ISA 240 개정: 새로운 부정 브레인스토밍 요구사항 해설

ISA 240 개정의 핵심 변화

이전 기준 vs 개정 기준

기존 ISA 240(2009)은 감사팀이 부정 위험에 대해 논의해야 한다고만 규정했다. 구체적 방법론은 없었다. 현실적으로 대부분의 팀은 전년도 조서에서 체크리스트를 복사하고 표준 절차를 문서화하는 수준에 그쳤다.

개정 ISA 240은 완전히 다른 접근법을 취한다. 브레인스토밍을 구조화된 세션으로 정의하고, 참가자 구성부터 논의 주제, 결과 반영, 문서화 수준까지 최소 요구사항을 명시한다.

실제로 해야 할 일

ISA 240.15A에 따라 감사팀은 다음을 수행해야 한다. - 업무수행이사 또는 그가 지정한 경험 있는 팀원이 주도하는 브레인스토밍 세션 개최 - 핵심 감사팀원 전원의 의무 참여(외부 전문가 포함) - 고객 특성에 기반한 부정 시나리오 개발 - 각 시나리오에 대한 위험 평가 및 대응 방안 연결 - 세션 결과의 체계적 문서화

적용 시기는 2024년 12월 15일 이후 시작하는 회계연도이며, 조기 적용도 허용된다.

새로운 브레인스토밍 요구사항

세션 구성과 참가자

ISA 240.15A는 브레인스토밍 세션의 필수 참가자를 명시한다. 업무수행이사가 직접 주도하거나, 충분한 경험을 갖춘 시니어 팀원에게 위임할 수 있다. 핵심 감사팀원 전원이 참여해야 하며, 외부 전문가나 컴포넌트 감사인이 있으면 해당 인력도 포함시켜야 한다.

시즌 초반, 감사 계획 단계에서 개최하는 것이 원칙이다. 위험 평가 절차를 완료하기 전에 실시하여 그 결과를 고객 이해와 위험 식별에 반영해야 한다.

필수 논의 주제

ISA 240.A18A는 브레인스토밍에서 다뤄야 할 최소 주제를 제시한다.

고객별 부정 위험 요소로는 업종, 규모, 소유 구조, 규제 환경, 과거 부정 사례를 고려하여 잠재적 부정 영역을 식별한다.

경영진 개입 가능성에 대해서는 통제 우월적 지위 남용, 수동 분개 조작, 회계 추정 편향 등 경영진이 개입할 수 있는 구체적 방법을 논의한다. 빅펌에서는 이 부분을 별도 섹션으로 분리해서 조서를 작성하는 경우가 많다.

자산 유용 시나리오는 현금, 재고자산, 고정자산, 무형자산별로 유용 방법과 은닉 수단을 검토한다.

재무보고 부정 동기는 대출 약정, 상장 계획, 경영진 보상 체계, 애널리스트 기대치 등 부정을 유발할 수 있는 압박 요인을 분석한다.

문서화 요구사항

개정 기준은 브레인스토밍 문서화 수준을 구체화했다. ISA 240.A45B에 따라 다음을 기록해야 한다.

- 세션 일시, 참가자, 진행자 - 논의된 각 부정 시나리오의 구체적 내용 - 각 시나리오에 대한 팀의 위험 평가 결론 - 식별된 위험에 대한 대응 방안 연결 - 추가 고려 사항이나 후속 조치

금감원 감리에서는 "브레인스토밍을 했다"는 기록만으로는 부족하다. 검토자가 세션 과정과 결론을 따라갈 수 있을 정도로 상세한 조서가 필요하다.

실무 적용 예시

고객 개요는 다음과 같다. 대한정밀기계 주식회사, 자동차 부품 제조업체로 매출 850억 원(전년 대비 15% 증가), 직원 180명. 주요 완성차 업체 3곳에 70%를 납품하고 있고, 신규 해외 진출을 계획 중이다.

1단계: 세션 계획 및 준비

문서화 노트: 참가자 명단과 각자 역할, 세션 목표를 조서에 기록

업무수행이사가 주도하고 시니어 2명, 스태프 1명이 참여한다. IT 전문가와 재고자산 전문가도 포함시켰다. 세션 전에 고객의 업계 동향과 전기 감사에서 식별된 위험 요소를 미리 검토해 둔다.

