목차
ISA 330의 위험 대응 체계
ISA 330.5는 감사인이 평가된 위험에 대해 3단계로 대응하도록 요구합니다.
첫 번째 단계는 전반적 대응입니다. ISA 330.5(a)에 따라 재무제표 수준의 중요한 왜곡표시 위험에 대해 감사팀의 지시, 감독, 검토를 강화하고 예측하기 어려운 요소를 절차에 포함해야 합니다.
두 번째 단계는 주장 수준 위험에 대한 추가 감사절차입니다. ISA 330.5(b)는 각 중요한 거래유형, 계정잔액, 공시에서 중요한 왜곡표시 위험이 있는 주장에 대해 추가 감사절차를 설계하고 수행하도록 요구합니다.
세 번째 단계는 특별한 고려가 필요한 유의적 위험에 대한 대응입니다. ISA 330.15는 각 유의적 위험에 대해 실질적 절차를 수행하도록 요구하며, 위험이 통제의 운영과 관련된 경우 해당 연도의 통제 운영을 테스트해야 합니다.
이 체계의 목적은 위험 평가와 감사 절차 사이의 명확한 연결고리를 만드는 것입니다. ISA 330.A3은 평가된 위험이 높을수록 감사인이 수행하는 절차의 설득력이 더 커야 한다고 명시합니다.
전반적 대응과 추가 감사절차
전반적 대응
ISA 330.5(a)와 A1-A3에 따라 전반적 대응은 재무제표 수준 위험이 감사 전체에 미치는 영향을 다룹니다.
감사팀의 구성과 감독을 강화해야 합니다. 위험이 높은 영역에는 더 경험 있는 팀원을 배치하고 업무수행이사의 검토를 늘려야 합니다. ISA 330.A1은 이를 "감사팀에 대한 강조"라고 표현합니다.
회계 정책의 선택과 적용에 더 주의를 기울여야 합니다. 특히 주관적인 판단이 필요한 영역에서 경영진의 선택이 적절한지 평가해야 합니다.
감사절차에 예측하기 어려운 요소를 포함해야 합니다. ISA 330.A2는 절차의 성격을 변경하거나, 절차의 시기를 예측하기 어렵게 하거나, 절차의 위치를 변경하는 방법을 제시합니다.
추가 감사절차의 설계
ISA 330.6에 따라 추가 감사절차는 평가된 위험과 밀접한 관련이 있어야 합니다. 위험이 높을수록 더 신뢰할 수 있는 감사증거가 필요합니다.
통제테스트는 내부통제의 운영효과성에 의존하는 경우에만 수행합니다. ISA 330.8(a)는 통제위험을 최대 수준 미만으로 평가한 경우 해당 통제에 대한 테스트를 요구합니다.
실질적 절차는 모든 중요한 주장에 대해 수행해야 합니다. ISA 330.11은 실질적 분석절차와 세부테스트 중 하나 또는 조합을 사용하도록 허용합니다.
실질적 절차의 성격, 시기, 범위
ISA 330.7(a)는 실질적 절차의 성격, 시기, 범위가 평가된 위험의 수준에 따라 달라져야 한다고 요구합니다.
절차의 성격
위험 수준이 높을수록 더 신뢰할 수 있는 증거를 제공하는 절차를 선택해야 합니다. ISA 330.A8은 다음 순서로 증거의 신뢰성이 증가한다고 설명합니다:
실질적 분석절차의 경우 ISA 330.A13-A17에서 자세한 기준을 제시합니다. 기대치의 정밀도가 높고, 기초 데이터의 신뢰성이 확보된 경우에만 유의적 위험에 대한 단독 절차로 사용할 수 있습니다.
절차의 시기
ISA 330.A18-A22는 절차의 시기 결정 요소를 설명합니다. 통제환경이 양호하고 내부통제가 효과적이면 중간테스트가 가능합니다. 위험이 높거나 통제가 취약하면 기말 또는 기말에 가까운 시점에 테스트해야 합니다.
