목차
- KSA 240이 요구하는 위험-절차 연결 - 매트릭스 구조 설계 - 위험별 절차 매핑 - 실무 예시: 동진엔지니어링 주식회사 - 실무 체크리스트 - 흔한 실수들 - 관련 자료
KSA 240이 요구하는 위험-절차 연결
KSA 240.28은 식별되고 평가된 중요한 왜곡표시 위험에 대응하는 전반적 대응방안과 추가 감사절차를 설계하고 실시할 것을 요구한다. 위험을 나열하는 것만으로는 부족합니다. 각 위험에 대해 그 위험을 탐지할 수 있는 구체적 절차가 있어야 합니다. KSA 240.A29는 부정 위험의 성격, 시기, 범위에 따라 절차를 조정해야 한다고 명시합니다. 매출 인식 위험과 급여 조작 위험은 서로 다른 절차를 필요로 합니다. 획일적 접근법은 작동하지 않는다.
왜 매트릭스 접근법이 필요한가
KSA 240.A31에서 설명하듯 부정 위험은 경영진 특권 남용 가능성 때문에 일반적인 중요한 왜곡표시 위험과 다릅니다. 표준 절차로는 탐지하기 어려운 경우가 많습니다. 각 위험의 특성에 맞는 맞춤형 절차가 필요하며, 이를 체계적으로 관리하기 위해 매트릭스 구조가 유용합니다. 매트릭스는 위험과 절차 간의 관계를 시각적으로 보여줄 뿐 아니라 빠뜨린 위험이나 중복된 절차를 쉽게 식별할 수 있게 해줍니다. 품관실 검토자도 각 위험에 대한 대응이 적절한지 한눈에 확인할 수 있습니다.매트릭스 구조 설계
효과적인 부정 위험 대응 매트릭스는 위험 분류, 절차 유형 분류, 연결 강도 표시, 실행 메타데이터의 네 가지 요소로 구성됩니다.
위험 분류 체계
위험은 다음 네 범주로 분류합니다. - 매출 인식 위험에는 허위 매출, 이연 매출, 컷오프 조작이 포함됩니다. - 자산 과대계상에는 재고 조작, 채권 과대계상, 고정자산 손상 은폐가 포함됩니다. - 비용 과소계상에는 비용 이연, 충당부채 과소설정, 우발부채 미공시가 포함됩니다. - 경영진 특권 남용에는 관련 당사자 거래, 부당한 보상, 자산 유용이 포함됩니다.절차 유형별 분류
각 위험에 대응하는 절차는 다음과 같이 유형화합니다. - 분석적 절차는 비율 분석, 추이 분석, 회귀 분석으로 구성됩니다. - 세부 테스트는 표본 추출, 전수 조사, 확인으로 구성됩니다. - 관찰 및 질문은 현장 관찰, 경영진 질문, 직원 면담으로 구성됩니다. - 문서 검토는 회의록 검토, 계약서 분석, 이상 거래 조회로 구성됩니다.연결 강도 표시
위험과 절차 간 연결은 다음과 같이 표시합니다. - P (Primary)는 해당 위험의 주요 탐지 절차입니다. - S (Supporting)는 보조적 탐지 절차입니다. - M (Monitoring)은 지속적 모니터링 절차입니다.위험별 절차 매핑
매출 인식 위험 대응
허위 매출 위험에 대한 절차 매핑은 다음과 같다. - 분석적 검토(P)로 월별 매출 변동성 분석과 총이익률 추이 검토를 수행합니다. - 세부 테스트(P)로 매출 표본의 근거 서류 검토와 기말 전후 출하 테스트를 수행합니다. - 확인(S)으로 주요 고객 잔액 및 거래를 확인합니다. - 시스템 테스트(M)로 매출 인식 자동화 통제를 테스트합니다.재고 조작 위험 대응
재고 과대계상 위험에 대한 절차 매핑은 다음과 같습니다. - 실사(P)에서는 기말 재고 실사 참관과 순환 재고 조사 검토를 수행합니다. - 분석적 검토(S)에서는 재고 회전율 분석과 재고 구성 변동을 검토합니다. - 세부 테스트(P)에서는 재고 평가 기준 검토와 진부화 재고 분석을 수행합니다. - 관찰(S)에서는 창고 현장 방문과 재고 보관 상태를 확인합니다.경영진 특권 남용 대응
관련 당사자 거래 위험에 대한 절차 매핑은 다음과 같습니다. - 문서 검토(P)에서 이사회 회의록 검토와 승인 절차를 확인합니다. - 분석적 검토(S)에서 비정상적 거래 유형별 분석을 수행합니다. - 질문(P)에서 경영진 및 지배구조 담당자에게 질문합니다. - 확인(S)에서 주요 관련 당사자와의 거래를 확인합니다.실무 예시: 동진엔지니어링 주식회사
매출 420억 원, 직원 180명의 제조업체인 동진엔지니어링에 대한 부정 위험 매트릭스를 구축해보겠습니다.
