감사 프로그램을 처음부터 구축하는 방법

감사 프로그램의 구성요소

ISA 330.7은 실질적 절차가 다음을 포함해야 한다고 규정한다:

- 중요한 계정과목과 공시에 대한 절차 - 식별된 중요한 왜곡표시 위험에 대응하는 절차 - 모든 관련 주장에 대한 절차 - 예상되는 증거 유형과 수행 시기

각 절차에는 표본 크기와 수행 시기를 명시해야 한다. "매출을 테스트한다"는 불충분하다. "무작위로 선택한 25건의 매출 거래에 대해 계약서와 선적 문서를 대조하여 발생 주장을 테스트한다"가 적절하다.

빅펌에서는 글로벌 감사 매뉴얼이 절차 템플릿을 제공한다. 로컬 법인에서는 이 템플릿이 없거나 있어도 너무 일반적이다. 그래서 위험 평가를 절차로 직접 변환하는 능력이 더 절실하다.

위험 평가에서 절차 설계로

ISA 315가 위험 식별과 평가를 요구하고 ISA 330이 대응 절차 설계를 다룬다. 제 경험상 이 두 기준서 사이의 연결이 조서에서 가장 빠지기 쉬운 부분이다.

1단계: 위험 평가 결과 검토

위험 평가 조서에서 다음을 추출한다:

- 재무제표 수준의 중요한 왜곡표시 위험 - 주장 수준의 식별된 위험 - 통제 위험 평가 결과 - 중요한 계정과목 및 공시

2단계: 각 위험에 대한 대응 절차 설계

ISA 330.6에 따라 각 식별된 위험에 대해 결정해야 할 사항이 있다. 실질적 분석 절차가 적합한지, 세부 테스트가 필요한지, 표본 크기와 선택 방법은 무엇인지, 수행 시기는 언제인지 판단한다.

시즌에 들어가면 이 판단을 차분하게 내릴 시간이 없다. 막상 해보니까 위험 평가 단계에서 절차까지 같이 설계해 두는 편이 훨씬 낫다.

3단계: 절차의 증거력 평가

각 절차가 제공하는 증거의 설득력을 평가한다. ISA 500.A31은 증거의 신뢰성 요인을 제시한다. 외부에서 직접 입수한 증거가 내부에서 생성된 증거보다 더 신뢰할 만하다.

실무 예시: 제조업체 감사 프로그램

> 한국정밀부품 주식회사 > > 업종: 자동차 부품 제조업 > 매출: 450억 원 > 직원 수: 280명 > 회계연도: 12월 결산 > > 식별된 주요 위험: > 1. 매출 인식 시기 (계절적 변동성으로 인한 압박) > 2. 재고 평가 (복잡한 제조 공정) > 3. 매출채권 회수가능성 (주요 고객 집중) > 4. 관계사 거래 (원재료 조달 경로) > > 감사 프로그램 개발 과정: > > 1단계: 매출 감사 절차 설계 > - 절차: 12월 전후 4주간 매출 거래 25건을 선택하여 선적 문서와 대조 > - 목적: Cut-off 주장 테스트 > - 근거: ISA 330.A19에 따른 기간말 거래 집중 테스트 > - 조서 A-1에 선적일과 매출 인식일 비교 결과를 기재한다 > > 2단계: 재고 감사 절차 설계 > - 절차: 제품별 표준원가 계산을 재수행하고 실제 원가와 비교 > - 목적: 평가 주장 테스트 > - 근거: 복잡한 원가 구조로 인한 평가 위험 > - 조서 B-2에 원가 계산 차이 분석을 요약한다 > > 3단계: 매출채권 감사 절차 설계 > - 절차: 주요 고객 5개사에 대한 적극적 확인 > - 목적: 존재와 평가 주장 테스트 > - 근거: 고객 집중도 60% (상위 5개사) > - 조서 C-1에 확인서 회신 결과와 대안 절차를 정리한다

실무 체크리스트

감사 프로그램 완성 전에 다음을 확인한다:

1. 식별된 모든 중요한 왜곡표시 위험에 대응하는 절차가 포함되어 있는가? ISA 330.5 참조.

2. 각 절차에 성격, 시기, 범위가 명시되어 있는가? "검토한다"가 아니라 "25건을 선택하여 송장과 대조한다"여야 한다.

3. 모든 관련 주장(존재, 완전성, 정확성, Cut-off)이 다뤄지는가?

4. 표본 크기가 평가된 위험 수준과 일치하는가? 높은 위험 영역은 더 큰 표본이 필요하다.

5. ISA 330.18에 따른 수행 절차, 결과, 결론이 모두 문서화 계획에 포함되어 있는가?

감사 프로그램은 위험 평가의 직접적 결과물이다. 위험 평가가 부실하면 감사 프로그램도 부실해진다. 감리에서 문제가 되는 건 절차의 수가 아니라 위험과 절차 사이의 논리적 연결이다.

자주 발생하는 실수

"내용을 검토한다" 같은 일반적 절차는 구체적 증거를 생성하지 않는다. 무엇을 어떻게 검토할지 명시해야 한다. 필자도 십수 년 동안 전년도 조서를 복사하면서 이 부분을 대충 넘겼는데 결국 감리에서 걸리는 건 이런 절차다.

25건을 선택한 이유가 "관례"라면 ISA 530에 따른 근거가 부족하다. 위험 평가와 연결된 표본 크기 산정 근거를 조서에 남겨야 한다. 멘탈 깨지기 전에 미리 정리해 두는 게 답이다.