ISA 240 개정판 실행 체크리스트: 중견 회계법인을 위한 가이드

무엇이 변경되었으며 왜 중요한가

ISA 240 개정판은 2025년 12월 15일 이후 시작하는 회계연도부터 적용되며 조기 적용이 허용된다. 개정판은 감사인이 사기 위험을 식별하고 대응하는 방식을 전면적으로 바꿔놓았다.

이전 기준 vs. 개정 기준

이전 접근 방식: 사기 위험 요소(fraud risk factors)를 체크리스트로 검토한 후 중요한 사기 위험(significant fraud risks)이 존재하는지 판단했다. 대부분의 파일에서 수익 인식과 경영진 의사결정권 남용을 기본 위험으로 설정하고 추가 위험을 식별하는 방식이었다. 솔직히 말하면, 대부분의 인차지가 전기 조서를 그대로 복사해서 쓰고 있었다.

개정된 접근 방식: ISA 240.26은 이제 사기 위험을 스펙트럼(spectrum) 개념으로 평가하도록 요구한다. 낮은 위험부터 높은 위험까지 연속선상에서 각 위험의 정도를 평가하고, 그 정도에 따라 대응 절차의 성격과 범위를 결정한다. 단순한 존재/부재 판단이 아니다.

조서 작성 방식의 변화

이전에는 사기 위험 요소 체크리스트를 완성하고 중요한 위험을 나열한 후 각각에 대한 대응 절차를 기술했다. 개정 기준 하에서는 다음과 같은 새로운 문서화가 필요하다:

1. 스펙트럼 평가 매트릭스: 각 식별된 위험을 낮음-보통-높음 스펙트럼에서 평가하고 근거를 제시 2. 위험별 대응 절차 설계: 위험의 정도에 비례하는 절차의 성격, 시기, 범위 결정 3. 지속적 재평가 문서: 감사 진행 중 새로운 정보에 따른 위험 재평가 과정 기록

실무에서 해야 할 일

현재 사용하는 ISA 240 조서를 다음과 같이 업데이트해야 한다:

계획 단계: 사기 위험 요소 브레인스토밍에 스펙트럼 평가를 추가한다(ISA 240.26). 각 위험에 대해 "존재하는가?"가 아닌 "어느 정도 수준인가?"를 질문하고, 위험 정도에 따른 차별화된 대응 절차를 설계한다.

실행 단계: 추가 정보 획득 시 위험 재평가를 실시한다. 재평가 결과에 따른 절차 수정을 문서화하고, 팀 논의에서 위험 수준 변화를 검토한다.

완료 단계: 최종 위험 평가가 수행한 절차와 일치하는지 확인한다. 미해결 위험에 대한 추가 절차 필요성을 검토한다. 금감원 감리에서 이 부분의 불일치를 지적하는 사례가 늘고 있다.

효력 발생일과 전환 고려사항

2025년 12월 15일 이후 시작하는 회계연도에 적용된다. 2025년 말 결산부터 새로운 조서 양식이 필요하다. 현재 2024년 감사에서 조기 적용은 선택사항이지만, 새로운 접근 방식에 팀을 적응시키기 위해 부분적 시범 적용을 고려할 수 있다. 빅펌은 이미 2024년 감사부터 파일럿을 진행 중이고, 로컬 법인도 준비를 시작해야 할 시점이다.

실제 적용: 한양테크놀로지 주식회사 사례

회사 개요: 한양테크놀로지 주식회사는 반도체 부품 제조업체로 매출 850억 원, 직원 230명 규모다. 대기업 2개사가 전체 매출의 75%를 차지하며, 최근 신제품 개발 투자로 현금흐름이 타이트한 상황이다.

1단계: 스펙트럼 기반 위험 식별

문서화 노트: 위험 식별 매트릭스에 각 위험의 스펙트럼 평가와 근거 기재

수익 인식 위험: 위험 수준은 보통이다. 대기업 고객 2개사 집중, 월말 출하 집중 경향, 검수 완료 시점의 주관적 판단 여지가 근거가 된다. ISA 240.A59를 적용해 업계 특성과 고객 집중도를 함께 고려했다.

