ISA 315 (2019년 개정): 위험평가절차

개정된 위험평가 구조

ISA 315 (2019년 개정)는 위험평가절차를 단순한 체크리스트가 아닌 감사전략의 토대로 재정립했다. 개정 전에는 "기업환경 이해 → 내부통제 이해 → 위험평가"의 순차적 과정이었다면 개정 후에는 이 세 영역이 반복적으로 상호작용하며 계속 업데이트된다.

주요 변화점

개정 전에는 위험평가가 대부분 기업 수준에서 이루어졌고 개별 위험을 ISA 330 절차와 직접 연결하는 요구사항이 모호했다.

개정 후 ISA 315.25는 각 유의적 종류의 거래, 계정잔액, 공시에 대해 관련 어설션 수준에서 위험을 식별하고 평가하도록 요구한다. 이 평가는 ISA 330.7에 따라 수행할 추가감사절차의 성격과 범위를 직접 결정해야 한다.

실효일은 2019년 12월 15일 이후 시작하는 회계연도에 대한 감사이며 조기 적용이 가능하다.

위험식별의 새로운 접근법

ISA 315.13은 위험식별절차로 질문, 분석적 절차, 관찰 및 조사를 명시하지만 개정된 기준은 이들 절차가 단독으로 수행되어서는 안 된다고 강조한다. 매출 인식에 대한 질문만으로는 충분하지 않다. 월별 매출 추이 분석, 창고 방문을 통한 재고 관찰, 고객 주문서와 출하증빙의 대조가 결합되어야 한다.

위험식별절차의 실무적용

질문절차 (ISA 315.A63-A65)

경영진 질문은 단순한 인터뷰가 아니다. ISA 315.A64는 서로 다른 수준의 경영진으로부터 일관성을 확인하도록 요구한다. CFO가 말하는 매출 인식 정책과 영업관리자가 말하는 실제 관행이 다를 수 있다. 이런 불일치가 바로 위험 지표다.

제 경험상 질문은 다음 순서로 구조화하는 것이 낫다.

- 개방형 질문으로 시작한다 ("지난해 매출 구성에서 가장 큰 변화는 무엇이었습니까?") - 구체적 후속질문으로 좁힌다 ("4분기 매출이 급증한 이유는?") - 검증질문으로 마무리한다 ("이를 뒷받침하는 문서를 볼 수 있습니까?")

분석적 절차 (ISA 315.18)

계획단계 분석적 절차는 ISA 520의 실질적 분석절차와 목적이 다르다. 여기서는 예상치 못한 변동이나 예상했던 변동의 부재를 찾는 것이 목표다. 매출총이익률이 3년간 안정적이었다면 왜 그런지 이해해야 한다. 원재료 가격 변동과 경쟁 상황 변화에도 불구하고 동일한 이익률을 유지한다는 것은 그 자체로 위험 신호일 수 있다.

관찰과 조사 (ISA 315.A76-A78)

사업장 방문은 선택사항이 아니다. ISA 315.A77은 감사인이 기업의 운영을 직접 관찰하도록 요구하며 재고, 유형자산, 생산과정과 관련된 위험 식별에서 빠질 수 없는 절차다. 재고창고에서 진부화 재고를 발견하거나 생산라인에서 가동중단 설비를 확인하는 것은 질문이나 문서 검토로는 파악하기 어려운 정보다.

내부통제 이해의 범위와 깊이

통제환경 평가 (ISA 315.21)

통제환경은 더 이상 형식적 체크리스트가 아니다. ISA 315.A84-A89는 경영진의 태도와 행동을 구체적으로 평가하도록 요구한다. 이사회가 분기별로 회의를 갖는다는 사실보다는 그 회의에서 실제로 어떤 논의가 이루어지고 경영진에게 어떤 질문을 던지는지가 중요하다.

평가할 때 다음 지표를 본다.

- 성과지표와 보상체계의 연결 - 부정행위 신고 채널의 실제 활용도 - 내부감사 권고사항에 대한 경영진 대응

정보시스템과 의사소통 (ISA 315.22)

IT 통제에 대한 이해는 모든 감사에서 빠질 수 없다. 수기로 작성하는 회계처리가 없는 기업은 거의 없고 대부분의 거래가 시스템을 통해 처리된다. ISA 315.A113은 감사인이 IT 통제의 설계와 운영을 이해해야 한다고 명시한다. 사용자 접근권한, 시스템 변경 관리, 자동통제의 정확성이 여기에 포함된다.

위험평가절차와 내부통제의 연결

ISA 315.26은 내부통제에 대한 이해가 위험평가에 직접 반영되어야 한다고 요구한다. 매출 승인 통제가 미흡하다면 매출 발생 어설션에서 높은 위험으로 평가되어야 하고 이는 ISA 330에서 더 많은 실질적 절차로 이어져야 한다. 통제 이해와 위험평가 그리고 추가감사절차 사이의 논리적 연결이 명확해야 한다.

