어떻게 작동하는가
감사 전략은 감사인이 감사 위험을 수용 가능한 수준으로 감소시키기 위해 설계한 감사의 구조입니다. ISA 300.8에 따르면 감사 전략에는 감사의 범위, 시기, 방향에 대한 결정이 포함되어야 합니다. 이는 단순한 일정표가 아닙니다. 감사 전략은 피감사회사의 사업, 산업, 규제 환경, 재무제표 오류의 위험도를 종합적으로 평가한 결과입니다.
감사 전략 수립 시 감사인은 다음을 고려합니다. 첫째, 감사 업무의 특성과 피감사회사의 산업 특성. ISA 300.A3은 산업의 규제 환경과 회계 기준 변경을 감사 전략 수립의 배경으로 명시합니다. 둘째, 감사 기간 동안 충분한 감시 활동의 시간. 완료 단계에서의 전반적 검토(ISA 330.21)에 충분한 시간을 배정하는 것입니다. 셋째, 피감사회사가 중요한 시스템 변경이나 조직 구조 개편을 계획 중인지 여부. 이런 변화는 감사 전략에 반영되어야 합니다.
감사 전략이 구체적일수록 감사 계획이 명확해집니다. 모호한 전략("모든 주요 거래 항목을 감시한다")은 실행 불가능합니다. 구체적 전략("매월 말 거래일지를 추출하여 금액별로 분류하고, 월별 상위 10건 거래에 대해 선별 절차를 수행한다")은 감사팀이 즉시 실행할 수 있습니다.
산출 예시: Bergströms Industrisverk AB
클라이언트: 스웨덴 제조업체, 2024년 결산, 매출 €87M, IFRS 보고자
1단계: 감사 위험 평가 및 전략 방향 결정
감사인은 먼저 Bergströms Industrisverk AB의 감사 위험을 평가합니다. 사업 구조(스웨덴 본사, 폴란드 자회사 1개, 독일 유통 자회사 1개), 최근 ERP 시스템 전환, 신용 한도 연장으로 인한 차입금 증가. 이들 요소를 종합하면 감사 위험이 높습니다. 특히 연결 재무제표 작성 시 자회사 재무제표 통합 절차에서 오류 위험이 높습니다.
문서화 노트: 감사 계획 조서(감사 참고자료 1-000)에 위험 평가 결과 기록. "높은 감사 위험: ERP 전환, 신규 연결회사, 차입금 증가로 인한 복합 거래 증가"라고 명시.
2단계: 감사 목표 및 중요성 결정
전체 재무제표 중요성을 매출의 1%인 €870,000으로 설정합니다. 수행 중요성(업무 수행 중 기준으로 사용할 금액)은 €435,000입니다. 업계 특성상 제조업체의 매출 마진이 좁으므로, 통상적인 5% 대신 1% 기준을 적용합니다.
문서화 노트: 중요성 산정 조서(감사 참고자료 1-010)에 산정 결과 기록. 벤치마크 선정 근거("제조업 평균 마진 3-4%이고 Bergströms의 마진이 2.8%이므로 매출 기준 적용") 및 재검토 조건("분기별 실적이 예상 범위를 벗어나면 중요성 재평가") 기록.
3단계: 주요 감사 영역 및 절차 시기 결정
주요 감사 영역: (1) 자회사 통합, (2) 신규 대출 조건, (3) ERP 시스템의 통제 환경. 자회사 재무제표는 현지 감사인이 감시할 수 없으므로, 본사에서 자회사 조서를 직접 수취하여 검토하기로 결정합니다. 신규 대출은 금융기관 확인서로 검증합니다. ERP는 IT 전문가를 참여시켜 통제 환경을 평가합니다.
완료 단계는 결산 후 5주 후로 설정합니다(타이밍). 이는 자회사가 현지 감사 완료 후 조서를 제출할 충분한 시간을 확보하기 위한 것입니다.
문서화 노트: 감사 전략 조서(감사 참고자료 1-005)에 주요 영역 3개 기재. 각 영역별로 "시기: 현장 작업 4주차", "담당자: 선임 감사인 A", "근거: ISA 330.5에 따른 통제 테스트 필요성" 기록.
4단계: 감사 전략 검토 및 승인
감사 리더는 감사 전략 조서에 서명합니다. 서명 날짜는 감사 현장 작업 개시 전입니다. 만약 현장 작업 중 새로운 위험(예: 자회사의 재고 검증 실패)이 발견되어 전략 변경이 필요하면, 변경 사항을 기록하고 검토자 승인을 받습니다.
문서화 노트: 감사 리더 및 검토자의 서명란에 날짜 기입. 변경이 있으면 별도 노트("2월 15일 자회사 재고 검증 실패로 인해 추가 분석적 절차 추가. 감사 리더 승인") 기록.
