사기가 발견되지 않는 이유: 감리 조치 사례에서 얻은 교훈

이 글에서 배울 내용

> - ISA 240의 사기 위험 평가가 실제 사기 발견에 실패하는 구조적 이유 > - 금감원 감리에서 반복 지적되는 결함 패턴과 그 원인 > - 현재 감사 파일에서 즉시 적용 가능한 사기 탐지 개선 방법 > - 사기 위험 문서화에서 피해야 할 실수 4가지

사기 감사가 실패하는 구조적 원인

표본추출의 한계

ISA 240.A20은 표본추출이 사기 탐지에 내재된 제약이 있음을 인정한다. 전체 거래의 1-5%만 테스트하는 표준적 감사에서 교묘하게 은닉된 사기를 발견할 확률은 낮다. 경영진이 개입된 사기의 경우 일반적 통제가 무력화되므로 표본 기반 테스트로는 감지하기 어렵다.

사기 위험 평가가 "낮음"으로 결론지어지면 실질적 절차의 범위가 줄어든다. ISA 240.29는 평가된 사기 위험에 비례한 대응을 요구한다. 초기 위험 평가가 부적절하면 전체 감사 접근법이 부족해진다. 조서에 "낮음"이라고 찍는 순간 나머지 절차가 연쇄적으로 축소된다.

확증 편향과 직업적 의구심

감사인은 무의식적으로 자신의 초기 판단을 확인하는 증거를 찾는다. 경영진이 합리적 설명을 제공하면 추가 조사를 중단하는 경우가 많다. ISA 240.12에서 요구하는 직업적 의구심을 유지하려면 의식적 노력이 필요하지만 시간 압박과 고객 관계 때문에 타협하기 쉽다. 시즌 중에 인차지가 "경영진 설명이 합리적이니 넘어가자"고 판단하는 순간이 위험한 지점이다.

문서화된 합리화는 대부분 경영진의 설명을 그대로 기록한다. "경영진이 X라고 설명했으며 합리적으로 보임"이라는 문구는 조서에서 흔히 보이지만 ISA 240.44(c)가 요구하는 독립적 검증은 빠져 있다.

감리에서 발견되는 주요 결함

표면적 위험 평가

금감원 감리 데이터에 따르면 사기 위험 평가에서 가장 빈번한 결함은 획일적 결론이다. 금감원은 "충분·적합한 감사증거 확보가 미흡"하다고 지적하는데 실무에서 이것이 의미하는 것은 조서가 너무 얇다는 뜻이다. 업종, 규모, 소유구조가 다른 기업에서 동일한 사기 위험 요소를 식별하고 동일한 결론에 도달하는 파일이 반복적으로 발견된다.

ISA 240.26은 사기 위험 평가 시 고려할 요소를 나열하지만 실무에서는 체크리스트 방식으로 접근하여 각 항목에 "해당 없음" 또는 "위험 낮음"으로 표시하는 경우가 많다. 기업 고유의 위험 요소나 업계 특성이 반영되지 않는다.

부적절한 분석적 절차

분석적 절차는 사기 탐지에서 강력한 도구가 될 수 있지만 대부분의 파일에서는 기계적으로 수행된다. 전년 대비 변동률만 계산하고 임의의 기준(예: 10% 또는 15%)을 적용하여 "변동 없음"으로 결론짓는다.

ISA 520.5에 따른 기대치 설정이 부적절한 경우가 많다. 업계 벤치마크, 비재무적 정보, 예산 대 실적 분석을 충분히 사용하지 않는다. 매출 인식 조작을 탐지하려면 월별 매출 패턴, 주요 고객별 분석, 채권 회전율을 종합적으로 검토해야 하지만 이런 세밀한 분석은 드물다.

저널 엔트리 테스트의 한계

ISA 240.32에서 요구하는 저널 엔트리 테스트는 대부분의 감사에서 수행되지만 효과성이 제한적이다. 표준 금액 기준(예: 100만 원 초과)으로 필터링하면 소액이지만 빈번한 조작을 놓칠 수 있다. 특이한 계정 조합이나 비정상적 시점의 분개를 식별하는 기준도 모호하다.

제 경험상 대부분의 저널 엔트리 테스트는 분개의 존재 여부만 확인하고 업무적 합리성은 깊이 있게 검토하지 않는다. 연말 임시분개, 수동 분개, 비정상적 계정과목 조합, 주말이나 공휴일에 입력된 분개에 대한 조사가 부족하다.

현실적 사기 탐지 전략

데이터 분석 도구 사용

Excel의 고급 기능이나 전용 감사 소프트웨어를 사용하면 100% 모집단 분석이 가능하다. Benford의 법칙을 적용하여 첫 자리 숫자 분포를 분석하거나 중복 거래 탐지, 라운드 넘버 분석을 수행할 수 있다.

매출 거래에서는 송장 번호의 순차성, 거래 시점의 집중도, 고객별 거래 패턴을 자동으로 분석할 수 있다. 이런 분석은 표본추출의 한계를 극복하고 숨겨진 패턴을 드러낸다.

