Steinhoff 사기: 그룹 감사에서 사기 탐지 실패

이 글에서 배울 내용

그룹 감사에서 사기 위험 평가: ISA 600.20에 따라 구성요소별 위험을 그룹 차원으로 통합하는 방법
Steinhoff 사례 분석: 어떤 신호가 있었고 왜 놓쳤는지 실제 사례를 통한 교훈
구성요소 감사인과의 소통: ISA 600.24가 요구하는 서면 소통의 구체적 내용
실무 점검표: 내일 사용할 수 있는 그룹 감사 사기 위험 평가 체크리스트

목차

• Steinhoff 사기의 구조
• 그룹 감사에서 놓친 신호들
• ISA 600이 요구하는 사기 위험 소통
• 실제 적용 사례
• 실무 점검표
• 자주 발생하는 실수
• 관련 자료

Steinhoff 사기의 구조

Steinhoff 사기는 복잡한 그룹 구조를 악용한 전형적 사례입니다. 남아프리카에 본사를 둔 이 가구 소매업체는 40개국에 3,000개 매장을 운영했습니다. 사기는 주로 유럽 자회사와 남아프리카 본사 간 가상 거래를 통해 이뤄졌습니다.
핵심 수법은 다음과 같았습니다:
가상 매출 인식: 남아프리카 Steinhoff가 유럽 자회사들에게 가구와 서비스를 "판매"했다고 기록했습니다. 실제로는 아무것도 인도되지 않았습니다. 이런 거래로 2014년부터 2017년까지 연간 50억 유로의 가상 매출이 계상되었습니다.
복잡한 관계회사 거래: 80여 개 자회사와 관련회사 간 상호 거래를 통해 손실을 분산시켰습니다. 한 자회사의 손실을 다른 자회사의 이익으로 상쇄하는 방식으로 그룹 전체 수익성을 조작했습니다.
문서 조작: 구매 계약서, 인도 증명서, 송장을 위조했습니다. 일부 거래는 완전히 허위였고 일부는 금액을 과대 계상했습니다.
외부 감사 회피: 주요 자회사의 외부 감사인을 빈번하게 교체하고 구성요소 감사인의 접근 범위를 제한했습니다. ISA 600.A37에 따라 이런 접근 제한은 그룹 감사팀에 보고되어야 합니다.
ISA 240.A13에서 규정하는 사기 위험 요소 중 동기(과도한 실적 압박), 기회(복잡한 그룹 구조), 정당화(성장 전략이라는 명분) 요소가 모두 존재했습니다. 그룹 감사팀이 이를 종합적으로 평가했다면 탐지 가능했을 것입니다.

그룹 감사에서 놓친 신호들

Deloitte가 그룹 감사인이었고 KPMG가 남아프리카 구성요소 감사인이었습니다. 두 감사팀 간 소통에서 여러 신호가 놓쳤습니다.
구성요소별 위험 신호를 통합하지 못함
남아프리카 KPMG는 다음 사항들을 그룹 감사팀에 보고했어야 했습니다:
그러나 ISA 600.24에 따른 서면 소통에서 이런 개별 사항들이 그룹 차원 사기 위험으로 평가되지 않았습니다.
분석적 절차의 분절화
각 구성요소에서 수행한 분석적 절차가 그룹 차원에서 통합 검토되지 않았습니다. 남아프리카에서는 매출총이익률이 개선되었지만 유럽에서는 악화되었습니다. 개별적으로는 설명 가능했지만 합치면 가상 거래의 패턴을 보였습니다.
경영진 주장 검증 부족
Steinhoff 경영진은 "신흥시장 확장으로 인한 일시적 현상"이라고 설명했습니다. 그룹 감사팀이 이를 수용했지만 구성요소별 세부 증거로 검증하지 않았습니다. ISA 600.A58에 따르면 경영진 설명이 구성요소 감사인들의 발견사항과 일치하는지 확인해야 했습니다.
전문가 활용 부재
복잡한 관계회사 거래 구조를 평가하는 데 포렌식 전문가나 이전가격 전문가 지원이 없었습니다. ISA 620.7에 따라 감사인 역량이 부족한 전문 분야에서는 전문가 활용을 검토해야 했습니다.

