개정판과 원본의 병렬 비교
| 평가 측면 | ISA 315 원본(1997) | ISA 315 개정판(2019) |
|---|---|---|
| 리스크 식별 순서 | 통제 선행 평가 후 리스크 식별 | 리스크 선행 식별 후 통제 고려(수정 차 접근) |
| IT 환경 다루기 | 일반적 통제와 애플리케이션 통제로만 분류 | IT 환경 변화, 클라우드, 자동화, 사이버 위협을 명시적 리스크 요인으로 평가 |
| 부정 리스크 | 기타 리스크와 동등하게 취급 | 경영진 부정, 직원 횡령, 자산 유용을 감사인이 의심 없이 평가하도록 강화 |
| 거래 수준 리스크 | 선택적 평가 | ISA 315 개정판.34: 거래 수준에서 중대 왜곡표시 리스크를 식별할 것을 명시적으로 요구 |
| 외부 환경 | 통합 리스크로 간주 | ISA 315 개정판.12: 규제, 경제, 기술, 산업 변화를 개별 평가 영역으로 명시 |
| 문서화 요구 | 식별된 리스크와 대응 절차 기록 | ISA 315 개정판.32: 통제를 포함한 모든 평가 근거와 판단 과정 기록 |
개정판 채택이 감사 실무에 미친 영향
ISA 315 개정판이 2019년 발표되고 2021년부터 적용되면서 가장 큰 변화는 리스크 평가 시점과 범위입니다. 원본은 통제 환경을 먼저 이해하고 그에 따라 리스크를 판단했습니다. 그 결과 감사인들은 통제가 견고한 영역에서는 리스크를 낮게 평가하는 경향이 있었습니다. 개정판은 이를 반대로 설정했습니다. ISA 315 개정판.5는 감사인이 먼저 유의적인 왜곡표시 리스크를 식별해야 하며, 그 다음에 경영진이 설계한 통제가 그 리스크를 어느 정도 완화하는지를 평가하도록 합니다. 이는 통제가 없거나 부분적일 경우 감사인이 그 위험을 명시적으로 인정하고 문서화하도록 강제합니다.
정보기술 부분에서도 변화가 명확합니다. 원본의 IT 통제 평가는 대체로 일반적 통제(접근통제, 변경관리, 백업 등)에 집중했습니다. 개정판은 IT 환경 자체의 변화(클라우드 마이그레이션, 원장 자동화, API 기반 통합, 사이버 사건)를 감사인이 리스크로 식별하고 평가해야 한다고 명시합니다. ISA 315 개정판.A130-A142는 클라우드 환경, 핵심 애플리케이션 변경, 제3자 서비스 제공자 도입 등을 구체적으로 언급합니다.
부정 평가도 강화되었습니다. 원본은 ISA 240에서 부정을 별도로 다루도록 했으나, ISA 315 원본 내에서 부정을 리스크 식별의 직접적 영역으로 보지 않았습니다. 개정판은 ISA 315 개정판.25-26에서 감사인이 의심 없이(presumptively) 경영진 부정, 직원 횡령, 자산 유용 리스크를 평가해야 한다고 요구합니다. 이는 "통제가 견고하므로 부정 리스크는 낮다"는 일반화를 제거하고, 개별 거래와 잔액에서 부정 가능성을 구체적으로 검토하도록 합니다.
실무에서 개정판이 요구하는 것의 구체적 사례
사례: 솔래프 제조 회사, 2023년 감사
솔래프는 독일에 본사를 둔 정밀기계 부품 제조업체로, 연간 매출이 약 68억 원입니다. 원본 ISA 315를 기반으로 감사를 계획했던 감사인 A팀이 2023년 개정판으로 전환한 후 다음과 같은 변화를 경험했습니다.
Step 1: 거래 수준 리스크 식별
원본 감사에서 A팀은 "매출은 신용통제와 선적 문서 검증으로 통제된다"고 평가했습니다. 이를 바탕으로 매출에 대한 감사 리스크를 중간 수준으로 설정했습니다.
개정판 하에서 A팀은 먼저 거래 수준에서 부정 리스크를 식별했습니다. 솔래프의 매출 중 약 35%가 신용거래이고, 특히 4개의 대형 납품처와 장기 계약이 있습니다. ISA 315 개정판.34에 따라 A팀은 다음을 명시적으로 평가했습니다.
감사 조서 기록: ISA 315 개정판.32에 따라 A팀은 거래 수준 부정 리스크 평가 및 근거(경영 압박 상황, 정책 유연성, 승인 집중도)를 상세히 기록했습니다.
Step 2: IT 환경 변화 평가
원본 감사에서는 IT 통제를 "ERP 접근통제, 변경관리, 백업"으로 평가했습니다.
개정판에서 A팀은 솔래프가 전년도에 온프레미스 SAP에서 SAP 클라우드(S/4HANA Cloud)로 마이그레이션했다는 사실을 주요 리스크 요인으로 식별했습니다. ISA 315 개정판.A130을 참조하여 A팀은 다음을 평가했습니다.
