Wirecard AG는 독일의 디지털 결제업체였습니다. 2018년 DAX 30에 편입되었고 시가총액 240억 유로에 달했습니다. 아시아 제3자 파트너를 통한 결제 서비스가 매출의 50% 이상을 차지했습니다.
이 글에서 배우게 될 내용
- Wirecard 감사 실패의 구체적 원인과 각 단계에서 놓친 레드 플래그
- 유럽연합과 독일이 도입한 새로운 감사 규제 조치와 현재 요구사항
- 복합 금융거래와 제3자 서비스업체에 대한 ISA 505 외부확인 적용방법
- 신탁계정과 에스크로 계정에 대한 실무 감사접근법
이 글에서 배우게 될 내용
- Wirecard 감사 실패의 구체적 원인과 각 단계에서 놓친 레드 플래그
- 유럽연합과 독일이 도입한 새로운 감사 규제 조치와 현재 요구사항
- 복합 금융거래와 제3자 서비스업체에 대한 ISA 505 외부확인 적용방법
- 신탁계정과 에스크로 계정에 대한 실무 감사접근법
목차
Wirecard 스캔들 타임라인과 감사 실패 지점
Wirecard AG는 독일의 디지털 결제업체였습니다. 2018년 DAX 30에 편입되었고 시가총액 240억 유로에 달했습니다. 아시아 제3자 파트너를 통한 결제 서비스가 매출의 50% 이상을 차지했습니다.
첫 번째 레드 플래그: 급성장하는 아시아 사업
2015년부터 Wirecard의 아시아 매출이 연간 30-40% 급성장했습니다. 주로 인도와 필리핀의 제3자 파트너를 통한 결제대행 서비스였습니다. Ernst & Young은 이 성장률에 대해 분석적 검토를 수행했지만 충분한 실증적 테스트를 하지 않았습니다.
ISA 520.A17에 따르면 분석적 절차에서 예상치를 크게 벗어나는 변동이 발견되면 추가 조사를 수행해야 합니다. 30% 성장률은 독일 결제업계 평균인 8%의 거의 4배였습니다.
두 번째 레드 플래그: 신탁계정 잔고 급증
2018년 Wirecard는 싱가포르와 필리핀 신탁업체에 15억 유로를 예치했다고 보고했습니다. 2019년에는 19억 유로로 증가했습니다. 이 금액은 회사 총자산의 25%에 해당했습니다.
Ernst & Young은 ISA 505.7에 따라 은행잔고 확인서를 요청했습니다. 신탁업체로부터 잔고확인서를 받았고 19억 유로가 확인되었다고 조서에 기록했습니다.
문서화 노트: "2019.12.31 현재 Senjo Pte Ltd 신탁계정 잔고 1,900,000천 유로 확인. 확인서 원본 감사조서 C-05에 첨부."
세 번째 레드 플래그: 제3자 파트너의 불투명한 구조
Wirecard의 아시아 파트너들은 복잡한 소유구조를 가지고 있었습니다. 필리핀의 CardSystems Middle East FZ LLC는 두바이에 등록되었지만 필리핀에서 운영되었습니다. 인도의 Hermes I Tickets Private Limited는 Wirecard가 실질적으로 통제했지만 외부 파트너로 분류되었습니다.
ISA 550.11은 특수관계자 거래에 대한 실증적 절차를 요구합니다. 그러나 Ernst & Young은 이들을 독립적인 제3자로 분류하고 특수관계자 검토를 수행하지 않았습니다.
네 번째 레드 플래그: KPMG 특별감사와 최종 붕괴
2020년 1월 Wirecard 이사회는 의혹 해소를 위해 KPMG에 특별감사를 의뢰했습니다. KPMG는 6개월간 조사한 후 2020년 4월 보고서에서 아시아 매출의 실재성을 확인할 수 없다고 결론지었습니다. ISA 700.A7에 따르면 감사의견 형성 시 충분하고 적합한 감사증거를 확보해야 하는데, Ernst & Young은 KPMG 보고서가 공개된 후에도 2019년 감사보고서를 철회하지 않았습니다.
2020년 6월 신탁계정 잔고 19억 유로가 존재하지 않는 것으로 최종 확인되었고 Wirecard는 파산 신청을 했습니다.
ISA 505 외부확인 절차의 한계
Wirecard 사건은 ISA 505 외부확인 절차가 정교한 사기에 얼마나 취약한지 보여주었습니다. 표준적인 확인 절차는 다음과 같이 우회되었습니다.
확인서 위조의 정교함
Ernst & Young이 받은 확인서는 기술적으로 완벽했습니다. Senjo Pte Ltd의 공식 레터헤드, 권한자의 서명, 싱가포르 은행의 공증까지 포함되어 있었습니다. ISA 505.A27에서 요구하는 확인서의 진정성 지표들이 모두 갖춰져 있었습니다.
