ISA 330: 평가된 위험에 대한 감사인의 대응

ISA 330의 위험 대응 체계

ISA 330.5는 평가된 위험에 대해 단계별 대응을 요구합니다.

ISA 330.5(a)에 따른 전반적 대응이 첫 단계입니다. 재무제표 수준의 왜곡표시 위험에 대해 감사팀의 지시, 감독, 검토를 강화하고 예측하기 어려운 요소를 절차에 포함해야 합니다.

주장 수준 위험에 대한 추가 감사절차가 그 다음입니다. ISA 330.5(b)는 각 거래유형, 계정잔액, 공시에서 왜곡표시 위험이 있는 주장에 대해 추가 감사절차를 설계하고 수행하도록 요구합니다.

유의적 위험에 대한 대응은 별도로 다뤄야 합니다. ISA 330.15는 유의적 위험에 대해 실질적 절차를 수행하도록 요구하며 위험이 통제의 운영과 관련된 경우 해당 연도의 통제 운영을 테스트해야 합니다. 전년도 테스트 결과만으로 넘어갈 수 없습니다.

ISA 330.A3은 평가된 위험이 높을수록 절차의 설득력이 커야 한다고 명시합니다. 제 경험상 이 연결이 가장 자주 끊어지는 지점은 위험을 "높음"으로 평가해 놓고 표본 규모나 절차의 성격은 전년도 그대로 가져가는 파일입니다.

전반적 대응과 추가 감사절차

전반적 대응

ISA 330.5(a)와 A1-A3에 따라 전반적 대응은 재무제표 수준 위험이 감사 전체에 미치는 영향을 다룹니다.

감사팀의 구성과 감독을 강화해야 합니다. 위험이 높은 영역에는 경험 있는 팀원을 배치하고 업무수행이사의 검토를 늘려야 합니다. ISA 330.A1은 이를 "감사팀에 대한 강조"라고 표현합니다. 막상 해보면 인차지 한 명 교체하는 것만으로도 파일 품질이 달라집니다.

회계 정책의 선택과 적용에 주의를 기울여야 합니다. 주관적인 판단이 필요한 영역에서 경영진의 선택이 적절한지 평가해야 합니다.

감사절차에 예측하기 어려운 요소를 포함해야 합니다. ISA 330.A2는 절차의 성격을 변경하거나 절차의 시기를 예측하기 어렵게 하는 방법을 제시합니다. 월별 균등 선정 대신 가중 무작위 선정으로 바꾸는 정도면 충분합니다.

추가 감사절차의 설계

ISA 330.6에 따라 추가 감사절차는 평가된 위험과 직접 연결되어야 합니다. 위험이 높을수록 신뢰할 수 있는 감사증거가 필요합니다.

통제테스트(ToC)는 내부통제의 운영효과성에 의존하는 경우에만 수행합니다. ISA 330.8(a)는 통제위험을 최대 수준 미만으로 평가한 경우 해당 통제에 대한 테스트를 요구합니다.

실질적 절차는 모든 주장에 대해 수행해야 합니다. ISA 330.11은 실질적 분석절차와 세부테스트 중 하나 또는 조합을 허용합니다.

실질적 절차의 성격, 시기, 범위

ISA 330.7(a)는 실질적 절차의 성격, 시기, 범위가 평가된 위험 수준에 따라 달라져야 한다고 요구합니다. 위험을 "높음"으로 올려놓고 절차는 전년도 복사-붙여넣기하면 감리에서 바로 걸립니다.

절차의 성격

위험 수준이 높을수록 신뢰할 수 있는 증거를 제공하는 절차를 선택해야 합니다. ISA 330.A8은 증거의 신뢰성 서열을 제시합니다.

- 독립적인 외부 당사자로부터 직접 얻은 증거 - 외부 당사자로부터 간접적으로 얻은 증거 - 내부 생성 증거(내부통제 작동 시) - 내부 생성 증거(내부통제 취약 시)

실질적 분석절차는 ISA 330.A13-A17에서 기준을 제시합니다. 기대치의 정밀도가 높고 기초 데이터의 신뢰성이 확보된 경우에만 유의적 위험에 대한 단독 절차로 사용할 수 있습니다. 솔직히 유의적 위험에 분석절차 하나만 걸어놓으면 품관실 리뷰에서 통과하기 어렵습니다.

