Definition
시즌 중에 표본 크기를 "관례적으로" 정하고, 나중에 감리에서 근거 부족을 지적받는 사례는 금감원 보고서에서 매년 상위권에 오른다. 솔직히, 감사위험모형을 제대로 역산하지 않고 절차를 설계하면 조서 전체의 논리가 무너진다.
작동 방식
ARM은 세 가지 요소를 곱하는 형태로 표현된다.
감사위험(AR) = 고유위험(IR) x 통제위험(CR) x 발견위험(DR)
각 요소는 0(위험 없음)에서 1(최대 위험)까지의 확률이다. ISA 200.A41은 이를 "감사인이 감사증거를 얻지 못할 위험"으로 정의한다.
고유위험(IR)은 감사인의 절차 이전에 통제 없이 왜곡표시가 발생할 가능성이다. 업종, 거래 특성, 경영진 성향, 회계 추정의 복잡성에 따라 결정된다. 감사인은 이를 변경할 수 없다.
통제위험(CR)은 내부통제가 왜곡표시를 방지하거나 적시에 적발하지 못할 확률이다. ISA 315.1은 통제 설계와 운영 평가를 요구한다. 통제가 적절히 작동하면 CR은 낮아진다.
발견위험(DR)은 감사인이 수행한 절차를 통해 중요한 왜곡표시를 감지하지 못할 확률이다. ISA 200.A45는 감사인이 DR을 통제 가능한 수준으로 낮춰야 한다고 명시한다. 표본의 정밀도를 높이거나 검증 항목 수를 늘리는 방식으로 DR을 낮춘다.
제 경험상, 현장에서 대부분의 팀은 IR과 CR만 평가하고, 이로부터 필요한 DR 수준을 역산한다. IR 80%, CR 60%일 때 전체 AR을 5%로 유지하려면 DR은 약 10%여야 한다(0.80 x 0.60 x 0.10 = 0.05). 이 역산을 건너뛰고 "느낌"으로 표본 크기를 잡는 인차지가 생각보다 많다.
실무 사례: 화승산업 주식회사
클라이언트 개요: 제조 부문, 연매출 180억 원, K-IFRS 보고
화승산업은 자동차 부품 납품업체다. 주요 고객 3곳에서 연매출의 72%를 차지한다. 감사인은 고객 집중도와 경기침체 시 매출 변동성을 고려하여 매출 거래에 대한 IR을 85%로 평가했다.
1단계: IR 평가 매출 거래에서 IR 85%. 근거: 고객 집중도, 경기변동성, 인정기준의 해석 여지, 업종 내 관행상 밀어내기 매출 가능성. 조서 기재: 감사계획서 페이지 8에 IR 평가 사유. "3개 고객 집중도 72%, 경기침체 시나리오에서 구매액 감소 리스크 높음"
2단계: CR 평가 화승산업의 매출 통제는 주문 입수 시점, 적격 검사 완료 시점, 선적 시점, 고객 확인 이 네 가지 증거점을 교차 확인한다. ISA 315.34에 따라 감사인은 이 통제가 설계되고 운영되는지 확인했다. 월간 3건 이상 샘플에서 예외 없음을 확인. CR 40%. 조서 기재: 통제테스트 조서 "TT-매출-001"에 테스트 대상 월별 기록. 1월~9월 각 월 5건씩 샘플 추출, 네 가지 증거점 모두 확인됨.
3단계: 필요한 DR 계산 목표 AR: 5%. 계산: 0.05 / (0.85 x 0.40) = 0.147. DR 15%.
이는 감사인이 매출 거래에 대해 85% 수준의 신뢰도(1 - 0.15)로 중요한 왜곡표시를 감지해야 한다는 의미다.
4단계: 실질적 절차 설계 15% DR을 달성하기 위해 감사인은 다음을 수행한다. - 모든 매출 거래 중 금액 기준 상위 80%를 포함하여 총 175건 선정(전체 4,200건 중). ISA 530.5는 표본 크기와 선정 방법이 충분한 적절한 감사증거를 제공하도록 설계되어야 한다고 규정한다. - 각 거래에서 인정 시점 증거(주문, 적격 검사 보고, 선적 증거, 고객 확인서) 4가지 모두 검증. - 분석적 절차: 분기별 매출액을 고객별로 분해하여 예년 대비 변동률 분석. 변동률 20% 이상인 거래는 추가 검증. 조서 기재: 표본선정 조서 "TT-매출-표본" 페이지 3에 MUS 방식 적용. 중요성 1.2억 원 기준으로 상위 금액 보유 거래 우선 포함.
이 절차 조합으로 15% DR 목표를 달성하며, ISA 330.7(실질적 절차 설계 충분성)과 ISA 500.A6(감사증거 충분성)을 충족한다.
감리에서 자주 지적하는 오류
제 경험상, 다음 세 가지 오류가 필드에 나가면 반복적으로 나타난다.
첫째, 역산 없는 표본 크기 결정이다. 많은 팀이 IR과 CR을 평가한 후 표본 크기를 관례적으로(예: "상위 80% 포함하기") 결정한다. ISA 330.A1은 실질적 절차를 충분하고 적절하게 설계해야 한다고 명시한다. 필요한 DR 수준을 먼저 계산하면 표본 크기는 자동으로 도출된다.
둘째, CR 평가와 통제테스트의 분리다. ISA 330.8은 CR 평가가 낮은 경우, 감사인은 해당 통제가 실제로 작동함을 확인하는 테스트를 수행해야 한다고 규정한다. 통제 설계만 검토하고 운영 테스트 없이 CR 30%를 기재하면 감리 지적 가능성이 높다. 솔직히 이 오류가 빌런이다. 조서에 수치만 적어놓고 테스트 근거가 없으면 감리관이 가장 먼저 집는 항목이다.
셋째, ARM 전체를 역으로 재계산하지 않는 것이다. 감사 과정 중 새로운 사실이 드러나면(예: 중요한 통제 예외 발견, 예상 못한 거래 추가 발견), ISA 330.25는 실질적 절차를 수정할 것을 요구한다. 모형의 가정이 바뀌면 필요한 DR이 변하고, 이에 따라 절차도 조정되어야 한다. 비시즌에 이 연습을 한 번 해두면 시즌에 당황하지 않는다.
유사 용어와의 구분
감사위험과 왜곡표시위험은 자주 혼동된다. 왜곡표시위험(IR x CR)은 감사인의 절차 이전에 왜곡표시가 존재하고 감지되지 않을 확률이다. AR은 여기에 DR을 곱하여 감사인의 모든 절차 이후에도 왜곡표시가 감지되지 않을 확률을 나타낸다. 왜곡표시위험은 그 자체로 통제할 수 없지만, AR은 절차의 범위와 깊이로 통제한다. 보고서일 직전에 이 구분이 흐려지면 조서 전체의 논리 정합성이 무너지기 쉽다.
관련 용어
- 고유위험: 통제 이전의 왜곡표시 발생 가능성, 업종과 거래 특성에 의존 - 통제위험: 내부통제의 운영 수준 평가, ISA 315 평가 근거 - 발견위험: 감사인의 절차 성과, 표본 설계와 절차 범위로 조정 가능 - 왜곡표시위험: IR과 CR의 곱 - 중요성: AR 평가 시 판단의 기준이 되는 금액 역값 - 실질적절차: DR을 낮추기 위해 수행하는 거래 및 잔액 검증
---