ISA가 작동하는 방식
ISA는 감사인이 합리적 확신(reasonable assurance)을 근거로 의견을 형성하고 보고하는 과정 전체를 규정합니다. 감사의 기본 원칙부터 현장 감사, 종료 단계 평가, 감사보고서 작성까지 모든 단계를 포함합니다.
가장 광범위하게 인용되는 표준은 ISA 320(중요성), ISA 240(부정행위), ISA 315(위험 식별 및 평가), ISA 330(확인된 위험에 대한 감사인의 대응)입니다. 이들은 감사 계획과 위험 평가의 골격을 형성합니다. ISA 700(독립 감사인의 감사보고서)은 의견 형성과 보고의 기준을 제시합니다.
ISA의 구조는 감사 과정이 선형적이지 않음을 인식합니다. 계획 단계에서 위험을 식별하고, 감시 절차를 통해 그 위험을 재평가하고, 최종 분석에서 발견사항을 통합합니다. 각 단계는 이전 단계의 결과에 영향을 받으며, ISA는 이러한 반복적 성격을 다루는 방법을 규정합니다.
ISA는 "합리적 확신" 수준의 감시를 제공합니다. 이는 절대적 확신이 아닙니다. ISA 200.A18에 따르면 감사인이 감시 위험(audit risk)을 수용 가능 수준 이하로 감소시키는 것을 의미합니다. 수용 가능 감시 위험은 ISA 320의 중요성, ISA 315의 위험 평가, ISA 330의 반응 설계에 의해 구동됩니다.
실무 사례: 테크소프 주식회사
클라이언트: 한국 소프트웨어 개발사, 2024 회계연도, 매출 73억 원, K-IFRS 적용 기업, 3명의 감시인.
1단계: 감사 계획: ISA 300
감시 팀장이 중요성을 설정합니다(ISA 320.A19). 매출의 5% = 3,650만 원을 중요성으로 결정합니다.
문서화: 중요성 계산 워크시트에 벤치마크 선택(매출), 이유(소프트웨어 산업 표준), 최종 금액을 기재합니다.
2단계: 위험 식별: ISA 315
ISA 315.25에 따라 실체 수준과 주장 수준 위험을 식별합니다. 소프트웨어 라이선스 수익의 인식 시점이 부정행위 위험으로 표시됩니다. 다년도 계약에서 매월 이행 의무 충족 시점이 모호합니다.
문서화: 위험 기록(risk register)에 위험의 성질, 관련 주장(수익 인식, 완성도), 통제 환경 평가를 기재합니다.
3단계: 감사 대응: ISA 330
ISA 330.6에 따라 확인된 위험에 대한 감사 절차를 설계합니다. 수익 위험의 경우, 연말 전 30일 동안의 계약 10개를 선택하여 계약서, 이행 증거(발송일), 송장을 확인합니다. 각 계약의 이행 의무 식별을 문서화합니다.
문서화: 분석적 절차(analytical procedures) 워크시트에 각 샘플의 계약 번호, 거래 금액, 이행 시점, 수익 인식 기간을 기재합니다.
4단계: 종료 단계 평가: ISA 700
ISA 700.11-12에 따라 포괄적 검토를 수행합니다. 수집된 증거가 충분하고 적절한지, 계획된 감시 위험이 달성되었는지, 주요 감시 판단에 변동이 있는지 평가합니다.
문서화: 종료 체크리스트(completion checklist)에 각 주장별 충분성 평가, 부정행위 지표 재평가, 계속기업 재검토를 기재합니다.
결론: 충분한 증거 수집으로 의견을 형성할 수 있으며, 제한 없는 감사보고서를 발행합니다.
감시인과 규제기관이 놓치는 부분
Tier 1: 규제 지적
한공회(한국공인회계사회)의 2024년 품질관리 검사 보고서에 따르면 ISA 315 적용 시 위험 식별 단계에서 미세 위험(pervasive risk)과 거래 수준 위험을 구분하지 않는 경우가 자주 나타납니다. ISA 315.21-24는 두 수준을 모두 식별하도록 요구합니다. 이를 혼동하면 감사 대응의 설계가 과도하거나 불충분할 수 있습니다.
Tier 2: 표준 적용 오류
ISA 230(감사 문서화)의 A8에 따르면 감사 절차 수행 기간을 문서화해야 합니다. 많은 팀이 절차의 결과만 기록하고 수행 시기를 누락합니다. 이는 후속 감사나 규제 검사에서 절차가 실제로 정시에 수행되었는지 증명할 수 없게 만듭니다.
