Definition
금감원 감리에서 가장 자주 지적되는 항목 중 하나가 감사위험 평가의 부실이다. 조서에 "고유위험: 높음"이라고 적어 놓고, 그 평가가 실제 절차 설계에 어떻게 반영되었는지 연결고리가 없는 사례가 반복된다. 위험 평가가 감사 계획을 실질적으로 움직이지 못하면, 그 조서는 형식에 불과하다. 막상 감리 대응을 해보니까, "왜 이 위험 수준에서 이 절차를 선택했는가"라는 질문에 답하지 못하는 팀이 생각보다 많다.
작동 방식
감사위험은 세 가지 구성 요소의 곱으로 표현된다. ISA 200.A41이 이 관계를 정의한다.
IR은 감사인이 통제할 수 없는 오류 가능성이다. 경제 환경, 산업 특성, 거래의 복잡성, 경영진의 성향이 결정한다. CR은 기업의 내부통제가 왜곡표시를 예방하거나 적발하지 못할 가능성이다. DR은 감사인의 절차가 존재하는 왜곡표시를 적발하지 못할 가능성으로, 감사인이 유일하게 통제하는 요소다.
높은 IR과 CR을 무시할 수 없다. 감사인은 이를 인정하고 DR을 충분히 낮춰야 한다. 더 정밀한 절차, 더 큰 표본이 필요하고, 경영진 확인서보다 외부 증거에 의존해야 한다. ISA 330.7(a)는 평가된 부정행위 위험에 대해 순수 실질 절차를 요구한다. 선택사항이 아니다.
제 경험상, 필드에 나가면 "전체 감사위험을 80%로 설정하고 DR을 역산하자"는 접근이 여전히 돌아다닌다. ISA 200의 의도를 정면으로 곡해하는 방식이다. 위험 평가가 먼저 오고, 절차 설계가 따른다. 순서가 뒤집히면 감리에서 방어할 논리가 없다.
실무 사례: 로덴 식품 주식회사
사례 대상은 로덴 식품 주식회사, FY2024, 매출 EUR 28.5M, IFRS 보고 중소기업이다.
1단계 IR 평가
로덴은 식품 제조사로 재고 처리가 복잡하다. 인수 합병 후 시스템 통합 중이다. 경제 침체로 대형 소매업체 고객이 지급 기한을 연장했고, 경영진 교체로 내부 통제 문서화가 미흡한 상태다. IR = 높음. 근거는 재고 복잡성, M&A 통합 과정, 수금 불확실성, 거버넌스 약화이다.
문서화 노트: 위험 평가 조서에서 IR을 높음으로 평가한 근거를 재고 순환, 미수금 구성, 인원 변화별로 기록한다.
2단계 CR 평가
IT 통합이 완료되지 않아 재고 추적에 수작업 확인이 빈번하다. 대금 회수 통제는 아직 구축 중이고, M&A 후 결재 권한 재정의가 문서화되지 않았다. CR = 높음. 자동화 불완전, 프로세스 재설계 중, 권한 기록 부족, 직원 교육 미비가 근거다.
문서화 노트: 통제 평가 조서에서 통제 설계의 부재 또는 운영 불일치를 각 영역별로 기록하고, 평가된 CR과 연결한다.
3단계 필요한 DR 설정
IR 높음 x CR 높음이므로 DR을 낮게 설정해야 한다. 표준 감사위험 목표 5%에서 시작하면, DR = 5% / (높음 x 높음)으로 개념적으로 계산된다. 이는 표본 크기를 크게 늘리고 분석적 절차를 보강해야 하며, 경영진 확인서보다 외부 증거를 우선해야 함을 뜻한다.
문서화 노트: 실질 절차 계획에서 높은 위험 영역별 샘플 크기, 테스트 범위, 증거 유형을 명시한다.
로덴의 높은 복합 위험은 표준 감사 범위를 초과하는 절차를 정당화한다. M&A 통합 검증, 재고 카운트 입회, 수금 추적을 표본 테스트가 아닌 모집단 수준에서 수행해야 할 수 있다. 이 판단의 근거는 감사위험 평가다. 평가가 없으면 이 결정은 방어 불가능하다.
감리관과 실무자가 놓치는 점
감사 시즌에 쫓기다 보면 위험을 "높음", "중간", "낮음"으로 분류하고 끝내는 팀이 많다. ISA 320.A2는 평가된 부정행위 위험에 대해 더 높은 신뢰도(낮은 DR)를 요구한다. "높은 위험이므로 표본을 두 배로"는 불충분하다. 얼마나 높은가, 그것이 절차에 미치는 영향은 무엇인가. 이 매핑이 조서에 없으면 금감원 감리에서 지적된다. 인차지가 이 연결 작업을 시즌 후반으로 미루는 걸 수없이 봤는데, 솔직히 감리 때 후회하는 항목 1순위다.
ISA 315.32(b)는 감시 활동 중 위험을 재평가하도록 요구한다. 현장 조사 중 발견한 추가 약화된 통제는 DR을 더 낮춰야 함을 의미한다. 대부분의 팀은 계획 단계의 위험 평가에 머물러 있으며, 감사 수행 중 새로운 정보에 따른 갱신을 문서화하지 않는다.
높은 감사위험은 낮은 성과중요성(PM)을 정당화할 수 있다. ISA 320.9는 IR과 CR을 고려하여 PM을 결정하도록 요구한다. 감사위험이 높으면 같은 거래에서도 더 낮은 임계치를 적용해야 한다. 이 두 판단의 연결고리가 조서에 없으면 불일치로 보인다.
감사위험과 부정행위 위험
감사위험과 부정행위 위험은 다르다. ISA 240.26은 부정행위 위험이 있는 영역에서 순수 실질 절차를 요구한다. 부정행위 위험은 의도성을 포함하며, 더 강한 증거와 더 깊은 의심이 필요하다. 재고 가격 책정 오류(회계 복잡성)와 재고 횡령(부정행위)은 모두 감사위험을 높이지만, 후자는 ISA 240 절차를 추가로 요구한다. 이 구분을 조서에 명확히 남기는 것이 감리 대비의 기본이다.
관련 용어
- 고유위험 통제 없이 오류가 발생할 가능성. IR이 높으면 DR이 더 낮아져야 한다. - 통제위험 기업의 내부통제가 오류를 예방하거나 적발하지 못할 위험. 감사위험의 두 번째 요소다. - 발견위험 감사 절차가 오류를 적발하지 못할 위험. 감사인이 유일하게 통제할 수 있는 요소다. - 성과중요성 감사위험이 높을수록 PM은 낮아져야 한다. - ISA 315 개정 위험 식별 및 평가의 최신 요구사항이다. - ISA 330 실질절차 평가된 위험에 따른 절차 설계 방법이다.
---