Wirecard: 유럽 규제를 바꾼 감사 실패

이 글에서 다루는 내용

- Wirecard 감사 실패의 구체적 원인과 각 단계에서 놓친 레드 플래그 - 독일과 EU가 사건 이후 도입한 감사 규제 조치 - 복합 금융거래와 제3자 서비스업체에 대한 ISA 505 외부확인 적용 - 신탁계정과 에스크로 계정의 실무 감사 접근법

Wirecard 스캔들 타임라인과 감사 실패 지점

Wirecard AG는 독일의 디지털 결제업체였다. 2018년 DAX 30에 편입되었고 시가총액 240억 유로에 달했다. 아시아 제3자 파트너를 통한 결제 서비스가 매출의 50% 이상을 차지했다.

첫 번째 레드 플래그: 급성장하는 아시아 사업

2015년부터 Wirecard의 아시아 매출은 연간 30-40% 급성장했다. 인도와 필리핀의 제3자 파트너를 통한 결제대행 서비스가 핵심이었다. EY는 이 성장률에 대해 분석적 검토를 수행했으나 실증적 테스트는 충분하지 않았다.

ISA 520.A17은 분석적 절차에서 예상치를 크게 벗어나는 변동이 발견되면 추가 조사를 요구한다. 30% 성장률은 독일 결제업계 평균 8%의 거의 4배였다.

두 번째 레드 플래그: 신탁계정 잔고 급증

2018년 Wirecard는 싱가포르와 필리핀 신탁업체에 15억 유로를 예치했다고 보고했다. 2019년에는 19억 유로. 회사 총자산의 25%에 해당하는 금액이다.

EY는 ISA 505.7에 따라 은행잔고 확인서를 요청했다. 신탁업체로부터 잔고확인서를 수령하고 19억 유로가 확인되었다고 조서에 기록했다.

문서화 노트: "2019.12.31 현재 Senjo Pte Ltd 신탁계정 잔고 1,900,000천 유로 확인. 확인서 원본 조서 C-05에 첨부."

세 번째 레드 플래그: 제3자 파트너의 불투명한 구조

Wirecard의 아시아 파트너는 소유구조가 불투명했다. 필리핀의 CardSystems Middle East FZ LLC는 두바이에 등록되었지만 실제 운영은 필리핀에서 이루어졌다. 인도의 Hermes I Tickets Private Limited는 Wirecard가 실질 지배했음에도 외부 파트너로 분류되었다.

ISA 550.11은 특수관계자 거래에 대한 실증적 절차를 요구한다. EY는 이들을 독립적인 제3자로 분류했고 특수관계자 검토를 수행하지 않았다.

ISA 505 외부확인 절차의 한계

Wirecard 사건은 ISA 505가 정교한 사기 앞에서 어떻게 무력해지는지 보여주었다.

확인서 위조의 정교함

EY가 받은 확인서는 기술적으로 완벽했다. Senjo Pte Ltd의 공식 레터헤드, 권한자의 서명, 싱가포르 은행의 공증, 심지어 ISA 505.A27이 요구하는 진정성 지표가 모두 갖춰져 있었다.

문제는 Senjo Pte Ltd 자체가 Wirecard가 지배하는 업체였다는 점이다. 독립적인 신탁업체가 아니었다. EY는 이 업체의 독립성을 검증하지 않았다. 제 경험상 확인서가 깔끔하게 돌아오면 오히려 의심해 볼 필요가 있다. 실무에서 확인서가 제때에, 완벽한 형식으로, 정확한 금액에, 한 치의 오차도 없이 온다면 그것 자체가 레드 플래그다.

대체 절차가 적용되지 않은 이유

ISA 505.11은 확인서 미회신 시 대체 절차를 규정한다. Wirecard 사건에서는 확인서가 회신되었기 때문에 대체 절차 자체가 발동하지 않았다.

EY가 신탁업체의 은행계좌 명세서를 직접 확인했다면 결과는 달랐을 것이다. 19억 유로는 실재하지 않았다. 신탁업체 계좌에는 수십만 유로만 있었다.

경영진 진술서의 한계

ISA 580.14는 경영진 진술서에서 중대한 사항을 확인하도록 요구한다. Wirecard 경영진은 신탁계정 잔고가 정확하다고 진술했다. 경영진 자체가 사기 공모자였다.

CEO Markus Braun과 COO Jan Marsalek은 2015년부터 허위 거래를 조작했다. 감사인에게 제공된 모든 자료가 조작된 상태였다.

유럽 규제 대응과 새로운 요구사항

Wirecard 이후 독일과 EU는 감사 규제를 대폭 강화했다.

독일 감사개혁법 (WPG-Reform 2021)

2021년 7월 독일 의회가 감사개혁법을 통과시켰다.

Wirtschaftsprüferkammer(WPK)의 감독 권한이 확대되면서 상장회사 감사법인에 대한 정기 검토 주기가 6년에서 3년으로 단축되었다. 한국의 금감원 감리 주기와 비교하면 방향은 동일하다.

WPG 318a(신설)에 따라 상장회사가 제3자 서비스업체를 통해 매출의 30% 이상을 발생시키면 해당 서비스업체에 대한 별도 감사를 받아야 한다. Wirecard의 아시아 파트너 매출 비중이 50%였다는 점을 떠올리면 이 기준선이 왜 30%인지 이해할 수 있다.

WPG 318b(신설)는 신탁계정과 에스크로 계정에 특별 확인 절차를 규정한다. 감사인이 신탁업체의 독립성을 별도로 검증해야 한다.

