Definition
EU AI법은 AI 시스템의 위험도에 따라 4단계로 규제합니다. 감사 관점에서 중요한 것은 높은 위험(High-Risk) 분류입니다. ISA 540.13(a)에 따르면 감사인은 경영진이 회계추정을 산출하기 위해 사용하는 방법이 적절한지 평가해야 하는데, AI 기반의 추정(신용손실, 공정가치 평가, 재고평가 등)은 이 평가의 중심이 됩니다.
작동 방식
EU AI법은 AI 시스템의 위험도에 따라 4단계로 규제합니다. 감사 관점에서 중요한 것은 높은 위험(High-Risk) 분류입니다. ISA 540.13(a)에 따르면 감사인은 경영진이 회계추정을 산출하기 위해 사용하는 방법이 적절한지 평가해야 하는데, AI 기반의 추정(신용손실, 공정가치 평가, 재고평가 등)은 이 평가의 중심이 됩니다.
EU AI법의 높은 위험 분류에 포함되는 경우는 다음과 같습니다: (1) 금융기관의 신용 평가 시스템, (2) 고용 또는 승진 의사결정 지원, (3) 재무적 이익에 영향을 미치는 다른 결정. 이 중 (1)과 (3)은 감사 대상 기업의 IT 통제 평가 범위에 직접 포함됩니다.
높은 위험 시스템의 경우, 규정은 다음을 요구합니다: 위험 관리 시스템의 문서화, 훈련 데이터의 품질 기록, 성능 모니터링 로그, 투명성 설명 문서(transparency statement). ISA 315.32의 통제 식별 단계에서 감사인은 경영진이 이 문서들을 유지하고 있는지, 그리고 이 문서들이 AI 시스템의 출력값이 재무제표에 얼마나 영향을 미치는지를 파악해야 합니다.
감사 사례: 벨기에 제조사의 신용손실 평가
클라이언트: 벨기에 제조사 TechFlow Industries B.V.B.A., FY2025, 매출 €68M, IFRS 보고, 2,400만 유로 규모의 매출채권 보유
상황: 2024년 경영진은 신용손실 평가(ECL, Expected Credit Loss)를 수동 계산에서 자체 개발 AI 모델로 전환했습니다. 모델은 거래처 지불 이력, 산업 선행지표, 거래처 재무정보를 입력으로 받아 부도 확률을 산출하고, 이를 기반으로 보수율을 계산합니다.
1단계: 높은 위험 분류 판단
감사인은 이 AI 시스템이 EU AI법의 높은 위험 분류에 해당하는지 평가합니다. 재무 결정(신용손실 측정)에 직접 영향을 미치므로 규정 대상입니다.
감사 조서 기록: "AI ECL 모델은 EU AI법 제6조(e)(1)의 높은 위험 시스템. 규정 준수 요구사항: 위험 관리 문서, 훈련 데이터 기록, 성능 모니터링."
2단계: 위험 관리 시스템 검증
감사인은 경영진에게 다음을 요청합니다: (1) 모델 선택 및 구현 시 고려한 위험(편향, 데이터 품질, 과적합 등)을 기록한 문서, (2) 이 위험들을 완화하기 위해 적용한 통제. TechFlow는 외부 데이터 공급자를 사용했으므로, 감사인은 그 공급자의 데이터 검증 과정도 확인해야 합니다.
감사 조서 기록: "경영진이 작성한 위험 관리 문서 검토. 데이터 편향에 대한 통제: 월별 모델 성능 vs 실제 부도율 비교. 편차 3% 초과 시 모델 재조정."
3단계: 훈련 데이터 품질 확인
ISA 540.13(c)에 따라 감사인은 데이터의 출처와 품질을 검증합니다. 모델은 과거 5년의 거래처 지불 기록(1,200개 거래처)으로 훈련되었습니다. 감사인은 샘플 테스트를 수행합니다: (1) 훈련 데이터가 실제 거래처 레코드와 일치하는지 확인(25개 거래처 샘플), (2) 훈련 데이터에서 부도 발생 건수를 재계산하여 모델 입력의 정확성 확인.
