두 가지 위험의 정의와 출처

고유위험은 감사 대상 기업이 통제 없이 운영된다면 어느 정도의 왜곡표시 가능성이 존재하는지를 묻습니다. ISA 200.13(f)에서 정의되었으며, ISA 315.4와 ISA 315.23은 감사인이 업종 특성, 거래 규모, 회계 처리 복잡성, 경영진의 전문성을 고려하여 평가하도록 요구합니다. 고유위험은 통제 이전의 위험입니다.
통제위험은 내부통제가 존재하고 작동하는 상황에서, 그 통제가 왜곡표시를 적시에 적절히 적발하고 시정할 수 없을 위험입니다. ISA 315.4와 ISA 330.6은 감사인이 관련 통제를 이해하고 그 설계 및 운영 효과를 평가하도록 요구합니다. 통제위험은 순전히 내부통제의 영역입니다.
이 둘의 출처가 다르므로, 감사 절차도 다릅니다. 고유위험 감소를 위해 통제를 테스트하는 것은 논리적 오류입니다. 고유위험은 통제로 감소하지 않습니다. 다만 통제가 그 위험을 적발할 수 있습니다. 반대로 통제위험은 통제 그 자체의 설계와 운영으로만 영향을 받습니다.

실무에서 두 가지가 구분되는 방식

거래 처리 사이클에서 보면 구분이 더 명확합니다. 매출 사이클에서 거래가 발생하고 기록되는 과정을 생각해보십시오. ISA 315.24-26은 감사인이 거래 유형별, 잔액 유형별로 왜곡표시 위험을 식별하도록 요구합니다.
고유위험은 그 거래 자체의 특성에서 나옵니다. 예를 들어 신용 판매 거래는 매출이 제대로 인식되었는지 입증하기 어려울 수 있습니다. 특히 반품, 반대급부(연동 할인), 조건부 판매가 혼재되어 있으면 더욱 그러합니다. 이것이 고유위험입니다. 신용 판매의 특성 때문에 발생합니다.
그 신용 판매 거래를 처리하는 시스템과 사람이 통제입니다. 승인 절차가 있고, 이중 점검(dual control)이 있고, 자동화된 유효성 검사(validation)가 있다면, 이 통제들이 왜곡표시를 적발할 확률이 높습니다. 통제가 약하거나 없다면, 신용 판매 거래의 왜곡표시는 적발되지 않을 위험이 높습니다. 이것이 통제위험입니다.
같은 거래이지만, 감사인의 접근은 다릅니다. 고유위험이 높으면, 그 거래 유형에 대해 더 높은 수준의 증거를 요구합니다. 통제위험이 높으면, 통제 의존도가 낮아지므로, 실질 절차의 범위를 넓혀야 합니다.

실무 사례: 한국 제조업체의 매출 인식

국내 중견 제조업체 유진기계공업(주)를 생각해보십시오. 매출액 680억 원, IFRS 적용, 수출 매출이 55%.
고유위험 평가:
유진기계공업은 기계류 수주 제조업입니다. 고객 주문별로 납기, 검수 조건, 부분 인도 관행이 다릅니다. 일부 계약에는 고객의 현장 테스트(설치 후 인수 테스트)가 포함됩니다. 한국 IFRS와 국제 IFRS 간에 수익 인식 시점이 미묘하게 다를 수 있습니다. 이런 특성들 때문에 매출 거래는 고유위험이 높습니다. 통제가 없어도 이런 위험은 존재합니다.
감사인이 취해야 할 조치: 매출 인식 정책을 재검증하고, 표본 크기를 크게 설정하고, 기간 말 주변 거래를 중점 검토합니다. (ISA 330.6 참고)
감사 조서 기재: "유진기계공업 매출은 주문 유형별로 인식 시점이 달라짐. 수주 제조의 특성상 고유위험 높음으로 판단. 감사인이 직접 거래 속성을 검증하고, 표본 크기 n=40으로 설정(팔팔 판정). 월별 추세 분석 및 기간 말 거래 100% 재검토 계획."
통제위험 평가:
유진기계공업이 매출 거래를 어떻게 통제하는가가 문제입니다. 경영관리시스템(ERP)이 있고, 매출 승인 권한이 명확하고, 인수증과 송장이 대사되는가? 월말 마감 전에 미인식 거래가 적발되는 통제 절차가 있는가?
만약 통제가 잘 설계되어 있고 운영되고 있다면, 통제위험은 낮습니다. 이 경우 감사인은 통제에 대한 의존도를 높일 수 있으며, 테스트 샘플을 줄일 수 있습니다. 반대로 통제가 약하거나 부재하다면, 감사인은 통제 의존도를 낮추고 실질 절차를 늘려야 합니다.
감사 조서 기재: "유진기계공업의 매출 통제: (1) ERP 시스템에서 수주 → 주문 접수 → 납품 → 송장 → 매출 인식의 워크플로우가 자동화됨. (2) 월말 전에 마감 전 조정 보고서로 미인식 거래 식별. (3) 감사인이 통제 운영 샘플 10건 검증함. 설계 효과성: 높음. 운영 효과성: 높음. 따라서 통제위험 낮음으로 평가. 실질 절차 샘플 감소 가능."

