ISA 240의 문서화 요구사항
ISA 240.44는 감사인이 부정과 관련하여 수행한 절차와 결과를 문서화하도록 요구합니다. 체크리스트를 완성하는 수준이 아닙니다. 감사팀이 부정 위험을 어떻게 식별하고 평가했는지, 그에 어떻게 대응했는지를 추적 가능한 방식으로 기록해야 합니다.
ISA 240.15의 팀원 토론이 문서화 요구사항의 핵심입니다. 모든 감사에서 의무이며 참여자와 토론 주제, 결론을 구체적으로 기록해야 합니다. AFM은 이 문서가 누락되거나 불완전할 때 부정 위험 평가 전체를 불충분하다고 판단합니다.
ISA 240.A63은 문서화의 범위를 명확히 합니다. 부정 위험 요소의 존재, 식별된 위험의 성격, 대응 절차의 설계와 수행이 포함되어야 하고 절차 결과의 평가도 빠져서는 안 됩니다.
AFM의 주요 발견 사항과 해결 방법
1. 팀원 토론 문서화 불완전
AFM이 지적한 내용은 부정 위험 브레인스토밍 세션에 대한 문서가 일반적이고 참여자 정보가 누락된 사례입니다.
막상 해보니까 대부분의 팀은 토론을 실제로 진행합니다. 문제는 조서에 "팀원들과 토론했음"이라는 한 줄만 남긴다는 것입니다. ISA 240.15는 구체적 문서화를 요구하지만 시즌에 시간이 없으면 가장 먼저 생략되는 부분입니다.
토론 문서에 포함해야 할 요소를 체크리스트로 관리하십시오. 참여자 이름과 직급, 토론 날짜와 시간, 논의된 구체적 위험 요소, 팀의 결론과 근거를 모두 기록합니다. 각 참여자의 서명 또는 승인도 확보하십시오.
2. 부정 위험 요소 식별의 피상적 분석
AFM이 지적한 내용은 체크리스트 방식의 위험 요소 식별로 고객 특유의 위험을 놓친 사례입니다.
표준 체크리스트는 일반적 부정 위험 요소를 다루지만 고객의 산업과 규모에 특화된 위험을 간과할 수 있습니다. 솔직히 시즌에 시간이 부족하면 체크리스트 칸을 채우는 데 집중하게 됩니다. 깊이 있는 분석은 뒷전입니다.
고객 이해 과정에서 수집한 정보를 부정 위험 평가와 직접 연결하십시오. ISA 240.A25-A27의 부정 위험 요소 목록을 출발점으로 사용하되 고객의 구체적 상황을 반영한 추가 위험 요소를 식별하고 문서화합니다.
3. 대응 절차의 연결성 부족
AFM이 지적한 내용은 식별된 부정 위험과 설계된 대응 절차 간의 논리적 연결이 불명확한 사례입니다.
위험 식별과 절차 설계가 별도 과정으로 진행되면 둘 간의 연결성이 조서에서 드러나지 않습니다. 표준 감사 절차를 그대로 적용하면서 부정 위험에 특화된 절차 설계를 빠뜨리는 경우가 빈번합니다.
각 식별된 위험에 대해 구체적 대응 절차를 매핑하십시오. ISA 240.29에 따라 일반적 대응과 구체적 대응을 구분하고 각 절차가 어떤 위험을 어떻게 다루는지 명시합니다. 대응 절차의 성격과 시기, 범위를 위험 수준에 따라 조정했음을 보여주십시오.
4. 경영진 무효화 위험 대응 불충분
AFM이 지적한 내용은 경영진의 내부통제 무효화 위험에 대한 대응이 형식적이고 실질적 절차가 부족한 사례입니다.
ISA 240.31-33의 경영진 무효화 위험은 모든 감사에서 중요한 위험으로 추정됩니다. 현실은 표준 절차 수행만으로 충분하다고 넘기는 경우가 많습니다. 인차지가 시간에 쫓기면 이 부분에서 조서가 가장 얇아집니다.
분개 테스트와 회계 추정치 검토, 비정상적 거래 검토, 기말 수정분개 분석에서 경영진 무효화 관점을 구체적으로 적용하십시오. 각 절차에서 무효화 위험을 어떻게 다뤘는지 문서화하고 발견 사항에 대한 추가 조사 과정도 기록합니다.
