기업 개요 1단계: 위험 평가 계획 수립 ISA 315.10에 따라 기업 환경 이해 절차를 계획합니다. 베이커리 업종 특성상 현금 매출 비중이 높고 재고 회전이 빠르므로 매출 인식과 현금 관리에 집중합니다. 문서화: 위험평가 계획서에 업종 특성과 예상 위험영역 기재 2단계: 내부통제 평가 직영점과 가맹점 매출 집계 시스템을 분리하여 평가합니다.
Patisserie Valerie 사건 개요와 감사 실패의 핵심
사건의 규모와 특징
Patisserie Valerie plc는 영국에 본사를 둔 베이커리 체인으로 32개 매장을 운영했습니다. 2017년 기준 연 매출 1억 2천만 파운드, 직원 수 2,800명 규모였습니다. AIM(Alternative Investment Market) 상장사로 Market Maker 제도 하에서 거래되었습니다.
Grant Thornton UK LLP가 13년간 연속으로 감사를 담당했습니다. 2005년부터 2017년까지 모든 회계연도에서 적정 의견을 표명했습니다. 2018년 10월 9일, 회사는 "중대한 회계 부정과 오해를 발견했다"고 공시했습니다.
부정 규모는 4천만 파운드에 달했습니다. 회사 시가총액(4천 5백만 파운드)의 89%에 해당하는 금액입니다. 발견된 부정은 매출 과대계상, 현금 잔액 조작, 부채 누락이었습니다.
FRC 조사 결과와 감사 실패 요인
영국 FRC(Financial Reporting Council)는 2019년부터 2021년까지 조사를 진행했습니다. Grant Thornton에 400만 파운드 과징금을 부과했습니다. 업무수행이사에게는 15만 파운드 과징금과 2년간 상장회사 감사 금지 처분을 내렸습니다.
FRC가 지적한 감사 실패 요인은 다음과 같습니다:
위험 평가 실패 (ISA 315 위반)
감사팀은 경영진 개입 위험을 과소평가했습니다. 회장 겸 CEO Luke Johnson이 회계 기록에 직접 접근할 수 있는 구조였음에도 이를 특별위험으로 식별하지 않았습니다. ISA 315.25는 경영진이 내부통제를 우회할 위험이 있을 때 특별위험으로 평가하도록 요구합니다.
부정 위험 대응 부족 (ISA 240 위반)
매출 인식에서 부정 위험 추정이 있었으나 대응 절차가 불충분했습니다. 프랜차이즈 매출과 직영 매출의 분리 테스트, 기간귀속 확인 절차가 표본 크기와 테스트 범위에서 ISA 240.32 요구사항을 충족하지 못했습니다.
현금 확인 절차 실패
은행 잔액 확인에서 위조된 은행 잔액증명서를 발견하지 못했습니다. ISA 505.10에 따른 외부조회 절차에서 은행으로부터 직접 회신을 받지 않고 고객이 제공한 문서를 사용했습니다.
소규모 기업 감사에서 간과하기 쉬운 위험 평가
경영진 개입 위험의 특징
소규모 기업에서 경영진 개입 위험은 대기업보다 높습니다. 업무 분장이 제한적이고 경영진이 일상 업무에 직접 관여하기 때문입니다. ISA 240.A4는 이를 고유위험으로 인식하도록 요구합니다.
Patisserie Valerie에서도 이 패턴이 나타났습니다. Luke Johnson 회장은 재무팀과 직접 소통하며 회계 처리 지시를 내렸습니다. 이사회는 3명으로 구성되었고 과반수가 경영진이었습니다. 독립적 감시 기능이 제한적이었습니다.
일반적 경영진 개입 지표
위험 평가 절차의 실무 적용
ISA 315.12는 기업과 환경에 대한 이해를 얻기 위해 질의, 분석적 절차, 관찰과 조사를 요구합니다. 소규모 기업에서는 이 절차들을 더 집중적으로 적용해야 합니다.
질의 절차의 강화
경영진 외에 중간관리층과 직원을 대상으로 한 질의가 필요합니다. 경영진 개입 위험이 높을 때는 경영진 답변과 현장 직원 답변 간 일치성을 확인해야 합니다.
분석적 절차의 세분화
월별 또는 분기별 분석이 필요합니다. 연간 분석만으로는 기간 내 조작을 발견하기 어렵습니다. Patisserie Valerie의 경우 매출 조작이 특정 월에 집중되었으나 연간 분석에서는 드러나지 않았습니다.