예상치 못한 절차

ISA 240.A53은 예측 불가능한 감사 절차를 강조한다. 사전 통지 없는 재고 실사, 무작위 고객 확인, 예상치 못한 시점의 현금 실사가 해당된다.

경영진과의 질의도 예측 불가능해야 한다. 표준화된 사기 질의서보다는 기업별 상황에 맞는 구체적 질문을 통해 일관성 없는 답변이나 회피적 반응을 포착해야 한다.

외부 확인의 강화

ISA 505를 사용한 고객 확인에서는 표준 양식 대신 상세한 거래 내역을 포함한 확인을 요청하는 것이 낫다. 단순히 잔액만 확인하는 것이 아니라 거래 조건, 배송 세부사항, 반품 정책을 포함한 포괄적 확인이 가짜 거래를 탐지하는 데 도움이 된다.

공급업체 확인도 같은 방식으로 강화할 수 있다. 미지급금 잔액과 최근 거래 내역, 신용 조건, 분쟁 사항을 함께 확인하면 숨겨진 거래나 부외부채를 발견할 가능성이 높아진다.

실무 적용 사례

현대전자부품 주식회사의 2024년 감사를 통해 개선된 사기 탐지 절차를 살펴본다.

매출 850억 원, 직원 320명, 주요 고객은 대기업 제조사 8곳이다. 사기 위험으로는 매출 조작과 재고 과대계상을 식별했다.

전자부품 업계의 사기 유형을 조사했다. 가짜 거래처 생성, 연말 매출 선인식, 불량재고 은닉, 원가 배부 조작이 주요 패턴으로 나왔다. 문서화: "업계 조사 결과 X, Y, Z 패턴이 빈번. 해당 위험에 중점 대응"

3년간 매출 데이터에 Benford 법칙을 적용한 결과 12월 거래에서 첫 자리 숫자 7이 예상보다 높은 빈도로 나타났다. 문서화: "Benford 분석 결과 12월 7xxx만원대 거래 34건으로 통계적 예상치 19건 대비 79% 초과. 추가 조사 필요"

사전 통지 없이 주요 고객 3곳에 직접 전화하여 최근 거래 내역을 구두로 확인했다. 1곳에서 회계 기록과 불일치하는 답변이 나왔다. 문서화: "A사 구두 확인 결과 11월 납품분 일부가 실제로는 12월 배송됨을 확인. 매출 인식 시점 재검토"

연말 매출 선인식 2.3억 원을 발견했다. 중요성 금액(8.5억 원) 미만이었지만 의도적 조작으로 확인되어 경영진에게 통보하고 내부통제 권고사항에 포함했다.

즉시 적용 가능한 체크리스트

1. 위험 평가 단계에서 업계별 사기 패턴 4가지 이상을 구체적으로 식별하고 각각에 대한 대응 절차를 문서화한다. ISA 240.26의 일반적 체크리스트를 넘어선 기업별 위험 요소를 반드시 포함한다.

2. 분석적 절차에서 최소 5가지 서로 다른 관점의 기대치를 설정한다. 전년 대비, 예산 대비, 업계 평균 대비, 월별 추세, 비재무적 지표와의 상관관계를 모두 검토한다.

3. 저널 엔트리 테스트에서 금액 기준과 질적 기준을 병행 적용한다. 고금액 거래와 비정상적 계정 조합, 특이한 적요, 연말 집중 분개, 공휴일 입력 분개를 별도로 식별하여 테스트한다.

4. 외부 확인을 표준 양식에서 상세 양식으로 변경한다. 단순 잔액 확인이 아닌 거래 조건, 배송 일정, 반품 현황을 포함한 확인서를 발송한다.

5. 예상치 못한 절차를 최소 2가지 설계하여 실행한다. 사전 통보 없는 현물 실사와 무작위 고객 전화 확인이 대표적이다.

6. 의구심을 문서화하고 해소 과정을 기록한다. "합리적으로 보임"이 아닌 "X 증거를 통해 Y 결론에 도달함"으로 구체적 근거를 조서에 남긴다.

자주하는 실수

업종과 규모가 다른 기업에서 동일한 사기 위험 결론을 내리는 것은 금감원 감리에서 가장 자주 지적되는 사항이다. ISA 240.26의 개별 평가 원칙에 어긋난다. 빅펌이든 로컬이든 이 패턴에서 자유로운 법인은 거의 없다.

"10% 이하 변동은 추가 조사 불필요"같은 기계적 기준은 사기 신호를 놓치게 만든다. 금액의 중요성과 변동의 성격을 함께 고려해야 한다. 매출 3% 증가가 산업 전체 역성장 속에서 일어났다면 10% 기준과 무관하게 의심스럽다.

합리적 설명이 제공되었다고 해서 독립적 검증을 생략하면 ISA 240.44의 문서화 요구사항을 충족하지 못한다. 경영진 답변과 별도의 확증 증거가 필요하다.

빅펌에서 로컬로 이직한 인차지들이 하는 말이 있다. "빅펌 시절에는 감리 대응 매뉴얼이 있었는데 여기서는 내가 매뉴얼이다." 감리 대비를 시스템으로 만들어 두지 않으면 담당자가 바뀔 때마다 품질이 흔들린다.