중간테스트를 수행한 경우 ISA 330.22에 따라 잔존 기간에 대한 추가 절차가 필요합니다. 세부테스트를 수행했다면 비교 절차나 다른 실질적 절차로 잔존 기간을 다뤄야 합니다.
절차의 범위
표본 규모는 허용 가능한 검출위험에 반비례합니다. 평가된 위험이 높을수록 검출위험이 낮아지므로 표본 규모가 커져야 합니다.
ISA 330.A16은 실질적 분석절차에서 허용편차한계를 좁히고 신뢰수준을 높여야 한다고 설명합니다.
- 독립적인 외부 당사자로부터 직접 얻은 증거
- 독립적인 외부 당사자로부터 간접적으로 얻은 증거
- 내부적으로 생성된 증거 (내부통제가 효과적인 경우)
- 내부적으로 생성된 증거 (내부통제가 취약한 경우)
통제테스트 설계와 수행
통제테스트가 필요한 상황
ISA 330.8은 두 가지 상황에서 통제테스트를 요구합니다.
첫째, 통제위험을 최대 수준 미만으로 평가한 경우입니다. 감사인이 내부통제의 효과성에 의존하여 실질적 절차의 성격, 시기, 범위를 결정했다면 해당 통제를 테스트해야 합니다.
둘째, 실질적 절차만으로는 주장 수준에서 충분하고 적합한 감사증거를 얻을 수 없는 경우입니다. ISA 330.8(b)는 이를 "실질적 절차로만 충분하고 적합한 감사증거를 얻는 것이 가능하지 않거나 실무적이지 않은 경우"라고 표현합니다.
통제테스트의 설계
ISA 330.9는 통제테스트가 통제의 운영효과성에 대한 충분하고 적합한 감사증거를 얻도록 설계되어야 한다고 요구합니다.
테스트할 통제를 구체적으로 식별해야 합니다. "매출 통제"가 아니라 "신용한도 승인 통제"처럼 세부적으로 정의해야 합니다.
통제가 어떻게 적용되는지, 언제 적용되는지, 누가 수행하는지를 이해해야 합니다. ISA 330.A23은 이를 통제의 "성격"이라고 표현합니다.
통제테스트의 범위와 시기
ISA 330.10과 A24-A27은 통제테스트의 빈도를 결정하는 요소들을 제시합니다:
ISA 330.12는 유의적 위험과 관련된 통제는 해당 연도의 운영을 테스트하도록 요구합니다. 전년도 테스트에만 의존할 수 없습니다.
- 감사기간 중 통제가 적용된 빈도
- 테스트 기간 동안 통제가 운영된 기간
- 편차율에 대한 감사인의 기대치
- 통제의 신뢰성에 대한 감사인의 기대 정도
실무 적용 예시
김진산업 주식회사 (2024년 12월 결산)
김진산업은 매출 420억 원, 종업원 280명의 자동차 부품 제조업체입니다. 주요 고객은 현대자동차 협력업체 4곳입니다. 감사팀은 다음과 같은 위험을 평가했습니다:
1단계: 전반적 대응
문서화: "재무제표 수준 위험 대응 전략"
감사팀 구성을 변경했습니다. 매니저급 1명을 추가 배치하고 시니어의 경험을 3년 이상으로 제한했습니다.
문서화: "팀 구성 및 감독 계획"
수익인식 회계정책 검토 절차를 확대했습니다. 특히 반품조건과 할인정책의 회계처리를 집중 검토하기로 했습니다.
문서화: "회계정책 검토 확대 계획"
매출 테스트 표본 선정에 예측 불가능성을 추가했습니다. 월별 균등 선정 대신 가중 무작위 선정을 사용하고, 일부는 중간테스트, 일부는 기말테스트로 분할했습니다.
문서화: "절차 시기 및 성격 변경 사항"
2단계: 매출 인식에 대한 추가 절차
위험 수준이 높으므로 실질적 절차 중심으로 설계했습니다.
