목차

목차

무엇이 변했고 왜 중요한가

이전 기준 vs 개정 기준


이전 ISA 240:
개정 ISA 240:

실제로 해야 할 일


개정 기준에 따라 감사팀은 다음을 수행해야 합니다:
적용 시기는 2026년 12월 15일 이후 시작하는 회계연도입니다. 조기 적용이 허용됩니다.

  • 내부신고 시스템의 존재 여부만 확인
  • 신고자 정보의 감사 증거 활용에 대한 지침 부재
  • 제3자 부정행위는 일반적 부정행위 절차에 포함
  • ISA 240.15A: 내부신고 정보를 부정행위 위험 식별에 적극 활용 요구
  • ISA 240.A62-A68: 제3자 부정행위(공급업체, 고객, 기타 외부 당사자) 위험을 별도 범주로 평가
  • ISA 240.A65: 신고자 신원 보호와 정보 활용 간 균형 유지 지침
  • 내부신고 채널 확인: 기업의 모든 내부신고 채널(온라인 포털, 핫라인, 익명 신고함)을 식별하고 운영 현황을 파악합니다.
  • 신고 정보 검토: 감사 기간과 관련된 모든 내부신고를 검토하되, 신고자의 익명성을 보장하는 방식으로 진행합니다.
  • 제3자 위험 평가: 공급업체와의 후방공급업체 계약, 고객과의 수익 인식 조작, 외부 서비스 제공업체와의 공모 위험을 별도로 평가합니다.

신고자 정보 처리 요구사항

ISA 240.15A의 구체적 요구사항


ISA 240.15A는 감사인이 내부신고 정보를 부정행위 위험 식별 절차에 포함하도록 요구합니다. 단순히 신고 시스템이 있는지 확인하는 것이 아닙니다. 실제 신고 내용을 검토해야 합니다.

신고자 보호와 정보 활용의 균형


ISA 240.A65는 신고자 신원 보호의 중요성을 강조합니다. 감사인은 다음을 준수해야 합니다:

문서화 요구사항


ISA 240.25는 다음 사항의 문서화를 요구합니다:

  • 신고자의 신원을 경영진에게 공개하지 않습니다
  • 신고 내용만을 바탕으로 추가 감사 절차를 설계합니다
  • 신고 정보를 다른 감사 증거와 결합하여 부정행위 위험을 평가합니다
  • ISA 240.A65.2에 따라 신고 정보의 신뢰성을 독립적으로 검증합니다 (예: 익명 신고로 접수된 매출 조작 의혹에 대해 해당 거래의 출하증빙을 별도 확인)
  • 검토한 내부신고의 성격과 범위
  • 신고 정보가 부정행위 위험 평가에 미친 영향
  • 신고자 보호를 위해 취한 조치
  • ISA 240.25(b)에 따라 신고 미접수 기간이 있을 경우 그 사유와 대체 절차 (예: 신고 채널 운영이 6개월 미만인 신설 기업에서 경영진 면담과 내부감사 보고서 검토로 보완)

제3자 부정행위 위험 평가

새로운 위험 범주


ISA 240.A62는 제3자 부정행위를 별도 위험 범주로 분류합니다. 기존의 경영진 부정행위, 직원 부정행위와 구분되는 세 번째 범주입니다.

제3자 부정행위의 유형


ISA 240.A63-A67에서 제시하는 주요 유형:

위험 평가 절차


각 제3자 유형별로 다음을 평가합니다:

  • 공급업체 공모: 가격 조작, 가상 거래, 킥백 제공
  • 고객 공모: 허위 매출 인식, 채권 조작
  • 외부 서비스 제공업체: 평가 조작, 허위 보고서 제공
  • 규제기관과의 공모: 허가나 승인 과정에서의 부정행위
  • 거래의 상업적 합리성
  • 가격 결정 과정의 투명성
  • 제3자와 경영진 간의 관계
  • 비정상적 거래 조건이나 지급 방식

