Definition
감리 나오면 가장 먼저 보는 게 위험 평가 조서다. 그런데 막상 펼쳐보면 위험 분류만 빼곡하고 그 근거는 한두 줄로 끝나는 경우가 많다. 위험 평가는 체크박스가 아니다. 추가 절차의 출발점이다.
작동 원리
중요한 위험을 식별하는 것은 ISA 315 개정본(2019)의 핵심이다. ISA 315.30은 두 가지 상황에서 위험을 중요한 것으로 본다. 자동으로 주요 감시 대상이 되는 경우(예: 재무제표 부정 표시) 그리고 감사인의 판단에 따라 중요한 위험이 될 가능성이 있는 경우.
실무에서 중요한 위험은 두 범주로 갈린다. 첫째는 자동으로 중요한 것으로 간주되는 위험. ISA 315.A70에 따르면 재무제표 부정 표시 위험은 항상 주요 감시 대상이다. 둘째는 감사인이 판단으로 결정해야 하는 중요한 위험. 중요성 수준, 복잡성 정도, 통제 효율성, 경영진 판단 개입 필요성을 고려한다.
제 경험상 흔한 실수는 위험 식별 단계에서 중요한 위험을 과도하게 또는 과소하게 식별하는 것이다. 위험 식별은 거시 수준(전사 경영진 부정)에서 시작해 세부 거래 수준(매출채권 존재성)으로 내려간다. ISA 315.28~30을 정독하면 어떤 조건에서 위험을 중요한 것으로 평가해야 하는지 분명해진다.
실무 예시: Fabrik Solutions B.V.
네덜란드 제조업체 Fabrik Solutions B.V., 연매출 185백만 유로, IFRS 보고 업체. 주요 수익원은 맞춤형 부품 제조이고 대고객사 3곳이 전체 수익의 67%를 차지한다.
1단계: 위험 평가 감사팀은 매출 계약의 성격을 평가한다. 일부 계약에는 복잡한 수행의무 단계가 포함되고 수행 중 변경이 빈번하다. 경영진은 분기 말 매출 목표 달성을 위해 계약 해석에 영향을 미칠 유인이 있다. 이런 요인들(복잡성, 경영진 판단의 중요성, 부정 위험)이 매출 인식을 중요한 위험으로 분류시킨다.
문서화 메모: 위험 평가 템플릿에 "위험 유형: 매출 인식(IFRS 15)", "중요한 위험 여부: 예", "이유: 복잡한 계약 용어 + 경영진 유인 + 맞춤형 부품의 성과 의존성"으로 기재.
2단계: 통제 평가 감사팀은 매출 처리 기간 동안 경영진의 검토 통제가 있는지, 이 통제가 수행의무 변경을 포착하는지 평가한다. 법무팀과 재무팀 간 계약 검토 프로세스를 추적한다. ISA 315.33에 따르면 중요한 위험에 대응하는 통제의 설계와 구현 평가는 필수다.
문서화 메모: 통제 테스트 조서 기재 내용은 "통제: 매월 말 매출 담당자와 법무팀의 계약 검토 회의", "증거: 검토 기록 3개월분 확인", "결론: 통제는 설계되었으나 일부 수행의무 변경이 검토 전에 처리됨".
3단계: 추가 감사 절차 매출 통제의 유효성이 제한적이라 감사팀은 표준 절차를 넘어서는 추가 절차를 수행한다. 연간 대고객사 3곳의 모든 거래를 상세 점검하고 각 거래에서 수행의무 이전을 확인한다. 분기 말 매출 조정 거래도 전부 검토한다.
문서화 메모: 감사 절차 조서에 "표본 선택 근거: 중요한 위험 + 약한 통제 = 10억 유로 이상 모든 거래", "절차 단계: 계약 조건 확인 → 성과 기준 충족 여부 검증 → 매출 인식 시점 확인", "결론: 10억 유로 이상 매출 197건 검토, 부정확한 인식 2건 발견(시정됨)"이라고 기재.
중요한 위험 식별과 대응 절차 문서화가 명확하면 의견 형성 근거가 단단해진다. Fabrik Solutions 사례에서 매출 인식 위험은 적절히 식별되었고 약한 통제에도 불구하고 추가 절차로 충분한 증거를 수집했다.
검토자와 실무자가 자주 놓치는 부분
- 통제 평가 누락: 많은 감사팀이 위험을 중요한 것으로 식별한 뒤 ISA 315.33의 요구사항을 간과하고 관련 통제를 충분히 평가하지 않는다. 통제 존재 여부 확인과 설계 평가는 구분돼야 한다.
- 추가 절차의 불충분성: 위험이 중요한 것으로 식별되었으나 수행된 절차가 단순히 표준 절차의 표본 확대에 그친다. ISA 315.30~31은 중요한 위험에는 추가적이고 보다 직접적인 감사 절차가 필요하다고 명시한다. 상세 절차, 통제 테스트 강화, 또는 더 보수적인 표본 설계가 필요하다.
- 위험 기술의 부정확성: 조서에서 위험이 "재무제표 부정" 수준으로 광범위하게 기술되거나, 반대로 "거래 수준 처리 오류" 수준으로 과도하게 세분화된다. ISA 315는 주장 수준에서의 위험 식별을 요구한다(존재성, 발생, 완전성, 권리 및 의무, 평가, 표시 및 공시).
- 근거 없는 분류: 솔직히 가장 자주 보는 패턴이다. 위험을 중요로 표시해놓고 왜 중요한지 한 줄도 안 쓴 조서. 감리에서 첫 질문이 바로 그 근거다.
자주 비교되는 용어: 중요한 위험 대 표준 위험
| 구분 | 중요한 위험 | 표준 위험 |
|---|---|---|
| 통제 평가 | 필수(ISA 315.33) | 선택 |
| 추가 절차 | 예, 강화된 절차 필요 | 표준 절차로 충분 |
| 문서화 | 식별 근거 + 대응 절차를 상세히 기재 | 위험 기술 수준 문서화 |
| 경영진 협력 | 높음(설계 평가 필요) | 낮음 |
관련 용어
- 주요 감시 대상 - 중요한 위험과 구별되며 감사인 판단에 따라 감사보고서에 보고됨 - 위험 평가 - 중요한 위험을 식별하기 위한 초기 절차 - 고정수수료 감사 - 중요한 위험이 많을수록 고정수수료 모델에서의 원가 압박 증가 - ISA 330 대응 - 중요한 위험에 대응하는 구체적 감사 절차 - 경영진 부정 위험 - 자동으로 중요한 위험으로 간주됨