Tier 3: 실무 격차
ISA 320.A5는 중요성을 "단순히 정량적 임계값이 아니라 질적 요소도 포함"한다고 규정합니다. 그러나 실무에서는 중요성을 단순히 매출의 5% 또는 이익의 10% 공식으로만 계산하는 경우가 흔합니다. 특이 거래, 규제 위반, 관리진 보상 구조는 금액이 작아도 중요할 수 있습니다. 이러한 질적 판단을 문서화하는 팀은 소수입니다.
ISA 채택 구조: 국가별 접근
ISA는 IFAC 회원국이 채택합니다. 그러나 채택 방식은 세 가지입니다.
직접 채택 (Direct Adoption)
140개 이상 국가가 ISA를 수정 없이 채택합니다. 덴마크, 폴란드, 핀란드, 노르웨이 등이 포함됩니다. 이들은 ISA를 국내 언어로 번역하고 해당 국가의 감사법에 포함시킵니다.
겹침 채택 (Overlay Adoption)
호주(ASA), 영국(ISA(UK)), 홍콩(HKSA), 네덜란드(NV COS), 스페인(NIA-ES), 이탈리아(ISA Italia) 등은 ISA를 채택하되 국내 요구사항을 추가합니다. 예를 들어 영국의 ISA(UK) 700은 ISA 700을 따르지만 영국 회사법의 추가 공시 요건을 포함합니다. 네덜란드의 NV COS는 ISA를 기반으로 하면서 네덜란드 감사법(WTA) 준수를 강화합니다.
국가별 기준 (National Standards Based on ISA)
한국의 감사기준서(KSA)는 ISA를 기반으로 하지만 한국의 상법, 증권거래법, 세법을 반영하여 발전시켰습니다. 마찬가지로 스페인의 NIA-ES는 ISA 구조를 따르지만 스페인 감시법(Ley de Auditoría) 요구사항을 포함합니다.
ISA와 ISQM의 관계
2024년부터 ISA와 함께 ISQM(품질관리 기준)이 적용됩니다. ISA 220(이전 표준)은 감사 과제 수준의 품질관리(engagement-level QC)를 규정했습니다. 새로운 ISQM 1(감사법인 수준) 및 ISQM 2(과제 수준)는 품질관리를 더 체계적으로 분리합니다.
ISA 200.15는 감사인이 ISQM 1에 따라 수립된 품질관리 시스템 내에서 작동해야 한다고 규정합니다. 즉, 개별 감시인의 ISA 준수는 감사법인의 품질 통제 환경과 분리될 수 없습니다.
ISA 버전 관리: 개정과 유효 시작일
ISA는 정기적으로 개정됩니다. 가장 최근의 주요 개정은:
ISA 240(부정행위, 2024년 개정)
부정행위 위험 요소를 재구성하고, 경영진 부정행위와 종업원 부정행위를 구분하여 규정합니다. 유효 시작일 2026년 12월 15일.
ISA 570(계속기업, 2024년 개정)
계속기업 평가 절차를 더 명확하게 순서대로 규정합니다. 먼저 모든 사건/상황을 식별한 후, 경영진의 완화 계획의 실현 가능성을 평가합니다. 유효 시작일 2026년 12월 15일.
ISA 315(위험 식별 및 평가, 2019년 개정)
위험의 스펙트럼 접근을 도입하여 중요한 위험(significant risk)의 정의를 명확히 했습니다. 이 버전은 이미 유효합니다.
국가별 채택 일정은 다릅니다. 한국은 한공회의 기준서 개정 절차를 거쳐 채택하므로, IFAC 공시 후 1~2년 이후 KSA로 반영됩니다. 스페인의 ICAC는 유럽연합 지침을 거쳐 NIA-ES를 개정합니다.
ISA 기준서 번호 체계
ISA 번호는 주제별로 100 단위로 그룹화됩니다.
- ISA 200~299: 감사의 기본 원칙 (ISA 200 감사의 기본 목표와 일반 원칙, ISA 210 감사 과제의 합의 조건, ISA 220 품질 통제(구 기준), ISA 230 감사 문서화)
- ISA 300~499: 위험 평가 및 대응 (ISA 300 감사 계획, ISA 315 위험 식별 및 평가, ISA 320 중요성, ISA 330 확인된 위험에 대한 대응, ISA 402 감사법인이 서비스 조직을 이용하는 경우의 고려사항)
- ISA 500~599: 감시 증거 (ISA 500 감시 증거, ISA 505 외부 확인, ISA 510 초기 감사에서의 시작 잔액, ISA 520 분석적 절차, ISA 530 표본 추출, ISA 540 회계 추정)
- ISA 600~699: 특수 상황 (ISA 600 그룹 감사, ISA 610 내부 감시 활용)
- ISA 700~799: 감시보고 (ISA 700 독립 감사인의 감사보고서, ISA 701 주요 감사 사항, ISA 705 의견 수정, ISA 706 기타 사항 문단과 기타 사항 문단)
- ISA 800~899: 특수 영역 (ISA 800 특수 목적 틀에 대한 감사보고서, ISA 805 개별 재무제표 및 특정 항목 감사)
ISA의 국제적 지위와 개발 과정
ISA는 IFAC 산하 IAASB(International Auditing and Assurance Standards Board)가 개발합니다. IAASB는 감사, 보증, 관련 서비스 기준을 공개 초안(exposure draft) 과정을 거쳐 발행합니다.
