작동 방식
감사에서 기준은 증거의 품질을 측정하는 표준입니다. ISA 500.5(a)는 "감사인은 감사 증거가 충분하고 적절한지 판단하기 위해 기준을 적용해야 한다"고 규정합니다. 기준 없이, 감사인은 수치, 내용, 준수를 평가할 수 없습니다.
기준은 세 가지 출처에서 나옵니다.
첫째, 외부 출처입니다. 법규나 규칙이 특정 결과를 정의할 때입니다. 세법은 특정 거래 유형에 대한 적절한 서면 증거를 명시합니다. 부실거래 규정은 공시 기한을 지정합니다. 제조 표준은 제품 테스트 방법을 정의합니다. 이들 기준은 규제기관이 설정했으며 협상의 여지가 없습니다.
둘째, 내부 기준입니다. 경영진이 명시적으로 설정한 기준입니다. 회사가 "모든 백만 원 초과의 고정자산 투자에 경영진 승인이 필요함"을 정책화하면 그것이 기준입니다. 회사가 "매월 은행 조정을 수행해야 함"을 내부 통제로 정한 경우도 마찬가지입니다. 기준은 문서화되어야 하며 경영진의 의도를 반영해야 합니다.
셋째, 산업 또는 관행 기준입니다. 구체적인 규칙이 없을 때, 감사인은 비교 가능한 기준에 의존할 수 있습니다. 전년도 수준, 동종업계 평균, 또는 통상적 관행입니다. ISA 520.A19는 기대치 개발에서 이를 인정합니다. 단, 기준이 문서화되고 타당한지 테스트되어야 합니다.
기준과 중요성은 다릅니다. 중요성은 ISA 320의 정의된 개념이며 절대값입니다(예: 1,000만 원). 기준은 측정 기준입니다(예: "고객 신용등급은 S&P 척도로 BBB 이상이어야 함"). 중요성은 기준을 통과하거나 실패하도록 돕지만, 기준 자체는 아닙니다.
실행 예시: 종로 운송 주식회사
클라이언트: 한국 물류 회사, 2024년 회계연도, 매출 950억 원, K-IFRS 보고자.
1단계: 매출 승인 거래에 대한 기준 설정 클라이언트의 판매 정책은 "100만 원 초과의 신규 고객 계약에는 영업본부장 승인이 필요함"을 명시합니다. 이것이 기준입니다. 문서화 노트: 감사 조서 PI-40, 정책 참조 번호 SAL-002, 유효 날짜 2024년 1월 1일
2단계: 기준이 적절한지 검증 ISA 500.6(a)은 기준이 "그 상황에 적절한가"를 요구합니다. 영업본부장 승인이 신용위험을 통제하는가? 그렇습니다. 문제가 발생할 때 증거가 남는가? 그렇습니다(이메일 또는 CRM 기록). 기준은 적절합니다. 문서화 노트: 감사 조서 PI-40, 기준 평가, "정책이 거래 권한을 설정하고 추적성을 제공함"
3단계: 표본에 기준을 적용 23건의 신규 고객 거래를 선택합니다. 각 거래에 대해: 영업본부장 승인 증거가 있는가? 21건은 있습니다. 2건은 없습니다. 문서화 노트: 감사 조서 PI-41, 표본 크기 23, 불합격 항목 2건, "항목 #456과 #789는 영업본부장의 사전 서면 승인 증거가 없음"
4단계: 결론 도출 기준은 설정되었고, 적절했으며, 표본에 일관되게 적용되었습니다. 2건의 예외는 문서화되고 경영진 사후 승인으로 해결되었습니다. 통제 운영 유효성 테스트는 불합격입니다. 문서화 노트: 감사 조서 PI-42, 결론: "신규 고객 승인 통제는 표본상 2건의 사례에서 운영되지 않았음. 경영진이 사후 승인을 제공했으나, 통제 재테스트가 필요함"
감리자와 실무자들이 놓치는 것
