목차

목차

사기삼각형의 세 가지 차원

ISA 240.A1은 미국의 범죄학자 도날드 크레시(Donald Cressey)가 개발한 사기삼각형 이론을 참조합니다. 이 모델은 사기 발생을 위해서는 세 가지 조건이 모두 충족되어야 한다고 설명합니다.
ISA 240.28은 감사인이 "사기로 인한 중요한 왜곡표시의 위험요인에 대해 질문하고 토론"하도록 요구하며, 부록에서 구체적인 위험요인 예시를 제시합니다. 하지만 단순히 목록을 체크하는 것으로는 충분하지 않습니다. 각 차원이 어떻게 상호작용하는지 이해해야 합니다.
인센티브/압력 요인은 사기를 저지를 동기를 만듭니다. 개인적 재정 문제, 비현실적 성과 목표, 분기별 수익 압박이 여기에 해당됩니다. ISA 240.A2는 이를 "개인이나 기업이 사기를 저지르도록 하는 인센티브나 압력"으로 정의합니다.
기회 요인은 사기를 실제로 저지르고 발각되지 않을 수 있는 상황을 제공합니다. 통제 환경의 약점, 복잡한 거래 구조, 경영진의 통제 무력화 능력이 포함됩니다.
태도/합리화 요인은 사기 행위를 정당화하거나 받아들일 수 있는 심리적 환경을 나타냅니다. "회사를 살리기 위한 일시적 조치"라거나 "모든 회사가 하는 일"이라는 식의 사고가 여기에 해당됩니다.

왜 세 차원을 모두 평가해야 하는가


국제 감사기준서는 위험 기반 접근법을 요구합니다. ISA 315.13(a)는 "사업 위험이 재무보고에 미치는 영향"을 고려하도록 하며, 사기위험도 동일한 논리를 따릅니다. 한 차원만 평가하면 위험을 과소평가하거나 부적절한 절차를 설계할 수 있습니다.

인센티브와 압력 요인 평가

인센티브 요인은 가장 식별하기 쉬운 차원입니다. 재무적 압박, 성과 목표, 개인적 동기가 명확하게 드러나기 때문입니다.

재무적 인센티브 신호


ISA 240.A6에서 제시하는 주요 재무적 인센티브 요인은 다음과 같습니다:
수익성 압박: 분기별 실적 발표, 부채계약상 재무비율 유지 요구사항, 상장 예정에 따른 밸류에이션 압박이 여기에 해당됩니다. 특히 한국 상장회사의 경우 분기보고 압박이 강합니다.
개인적 재정 상황: 경영진의 주식 옵션 만료 예정, 개인 보증 부채, 생활비 압박 상황을 파악해야 합니다. 이 정보는 직접 질문하기 어려우므로 공시자료나 간접적 신호를 통해 확인합니다.
외부 기대치: 애널리스트 컨센서스, 이전 년도 가이던스, 산업 평균 대비 성과 압박을 검토합니다.

비재무적 압력 요인


성과급 구조, 승진 조건, 해고 위험도 큰 인센티브가 됩니다. 특히 중간관리층의 경우 재무적 결과에 대한 책임은 있지만 의사결정 권한은 제한적인 상황에서 압박을 느낄 수 있습니다.
조직 내 정치적 압력: 부서 간 갈등, 구조조정 계획, 성과 평가 기준 변경 등이 단기 실적 조작 동기를 만들 수 있습니다.
업계 특성: 계절성이 강한 사업, 정부 규제 변경 예정, 주요 고객 계약 만료 등 업계 고유의 압박 요인을 고려해야 합니다.

기회 요인의 체계적 식별

기회 요인은 가장 복잡한 차원입니다. 내부통제 설계와 운영 상황, 거래의 복잡성, 경영진 권한 구조를 모두 고려해야 합니다.

내부통제 환경 평가


ISA 240.A8은 기회 요인으로 "재무보고에 대한 내부통제의 부재 또는 비효과성"을 제시합니다. 여기에는 다음이 포함됩니다:
승인 통제의 한계: 경영진이 일반적 승인 한도를 초과하는 거래를 단독으로 결정할 수 있는 상황. 특히 특수관계자 거래나 비정상적 분개에서 나타납니다.
시스템 통제 약점: 수작업 개입 여지가 많은 회계시스템, 사용자 권한 관리 부실, 변경 내역 추적 불가능한 구조가 사기 기회를 제공합니다.
분장 통제 부실: 소규모 회사에서 흔한 문제입니다. 한 사람이 거래 승인부터 기록, 자산 보관까지 담당하는 상황에서는 사기 위험이 크게 증가합니다.