감사 조서 기록: "훈련 데이터 샘플 테스트: 25개 거래처. 기록 오류 0건. 부도 건수 재계산: 모델 입력 84건 vs 감사인 확인 82건. 차이 2건(2.4%). 수용 가능."
4단계: 성능 모니터링 로그 검토
높은 위험 시스템은 배포 후 지속적 모니터링을 요구합니다(EU AI법 제29조). 감사인은 FY2025 월별 모니터링 기록을 수집합니다. 각 월에 대해: (1) 모델의 예측 부도율, (2) 실제 발생 부도율, (3) 편차 분석. 3개월마다 성능이 임계치를 벗어난 경우, 경영진이 원인을 조사하고 시정 조치를 기록했는지 확인합니다.
감사 조서 기록: "2025년 성능 로그 12개월 검토. 7월: 예측 부도율 2.8% vs 실제 2.9%(편차 1%). 10월: 예측 2.1% vs 실제 2.8%(편차 7%, 임계치 3% 초과). 경영진의 원인 분석: 신규 거래처 25개 추가(신용 이력 없음)로 인한 모델 입력 변화. 시정 조치: 신규 거래처는 3개월 데이터 누적 후 모델에 포함 결정. 타당함."
5단계: 신용손실 계산 재계산 및 합리성 검증
감사인은 모델 출력값의 합리성을 독립적으로 검증합니다(ISA 540.15). 샘플 거래처 50개에 대해: (1) 각 거래처의 부도 확률 계산값을 재계산, (2) 그룹화된 거래처(유사한 위험 프로필)에 대해 모델 결과의 일관성 확인, (3) 최종 신용손실(€2.3M)이 합리적 범위인지 평가.
감사 조서 기록: "신용손실 50개 거래처 재계산 샘플. 평균 편차 0.1%. 모델 그룹화 로직(산업별 부도 확률) 검증: IT 산업 부도율 0.8% vs 표본 실제 0.7(차이 0.1%, 수용 가능. 최종 신용손실 €2.3M은 여러 시나리오 분석 결과(보수적 추정 €2.8M, 낙관적 추정 €1.9M) 범위 내."
6단계: 투명성 공시 평가
EU AI법은 높은 위험 AI 시스템의 사용을 이해관계자에게 공개하도록 요구합니다. 감사인은 FY2025 재무제표에 신용손실 측정 방법 공시가 있는지 확인합니다(IAS 39/IFRS 9에서 요구하는 기존 공시에 추가로). 감사인은 경영진에게 질문합니다: "(1) AI 모델의 존재를 주석에서 공개했는가? (2) 모델의 기본 가정(훈련 데이터 기간, 주요 입력값)을 설명했는가? (3) 모델 성능이 저하되거나 수정된 경우 그 이유를 공개했는가?"
감사 조서 기록: "주석 검토: 신용손실 측정. 경영진이 AI 모델 사용을 공개했으나 구체성 부족. 수정 요청: '훈련 데이터는 과거 5년의 내부 거래처 레코드 1,200개 포함. 모델 입력값은 거래처 지불일수, 산업 선행지표, 자본비율. FY2025 10월 성능 저하(부도 예측 오차 7%)로 인해 신규 거래처 포함 정책 변경.'으로 수정."
결론: 감사인은 이 AI 신용손실 모델을 ISA 540.13(a)의 회계추정 감사로 취급했으며, 추가로 EU AI법의 높은 위험 시스템 요구사항(위험 관리, 데이터 품질, 성능 모니터링, 투명성)을 감사 절차에 통합했습니다. 모델의 출력값이 경영진의 추정 근거로 부적절하지 않다고 결론지었고, 공시도 충분하다고 평가했습니다.
감사인과 규제기관이 자주 놓치는 부분
Tier 1: 규제 감리 지적
국제 감리 데이터에 따르면, AI 시스템을 운영하는 기업의 감사에서 가장 빈번한 지적은 "AI 시스템의 존재 식별 실패"입니다. 감사인이 계획 단계에서 경영진에게 AI 도구 사용 여부를 명시적으로 질문하지 않거나, 경영진이 자신의 도구가 EU AI법 대상이라고 인식하지 못한 경우, 감사인의 통제 테스트가 불완전해집니다. ISA 315.24는 감사인이 IT 통제를 포함한 모든 관련 통제를 식별하도록 요구합니다. AI 모델이 있으면서 이를 감사하지 않은 경우, 이는 중대한 감사 절차 누락입니다.
