 민감성"으로 정의된다.

고유위험은 기업의 사업 환경, 산업 특성, 거래의 복잡성으로 결정된다. 수익 인식은 대부분의 기업에서 고유위험이 높은 영역이다. 복잡한 수익 계약, 다중 요소 거래, 가변 대가가 섞여 있으면 고유위험은 더 올라간다.

ISA 315.31에 따라 감사인은 고유위험요소를 고려해 고유위험을 평가해야 한다. 고려 대상은 복잡성, 주관성, 변화, 불확실성, 경영진 편향의 가능성이다.

통제위험(Control Risk, CR)

ISA 200.13(d)에서 통제위험은 "중요한 왜곡표시가 단독으로 또는 다른 왜곡표시와 결합하여 주장에서 발생하여 기업의 내부통제에 의해 적시에 예방, 발견 및 수정되지 않을 위험"으로 정의된다.

통제위험 평가는 내부통제의 설계 및 운영 효과성에 기반한다. 관련 통제가 존재하지 않거나 제대로 운영되지 않으면 통제위험은 최대가 된다. 반대로 통제가 식별되고 테스트로 검증되면 통제위험을 낮게 평가할 수 있다.

발견위험(Detection Risk, DR)

ISA 200.13(e)에서 발견위험은 "중요한 왜곡표시가 단독으로 또는 다른 왜곡표시와 결합하여 주장에 존재하는데도 감사인의 절차가 그러한 왜곡표시를 발견하지 못할 위험"으로 정의된다.

발견위험은 감사인이 직접 조정할 수 있는 유일한 위험 구성요소다. 고유위험과 통제위험이 높을수록 발견위험은 낮게 설정되어야 하고, 그만큼 더 많은 감사 증거가 필요해진다.

감사위험모형의 작동 방식

위험평가에서 절차 계획까지

ISA 315.3에 따라 감사인은 먼저 기업과 기업환경을 이해하고 중요한 왜곡표시 위험을 식별·평가해야 한다. 이 평가는 재무제표 수준과 주장 수준 모두에서 수행된다.

주장 수준에서 위험을 평가할 때 감사인은 각 중요한 계정 잔액, 거래유형, 공시에 대해 완전성, 정확성, 발생, 권리와 의무, 평가, 표시와 공시 주장을 검토한다. 주장별로 고유위험과 통제위험을 나누어 평가한 뒤 결합된 중요한 왜곡표시 위험 수준을 정한다.

발견위험 조정

중요한 왜곡표시 위험이 높게 평가되면 수용 가능한 발견위험은 낮아진다. 다음과 같은 방법으로 달성된다.

절차의 성격 측면에서는 더 신뢰할 수 있는 감사 증거를 얻기 위해 외부 확인, 감사인의 직접 관찰, 독립적인 재계산을 쓴다.

절차의 시기 측면에서는 기말 잔액에 더 가까운 시점에서 절차를 수행하거나, 예측 가능한 절차를 피하기 위해 예상치 못한 시기에 절차를 진행한다.

절차의 범위 측면에서는 표본 크기를 늘리거나 더 상세한 절차를 수행한다.

실무 적용 사례

솔직히 위험평가 조서는 감리에서 가장 많이 "짧다", "얕다"는 지적이 나오는 영역이다. 아래 사례는 우리 법인에서 RMM이 높게 잡혔을 때 조서가 어떻게 내려앉아야 하는지를 보여 준다.

상황: 김치산업 주식회사(매출 850억 원, 제조업)의 수익 인식 영역을 검토하고 있다. 이 회사는 대형 할인점에 김치 제품을 공급하고, 일부 계약에 반품 조건과 리베이트 약정이 들어가 있다.

1단계: 고유위험 평가 ISA 315.26에 따라 수익 인식의 고유위험요소를 본다. - 복잡성: 반품 조건과 변동 리베이트로 인한 복잡성 존재 - 주관성: 리베이트 추정과 반품 충당부채 산정에 판단 필요 - 평가 결과: 고유위험을 "높음"으로 평가 (90%)

문서화 주의사항: 고유위험요소별 평가 근거를 조서에 기록

2단계: 통제위험 평가 관련 내부통제를 식별하고 평가한다. - 수익 인식 정책의 수립 및 적용 - 리베이트 계산의 검토 및 승인 - 반품 충당부채의 정기 검토 - 평가 결과: 통제 운영이 미흡해 통제위험을 "최대"로 평가 (100%)

문서화 주의사항: 식별된 통제의 운영 효과성 테스트 결과 포함

3단계: 발견위험 계산 목표 감사위험 5%, 고유위험 90%, 통제위험 100%일 때: 발견위험 = 5% ÷ (90% × 100%) = 5.6%

4단계: 감사절차 설계 낮은 발견위험(5.6%)에 대응하는 절차. - 주요 고객과의 수익 계약 전수 검토 - 기말 후 반품 내역의 상세 분석 - 리베이트 계산의 독립적 재수행 - 매출 마감 절차의 집중 테스트

문서화 주의사항: 각 절차가 특정 주장과 식별된 위험에 어떻게 대응하는지 명시. 품관실에서 가장 먼저 보는 연결고리가 이 부분이다.

이 접근법으로 감사팀은 수익 인식에 대한 높은 중요한 왜곡표시 위험을 관리할 수 있다.

감사위험모형 적용 체크리스트

감사 현장에서 감사위험모형을 올바르게 적용하기 위한 실무 체크리스트다.

1. 목표 감사위험 설정: 피감사기업의 특성(상장 여부, 공익성, 규모)에 기반해 5% 또는 10% 설정 2. 주장별 위험평가: ISA 315.A129에 따라 완전성, 정확성, 발생, 권리와 의무, 평가, 표시와 공시 각각에 대해 평가 3. 고유위험요소 검토: 복잡성, 주관성, 변화, 불확실성, 편향 가능성을 나누어 분석 4. 통제 식별 및 평가: 관련 통제의 존재 여부와 운영 효과성을 평가해 통제위험 결정 5. 발견위험 계산: AR = IR × CR × DR 공식을 써 허용 가능한 발견위험 도출 6. 절차 설계: 계산된 발견위험에 맞춰 감사절차의 성격, 시기, 범위를 정하고 ISA 330.7에 따라 문서화

흔한 실수

- 위험평가의 일반화: 계정별, 주장별로 따로 평가하지 않고 전사적으로 동일한 위험 수준을 붙이는 실수가 자주 나온다. 금감원 지적 사항에서 반복되는 패턴이다.

- 통제위험의 기계적 설정: 통제 테스트 없이 통제위험을 임의로 낮게 잡거나, 반대로 모든 영역에서 통제위험을 최대로 놓고 실증절차 샘플 수만 늘리는 조서. 품관실에서 한 번씩 본다.