실무 적용 사례
서울테크솔루션 주식회사(매출 850억 원, 임직원 180명, IT 서비스업)의 2024년 재무제표 감사에서 부정 위험 평가를 수행한 사례입니다. 성장 단계의 IT 기업으로 신규 프로젝트 수주가 매출에 큰 영향을 미칩니다.
1단계: 팀원 토론 진행 및 문서화
2024년 3월 15일 감사팀 주요 구성원이 부정 위험 브레인스토밍을 실시했습니다. - 참여자: 김영수 업무수행이사, 박미선 선임매니저, 이철호 시니어 - 토론 시간: 오후 2:00-3:30 (90분) - 논의 사항: IT 서비스 매출 인식의 부정 위험, 프로젝트 진행률 과대계상 가능성 - 결론: 매출 인식과 관련하여 중요한 위험 식별, 구체적 대응 절차 설계 필요
각 참여자 서명과 토론 요약본을 감사파일에 첨부합니다.
2단계: 부정 위험 요소 식별
ISA 240.A25의 위험 요소 체크리스트를 기준으로 고객 특화 위험을 분석했습니다. - 동기/압박: 분기별 성장률 목표 달성 압박(이사회 보고 자료에서 확인) - 기회: IT 프로젝트의 복잡한 매출 인식 기준과 진행률 측정의 주관성 - 태도/합리화: 경영진의 "보수적 회계처리보다는 성장 중심" 발언(이사회 회의록)
각 위험 요소의 구체적 근거를 조서에 교차 참조로 연결합니다.
3단계: 대응 절차 설계
식별된 위험에 대한 구체적 대응 절차를 설계했습니다. - 매출 인식 위험: 프로젝트별 계약서 전수 검토, 진행률 측정 기준의 적정성 평가 - 고객 확인서를 통한 매출 금액 검증 - 일반적 대응: 감사팀 구성 시 부정 경험이 있는 전문가 포함 - 예측 가능성 감소를 위한 절차 시기와 성격 조정
각 절차의 수행 시기와 담당자, 예상 표본 크기를 조서에 구체적으로 명시합니다.
4단계: 경영진 무효화 위험 대응
ISA 240.32-33에 따라 경영진 무효화에 특화된 절차를 수행했습니다. - 분개 테스트: IT 프로젝트 관련 매출 분개 중 금액이 큰 항목과 비정상적 패턴 항목을 선별하여 테스트 - 회계 추정치 검토: 프로젝트 진행률 추정의 편향성 여부를 독립적으로 평가 - 비정상적 거래: 분기 말 대규모 계약 체결과 매출 계상의 적정성 검토 - 기말 수정분개: 보고서일 직전 매출 관련 수정분개의 타당성 확인
각 절차에서 발견된 사항과 추가 조사 결과를 상세히 기록합니다.
실무 체크리스트
1. 팀원 토론 문서 점검: 참여자 명단과 서명, 토론 날짜, 구체적 논의 내용, 결론이 모두 기록되어 있는지 확인하십시오.
2. 위험 요소 식별의 구체성 검토: ISA 240.A25-A27의 일반적 위험 요소에 고객 특화 요소를 추가했는지 점검하십시오. 각 요소의 근거를 다른 조서에서 확인할 수 있어야 합니다.
3. 대응 절차의 연결성 확인: 식별된 각 위험에 대해 구체적 대응 절차가 설계되었는지 검토하십시오. 절차의 성격과 범위가 위험 수준에 적합해야 합니다.
4. 경영진 무효화 대응 실질성: ISA 240.32-33의 분개 테스트와 추정치 검토, 비정상 거래 검토에서 실제로 무효화 위험 관점을 적용했는지 확인하십시오.
5. 문서화 완결성: ISA 240.44의 문서화 요구사항에 따라 위험 식별과 대응 절차, 수행 결과, 결론이 추적 가능하게 연결되어 있는지 최종 점검하십시오.
자주 발생하는 실수
관련 자료
- 부정 위험 평가 용어집 - 부정 위험 식별과 평가의 핵심 개념과 ISA 240 요구사항 정리 - ISA 240 부정 위험 평가 도구 - 부정 위험 식별과 대응 절차 설계를 위한 실무 도구 - 감사 문서화 모범 사례 - 감사 문서화 전략과 검토관이 찾는 핵심 증거