Tier 2: 표준 기반 실무 오류
ISA 540.13(c)는 감사인이 "회계추정을 뒷받침하는 데이터의 신뢰성"을 평가하도록 요구합니다. AI 모델 기반 추정의 경우, 많은 감사인이 모델 로직 자체는 검토하지만 훈련 데이터의 품질은 확인하지 않습니다. 예를 들어, 신용손실 모델이 5년 이상의 거래처 이력 데이터로 훈련되었다면, 그 데이터가 현재의 경제 상황을 대표하는지 평가해야 합니다. 2020-2022년 팬데믹 기간의 데이터가 포함된 모델은 현재의 통상 상황에서 부도율을 과대평가할 수 있습니다. 이 편향(bias)을 검증하지 않으면 ISA 540.15(c)의 합리성 평가를 충분히 수행하지 않은 것입니다.
Tier 3: 문서화 관행 격차
많은 중형 기업이 경영진 AI 도구를 운영하면서도 EU AI법이 요구하는 위험 관리 문서, 데이터 품질 기록, 성능 모니터링 로그를 체계적으로 유지하지 않습니다. 감사인은 이 문서들의 부재를 발견했을 때, 단순히 "경영진이 문서화하지 않았음"으로 기록하고 넘어가는 경우가 많습니다. 그러나 ISA 315.32에 따르면 높은 위험 시스템에 대해 감사인은 통제의 설계 및 운영 효과성을 검증해야 합니다. 문서가 없으면 이 검증이 불가능합니다. 감사인은 경영진에게 사후 문서화를 요청하거나, 대체 절차(모니터링 로그가 없으면 사후 성능 비교, 훈련 데이터 기록이 없으면 시스템 관리자 인터뷰)를 설계해야 합니다.
EU AI법의 단계별 발효 일정
EU AI법은 일괄 발효가 아니라 조항별로 단계적으로 발효됩니다. 감사인이 감사 계획 시 고려해야 할 주요 일정:
현재(2025년) 감사를 수행하는 감사인은 경영진이 2월까지 높은 위험 시스템의 문서화를 완료하도록 독려해야 합니다. FY2025 감사에서 이를 확인하면, 규정 준수 상태를 조기에 식별할 수 있습니다.
- 2025년 2월: 높은 위험 시스템 요구사항 발효 (위험 관리, 기술 문서, 품질 관리)
- 2026년 2월: 금지된 AI 관행 금지 발효
- 2027년 8월: 모든 요구사항 완전 발효
관련 용어
공정가치 평가: AI 모델이 공정가치를 추정하는 데 사용되면, 같은 수준의 데이터 품질 검증이 적용됩니다.
내부통제 설계: EU AI법 준수는 내부통제의 일부입니다. AI 시스템의 통제 설계 평가는 ISA 315의 통제 식별 범위에 포함됩니다.
IT 감시: AI 시스템은 IT 리스크의 하위 범주입니다. 감사인의 IT 환경 이해는 AI 도구 식별부터 시작합니다.
회계추정 감사: AI 기반 추정(신용손실, 공정가치, 재고 평가)은 ISA 540의 직접적 적용 대상입니다.
감사 증거: AI 시스템의 경우, 모델 출력값뿐 아니라 훈련 데이터, 성능 로그, 위험 관리 문서도 감사 증거로 평가됩니다.
데이터 품질: AI 모델의 신뢰성은 훈련 데이터의 완전성, 정확성, 대표성에 달려 있습니다.
추가 자료
ciferi.com에서는 AI 기반 추정 감사를 위한 ISA 540 회계추정 감사 도구를 제공합니다. 이 도구는 AI 모델의 데이터 검증 체크리스트, 성능 모니터링 템플릿, 합리성 평가 워크시트를 포함하며, EU AI법 높은 위험 시스템의 요구사항과 조정된 형식으로 제공됩니다. AI를 사용하는 감사 대상 기업을 감사할 때 이 도구를 감사 계획에 추가하면, 규제 준수 검증과 ISA 540 요구사항을 동시에 충족할 수 있습니다.
---