작동 방식
감사위험모형은 세 가지 요소를 곱하는 형태로 표현됩니다.
감사위험 = 고유위험 × 통제위험 × 발견위험
각 요소는 0(위험 없음)에서 1(최대 위험)까지의 확률입니다. ISA 200.A41은 이를 "감사인이 감사증거를 얻지 못할 위험"으로 정의합니다.
고유위험은 감사인의 절차 이전에 통제 없이 왜곡표시가 발생할 가능성입니다. 업종, 거래 특성, 경영진 성향에 따라 결정됩니다. 감사인은 이를 변경할 수 없습니다.
통제위험은 내부통제가 왜곡표시를 방지하거나 적시에 적발하지 못할 확률입니다. ISA 315.1은 통제 설계와 운영 평가를 요구합니다. 통제가 효과적이면 이 위험은 낮습니다.
발견위험은 감사인이 수행한 절차를 통해 중요한 왜곡표시를 감지하지 못할 확률입니다. ISA 200.A45는 감사인이 발견위험을 통제 가능한 수준으로 낮춰야 한다고 명시합니다. 더 정밀한 표본, 더 많은 항목 검증, 더 나은 분석 절차로 발견위험을 낮춥니다.
실무에서 대부분의 팀은 고유위험과 통제위험만 평가하고 이로부터 필요한 발견위험 수준을 역산합니다. 고유위험 80%, 통제위험 60%일 때 전체 감사위험을 5%로 유지하려면 발견위험은 약 10%여야 합니다(0.80 × 0.60 × 0.10 ≈ 0.05).
실무 사례: 화승산업 주식회사
클라이언트: 제조 부문, 연매출 180억 원, K-IFRS 보고
화승산업은 자동차 부품 납품업체입니다. 주요 고객 3곳에서 연매출의 72%를 점합니다. 감사인은 고객 집중도와 경기침체 시 매출 변동성을 고려하여 매출 거래에 대한 고유위험을 85%로 평가했습니다.
1단계: 고유위험 평가
매출 거래에서 고유위험 85%. 근거: 고객 집중도, 경기변동성, 인정기준의 해석 여지 있음.
문서화 노트: 감사계획서 페이지 8에 고유위험 평가 사유 기재. "3개 고객 집중도 72%, 경기침체 시나리오에서 구매액 감소 리스크 높음"
2단계: 통제위험 평가
화승산업의 매출 통제는 주문 입수 시점, 적격 검사 완료 시점, 선적 시점, 고객 확인 이 네 가지 증거점을 교차 확인합니다. ISA 315.34에 따라 감사인은 이 통제가 설계되고 운영되는지 확인했습니다. 통제는 적절히 설계되었고 월간 3건 이상 샘플에서 예외 없음을 확인. 통제위험 40%.
문서화 노트: 통제테스트 조서 "TT-매출-001"에 테스트 대상 월별 기록. 1월~9월 각 월 5건씩 샘플 추출, 네 가지 증거점 모두 확인됨 기재.
3단계: 필요한 발견위험 계산
목표 감사위험: 5%. 계산: 0.05 ÷ (0.85 × 0.40) = 0.147. 발견위험 15%.
이는 감사인이 매출 거래에 대해 85% 수준의 신뢰도(1 - 0.15)로 중요한 왜곡표시를 감지해야 한다는 의미입니다.
4단계: 실질적 절차 설계
15% 발견위험을 달성하기 위해 감사인은 다음을 수행합니다.
문서화 노트: 표본선정 조서 "TT-매출-표본" 페이지 3에 MUS 방식 적용 기재. 중요성 1.2억 원 기준으로 상위 금액 보유 거래 우선 포함.
결론: 이 절차 조합으로 15% 발견위험 목표를 달성하며, ISA 330.7(실질적 절차 설계 충분성)과 ISA 500.A6(감사증거 충분성)을 만족합니다.
- 모든 매출 거래 중 금액 기준 상위 80%를 포함하여 총 175건 선정(전체 4,200건 중). ISA 530.5는 표본 크기와 선정 방법이 충분한 적절한 감사증거를 제공하도록 설계되어야 한다고 규정합니다.
- 각 거래에서 인정 시점 증거(주문, 적격 검사 보고, 선적 증거, 고객 확인서) 4가지 모두 검증.
- 분석적 절차: 분기별 매출액을 고객별로 분해하여 예년 대비 변동률 분석. 변동률 20% 이상인 거래는 추가 검증.
- ISA 330.A2에 따른 분석적 절차: 고객별 매출 추이를 월별로 분석하여, 납품 시기와 수금 패턴의 일관성을 검증합니다. 특정 월에 매출이 급등한 거래는 수익 조기 인식 가능성을 위해 별도 검토합니다.
감리에서 자주 지적하는 오류
- 오류 1: 역산 없는 표본 크기 결정. 많은 팀이 고유위험과 통제위험을 평가한 후 표본 크기를 관례적으로(예: "상위 80% 포함하기") 결정합니다. ISA 330.A1은 실질적 절차를 충분하고 적절하게 설계해야 한다고 명시합니다. 필요한 발견위험 수준을 먼저 계산하면 표본 크기는 자동으로 도출됩니다.
- 오류 2: 통제위험 평가와 통제테스트 분리. ISA 330.8은 통제위험 평가가 낮은 경우, 감사인은 해당 통제가 실제로 작동함을 확인하는 테스트를 수행해야 한다고 규정합니다. 통제 설계만 검토하고 운영 테스트 없이 통제위험 30%를 기재하면 감리 지적의 가능성이 높습니다.
- 오류 3: 모형 전체를 역으로 재계산하지 않기. 감사 과정 중 새로운 사실이 드러나면(예: 중요한 통제 예외 발견, 중요한 거래 추가 발견), ISA 330.25는 실질적 절차를 수정할 것을 요구합니다. 모형의 가정이 바뀌면 필요한 발견위험이 변하고, 이에 따라 절차도 조정되어야 합니다.
- 오류 4: 감사위험모형의 문서화 시점 오류. ISA 315.32(a)는 위험 평가를 감사 계획 단계에서 완료하도록 요구합니다. 많은 팀이 현장 감사 완료 후에 감사위험모형 수치를 소급하여 기재합니다. 이 경우 모형이 절차 설계를 주도한 것이 아니라, 절차 결과에 맞춰 역산된 것으로 보이며 감리에서 형식적 준수로 판정됩니다.
유사 용어와의 구분
감사위험 vs. 왜곡표시위험: 왜곡표시위험(고유위험 × 통제위험)은 감사인의 절차 이전에 왜곡표시가 존재하고 감지되지 않을 확률입니다. 감사위험은 여기에 발견위험을 곱하여 감사인의 모든 절차 이후에도 왜곡표시가 감지되지 않을 확률입니다. 왜곡표시위험은 그 자체로 통제할 수 없지만, 감사위험은 절차의 범위와 깊이로 통제합니다.
관련 용어
---