개정 ISA 240: 내부신고자 보호와 제3자 부정행위 실무 대응

무엇이 변했고 왜 중요한가

이전 기준 vs 개정 기준

이전 ISA 240은 내부신고 시스템의 존재 여부만 확인하면 됐다. 신고 내용 자체를 감사 증거로 쓰라는 지침은 없었고, 제3자 부정행위는 일반 절차에 묻혀 있었다.

개정 ISA 240은 세 가지를 바꿨다.

- ISA 240.15A: 내부신고 정보를 부정행위 위험 식별에 적극 반영하도록 요구 - ISA 240.A62-A68: 제3자 부정행위(공급업체, 고객, 외부 당사자)를 별도 범주로 평가 - ISA 240.A65: 신고자 신원 보호와 정보 반영 사이의 균형 유지 지침 신설

실제로 해야 할 일

개정 기준에 따라 감사팀이 수행할 사항은 네 가지다.

1. 내부신고 채널 확인. 기업의 모든 내부신고 채널(온라인 포털, 핫라인, 익명 신고함)을 식별하고 운영 현황을 파악한다.

2. 신고 정보 검토. 감사 기간과 관련된 모든 내부신고를 검토하되, 신고자의 익명성을 보장하는 방식으로 진행한다. 인차지가 경영진 면전에서 "이 신고 누가 했냐"고 묻는 순간, ISA 240.A65 위반이다.

3. 제3자 위험 평가. 공급업체와의 후방 계약, 고객과의 매출 인식 조작, 외부 서비스 제공업체와의 공모 위험을 별도로 평가한다.

4. 조서 반영. 위 세 단계의 결과를 조서에 명확히 기록한다. 금감원 감리 시 가장 먼저 확인하는 부분이다.

적용 시기는 2026년 12월 15일 이후 시작하는 회계연도이며 조기 적용도 가능하다.

신고자 정보 처리 요구사항

ISA 240.15A의 구체적 요구사항

ISA 240.15A는 감사인이 내부신고 정보를 부정행위 위험 식별 절차에 포함하도록 요구한다. 단순히 신고 시스템이 있는지 확인하는 수준이 아니다. 실제 신고 내용을 열어 봐야 한다.

빅펌에서는 이미 시즌 전 계획 단계에서 내부신고 현황을 요청하는 것이 표준 절차로 자리 잡았다. 로컬 법인은 아직 이 단계까지 도달하지 못한 곳이 많다.

신고자 보호와 정보 반영의 균형

ISA 240.A65는 신고자 신원 보호를 명시한다. 감사인이 지켜야 할 선은 분명하다.

- 신고자의 신원을 경영진에게 공개하지 않는다 - 신고 내용만을 바탕으로 추가 감사 절차를 설계한다 - 신고 정보를 다른 감사 증거와 결합하여 부정행위 위험을 평가한다 - KICPA 윤리기준에 따른 비밀유지 의무도 동시에 적용된다

문서화 요구사항

ISA 240.25는 다음 사항의 문서화를 요구한다.

- 검토한 내부신고의 성격과 범위 - 신고 정보가 부정행위 위험 평가에 미친 영향 - 신고자 보호를 위해 취한 조치

타임이팅 압박이 심한 시즌에 이 문서화를 건너뛰고 싶은 유혹이 크겠지만, 감리 대응 시 이 조서가 없으면 "절차 미수행"으로 간주된다.

제3자 부정행위 위험 평가

새로운 위험 범주

ISA 240.A62는 제3자 부정행위를 별도 위험 범주로 분류한다. 기존의 경영진 부정행위, 직원 부정행위에 이어 세 번째 범주가 된 것이다. 이전까지 "기타"로 뭉뚱그려 처리하던 영역에 독립된 평가 절차가 붙었다.

제3자 부정행위의 유형

ISA 240.A63-A67에서 제시하는 주요 유형은 네 가지다.

1. 공급업체 공모. 가격 조작, 가상 거래, 킥백 제공 2. 고객 공모. 허위 매출 인식, 채권 조작 3. 외부 서비스 제공업체. 평가 조작, 허위 보고서 제공 4. 규제기관과의 공모. 허가나 승인 과정에서의 부정행위

위험 평가 절차

각 제3자 유형별로 다음을 평가한다.