실무 적용 사례

> 가상 사례: 동해산업 주식회사

동해산업은 부산에 본사를 둔 철강 제조업체로 연매출 850억 원, 직원 320명 규모입니다. 2026년 12월 결산 감사를 진행 중입니다.
1단계: 내부신고 채널 확인
문서화 노트: 기업의 온라인 신고 포털, 감사위원회 직통 핫라인, 익명 신고함 3개 채널 확인
동해산업은 온라인 포털(company-ethics.co.kr), 감사위원회 직통 핫라인(1588-1234), 본사 1층 익명 신고함을 운영 중입니다. 지난 12개월간 총 7건의 신고가 접수되었습니다.
2단계: 관련 신고 검토
문서화 노트: 7건 중 재무보고와 관련된 2건 식별, 신고자 익명성 유지하며 내용만 검토
7건 중 2건이 재무보고와 관련:
3단계: 제3자 위험 평가
문서화 노트: 주요 고객 5개사, 공급업체 12개사 대상 위험 평가 실시
고객사 위험: 3월 신고 관련 고객(대림건설)과의 거래 조건 검토 결과, 인도 조건이 명확하지 않아 매출 인식 시점 조작 위험 식별
공급업체 위험: 8월 신고 관련 폐철 매입업체(부산재활용)와 경영진 간 개인적 관계 확인됨
4단계: 추가 감사 절차 설계
문서화 노트: 식별된 위험에 대응하는 실질적 절차 설계
대림건설 관련: 인도증 및 검수증 원본 확인, 12월 매출의 기말 재고 실사 절차 강화
부산재활용 관련: 폐철 시장가격 독립적 확인, 경영진과 업체 간 이해관계 조사
결론: 내부신고를 통해 식별된 위험이 실제 감사 증거로 뒷받침되었습니다. 신고자의 익명성은 유지하면서도 적절한 감사 절차를 수행할 수 있었습니다.

  • 2026년 3월: "특정 고객사와의 매출 인식 시점이 이상함"
  • 2026년 8월: "폐철 판매 가격이 시장가격보다 현저히 낮음"

실무 체크리스트

  • 내부신고 시스템 파악: 기업의 모든 신고 채널을 식별하고 지난 12개월 신고 현황을 확인했는가? (ISA 240.15A)
  • 신고 내용 검토: 재무보고와 관련된 모든 신고를 검토하되 신고자 익명성을 보장했는가?
  • 제3자 위험 평가: 주요 공급업체, 고객, 외부 서비스 제공업체별로 부정행위 위험을 평가했는가? (ISA 240.A63)
  • 추가 절차 설계: 식별된 위험에 대응하는 구체적 감사 절차를 설계했는가?
  • 문서화 완료: 검토 범위, 위험 평가 결과, 신고자 보호 조치를 모두 문서화했는가? (ISA 240.25)
  • 가장 중요한 점: 내부신고를 단순 확인이 아닌 적극적 위험 식별 도구로 활용했는가?

일반적 오류

  • 신고 시스템만 확인: 시스템의 존재만 확인하고 실제 신고 내용을 검토하지 않는 경우. 개정 기준은 적극적 활용을 요구합니다.
  • 신고자 정보 노출: 경영진과의 논의 과정에서 신고자를 특정할 수 있는 정보를 제공하는 경우. ISA 240.A65 위반입니다.
  • 제3자 위험 간과: 기존의 경영진/직원 부정행위에만 집중하고 외부 당사자와의 공모 위험을 평가하지 않는 경우입니다.
  • 신고 건수 부재를 무위험으로 해석: ISA 240.A64에 따르면 신고가 없다는 사실 자체가 부정 부재를 의미하지 않습니다. 신고 채널의 접근성이 낮거나 보복 우려가 큰 조직에서는 신고 부재가 오히려 위험 신호일 수 있습니다.

관련 자료

실무 감사 인사이트를 매주 받아보세요.

시험 이론이 아닙니다. 감사를 빠르게 만드는 실질적인 내용입니다.

290개 이상의 가이드 게시20개 무료 도구현직 감사인이 구축

스팸 없음. 저희는 감사인이지 마케터가 아닙니다.