적발위험(Detection Risk)

작동 방식

감사위험은 세 가지 성분으로 쪼개집니다. 고유위험(기업과 환경이 만드는 오류의 위험), 통제위험(내부통제가 감지하지 못할 위험), 적발위험(감사인이 감지하지 못할 위험)이죠. ISA 330.4는 이 셋의 관계를 공식으로 표현합니다. 감사위험 = 고유위험 × 통제위험 × 적발위험.

이건 뒤에서 앞으로 푸는 공식입니다. 감사인은 먼저 전체 감사위험 수준을 선택합니다(보통 5% 또는 10%). 그 다음 고유위험과 통제위험을 평가하죠. 마지막으로 적발위험을 역산합니다. 적발위험 = 허용된 감사위험 ÷ (고유위험 × 통제위험).

적발위험이 낮을수록 감사인은 더 강력한 증거를 수집해야 합니다. 적발위험을 5%로 설정하면 확신도 높은 증거가 필요하죠. 50%로 설정하면 덜 확신 있는 증거로도 충분합니다.

ISA 330.A2는 이 관계를 명확히 합니다. 고유위험과 통제위험이 높으면(즉 기업의 오류 가능성이 크고 내부통제가 약하면) 적발위험을 낮춰야 합니다. 더 강력한 증거가 요구된다는 뜻이죠. 반대로 고유위험과 통제위험이 낮으면 적발위험을 높일 수 있고, 절차도 덜 광범위해도 됩니다.

산출 예시: 한진운송 주식회사

클라이언트: 한진운송 주식회사, 매출 580억 원, IFRS 적용 상장회사

고유위험 평가: 85% (국제유가 변동이 매출에 직접 영향, 유류비 추정이 불확실) 통제위험 평가: 60% (환율 변동 관련 통제는 없음, 유류비 추정 통제는 부분적) 허용된 감사위험: 5% (공개기업, 신용등급 요청 클라이언트)

단계 1: 고유위험과 통제위험 곱하기 고유위험 × 통제위험 = 85% × 60% = 51% 조서 메모: 위험 평가 워크시트에 각 위험 성분을 기록. 통제위험 60%의 근거로 유류비 통제 테스트 결과 및 환율 헤징 통제 부재 기록.

단계 2: 적발위험 계산 허용된 감사위험 ÷ (고유위험 × 통제위험) = 5% ÷ 51% = 9.8% (반올림하여 10%) 조서 메모: 감사위험 공식 적용 시 계산 과정 보존. 결과값 10% 해석 및 절차 설계와의 연결 기록.

단계 3: 적발위험 10%에 맞춘 절차 설계 적발위험 10%면 꽤 강력한 증거가 필요합니다. 유류비 관련 거래의 100% 테스트 또는 정밀 분석 절차(마진율 비교 분석, 거래당 유류비 추세 분석)가 요구되죠. 표본 크기는 작을 수 없고, 검증 깊이도 얕을 수 없습니다. 조서 메모: 실무 절차 계획서에 "적발위험 10% 달성을 위해 유류비 거래 분석 절차 수행. 연간 480개 거래 중 25개 이상 표본 선정(5%)..." 기록.

결과: 적발위험 10%를 달성하기 위해 감사인은 환율 변동과 유류비 추정에 대한 실무 절차를 설계했습니다. 이 절차는 통제 부재와 높은 고유위험을 보상하죠. 절차가 실제로 수행되지 않으면 적발위험은 10%보다 훨씬 높아지고, 전체 감사위험이 목표를 초과합니다.

감리관과 실무자들이 놓치는 부분

- 금감원 감리 지적: 적발위험을 설정해놓고 절차 설계에 반영하지 않은 사례가 가장 빈번합니다. 조서에서는 적발위험이 15%로 계산되어 있는데, 실제 절차(거래 표본 선정, 분석 범위)는 40% 수준의 적발위험을 반영하고 있는 식이죠. ISA 330.5는 감사인이 감지되지 않은 왜곡표시가 허용된 수준 이하로 유지되도록 절차를 설계해야 한다고 규정합니다. 설정된 적발위험과 절차 설계의 불일치는 매년 지적됩니다.

금감원: "위험평가 결과와 후속 감사절차 간 정합성이 확보되지 않은 것으로 확인됨" 실무에서 이것이 의미하는 것: 워크시트에 5% 적어놓고 표본은 시즌 끝물에 대충 뽑았다. 감리 나오면 다 잡힌다.

- 표본 크기 계산에서 적발위험 누락: 중요성 이상의 감사증거 수집에 신경 쓰면서 적발위험의 영향을 표본 설계에 완전히 반영하지 못하는 경우가 있습니다. ISA 330.A14는 표본 크기가 적발위험과 역비례한다고 설명하죠. 적발위험을 5%로 설정하면 표본 크기는 20% 설정보다 훨씬 커야 합니다. 그런데도 고정된 표본 크기를 모든 재무항목에 똑같이 적용하는 관행이 흔하죠. 솔직히 시즌 막판에 타임이팅 압박 들어오면 더 그렇게 됩니다.

- 적발위험과 보완통제의 혼동: 보완통제가 존재한다고 해서 통제위험을 낮추고 적발위험을 높일 수는 없습니다. ISA 330.5에서 명확히 합니다. 보완통제는 통제위험 평가를 지원하지만, 보완통제 자체의 운영 유효성이 테스트되어야 하죠. 보완통제가 충분하지 않으면 통제위험은 높게 유지되고 적발위험은 낮게 잡아야 합니다.

관련 용어

- 중요한 왜곡표시: 재무제표 사용자의 경제적 의사결정에 영향을 미칠 가능성이 있는 단일 또는 누적 왜곡표시. 감사인이 적발위험을 설정하는 이유는 이 수준의 왜곡표시를 놓치지 않기 위함입니다.

- 고유위험: 내부통제를 무시하고 오류가 발생할 가능성. 적발위험 공식의 첫 번째 성분입니다.

- 통제위험: 내부통제가 중요한 왜곡표시를 예방하거나 감지하지 못할 위험. 적발위험 공식의 두 번째 성분입니다.

- 감사증거: 감사인이 감사의견의 기초로 삼는 정보. 적발위험이 낮을수록 감사증거의 품질 요구사항이 높아집니다.

- 분석적 절차: 거래 표본 테스트 대신 또는 함께 사용할 수 있는 실무 절차. 적발위험을 달성하기 위한 주요 도구입니다.

- 중요성: 감사 판단의 기준이 되는 금액 임계값. 적발위험과 함께 감사 범위를 결정합니다.

관련 콘텐츠

- ISA 330 적용: 위험에 대응하는 절차: 적발위험을 절차 설계에 실제로 어떻게 반영하는지 단계별 설명.

- 감사위험 공식 계산 도구: 고유위험, 통제위험, 허용된 감사위험을 입력하면 적발위험을 자동으로 계산하고, 절차 강도 수준을 제시하는 도구.

- 감시 결과와 적발위험 설정: 최근 금감원 감리에서 적발위험 설정 오류가 가장 빈번하게 지적된 이유와 수정 방법.

---