Big 4 vs 중형 법인 vs 소규모 법인: 감사 접근법의 실제 차이점

위험 평가의 깊이 차이

빅펌의 위험 평가 접근법

빅펌의 위험 평가는 과하다 싶을 만큼 잘게 쪼갠다. 감사기준서 315에 따라 모든 중요 계정과목을 거래 유형과 잔액 단위까지 내려가 식별한다. 필자도 빅펌 시절 이 조서를 매년 썼는데, 처음엔 "이걸 다 해야 하나" 싶었지만 감리 한 번 당해본 후에는 이해가 되었다.

빅펌의 표준 위험 평가 조서에는 보통 산업별 위험 요소 50~80개, 회사 고유 위험 요소 30~50개, 고유/통제/발견/인식/평가의 다층 평가, 그리고 각 위험에 대응하는 감사 절차 매핑이 들어간다. 이 접근법의 장점은 위험을 놓칠 가능성이 낮다는 것. 단점은 시간과 비용이 많이 든다는 것. 빅펌이 이걸 포기하지 못하는 이유는 금감원 감리에서 "조서가 얇다"는 지적을 가장 많이 받는 쪽이 빅펌이기 때문이다.

로컬(중형 법인)의 위험 평가 접근법

로컬은 위험 평가를 주요 영역에 집중한다. 감사기준서 315의 요구사항은 충족하되 빅펌만큼 잘게 쪼개지 않는다. 주요 계정과목 15~25개에 집중하고, 산업 공통 위험과 고객 특정 위험을 구분하며, 위험과 절차의 직접 연결에 중점을 둔다. 어떤 조서는 이게 빅펌보다 더 쓸모 있는 경우도 있다. 빅펌 조서는 너무 많은 걸 쓰다 보니 정작 "이 회사의 진짜 위험이 뭐냐"는 질문에 답을 못 할 때가 있기 때문이다.

소규모 법인의 위험 평가 접근법

소규모 법인은 감사기준서 315.A164~A166에서 허용하는 간소화된 위험 평가를 주로 쓴다. 복잡하지 않은 기업에 대해서는 위험 평가 절차를 축소할 수 있다. 핵심 계정과목 10개 내외에 집중하고, 표준화된 위험 체크리스트를 쓰며, 전년도 위험 평가 결과를 그대로 이어받는 비중이 높다. 전년도 조서를 그대로 가져다 쓰는 것이 늘 문제가 되지는 않는다. 문제가 되는 것은 전년도 평가가 틀렸는데 그대로 쓸 때다.

중요성 기준과 성과 중요성

빅펌의 중요성 설정

빅펌은 보수적인 중요성 기준을 쓴다. 감리 노출도와 평판 위험 때문이다. 솔직히 빅펌이 보수적인 이유는 기준서가 보수적이어서가 아니라, 감리에서 걸렸을 때 깎일 것이 더 많아서다.

빅펌의 일반적인 중요성 비율: - 상장회사: 세전이익의 3~4% - 비상장회사: 세전이익의 4~5% - 매출액 기준: 0.3~0.5% - 자산총액 기준: 0.5~0.7%

성과 중요성은 보통 전체 중요성의 50~60%로 잡는다. 감사기준서 320.A12가 성과 중요성을 전체 중요성의 50~75% 범위로 예상한다고 명시하는데, 빅펌은 이 범위의 하한에 붙는다.

로컬의 중요성 설정

로컬은 고객의 위험 수준과 내부 통제 환경을 보고 중요성을 잡는다. 빅펌보다는 덜 보수적이고, 소규모 법인보다는 보수적이다.

로컬의 일반적인 중요성 비율: - 상장회사: 세전이익의 4~5% - 비상장회사: 세전이익의 5~6% - 매출액 기준: 0.4~0.7% - 자산총액 기준: 0.7~1.0%

성과 중요성은 전체 중요성의 60~70%로 잡는 경우가 많다.

소규모 법인의 중요성 설정

소규모 법인은 상대적으로 높은 중요성 기준을 쓴다. 고객사 대부분이 비상장 중소기업이고 복잡도가 낮기 때문이다. 세전이익의 5~7%, 매출액 기준 0.5~1.0%, 자산총액 기준 1.0~1.5% 사이가 일반적이고, 성과 중요성은 전체 중요성의 70~75% 쪽에 붙는다.

표본 설계와 크기 결정

빅펌의 표본 접근법

빅펌은 통계적 표본추출을 광범위하게 쓴다. 화폐단위표본추출(MUS)이 표준이고, 모든 표본 설계에 통계적 근거가 있어야 한다. 감사기준서 530.A14에 따르면 통계적 표본추출의 장점은 표본 위험을 수량화할 수 있다는 것. 빅펌은 이 장점을 감리 방어 논리로 쓴다. MUS를 사용한 세부 테스트, 신뢰도 95%와 허용 오류율 70~80% 성과 중요성, 예상 오류율 1~2%로 보수적 설정, 표본 크기는 보통 30~60개 항목 수준으로 내려간다.