국가가 ISA를 채택하거나 수정할 때는 IFAC의 "Due Process"를 준수합니다. 이는 이해관계자 협의, 공개 의견 수렴, 규제 영향 평가를 포함합니다. 스페인의 ICAC나 네덜란드의 NBA는 이 과정을 통해 국내 판본을 발행합니다.
PCAOB(미국), FRC(영국), AFM(네덜란드) 등 주요 규제기관은 감시 기준서를 공개하며, 이들은 ISA를 기반으로 하거나 ISA와 평행하게 발전합니다. 예를 들어 PCAOB의 AS(Auditing Standard) 1001은 ISA 200과 같은 원칙을 다루지만 PCAOB 표준입니다.
ISA와 IFRS의 관계
ISA는 감사 절차를 규정하고, IFRS는 재무제표 작성 기준을 규정합니다. 이 둘은 상호 보완적입니다.
감사인이 ISA 540(회계 추정)을 적용할 때, 추정의 합리성을 평가하기 위해 IFRS 13(공정가치 측정), IFRS 9(금융상품), IAS 37(충당부채) 등을 참고합니다. ISA는 감사 절차를 지정하고, IFRS는 해당 기준서에서 요구하는 공시나 측정 방법을 지정합니다.
마찬가지로 ISA 701(주요 감사 사항)은 감사인이 감사보고서에서 공시해야 할 내용을 규정하며, 이는 IFRS 공시 요구사항과는 별개입니다.
ISA 이용 가능성과 접근
IFAC는 ISA를 무료로 공개합니다. 각 국가의 감시 기구(한국의 한공회, 스페인의 ICAC, 네덜란드의 NBA)는 자국 판본을 국가 언어로 발행하며, 대부분 무료로 제공합니다.
감시 팀은 ISA의 정식 발행본 외에 IFAC의 실행 지침(implementation guidance), IAASB의 공개 초안(exposure draft) 의견서를 참고할 수 있습니다. 많은 감시 법인은 또한 ISA 관련 교육 자료, 체크리스트, 정책 템플릿을 자체 개발하여 팀에 배포합니다.
Ciferi는 ISA 기반 감사 도구와 체크리스트를 제공하여 팀이 ISA 요구사항을 더 쉽게 문서화하고 준수하도록 돕습니다. 예를 들어 중요성 계산기, ISA 315 위험 평가 템플릿, ISA 330 절차 설계 도구 등입니다.
관련 용어
감사기준서 - ISA를 채택한 국가의 국내 감사 기준. 예: 감사기준서(한국), NIA-ES(스페인), NV COS(네덜란드). 각 국가 판본의 관계와 차이점을 설명합니다.
중요성 - ISA 320에서 규정하는 감사 계획과 평가의 핵심 개념. 감사인이 수용 가능한 왜곡표시의 임계값을 결정합니다.
위험 식별 및 평가 - ISA 315의 핵심 절차. 감사인이 실체 수준과 주장 수준의 중요한 왜곡표시 위험을 식별합니다.
부정행위 - ISA 240에서 규정. 의도적 행위(부정행위)와 의도하지 않은 행위(오류)를 구분하고 감사인의 책임을 규정합니다.
계속기업 - ISA 570에서 규정. 감사인이 경영진의 계속기업 가정의 적절성을 평가하는 절차와 보고 요건을 규정합니다.
품질관리 - ISQM 1과 ISQM 2에서 규정. 감사법인과 감사 과제 수준의 품질 통제 시스템을 규정합니다.
감시 증거 - ISA 500에서 규정. 감사인이 주장을 지지하기 위해 수집하는 정보의 충분성과 적절성을 규정합니다.
ISA 기반 Ciferi 도구
ISA 320 중요성 계산기 - ISA 320.11 요구사항에 따라 감사 계획 중요성과 성과 중요성을 계산하고 문서화합니다. 벤치마크 선택, 백분율 산정, 질적 조정 모두를 포함합니다.
ISA 315 위험 평가 템플릿 - ISA 315.25-29의 위험 식별 단계를 체계화하여, 실체 수준과 주장 수준 위험을 분리 기록합니다.
ISA 330 절차 설계 도구 - ISA 330.6에 따라 확인된 위험에 대한 감사 절차를 설계하고 표본 크기와 절차 시기를 결정합니다.