Definition
대부분 감사팀은 고유위험과 통제위험을 한 칸에 묶어 평가하고 결합위험으로 넘어간다. 조서에 "IR: 높음, CR: 중간" 두 줄만 남기면 감리에서 바로 걸린다. 평가 근거가 두 위험의 출처를 구분하지 못하기 때문이다.
두 위험의 정의와 출처
고유위험은 피감사회사가 통제 없이 운영된다면 어느 정도의 왜곡표시 가능성이 존재하는지를 묻는다. ISA 200.13(f)에서 정의되었고, ISA 315.4와 ISA 315.23은 감사인이 업종 특성, 거래 규모, 회계 처리 복잡성, 경영진의 전문성을 고려하여 평가하도록 요구한다. 고유위험은 통제 이전의 위험이다. 통제위험은 내부통제가 존재하고 작동하는 상황에서, 그 통제가 왜곡표시를 적시에 적발하고 시정할 수 없을 위험이다. ISA 315.4와 ISA 330.6은 감사인이 관련 통제를 이해하고 설계 및 운영 효과를 평가하도록 요구한다. 통제위험은 내부통제의 영역이다. 출처가 다르므로 감사 절차도 달라진다. 고유위험 감소를 위해 통제를 테스트하는 것은 논리적 오류다. 고유위험은 통제로 줄지 않는다. 통제가 그 위험을 적발할 수 있을 뿐이다. 반대로 통제위험은 통제 자체의 설계와 운영으로만 영향을 받는다. 판단이 시작되는 지점은 고유위험을 "업종 특성"으로 뭉뚱그리지 않고 계정 단위로 분해하는 순간이다. 같은 매출 계정이라도 수출 거래와 내수 거래의 고유위험이 다르고, 대리점 매출과 직거래 매출의 고유위험도 다르다. 거기서 통제 매핑이 달라진다.
실무에서 두 위험이 구분되는 방식
거래 처리 사이클로 보면 구분이 명확해진다. 매출 사이클에서 거래가 발생하고 기록되는 과정을 보자. ISA 315.24-26은 거래 유형별, 잔액 유형별로 왜곡표시 위험을 식별하도록 요구한다. 고유위험은 그 거래 자체의 특성에서 나온다. 신용 판매 거래는 매출 인식을 입증하기 어려울 때가 많다. 반품, 연동 할인, 조건부 판매가 섞여 있으면 더 그렇다. 이것이 고유위험이다. 신용 판매의 특성 때문에 존재한다. 그 신용 판매 거래를 처리하는 시스템과 사람이 통제다. 승인 절차가 있고, 이중 점검(dual control)이 있고, 자동화된 유효성 검사(validation)가 있다면 통제들이 왜곡표시를 적발할 확률이 높다. 통제가 약하거나 없다면 신용 판매 거래의 왜곡표시는 적발되지 않을 가능성이 높다. 이것이 통제위험이다. 같은 거래라도 감사인의 접근은 다르다. 고유위험이 높으면 그 거래 유형에 더 높은 수준의 증거를 요구한다. 통제위험이 높으면 통제 의존도가 낮아지므로 실질 절차의 범위를 넓혀야 한다.
실무 사례: 한국 제조업체의 매출 인식
국내 중견 제조업체 유진기계공업(주)를 보자. 매출액 680억 원, IFRS 적용, 수출 매출이 55%. 고유위험 평가: 유진기계공업은 기계류 수주 제조업이다. 고객 주문별로 납기, 검수 조건, 부분 인도 관행이 다르다. 일부 계약에는 고객의 현장 테스트(설치 후 인수 테스트)가 포함된다. 한국 IFRS와 국제 IFRS 간에 수익 인식 시점이 미묘하게 다를 수 있다. 이런 특성들 때문에 매출 거래는 고유위험이 높다. 통제가 없어도 위험은 존재한다. 감사인이 취해야 할 조치: 매출 인식 정책을 재검증하고, 표본 크기를 크게 설정하고, 기간 말 주변 거래를 중점 검토한다. (ISA 330.6 참고) 조서 기재: "유진기계공업 매출은 주문 유형별로 인식 시점이 달라짐. 수주 제조의 특성상 고유위험 높음으로 판단. 감사인이 직접 거래 속성을 검증하고, 표본 크기 n=40으로 설정. 월별 추세 분석 및 기간 말 거래 100% 재검토 계획." 통제위험 평가: 유진기계공업이 매출 거래를 어떻게 통제하는가가 문제다. ERP(경영관리시스템)가 있고, 매출 승인 권한이 명확하고, 인수증과 송장이 대사되는가. 월말 마감 전에 미인식 거래가 적발되는 통제 절차가 있는가. 통제가 잘 설계되어 있고 운영되고 있다면 통제위험은 낮다. 이 경우 감사인은 통제 의존도를 높일 수 있고 테스트 샘플을 줄일 수 있다. 반대로 통제가 약하거나 부재하다면 감사인은 통제 의존도를 낮추고 실질 절차를 늘려야 한다. 조서 기재: "유진기계공업의 매출 통제: (1) ERP 시스템에서 수주 → 주문 접수 → 납품 → 송장 → 매출 인식의 워크플로우가 자동화됨. (2) 월말 전에 마감 전 조정 보고서로 미인식 거래 식별. (3) 감사인이 통제 운영 샘플 10건 검증함. 설계 효과성: 높음. 운영 효과성: 높음. 따라서 통제위험 낮음으로 평가. 실질 절차 샘플 감소 가능."