결론: Bergströms의 감사 전략은 세 가지 핵심 위험(연결, 차입금, 시스템)과 각각의 대응 절차를 명확히 함으로써, 감사팀이 제한된 시간 내에 가장 중요한 영역에 집중할 수 있도록 합니다. 전략이 구체적일수록 감사팀의 판단 오류는 감소합니다.
감사인과 검토자가 놓치는 것
- 감사 위험 평가 없는 전략 수립. 많은 팀이 표준 전략 템플릿("분기별 분석적 절차 + 월별 거래 표본 검사")을 모든 클라이언트에 적용합니다. ISA 300.8(a)는 피감사회사의 특성, 산업, 규제 환경을 감안하여 감사 전략을 결정하라고 명시합니다. 금감원 감리에서 지적받는 가장 흔한 항목은 "감사 위험 평가 결과가 감사 전략에 반영되지 않았음"입니다.
- 감시 활동 충분성 미확인. 감사 전략에는 감시 활동(ISA 330.19)을 수행할 충분한 시기가 명시되어야 합니다. 예컨대 "현장 작업 전반에 걸쳐 분기별 감시" vs. "현장 초반 1주차 감시만 수행"은 완전히 다른 감사 전략입니다. 많은 팀이 감시 활동의 시기를 전략에 명시하지 않아, 결과적으로 현장 후반에 감시 활동을 생략합니다.
- 변경 사항 미기록. 감사 진행 중 위험도가 예상을 초과하거나 새로운 이슈가 발견되면 감사 전략을 변경해야 합니다. ISA 300.9는 감사인이 "감사 계획을 재평가"하여 변경된 상황에 대응하도록 요구합니다. 많은 조서에서 감사 전략이 수립된 후 변경되지 않은 채로 남아 있습니다. 변경이 필요했지만 미기록된 경우, 감리 지적 대상이 됩니다.
- 그룹 감사 전략의 부재. ISA 600.17은 그룹 감사팀이 구성요소 감사인에 대한 감시 전략을 수립하도록 요구합니다. 해외 자회사가 있는 피감사회사에서 현지 감사인의 업무 범위, 보고 시기, 조서 검토 방식이 감사 전략에 명시되지 않은 경우가 많습니다. 이로 인해 구성요소 감사 결과가 그룹 감사에 적시에 반영되지 않습니다.
같은 개념의 비교: 감사 전략 vs. 감사 계획
감사 전략과 감사 계획은 다릅니다. 감사 전략은 "어느 위험에 집중할 것인가"이고, 감사 계획은 "구체적으로 어떤 절차를 언제 누가 수행할 것인가"입니다. ISA 300은 두 가지를 구분하여 다룹니다.
감사 전략은 범위(scope)를 결정합니다. "자회사 재무제표는 본사에서 수취하여 검토한다" "ERP 시스템은 IT 전문가와 함께 평가한다"는 전략적 결정입니다. 반면 감시 계획은 세부사항을 결정합니다. "자회사 조서 수취 시기는 현장 작업 3주차" "IT 전문가와의 회의는 2월 10일 오후 2시, ERP 통제 문서 사전 검토는 2월 8일"은 계획입니다.
감사 전략이 모호하면 감사 계획도 집행 불가능해집니다. 따라서 감사 전략을 먼저 명확히 한 후 감사 계획을 수립하는 순서가 중요합니다.
관련 용어
- 감사 계획 - 감사 전략에 기초하여 구체적인 감시 절차, 실질적 절차, 시기를 결정하는 세부 문서.
- 감시 활동 - 감사 진행 중 감사인과 감사팀의 업무를 지도, 감시하고 검토하는 활동. 감사 전략에 포함되어야 함.
- 감사 위험 평가 - 피감사회사의 사업, 산업, 규제 환경에서 발생 가능한 중요한 왜곡표시의 위험을 평가하는 절차. 감사 전략 수립의 기초.
- 중요성 - 감사 범위를 결정하는 정량적 기준. 감사 전략에 포함됨.
- 실질적 절차 - 재무제표 거래와 잔액을 직접 검증하는 절차. 감시 활동의 정책에 기초하여 설계됨.
- 통제 테스트 - 내부 통제의 효과성을 평가하는 절차. 통제에 대한 신뢰도가 감사 전략에 영향을 줌.
관련 도구
ciferi의 감사 전략 템플릿은 ISA 300.7-10의 요구사항을 구조화한 조서 형식으로 제공됩니다. 팀별 위험 평가, 전략적 의사결정, 서명 절차를 통합합니다. 감사 전략 템플릿으로 이동
---