핵심 내용
- ISA 240 개정판은 사기 위험을 위험으로 가정하는 "이중 추정(presumed fraud risk)" 모델을 도입합니다.
- 현행판에서는 위험이 증거에 기반해 합리적으로 식별되어야 합니다.
- 감사팀은 2025년 감사부터 개정판을 준비해야 합니다(2026년 12월 효력발생).
개정판과 현행판 비교
| 측면 | ISA 240 현행판 | ISA 240 개정판(2024) |
|------|---|---|
| 사기 위험 식별 | 증거 기반 식별: 위험은 발견된 위험 요인에 따라 결정 | 이중 추정: 현금 유출과 수익 조작은 항상 위험으로 가정하고, 반증 증거가 없으면 유지 |
| 경영진 지배구조 | 평가 선택사항(권고사항) | 평가 의무사항(문단 11(a)) |
| 문서화 | 식별된 위험과 이에 대한 대응 절차만 기록 | 위험으로 가정된 항목, 반증 증거 평가, 최종 판단을 모두 기록 |
| 현금 유출 관련 위험 | "비정상적 거래" 또는 "통제 약점"이 있을 때만 위험 고려 | 모든 현금 유출은 위험으로 가정(반증 증거 요건) |
| 수익 조작 관련 위험 | 위험 요인 식별 필요 | 모든 수익 주장은 위험으로 가정(반증 증거 요건) |
| 효력발생 | 2009년부터 적용(수정사항 미반영) | 2026년 12월 이후 |
실무에서 이 구분이 중요한 이유
현행 ISA 240에서는 감사팀이 사기 위험 요인을 찾기 위해 경영진 면담, 통제 평가, 회계 정책 검토 등을 수행합니다. 위험 요인이 명백하지 않으면 특정 거래 분류를 사기 위험으로 분류하지 않습니다. 예를 들어, 중견 제조업체가 매년 안정적인 현금 유출을 기록하고 통제가 작동 중이면, 현금 유출 자체가 사기 위험으로 플래그되지 않습니다.
ISA 240 개정판에서는 이 접근이 변합니다. 동일한 상황에서 현금 유출은 자동으로 위험으로 가정됩니다. 감사팀은 "이 현금 유출이 사기 위험인가?"가 아니라 "이 현금 유출이 사기 위험이 아닌 충분한 반증 증거가 있는가?"를 묻습니다. 반증 증거(상세 거래 검토, 수취인 인증, 경영진 회고적 진술)가 없으면 위험 지정이 유지됩니다.
이 전환은 감사 절차를 변경합니다. 계획 단계에서 사기 위험 목록이 더 길어지고, 반증 증거를 체계적으로 수집해야 하며, 최종 판단이 문서화되어야 합니다. 규제 당국의 검토에서도 "왜 이것을 위험으로 분류하지 않았는가?"에서 "왜 이것이 위험이 아닌가에 대한 증거가 있는가?"로 초점이 이동합니다.
산출 사례: 한진산업(가명) 유한회사
고객사: 한국 기반 자동차 부품 제조회사, 연매출 390억 원, IFRS 기준서 적용, 2025년 감사(현행판) 및 2027년 감사(개정판 적용)
2025년 감사(현행 ISA 240)
단계 1: 경영진 면담 및 위험 요인 평가
절차 노트: 감사 계획 조서에 "현금 유출 사기 위험: 해당 없음" 기록. 경영진 면담 문서, 내부 통제 설명서, 회계 정책 비교표를 참고로 첨부.
단계 2: 위험 대응 절차
결론: 현금 유출은 합리적으로 설명되며, 사기 위험과 무관하게 표준 실질적 절차로 테스트됨. ISA 240 문단 25-29에 따른 사기 위험 평가: 사기 위험 없음 확인.
2027년 감사(ISA 240 개정판)
단계 1: 모든 현금 유출을 이중 추정 사기 위험으로 분류
절차 노트: 감사 계획 조서에 "모든 현금 유출: 이중 추정 사기 위험" 기록. 가정 근거(ISA 240.11(b))와 반증 증거 평가 계획 명시.
