ISA 500: 감사증거 요구사항 및 신뢰성

충분성과 적합성은 어떻게 다른가

ISA 500.5는 감사인이 충분하고 적합한 감사증거를 확보하도록 요구합니다. 두 개념을 혼동하는 경우가 생각보다 많습니다. 충분성은 양입니다. 적합성은 질입니다. 둘은 별개 판단이고 하나가 다른 하나를 대신하지 못합니다.

충분성 판단은 왜곡표시위험 평가에서 출발합니다. ISA 500.A2에 따르면 위험이 높을수록 더 많은 증거가 필요합니다. 제 경험상 실무에서 가장 흔한 문제는 "충분하다"고 느끼는 시점의 판단입니다. 동일한 주장에 대해 여러 출처에서 일관된 증거가 나올 때 충분성이 달성되는데, 단일 출처에서 나온 증거를 여러 건 쌓는 것과는 다릅니다.

적합성에는 관련성과 신뢰성이라는 두 축이 있습니다. ISA 500.A3에 따르면 관련성은 해당 증거가 테스트 대상 주장과 논리적으로 연결되는지를 봅니다. 존재 주장을 테스트하면서 구매 주문서만 확인하는 경우가 있습니다. 구매 주문서는 발주 의사가 있었다는 증거이지 물건이 실재한다는 증거가 아닙니다. 재고자산 물리적 검사가 필요합니다. ISA 500.A29-A34는 신뢰성에 영향을 주는 요소로 출처, 성격, 증거를 확보하는 상황을 열거합니다.

신뢰성 서열: 어떤 증거가 더 강한가

ISA 500.A31은 증거의 신뢰성에 대한 일반 원칙을 제시합니다. 솔직히 이 서열을 머리로는 알지만 필드에서 조서를 닦을 때 무시하는 경우가 많습니다.

출처에 따른 서열

외부에서 직접 확보한 증거가 가장 강합니다. 은행 잔고확인서, 채권자 직접 회신 같은 것입니다. 내부 증거는 그 자체로는 약합니다. 내부통제가 작동하는 환경이라면 신뢰성이 올라가지만 통제가 취약하면 내부 문서 하나로 결론을 내릴 수 없습니다. 감사인이 직접 관찰하거나 계산한 증거는 외부 확인보다 강할 수 있습니다. 재고실사에서 감사인이 직접 개수를 세는 것이 고객사가 보내준 재고 목록보다 신뢰성이 높습니다.

성격에 따른 서열

ISA 500.A32에 따르면 서면 증거는 구두보다 강합니다. 원본은 복사본보다 강합니다. 현장에서 "구두로 확인했습니다"만 조서에 남기면 감리에서 바로 걸립니다. 금감원은 "충분하고 적합한 감사증거 확보가 미흡한 것으로 확인되었습니다"라고 쓰겠지만, 실무에서 이것이 의미하는 것은 조서가 너무 얇다는 것입니다. 구두 진술을 받았으면 서면으로 확인을 받고 조서에 첨부해야 합니다.

내부통제 환경이 바꾸는 것

ISA 500.A33은 내부통제가 증거 신뢰성에 미치는 영향을 규정합니다. 내부통제가 설계대로 운영되는 환경에서 생성된 내부 문서는 신뢰할 수 있습니다. 반대의 경우 추가 확증이 필요합니다. 내부통제 테스트를 건너뛰고 내부 증거만으로 결론을 내리는 것은 위험합니다.

실무 사례: ERP 전환 후 증거 확보

> 대한산업 주식회사 > > 매출 750억 원 제조업체인 대한산업 주식회사는 2024년부터 ERP를 전면 교체했습니다. 종이 문서 기반 승인이 전자결재로 바뀌었고 구매 주문서와 검수 보고서가 시스템 안에서만 존재합니다. > > 1단계: 전자 증거의 신뢰성 평가 > ISA 500.A34에 따라 IT 일반통제(ITGC)와 IT 응용통제를 먼저 평가합니다. 접근 권한 관리, 변경 관리, 운영 통제를 테스트하여 전자 증거의 무결성을 확인합니다. > 문서화 노트: ITGC 테스트 결과와 전자 증거 무결성 평가 근거를 기록 > > 2단계: 출처별 신뢰성 검토 > 외부 공급업체 확인서가 신뢰성 최상위입니다. ERP 시스템 내 전자 문서는 1단계의 IT 통제 테스트 결과에 따라 신뢰성이 결정됩니다. 구두 진술만 있는 항목은 서면 확인으로 보강합니다. 재무팀장의 구두 설명만 조서에 남기면 감리에서 걸립니다. > 문서화 노트: 증거 유형별 신뢰성 평가 결과와 근거를 기록 > > 3단계: 증거 조합으로 충분성 확보 > 구매 거래 100건 표본에 대해 공급업체 확인 30건, ERP 시스템 검사 60건, 현물 확인 10건을 조합합니다. 전자 증거만으로는 충분하지 않았지만 외부 확인과 현물 검증을 결합하여 ISA 500.6의 충분성과 적합성을 충족했습니다. > 문서화 노트: 표본 설계 근거와 각 절차의 증거 수집 목적을 명시

감사증거 수집 시 확인할 4가지

1. 각 감사절차가 어떤 주장을 테스트하는지 조서에 명시합니다. ISA 500.A4가 근거 문단입니다. "무엇을 확인하려고 이 절차를 했는가"가 조서에 없으면 증거로서의 가치가 떨어집니다.

2. ISA 500.A31-A33에 따라 출처별 신뢰성을 평가합니다. 외부 증거, 감사인 직접 확보, 내부 증거 순으로 신뢰성이 달라집니다. 내부 증거에만 의존하는 주장이 있으면 추가 절차를 고려합니다.

3. 서면과 전자, 원본과 복사본을 구분하고 신뢰성을 평가합니다. 전자 증거의 경우 IT 통제 테스트가 선행되어야 합니다.

4. 각 증거의 출처, 성격, 신뢰성 판단 근거를 조서에 기록합니다. 막상 감리가 나오면 "왜 이 증거를 신뢰했는가"를 설명해야 하는데, 기록이 없으면 설명할 방법이 없습니다.

감리에서 자주 걸리는 실수

완전성 주장을 테스트해야 하는데 존재 주장 테스트 절차를 사용하는 경우가 있습니다. 존재는 "있는 것이 진짜 있는가"이고 완전성은 "있어야 할 것이 빠지지 않았는가"입니다. 절차 설계 시 테스트 대상 주장을 먼저 정의하지 않으면 이 실수가 반복됩니다.

IT 통제 테스트 없이 시스템이 생성한 보고서만으로 결론을 내리는 경우도 흔합니다. ISA 500.A34는 전자 정보의 완전성과 정확성을 별도로 검증하도록 요구합니다. ERP에서 뽑은 보고서 하나를 조서에 붙이고 끝내면 그 증거의 신뢰성 근거가 없습니다.

내부통제가 취약한 상황에서 내부 문서를 외부 확인서와 동일하게 취급하는 실수도 있습니다. 솔직히 시즌에 시간이 부족하면 타임이팅하면서까지 외부 확인을 추가로 보내기가 어렵습니다. 하지만 내부통제가 안 되는 고객사에서 내부 문서만 갖고 결론을 내리면 감리에서 지적 사항이 됩니다.