Steinhoff 사기: 그룹 감사에서 사기 탐지 실패

Steinhoff 사기의 구조

Steinhoff 사기는 복잡한 그룹 구조를 악용한 전형적 사례다. 남아프리카에 본사를 둔 이 가구 소매업체는 40개국에 3,000개 매장을 운영했다. 사기는 주로 유럽 자회사와 남아프리카 본사 간 가상 거래를 통해 이뤄졌다.

핵심 수법은 이랬다.

남아프리카 Steinhoff가 유럽 자회사들에게 가구와 서비스를 "판매"했다고 기록했다. 실제로는 아무것도 인도되지 않았다. 이런 가상 매출이 2014년부터 2017년까지 연간 50억 유로씩 계상되었다. 80여 개 자회사와 관련회사 간 상호 거래를 통해 손실을 분산시켰고, 한 자회사의 손실을 다른 자회사의 이익으로 상쇄하는 방식으로 그룹 전체 수익성을 조작했다. 구매 계약서, 인도 증명서, 송장까지 위조했다.

ISA 240.A13에서 규정하는 사기 위험 요소 중 동기(과도한 실적 압박), 기회(복잡한 그룹 구조), 정당화(성장 전략이라는 명분), 그리고 경영진 지배구조의 취약성이 모두 존재했다. 그룹 감사팀이 이를 종합적으로 평가했다면 탐지 가능했을 것이다.

그룹 감사에서 놓친 신호들

Deloitte가 그룹 감사인이었고 KPMG가 남아프리카 구성요소 감사인이었다. 두 감사팀 간 소통에서 여러 신호가 놓쳤다.

남아프리카 KPMG가 그룹 감사팀에 보고했어야 할 사항들이 있었다. 관련회사 거래 급증(전년 대비 300% 증가), 현금 흐름과 이익 간 불일치 심화, 경영진의 회계 추정 변경 빈도 증가, 내부 감사팀과 경영진 간 갈등이다. 그러나 ISA 600.24에 따른 서면 소통에서 이 개별 사항들이 그룹 차원 사기 위험으로 평가되지 않았다.

각 구성요소에서 수행한 분석적 절차가 그룹 차원에서 통합 검토되지 않은 것도 문제였다. 남아프리카에서는 매출총이익률이 개선되었지만 유럽에서는 악화되었다. 개별적으로는 설명 가능했지만 합치면 가상 거래의 패턴을 보였다. 제 경험상 구성요소별 분석적 절차 결과를 그룹 차원에서 대조하는 팀은 생각보다 드물다.

Steinhoff 경영진은 "신흥시장 확장으로 인한 일시적 현상"이라고 설명했다. 그룹 감사팀이 이를 수용했지만 구성요소별 세부 증거로 검증하지 않았다. ISA 600.A58에 따르면 경영진 설명이 구성요소 감사인들의 발견사항과 일치하는지 확인해야 했다.

ISA 600이 요구하는 사기 위험 소통

ISA 600.20은 그룹 감사팀이 사기 위험을 식별할 때 구성요소별 정보를 통합하도록 요구한다. 개별 구성요소의 위험을 나열하는 것과는 다르다.

구성요소 감사인은 ISA 600.24에 따라 다음을 서면으로 소통해야 한다. 식별된 사기 위험 요소와 그 평가, 수행한 사기 관련 감사절차와 결과, 경영진이나 종업원의 부정행위 의혹, 내부통제 결함 중 사기와 관련된 사항이다.

그룹 감사팀은 받은 소통을 바탕으로 ISA 240.A25에 따라 전체적 위험을 재평가해야 한다. 구성요소 간 일관되지 않는 위험 요소 패턴, 개별적으로는 미미하지만 통합하면 유의미한 위험, 구성요소 간 거래에서 나타나는 사기 징후, 경영진의 설명과 구성요소별 발견사항 간 불일치를 살펴야 한다.

이런 소통은 계획 단계에서 시작해 완료 단계까지 지속된다. ISA 600.A61에 따라 중간 소통도 필요하면 즉시 이뤄져야 한다.