단계 2: 반증 증거 수집 및 평가
절차 노트: 반증 증거 평가 조서 작성. 각 샘플 항목마다 "반증 증거: ○○" 기록. 최종 판단 "ISA 240.11(b) 이중 추정 위험: 반증 증거에 따라 해제" 또는 "유지"를 명시.
단계 3: 최종 판단
결론: 2025년과 2027년 감사는 같은 결론(사기 위험 없음)에 도달하지만, 2027년에는 "이중 추정에서 출발하여 반증 증거로 해제"한 경로를 거칩니다. 규제자가 검토하면 반증 증거 파일이 존재해야 합니다.
- 면담: CFO가 "현금 유출이 제조 원가 지급 및 공급망 채무 상환에 사용된다"고 보고
- 통제 평가: 은행 계좌 거래 승인 권한이 명확하고, CFO와 CEO 이중 승인 요구
- 회계 정책 검토: 지급 인식 정책은 발생주의, 변경사항 없음
- 결론: 현금 유출에서 사기 위험 요인 발견 안 함
- 월별 현금 유출 거래의 통제 테스트(승인 여부 10건 확인)
- 선택된 거래에 대한 상세 테스트(송장 3건, 수령증 확인)
- 월별 현금 잔액 변동 분석
- ISA 240 개정판 문단 11(b): 현금 유출과 관련된 모든 금액 주장은 위험으로 가정
- 상세 거래 검토: 월별 현금 유출의 30건 거래에 대해 송장, 수령증, 수취인 인증서 일치 확인
- 수취인 인증: 상위 3개 공급처에 대해 거래 존재 여부 직접 확인
- 경영진 진술: 회계담당자 및 CFO의 사기 없음 확인 진술서 수집
- 반증 증거가 충분하므로 이중 추정 위험 해제
- 그럼에도 현금 유출 테스트는 표준 실질적 절차로 진행(ISA 240 개정판은 위험으로 남아있으면 강화된 절차 요구)
감사인과 규제 당국이 자주 놓치는 부분
- 반증 증거의 범위: 많은 감사팀이 "통제가 작동한다"는 이유만으로 이중 추정을 해제하려 합니다. ISA 240 개정판은 더 직접적인 증거(거래별 세부 검토, 수취인 확인, 사기 관련 진술)를 기대합니다. 2024년 PCAOB 검토에서 "재계약 테스트만으로는 반증 증거가 불충분"이라고 지적한 사례가 있습니다.
- 경영진 지배구조 평가 문서화: 현행판에서는 선택사항이지만 개정판에서는 의무사항입니다. 많은 팀이 "경영진 지배구조 평가"라는 제목 없이 감사 계획 중 경영진 면담 기록만 남깁니다. 개정판에서는 경영진 지배구조 평가를 별도 조서로 명시해야 합니다. ISA 240.11(a)가 근거 문단입니다.
- 현금과 수익 외의 위험: 개정판은 현금 유출과 수익 조작을 이중 추정합니다. 그 외 자산(재고, 미수금)이나 부채에 대해서는 어떻게 할지에 대해 많은 감사팀이 불명확합니다. 답은 ISA 240.11: 현금과 수익만 이중 추정이고, 그 외는 위험 요인 기반 식별입니다.
관련 용어
- ISA 240 사기 위험: ISA 240의 핵심 개념. 사기 위험이 무엇이고 왜 감정적으로 판단하는지 설명합니다.
- 경영진 지배구조: ISA 240 개정판에서 평가 의무화된 영역. 경영진 지배구조가 사기 위험 평가와 어떻게 연결되는지 봅니다.
- 이중 추정 위험: ISA 240 개정판의 핵심 모델. 위험으로 가정하고 반증하는 논리를 설명합니다.
- 감사 위험: ISA 240 개정판의 변화가 감사 위험 모델 전체에 영향을 줍니다.
- 실질적 절차: ISA 240 개정판에서 사기 위험 대응 절차가 강화됩니다.
- 감사 증거: 반증 증거의 정의와 품질이 개정판의 핵심입니다.
ISA 240 평가 키트 사용
ISA 240 개정판 준비를 위해 ciferi의 ISA 240 평가 키트 를 사용하십시오. 이 도구는 현행판에서 개정판으로의 전환점 12가지를 단계별로 점검하고, 감사 계획 및 절차 문서화 템플릿을 제공합니다.