이 글을 통해 알게 될 내용
ISA 240 개정의 지속적 평가 요구사항을 기존 파일 구조에 적용하는 방법
계획 단계 이후 새로운 부정 위험이 식별되었을 때의 문서화 접근법
강화된 감독자 검토 요구사항이 작업지 템플릿에 미치는 영향
2026년 12월부터 적용되는 새로운 표준에서 요구하는 품질 관리 문서화
목차
개정 기준의 핵심 변화점
기존 기준 대비 주요 변경사항
ISA 240 개정 전에는 부정 위험 평가를 주로 계획 단계에서 완료하고, 감사 과정에서 추가 위험이 식별되면 기존 평가를 수정하는 방식이었습니다. 개정 기준은 이를 근본적으로 변경합니다.
ISA 240.18A(개정)는 감사인이 감사 전반에 걸쳐 부정 위험 평가를 지속적으로 업데이트하도록 요구합니다. 이는 단순한 수정이 아니라 새로운 정보가 입수될 때마다 재평가하는 것을 의미합니다. ISA 240.33(개정)에 따라 이런 지속적 평가 과정과 결과를 모두 문서화해야 합니다.
개정 기준의 두 번째 변화는 감독자 검토 요구사항의 강화입니다. ISA 240.15(개정)는 업무수행이사가 부정 위험 식별과 대응의 적절성을 직접 검토하고 문서화하도록 명시합니다. 기존의 전체적 검토에서 부정 특화 검토로 전환된 것입니다.
실무에 미치는 영향
기존 파일 구조에서는 "부정 위험 평가 조서"가 계획 단계에 위치하고, 이후 단계에서는 참조만 하는 경우가 많았습니다. 개정 기준 하에서는 각 감사 단계별로 부정 위험 평가의 업데이트와 그에 따른 절차 조정을 문서화해야 합니다.
품질 관리 문서화도 확장됩니다. ISA 240.A67A(신설)는 팀 토론 과정, 회의 참석자의 개별 의견, 의견 차이 해결 과정을 구체적으로 기록하도록 요구합니다.
적용 시기는 2026년 12월 15일 이후 시작하는 회계연도부터이며, 조기 적용이 허용됩니다. 현재 진행 중인 감사에는 적용되지 않지만, 2026년 말 종료 회계연도 감사부터는 필수입니다.
지속적 평가 문서화 접근법
단계별 업데이트 구조
지속적 평가를 실질적으로 문서화하려면 기존의 정적 조서를 동적 조서로 전환해야 합니다. ISA 240.18A는 새로운 정보가 부정 위험 평가에 미치는 영향을 평가하고 필요시 감사 절차를 수정하도록 요구합니다.
각 주요 감사 단계(계획, 실질적 절차, 완료)마다 별도의 부정 위험 업데이트 섹션을 만드십시오. 각 섹션에는 새로 식별된 위험, 기존 위험의 변경사항, 절차 조정 내용을 기록합니다.
ISA 240.33(개정)에 따라 업데이트마다 날짜, 담당자, 검토자를 명기해야 합니다. 단순한 메모가 아니라 정식 감사 증거로서 문서화되어야 합니다.
위험 식별 매트릭스 활용
부정 위험을 일관되게 추적하려면 위험 식별 매트릭스를 사용하십시오. 각 위험에 대해 초기 평가일, 업데이트 일자, 위험 수준 변화, 대응 절차 조정을 한눈에 볼 수 있도록 구성합니다.
매트릭스에는 ISA 240.A31-A33에서 제시하는 부정 위험 요소를 기준으로 한 평가 근거를 포함하십시오. 압박 요인, 기회 요인, 합리화 요인별로 새로운 정보가 어떤 영향을 주는지 구체적으로 기록합니다.
기존 파일 업데이트 프로세스
현재 진행 중인 감사의 처리
2026년 12월 15일 이전에 시작된 감사는 기존 ISA 240을 적용합니다. 하지만 품질 향상을 위해 개정 기준의 일부 요소를 자발적으로 적용할 수 있습니다.
기존 부정 위험 평가 조서가 있다면 다음을 확인하십시오. 계획 단계 이후 식별된 새로운 정보가 반영되었는지, 팀 토론 결과가 구체적으로 문서화되었는지, 업무수행이사의 검토 의견이 기록되었는지 점검합니다.
템플릿 업그레이드 우선순위
모든 조서를 동시에 업데이트할 필요는 없습니다. 다음 순서로 우선순위를 정하십시오.
첫째, 부정 위험 평가 조서를 가장 먼저 업데이트합니다. ISA 240.18A의 지속적 평가 요구사항을 반영하여 단계별 업데이트 섹션을 추가하십시오.
둘째, 팀 토론 문서를 강화합니다. ISA 240.A67A에 따라 참석자별 의견, 의견 차이, 해결 과정을 상세히 기록할 수 있도록 템플릿을 확장하십시오.
