ISA 240 개정기준 vs ISA 240 현행기준: 구체적 비교

핵심 변화점

현행기준 vs 개정기준 구조

현행 ISA 240은 부정위험을 하나의 통합된 평가 과정으로 접근합니다. 감사인은 모든 위험요소를 함께 고려하고, 전반적인 위험 수준을 결정한 후 이에 따른 감사절차를 설계합니다.
개정기준은 이를 두 단계로 분리합니다:

적용 시기와 조기 적용

개정기준은 2025년 12월 15일 이후 시작하는 회계연도부터 의무 적용됩니다. 조기 적용은 허용되지만, 전체 감사에 일관되게 적용해야 합니다. 일부 클라이언트에만 조기 적용할 수 없습니다.

실제 변화 사항

개정기준에서 감사인이 실제로 달리 해야 할 것:
위험 식별 단계: 기업 환경을 먼저 평가하고, 그 맥락에서 개별 위험요소의 의미를 해석합니다. 현행기준은 모든 요소를 동시에 고려했지만, 개정기준은 계층적 접근을 요구합니다.
문서화: 두 수준의 위험이 어떻게 상호작용하는지 명시적으로 문서화해야 합니다. "기업 수준 위험이 높기 때문에 매출 인식 위험을 중간 수준에서 높음으로 조정"하는 논리적 연결을 보여야 합니다.
절차 설계: ISA 240.34A는 각 위험 수준에 맞는 "반응적 절차"를 요구합니다. 기업 수준 위험이 높으면 전사적 절차(예: 예상치 못한 감사절차, 감사팀 구성 변경)가 필요하고, 거래 수준 위험이 높으면 해당 영역의 실증절차를 강화해야 합니다.

기업 수준 위험요소: 내부통제 환경, 지배구조, 경영진 특성
거래 수준 위험요소: 특정 계정과목이나 거래유형별 위험

위험 식별 비교

현행기준의 위험 식별

현행 ISA 240.25는 감사인이 부정위험요소를 식별할 때 다음을 고려하도록 합니다:
이 세 요소를 종합적으로 평가하여 부정위험 수준을 결정합니다. 대부분의 감사팀은 위험요소 목록을 작성하고, 각각을 상/중/하로 평가한 후, 전반적인 위험 등급을 도출합니다.

개정기준의 위험 식별

개정 ISA 240.26은 위험요소 매트릭스 접근법을 도입합니다:

결정 프레임워크

기업 수준 위험이 낮은 경우: 거래 수준 위험요소가 존재해도 전반적 위험이 중간 수준을 넘지 않을 수 있습니다. 견고한 내부통제와 투명한 지배구조가 개별 위험을 완화하기 때문입니다.
기업 수준 위험이 높은 경우: 거래 수준에서 중간 정도의 위험요소도 높은 위험으로 평가됩니다. 경영진의 통제 무력화 능력이 개별 위험을 증폭시키기 때문입니다.
실무 적용: 매출 인식에 복잡한 추정이 포함되어 있다면(거래 수준 위험 중간), 견고한 내부통제 환경에서는 중간 위험으로, 약한 통제 환경에서는 높은 위험으로 평가합니다.

부정에 대한 동기나 압력
부정을 저지를 기회
부정을 합리화하는 태도나 인식
ISA 240.A25에 따른 경영진의 내부통제 무력화 능력 (예: 결산 과정에서 승인 없이 수동 분개를 입력하는 경우)
1단계: 기업 수준 요소 평가
지배구조 및 경영진 감시 체계
내부통제 설계 및 운영
경영진의 성실성과 가치관
2단계: 거래 수준 요소 평가
특정 계정과목의 복잡성
추정 및 판단의 주관성 정도
비정상적 거래의 존재
3단계: 상호작용 분석
기업 수준 위험이 거래 수준 위험을 어떻게 증폭하거나 완화하는지 평가
최종 위험 등급은 단순 합계가 아닌 상호작용 결과

실무 적용 사례: 동일 클라이언트 다른 접근

가상 사례: 한국기계산업 주식회사

기업 개요:

현행기준에 따른 위험 평가

문서화: "covenant 압박으로 인한 높은 부정 동기가 존재하며, 수기 통제 미흡이 기회를 제공함. 따라서 매출 및 비용 인식에 높은 부정위험 적용"

개정기준에 따른 위험 평가

→ 기업 수준 위험: 중간
문서화: "전반적인 통제 환경은 양호하나 재고자산 영역에서 복잡한 추정이 결합하여 해당 영역에 높은 부정위험을 적용. 매출은 단순한 인식 기준과 IT 통제로 인해 낮은 위험 적용"