검토자와 실무자가 헷갈리는 부분
Tier 1: 규제 감시 지적 금감원 회계감리실의 감리 결과를 보면, 감사 파일에서 고유위험과 통제위험의 평가가 명확히 구분되지 않는 사례가 반복적으로 나온다. 금감원: "위험평가 문서상 고유위험과 통제위험의 평가 근거가 분리되어 있지 않음." 실무에서 이것이 의미하는 것은 조서가 너무 얇다는 뜻이다. 고유위험이 높은 거래에 통제에만 의존한 후 통제 테스트가 불충분하면 증거 부족 지적으로 이어진다. ISA 315.28과 ISA 330.6은 두 위험의 평가와 대응을 분리할 것을 요구한다. Tier 2: 표준 기반 실무 오류 ISA 315와 ISA 330은 위험을 평가하고 그에 맞는 절차를 설계하도록 요구한다. 가장 흔한 오류 네 가지를 보자. 1. 고유위험이 높은데 통제만 테스트하는 경우: 감사인이 거래의 고유 복잡성(복합 계약, 해외 거래, 새로운 회계 표준 적용)을 인정하면서도, 실질 절차 없이 통제 테스트만 한다. ISA 330.6은 고유위험과 통제위험을 함께 고려하여 감사 절차를 설계하도록 요구한다. 2. 통제위험이 높은데 표본 크기를 줄이는 경우: 통제가 약하거나 운영되지 않는데(통제위험 높음), 감사인이 이를 인정하지 않고 표본을 줄인다. ISA 330.7은 통제에 의존할 수 없으면 실질 절차를 확대하도록 명시한다. 3. 위험 평가를 문서화하지 않는 경우: 고유위험과 통제위험을 구두로만 논의하고 평가 기초를 파일에 기재하지 않는다. ISA 315.11과 ISA 315.27은 평가 과정을 문서화하도록 요구한다. 4. 업종 기본값으로 처리하는 경우: "제조업은 고유위험 중간"처럼 업종 기본값을 넣고 계정별 분해 없이 넘어간다. ISA 315 개정은 이런 일반화를 걸러내도록 요구한다.
A파트너와 B파트너는 여기서 갈린다
수주 매출의 진행률 인식을 두고 경험 많은 파트너들이 갈린다. A파트너는 고유위험을 "높음"으로 고정하고 통제 결과와 무관하게 실질 절차를 최대로 가져간다. 근거는 진행률 추정 자체에 경영 판단이 들어가므로 통제가 아무리 잘 작동해도 추정의 불확실성을 제거할 수 없다는 것. B파트너는 통제 운영 효과성이 2년 연속 입증되면 고유위험을 "중간"으로 재평가하고 실질 절차를 축소한다. 근거는 ISA 315.31의 통합 평가가 누적 증거를 허용하기 때문. 품관실은 A파트너 방식이 방어적으로 유리하다고 본다. 그러나 수수료 예산이 빠듯한 현장에서는 B파트너 방식이 유지된다.
현장 압박이 만드는 구조
왜 팀들이 두 위험을 섞어서 평가하는가. 시간 예산이 답이다. ISA 315 개정은 위험 분해를 더 세밀하게 요구한다. 그러나 감사 수수료 덤핑과 인력 부족(특히 로컬 법인)은 위험평가에 투입할 시간을 오히려 줄였다. 인차지 교체도 구조적 원인이다. 시즌 중간에 인차지가 바뀌면 전임자가 IR/CR을 어떻게 평가했는지 재구성하기 어려워 "작년과 동일"로 가기 쉽다. 방법론 템플릿이 IR과 CR을 같은 셀에서 묻는 경우도 있다. 사용자가 분리된 판단을 할 수 있도록 설계되지 않은 서식이다. 결과는 감리 시즌에 돌아온다.