- 기준 미정의. 많은 팀이 기준 없이 감사를 시작합니다. "거래가 합리적으로 보인다" 또는 "작년과 일치한다"는 암묵적 기준에 의존합니다. ISA 500.5는 기준을 명시적으로 요구하며, 금감원의 감리 지적 중 가장 흔한 것은 "감사 증거 평가에 기준이 문서화되지 않음"입니다. 막상 해보니까, 이 부분은 시즌 마지막 주에 조서를 닦으려고 해도 거의 복구할 수 없습니다. - 기준 적절성 미평가. 기준을 설정한 후 그것이 실제로 측정하는 것을 검증하지 않는 경우가 있습니다. "청구서 발행 후 3영업일 내 송금"을 기준으로 설정했지만, 그 기준이 부실거래 위험을 실제로 통제하는가를 테스트하지 않습니다. ISA 500.6(a)에 따라 기준이 상황에 적절해야 합니다. - 혼합된 기준. 같은 거래 집단에 여러 기준을 일관되지 않게 적용합니다. 예를 들어, 자산 구매 거래에는 "100만 원 초과 이사회 승인" 기준을 사용하지만, 다음 거래에는 "적절성" 판단으로 전환합니다. ISA 500.A20은 기준의 일관된 적용을 기대합니다.
기준 vs. 중요성
| 측면 | 기준 | 중요성 |
|---|---|---|
| 정의 | 증거를 평가하는 측정 기준 | 감사 의견에 영향을 미치는 금액 한계 |
| 설정 시점 | 각 감사 영역마다 | 감사 계획 시 한 번 |
| 누가 결정 | 감사인이 클라이언트 정책과 규제를 참고 | 감사인이 재무제표 규모 기준으로 계산 |
| 예시 | "매달 은행 조정 수행" (거래 통제) | 순자산의 0.5% (오류 오차범위) |
| ISA 참조 | ISA 500.5, ISA 500.6(a) | ISA 320.11, ISA 320.12 |
기준은 거래 또는 통제가 작동하는지를 평가합니다. 중요성은 거래 또는 오류가 감사 의견을 변경하는지를 판단합니다. 기준 테스트는 통제 효율성을 평가하고, 중요성은 총괄 오류 범위를 설정합니다.
감리자와 실무자들이 놓치는 것
- 검증되지 않은 기준: 한국 금융감독위원회의 감사 파일 검토에서 "기준이 설정되었으나 그 기준의 출처나 타당성이 문서화되지 않음"이라는 지적이 반복되어 나타납니다. 특히 산업 관행이나 역사적 성과를 기준으로 하는 경우, 감사인이 그 기준을 테스트했거나 확인했다는 증거가 파일에 없습니다. - 기준과 절차의 혼동: 일부 팀이 "기준"과 "감사 절차"를 혼동합니다. "표본 크기 30"은 절차입니다. 기준은 "표본에서 오류가 0건 이상 발견되면 불합격"입니다. ISA 500.A20은 기준을 "성과 지표"로 명확히 정의하며, 절차는 그 기준을 평가하기 위한 방법입니다. - 암묵적 기준의 과다 사용: 많은 파일에서 기준이 구두 또는 관례적입니다. 예를 들어, "거래가 정상적으로 보이면 합격"이라는 기준은 두 감사인이 다르게 해석합니다. ISA 500.5(a)의 "기준을 적용해야 한다"는 문서화된 기준을 의미합니다.
관련 용어
- 감사 증거 - 기준을 평가하는 데 사용되는 정보. 기준이 없으면 증거를 평가할 수 없습니다. - 중요성 - 감사 의견에 영향을 미치는 금액 한계. 기준과 함께 작동하지만 동일하지 않습니다. - 위험 기반 감사 - 기준이 중요한 위험 영역에 집중되는 감사 접근법. - 통제 효율성 - 기준이 통제가 작동했는지를 평가하는 방법입니다. - 분석적 절차 - ISA 520은 기대치(또 다른 유형의 기준)를 개발하고 평가합니다. - 표본 - 기준이 표본의 합격/불합격을 판정합니다.
---