감사 조서 기록: A팀은 마이그레이션 리스크 평가, 변경 검증, 클라우드 공급자 SLA 검증 절차를 문서화했습니다.
Step 3: 거래 단계 통제 재평가
원본에서는 "매출 통제는 신용 승인과 선적 검증"이라고만 기록했습니다.
개정판에서 A팀은 각 통제가 어느 거래 수준 리스크를 완화하는지 명시했습니다.
감사 조서 기록: ISA 315 개정판.32에 따라 각 거래 주장에 대한 설계 통제 평가, 리스크 완화 수준, 미완화 리스크에 대한 감사 절차를 분리하여 기록했습니다.
결론
원본과 개정판의 감사 작업량은 크게 다릅니다. 개정판은 거래 수준에서 더 많은 리스크를 식별하므로 감사 범위가 넓어집니다. 그러나 대신 감사인의 리스크 판단이 더 명확하고, 리스크-통제 연계가 구체적이며, 미완화 리스크에 대한 절차가 명시적입니다. 솔래프 사례에서는 원본 감사보다 개정판 감사에서 매출 표본 크기가 25% 증가했으나, 감사인의 리스크 판단 근거가 훨씬 견고해졌습니다.
- 경영진이 매출을 조기 인식하거나 반품 리스크를 과소 평가할 수 있는 유인이 있는가? (회사가 차기 분기 목표를 달성하려는 압박이 있음)
- 그 리스크가 실제로 발생할 수 있는가? (매출 인식 정책이 변경 가능하고, 거래 승인이 단일 인물에게 집중)
- 마이그레이션 후 급여, 고정자산, 매출 모듈의 설정이 올바른가?
- 클라우드 환경에서 승인 흐름이 온프레미스와 동일하게 작동하는가?
- 클라우드 공급자(SAP)의 유지보수 활동이 감사인의 통제 검증에 영향을 주는가?
- 신용 승인 통제: 존재하지 않는 거래 리스크 완화 (존재 주장)
- 선적 검증 통제: 매출 인식 시점 오류 완화 (절단 주장)
- 반품 정책 검증 통제: 부정 유인을 직접 다루지 않음 (미완화 리스크로 식별)
감리에서 지적하는 개정판 위반
국제 감리 자료에 따르면 ISA 315 개정판 적용 초기에 발견되는 위반은 다음 세 가지입니다.
1단계: 거래 수준 리스크 식별 누락
감사 팀이 통제 중심으로만 리스크를 평가하고, 거래 수준에서 부정 리스크를 명시적으로 식별하지 않는 경우입니다. ISA 315 개정판.34는 감사인이 중대한 왜곡표시 리스크를 거래 클래스 수준에서 식별해야 한다고 명시합니다. 많은 팀이 여전히 거래를 통제별로 분류하고 있으며, 부정 리스크를 별도 항목으로 문서화하지 않습니다.
2단계: IT 환경 변화 평가 부족
클라우드 마이그레이션, 자동화 확대, 제3자 서비스 제공자 도입 등이 리스크 요인으로 인식되지 않는 경우입니다. ISA 315 개정판.A130-A142에서 IT 환경 변화를 구체적으로 다루고 있으나, 많은 팀이 여전히 일반적 IT 통제("접근통제 있음", "변경관리 있음")만 평가합니다.
3단계: 미완화 리스크와 감사 절차의 연계 부족
감사인이 리스크는 식별했으나, 그것이 실제 감사 절차 규모로 반영되지 않거나, 미완화 리스크에 대한 명시적 절차가 없는 경우입니다. ISA 315 개정판.32는 리스크 평가와 이에 따른 대응 절차를 함께 기록할 것을 요구합니다.
원본에서 개정판으로 전환할 때의 실무 팁
ISA 315 개정판은 의무적이며, 대부분의 국가에서 2021년부터 적용되고 있습니다. 원본 감사 접근법에서 벗어나기 위한 세 가지 실무 팁입니다.
첫 번째, 리스크 식별 순서를 바꾸십시오. 통제를 먼저 이해하는 것이 아니라, 각 거래 클래스에서 "이것이 중대하게 잘못될 수 있는 방식"을 먼저 생각하십시오. 그 다음에 경영진이 그것을 완화하는 통제가 무엇인지 평가합니다. ISA 315 개정판.5-6은 이 순서를 명시합니다.
두 번째, IT 환경의 변화를 현장에서 직접 확인하십시오. "ERP가 있으므로 IT 리스크는 낮다"가 아니라, "작년에 클라우드로 마이그레이션했으므로 마이그레이션 리스크를 평가해야 한다"고 생각하십시오. ISA 315 개정판.A130-A142의 예시를 참고합니다.
세 번째, 조서에 리스크-통제-절차를 한 세트로 기록하십시오. 거래 수준 리스크 하나를 식별했으면, (1) 그 리스크는 무엇인가, (2) 경영진의 통제가 무엇인가, (3) 그 통제가 리스크를 어느 정도 완화하는가, (4) 감사인이 취할 절차는 무엇인가를 한 쪽에 기록합니다. ISA 315 개정판.32가 이를 요구합니다.