감사절차 차이점

현행기준: 모든 중요 계정에 확장된 절차 적용
개정기준: 위험 수준별 차별화된 절차

매출: 420억 원 (중견기업)
주요 사업: 자동차 부품 제조
최근 3년간 영업이익률 하락 추세
은행 차입금 covenant 위반 우려
위험요소 식별:
동기/압력: 차입금 covenant 유지 압력 (높음)
기회: 수기 분개장 통제 미흡 (중간)
합리화: "일시적 어려움" 인식 (중간)
전반적 평가: 높은 부정위험
감사 대응:
분개장 전수 검토
매출 인식 시점 정밀 검토
추정 계정 독립적 재계산
기업 수준 평가:
지배구조: 독립이사 2명, 감사위원회 분기별 회의 (중간)
내부통제: IT 통제 양호, 수기 승인 통제 미흡 (중간)
경영진 성실성: 과거 위반 이력 없음, 투명한 소통 (높음)
거래 수준 평가:
매출 인식: 표준 제품, 단순한 인식 기준 (낮음)
재고자산: 복잡한 원가 계산, 진부화 추정 필요 (높음)
기타 계정: 일반적 위험 수준 (낮음-중간)
상호작용 분석:
기업 수준(중간) × 재고자산(높음) = 높은 위험
기업 수준(중간) × 매출(낮음) = 낮은 위험
매출 cut-off 테스트 100% 확장
재고자산 실사 참관 및 독립 재계산
분개장 키워드 검색 범위 확대
매출: 표준 절차 (sampling 기반 cut-off 테스트)
재고자산: 집중적 절차 (전수 aging 분석, 독립적 NRV 계산)
기업 수준: 예상치 못한 감사절차 (무작위 시점 현금 실사)

문서화 차이

현행기준 문서화

현행 ISA 240.44는 다음을 문서화하도록 요구합니다:
대부분의 파일에서 이는 위험요소 체크리스트와 간단한 요약 문단으로 구성됩니다.

개정기준 문서화

개정 ISA 240.47은 추가적으로 다음을 요구합니다:
문서화 템플릿 예시:
```
기업 수준 위험 평가:
→ 기업 수준 종합: [낮음/중간/높음]
거래 수준 위험 평가:
계정과목별:
상호작용 분석:
대응 절차:
```

팀 토론 내용
식별된 위험요소와 평가 결과
부정위험에 대한 감사 대응
기업 수준과 거래 수준 위험의 구분된 평가
두 수준 간 상호작용 분석 과정
각 위험 수준별 대응 절차의 설계 근거
통제 환경: [평가 및 근거]
지배구조: [평가 및 근거]
경영진 특성: [평가 및 근거]
매출: [위험요소 + 평가]
재고: [위험요소 + 평가]
기타: [위험요소 + 평가]
매출: 기업(중간) + 거래(낮음) = 최종(낮음), 근거: [...]
재고: 기업(중간) + 거래(높음) = 최종(높음), 근거: [...]
기업 수준 대응: [예상치 못한 절차, 팀 구성 등]
거래 수준 대응: [계정별 구체적 절차]

체크리스트

기업 수준 위험 요소를 별도로 평가했는가? 지배구조, 내부통제, 경영진 성실성을 독립적으로 문서화하고 종합 평가를 도출합니다. ISA 240.26 참조.
거래 수준 위험을 계정별로 세분화했는가? 각 중요 계정과목에서 복잡성, 주관성, 비정상성을 개별 평가합니다.
두 수준의 상호작용을 명시적으로 분석했는가? 단순 합계가 아닌, 기업 환경이 개별 위험을 어떻게 변화시키는지 논리를 문서화합니다.
각 위험 수준에 맞는 대응절차를 설계했는가? 기업 수준 위험에는 전사적 절차, 거래 수준 위험에는 해당 영역별 절차를 적용합니다.
개정기준 문서화 요구사항을 충족했는가? ISA 240.47이 요구하는 계층적 문서화 구조를 완성했는지 확인합니다.
가장 중요한 것: 개정기준은 위험의 근본 원인을 이해하도록 요구합니다. 위험요소 목록 작성을 넘어 "왜 이 기업에서 이 위험이 발생하는가"에 답할 수 있어야 합니다.

흔한 실수

기존 체크리스트 그대로 사용: 현행기준용 위험평가 체크리스트로는 개정기준의 계층적 접근을 충족할 수 없습니다.
상호작용 분석 생략: 기업 수준과 거래 수준을 별도로 평가했지만 둘 사이의 연결을 문서화하지 않는 경우가 많습니다.