ISA 315 (2019년 개정): 위험평가절차

개정된 위험평가 프레임워크

ISA 315 (2019년 개정)는 위험평가절차를 단순한 체크리스트가 아닌 감사전략의 토대로 재정립했습니다. 개정 전에는 "기업환경 이해 → 내부통제 이해 → 위험평가"의 순차적 과정이었다면, 개정 후에는 이 세 영역이 반복적으로 상호작용하며 지속적으로 업데이트됩니다.

주요 변화점

개정 전: 위험평가가 대부분 기업 수준에서 이루어졌고, 개별 위험을 ISA 330 절차와 직접 연결하는 요구사항이 모호했습니다.
개정 후: ISA 315.25는 각 유의적 종류의 거래, 계정잔액, 공시에 대해 관련 어설션 수준에서 위험을 식별하고 평가하도록 요구합니다. 이 평가는 ISA 330.7에 따라 수행할 추가감사절차의 성격과 범위를 직접 결정해야 합니다.
실효일: 2019년 12월 15일 이후 시작하는 회계연도에 대한 감사에 적용됩니다. 조기 적용이 가능합니다.

위험식별의 새로운 접근법

ISA 315.13은 위험식별절차로 질문, 분석적 절차, 관찰 및 조사를 명시하지만, 개정된 기준은 이들 절차가 단독으로 수행되어서는 안 된다고 강조합니다. 예를 들어, 매출 인식에 대한 질문만으로는 충분하지 않습니다. 월별 매출 추이 분석, 창고 방문을 통한 재고 관찰, 고객 주문서와 출하증빙의 대조 등이 결합되어야 합니다.

위험식별절차의 실무적용

질문절차 (ISA 315.A63-A65)

경영진 질문은 단순한 인터뷰가 아닙니다. ISA 315.A64는 서로 다른 수준의 경영진으로부터 일관성을 확인하도록 요구합니다. CFO가 말하는 매출 인식 정책과 영업관리자가 말하는 실제 관행이 다를 수 있습니다. 이런 불일치가 바로 위험 지표입니다.
효과적인 질문 구조:

분석적 절차 (ISA 315.18)

계획단계 분석적 절차는 ISA 520의 실질적 분석절차와 목적이 다릅니다. 여기서는 예상치 못한 변동이나 예상했던 변동의 부재를 찾는 것이 목표입니다. 매출총이익률이 3년간 안정적이었다면 왜 그런지 이해해야 합니다. 원재료 가격 변동, 경쟁 상황 변화에도 불구하고 동일한 이익률을 유지한다는 것은 그 자체로 위험 신호일 수 있습니다.

관찰과 조사 (ISA 315.A76-A78)

사업장 방문은 선택사항이 아닙니다. ISA 315.A77은 감사인이 기업의 운영을 직접 관찰하도록 요구하며, 이는 특히 재고, 유형자산, 생산과정과 관련된 위험 식별에 필수적입니다. 재고창고에서 진부화 재고를 발견하거나, 생산라인에서 가동중단 설비를 확인하는 것은 질문이나 문서 검토로는 파악하기 어려운 정보입니다.

개방형 질문으로 시작 ("지난해 매출 구성에서 가장 큰 변화는 무엇이었습니까?")
구체적 후속질문 ("4분기 매출이 급증한 이유는?")
검증질문 ("이를 뒷받침하는 문서를 볼 수 있습니까?")

내부통제 이해의 범위와 깊이

통제환경 평가 (ISA 315.21)

통제환경은 더 이상 형식적 체크리스트가 아닙니다. ISA 315.A84-A89는 경영진의 태도와 행동을 구체적으로 평가하도록 요구합니다. 예를 들어, 이사회가 분기별로 회의를 갖는다는 사실보다는, 그 회의에서 실제로 어떤 논의가 이루어지고 경영진에게 어떤 질문을 던지는지가 중요합니다.
평가 지표:

정보시스템과 의사소통 (ISA 315.22)

IT 통제에 대한 이해는 모든 감사에서 필수가 되었습니다. 수기로 작성하는 회계처리가 없는 기업은 거의 없고, 대부분의 거래가 시스템을 통해 처리됩니다. ISA 315.A113은 감사인이 IT 통제의 설계와 운영을 이해해야 한다고 명시합니다. 여기에는 사용자 접근권한, 시스템 변경 관리, 자동통제의 정확성이 포함됩니다.

위험평가절차와 내부통제의 연결

ISA 315.26은 내부통제에 대한 이해가 위험평가에 직접 반영되어야 한다고 요구합니다. 매출 승인 통제가 미흡하다면 매출 발생 어설션에서 높은 위험으로 평가되어야 하고, 이는 ISA 330에서 더 많은 실질적 절차로 이어져야 합니다. 통제 이해와 위험평가, 그리고 추가감사절차 사이의 논리적 연결이 명확해야 합니다.