2단계: 고객별 부정 위험 시나리오 개발

문서화 노트: 각 시나리오별로 구체적 부정 방법과 잠재적 재무제표 영향을 기술

시나리오 1은 매출 조기 인식이다. 주요 고객사와의 분기말 물량 조정을 통한 매출 부풀리기로, 완료되지 않은 제품을 출하 처리하고 차기에 품질 문제로 반품 처리하는 방식이다.

시나리오 2는 재고자산 가치 평가 조작이다. 부동 재고나 진부화 재고를 정상 재고로 분류하여 매출원가를 과소 계상한다. 신모델 출시로 구모델 부품의 수요가 급감하는 상황에서 발생 가능성이 높다.

시나리오 3은 관련당사자 거래 은닉이다. 경영진 친인척이 운영하는 협력업체와의 거래를 시장가격이 아닌 우대 조건으로 처리하되 공시에서 누락하는 구조다.

3단계: 위험 평가 및 대응 연결

문서화 노트: 각 시나리오에 대한 위험 평가 결론과 대응 절차 연결 내용을 명시

시나리오 1은 높은 위험으로 평가했다. 분기별 매출 변동 분석과 기말 재고 실사를 강화한다. 시나리오 2는 중간 위험으로 분류하고 재고자산 회전율 분석과 진부화 검토를 실시한다. 시나리오 3은 낮은 위험이지만 관련당사자 거래 전수 검토를 계획에 포함시켰다.

4단계: 세션 결과 종합 및 문서화

문서화 노트: 브레인스토밍 결론과 후속 감사 절차 계획에 미치는 영향을 요약

주요 시나리오 3개와 부차적 위험 5개를 식별했다. 각각에 대해 위험 수준을 평가하고 대응 절차를 연결했다. 분기 검토 시점에 재평가하기로 결정.

실무 체크리스트

1. 브레인스토밍 세션을 계획 단계에서 개최했는가 - 위험 평가 완료 전에 실시하여 결과를 반영할 수 있도록 타이밍을 조정한다 - 근거 조항은 ISA 240.15A

2. 필수 참가자가 모두 포함되었는가 - 업무수행이사 또는 지정된 경험 있는 팀원이 주도 - 핵심 감사팀원 전원 참여 - 해당 시 외부 전문가나 컴포넌트 감사인 포함

3. 고객별 특성을 반영한 구체적 시나리오를 개발했는가 - 업종, 규모, 사업 환경에 기반한 맞춤형 부정 시나리오 - 전년도 조서를 복사한 체크리스트가 아니라 실제 발생 가능한 부정 방법을 논의

4. 각 시나리오에 대한 위험 평가를 수행했는가 - 발생 가능성과 재무제표에 미치는 영향을 종합 평가 - 높음/중간/낮음 등급 부여 및 근거 명시

5. 브레인스토밍 결과를 감사 절차에 연결했는가 - 식별된 위험에 대응하는 구체적 감사 절차 계획을 수립한다 - 표준 절차와 추가 절차를 구분하여 계획

6. 문서화가 감리 대응 가능한 수준으로 작성되었는가 - 세션 과정과 결과를 제3자가 따라갈 수 있을 정도의 상세함 - ISA 240.A45B 요구사항 충족 여부 확인

흔한 실수들

- 형식적 브레인스토밍. 금감원 감리에서 가장 빈번하게 지적되는 문제다. 체크리스트만 검토하고 고객별 특성을 반영하지 않는 형식적 접근은 이제 통하지 않는다. 로컬 법인이든 빅펌이든 마찬가지다.

- 문서화 부족. 브레인스토밍을 실시했지만 과정과 결과를 제대로 기록하지 않아 감리 시 실시 여부를 입증하지 못하는 경우가 있다. 조서에 "실시함"만 적는 시대는 지났다.

- 후속 조치 누락. 브레인스토밍에서 식별된 위험을 실제 감사 절차에 반영하지 않거나, 위험 평가와 대응 절차 사이의 연결이 불분명한 경우다. 인차지가 이 연결 고리를 조서에 명확히 남기지 않으면 타임이팅으로 끝날 수 있다.