규제당국의 기대 vs 감사 현실: 격차 해소하기

규제당국 기대의 변화 양상

규제당국의 감사 품질에 대한 기대는 지난 5년간 눈에 띄게 높아졌다. ISA 220 개정(2022년 시행)과 ISQM 1 도입으로 품질관리에 대한 요구사항이 강화되었지만 변화는 기준서 개정보다 훨씬 광범위하다.

문서화 기준의 상향

ISA 230.8은 "경험이 있고 해당 업무와 관련된 사전 지식이 없는 감사인이 이해할 수 있을 정도"의 문서화를 요구한다. 과거에는 관대하게 해석했다. 현재 규제당국은 이 "경험 있는 감사인"을 보수적으로 정의한다.

실무에서 이 기준은 구체적으로 네 가지를 뜻한다: - 간단한 "검토 완료" 체크박스로는 불충분 - 수행한 절차의 범위와 선택한 항목에 대한 구체적 기술 필요 - 식별된 예외사항에 대한 대응 내용 기록 - 전문가적 판단을 행사한 모든 지점에서 그 근거 문서화 요구

위험평가의 세밀함

ISA 315 개정(2021년 시행)은 위험 식별과 평가에서 더 세분화된 접근을 요구한다. 규제당국은 이제 "일반적인" 위험 기술을 받아들이지 않는다.

기존 접근: "매출에 발생 위험이 있음" 현재 요구: "분기별 판매 인센티브로 인해 4분기 매출 인식 시점에 관련된 발생 위험이 재무제표 수준에서 중요한 왜곡표시 위험을 초래함"

ISA 315.A224는 식별된 위험이 "what could go wrong" 수준에서 기술되어야 한다고 명시한다. 규제당국은 이를 문자 그대로 적용한다.

표본추출의 정밀성

ISA 530 관련 지적사항이 급증하고 있다. MUS(Monetary Unit Sampling) 적용에서 세 가지 비교(ISA 530.A22)를 모두 수행하지 않는 경우가 빈발한다.

대부분의 파일은 추정왜곡표시와 수인가능왜곡표시 비교만 수행한다. 추정왜곡표시가 계획단계 예상왜곡표시를 초과하면 표본 크기 재검토가 필요하다. 이 단계를 생략하면 표본이 계획된 보증 수준을 제공하지 못할 수 있다.

가장 빈번한 격차 영역

국제적 감리 데이터에 따르면 특정 영역에서 기대-현실 격차가 반복적으로 나타난다.

계속기업 평가

ISA 570.16은 감사인이 계속기업 가정의 적절성에 대해 결론을 내리도록 요구한다. 문제는 이 "결론"의 수준이다.

부적절한 결론: "계속기업 가정이 적절함을 확인했다." 적절한 결론: "현금흐름 예측과 대출약정 조건, 주요 고객 계약 갱신 가능성을 검토한 결과 향후 12개월간 계속기업으로서 운영을 유지할 충분한 자원이 있다고 판단했다."

규제당국은 결론에 이른 과정의 투명성을 요구한다. ISA 570.A19가 요구하는 "추가적 감사절차"가 무엇이었는지, 그 결과가 어떠했는지 명확히 기술해야 한다.

수금가능성 평가

IFRS 9 기대신용손실 모형에서 감사인의 역할에 대한 오해가 지속된다. ISA 540.13(c)는 경영진의 추정치가 합리적인 범위 내에 있는지 평가하도록 요구한다.

"경영진 방법론이 합리적임"으로는 불충분하다. 감사인이 독립적으로 합리적 범위를 설정하고 경영진 추정치가 그 범위 내에 있는지 확인해야 한다. 솔직히 이 부분은 빅펌이든 로컬이든 조서에 제대로 남기는 팀이 드물다.

정보시스템 통제

ISA 315.26은 정보시스템에 대한 이해를 요구한다. 중소기업 감사에서도 IT 통제에 대한 문서화 기준이 강화되었다.

최소 문서화 요구사항: - 재무보고에 관련된 주요 시스템 식별 - 수동 통제와 자동 통제 구분 - 일반통제 및 애플리케이션 통제 중 감사 접근법에 영향을 미치는 영역 파악 - 통제 의존 여부에 대한 명시적 결정

기준서 vs 검토 현실

감사기준서는 원칙 중심으로 작성되어 해석의 여지가 있다. 규제당국 검토는 그 해석을 구체적 사례에 적용한 결과를 평가한다.

중요성 판단의 문서화

ISA 320.10은 중요성 수준 결정 시 고려사항을 문서화하도록 요구한다. 기준서 문언만으로는 "고려사항" 범위가 명확하지 않다.

규제당국이 기대하는 문서화: - 선택한 벤치마크와 그 이유 - 적용한 비율과 업계 및 기업 특성상 조정 근거 - 정성적 요인의 구체적 영향과 성과 중요성과의 관계 설정 논리

단순한 계산 과정 기록으로는 ISA 320.A11이 요구하는 "결정 과정"을 충족하지 못한다.

분석적 절차의 정밀도

ISA 520.5(b)는 분석적 절차를 실질적 절차로 사용할 때 기대치의 정밀도가 중요한 왜곡표시를 식별할 수 있는 수준이어야 한다고 요구한다.