복잡한 거래 구조


특수목적회사(SPC) 활용: 연결 대상 판단이 모호한 SPC를 통한 거래, 해외 자회사를 이용한 복잡한 자금 이동 구조를 검토해야 합니다.
추정과 판단이 많은 영역: 공정가치 측정, 충당부채 설정, 무형자산 손상 검토 등에서 경영진 판단의 여지가 클 때 조작 기회가 증가합니다.

감독 기능 약화


이사회 독립성 부족, 감사위원회 전문성 한계, 내부감사 기능 미흡이 경영진 견제 기능을 약화시켜 사기 기회를 확대합니다.

태도와 합리화 신호 포착

태도 요인은 가장 식별하기 어려운 차원입니다. 사람의 내면적 사고와 조직 문화를 평가해야 하기 때문입니다.

경영진 태도 신호


ISA 240.A10에서 제시하는 태도 관련 위험요인을 실무에서 어떻게 포착할지 구체적으로 설명합니다.
감사인에 대한 태도: 감사 과정에서 비협조적이거나 적대적인 반응, 문서 제공 지연, 질문에 대한 회피적 답변이 위험신호가 될 수 있습니다. 하지만 단순한 업무 부담이나 소통 방식의 차이일 수도 있으므로 신중하게 판단해야 합니다.
규제 당국에 대한 인식: "세무당국은 우리를 이해하지 못한다"거나 "회계기준이 현실을 반영하지 못한다"는 식의 발언이 반복될 때 주의가 필요합니다.
과도한 자신감: 복잡한 회계 처리나 추정에 대해 지나치게 확신하거나, 반대 의견에 대해 감정적으로 반응하는 경향을 관찰해야 합니다.

조직 문화 지표


윤리강령 운영 실태: 윤리강령이 존재하더라도 실제 운영되지 않거나 형식적인 수준에 그치는 경우가 많습니다. 위반 사례 처리 내역, 교육 실시 현황, 임직원 인식 수준을 확인해야 합니다.
성과 중심 문화의 부작용: "결과가 전부"라는 식의 조직 문화에서는 과정보다 결과만 중요시하는 경향이 나타날 수 있습니다.
의사소통 패턴: 나쁜 소식을 전달하기 어려운 조직 구조, 상명하복이 강한 문화에서는 문제를 은폐하려는 경향이 강해질 수 있습니다.

실무 사례 분석

시나리오: 대한정밀기계 주식회사


회사 개요: 자동차 부품 제조업체, 매출 850억 원, 직원 280명, 코스닥 상장 예정 2년 연기 상태
1단계: 인센티브 요인 식별
문서화 노트: 인센티브 매트릭스에서 재무적/비재무적 압박 요인별로 영향도와 가능성을 5점 척도로 평가하고 근거 문서를 연결
2단계: 기회 요인 분석
문서화 노트: 내부통제 취약점별로 사기 시나리오와 잠재적 영향 금액을 구체적으로 기술
3단계: 태도 요인 관찰
문서화 노트: 관찰된 태도와 발언을 날짜, 참석자, 맥락과 함께 기록하고 위험도 평가에 반영
4단계: 종합 위험 평가
세 차원 모두에서 중간 수준 이상의 위험 신호가 확인되었습니다. 특히 상장 압박과 성과급 구조(인센티브), ERP 승인 체계 취약점(기회), 감사 지적사항에 대한 방어적 태도(합리화)가 결합되어 매출 인식과 재고 평가 영역에서 사기 위험이 높다고 판단했습니다.
문서화 노트: 위험 매트릭스에서 각 차원별 점수와 가중치를 적용하여 전체적인 사기위험도를 산출하고, 이를 감사계획의 중요한 왜곡표시 위험 평가에 반영
5단계: 감사절차 설계
결론: 체계적인 세 차원 평가를 통해 표면적으로는 드러나지 않았던 사기 위험 영역을 사전에 식별하고, 이에 대응하는 맞춤형 감사절차를 설계할 수 있었습니다.

  • 상장 지연으로 인한 기존 투자자들의 압박
  • CEO 연봉의 40%가 성과급(영업이익률 8% 달성 시)
  • 주력 고객사(현대차 협력업체)와의 계약 갱신 협상 진행 중
  • 분기별 은행 재무비율 점검 (부채비율 150% 이하 유지 조건)
  • ERP 시스템에서 CFO와 회계팀장이 동일한 승인 권한 보유
  • 월말 마감 시 수작업 분개 항목이 전체의 35% 차지
  • 재고자산 실사 시 생산 중인 반제품 평가에 상당한 추정 개입
  • 감사위원회 구성원 중 회계/감사 전문가 없음
  • 전년도 감사에서 수정사항에 대해 "일시적 회계 차이"라고 지속적으로 표현
  • 관리회계 보고서와 재무회계 수치 차이에 대해 "보수주의 원칙 적용"이라고 설명
  • 내부감사팀의 지적사항을 "과도하게 보수적인 해석"이라고 평가
  • 분기별 실적 발표 후 "시장이 우리 사업을 이해하지 못한다"는 발언 반복
  • 매출 인식: 분기 말 매출 집중도 분석, 반품/할인 후속 거래 검토 강화
  • 재고 평가: 순실현가능가치 평가 기준과 적용 근거 문서 독립적 검증
  • 특수관계자 거래: 전체 거래 내역을 외부 확인으로 검증
  • 경영진 확인서: 사기 관련 질문 항목 확대 및 구체화