- 경영진이 회계 시스템에 직접 접근 권한 보유
- 월말 마감 절차에 경영진이 직접 관여
- 중요한 회계 추정과 판단에 대한 이사회 검토 부족
- 내부 감사 기능 부재 또는 경영진 직속 운영
실무 적용 사례: 코리아 베이커리 주식회사
기업 개요
1단계: 위험 평가 계획 수립
ISA 315.10에 따라 기업 환경 이해 절차를 계획합니다. 베이커리 업종 특성상 현금 매출 비중이 높고 재고 회전이 빠르므로 매출 인식과 현금 관리에 집중합니다.
문서화: 위험평가 계획서에 업종 특성과 예상 위험영역 기재
2단계: 내부통제 평가
직영점과 가맹점 매출 집계 시스템을 분리하여 평가합니다. POS 시스템에서 본사 ERP로 데이터 전송 과정에서 경영진 개입 가능성을 확인합니다.
문서화: 내부통제 flow chart 작성, 취약점 식별 및 보완통제 여부 기재
3단계: 부정 위험 평가
ISA 240.27에 따라 부정 위험을 특별위험으로 평가합니다. 특히 가맹점 로열티 수익과 직영점 매출 간 상호 대체 가능성에 주목합니다.
문서화: 부정위험 평가서에 구체적 부정 시나리오와 동기, 기회, 합리화 요인 분석
4단계: 대응 절차 설계
월별 매장별 매출 분석을 실시합니다. 직영점과 가맹점 간 수익성 격차, 신규 개점과 폐점의 매출 영향을 분석합니다.
문서화: 분석적 절차 계획서에 기대치 산정 방법과 변동 허용 범위 설정
이 절차를 통해 코리아 베이커리의 매출 인식 부정 위험에 적절히 대응할 수 있습니다. 감사인은 경영진 설명에만 의존하지 않고 독립적 증거를 확보해야 합니다.
- 상호: 코리아 베이커리 주식회사
- 업종: 제과점 체인 (직영 25개점, 가맹 15개점)
- 매출: 연 950억 원 (2023년 기준)
- 임직원: 1,200명
- 상장구분: 코스닥
소규모 기업 감사를 위한 실무 체크리스트
- 위험 평가 단계에서 경영진 개입 위험을 별도 위험영역으로 식별하고 ISA 315.25에 따라 특별위험 해당성 검토
- 질의 절차에서 경영진뿐 아니라 중간관리층(회계팀장, 영업팀장)에게 동일 사안에 대해 독립적으로 질의 실시
- 분석적 절차를 월별 또는 분기별로 세분화하여 실시하고 예상치와 실제치 간 차이의 원인을 구체적으로 추적
- 외부조회 절차에서 고객 경유 없이 직접 회신받는 방식 적용 (ISA 505.10)
- 현금 및 예금 잔액에 대해 기말 외에 중간 시점(월말 또는 분기말) 추가 확인 실시
- 가장 중요한 것: 소규모라는 이유로 감사 절차를 생략하지 않되, 기업 규모에 맞게 절차의 범위와 방법을 조정
일반적 실수와 개선 방안
부정 위험을 과소평가하는 경우
소규모 기업이라는 이유로 부정 위험을 낮게 평가합니다. 실제로는 통제 환경이 취약하여 부정 위험이 더 높을 수 있습니다. FRC 2022-23 inspection cycle에서 소규모 기업 감사의 37%가 부정 위험 평가에서 지적을 받았습니다.
경영진 질의에만 의존
경영진 설명을 충분한 감사증거로 간주합니다. ISA 500.7은 질의만으로는 충분한 감사증거를 얻기 어렵다고 규정합니다. 독립적 확인 절차가 필요합니다.
관련 자료
- 감사 위험 평가 가이드: 소규모 기업에서 특히 주의해야 할 고유위험과 통제위험의 평가 방법
- ISA 240 부정 위험 툴킷: 부정 위험 평가와 대응 절차를 단계별로 안내하는 실무 도구
- 내부통제 평가 워크시트: 소규모 기업의 제한적 통제 환경에서 사용할 수 있는 평가 체크리스트
- ISA 315 위험평가 실무 가이드: 경영진 개입 위험 식별부터 대응 절차 설계까지 ISA 315.25 요구사항 적용 방법