절차의 시기

ISA 330.A18-A22는 절차의 시기 결정 요소를 설명합니다. 통제환경이 양호하고 내부통제가 작동하면 중간테스트가 가능합니다. 위험이 높거나 통제가 취약하면 기말 또는 기말에 가까운 시점에 테스트해야 합니다.

중간테스트를 수행한 경우 ISA 330.22에 따라 잔존 기간에 대한 추가 절차가 필요합니다. 세부테스트를 수행했다면 비교 절차나 다른 실질적 절차로 잔존 기간을 다뤄야 합니다. 이 잔존 기간 절차를 빠뜨리는 파일이 생각보다 많습니다.

절차의 범위

표본 규모는 허용 가능한 검출위험에 반비례합니다. 평가된 위험이 높을수록 검출위험이 낮아지므로 표본 규모가 커져야 합니다.

ISA 330.A16은 실질적 분석절차에서 허용편차한계를 좁히고 신뢰수준을 높여야 한다고 설명합니다. 임계치를 15%에서 8%로 축소하는 수준의 변경이 실제로 필요한 경우입니다.

통제테스트 설계와 수행

통제테스트가 필요한 상황

ISA 330.8은 두 가지 상황에서 ToC를 요구합니다.

통제위험을 최대 수준 미만으로 평가한 경우가 첫 번째입니다. 내부통제의 효과성에 의존하여 실질적 절차의 성격, 시기, 범위를 결정했다면 해당 통제를 테스트해야 합니다. 통제에 의존해서 표본을 줄여놓고 정작 ToC를 수행하지 않으면 조서가 논리적으로 성립하지 않습니다.

실질적 절차만으로는 주장 수준에서 충분한 감사증거를 얻을 수 없는 경우가 두 번째입니다. ISA 330.8(b)는 이를 "실질적 절차로만 충분한 감사증거를 얻는 것이 가능하지 않거나 실무적이지 않은 경우"라고 표현합니다. IT 자동화된 거래가 대표적입니다.

통제테스트의 설계

ISA 330.9는 ToC가 통제의 운영효과성에 대한 충분한 감사증거를 얻도록 설계되어야 한다고 요구합니다.

테스트할 통제를 구체적으로 식별해야 합니다. "매출 통제"가 아니라 "신용한도 승인 통제"처럼 세부적으로 정의해야 합니다. 조서에 "매출 내부통제 테스트"라고만 적혀 있으면 감리에서 "어떤 통제를 테스트했는지 불분명"이라는 지적이 나옵니다.

통제가 어떻게 적용되는지, 언제 적용되는지, 누가 수행하는지를 이해해야 합니다. ISA 330.A23은 이를 통제의 "성격"이라고 표현합니다.

통제테스트의 범위와 시기

ISA 330.10과 A24-A27은 ToC 빈도를 결정하는 요소를 제시합니다.

감사기간 중 통제가 적용된 빈도와 테스트 기간 동안 통제가 운영된 기간을 고려해야 합니다. 편차율에 대한 기대치와 통제의 신뢰성에 대한 감사인의 기대 정도도 반영해야 합니다.

ISA 330.12는 유의적 위험과 관련된 통제는 해당 연도의 운영을 테스트하도록 요구합니다. "작년에 했으니 올해는 괜찮겠지"가 통하지 않습니다.

실무 적용 예시

김진산업 주식회사 (2024년 12월 결산)

김진산업은 매출 420억 원, 종업원 280명의 자동차 부품 제조업체입니다. 주요 고객은 현대자동차 협력업체 4곳입니다. 감사팀이 평가한 위험은 매출 인식(높음), 재고자산 평가(유의적 위험), 매입채무 완전성(중간) 네 가지였습니다.

1단계: 전반적 대응

조서: "재무제표 수준 위험 대응 전략"

감사팀 구성을 변경했습니다. 매니저급 1명을 추가 배치하고 인차지의 경험을 3년 이상으로 제한했습니다.

조서: "팀 구성 및 감독 계획"

수익인식 회계정책 검토 절차를 확대했습니다. 반품조건과 할인정책의 회계처리를 집중 검토하기로 했습니다.

