ISA 240 사기위험요인: 실제 감사업무에서 세 가지 차원을 모두 평가하는 방법

사기삼각형의 세 가지 차원

ISA 240.A1은 미국의 범죄학자 도날드 크레시(Donald Cressey)가 개발한 사기삼각형 이론을 참조한다. 사기 발생에는 세 가지 조건이 동시에 충족되어야 한다는 모델이다.

ISA 240.28은 감사인이 "사기로 인한 중요한 왜곡표시의 위험요인에 대해 질문하고 토론"하도록 요구하며 부록에서 위험요인 예시를 제시한다. 단순히 목록을 체크하는 것으로는 부족하다. 각 차원의 상호작용을 이해해야 한다.

인센티브/압력 요인은 사기를 저지를 동기를 만든다. 개인적 재정 문제, 비현실적 성과 목표, 분기별 수익 압박이 여기에 해당된다. ISA 240.A2는 이를 "개인이나 기업이 사기를 저지르도록 하는 인센티브나 압력"으로 정의한다.

기회 요인은 사기를 실행하고도 발각되지 않을 수 있는 상황을 만든다. 통제 환경의 약점, 경영진의 통제 무력화 능력이 포함된다. 복잡한 거래 구조도 빠지지 않는다.

태도/합리화 요인은 사기를 정당화하는 심리적 환경을 나타낸다. "회사를 살리기 위한 일시적 조치"라거나 "모든 회사가 하는 일"이라는 식의 사고가 이 차원에 해당된다.

왜 세 차원을 모두 평가해야 하는가

금감원 감리 지적사항을 보면 사기위험 평가가 인센티브 차원에 편중된 사례가 반복적으로 등장한다. 실무에서 이것이 의미하는 것: 기회나 합리화 요인을 빠뜨리면 조서가 너무 얇다는 지적을 피하기 어렵다. ISA 315.13(a)는 "사업 위험이 재무보고에 미치는 영향"을 고려하도록 하며, 사기위험도 동일한 논리를 따른다.

인센티브와 압력 요인 평가

인센티브 요인은 가장 식별하기 쉬운 차원이다. 재무적 압박이나 성과 목표가 비교적 명확하게 드러나기 때문이다.

재무적 인센티브 신호

ISA 240.A6에서 제시하는 주요 재무적 인센티브 요인은 다음과 같다.

수익성 압박은 분기별 실적 발표, 부채계약상 재무비율 유지 요구사항, 상장 예정에 따른 밸류에이션 압박으로 나타난다. 한국 상장회사의 경우 분기보고 압박이 특히 거세다.

개인적 재정 상황도 빠뜨릴 수 없다. 경영진의 주식 옵션 만료 예정, 개인 보증 부채 상황 등을 파악해야 한다. 직접 질문하기 어려운 영역이므로 공시자료나 간접적 신호를 통해 확인한다.

외부 기대치도 검토 대상이다. 애널리스트 컨센서스, 이전 년도 가이던스, 산업 평균 대비 성과 괴리를 살펴본다.

비재무적 압력 요인

성과급 구조, 승진 조건, 해고 위험 역시 인센티브가 된다. 제 경험상 중간관리층이 가장 취약하다. 재무적 결과에 대한 책임은 있지만 의사결정 권한은 제한적인 위치에서 압박을 크게 느끼는 구조다.

조직 내 정치적 압력도 간과하기 쉽다. 부서 간 갈등, 구조조정 계획, 성과 평가 기준 변경이 단기 실적 조작 동기를 만들 수 있다.

업계 고유의 압박 요인도 고려 대상이다. 계절성이 강한 사업, 정부 규제 변경 예정, 주요 고객 계약 만료 등이 해당된다.

기회 요인 식별

기회 요인은 가장 복잡한 차원이다. 내부통제 설계와 운영 상황, 거래의 복잡성, 경영진 권한 구조를 모두 고려해야 하기 때문이다.

내부통제 환경 평가

ISA 240.A8은 기회 요인으로 "재무보고에 대한 내부통제의 부재 또는 비효과성"을 제시한다.

승인 통제의 한계부터 보자. 경영진이 일반적 승인 한도를 초과하는 거래를 단독으로 결정할 수 있는 상황이다. 특수관계자 거래나 비정상적 분개에서 자주 나타난다.

시스템 통제 약점도 중요하다. 수작업 개입 여지가 많은 회계시스템, 사용자 권한 관리 부실, 변경 내역 추적이 불가능한 구조가 사기 기회를 제공한다.