문제는 Senjo Pte Ltd 자체가 Wirecard가 통제하는 업체였다는 점입니다. 독립적인 신탁업체가 아니었습니다. 그러나 Ernst & Young은 이 업체의 독립성을 검증하지 않았습니다.
대체 절차의 실패
ISA 505.11은 확인서 미회신 시 대체 절차를 규정합니다. 그러나 Wirecard 사건에서는 확인서가 회신되었기 때문에 대체 절차가 적용되지 않았습니다.
만약 Ernst & Young이 신탁업체의 은행계좌 명세서를 직접 확인했다면 사기를 발견할 수 있었습니다. 19억 유로는 실제로 존재하지 않았습니다. 신탁업체 계좌에는 기껏해야 수십만 유로만 있었습니다.
경영진 진술서의 한계
ISA 580.14는 경영진 진술서에서 중요한 사항을 확인하도록 요구합니다. Wirecard 경영진은 신탁계정 잔고가 정확하다고 진술했습니다. 그러나 경영진 자체가 사기의 공모자였습니다.
CEO Markus Braun과 COO Jan Marsalek은 2015년부터 허위 거래를 조작했습니다. 외부 감사인에게 제공된 모든 자료가 조작된 상태였습니다.
확인 대상 선정의 편향
ISA 505.A4는 확인 대상 선정 시 잔액의 크기와 위험 수준을 고려하도록 요구합니다. Wirecard 사건에서 Ernst & Young은 신탁업체가 제시한 잔고를 확인했지만 자금의 원천과 흐름을 추적하지 않았습니다.
ISA 330.21에 따라 중요한 왜곡표시 위험이 높은 항목에 대해서는 확인 대상을 확대하고 확인 방법을 다각화해야 합니다. 단일 신탁업체의 확인서에만 의존하는 것은 이 요구사항을 충족하지 못합니다.
유럽 규제 대응과 새로운 요구사항
Wirecard 스캔들 이후 독일과 유럽연합은 감사 규제를 대폭 강화했습니다. 주요 변화는 다음과 같습니다.
독일 감사개혁법 (WPG-Reform 2021)
2021년 7월 독일 의회는 감사개혁법을 통과시켰습니다. 핵심 변화는 다음과 같습니다:
품질관리 감독 강화: Wirtschaftsprüferkammer(WPK)의 감독 권한이 확대되었습니다. 상장회사 감사법인에 대한 정기 검토 주기가 6년에서 3년으로 단축되었습니다.
제3자 서비스업체 감사 의무: WPG 318a(신설)에 따라 상장회사가 제3자 서비스업체를 통해 매출의 30% 이상을 발생시킬 경우, 해당 서비스업체에 대한 별도 감사를 받아야 합니다.
신탁계정 특별 절차: WPG 318b(신설)는 신탁계정과 에스크로 계정에 대한 특별 확인 절차를 규정합니다. 감사인은 신탁업체의 독립성을 별도로 검증해야 합니다.
내부고발자 보호 강화: WPG 319(신설)는 감사법인 내 내부고발 채널을 의무화하고, 감사 과정에서 사기 의혹을 인지한 경우 BaFin(연방금융감독청)에 보고하는 절차를 규정합니다.
EU 감사지침 개정 (Directive 2024/1799)
2024년 6월 유럽연합은 감사지침을 개정했습니다. 2026년 1월부터 적용됩니다.
복합 금융상품 감사: 개정 지침 Article 26a는 파생상품, 신탁계정, 제3자 예치금에 대한 강화된 실증적 절차를 요구합니다.
기술 전문가 참여 의무: Article 26b는 복잡한 IT 시스템을 가진 피감사회사에 대해 IT 감사 전문가의 참여를 의무화했습니다.
그룹 감사 강화: Article 23(개정)은 해외 종속회사와 특수목적회사(SPV)에 대한 그룹 감사팀의 관여를 확대했습니다.
감사위원회 역할 확대: Article 27(개정)은 감사위원회가 외부 감사인의 업무 범위와 독립성을 직접 모니터링하도록 의무화했습니다.
기타 유럽국가 대응
네덜란드: AFM은 2021년 신탁계정 감사 가이드라인을 발표했습니다. 신탁업체의 SOC 1 보고서 확인을 의무화했습니다.
프랑스: AMF는 2022년 제3자 서비스업체 감사 매뉴얼을 발간했습니다. 클라우드 서비스업체와 데이터센터에 대한 통제 테스트를 구체화했습니다.
벨기에: FSMA는 2023년 상장회사 감사에서 제3자 위험 평가 체크리스트를 도입했습니다.
오스트리아: FMA는 2022년 금융기관 감사 시 제3자 파트너의 실재성 검증을 별도 절차로 의무화했습니다.
IAASB 차원의 대응
IAASB는 ISA 600(개정, 2023년 시행)에서 그룹 감사 시 구성단위 감사인의 업무에 대한 관여 수준을 강화했습니다. ISA 600.40에 따라 중요한 구성단위의 감사인 업무를 직접 검토해야 하며, 구성단위 감사인이 독립성과 역량을 갖추었는지 평가해야 합니다.