검토자와 실무자가 헷갈리는 부분

Tier 1: 규제 감시 지적
한국공인회계사회(KoICA)의 품질관리 검토(Quality Review) 결과에 따르면, 감사 파일에서 고유위험과 통제위험의 평가가 명확히 구분되지 않는 경우가 발견됩니다. 특히 고유위험이 높은 거래에 대해 감사인이 통제에만 의존하려 한 후, 통제 테스트가 불충분하면 증거 부족 지적을 받습니다. ISA 315.28과 ISA 330.6은 이 둘의 평가와 대응을 명확히 분리할 것을 요구합니다.
Tier 2: 표준 기반 실무 오류
ISA 315와 ISA 330은 위험을 평가하고 그에 맞는 절차를 설계하도록 요구합니다. 가장 흔한 오류는 다음과 같습니다:

  • 고유위험이 높은데 통제만 테스트하는 경우: 감사인이 거래의 고유 복잡성(예: 복합 계약, 해외 거래, 새로운 회계 표준 적용)을 인정하면서도, 그에 대응하는 실질 절차 없이 통제 테스트만 하는 경우. ISA 330.6은 고유위험과 통제위험을 함께 고려하여 감사 절차를 설계하도록 요구합니다.
  • 통제위험이 높은데 표본 크기를 줄이는 경우: 반대로 통제가 약하거나 운영되지 않는데(통제위험 높음), 감사인이 이를 인정하지 않고 표본 크기를 줄이는 경우. ISA 330.7은 통제에 의존할 수 없으면 실질 절차를 확대하도록 명시합니다.
  • 위험 평가를 문서화하지 않는 경우: 고유위험과 통제위험을 구두로만 논의하고, 평가 기초를 파일에 기재하지 않는 경우. ISA 315.11과 ISA 315.27은 평가 과정을 문서화하도록 요구합니다.

두 가지를 올바르게 구분하는 방법

먼저 업종과 거래 특성만 고려하여 고유위험을 판단합니다. 그 다음 경영진과 감사팀이 설계한 통제를 평가하여 통제위험을 판단합니다. 이 순서는 ISA 315 개정(2019)에서 강화되었습니다.
단계 1: 고유위험 평가 (ISA 315.24-26)
거래 유형별, 잔액 유형별로 왜곡표시 위험을 식별합니다. 고객 신용도, 상품 복잡성, 계약 조건, 해외 거래, 현지 규제 요구사항 등을 고려합니다. 경영진의 통제 능력은 아직 고려하지 않습니다.
감사 조서 기재: "거래 유형: 신용 판매 거래. 고유 복잡성 요소: (1) 반품 조건부 판매 포함, (2) 수출 거래는 환율 변동 노출, (3) 고객별 할인 정책 상이. 결론: 고유위험 높음."
단계 2: 통제 식별 (ISA 315.28-32)
경영진이 고유위험에 대응하기 위해 설계한 통제를 식별합니다. 통제 목표, 통제 활동, 통제 주체를 명시합니다.
감사 조서 기재: "통제: 매출 승인 절차. 통제 주체: 영업관리팀장. 통제 활동: 신용 한도 초과 거래는 지점장 승인. 기간 말 미인식 거래는 마감 전 검토."
단계 3: 통제 운영 효과성 평가 (ISA 330.8)
통제가 설계된 대로 운영되는지 확인합니다. 절차 테스트(테스트 오브 컨트롤, TOC)를 수행합니다.
감사 조서 기재: "통제 테스트: 고액 거래 10건 선택, 지점장 승인증 확인. 결과: 10건 모두 승인증 확인됨. 운영 효과성: 높음."
단계 4: 감사 절차 설계 (ISA 330.6-7)
고유위험과 통제위험의 결합으로 수용 위험(acceptable risk)을 결정합니다. 그에 따라 실질 절차의 범위, 표본 크기, 검토 방식을 정합니다. ISA 530.05와 ISA 520.A5는 이 결정에 기반한 표본 설계와 분석적 절차 설계를 요구합니다.
감사 조서 기재: "고유위험: 높음. 통제위험: 낮음(통제 운영 효과성: 높음). 수용 위험: 중간. 거래 처리 사이클: 신용 판매. 표본 크기: n=35(ISA 530 판정 모형 기반). 검토 방식: 거래 내용 검증(계약서 대사) + 금액 검증(계산 재검수)."