1단계: 위험 식별 및 평가
매출 인식, 재고 조작, 관련 당사자 거래를 중요한 부정 위험으로 식별2단계: 매트릭스 구성
| 위험 | 분석적 절차 | 세부 테스트 | 확인 | 관찰/질문 |
|---|---|---|---|---|
| 매출 인식 | 월별 매출 분석(P) | 출하 서류 검토(P) | 고객 확인(S) | 매출 담당자 면담(M) |
| 재고 조작 | 회전율 분석(S) | 실사 참관(P) | 공급업체 확인(S) | 창고 관찰(P) |
| 관련 당사자 | 거래 패턴 분석(S) | 회의록 검토(P) | 거래 확인(S) | 경영진 질문(P) |
3단계: 절차별 세부 계획 수립
매출 인식 위험 대응에는 다음 절차를 배정합니다. - 분석적 절차로 매월 매출과 출하량 상관관계를 분석하고 이상치를 식별합니다. - 세부 테스트로 기말 전후 2주간 출하 거래를 전수 조사합니다. - 확인 절차로 매출액 기준 상위 10개 고객 잔액 및 거래를 확인합니다. 조서 노트: 각 절차의 수행 시기, 담당자, 표본 크기, 산출물 위치의 네 항목을 매트릭스에 추가 기재.4단계: 실행 및 결과 평가
매트릭스를 실행한 결과 매출 인식에서 특이사항은 발견되지 않았다. 그런데 재고 실사에서 일부 품목의 보관 위치 불일치를 확인했습니다. 관련 당사자 거래에서는 신규 컨설팅 계약 1건이 이사회 사전 승인 없이 체결된 것을 발견했습니다. 이 부분이 감리에서 가장 많이 걸린다. 조서 노트: 발견 사항별 추가 절차 수행 결과와 결론을 매트릭스에 업데이트. 이 접근법은 모든 식별된 위험에 대해 체계적 대응을 보장하며 감리에서도 명확한 근거를 제공합니다.실무 체크리스트
다음 체크리스트로 부정 위험 대응 매트릭스의 완성도를 점검합니다. 1. 위험 완전성을 점검합니다. 식별된 모든 중요한 부정 위험이 매트릭스에 포함되어 있는가. 2. 절차 구체성을 점검합니다. 각 위험에 대한 절차가 구체적이고 실행 가능하게 기술되어 있는가. 3. 연결 명확성을 점검합니다. 위험과 절차 간 연결이 P/S/M으로 표시되어 있는가. 4. 중복 제거를 점검합니다. 동일한 절차가 여러 위험에 중복 할당되어 비효율을 초래하지 않는가. 5. 문서화 충분성을 점검합니다. KSA 240.44에 따른 결론과 근거가 조서에 반영되어 있는가. 6. 실행 통합성을 점검합니다. 매트릭스의 모든 절차가 실제 감사 프로그램에 통합되어 실행 가능한 형태로 구성되어 있는가.
흔한 실수들
위험 나열에만 집중하고 절차 연결을 소홀히 하는 경우가 가장 흔하다. 위험 평가는 상세하지만 각 위험에 대응하는 구체적 절차가 없는 경우입니다. 획일적 절차를 적용하는 경우도 빈번하게 나타납니다. 모든 부정 위험에 동일한 표준 절차를 적용하여 위험별 특성을 고려하지 않는 경우입니다.
관련 자료
- KSA 240 부정 위험 평가 도구: 부정 위험 식별과 평가를 위한 체계적 접근법 - 부정 위험 용어집: 부정 위험 관련 핵심 용어와 정의 - 감사 절차 설계 가이드: 평가된 위험에 대응하는 감사 절차 설계 방법