문제가 되는 접근: - 전년 대비 단순 비교와 업계 평균 대조 - 예산 대비 실적 분석(경영진이 작성한 예산 기준)

규제당국이 기대하는 정밀도: - 독립적으로 개발한 기대치 - 분해된 데이터 기반 분석(월별, 사업부별, 제품별) - 비재무 정보와의 상관관계 검증과 임계값 설정의 명시적 근거

표본 크기 결정

ISA 530.A17은 모집단 특성이 표본 크기에 미치는 영향을 고려하도록 요구한다. 규제당국은 이를 정량적으로 분석했는지 확인한다.

부적절한 문서화: "업계 표준에 따라 25개 항목을 선택했다." 적절한 문서화: "모집단 규모 1,200개, 예상 오류율 2%, 신뢰수준 95%, 허용 오류 5%를 적용하여 계산한 표본 크기는 73개다. 실제로 80개를 선택하여 계획된 보증 수준을 확보했다."

실무 적용 사례

한국산업기계 주식회사(매출 850억 원, 제조업)의 2024년 감사에서 발생한 상황이다.

1단계: 위험 평가 단계

기존 접근 방식: "재고자산에 평가 위험이 존재한다. 제조업체이므로 진부화 위험을 고려해야 한다."

개선된 접근 방식: "한국산업기계는 중장비 부품을 생산하며 주요 고객사(H중공업, D중공업)의 수주 감소로 특정 부품의 재고회전율이 18개월에서 31개월로 악화되었다. 이에 따라 진부화 충당금 산정과 관련하여 평가 주장에 중요한 왜곡표시 위험이 존재한다."

문서화 노트: ISA 315.A128 기준에 따라 "what could go wrong" 수준에서 위험을 구체적으로 기술

2단계: 실질적 절차 설계

계획된 절차: - 재고실사 참관(표본 50개 품목) - 진부화 분석(6개월 이상 미이동 재고) - 단위당 원가 검증(표본 30개 품목)

문서화 노트: 각 절차가 어떤 주장(발생, 완전성, 평가)에 대응하는지 명시

3단계: 절차 수행

재고실사 결과: - 실사 대상 50개 품목 중 3개 품목에서 장부-실사 차이 발견 - 차이 금액: 2,400만 원(중요성 4억 2천만 원 대비 5.7%) - 유사 품목군 25개에 대해 추가 실사 수행

문서화 노트: 예외사항에 대한 추가 절차 수행 근거와 결과 상세 기록

4단계: 결론 도출

부적절한 결론: "재고자산 감사절차를 수행한 결과 중요한 오류를 발견하지 못했다."

적절한 결론: "재고실사와 진부화 분석, 원가 검증을 통해 재고자산 장부가액 127억 원에 대해 합리적 보증을 획득했다. 발견된 소액 차이(2,400만 원)는 경영진이 조정했으며 추정 진부화 충당금 8억 원은 과거 3년간 실제 폐기율 분석 결과와 일치한다."

문서화 노트: 수행 절차와 발견사항, 경영진 조치, 최종 결론을 연결하여 기술

격차 해소 체크리스트

다음 항목들을 현재 진행 중인 감사에서 점검해야 한다:

1. 위험평가 문서화(ISA 315.28): 식별된 각 위험이 "무엇이 잘못될 수 있는지" 구체적으로 기술되어 있는가? 일반적인 위험 유형 나열이 아닌 해당 기업 특유의 상황과 연결된 위험 기술인가?

2. 중요성 판단 근거(ISA 320.A11): 벤치마크 선택 이유와 적용 비율, 정성적 조정 요인이 모두 문서화되어 있는가? 다른 감사인이 읽어도 판단 과정을 따라갈 수 있는 수준인가?

3. 표본추출 설계(ISA 530.A16): 표본 크기 계산 과정과 선택 방법, 예상 오류율 설정 근거가 문서화되어 있는가? MUS 사용 시 세 가지 비교를 모두 수행했는가?

4. 분석적 절차 정밀도(ISA 520.5): 기대치를 독립적으로 개발했는가? 임계값 설정에 대한 명시적 근거가 있는가? 중요한 변동에 대한 추가 조사 결과가 문서화되어 있는가?

5. 계속기업 평가(ISA 570.16): 수행한 추가 절차가 구체적으로 기술되어 있는가? 결론에 이른 논리적 과정이 추적 가능한가?

6. 파일의 모든 주요 판단 지점에서 "왜 이렇게 결정했는지"를 다른 감사인이 이해할 수 있도록 문서화했는가? ISA 230.8의 "경험 있는 감사인" 기준을 보수적으로 적용했는가?

자주 발생하는 오해

국제적 감리 결과에서 반복적으로 나타나는 오해들이다:

"기준서를 따랐으면 충분하다." 기준서는 최소 요구사항이다. 규제당국은 그 요구사항이 실질적으로 달성되었는지를 평가한다. 절차를 수행했다고 기록하는 것과 적절한 결론을 도출할 만큼 충분한 증거를 확보하는 것은 다르다. 막상 감리를 받아보면 "했다"와 "했다는 근거가 있다" 사이의 간극이 파일 등급을 가른다.

"작은 기업이라 간소화해도 된다." 기업 규모는 절차의 복잡성에 영향을 미치지만 문서화 품질 기준을 낮추지는 않는다. ISA 230.8의 문서화 요구사항은 모든 규모의 감사에 동일하게 적용된다.

"경험으로 판단했다면 별도 설명이 불필요하다." 전문가적 판단을 행사한 모든 지점에서 그 근거를 문서화해야 한다. "경험상" 또는 "일반적으로"라는 표현으로는 ISA 230.A7이 요구하는 "판단 근거"를 충족할 수 없다.