ISA 240 개정기준 vs ISA 240 현행기준: 구체적 비교

핵심 변화점

현행기준 vs 개정기준 구조

현행 ISA 240은 부정위험을 하나의 통합된 평가 과정으로 접근한다. 감사인이 모든 위험요소를 함께 고려하고, 전반적인 위험 수준을 결정한 후 감사절차를 설계하는 흐름이다.

개정기준은 이를 두 단계로 분리한다.

1. 기업 수준 위험요소: 내부통제 환경, 지배구조, 경영진 특성 2. 거래 수준 위험요소: 특정 계정과목이나 거래유형별 위험

적용 시기와 조기 적용

개정기준은 2025년 12월 15일 이후 시작하는 회계연도부터 의무 적용된다. 조기 적용은 허용되지만, 전체 감사에 일관되게 적용해야 한다. 일부 클라이언트에만 조기 적용하는 것은 불가능하다.

실제 변화 사항

개정기준에서 감사인이 실제로 달리 해야 할 부분은 세 가지다.

위험 식별 단계에서는 기업 환경을 먼저 평가하고, 그 맥락에서 개별 위험요소의 의미를 해석한다. 현행기준은 모든 요소를 동시에 고려했지만, 개정기준은 계층적 접근을 요구하는 구조다.

문서화 측면에서는 두 수준의 위험이 어떻게 상호작용하는지 명시적으로 기록해야 한다. "기업 수준 위험이 높기 때문에 매출 인식 위험을 중간 수준에서 높음으로 조정"하는 논리적 연결을 조서에 남겨야 한다.

절차 설계에서는 ISA 240.34A가 각 위험 수준에 맞는 "반응적 절차"를 요구한다. 기업 수준 위험이 높으면 전사적 절차(예상치 못한 감사절차, 감사팀 구성 변경 등)가 필요하고, 거래 수준 위험이 높으면 해당 영역의 실증절차를 강화해야 한다.

위험 식별 비교

현행기준의 위험 식별

현행 ISA 240.25는 감사인이 부정위험요소를 식별할 때 다음을 고려하도록 한다.

- 부정에 대한 동기나 압력 - 부정을 저지를 기회 - 부정을 합리화하는 태도나 인식

이 세 요소를 종합적으로 평가하여 부정위험 수준을 결정하는 구조다. 실무에서는 인차지가 위험요소 목록을 작성하고, 각각을 상/중/하로 평가한 후 전반적인 위험 등급을 도출하는 방식이 일반적이다.

개정기준의 위험 식별

개정 ISA 240.26은 위험요소 매트릭스 접근법을 도입한다.

1단계는 기업 수준 요소 평가다. 지배구조 및 경영진 감시 체계, 내부통제 설계 및 운영, 경영진의 성실성과 가치관을 본다.

2단계는 거래 수준 요소 평가다. 특정 계정과목의 복잡성, 추정 및 판단의 주관성 정도, 비정상적 거래의 존재 여부를 확인한다.

3단계는 상호작용 분석이다. 기업 수준 위험이 거래 수준 위험을 어떻게 증폭하거나 완화하는지 평가하며, 최종 위험 등급은 단순 합계가 아닌 상호작용 결과로 결정된다.

결정 프레임워크

기업 수준 위험이 낮은 경우, 거래 수준 위험요소가 존재해도 전반적 위험이 중간 수준을 넘지 않을 수 있다. 강력한 내부통제와 투명한 지배구조가 개별 위험을 완화하기 때문이다.

기업 수준 위험이 높은 경우는 정반대다. 거래 수준에서 중간 정도의 위험요소도 높은 위험으로 평가된다. 경영진의 통제 무력화 능력이 개별 위험을 증폭시키는 메커니즘이다.

실무 적용을 예로 들면, 매출 인식에 복잡한 추정이 포함되어 있다면(거래 수준 위험 중간) 강력한 내부통제 환경에서는 중간 위험으로, 약한 통제 환경에서는 높은 위험으로 평가한다.

실무 적용 사례: 동일 클라이언트 다른 접근

가상 사례: 한국기계산업 주식회사

매출 420억 원의 중견 자동차 부품 제조사다. 최근 3년간 영업이익률이 하락 추세이고, 은행 차입금 covenant 위반 우려가 있다.

현행기준에 따른 위험 평가

위험요소 식별 단계에서 동기/압력은 차입금 covenant 유지 압력으로 높음, 기회는 수기 분개장 통제 미흡으로 중간, 합리화는 "일시적 어려움" 인식으로 중간이다.

전반적 평가는 높은 부정위험.

감사 대응으로는 분개장 전수 검토, 매출 인식 시점 정밀 검토, 추정 계정 독립적 재계산을 설계한다.

조서에는 다음과 같이 기록한다: "covenant 압박으로 인한 높은 부정 동기가 존재하며, 수기 통제 미흡이 기회를 제공함. 매출 및 비용 인식에 높은 부정위험 적용"

개정기준에 따른 위험 평가

기업 수준 평가부터 시작한다.