분장 통제 부실은 특히 로컬 감사에서 흔한 문제다. 한 사람이 거래 승인부터 기록과 자산 보관까지 담당하는 상황에서 사기 위험은 크게 증가한다.

복잡한 거래 구조

특수목적회사(SPC) 활용 패턴을 살펴봐야 한다. 연결 대상 판단이 모호한 SPC를 통한 거래, 해외 자회사를 이용한 복잡한 자금 이동 구조가 주요 검토 대상이다.

추정과 판단이 많은 영역도 기회 요인이 된다. 공정가치 측정, 충당부채 설정, 무형자산 손상 검토에서 경영진 판단의 여지가 클 때 조작 기회가 증가한다.

감독 기능 약화

이사회 독립성 부족, 감사위원회 전문성 한계, 내부감사 기능 미흡은 경영진 견제 기능을 약화시켜 사기 기회를 확대한다.

태도와 합리화 신호 포착

태도 요인은 가장 식별하기 어려운 차원이다. 사람의 내면적 사고와 조직 문화를 평가해야 하기 때문이다. 막상 해보니까 이 차원에서 제대로 된 증거를 확보하는 건 멘탈이 깨지는 작업이다. 경영진 앞에서 "당신의 태도가 사기 위험 신호입니다"라고 말할 수는 없으니까.

경영진 태도 신호

ISA 240.A10에서 제시하는 태도 관련 위험요인을 실무에서 포착하는 방법을 보자.

감사인에 대한 태도가 첫 번째 관찰 포인트다. 감사 과정에서 비협조적이거나 적대적인 반응, 문서 제공 지연, 질문에 대한 회피적 답변이 위험신호가 될 수 있다. 단순한 업무 부담이나 소통 방식의 차이일 수도 있으므로 신중하게 판단한다.

규제 당국에 대한 인식도 살펴봐야 한다. "세무당국은 우리를 이해하지 못한다"거나 "회계기준이 현실을 반영하지 못한다"는 식의 발언이 반복될 때 주의가 필요하다.

과도한 자신감도 관찰 대상이다. 복잡한 회계 처리나 추정에 대해 지나치게 확신하거나 반대 의견에 감정적으로 반응하는 경향을 기록한다.

조직 문화 지표

윤리강령 운영 실태를 확인한다. 윤리강령이 존재하더라도 실제 운영되지 않거나 형식적인 수준에 그치는 경우가 많다. 위반 사례 처리 내역과 교육 실시 현황을 확인한다.

성과 중심 문화의 부작용도 검토 대상이다. "결과가 전부"라는 식의 조직 문화에서는 과정을 무시하는 경향이 나타난다.

의사소통 패턴도 무시할 수 없다. 나쁜 소식을 전달하기 어려운 조직 구조, 상명하복이 강한 문화에서는 문제를 은폐하려는 경향이 강해진다.

실무 사례 분석

시나리오: 대한정밀기계 주식회사

자동차 부품 제조업체, 매출 850억 원, 직원 280명, 코스닥 상장 예정 2년 연기 상태.

1단계 — 인센티브 요인 식별: - 상장 지연으로 인한 기존 투자자들의 압박 - CEO 연봉의 40%가 성과급(영업이익률 8% 달성 시) - 주력 고객사(현대차 협력업체)와의 계약 갱신 협상 진행 중 - 분기별 은행 재무비율 점검 (부채비율 150% 이하 유지 조건)

조서 노트: 인센티브 매트릭스에서 재무적/비재무적 압박 요인별로 영향도와 가능성을 5점 척도로 평가하고 근거 문서를 연결

2단계 — 기회 요인 분석: - ERP 시스템에서 CFO와 회계팀장이 동일한 승인 권한 보유 - 월말 마감 시 수작업 분개 항목이 전체의 35% 차지 - 재고자산 실사 시 생산 중인 반제품 평가에 상당한 추정 개입 - 감사위원회 구성원 중 회계/감사 전문가 없음

조서 노트: 내부통제 취약점별로 사기 시나리오와 잠재적 영향 금액을 구체적으로 기술

3단계 — 태도 요인 관찰: - 전년도 감사에서 수정사항에 대해 "일시적 회계 차이"라고 지속적으로 표현 - 관리회계 보고서와 재무회계 수치 차이에 대해 "보수주의 원칙 적용"이라고 설명 - 내부감사팀의 지적사항을 "과도하게 보수적인 해석"이라고 평가 - 분기별 실적 발표 후 "시장이 우리 사업을 이해하지 못한다"는 발언 반복

조서 노트: 관찰된 태도와 발언을 날짜, 참석자, 맥락과 함께 기록하고 위험도 평가에 반영

4단계 — 종합 위험 평가:

세 차원 모두에서 중간 수준 이상의 위험 신호가 확인되었다. 상장 압박과 성과급 구조(인센티브), ERP 승인 체계 취약점(기회), 감사 지적사항에 대한 방어적 태도(합리화)가 결합되어 매출 인식과 재고 평가 영역에서 사기 위험이 높다고 판단했다.