고유위험 vs 통제위험의 관계 표

| 항목 | 고유위험 | 통제위험 |
|------|---------|--------|
| 정의 | 통제 없을 때 왜곡표시 가능성 | 통제가 왜곡표시를 적발 못할 가능성 |
| 출처 | 거래 특성, 업종, 규제, 회계 복잡성 | 내부통제의 설계 및 운영 |
| 감소 방법 | 감사 절차로 감소 불가 (위험 자체) | 통제 개선으로 감소 |
| 평가 문서 | ISA 315.24-26 | ISA 315.28-32, ISA 330.8 |
| 감사 대응 | 실질 절차 확대 (표본 ↑) | 통제 의존도 결정 (표본 ↑ 또는 ↓) |
| 혼동 시 결과 | 증거 부족 또는 과다 테스트 | 위험 저평가로 인한 감시 지적 |

실제 사례: 두 가지 혼동이 초래한 결과

한국공인회계사회의 검토 파일을 바탕으로, 두 가지를 혼동했을 때 발생한 사례입니다.
케이스: 건설 하도급 계약의 매출 인식
감사팀이 평가: "건설 하도급 계약이므로 고유위험이 높다. 그러나 경영진이 완공 기준으로 매출을 인식하는 정책을 수립했고, 월별 공사 진행률을 검수하는 통제가 있다. 통제가 있으므로 고유위험을 낮게 평가하고 표본 5건만 선택해서 테스트하자."
결과: ISA 330.6 위반. 고유위험이 높으면, 통제가 있더라도 실질 절차의 범위는 축소할 수 없습니다. 통제가 운영되지 않으면 더욱 증거가 부족합니다. 검토 시 지적 사항: "고유위험(높음) + 통제위험(중간) 결합 시 수용 위험이 낮으므로, 매출 거래는 최소 표본 20건 이상에서 공사 진행률 재계산과 기간 말 미인식 거래 확인 필요."
올바른 접근: 고유위험(높음)은 감사인의 실질 절차 범위를 결정합니다. 통제위험(중간)은 그 통제에 얼마나 의존할 것인지를 결정합니다. 둘 다 높으면, 실질 절차와 통제 테스트 모두 확대합니다.

관련 용어

  • 중요성 판단: ISA 320은 중요성과 성과중요성을 설정하는데, 이는 고유위험과 통제위험의 평가 후에 이루어져야 합니다.
  • 감사증거: ISA 500은 감사증거의 적절성과 충분성을 요구하는데, 이는 고유위험과 통제위험 평가에 따라 결정됩니다.
  • 감사위험 모형: ISA 200.A37은 감사위험 = 고유위험 × 통제위험 × 적발위험 관계를 설명합니다.
  • 통제 유효성: ISA 330.8은 통제의 설계 유효성(design effectiveness)과 운영 유효성(operating effectiveness)을 구분하여 평가하도록 요구합니다.

관련 ciferi 리소스

---

실무 감사 인사이트를 매주 받아보세요.

시험 이론이 아닙니다. 감사를 빠르게 만드는 실질적인 내용입니다.

290개 이상의 가이드 게시20개 무료 도구현직 감사인이 구축

스팸 없음. 저희는 감사인이지 마케터가 아닙니다.