EU 감사지침 개정 (Directive 2024/1799)

2024년 6월 EU가 감사지침을 개정했다. 2026년 1월부터 적용된다.

개정 지침의 핵심은 두 가지다. Article 26a-26b가 파생상품, 신탁계정, 제3자 예치금에 대한 강화된 실증적 절차와 IT 감사 전문가 참여 의무를 신설했다. Article 23(개정)은 해외 종속회사와 SPV에 대한 그룹 감사팀의 관여를 확대했다.

유럽 각국의 대응

네덜란드 AFM은 2021년 신탁계정 감사 가이드라인을 발표하면서 신탁업체의 SOC 1 보고서 확인을 의무화했다. 프랑스 AMF는 2022년 제3자 서비스업체 감사 매뉴얼을 발간하고 클라우드 서비스업체와 데이터센터에 대한 통제 테스트를 구체화했다. 벨기에 FSMA는 2023년 상장회사 감사에 제3자 위험 평가 체크리스트를 도입했다.

실무 적용: 복합 금융거래 감사

Wirecard와 구조가 비슷한 회사를 감사한다면 어떤 절차가 필요한가.

산출 예시: 유럽 핀테크 회사 감사

테크노페이먼츠 유럽 S.A. (벨기에 상장회사). 매출 8억 5천만 유로(2023년), 아시아 제3자 파트너를 통한 매출 3억 2천만 유로(38%), 싱가포르 신탁계정 잔고 1억 5천만 유로(2023.12.31).

제3자 파트너 독립성 평가

ISA 550.13에 따라 특수관계자 여부를 검토한다.

문서화 노트: "아시아 파트너 3개사의 주주명부, 이사 명단, 지분구조도 확인. 테크노페이먼츠와의 공동 투자자, 교차 임원진, 대여금 관계 여부 검토. A-15 조서 참조."

신탁계정 확인 절차 확대

표준적인 ISA 505 은행잔고 확인만으로는 부족하다.

문서화 노트: "Singapore Trust Company Pte Ltd 잔고확인서 수령. 해당 신탁업체의 MAS(싱가포르 통화청) 라이센스, 최근 3개월 계좌명세서, 신탁계약서 원본을 추가 확인. C-08 조서에 첨부."

IT 일반통제 평가

ISA 315.26에 따라 IT 환경을 평가한다. 결제 시스템처럼 복잡한 구조에서는 IT 일반통제 테스트가 빠지면 조서가 얇아진다.

문서화 노트: "아시아 파트너 결제 시스템과 테크노페이먼츠 본사 시스템 간 데이터 인터페이스 매핑. API 키 관리, 데이터 암호화, 접근권한 통제 테스트 수행. IT-03 조서 참조."

수익인식 실증적 테스트

IFRS 15.88에 따른 수익인식을 ISA 330.18의 실증적 절차로 테스트한다.

문서화 노트: "아시아 매출 3억 2천만 유로 중 2,500만 유로 표본 선정. 각 거래에 대해 최종 고객 결제확인서, 수수료 정산내역서, 환율 적용 근거 확인. R-12 조서 참조."

이 네 단계를 거친 후 테크노페이먼츠의 아시아 사업이 독립적인 제3자 거래임을 합리적으로 확신할 수 있었고 신탁계정 1억 5천만 유로의 실재도 확인했다.

신탁계정과 에스크로 감사 체크리스트

1. 신탁업체 독립성 검증: 피감사회사와의 지분관계, 임원 겸직, 대여금 관계 확인. ISA 550.11 적용.

2. 신탁계약서 검토: 계약서상 권리의무, 인출 조건, 만료일 확인. 법무팀 또는 외부 변호사의 검토의견 입수.

3. 은행 직접 확인: 신탁업체가 아닌 실제 자금 보관 은행에 직접 확인서 요청. ISA 505.7 적용.

4. 계좌명세서 입수: 최근 3개월간 계좌 입출금 내역을 직접 입수하고 대규모 출금이나 의심스러운 거래를 식별.

5. 제3자 SOC 보고서 확인: 신탁업체나 에스크로업체의 SOC 1 또는 SOC 2 보고서 확인. 통제환경의 적정성 평가.

6. 법적 검증: 해당 관할지역(싱가포르, 홍콩 등) 신탁업법 준수 여부를 법무 전문가를 통해 확인.

감사인이 저지르는 흔한 실수

확인서만으로 만족하는 경우가 가장 흔하다. 국제 감사품질 검토에서 77%의 감사팀이 신탁계정에 대해 확인서 이외의 추가 절차를 수행하지 않았다. 확인서가 돌아오면 그대로 조서에 첨부하고 넘어가는 것이다. 솔직히 시즌 중에 시간 압박이 심하면 확인서 수령 = 절차 완료로 처리하고 싶은 유혹이 있다. Wirecard는 그 유혹이 어떤 결과를 낳는지 보여준 사례다.

제3자 독립성 미검증도 빈번하다. 소유구조가 복잡한 해외 파트너를 독립성 검토 없이 제3자로 분류하는 사례가 실제로 많다. 막상 주주명부를 뒤져보면 피감사회사와 연결고리가 나오는 경우가 있다.

해외 신탁계정의 환율 변동이 기말 평가에 미치는 영향을 과소평가하는 것도 문제다. 환율이 5% 움직이면 1억 5천만 유로 신탁계정에서 750만 유로 차이가 난다. 수행중요성을 넘길 수 있는 금액이다.