Definition
금감원 감리에서 가장 자주 듣는 말이 "조서가 너무 얇다"입니다. 그중에서도 고유위험 평가 근거가 비어 있는 파일이 시즌마다 반복적으로 걸립니다. 필자도 십수 년 동안 같은 패턴을 봐왔습니다. 평가는 "낮음/중간/높음"으로 적혀 있는데 그 평가가 어디서 나왔는지는 어느 조서에도 없습니다.
ISA 315.4가 요구하는 평가 근거
고유위험은 감사 현장에서 가장 자주 오판되는 개념입니다. ISA 200.A47은 거짓표시 위험을 고유위험과 통제위험의 곱으로 정의합니다. 막상 해보니까 대부분의 팀이 이 곱셈을 실제로 하지 않습니다. 정성적으로 "높음/중간/낮음" 라벨만 붙이고 끝냅니다. 금감원이 「충분·적합한 감사증거 확보가 미흡」이라고 지적하는 패턴이 바로 이것입니다. 실무에서 이것이 의미하는 것: 조서가 너무 얇다. 감리 나오면 바로 걸린다.
ISA 315.4와 ISA 315.A2는 거래·계정·공시별로 고유위험을 평가하고 그 근거를 문서화하라고 요구합니다. 근거는 산업 특성(금융기관의 신용위험, 건설회사의 공사수익인식), 거래의 복잡성(파생상품, 리스, 연결회사 거래), 거래 규모와 빈도(매월 통상 매출 vs. 연중 1회 대규모 계약), 평가 시점에 입수한 외부 정보 가운데 적어도 하나여야 합니다.
평가는 계획 단계에서 합니다. 그러나 감사 진행 중 새 정보가 나오면 재평가합니다. ISA 315.11은 감시활동에서 얻은 정보로 고유위험을 수정할 수 있다고 규정합니다.
산출 예시: Seim Industries GmbH
고객사: 독일 제조업체, 2024년도, 매출 €87M, IFRS 보고
Seim Industries는 자동차 부품을 생산합니다. 매월 정기 매출이 있고 연중 2건의 대규모 기계 납품 계약이 있습니다.
1단계: 계정별 고유위험 평가
거래계정(매출, 미수금): 고유위험 낮음. 근거는 월간 정기거래, 산업 표준 신용조건, 거래 단순성. 조서 기재: "월간 정기매출 고유위험 낮음. ISA 315.4 참고."
공사수익인식(2건의 대규모 납품): 고유위험 높음. 근거는 거래 규모(건당 €8~12M), 수익 인식이 계약 특정 조건에 좌우됨, 납품 일정과 청구 시점 불일치. 조서 기재: "대규모 기계 납품 수익 인식 복잡성. 고유위험 높음. 계약 조건 3건 검토 완료. ISA 315.A2."
자산(감가상각): 고유위험 중간. 근거는 감가상각 계산은 단순하나 자산 분류(자산군별 내용연수)에 판단이 들어감. 조서 기재: "자산 분류 재분석 위험. 고유위험 중간. ISA 315.4(a)."
2단계: 고유위험이 높은 영역에 실질절차 강화
고유위험이 높으면 ISA 330.7에 따라 해당 영역의 실질절차를 강화합니다. Seim의 2건 대규모 납품에 대해서는 계약서 입수(확인 근거), 납품 증빙과 청구서 매칭(존재 근거), 수익 인식 기준 이사회 승인 기록 검토(공시 근거), 사후 회수 확인(평가 근거)을 수행했습니다.
평가 없이 실질절차의 범위를 정하면 표본은 무작위가 됩니다. 평가가 곧 범위입니다.
금감원이 가장 자주 지적하는 패턴
Tier 1: 평가 근거 미문서화
금감원은 고유위험 평가 근거의 문서화 부족을 시즌마다 지적합니다. 특히 현금, 추정계정, 재계약처럼 고유위험이 본질적으로 높은 영역에서 평가 근거가 비어 있는 사례를 집중적으로 봅니다. 2023년 감리보고서에 따르면 검토 대상 파일의 약 30%에서 ISA 315.4에 따른 고유위험 평가 문서가 미흡했습니다. 금감원: 「위험평가 절차의 근거 문서가 충분치 않음」. 실무에서 이것이 의미하는 것: 라벨만 있고 근거 메모가 없다. 품관실 리뷰에서도 같은 코멘트가 반복됩니다.
Tier 2: 고유위험과 감사위험을 섞는 실수
감사위험은 거짓표시 위험과 감사인의 발견위험의 곱입니다. 고유위험은 거짓표시 위험의 한 요소일 뿐입니다. 현장에서는 두 개념을 섞어서 "감사위험이 높으니 더 많이 테스트하자"라고 적는 경우가 많습니다. 정확한 표현은 "고유위험이 높으니 발견위험을 낮춰야 하고 따라서 실질절차의 범위를 넓힌다"입니다. 차이는 사소해 보이지만 조서에서 그대로 드러납니다.
Tier 3: 재평가 생략
ISA 315.11은 감사 진행 중 새 정보가 나오면 고유위험을 재평가하라고 규정합니다. 계획 단계에서 현금 잔액이 소액이라 고유위험을 낮음으로 둔 뒤 분기 중 거액 현금거래가 발견됐는데도 평가를 그대로 두는 사례가 자주 있습니다. 자괴감은 자주 찾아옵니다. 시즌 막바지에 "이걸 왜 안 바꿨지" 하는 순간이 와도 이미 조서는 굳어 있습니다. 재평가는 계획 단계가 끝났다고 끝나는 절차가 아닙니다.
관련 용어
- 통제위험: 경영진의 통제가 거짓표시를 적시에 적발·수정하지 못할 위험 - 감사위험: 감사인이 중요한 거짓표시를 발견하지 못할 위험 - 거짓표시 위험: 계정이나 거래에 중요한 거짓표시가 존재할 위험(고유위험 × 통제위험) - ISA 315(개정 2019): 위험 평가 기준 - 위험 기반 감사: 고유위험과 통제위험 평가로 실질절차 범위를 결정하는 감사 접근 - 감시절차: 감사 진행 중 위험 재평가를 뒷받침하는 활동
관련 기사
- ISA 315 개정: 위험 평가의 어떤 부분이 바뀌었는가 - 높은 고유위험 영역에서 충분한 증거를 얻는 법 - 금감원이 지적하는 고유위험 평가 5가지 오류
---