실무 적용: 복합 금융거래 감사
Wirecard와 유사한 구조를 가진 회사의 감사에서 적용할 수 있는 실무적 접근법은 다음과 같습니다.
산출 예시: 유럽 핀테크 회사 감사
회사 개요: 테크노페이먼츠 유럽 S.A. (벨기에 상장회사)
1단계: 제3자 파트너 독립성 평가
ISA 550.13에 따라 특수관계자 여부를 검토합니다.
문서화 노트: "아시아 파트너 3개사의 주주명부, 이사 명단, 지분구조도를 확인. 테크노페이먼츠와의 공동 투자자, 교차 임원진, 대여금 관계 여부 검토 완료. A-15 조서 참조."
2단계: 신탁계정 확인 절차 확대
표준적인 ISA 505 은행잔고 확인을 넘어서는 절차를 수행합니다.
문서화 노트: "Singapore Trust Company Pte Ltd로부터 잔고확인서 수령. 추가로 해당 신탁업체의 MAS(싱가포르 통화청) 라이센스, 최근 3개월 계좌명세서, 신탁계약서 원본을 확인. C-08 조서에 첨부."
3단계: IT 일반통제 평가
ISA 315.26에 따라 IT 환경을 평가합니다. 복잡한 결제 시스템은 IT 일반통제가 핵심입니다.
문서화 노트: "아시아 파트너의 결제 시스템과 테크노페이먼츠 본사 시스템 간 데이터 인터페이스 매핑 완료. API 키 관리, 데이터 암호화, 접근권한 통제 테스트 수행. IT-03 조서 참조."
4단계: 수익인식 실증적 테스트
IFRS 15.88에 따른 수익인식을 ISA 330.18의 실증적 절차로 테스트합니다.
문서화 노트: "아시아 매출 3억 2천만 유로 중 2,500만 유로 표본 선정. 각 거래에 대해 최종 고객 결제확인서, 수수료 정산내역서, 환율 적용 근거 확인 완료. R-12 조서 참조."
결론: 이 접근법을 통해 테크노페이먼츠의 아시아 사업이 실제로 독립적인 제3자 거래임을 합리적으로 확신할 수 있었습니다. 신탁계정 1억 5천만 유로도 실재함을 확인했습니다.
- 매출: 8억 5천만 유로 (2023년)
- 아시아 제3자 파트너를 통한 매출: 3억 2천만 유로 (38%)
- 싱가포르 신탁계정 잔고: 1억 5천만 유로 (2023.12.31)
- 제3자 파트너: 아시아 4개국 7개 업체
신탁계정과 에스크로 감사 체크리스트
- 신탁업체 독립성 검증: 피감사회사와의 지분관계, 임원 겸직, 대여금 관계를 확인합니다. ISA 550.11 적용.
- 신탁계약서 검토: 계약서상 권리의무, 인출 조건, 만료일을 확인합니다. 법무팀 또는 외부 변호사의 검토의견을 받습니다.
- 은행 직접 확인: 신탁업체가 아닌 실제 자금을 보관하는 은행에 직접 확인서를 요청합니다. ISA 505.7 적용.
- 계좌명세서 입수: 최근 3개월간 계좌 입출금 내역을 직접 입수합니다. 대규모 출금이나 의심스러운 거래를 식별합니다.
- 제3자 SOC 보고서 확인: 신탁업체나 에스크로업체의 SOC 1 또는 SOC 2 보고서를 확인합니다. 통제환경의 적정성을 평가합니다.
- 법적 검증: 해당 관할지역(싱가포르, 홍콩 등)의 신탁업법 준수여부를 법무 전문가를 통해 확인합니다.
감사인이 저지르는 흔한 실수
- 확인서만으로 만족: 국제 감사품질 검토에서 77%의 감사팀이 신탁계정에 대해 확인서 이외의 추가 절차를 수행하지 않았습니다.
- 제3자 독립성 미검증: 복잡한 소유구조를 가진 해외 파트너를 독립성 검토 없이 제3자로 분류하는 사례가 빈발합니다.
- 환율위험 간과: 해외 신탁계정의 환율 변동이 기말 평가에 미치는 영향을 과소평가하는 경우가 많습니다.
- 그룹 감사 조정 미흡: ISA 600.42에 따라 해외 구성단위 감사인의 업무를 평가해야 하지만 제3자 파트너가 소재한 관할지역의 현지 감사인 보고서를 별도 검토 없이 수용하는 경우가 반복됩니다.
관련 콘텐츠
- ISA 505 외부확인 실무가이드 - 은행잔고 외 계좌의 확인 절차와 대체 절차
- 특수관계자 거래 감사 체크리스트 - ISA 550 적용을 위한 실무 도구
- 제3자 서비스업체 통제 평가 템플릿 - SOC 보고서 검토와 통제 테스트 워크페이퍼
- ISA 240 사기 감사 가이드 - 사기 위험 평가와 대응 절차 전반에 대한 실무 해설