두 위험을 올바르게 구분하는 방법
업종과 거래 특성만 고려하여 고유위험을 먼저 판단한다. 그 다음 경영진과 감사팀이 설계한 통제를 평가하여 통제위험을 판단한다. 이 순서는 ISA 315 개정(2019)에서 강화되었다. 단계 1: 고유위험 평가 (ISA 315.24-26) 거래 유형별, 잔액 유형별로 왜곡표시 위험을 식별한다. 고객 신용도, 상품 복잡성, 계약 조건, 해외 거래, 현지 규제 요구사항을 고려한다. 경영진의 통제 능력은 아직 고려하지 않는다. 조서 기재: "거래 유형: 신용 판매 거래. 고유 복잡성 요소: (1) 반품 조건부 판매 포함, (2) 수출 거래는 환율 변동 노출, (3) 고객별 할인 정책 상이. 결론: 고유위험 높음." 단계 2: 통제 식별 (ISA 315.28-32) 경영진이 고유위험에 대응하기 위해 설계한 통제를 식별한다. 통제 목표, 통제 활동, 통제 주체를 명시한다. 조서 기재: "통제: 매출 승인 절차. 통제 주체: 영업관리팀장. 통제 활동: 신용 한도 초과 거래는 지점장 승인. 기간 말 미인식 거래는 마감 전 검토." 단계 3: 통제 운영 효과성 평가 (ISA 330.8) 통제가 설계된 대로 운영되는지 확인한다. 절차 테스트(TOC)를 수행한다. 조서 기재: "통제 테스트: 고액 거래 10건 선택, 지점장 승인증 확인. 결과: 10건 모두 승인증 확인됨. 운영 효과성: 높음." 단계 4: 감사 절차 설계 (ISA 330.6-7) 고유위험과 통제위험의 결합으로 수용 위험(acceptable risk)을 결정한다. 그에 따라 실질 절차의 범위, 표본 크기, 검토 방식을 정한다. ISA 530.05와 ISA 520.A5는 이 결정에 기반한 표본 설계와 분석적 절차 설계를 요구한다. 조서 기재: "고유위험: 높음. 통제위험: 낮음(통제 운영 효과성: 높음). 수용 위험: 중간. 거래 처리 사이클: 신용 판매. 표본 크기: n=35(ISA 530 판정 모형 기반). 검토 방식: 거래 내용 검증(계약서 대사) + 금액 검증(계산 재검수)."
고유위험 vs 통제위험의 관계 표
| 항목 | 고유위험 | 통제위험 |
|---|---|---|
| 정의 | 통제 없을 때 왜곡표시 가능성 | 통제가 왜곡표시를 적발 못할 가능성 |
| 출처 | 거래 특성, 업종, 규제, 회계 복잡성 | 내부통제의 설계 및 운영 |
| 감소 방법 | 감사 절차로 감소 불가 (위험 자체) | 통제 개선으로 감소 |
| 평가 문서 | ISA 315.24-26 | ISA 315.28-32, ISA 330.8 |
| 감사 대응 | 실질 절차 확대 (표본 ↑) | 통제 의존도 결정 (표본 ↑ 또는 ↓) |
| 혼동 시 결과 | 증거 부족 또는 과다 테스트 | 위험 저평가로 인한 감리 지적 |
실제 사례: 두 위험의 혼동이 초래한 결과
금감원 감리 자료를 바탕으로, 두 위험을 혼동했을 때 발생한 사례다. 케이스: 건설 하도급 계약의 매출 인식 감사팀 평가: "건설 하도급 계약이므로 고유위험이 높다. 그러나 경영진이 완공 기준으로 매출을 인식하는 정책을 수립했고, 월별 공사 진행률을 검수하는 통제가 있다. 통제가 있으므로 고유위험을 낮게 평가하고 표본 5건만 선택해서 테스트하자." 결과: ISA 330.6 위반. 고유위험이 높으면 통제가 있더라도 실질 절차의 범위는 축소할 수 없다. 통제가 운영되지 않으면 증거가 더 부족해진다. 지적 사항: "고유위험(높음) + 통제위험(중간) 결합 시 수용 위험이 낮으므로, 매출 거래는 최소 표본 20건 이상에서 공사 진행률 재계산과 기간 말 미인식 거래 확인 필요." 올바른 접근: 고유위험(높음)은 감사인의 실질 절차 범위를 결정한다. 통제위험(중간)은 그 통제에 얼마나 의존할 것인지를 결정한다. 둘 다 높으면 실질 절차와 통제 테스트 모두 확대한다.
관련 용어
- 중요성 판단: ISA 320은 중요성과 성과중요성을 설정하는데, 고유위험과 통제위험의 평가 후에 이루어져야 한다. - 감사증거: ISA 500은 감사증거의 적절성과 충분성을 요구하며, 고유위험과 통제위험 평가에 따라 결정된다. - 감사위험 모형: ISA 200.A37은 감사위험 = 고유위험 × 통제위험 × 적발위험 관계를 설명한다. - 통제 유효성: ISA 330.8은 통제의 설계 유효성(design effectiveness)과 운영 유효성(operating effectiveness)을 구분하여 평가하도록 요구한다.
관련 ciferi 리소스
- ISA 315 위험 식별 및 평가 체크리스트: 고유위험과 통제위험을 단계별로 평가하는 실무 도구 - ISA 330 감사 절차 설계 가이드: 위험 평가에 따른 절차 설계 방법론 ---