- 지배구조: 독립이사 2명, 감사위원회 분기별 회의 (중간) - 내부통제: IT 통제 양호, 수기 승인 통제 미흡 (중간) - 경영진 성실성: 과거 위반 이력 없음, 투명한 소통 (양호)

기업 수준 위험은 중간이다.

거래 수준 평가로 넘어간다. 매출 인식은 표준 제품에 단순한 인식 기준이므로 낮음. 재고자산은 복잡한 원가 계산과 진부화 추정이 필요하여 높음. 기타 계정은 일반적인 위험 수준(낮음~중간)이다.

상호작용 분석 결과, 기업 수준(중간)과 재고자산(높음)이 결합하면 높은 위험, 기업 수준(중간)과 매출(낮음)이 결합하면 낮은 위험이 된다.

조서 기록: "전반적인 통제 환경은 양호하나 재고자산 영역에서 복잡한 추정이 결합하여 해당 영역에 높은 부정위험을 적용. 매출은 단순한 인식 기준과 IT 통제로 인해 낮은 위험 적용"

여기서 눈에 띄는 차이가 있다. 현행기준이라면 빅펌이든 로컬이든 모든 중요 계정에 일괄적으로 확장 절차를 적용했을 것이다. 타임이팅을 하더라도 형식상 전부 커버해야 했다. 개정기준은 다르다.

감사절차 차이점

현행기준은 모든 중요 계정에 확장된 절차를 적용한다. 매출 cut-off 테스트 100% 확장, 재고자산 실사 참관 및 독립 재계산, 분개장 키워드 검색 범위 확대를 수행한다.

개정기준은 위험 수준별로 차별화된 절차를 적용한다. 매출은 표준 절차(sampling 기반 cut-off 테스트), 재고자산은 집중적 절차(전수 aging 분석, 독립적 NRV 계산), 기업 수준에서는 예상치 못한 감사절차(무작위 시점 현금 실사)를 실시한다.

문서화 차이

현행기준 문서화

현행 ISA 240.44는 팀 토론 내용, 식별된 위험요소와 평가 결과, 부정위험에 대한 감사 대응을 문서화하도록 요구한다. 대부분의 조서에서는 위험요소 체크리스트와 간단한 요약 문단으로 구성되어 있다.

개정기준 문서화

개정 ISA 240.47은 추가로 기업 수준과 거래 수준 위험의 구분된 평가, 두 수준 간 상호작용 분석 과정, 각 위험 수준별 대응 절차의 설계 근거를 요구한다. 금감원 감리에서도 이 계층 구조가 갖춰져 있는지를 확인할 가능성이 높다.

문서화 템플릿 예시는 다음과 같다.

``` 기업 수준 위험 평가: - 통제 환경: [평가 및 근거] - 지배구조: [평가 및 근거] - 경영진 특성: [평가 및 근거] → 기업 수준 종합: [낮음/중간/높음]

거래 수준 위험 평가: 계정과목별: - 매출: [위험요소 + 평가] - 재고: [위험요소 + 평가] - 기타: [위험요소 + 평가]

상호작용 분석: - 매출: 기업(중간) + 거래(낮음) = 최종(낮음), 근거: [...] - 재고: 기업(중간) + 거래(높음) = 최종(높음), 근거: [...]

대응 절차: - 기업 수준 대응: [예상치 못한 절차, 팀 구성 등] - 거래 수준 대응: [계정별 구체적 절차] ```

체크리스트

1. 기업 수준 위험 요소를 별도로 평가했는가? 지배구조, 내부통제, 경영진 성실성을 독립적으로 문서화하고 종합 평가를 도출한다. ISA 240.26 참조.

2. 거래 수준 위험을 계정별로 세분화했는가? 각 중요 계정과목에서 복잡성, 주관성, 비정상성을 개별 평가한다.

3. 두 수준의 상호작용을 명시적으로 분석했는가? 단순 합계가 아닌, 기업 환경이 개별 위험을 어떻게 변화시키는지 논리를 조서에 남긴다.

4. 각 위험 수준에 맞는 대응절차를 설계했는가? 기업 수준 위험에는 전사적 절차, 거래 수준 위험에는 해당 영역별 절차를 적용한다.

5. 개정기준 문서화 요구사항을 충족했는가? ISA 240.47이 요구하는 계층적 문서화 구조를 완성했는지 확인한다.

6. 위험의 근본 원인을 이해하고 있는가? 개정기준은 위험요소 목록 작성을 넘어 "왜 이 기업에서 이 위험이 발생하는가"에 답할 수 있도록 요구한다.

흔한 실수

- 기존 체크리스트를 그대로 쓰는 것. 현행기준용 위험평가 체크리스트로는 개정기준의 계층적 접근을 충족할 수 없다.

- 상호작용 분석을 생략하는 것. 기업 수준과 거래 수준을 별도로 평가해 놓고, 둘 사이의 연결을 조서에 남기지 않는 팀이 많다. 감리에서 지적받기 가장 쉬운 부분이다.