경영진 의사결정권 남용: 위험 수준은 낮다. 소유경영 구조이고 이사회의 독립성이 제한적이나 규모상 복잡한 거래구조가 없다. 재무제표 작성자와 승인자 분리 정도는 양호하다.

연구개발비 자본화: 위험 수준은 높다. 신제품 개발 프로젝트 5건이 진행 중이고, 자본화 요건 판단의 주관성이 크다. 현금흐름 압박으로 비용 부담 동기가 존재한다. ISA 240.31을 적용해 회계추정과 관련된 높은 추정 불확실성으로 분류했다.

2단계: 위험별 대응 절차 설계

문서화 노트: 각 위험 수준에 맞는 절차 설계 논리 기술

수익 인식 (보통 위험): 월별 매출 분석 및 월말 집중 패턴을 검토한다. 검수완료증 표본을 확대하고(전체 거래의 15%에서 25%로), 기말 매출 인식 거래에 대한 출하 및 검수 완료를 확인한다.

연구개발비 자본화 (높은 위험): 프로젝트별 자본화 요건을 분석하고 개발 단계 진입 시점 판단 근거를 검토한다. 외부 전문가 자문 내역 확인과 유사 프로젝트 과거 성과 분석도 수행한다.

3단계: 실행 중 재평가

문서화 노트: 8월 중간검토 시점의 위험 재평가 내용

연구개발비 검토 과정에서 신규 정보를 획득했다. 주요 고객사가 해당 신제품에 대해 양산 계약 체결을 확정했다는 내부 문서를 발견한 것이다. 개발 완료 가능성을 높이는 요소로, 연구개발비 자본화 위험을 '높음'에서 '보통'으로 조정하는 근거가 된다.

재조정된 절차로, 표본 확대 대신 계약서 조건 분석과 고객사 확인서 발송으로 절차를 수정했다. 이 조정 과정 자체를 조서에 남기는 것이 개정 기준의 핵심 요구사항이다.

스펙트럼 접근법의 실질적 효과

최종적으로 수익 인식과 연구개발비 자본화 모두 '보통' 위험으로 평가되었고, 각각에 맞는 대응 절차를 수행했다. 스펙트럼 접근법을 통해 위험 수준 변화에 따른 절차 조정이 자연스럽게 이루어졌다. 경험상, 이전 기준에서는 '높음'으로 분류된 위험을 중간에 낮추는 것이 심리적으로 어려웠는데, 스펙트럼 개념이 그 부담을 줄여준다.

실행 체크리스트

다음 항목들을 현재 감사 파일에 내일부터 적용할 수 있다:

1. 조서 양식 업데이트: 기존 사기 위험 체크리스트를 스펙트럼 평가 매트릭스로 교체하고 위험 정도별 칼럼을 추가한다

2. 팀 토론 방식 변경: 브레인스토밍 시 "이 위험이 존재하는가?" 대신 "이 위험은 낮음-보통-높음 중 어디에 해당하는가?"로 질문을 바꾼다

3. 절차 설계 논리 강화: 각 대응 절차가 해당 위험의 평가된 수준과 일치하는지 확인하고 근거를 문서화한다(ISA 240.44 요구사항)

4. 중간검토 프로세스 추가: 감사 진행 중 새로운 정보 획득 시 위험 재평가를 실시하고 절차 조정 여부를 판단한다. 타임이팅의 유혹이 있지만, 재평가 과정을 조서에 남기지 않으면 감리에서 바로 지적받는다

5. 문서화 표준 정립: 위험 수준 변경 시 변경 이유와 절차 조정 내역을 명시적으로 기록한다

6. 사기는 이제 있다/없다가 아니다. 스펙트럼이다. 모든 위험을 정도로 평가하고 그에 맞는 대응을 설계한다.

일반적인 실수

스펙트럼 평가 없이 기존 방식 유지. 여전히 중요한 사기 위험 존재 여부만 판단하고 정도별 평가를 생략하는 경우다. 금감원은 "스펙트럼 평가를 수행하였으나 그 근거가 불분명"이라는 표현으로 지적한다. 실제로는 평가 자체를 하지 않았다는 뜻이다.

재평가 과정 생략. 감사 진행 중 새로운 정보를 획득해도 초기 위험 평가를 그대로 유지하는 경우다. 개정 기준에서는 재평가 과정의 문서화가 명시적 요구사항이 되었다.