세부테스트:
문서화: "매출 실질적 절차 A1-A3"
분석적 절차:
문서화: "매출 분석적 절차 A4"
3단계: 재고자산 유의적 위험 대응
유의적 위험이므로 ISA 330.15에 따라 실질적 절차를 수행해야 합니다.
실사 참관:
문서화: "재고실사 참관 조서 B1"
평가 테스트:
문서화: "재고평가 테스트 B2-B4"
통제테스트는 수행하지 않았습니다. 재고관리 시스템이 수작업 위주이고 통제 설계에 취약점이 있어 통제 의존도를 최소화했습니다.
문서화: "재고 통제평가 및 테스트 제외 근거"
결론: 실질적 절차 결과 중요한 예외사항이 발견되지 않았습니다. 재고자산 장부가액 78억 원이 적정하게 표시되었다고 판단합니다.
- 매출 인식: 중요한 위험 (높음)
- 재고자산 평가: 유의적 위험
- 매입채무 완전성: 중요한 위험 (중간)
- 표본 규모: 60건 (전년 45건에서 증가)
- 12월 매출의 70%, 1월 매출의 30%
- 출하증빙, 검수증, 고객 승인서를 모두 확인
- 월별 매출 변동률 분석 (임계치 15%에서 8%로 축소)
- 고객별 매출총이익률 추세 분석
- 전체 재고의 85% 물리적 확인
- 순환재고 시점 재고조사 참관
- 장기체화재고 별도 테스트
- 최근 6개월 단가 변동 추적
- 회전율 저하 품목 개별 평가
- 진부화 충당금 적정성 검토
실무 체크리스트
- 전반적 대응 수립: 재무제표 수준 위험에 대한 구체적 대응 계획을 수립했는가? 팀 구성, 감독 수준, 절차의 예측 불가능성을 포함해야 합니다.
- 위험-절차 연결: 각 평가된 위험에 대해 대응하는 감사절차가 명확히 연결되어 있는가? 위험 매트릭스에서 절차 설계까지 추적 가능해야 합니다.
- 절차 설계의 타당성: 실질적 절차의 성격, 시기, 범위가 위험 수준과 일치하는가? 높은 위험에는 더 신뢰할 수 있는 증거, 더 큰 표본, 기말에 가까운 테스트가 필요합니다.
- 통제테스트 판단: 통제위험 평가와 통제테스트 수행 여부가 일관되는가? 통제에 의존한 경우 반드시 테스트해야 하고, 의존하지 않은 경우 테스트가 불필요합니다.
- 유의적 위험 대응: 모든 유의적 위험에 대해 실질적 절차를 수행했는가? ISA 330.15는 유의적 위험에 대한 실질적 절차를 의무화합니다.
- 중요한 주장 테스트: 각 중요한 거래유형, 계정잔액, 공시의 관련 주장을 모두 테스트했는가? ISA 330.11이 요구하는 전면 테스트 원칙을 확인해야 합니다.
자주 발생하는 오류
- 위험과 절차 불일치: 높은 위험으로 평가했지만 절차의 성격, 시기, 범위가 그에 맞지 않는 경우가 많습니다. 위험 매트릭스와 절차 계획서를 교차 확인하십시오.
- 통제테스트 과소수행: 통제위험을 최대 미만으로 설정했지만 통제테스트를 수행하지 않는 경우입니다. 감사 효율성을 위해 통제 의존도를 높였다면 반드시 테스트해야 합니다.
- 유의적 위험 미대응: 유의적 위험으로 식별했지만 분석적 절차에만 의존하는 경우입니다. ISA 330.15는 유의적 위험에 대한 실질적 절차를 요구합니다.
관련 자료
- 감사 위험 평가 체크리스트: ISA 315에 따른 위험 식별과 평가 절차를 단계별로 안내합니다.
- 실질적 분석절차 계산기: ISA 520에 따른 분석적 절차의 정밀도와 임계치를 계산하는 도구입니다.
- ISA 500: 감사증거의 충분성과 적합성: 감사증거의 신뢰성 서열과 평가 기준을 다룹니다.