성과지표와 보상체계의 연결
부정행위 신고 채널의 실제 활용도
내부감사 권고사항에 대한 경영진 대응

실무사례: 제조업체 위험평가

대상기업: 한국정밀기계 주식회사

1단계: 기업환경 이해

경영진 질문 결과:
문서화 노트: 고객 집중도 증가와 마진 압박이 매출 인식과 재고 평가에 미칠 영향을 위험평가에 반영

2단계: 분석적 절차

매출총이익률 분석:
원재료 가격 상승에도 불구하고 이익률 하락폭이 예상보다 작음. 재고 평가 기준이나 원가 배분에 대한 추가 조사 필요.
문서화 노트: 재고 평가 위험을 유의적 위험으로 식별. ISA 501.4에 따른 재고조사 참관 및 원가계산 테스트 계획

3단계: 사업장 관찰

창고 방문에서 발견사항:
문서화 노트: 진부화 재고 평가와 출하 승인 통제 미흡을 위험 요소로 식별

4단계: 내부통제 평가

통제 설계 검토:
통제 운영 테스트 샘플:
11-12월 매출 승인 10건, 재고 실사 기록 2개월분, 구매승인 15건
문서화 노트: 매출 승인 통제의 운영 효과성을 낮음으로 평가. 실질적 절차에서 매출 세부내역 테스트 확대 필요
결론: 고객 집중 위험, 재고 평가 위험, 매출 승인 통제 미흡을 유의적 위험으로 식별. ISA 330에서 해당 영역에 대한 집중적 실질적 절차 수행 예정.

매출: 180억 원 (전년 대비 15% 증가)
주요 제품: 자동차 부품 (70%), 산업기계 부품 (30%)
직원: 85명
매출 증가는 주요 고객사 1곳의 신차 출시와 직결
해당 고객이 전체 매출의 45%를 차지 (전년 35%)
원재료(철강) 가격이 20% 상승했지만 공급계약상 전가 불가
2023년: 28.5%
2022년: 31.2%
2021년: 30.8%
구형 부품 재고가 별도 구역에 보관되어 있으나 재고카드상 구분 없음
일부 반제품이 6개월 이상 정체
출하 승인 절차가 구두로 이루어짐
매출 승인: 영업부장 구두 승인 (문서화 미흡)
재고 관리: 월 1회 실사, 전산 연동 안 됨
구매 승인: 100만 원 이상 대표이사 결재

감사절차 연결 체크리스트

다음 체크리스트를 현재 감사에서 내일 바로 사용할 수 있습니다:

위험 식별과 평가 연결 확인: 각 식별된 위험에 대해 ISA 315.25에 따른 어설션 수준 평가가 완료되어 있는지 점검합니다.
ISA 330 절차와의 직접 연결: 위험평가 조서에서 "높음"으로 평가된 각 항목에 대해 ISA 330 작업서류에서 대응하는 절차를 찾을 수 있는지 확인합니다.
내부통제 의존도 결정: ISA 315.26에 따라 통제 테스트를 수행할 통제와 실질적 절차만 수행할 영역을 명확히 구분합니다.
문서화 완전성 점검: ISA 315.32에서 요구하는 모든 사항(위험식별절차, 기업환경 이해, 내부통제 이해, 위험평가)이 조서에 포함되어 있는지 확인합니다.
질적 요소 고려: ISA 315.A131에 따라 양적 기준뿐 아니라 질적 요소(경영진 편향, 복잡한 거래, 주관적 측정)가 위험평가에 반영되었는지 점검합니다.
가장 중요한 확인사항: 위험평가 조서를 읽는 다른 팀원이 왜 그런 위험평가를 했는지 이해할 수 있도록 근거가 명확히 기재되어 있어야 합니다.

흔한 실수와 해결방법

• 위험평가와 감사절차의 단절: 위험평가에서 "높음"으로 평가했지만 ISA 330에서 최소한의 절차만 수행하는 경우. ISA 330.7(b)는 평가된 위험 수준에 상응하는 절차를 요구합니다.
• 형식적 통제 이해: 통제 설계는 문서화했지만 실제 운영 여부를 확인하지 않는 경우. ISA 315.A100은 통제가 실제로 적용되고 있는지 확인하도록 요구합니다.
• 분석적 절차의 피상적 적용: 단순한 전년 대비 비교만 수행하고 변동 원인을 조사하지 않는 경우. 변동이 예상과 다르다면 그 이유를 이해해야 합니다.