감사 문서화

작동 방식

ISA 230.6은 감사 문서화의 기본 요건을 정의한다. 감사인은 감사 계획과 수행한 절차, 입수한 증거와 도출된 결론을 충분하고 적절히 문서화해야 한다. "충분하고 적절"은 법정 단어다. 실제로는 '합리적이고 신중한 감사인이 같은 파일을 다시 검토했을 때 작업 과정과 결론을 이해할 수 있을 정도'를 의미한다(ISA 230.A4).

문서화의 범위는 위험의 크기와 성격, 절차의 복잡도에 따라 달라진다. 높은 위험 항목에 대해서는 더 상세한 조서가 필요하다. 예외가 많으면 더 많은 조사와 기록이 뒤따른다. 모든 거래에 동일한 세부 수준으로 조서를 작성하는 게 아니다. 식별된 위험에 따라 차등 투자하는 것이 위험 기반 감사의 본질이다.

ISA 230.A11은 업무수행이사가 감사 파일을 검토하고 승인해야 한다고 설명한다. 단순히 시간을 기록하는 게 아니다. 업무수행이사는 제시된 증거가 결론을 뒷받침하기에 충분한지 판단해야 한다. 그 판단 자체도 문서화 대상이다.

실제 사례: 중견 제조회사의 감사 문서화

대상: 한국 충청남도 소재 중견 기계 제조업체 H사. 연간 매출 약 85억 원이고 K-IFRS 기준 재무제표를 작성한다.

상황: H사는 수출 외상매출금 잔액이 연초 대비 25% 증가했다(전년 11억 원에서 올해 13.75억 원). 구성 거래처는 10곳에서 15곳으로 늘었고, 일부 신규 거래처는 신용도 평가 기록이 없다.

감사팀의 접근:

단계 1 — 위험 평가 문서화

감사팀은 외상매출금을 높은 위험 항목으로 분류한다. 거래처 수 증가와 신규 거래처 비중이 높기 때문이다. 회수 기간 장기화 추세도 근거가 된다. 조서에는 평가한 위험의 성격과 위험 수준(높음), 계획된 대응 절차를 기재한다. 이 기록은 나중에 감리 기구가 "왜 이 부분을 자세히 검토했는가"를 확인할 때 근거가 된다.

단계 2 — 수행 절차 기록

거래처별 외상매출금 상세 내역서를 입수하고 표본 선정 기준을 조서에 적는다(금액 기준 5억 원 이상 전수 및 15개 신규 거래처 전수). 표본에 포함된 7건에 대해 다음을 수행한다: - 거래처 확인 요청서(positive confirmation) 발송 및 회신 검증 - 거래 증빙(송장과 청구서, 입금 기록) 추적 - 회수 후 현황 확인(올해 추가로 회수된 금액 포함)

각 단계의 결과를 엑셀에 정리하고, 확인된 거래처와 불일치 사항, 추가 조사 항목을 기재한다. 감리 기구는 표본이 위험을 적절히 포함하는지, 충분한 증거를 모았는지를 이 기록으로 판단한다.

단계 3 — 예외 처리 문서화

B거래처 미회수금(4,200만 원)이 90일 이상 경과했다. 팀원은 거래처에 연락하여 회수 일정을 확인하고 그 결과를 기록한다(예: "전화 통화, 2024년 12월 15일, 담당자 Park, 12월 말 입금 예정이라 확인받음. 후속 확인 필요"). 이 금액이 ISA 320에 따른 성과 중요성을 초과하지는 않지만 회수 가능성 판단은 연기금의 기초다. 연기금을 계상하지 않기로 결정했다면 그 판단의 근거(회사 과거 회수율과 산업 평균, 거래처 신용도 평가)도 함께 기록해야 한다.

단계 4 — 결론 도출

감사팀은 다음을 정리한다. 표본에서 확인한 거래 건수와 불일치 사항 개수(없음), 평가된 예외 위험도(낮음), 최종 결론(외상매출금 잔액이 재무제표상 적절히 표시됨). 이를 업무수행이사가 검토하고 승인 도장을 찍는다. 이 최종 승인 기록이 없으면 감사가 완료되지 않은 것이다.

감리 기구와 실무자가 놓치는 것

감리 점검에서 ISA 230 준수 여부를 검토할 때 감리 기구는 먼저 조서의 완전성을 확인한다. 위험으로 식별된 항목이 충분히 문서화되었는가. 특히 외상매출금과 수인가능성, 충당부채 같은 항목에서 증거 부족 지적이 자주 나타난다. KICPA 검사 결과에 따르면 빅펌도 감사 원가 압박으로 인한 부실 문서화가 지적 대상이다.

막상 해보니까 많은 팀이 절차를 수행했지만 결론을 문서화하지 않는다. 예를 들면 "거래처 확인서를 받았다"는 기록만 있고 "이를 토대로 매출채권이 존재하고 회수 가능하다고 결론지었다"는 문장이 빠진 경우다. 절차와 결론을 연결하는 것이 ISA 230.6의 요구사항이다.

ISA 230.A18은 감사 파일에 대한 접근 제한을 다룬다. 법적 소송 가능성이 있는 경우 일부 법무팀이 감사 파일의 열람을 차단하려 할 수 있다. 하지만 감리 기구의 감사 파일 검토는 법적 특권의 대상이 아니다. 국가에 따라 규정이 다르지만 감사인은 감리 기구의 요청에 응해야 한다.

감사 문서화와 업무 종료 메모의 차이

감사 문서화(audit documentation, ISA 230 대상)는 감사 의견의 근거가 되는 모든 업무 서류다. 감사 계획과 위험 평가, 절차 수행 기록, 입수한 증거, 도출된 결론이 여기에 해당한다. 이것은 영구 감사 파일의 일부다.

업무 종료 메모(management review notes, ISA 230.13(c) 관련)는 감사 종료 후 확인된 오류와 미해결 사항, 후속 조치 사항을 정리한 메모다. 이것도 감사 파일에 포함되며 ISA 230.13(c)에 따라 감사 파일의 최종 봉인 후 발견된 추가 정보가 있을 때 추가된다. 둘 다 중요하지만 작성 시점과 목적이 다르다.

관련 용어

- 감사 위험 — 감사인이 부적절한 감사 의견을 제시할 위험. 조서가 불충분하면 감사 위험 관리가 불가능하다. - 업무수행이사 — 감사 파일의 최종 검토와 승인을 담당하는 책임자. ISA 230.A11에 따라 파일 검토는 의무다. - ISA 320 중요성 — 조서는 중요성 판단의 근거도 포함해야 한다. - ISA 240 부정행위 — 부정행위 의심이 있다면 조사 과정과 결론이 특히 상세하게 문서화되어야 한다. - ISA 260 의사소통 — 감사 위원회에 보고할 내용은 감사 파일 내 발견사항을 바탕으로 한다.