조서: "회계정책 검토 확대 계획"

매출 테스트 표본 선정에 예측 불가능성을 추가했습니다. 월별 균등 선정 대신 가중 무작위 선정을 사용하고 일부는 중간테스트, 일부는 기말테스트로 분할했습니다.

조서: "절차 시기 및 성격 변경 사항"

2단계: 매출 인식에 대한 추가 절차

위험 수준이 높으므로 실질적 절차 중심으로 설계했습니다.

세부테스트는 표본 60건(전년 45건에서 증가)으로 12월 매출의 70%와 1월 매출의 30%를 대상으로 했습니다. 출하증빙, 검수증, 고객 승인서, 입금 확인까지 대조했습니다.

조서: "매출 실질적 절차 A1-A3"

분석절차는 월별 매출 변동률 분석(임계치 15%에서 8%로 축소)과 고객별 매출총이익률 추세 분석을 수행했습니다.

조서: "매출 분석적 절차 A4"

3단계: 재고자산 유의적 위험 대응

유의적 위험이므로 ISA 330.15에 따라 실질적 절차를 수행해야 합니다.

실사 참관은 전체 재고의 85%를 물리적으로 확인하고 순환재고 시점 재고조사에 참관했습니다. 장기체화재고는 별도 테스트를 수행했습니다.

조서: "재고실사 참관 B1"

평가 테스트에서는 최근 6개월 단가 변동을 추적하고 회전율 저하 품목을 개별 평가했습니다. 진부화 충당금 적정성도 검토했습니다.

조서: "재고평가 테스트 B2-B4"

ToC는 수행하지 않았습니다. 재고관리 시스템이 수작업 위주이고 통제 설계에 취약점이 있어 통제 의존도를 최소화했습니다. 이런 경우 통제에 의존하겠다고 조서에 쓰면 오히려 논리가 무너집니다.

조서: "재고 통제평가 및 테스트 제외 근거"

실질적 절차 결과 예외사항이 발견되지 않았습니다. 재고자산 장부가액 78억 원이 적정하게 표시되었다고 판단합니다.

실무 체크리스트

1. 전반적 대응 수립: 재무제표 수준 위험에 대한 대응 계획을 수립했는가? 팀 구성, 감독 수준, 절차의 예측 불가능성을 포함해야 합니다.

2. 위험-절차 연결: 각 평가된 위험에 대응하는 감사절차가 연결되어 있는가? 위험 매트릭스에서 절차 설계까지 추적 가능해야 합니다.

3. 절차 설계의 타당성: 실질적 절차의 성격, 시기, 범위가 위험 수준과 일치하는가? 높은 위험에는 신뢰할 수 있는 증거, 큰 표본, 기말에 가까운 테스트가 필요합니다.

4. ToC 판단: 통제위험 평가와 ToC 수행 여부가 일관되는가? 통제에 의존한 경우 반드시 테스트해야 하고 의존하지 않은 경우 테스트가 불필요합니다.

5. 유의적 위험 대응: 모든 유의적 위험에 대해 실질적 절차를 수행했는가? ISA 330.15는 유의적 위험에 대한 실질적 절차를 의무화합니다.

6. 주장별 테스트: 각 거래유형, 계정잔액, 공시의 관련 주장을 모두 테스트했는가? ISA 330.11이 요구하는 전면 테스트 원칙을 확인해야 합니다.

자주 발생하는 오류

위험과 절차 불일치가 가장 빈번합니다. 높은 위험으로 평가했지만 절차의 성격, 시기, 범위가 그에 맞지 않는 파일입니다. 위험 매트릭스와 절차 계획서를 교차 확인하십시오. 금감원 감리에서 "충분하고 적합한 감사증거 확보가 미흡"이라는 지적이 나오면 실무에서는 조서가 너무 얇다는 뜻입니다.

ToC 과소수행도 잦습니다. 통제위험을 최대 미만으로 설정했지만 ToC를 수행하지 않는 경우입니다. 감사 효율성을 위해 통제 의존도를 높였다면 반드시 테스트해야 합니다.

유의적 위험 미대응은 분석절차에만 의존하는 경우에 발생합니다. ISA 330.15는 유의적 위험에 대한 실질적 절차를 요구합니다. 분석절차 하나로 웨이브하면 안 됩니다.