로컬의 표본 접근법

로컬은 통계적 표본추출과 판단 표본추출을 혼용한다. 위험이 높은 영역에는 통계적 방법을, 낮은 영역에는 판단 표본을 쓴다. 고위험 영역에는 MUS 또는 고정간격표본추출, 중위험 영역에는 층화표본추출, 저위험 영역에는 판단표본추출을 배치하며, 표본 크기는 보통 20~40개 항목이다.

소규모 법인의 표본 접근법

소규모 법인은 주로 판단 표본추출을 쓴다. 감사기준서 530.A22는 판단 표본추출도 적절한 방법이라고 명시한다. 대부분 판단표본추출을 쓰고, 핵심 항목 위주로 상위 10~20개를 고르며, 무작위 선택은 보조적으로만 쓴다. 표본 크기는 보통 10~25개 항목. 솔직히 말하면 이 영역에서 "얇은 조서" 지적이 가장 많이 나오는 곳도 여기다.

통제 환경 평가와 통제 테스트

빅펌의 통제 평가

빅펌은 감사기준서 330에 따른 통제 테스트를 광범위하게 수행한다. 내부 통제에 의존하는 것이 효율적이라고 판단되면 통제 테스트를 돌려 실질적 절차를 줄인다. 중요한 통제 전체에 대한 평가, 통제 테스트 표본 25~60개, 통제 결함 상세 분석과 보완 통제 확인, IT 통제와 업무 통제를 구분하는 평가 구조가 표준이다.

로컬의 통제 평가

로컬은 선별적으로 통제에 의존한다. 통제가 신뢰할 만하고 테스트 비용이 절감 효과보다 낮을 때만 통제 테스트를 수행한다. 핵심 통제 5~10개만 테스트하고, 표본 크기는 15~30개 수준. 통제 결함이 발견되면 미련 없이 실질적 절차로 전환한다.

소규모 법인의 통제 평가

소규모 법인은 통제에 의존하지 않는 전략을 주로 쓴다. 감사기준서 330.A18은 소규모 기업에서 통제 비의존 전략이 효율적일 수 있다고 명시한다. 통제 평가는 최소 수준에서 수행하고, 결함이 발견되면 추가 테스트 대신 실질적 절차를 확대한다. 소유주-경영자 통제 환경에 대한 인식과 대응에 집중하는 방식이다.

전문가 활용과 자문

빅펌의 전문가 활용

빅펌은 내부 전문가를 두껍게 보유하고 있어 복잡한 회계 이슈나 평가 문제에 바로 접근할 수 있다. 금융상품 평가(IFRS 9, IFRS 13), 연금 계리(IAS 19), 법인세 복잡 이슈(IAS 12), IT 감사와 데이터 분석, 산업별 전문 지식까지 내부에서 해결 가능하다.

로컬의 전문가 활용

로컬은 필요에 따라 외부 전문가를 쓴다. 감사기준서 620에 따른 전문가 작업 이용 절차를 갖추고 있다. 복잡한 평가 이슈는 외부 평가 전문가에게, 법인세 이슈는 세무법인에, IT 이슈는 외부 IT 감사 전문가에게 넘기고, 비용과 효과를 보며 선별적으로 쓴다.

소규모 법인의 전문가 활용

소규모 법인은 전문가 활용이 제한적이다. 비용 부담과 접근성 문제로 복잡한 이슈는 피하거나 단순화된 접근법을 쓴다. 외부 전문가 활용은 최소한이고, 동일 업종 경험에 의존하며, 복잡한 회계 이슈가 있는 고객은 제한적으로 수임한다.

문서화 수준과 검토 절차

빅펌의 문서화

빅펌은 감사기준서 230에 따른 문서화를 가장 두껍게 한다. 중요한 판단과 결론의 근거를 모두 조서에 남긴다. 위험 평가와 대응 절차의 연결 관계 명시, 전문가적 판단의 근거와 대안 검토 기록, 검토자 의견과 해결 과정의 상세 기록, 표준화된 조서 양식과 체크리스트가 특징이다. 빅펌 출신이라면 "조서 닦는다"는 말을 수백 번은 들어봤을 것이다. 실무에서 이것이 의미하는 것은 문서의 완성도를 감리 수준까지 올린다는 뜻이다.

로컬의 문서화

로컬은 효율성과 완전성의 균형을 쫓는다. 필요한 문서화는 모두 수행하되 과도한 상세함은 피한다. 핵심 판단과 결론에 집중하고, 위험-절차 연결을 명확히 기록하며, 검토 의견과 해결책은 요약적으로 남긴다. 조서 양식 자체가 빅펌보다 가볍다.

소규모 법인의 문서화

소규모 법인은 감사기준서 230의 최소 요구사항을 충족하는 선에서 문서화한다. 감사기준서 230.A21은 소규모 기업 감사에서 간소화된 문서화가 가능하다고 명시한다. 필수 문서화 요소에 집중하고, 표준화된 체크리스트와 양식을 적극 쓰며, 기록은 간결하게 핵심만 유지한다.

