ISA 240의 사기 위험 평가가 실제 사기 발견에 실패하는 구체적 이유 국제 감리 기관의 주요 지적사항과 그 원인 분석 현재 감사 파일에서 즉시 적용 가능한 사기 탐지 개선 방법 사기 위험 문서화에서 피해야 할 일반적 실수 3가지
이 글에서 배울 내용
ISA 240의 사기 위험 평가가 실제 사기 발견에 실패하는 구체적 이유
국제 감리 기관의 주요 지적사항과 그 원인 분석
현재 감사 파일에서 즉시 적용 가능한 사기 탐지 개선 방법
사기 위험 문서화에서 피해야 할 일반적 실수 3가지
목차
사기 감사가 실패하는 구조적 원인
표본추출의 한계
ISA 240.A20은 표본추출이 사기 탐지에 내재된 제약이 있음을 인정합니다. 전체 거래의 1-5%만 테스트하는 표준적 감사에서 교묘하게 은닉된 사기를 발견할 확률은 매우 낮습니다. 특히 경영진이 개입된 사기의 경우 일반적 통제가 무력화되므로 표본 기반 테스트로는 감지하기 어렵습니다.
사기 위험 평가가 "낮음"으로 결론지어지면 실질적 절차의 범위가 줄어듭니다. ISA 240.29는 평가된 사기 위험에 비례한 대응을 요구하지만, 초기 위험 평가가 부적절하면 전체 감사 접근법이 부족해집니다.
확증 편향과 직업적 의구심
감사인은 무의식적으로 자신의 초기 판단을 확인하는 증거를 찾는 경향이 있습니다. 경영진이 합리적 설명을 제공하면 추가 조사를 중단하는 경우가 많습니다. ISA 240.12에서 요구하는 직업적 의구심을 유지하려면 의식적 노력이 필요하지만, 시간 압박과 고객 관계 고려 때문에 타협하기 쉽습니다.
문서화된 합리화는 대부분 경영진의 설명을 그대로 기록합니다. "경영진이 X라고 설명했으며 합리적으로 보임"이라는 문구는 감사 파일에서 흔히 볼 수 있지만, ISA 240.44(c)가 요구하는 독립적 검증은 부족합니다.
감리에서 발견되는 주요 결함
표면적 위험 평가
국제 감리 데이터에 따르면 사기 위험 평가에서 가장 빈번한 결함은 획일적 결론입니다. 업종, 규모, 소유구조가 다른 기업에서 동일한 사기 위험 요소를 식별하고 동일한 결론에 도달하는 파일이 반복적으로 발견됩니다.
ISA 240.26은 사기 위험 평가 시 고려해야 할 구체적 요소들을 나열하지만, 실무에서는 체크리스트 방식으로 접근하여 각 항목에 "해당 없음" 또는 "위험 낮음"으로 표시하는 경우가 많습니다. 기업 특유의 위험 요소나 업계 특성이 제대로 반영되지 않습니다.
부적절한 분석적 절차
분석적 절차는 사기 탐지에서 강력한 도구가 될 수 있지만, 대부분의 감사 파일에서는 기계적으로 수행됩니다. 전년 대비 변동률만 계산하고 임의의 기준(예: 10% 또는 15%)을 적용하여 "중요한 변동 없음"으로 결론짓습니다.
ISA 520.5에 따른 기대치 설정이 부적절한 경우가 많습니다. 업계 벤치마크, 비재무적 정보, 예산 대 실적 분석 등을 충분히 검토하지 않습니다. 매출 인식 조작을 탐지하려면 월별 매출 패턴, 주요 고객별 분석, 채권 회전율 등을 종합적으로 검토해야 하지만 이런 세밀한 분석은 드뭅니다.
저널 엔트리 테스트의 한계
ISA 240.32에서 요구하는 저널 엔트리 테스트는 대부분의 감사에서 수행되지만 효과성이 제한적입니다. 표준 금액 기준(예: 100만 원 초과)으로 필터링하면 소액이지만 빈번한 조작을 놓칠 수 있습니다. 특이한 계정 조합이나 비정상적 시점의 분개를 식별하는 기준이 모호합니다.
대부분의 저널 엔트리 테스트는 분개의 존재 여부만 확인하고 업무적 합리성은 깊이 있게 검토하지 않습니다. 연말 임시분개, 수동 분개, 일반적이지 않은 계정과목 조합에 대한 조사가 충분하지 않습니다.