- 거래의 상업적 합리성 - 가격 결정 과정의 투명성 - 제3자와 경영진 간의 관계 - 비정상적 거래 조건이나 지급 방식

실무 적용 사례

> 가상 사례: 동해산업 주식회사 > > 부산 소재 철강 제조업체. 연매출 850억 원, 직원 320명. 2026년 12월 결산 감사 진행 중.

1단계: 내부신고 채널 확인 조서 기재: 기업의 온라인 신고 포털, 감사위원회 직통 핫라인, 익명 신고함 3개 채널 확인

동해산업은 온라인 포털(company-ethics.co.kr), 감사위원회 직통 핫라인(1588-1234), 본사 1층 익명 신고함을 운영 중이다. 지난 12개월간 총 7건의 신고가 접수되었다.

2단계: 관련 신고 검토 조서 기재: 7건 중 재무보고 관련 2건 식별. 신고자 익명성 유지하며 내용만 검토

7건 중 재무보고 관련은 2건이다. - 2026년 3월: "특정 고객사와의 매출 인식 시점이 이상함" - 2026년 8월: "폐철 판매 가격이 시장가격보다 현저히 낮음"

3월 신고는 수익 인식, 8월 신고는 자산 유출 가능성을 가리킨다. 둘 다 ISA 240.15A의 부정행위 위험 식별 입력값에 해당한다.

3단계: 제3자 위험 평가 조서 기재: 주요 고객 5개사, 공급업체 12개사 대상 위험 평가 실시

고객사 위험: 3월 신고 관련 고객(대림건설)과의 거래 조건을 검토한 결과, 인도 조건이 명확하지 않아 매출 인식 시점 조작 위험이 식별됐다.

공급업체 위험: 8월 신고 관련 폐철 매입업체(부산재활용)와 경영진 간 개인적 관계가 확인됐다. 이건 붉은 깃발이다.

4단계: 추가 감사 절차 설계 조서 기재: 식별된 위험에 대응하는 실질적 절차 설계

대림건설 관련: 인도증 및 검수증 원본 확인, 12월 매출의 기말 재고 실사 절차를 강화했다. 부산재활용 관련: 폐철 시장가격을 독립적으로 확인하고, 경영진과 업체 간 이해관계를 조사했다.

내부신고에서 출발한 의심이 실제 감사 증거로 뒷받침된 사례다. 신고자의 익명성은 끝까지 유지됐다.

실무 체크리스트

1. 내부신고 시스템 파악. 기업의 모든 신고 채널을 식별하고 지난 12개월 신고 현황을 확인했는가? (ISA 240.15A)

2. 신고 내용 검토. 재무보고와 관련된 모든 신고를 검토하되 신고자 익명성을 보장했는가?

3. 제3자 위험 평가. 주요 공급업체, 고객, 외부 서비스 제공업체별로 부정행위 위험을 평가했는가? (ISA 240.A63)

4. 추가 절차 설계. 식별된 위험에 대응하는 구체적 감사 절차를 설계했는가?

5. 조서 완료. 검토 범위, 위험 평가 결과, 신고자 보호 조치를 모두 조서에 기록했는가? (ISA 240.25)

6. 실질 반영 여부. 내부신고를 단순 확인이 아닌 위험 식별 입력값으로 반영했는가?

일반적 오류

- 신고 시스템만 확인하고 끝내는 경우. 시스템의 존재만 확인하고 실제 신고 내용을 검토하지 않는다. 개정 기준은 내용 검토까지 요구한다. 금감원 감리에서 이 차이가 조치 여부를 가른다.

- 신고자 정보 노출. 경영진과의 논의 과정에서 신고자를 특정할 수 있는 정보를 제공하는 경우다. ISA 240.A65 위반이며, KICPA 징계 사유에도 해당한다.

- 제3자 위험 간과. 경영진·직원 부정행위에만 집중하고 외부 당사자와의 공모 위험을 빠뜨리는 경우다. 개정 전 습관을 그대로 가져오면 생기는 실수이며, A62-A68 구간을 읽지 않은 팀에서 반복적으로 발생한다.