• 관련회사 거래 급증 (전년 대비 300% 증가)
• 현금 흐름과 이익 간 불일치 심화
• 경영진의 회계 추정 변경 빈도 증가
• 내부 감사팀과 경영진 간 갈등 보고

ISA 600이 요구하는 사기 위험 소통

• 식별된 사기 위험 요소와 그 평가
• 수행한 사기 관련 감사절차와 결과
• 경영진이나 종업원의 부정행위 의혹
• 내부통제 결함 중 사기와 관련된 사항
• 기타 그룹 감사와 관련된 중요 발견사항
• 구성요소 간 일관되지 않는 위험 요소 패턴
• 개별적으로는 중요하지 않지만 통합하면 중요한 위험
• 구성요소 간 거래에서 나타나는 사기 징후
• 경영진의 설명과 구성요소별 발견사항 간 불일치

실제 적용 사례

한국전자산업 주식회사
이 사례는 국내 그룹사 감사에서 사기 위험 평가를 어떻게 수행하는지 보여줍니다. 매출 8,500억 원의 전자부품 제조업체로 싱가포르, 베트남, 중국에 제조 자회사 6개를 두고 있습니다.
1단계: 구성요소별 위험 식별
문서화 노트: 각 구성요소별 위험 매트릭스를 작성하고 ISA 240 부록의 사기 위험 요소와 매칭하여 기록
2단계: 그룹 차원 통합
구성요소 감사인들로부터 받은 소통을 분석한 결과:
문서화 노트: 개별 위험 요소들을 그룹 차원에서 재평가하고 추가 절차 필요성 판단
3단계: 추가 절차 설계
그룹 차원 평가 결과 다음 절차를 추가했습니다:
문서화 노트: 추가 절차가 그룹 차원 사기 위험에 대한 대응임을 명확히 기록
결론: 이 통합 평가를 통해 중국 법인의 매출 인식 시점 조작을 발견했습니다. 개별 구성요소로는 중요하지 않았지만 그룹 차원에서는 연결 당기순이익의 3.2%에 해당했습니다.

• 한국 본사: 연구개발비 회계처리 복잡성, 정부 보조금 수익인식
• 싱가포르 법인: 본사와의 기술료 거래, 이전가격 이슈
• 베트남 법인: 현지 규정 변경으로 인한 회계처리 불확실성
• 중국 법인: 수출 VAT 환급 관련 복잡성
• 아시아 자회사 3곳 모두에서 기술료 지급이 전년 대비 40% 증가
• 본사의 R&D 수익성이 개선되었으나 제조 자회사들의 마진은 하락
• 중국 법인에서 내부회계관리제도 미비점 다수 발견
• 기술료 거래의 실질성 검토 (계약서, 실제 기술 이전 증빙, 이전가격 문서)
• 아시아 자회사 매출 인식 시점의 일관성 검토
• 본사와 자회사 간 매출/매입 상계 정확성 확인

실무 점검표

다음 체크리스트를 현재 그룹 감사에 적용하십시오:

• 계획 단계 소통 완료
• 모든 구성요소 감사인에게 사기 위험 평가 결과를 서면 요청했는가
• ISA 600.24에 따른 필수 소통 항목이 요청서에 포함되어 있는가
• 소통 일정과 방법이 명시되어 있는가
• 구성요소별 위험 통합
• 받은 모든 소통을 하나의 위험 매트릭스로 통합했는가
• 개별적으로는 중요하지 않지만 통합하면 중요한 위험을 식별했는가
• 구성요소 간 일관되지 않는 패턴이나 추세를 분석했는가
• 경영진 설명 검증
• 그룹 경영진의 설명이 구성요소별 발견사항과 일치하는지 확인했는가
• 불일치 사항에 대해 추가 질문이나 절차를 수행했는가
• 문서화 적정성
• 그룹 차원 사기 위험 평가 과정이 감사조서에 기록되어 있는가
• 구성요소별 소통과 그룹 차원 통합 과정이 추적 가능한가
• 지속적 소통
• 감사 진행 중 새로운 위험 요소 발견 시 즉시 소통 체계가 구축되어 있는가
• 가장 중요한 것: 그룹 감사팀이 구성요소별 정보를 단순 취합하지 않고 전체적 관점에서 재평가했는가. ISA 600.20의 핵심은 통합된 위험 평가입니다.

자주 발생하는 실수

국제 감리 보고서에 따르면 그룹 감사에서 반복되는 실수들이 있습니다:

• 소통의 형식적 처리: 구성요소 감사인으로부터 표준화된 답변만 받고 추가 질문을 하지 않는 경우. 금감원 2024년 감리에서 가장 빈번하게 발견된 문제입니다.
• 개별 위험의 단순 합산: 구성요소별 위험 평가를 나열만 하고 그룹 차원에서 재평가하지 않는 경우. Steinhoff처럼 개별적으로는 설명 가능하지만 전체적으로는 의심스러운 패턴을 놓칠 수 있습니다.

관련 자료

• ISA 240 사기 위험 평가 가이드 - 그룹사가 아닌 단일 기업에서의 사기 위험 평가 방법
• 그룹 감사 계획 도구 - ISA 600에 따른 구성요소별 중요성과 위험 평가 계산기
• 관련회사 거래 검토 체크리스트 - 그룹사 간 거래에서 자주 발견되는 사기 위험 요소들
• ISA 600 그룹 감사 가이드 - 구성요소 중요성 결정과 그룹 감사 전략 수립 절차