ISA 240 개정 2024: 변경된 모든 내용

무엇이 바뀌었고 왜 중요한가

개정 배경

ISA 240 개정은 전 세계 감리 기관에서 반복적으로 지적된 문제에 대응한다. 감사인이 사기 위험을 과소평가하거나 경영진 답변을 충분히 의심하지 않는 경향이 발견된 것이다. IAASB는 3년간의 연구를 통해 전문가적 의구심의 적용이 일관되지 않다는 결론에 도달했다.

적용 시기와 조기 적용

적용 시기는 2026년 12월 15일 이후 시작되는 회계기간이다. 조기 적용은 허용되며 2025년부터 가능하다.

변경사항 상세 분석

변경사항 1: 바이어스 알러트 접근법 (ISA 240.A7a-A7c)

이전 기준에서 감사인은 경영진이 정직하다고 가정하고 시작했다. 의구심을 가질 이유가 발견되면 추가 조사를 수행하는 구조였다.

개정 기준은 이 순서를 뒤집는다. 감사인은 중립적 입장에서 시작한다. ISA 240.A7a는 "감사인은 경영진의 정직성을 가정하거나 의심해서는 안 되며, 중립적 관점에서 증거를 평가해야 한다"고 명시한다.

실무에서 바뀌는 건 이것이다. 경영진의 답변을 받아들이기 전에 독립적 증거로 뒷받침되는지 확인해야 한다. "경영진이 그렇게 말했으니 맞을 것"이 아니라 "경영진이 그렇게 말하는데 이를 뒷받침하는 증거가 있는가"로 접근이 바뀐다. 솔직히 빅펌에서는 이미 비슷한 방향으로 가고 있었지만 명문화된 건 이번이 처음이다.

변경사항 2: 강화된 팀 토론 요구사항 (ISA 240.15-16)

이전 기준에서 팀 토론은 사기 위험의 가능성과 재무제표가 사기로 인해 중요하게 왜곡표시될 수 있는 방법을 논의하는 수준이었다.

개정 기준은 ISA 240.15에서 팀 토론에 다음을 추가로 요구한다: - 바이어스가 판단에 미칠 수 있는 영향 - 경영진 및 내부통제 담당자와의 질의에서 전문가적 의구심을 적용하는 방법 - 예상치 못한 결과나 모순되는 정보에 대응하는 방법

변경사항 3: 질의 절차 강화 (ISA 240.A29-A31)

이전 기준에서 감사인은 경영진과 내부통제 담당자에게 사기에 대해 질의하고 답변을 문서화했다.

개정 기준에서 ISA 240.A29는 질의 시 다음을 요구한다: - 일관되지 않거나 모호한 답변에 대한 후속 질의 - 여러 직급에서 받은 답변 간의 일관성 확인 - 답변을 뒷받침하는 문서나 증거 요청

실무 적용 예시

한솔제지 주식회사 사례

회사 개요: 한솔제지 주식회사(가명), 매출 850억 원, 종이 및 판지 제조업, 직원 수 420명.

시나리오는 2027년 3월 결산 감사에서 ISA 240 개정기준을 적용하는 경우다.

1단계: 중립적 관점에서 위험평가 시작

조서 노트: 위험평가 조서에 "중립적 관점 적용" 섹션을 신설하여 경영진 정직성에 대한 가정 없이 평가를 시작한다고 기록

재무이사가 "올해 원가절감 프로그램으로 15% 효율성이 개선되었다"고 설명한다. 이전 기준에서는 이 설명을 받아들이고 원가절감 세부사항을 검토했을 것이다.

개정 기준에서는 다음을 확인한다: - 원가절감 프로그램의 구체적 내용과 실행 시기 - 15% 개선의 계산 근거 - 월별 원가 분석을 통한 개선 추이 확인 - 생산량 대비 원가 변동의 합리성

조서 노트: 중립적 관점에서 경영진 설명을 독립적으로 검증한 절차와 결과를 상세히 기록

2단계: 강화된 팀 토론 실시

팀 토론에서 다음을 논의한다.

바이어스 식별: - 전년도 감사에서 큰 문제가 없었기 때문에 올해도 괜찮을 것이라는 확증 편향 - 경영진이 협조적이어서 사기 위험이 낮을 것이라는 후광 효과

조서 노트: 팀 토론 조서에 식별된 바이어스와 이를 방지하기 위한 절차를 기록

전문가적 의구심 적용 방법: - 경영진 답변에 대해 "왜?"를 세 번 묻기 - 모순되는 정보 발견 시 즉시 추가 조사 - 예상 범위를 벗어나는 변동에 대한 검토

3단계: 강화된 질의 절차 적용

경영진 질의: "사기 위험과 관련하여 알고 계신 내용이 있습니까?"

경영진 답변: "특별한 문제는 없습니다."

제 경험상 이 답변이 나오는 비율은 거의 100%다. 개정 기준에 따른 후속 질의는 여기서 멈추지 않는다: - "특별한 문제가 없다"는 것의 구체적 의미 - 내부통제 시스템에서 발견된 이상 거래나 경보 - 직원 불만이나 윤리적 문제 제기 사례 - 경쟁사 대비 수익성이나 비용 구조의 특이점

조서 노트: 질의와 답변, 후속 질의를 통해 확인한 추가 정보와 그에 대한 검증 절차를 기록

이 접근법을 통해 원가절감 효과가 일부 과대 계산되었을 가능성을 발견하고 추가 실증 절차를 수행하여 1.2억 원의 조정사항을 식별했다.

실무 체크리스트

1. 위험평가 시작 전 중립적 관점 확립 - 경영진 정직성에 대한 사전 가정 제거 - ISA 240.A7a에 따른 중립적 증거 평가 방법 수립

2. 강화된 팀 토론 실시 - 바이어스 식별 및 방지 방법 논의 (ISA 240.15) - 전문가적 의구심 적용 방법 구체화 - 예상치 못한 결과 대응 계획 수립

3. 질의 절차 정비 - 일관되지 않는 답변에 대한 후속 질의 준비 - 여러 직급 간 답변 일관성 확인 절차 (ISA 240.A29) - 답변 뒷받침 증거 요청 및 검토

4. 문서화 강화 - 중립적 관점 적용 과정 기록 - 바이어스 방지 노력과 전문가적 의구심 적용 사례 조서 작성 - 질의 결과와 후속 조치 상세 기록

5. 지속적 평가 - 감사 진행 과정에서 새로운 정보에 대한 중립적 평가 - 초기 평가와 모순되는 증거 발견 시 재평가 수행

흔한 실수들

바이어스 알러트를 형식적으로만 적용하는 경우가 가장 흔하다. 중립적 관점이라고 조서에 기록하지만 실제로는 여전히 경영진 설명을 그대로 수용한다. 조서가 너무 얇다는 품관실 지적이 나올 수밖에 없는 패턴이다.

팀 토론에서 바이어스 논의를 생략하는 것도 빈번하다. 타임이팅에 시달리다 보면 바이어스 식별과 방지 방법 논의를 건너뛰고 기존 방식으로 사기 위험만 논의하게 된다. 감리 나오면 큰일이라는 걸 알면서도 시간 압박 앞에서는 제살 깎아먹기 구조를 반복한다.