조서 노트: 위험 매트릭스에서 각 차원별 점수와 가중치를 적용하여 전체적인 사기위험도를 산출하고 감사계획의 중요한 왜곡표시 위험 평가에 반영

5단계 — 감사절차 설계: - 매출 인식: 분기 말 매출 집중도 분석, 반품/할인 후속 거래 검토 강화 - 재고 평가: 순실현가능가치 평가 기준과 적용 근거 문서 독립적 검증 - 특수관계자 거래: 전체 거래 내역을 외부 확인으로 검증 - 경영진 확인서: 사기 관련 질문 항목 확대 및 구체화

체크리스트와 실행 가이드

감사팀 브레인스토밍 체크리스트

다음 단계별로 팀 토론을 진행하여 모든 차원을 빠짐없이 검토한다.

1. 인센티브 차원 질문들 - 경영진 성과급 구조와 달성 기준을 구체적으로 파악했는가? - 부채계약상 재무비율 제약조건과 현재 달성 수준은? - 분기별/연도별 외부 기대치 대비 실제 성과 괴리 정도는? - 주요 의사결정권자의 개인적 재정 상황에서 압박 요인은 없는가?

2. 기회 차원 질문들 - 월말 마감 과정에서 경영진이 개입할 수 있는 지점들을 모두 파악했는가? - 시스템 접근 권한과 승인 체계에서 견제와 균형이 작동하는가? - 추정이 많이 개입되는 계정과 그 판단 기준을 조서에 남겼는가? - 특수관계자나 해외 거래에서 투명성이 충분히 확보되어 있는가?

3. 태도 차원 질문들 - 감사 과정에서 경영진의 협조 태도와 소통 방식에서 이상 신호는? - 내부통제 지적사항이나 회계 이슈에 대한 경영진 반응 패턴은? - 조직 내에서 나쁜 소식을 전달하고 토론하는 문화가 형성되어 있는가? - 윤리강령이나 준법 체계가 실질적으로 운영되고 있는가?

4. 종합 평가와 연결 - 세 차원에서 확인된 위험 신호들이 어떻게 상호작용할 수 있는가? - 가장 취약한 계정과 주장 수준을 특정했는가? - 식별된 위험에 대응하는 감사절차를 설계했는가?

문서화 가이드

ISA 240.44는 사기위험 식별과 평가 과정을 감사조서에 문서화하도록 요구한다.

위험요인 매트릭스는 세 차원을 행으로, 위험 수준(높음/중간/낮음)을 열로 구성하여 각 셀에 위험요인과 근거를 기재한다.

브레인스토밍 회의록에는 참석자, 토론 내용, 결론을 기록하되 반대 의견이나 우려사항도 포함한다.

후속 감사절차 연결표에는 식별된 위험요인별로 어떤 감사절차로 대응할지 명시하고 담당자와 완료 예정일을 기재한다.

흔한 실수와 해결책

인센티브만 집중하는 오류

많은 감사팀이 재무적 압박만 확인하고 나머지 두 차원을 소홀히 한다. 기회나 합리화 요인이 없으면 사기는 발생하지 않는다.

해결책은 브레인스토밍 시 세 차원을 순서대로 다루되 각 차원에서 최소 2개 이상의 위험요인을 식별하도록 강제하는 것이다. 품관실 리뷰에서도 이 균형을 확인하도록 체크포인트를 넣는다.

일반적 체크리스트에만 의존

ISA 240 부록의 예시는 출발점일 뿐이다. 업종, 규모, 소유구조에 따라 특화된 위험요인을 추가로 고려해야 한다.

해결책은 동종업계 다른 고객사에서의 경험, 업계 특수성, 최근 규제 변화를 반영한 맞춤형 체크리스트를 작성하는 것이다.

태도 요인을 주관적으로만 평가

"경영진이 비협조적이다"는 막연한 인상으로는 부족하다. 구체적 행동과 발언을 객관적으로 기록해야 한다.

해결책은 관찰 일지를 작성하여 날짜, 상황, 구체적 발언/행동, 참석자를 기록하고 패턴을 분석하는 것이다.