경영진 사기 질의의 형식화
ISA 240.18은 경영진에게 사기 위험에 대한 질의를 수행하도록 요구합니다. 감리에서 확인된 문제는 이 질의가 체크리스트 형식의 예/아니오 질문으로 진행되어 실질적 정보를 얻지 못한다는 점입니다.
ISA 240.A21에서 제시하는 것처럼 내부통제 담당자, 현장 직원, 내부감사팀 등 경영진 외 직원에게도 별도 질의를 수행해야 합니다. 실제 감리에서 경영진 외 직원 질의가 누락된 파일이 60% 이상으로 보고됩니다.
현실적 사기 탐지 전략
데이터 분석 도구 적용
Excel의 고급 기능이나 전용 감사 소프트웨어를 사용하면 100% 모집단 분석이 가능합니다. Benford의 법칙을 적용하여 첫 자리 숫자 분포를 분석하거나, 중복 거래 탐지, 라운드 넘버 분석 등을 수행할 수 있습니다.
특히 매출 거래에서는 송장 번호의 순차성, 거래 시점의 집중도, 고객별 거래 패턴 등을 자동으로 분석할 수 있습니다. 이런 분석은 표본추출의 한계를 극복하고 숨겨진 패턴을 드러낼 수 있습니다.
예상치 못한 절차
ISA 240.A53은 예측 불가능한 감사 절차의 중요성을 강조합니다. 사전 통지 없는 재고 실사, 무작위 고객 확인, 예상치 못한 시점의 현금 실사 등이 해당됩니다.
경영진과의 질의도 예측 불가능해야 합니다. 표준화된 사기 질의서보다는 기업별 상황에 맞는 구체적 질문을 통해 일관성 없는 답변이나 회피적 반응을 포착해야 합니다.
외부 확인의 강화
ISA 505를 활용한 고객 확인에서는 표준 양식 대신 상세한 거래 내역을 포함한 확인을 요청하는 것이 효과적입니다. 단순히 잔액만 확인하는 것이 아니라 거래 조건, 배송 세부사항, 반품 정책 등을 포함한 상세 확인이 가짜 거래를 탐지하는 데 도움됩니다.
공급업체 확인도 마찬가지로 강화할 수 있습니다. 미지급금 잔액, 최근 거래 내역, 신용 조건, 분쟁 사항 등을 함께 확인하면 숨겨진 거래나 부외부채를 발견할 가능성이 높아집니다.
내부고발 채널과 제3자 정보 활용
ISA 240.A22는 감사인이 사기 관련 정보를 얻을 수 있는 출처를 넓게 고려하도록 요구합니다. 내부고발 접수 건, 규제기관 검사 결과, 언론 보도 등 외부 정보를 체계적으로 수집하면 감사팀 내부에서는 파악하기 어려운 사기 징후를 포착할 수 있습니다.
ISA 250.A20에 따라 규제기관과의 커뮤니케이션 기록도 확인하세요. 피감사회사가 규제기관으로부터 받은 질의서나 시정 요구가 있었다면 사기 위험 평가에 반영해야 합니다.
실무 적용 사례
현대전자부품 주식회사의 2024년 감사를 통해 개선된 사기 탐지 절차를 살펴보겠습니다.
기업 정보:
개선된 위험 평가 절차:
1단계: 업계별 사기 패턴 분석
전자부품 업계의 일반적 사기 유형을 조사했습니다. 가짜 거래처 생성, 연말 매출 선인식, 불량재고 은닉 등이 주요 패턴으로 식별되었습니다.
문서화: "업계 조사 결과 X, Y, Z 패턴이 빈번함. 해당 위험에 중점 대응"
2단계: 데이터 분석 수행
3년간 매출 데이터에 Benford 법칙을 적용한 결과 12월 거래에서 첫 자리 숫자 7이 예상보다 높은 빈도로 나타났습니다.
문서화: "Benford 분석 결과 12월 7xxx만원대 거래 34건으로 통계적 예상치 19건 대비 79% 초과. 추가 조사 필요"
3단계: 예상치 못한 절차 실시
사전 통지 없이 주요 고객 3곳에 직접 전화하여 최근 거래 내역을 구두로 확인했습니다. 1곳에서 회계 기록과 불일치하는 답변을 얻었습니다.