체크리스트와 실행 가이드

감사팀 브레인스토밍 체크리스트


다음 단계별로 팀 토론을 진행하여 모든 차원을 빠짐없이 검토합니다:

문서화 가이드


ISA 240.44는 사기위험 식별과 평가 과정을 감사조서에 문서화하도록 요구합니다. 다음 형식을 권장합니다:
위험요인 매트릭스: 세 차원을 행으로, 위험 수준(높음/중간/낮음)을 열로 하여 각 셀에 구체적 위험요인과 근거를 기재
브레인스토밍 회의록: 참석자, 토론 내용, 결론을 상세히 기록하되 특히 반대 의견이나 우려사항도 포함
후속 감사절차 연결표: 식별된 위험요인별로 어떤 감사절차로 대응할지 명시하고 담당자와 완료 예정일을 기재

  • 인센티브 차원 질문들
  • 경영진 성과급 구조와 달성 기준을 구체적으로 파악했는가?
  • 부채계약상 재무비율 제약조건과 현재 달성 수준은?
  • 분기별/연도별 외부 기대치 대비 실제 성과 괴리 정도는?
  • 주요 의사결정권자의 개인적 재정 상황에서 압박 요인은 없는가?
  • 기회 차원 질문들
  • 월말 마감 과정에서 경영진이 개입할 수 있는 지점들을 모두 파악했는가?
  • 시스템 접근 권한과 승인 체계에서 견제와 균형이 작동하는가?
  • 추정이 많이 개입되는 계정과 그 판단 기준을 문서화했는가?
  • 특수관계자나 해외 거래에서 투명성이 충분히 확보되어 있는가?
  • 태도 차원 질문들
  • 감사 과정에서 경영진의 협조 태도와 소통 방식에서 이상 신호는?
  • 내부통제 지적사항이나 회계 이슈에 대한 경영진 반응 패턴은?
  • 조직 내에서 나쁜 소식을 전달하고 토론하는 문화가 형성되어 있는가?
  • 윤리강령이나 준법 체계가 실질적으로 운영되고 있는가?
  • 종합 평가와 연결
  • 세 차원에서 확인된 위험 신호들이 어떻게 상호작용할 수 있는가?
  • 가장 취약한 계정과 주장 수준을 특정했는가?
  • 식별된 위험에 대응하는 구체적 감사절차를 설계했는가?

흔한 실수와 해결책

인센티브만 집중하는 오류


많은 감사팀이 재무적 압박만 확인하고 나머지 두 차원을 소홀히 합니다. 하지만 기회나 합리화 요인이 없으면 사기는 발생하지 않습니다.
해결책: 브레인스토밍 시 세 차원을 순서대로 다루되, 각 차원에서 최소 3개 이상의 구체적 위험요인을 식별하도록 강제합니다.

일반적 체크리스트에만 의존


ISA 240 부록의 예시는 출발점일 뿐입니다. 업종, 규모, 소유구조에 따라 특화된 위험요인을 추가로 고려해야 합니다.
해결책: 동종업계 다른 고객사에서의 경험, 업계 특수성, 최근 규제 변화를 반영한 맞춤형 체크리스트를 작성합니다.

태도 요인을 주관적으로만 평가


"경영진이 비협조적이다"는 막연한 인상보다는 구체적 행동과 발언을 객관적으로 기록해야 합니다.
해결책: 관찰 일지를 작성하여 날짜, 상황, 구체적 발언/행동, 참석자를 기록하고 패턴을 분석합니다.

위험 평가와 감사 절차의 단절


사기위험을 식별하고 평가했지만 이를 실제 감사 절차에 반영하지 못하는 경우가 빈번합니다. ISA 240.30에 따라 식별된 각 위험에 대해 구체적 대응 절차를 설계해야 합니다.
해결책: 위험-대응 매핑표를 작성하여 식별된 위험별로 대응 절차, 담당자, 예정 시기를 명시하고 감사 완료 시 매핑표의 모든 항목이 처리되었는지 점검합니다.

관련 콘텐츠

실무 감사 인사이트를 매주 받아보세요.

시험 이론이 아닙니다. 감사를 빠르게 만드는 실질적인 내용입니다.

290개 이상의 가이드 게시20개 무료 도구현직 감사인이 구축

스팸 없음. 저희는 감사인이지 마케터가 아닙니다.