실제 적용 사례

한국전자산업 주식회사. 매출 8,500억 원의 전자부품 제조업체로 싱가포르, 베트남, 중국에 제조 자회사 6개를 두고 있다.

1단계에서 구성요소별 위험을 식별한다. 한국 본사에서는 연구개발비 회계처리 복잡성과 정부 보조금 수익인식이 주요 위험이다. 싱가포르 법인은 본사와의 기술료 거래와 이전가격 이슈가 있고, 베트남 법인은 현지 규정 변경으로 인한 회계처리 불확실성이 있다. 중국 법인은 수출 VAT 환급 관련 복잡성이 걸린다.

조서에 각 구성요소별 위험 매트릭스를 작성하고, ISA 240 부록의 사기 위험 요소와 매칭하여 기록한다.

2단계에서 그룹 차원으로 통합한다. 구성요소 감사인들로부터 받은 소통을 분석한 결과 세 가지가 드러났다. 아시아 자회사 모두에서 기술료 지급이 전년 대비 40% 증가했고, 본사의 R&D 수익성이 개선되었으나 제조 자회사들의 마진은 하락했으며, 중국 법인에서 내부회계 미비점이 다수 발견되었다.

조서에 개별 위험 요소들을 그룹 차원에서 재평가하고 추가 절차 필요성 판단 과정을 기록한다.

3단계에서 추가 절차를 설계한다. 그룹 차원 평가 결과 기술료 거래의 실질성 검토(계약서, 실제 기술 이전 증빙, 이전가격 문서), 아시아 자회사 매출 인식 시점의 일관성 검토를 추가했다.

조서에 추가 절차가 그룹 차원 사기 위험에 대한 대응임을 명확히 기록한다.

이 통합 평가를 통해 중국 법인의 매출 인식 시점 조작을 발견했다. 개별 구성요소로는 중요하지 않았지만 그룹 차원에서는 연결 당기순이익의 3.2%에 해당했다.

실무 점검표

다음 체크리스트를 현재 그룹 감사에 적용한다.

1. 계획 단계 소통 완료: 모든 구성요소 감사인에게 사기 위험 평가 결과를 서면 요청했는지, ISA 600.24에 따른 필수 소통 항목이 요청서에 포함되어 있는지, 소통 일정과 방법이 명시되어 있는지 확인한다.

2. 구성요소별 위험 통합: 받은 모든 소통을 하나의 위험 매트릭스로 통합했는지, 개별적으로는 미미하지만 통합하면 유의미한 위험을 식별했는지, 구성요소 간 일관되지 않는 패턴이나 추세를 분석했는지 확인한다.

3. 경영진 설명 검증: 그룹 경영진의 설명이 구성요소별 발견사항과 일치하는지, 불일치 사항에 대해 추가 질문이나 절차를 수행했는지 확인한다.

4. 문서화 적정성: 그룹 차원 사기 위험 평가 과정이 조서에 기록되어 있는지, 구성요소별 소통과 그룹 차원 통합 과정이 추적 가능한지 확인한다.

5. 지속적 소통: 감사 진행 중 새로운 위험 요소 발견 시 즉시 소통 체계가 구축되어 있는지 확인한다.

솔직히 이 점검표에서 가장 자주 빠지는 항목은 2번이다. 구성요소별 소통을 받고 파일에 철하지만 그룹 차원에서 다시 합쳐서 보는 팀이 많지 않다. 시즌에 시간 압박이 심하면 조서를 닦는 것만으로도 벅차기 때문이다.

자주 발생하는 실수

금감원 감리에서 반복되는 그룹 감사 실수는 두 가지로 압축된다.

구성요소 감사인으로부터 표준화된 답변만 받고 추가 질문을 하지 않는 경우가 있다. 금감원 2024년 감리에서 가장 빈번하게 발견된 문제다. 실무에서 이것이 의미하는 것은 결국 조서가 너무 얇다는 것이다. 감리 나오면 바로 걸린다.

구성요소별 위험 평가를 나열만 하고 그룹 차원에서 재평가하지 않는 경우도 있다. Steinhoff처럼 개별적으로는 설명 가능하지만 전체적으로는 의심스러운 패턴을 놓칠 수 있다.