셋째, 업무수행이사 검토 체크리스트를 수정합니다. ISA 240.15(개정)의 강화된 검토 요구사항을 반영하여 부정 관련 항목을 별도로 구성하십시오.
실무 적용 사례
한국산업개발 주식회사 감사 사례
배경: 연매출 850억 원의 제조업체. 계획 단계에서 매출 인식과 관련된 부정 위험을 보통 수준으로 평가했습니다.
새로운 정보: 실질적 절차 단계에서 다음을 발견했습니다.
1단계: 위험 재평가
문서화 내용: ISA 240.18A에 따라 새로운 정보가 기존 위험 평가에 미치는 영향을 분석. 매출 인식 부정 위험을 보통에서 높음으로 상향 조정.
2단계: 절차 조정
문서화 내용: 12월 매출 거래에 대한 추가 실질적 절차 계획. 신규 고객 3사에 대한 확인서 발송과 배송증빙 검토 범위 확대.
3단계: 팀 토론 업데이트
문서화 내용: 새로운 위험 평가에 대한 팀 토론 실시. 시니어 매니저는 추가 절차 필요성에 동의했으나, 샘플링 범위에 대해 의견 차이. 업무수행이사 결정으로 전수 조사 결정.
4단계: 업무수행이사 검토
문서화 내용: 업무수행이사가 위험 재평가의 적절성과 추가 절차의 충분성을 검토. 신규 고객 거래의 상업적 합리성 추가 검토 지시.
결론: 지속적 평가를 통해 초기에 놓칠 뻔한 매출 조작 위험을 적절히 식별하고 대응했습니다. 최종적으로 부적절한 매출 인식은 발견되지 않았지만, 강화된 절차를 통해 충분한 감사 증거를 확보했습니다.
- 12월 말 대량 출하 건이 예년 대비 40% 증가
- 신규 고객과의 거래 3건이 전체 매출 증가의 60%를 차지
- 영업팀장이 성과급 산정 기준 변경으로 12월 실적 압박을 받고 있었음
- ISA 240.A31에서 제시하는 기회 요인 해당: 영업팀장이 단독으로 거래 조건을 결정할 수 있는 권한을 보유하고 있었으며, 상위 승인 없이 매출 계약서를 수정할 수 있는 구조
업데이트 체크리스트
다음 항목들을 현재 진행 중인 감사에 적용하여 ISA 240 개정 준비를 시작하십시오.
- 부정 위험 평가 조서에 "지속적 업데이트" 섹션 추가 - 각 감사 단계별로 새로운 정보와 위험 재평가 결과를 기록할 공간을 마련하십시오. ISA 240.18A가 요구하는 지속적 평가를 지원합니다.
- 팀 토론 문서를 상세 기록 형식으로 변경 - 참석자별 개별 의견, 의견 차이 발생 시 해결 과정, 최종 결정 근거를 구체적으로 문서화하십시오. ISA 240.A67A의 강화된 요구사항을 만족합니다.
- 업무수행이사 검토 체크리스트에 부정 전용 섹션 신설 - 부정 위험 식별의 적절성, 대응 절차의 충분성, 팀 토론 결과의 합리성을 별도로 검토하고 의견을 기록하도록 구성하십시오.
- 위험-절차 연결 매트릭스 도입 - 각 부정 위험에 대응하는 감사 절차를 명확히 연결하고, 위험 수준 변화 시 절차 조정 내역을 추적할 수 있도록 하십시오.
- 품질 관리 문서를 팀 단위로 확장 - 개별 팀원의 부정 위험 인식 수준과 대응 역량을 평가하고, 필요시 추가 교육이나 감독을 제공한 내역을 기록하십시오.
- 가장 중요한 것은 형식이 아닌 실질입니다 - 새로운 정보가 입수될 때마다 그것이 부정 위험에 미치는 영향을 고려하고, 그 판단 과정을 솔직하게 문서화하는 것이 개정 기준의 핵심입니다.
자주 발생하는 실수
- 계획 단계 조서만 업데이트하고 후속 단계는 참조만 하는 경우 - 개정 기준은 각 단계별 실질적 재평가를 요구합니다. 단순 참조로는 충분하지 않습니다.
- 새로운 정보를 발견했지만 기존 위험 평가를 변경하지 않는 경우 - ISA 240.18A는 새로운 정보의 영향을 적극적으로 평가하도록 요구합니다. 변경하지 않기로 한 판단도 문서화해야 합니다.
관련 자료
- 부정 위험 평가 용어집 - 부정 위험 식별과 평가의 기본 개념과 ISA 240의 핵심 요구사항을 정리한 참조 자료입니다.
- ISA 240 부정 위험 도구 - 지속적 평가를 지원하는 위험 식별 매트릭스와 업데이트 체크리스트가 포함된 실무 도구입니다.
- 감사 문서화 표준과 실무 - ISA 230에 따른 감사 문서화 원칙과 부정 관련 문서화의 특수 요구사항을 다룬 가이드입니다.