실무 사례 비교

가상 사례: 한국산업기계 주식회사

매출 450억 원, 세전이익 18억 원의 기계제조업체다. 수출 비중 60%, 해외 자회사 3곳을 보유하고 있다. 같은 회사를 빅펌, 로컬, 소규모 법인이 어떻게 감사할지 비교해본다.

빅펌의 접근법

중요성 설정: - 전체 중요성: 세전이익의 4% = 7,200만 원 - 성과 중요성: 3,600만 원 (50%) - 문서화 근거: 상장 예정 기업으로 보수적 설정 필요

위험 평가: - 환율 변동 위험, 해외 자회사 연결 위험, 재고자산 평가 위험을 상세 분석 - 총 45개 위험 요소 식별 및 평가 - 문서화 근거: 각 위험별 감사 절차 매핑표 작성

표본 설계: - 매출: MUS 방법으로 60개 항목 선택 - 재고자산: 층화표본추출로 40개 항목 선택 - 문서화 근거: 신뢰도 95%, 허용오류율 2,520만 원

결론: 두꺼운 조서에 상세한 감사. 대신 감사시간 350시간, 감사보수 1억 2,000만 원.

로컬의 접근법

중요성 설정: - 전체 중요성: 세전이익의 5% = 9,000만 원 - 성과 중요성: 5,400만 원 (60%) - 문서화 근거: 비상장회사 표준 비율 적용

위험 평가: - 핵심 위험 20개 식별, 환율과 연결 위험에 집중 - 재고자산 위험은 실사와 단가 테스트로 대응 - 문서화 근거: 위험별 감사 전략 요약표

표본 설계: - 매출: 고정간격표본추출로 35개 항목 - 재고자산: 판단표본추출로 25개 항목 - 문서화 근거: 핵심 항목 + 무작위 선택 조합

결론: 실용적인 감사. 감사시간 220시간, 감사보수 8,000만 원.

소규모 법인의 접근법

중요성 설정: - 전체 중요성: 세전이익의 6% = 1억 800만 원 - 성과 중요성: 8,100만 원 (75%) - 문서화 근거: 내부 통제 의존도 낮음을 고려한 설정

위험 평가: - 12개 핵심 위험 식별, 환율 위험은 간소화된 절차로 대응 - 해외 자회사는 현지 회계법인 보고서에 의존 - 문서화 근거: 표준 위험 체크리스트 완료

표본 설계: - 매출: 상위 20개 + 무작위 10개 - 재고자산: 단가가 높은 15개 품목 집중 테스트 - 문서화 근거: 핵심 항목 선택 기준 명시

결론: 기본에 충실한 감사. 감사시간 150시간, 감사보수 5,500만 원. 여기서 말하는 "적절"은 감리에 걸리지 않는다는 뜻이지, 빅펌 수준의 검증이 된다는 뜻은 아니다.

실무 체크리스트

1. 법인 규모에 맞는 위험 평가 수준 결정 - 빅펌: 전체 계정과목 상세 위험 평가 - 로컬: 핵심 15~25개 계정 집중 평가 - 소규모: 10개 내외 핵심 계정만 평가

2. 중요성 설정 시 고려사항 확인 - 법인 감리 이력과 위험 성향 - 고객사의 상장 여부와 복잡도 - 감사기준서 320.A10의 질적 요소 검토

3. 표본추출 방법의 효율성 평가 - 통계적 방법의 비용 대비 효과 분석 - 감사기준서 530.A14의 통계적 방법 장점 검토 - 판단표본추출 시 선택 편의 방지책 마련

4. 통제 평가와 테스트의 경제성 검토 - 통제 테스트 비용 대 실질적 절차 절감 효과 - 감사기준서 330.5의 통제 의존 조건 확인 - 소규모 기업의 통제 환경 현실적 평가

5. 문서화 수준의 적정성 점검 - 감사기준서 230.8의 최소 문서화 요구사항 충족 - 법인 품질관리 기준과의 일치성 - 검토자와 피검토자의 역할 분담 명확화

6. 가장 중요한 원칙: 고객의 위험 수준과 법인의 역량이 일치하는지 확인한다.

자주 발생하는 오해

"빅펌은 항상 품질이 높고 소규모는 낮다" 품질은 규모가 아니라 적합성에서 나온다. 소규모 기업을 빅펌 방식으로 감사하면 과잉 감사가 되고, 복잡한 기업을 소규모 법인 방식으로 하면 부족한 감사가 된다. 파트너 A는 "동일 기준서, 동일 품질"이 원칙이라고 말하고, 파트너 B는 "기준서가 같아도 위험 수준에 맞는 절차가 따로 있다"고 말한다. 두 주장 모두 일리가 있다. 정답은 회사 리스크 프로파일에 따라 갈린다.

"중요성 기준이 낮을수록 좋다" 감사기준서 320.A4는 부적절하게 낮은 중요성도 문제라고 명시한다. 국제품질관리기준 1.31(c)에 따르면 경제적이지 못한 감사는 품질 위험요소다. 법인이 보수 압박에 밀려 중요성을 과도하게 낮추면, 조서는 두꺼워지지만 정작 중요한 위험에 집중할 시간이 없어진다. 사실상 제살 깎아먹기다.