문서화: "A社 구두 확인 결과 11월 납품분 일부가 실제로는 12월 배송됨을 확인. 매출 인식 시점 재검토"
4단계: 경영진 외 직원 질의
ISA 240.A21에 따라 영업팀 직원과 물류 담당자에게 별도 면담을 수행했습니다. 연말 매출 목표 압박 여부, 반품 처리 절차, 출하 기준 등에 대해 구체적으로 질의했습니다.
문서화: "영업팀 면담 결과 12월 매출 목표 달성을 위해 고객 미확인 상태에서 선출하 처리한 건이 있었음을 확인. 추가 테스트 대상에 포함"
결과:
연말 매출 선인식 2.3억 원을 발견했습니다. 중요성 금액(8.5억 원) 미만이었지만 의도적 조작으로 확인되어 경영진에게 통보하고 내부통제 권고사항에 포함했습니다.
- 매출: 850억 원
- 직원 수: 320명
- 주요 고객: 대기업 제조사 8곳
- 주요 위험: 매출 조작, 재고 과대계상
즉시 적용 가능한 체크리스트
- 위험 평가 단계에서 업계별 사기 패턴 3가지 이상 구체적으로 식별하고 각각에 대한 대응 절차를 문서화합니다. ISA 240.26의 일반적 체크리스트를 넘어선 기업별 위험 요소를 반드시 포함하세요.
- 분석적 절차에서 최소 5가지 서로 다른 관점의 기대치를 설정합니다. 전년 대비예산 대비, 업계 평균 대비, 월별 추세, 비재무적 지표와의 상관관계를 모두 검토하세요.
- 저널 엔트리 테스트에서 금액 기준과 질적 기준을 병행 적용합니다. 고금액비정상적 계정 조합, 특이한 적요, 연말 집중 분개를 별도로 식별하여 테스트하세요.
- 외부 확인을 표준 양식에서 상세 양식으로 변경합니다. 단순 잔액 확인이 아닌 거래 조건, 배송 일정, 반품 현황을 포함한 상세 확인서를 발송하세요.
- 예상치 못한 절차를 최소 2가지 설계하여 실행합니다. 사전 통보 없는 현물 실사, 무작위 고객 전화 확인, 예상치 못한 시점의 IT 시스템 접근 등 중에서 선택하세요.
- 가장 중요한 것: 의구심을 문서화하고 해소 과정을 기록합니다. "합리적으로 보임"이 아닌 "X 증거를 통해 Y 결론에 도달함"으로 구체적 근거를 제시하세요.
자주하는 실수
- 천편일률적 위험 평가: 국제 감리에서 가장 자주 지적되는 사항입니다. 업종과 규모가 다른 기업에서 동일한 사기 위험 결론을 내리는 것은 ISA 240.26의 개별 평가 원칙에 어긋납니다.
- 분석적 절차의 임의 기준 적용: "10% 이하 변동은 추가 조사 불필요"같은 기계적 기준은 중요한 사기 신호를 놓칠 수 있습니다. 금액의 중요성과 변동의 성격을 함께 고려해야 합니다.
- 경영진 설명의 무비판적 수용: 합리적 설명이 제공되었다고 해서 독립적 검증을 생략하면 ISA 240.44의 문서화 요구사항을 충족하지 못합니다. 경영진 답변과 별도의 확증 증거가 필요합니다.
- 예측 불가능한 절차 미실시: ISA 240.A53에서 요구하는 예측 불가능한 감사 절차를 설계하지 않고 매년 동일한 테스트만 반복하면 경영진이 감사 범위를 예상하고 조작을 숨길 수 있습니다. 사전 통보 없는 재고 실사나 무작위 거래처 확인 등을 매년 다르게 구성해야 합니다.
관련 자료
- ISA 240 사기 위험 평가 도구: 업계별 위험 요소와 대응 절차를 체계적으로 문서화할 수 있는 Excel 기반 평가 도구
- 분석적 절차 계산기: Benford 법칙, 회귀분석, 비율분석을 자동으로 수행하여 사기 신호를 탐지하는 도구
- 저널 엔트리 테스트 가이드: ISA 240.32에 따른 분개 테스트 방법과 샘플 선정 기준
- ISA 240 사기 감사 종합 가이드: 사기 위험 평가부터 대응 절차까지 ISA 240의 전체 프로세스 해설