실무사례: 제조업체 위험평가

대상기업은 한국정밀기계 주식회사다. - 매출: 180억 원 (전년 대비 15% 증가) - 주요 제품: 자동차 부품 (70%), 산업기계 부품 (30%) - 직원: 85명

1단계: 기업환경 이해

경영진 질문에서 다음이 확인되었다. - 매출 증가는 주요 고객사 1곳의 신차 출시와 직결 - 해당 고객이 전체 매출의 45%를 차지 (전년 35%) - 원재료(철강) 가격이 20% 상승했지만 공급계약상 전가 불가

문서화 노트: 고객 집중도 증가와 마진 압박이 매출 인식과 재고 평가에 미칠 영향을 위험평가에 반영

2단계: 분석적 절차

매출총이익률 분석: - 2023년: 28.5% - 2022년: 31.2% - 2021년: 30.8%

원재료 가격 상승에도 불구하고 이익률 하락폭이 예상보다 작다. 재고 평가 기준이나 원가 배분에 대한 추가 조사가 필요하다.

문서화 노트: 재고 평가 위험을 유의적 위험으로 식별. ISA 501.4에 따른 재고조사 참관 및 원가계산 테스트 계획

3단계: 사업장 관찰

창고 방문에서 발견사항: - 구형 부품 재고가 별도 구역에 보관되어 있으나 재고카드상 구분 없음 - 일부 반제품이 6개월 이상 정체 - 출하 승인 절차가 구두로 이루어짐

문서화 노트: 진부화 재고 평가와 출하 승인 통제 미흡을 위험 요소로 식별

4단계: 내부통제 평가

통제 설계 검토 결과는 다음과 같다. - 매출 승인: 영업부장 구두 승인 (문서화 미흡) - 재고 관리: 월 1회 실사, 전산 연동 안 됨 - 구매 승인: 100만 원 이상 대표이사 결재

통제 운영 테스트 샘플로 11-12월 매출 승인 10건, 재고 실사 기록 2개월분, 구매승인 15건을 확인했다.

문서화 노트: 매출 승인 통제의 운영 효과성을 낮음으로 평가. 실질적 절차에서 매출 세부내역 테스트 확대 필요

고객 집중 위험, 재고 평가 위험, 매출 승인 통제 미흡을 유의적 위험으로 식별했다. ISA 330에서 해당 영역에 대한 집중 실질적 절차를 수행한다.

감사절차 연결 체크리스트

다음 체크리스트를 현재 감사에서 바로 쓸 수 있다.

1. 각 식별된 위험에 대해 ISA 315.25에 따른 어설션 수준 평가가 완료되어 있는지 점검한다.

2. 위험평가 조서에서 "높음"으로 평가된 각 항목에 대해 ISA 330 작업서류에서 대응하는 절차를 찾을 수 있는지 확인한다.

3. ISA 315.26에 따라 통제 테스트를 수행할 통제와 실질적 절차만 수행할 영역을 명확히 구분한다.

4. ISA 315.32에서 요구하는 모든 사항(위험식별절차, 기업환경 이해, 내부통제 이해, 위험평가)이 조서에 포함되어 있는지 확인한다.

5. ISA 315.A131에 따라 양적 기준뿐 아니라 질적 요소(경영진 편향, 복잡한 거래, 주관적 측정)가 위험평가에 반영되었는지 점검한다.

6. 위험평가 조서를 읽는 다른 팀원이 왜 그런 위험평가를 했는지 이해할 수 있도록 근거가 명확히 기재되어 있어야 한다.

흔한 실수와 해결방법

솔직히 감리에서 가장 많이 걸리는 건 거창한 문제가 아니다. 아래 세 가지 중 하나다.

- 위험평가에서 "높음"으로 평가했지만 ISA 330에서 최소한의 절차만 수행하는 경우. ISA 330.7(b)는 평가된 위험 수준에 상응하는 절차를 요구한다.

- 통제 설계는 문서화했지만 실제 운영 여부를 확인하지 않는 경우. ISA 315.A100은 통제가 실제로 적용되고 있는지 확인하도록 요구한다.

- 단순한 전년 대비 비교만 수행하고 변동 원인을 조사하지 않는 경우. 변동이 예상과 다르다면 그 이유를 이해해야 한다.

- 빅펌 출신이 로컬펌으로 이직한 뒤 자주 하는 실수가 있다. 빅펌 방법론 템플릿을 그대로 가져와서 쓰는 것인데 기업 규모와 복잡성에 맞지 않는 과도한 문서화로 오히려 핵심 위험 판단이 묻힌다.