Definition
2025년 감사 계획 미팅에서 "고객사가 AI를 쓰고 있는지" 질문한 적이 있는가. 제 경험상 대부분의 인차지는 이 질문을 하지 않는다. 경영진도 자기 도구가 EU AI법 대상인지 모르는 경우가 많다. 금감원이 아직 이 영역을 집중 감리하지는 않지만 EU에서 사업하는 고객사를 감사한다면 이 규정은 이미 ISA 315의 IT 통제 식별 범위 안에 들어온다.
작동 방식
EU AI법은 AI 시스템의 위험도에 따라 4단계로 규제한다. 감사 관점에서 신경 써야 할 것은 높은 위험(High-Risk) 분류다. ISA 540.13(a)에 따르면 감사인은 경영진이 회계추정을 산출하기 위해 사용하는 방법이 적절한지 평가해야 하는데, AI 기반 추정(신용손실, 공정가치 평가 등)은 이 평가의 중심에 놓인다.
높은 위험 분류에 포함되는 경우는 금융기관의 신용 평가 시스템, 고용 또는 승진 의사결정 지원, 재무적 이익에 영향을 미치는 그 밖의 결정, 보험 인수 모델이다. 이 중 신용 평가와 재무적 결정에 해당하는 시스템은 감사 대상 기업의 IT 통제 평가 범위에 직접 포함된다.
높은 위험 시스템에 대해 규정이 요구하는 것은 위험 관리 시스템의 문서화, 훈련 데이터의 품질 기록, 성능 모니터링 로그, 투명성 설명 문서(transparency statement)다. ISA 315.32의 통제 식별 단계에서 감사인은 경영진이 이 문서를 유지하고 있는지 확인하고 AI 시스템의 출력값이 재무제표에 얼마나 영향을 미치는지 파악해야 한다.
감사 사례: 벨기에 제조사의 신용손실 평가
TechFlow Industries B.V.B.A.는 벨기에 제조사다. FY2025 기준 매출 €68M이고 IFRS로 보고하며 2,400만 유로 규모의 매출채권을 보유한다.
2024년 경영진은 신용손실 평가(ECL)를 수동 계산에서 자체 개발 AI 모델로 전환했다. 모델은 거래처 지불 이력, 산업 선행지표, 거래처 재무정보, 계절적 매출 변동을 입력으로 받아 부도 확률을 산출하고 이를 기반으로 보수율을 계산한다.
1단계: 높은 위험 분류 판단
감사인은 이 AI 시스템이 EU AI법의 높은 위험 분류에 해당하는지 평가한다. 재무 결정(신용손실 측정)에 직접 영향을 미치므로 규정 대상이다.
조서 기록: "AI ECL 모델은 EU AI법 제6조(e)(1)의 높은 위험 시스템. 규정 준수 요구사항: 위험 관리 문서, 훈련 데이터 기록, 성능 모니터링, 투명성 공시."
2단계: 위험 관리 시스템 검증
감사인은 경영진에게 두 가지를 요청한다. 첫째, 모델 선택 및 구현 시 고려한 위험(편향, 데이터 품질, 과적합, 모델 해석 가능성)을 기록한 문서. 둘째, 이 위험을 완화하기 위해 적용한 통제. TechFlow는 외부 데이터 공급자를 사용했으므로 감사인은 그 공급자의 데이터 검증 과정도 확인해야 한다.
조서 기록: "경영진이 작성한 위험 관리 문서 검토. 데이터 편향에 대한 통제: 월별 모델 성능 vs 실제 부도율 비교. 편차 3% 초과 시 모델 재조정."
3단계: 훈련 데이터 품질 확인
ISA 540.13(c)에 따라 감사인은 데이터의 출처와 품질을 검증한다. 모델은 과거 5년의 거래처 지불 기록(1,200개 거래처)으로 훈련되었다. 감사인은 샘플 테스트를 수행한다. 훈련 데이터가 실제 거래처 레코드와 일치하는지 25개 거래처 샘플로 확인하고 훈련 데이터에서 부도 발생 건수를 재계산하여 모델 입력의 정확성을 검증한다.
조서 기록: "훈련 데이터 샘플 테스트: 25개 거래처. 기록 오류 0건. 부도 건수 재계산: 모델 입력 84건 vs 감사인 확인 82건. 차이 2건(2.4%). 수용 가능."
4단계: 성능 모니터링 로그 검토
높은 위험 시스템은 배포 후 지속적 모니터링을 요구한다(EU AI법 제29조). 감사인은 FY2025 월별 모니터링 기록을 수집한다. 각 월에 대해 모델의 예측 부도율과 실제 발생 부도율을 비교하고 편차를 분석한다. 3개월마다 성능이 임계치를 벗어나면 경영진이 원인을 조사하고 시정 조치를 기록했는지 확인한다.
조서 기록: "2025년 성능 로그 12개월 검토. 7월: 예측 부도율 2.8% vs 실제 2.9%(편차 1%). 10월: 예측 2.1% vs 실제 2.8%(편차 7%, 임계치 3% 초과). 경영진의 원인 분석: 신규 거래처 25개 추가(신용 이력 없음)로 인한 모델 입력 변화. 시정 조치: 신규 거래처는 3개월 데이터 누적 후 모델에 포함 결정. 타당함."
5단계: 신용손실 계산 재계산 및 합리성 검증
감사인은 모델 출력값의 합리성을 독립적으로 검증한다(ISA 540.15). 샘플 거래처 50개에 대해 각 거래처의 부도 확률 계산값을 재계산하고 그룹화된 거래처(유사 위험 프로필)에 대해 모델 결과의 일관성을 확인한다. 최종 신용손실(€2.3M)이 합리적 범위인지 평가한다.
조서 기록: "신용손실 50개 거래처 재계산 샘플. 평균 편차 0.1%. 모델 그룹화 로직(산업별 부도 확률) 검증: IT 산업 부도율 0.8% vs 표본 실제 0.7%(차이 0.1%, 수용 가능). 최종 신용손실 €2.3M은 시나리오 분석(보수적 추정 €2.8M, 낙관적 추정 €1.9M) 범위 내."
6단계: 투명성 공시 평가
EU AI법은 높은 위험 AI 시스템의 사용을 이해관계자에게 공개하도록 요구한다. 감사인은 FY2025 재무제표에 신용손실 측정 방법 공시가 있는지 확인한다(IAS 39/IFRS 9의 기존 공시 외에 추가). AI 모델의 존재를 주석에서 공개했는지, 기본 가정(훈련 데이터 기간, 주요 입력값)을 설명했는지, 모델 성능이 저하되거나 수정된 경우 그 이유를 공개했는지, 입력 데이터 변경이 추정에 미친 영향을 기술했는지를 확인한다.
조서 기록: "주석 검토: 신용손실 측정. 경영진이 AI 모델 사용을 공개했으나 구체성 부족. 수정 요청: '훈련 데이터는 과거 5년의 내부 거래처 레코드 1,200개 포함. 모델 입력값은 거래처 지불일수, 산업 선행지표, 자본비율, 계절적 매출 변동. FY2025 10월 성능 저하(부도 예측 오차 7%)로 인해 신규 거래처 포함 정책 변경.'으로 수정."
감리 지적과 실무에서 빠지는 것
국제 감리 데이터에 따르면 AI 시스템을 운영하는 기업의 감사에서 가장 빈번한 지적은 "AI 시스템의 존재 식별 실패"다. 솔직히 계획 단계에서 경영진에게 AI 도구 사용 여부를 명시적으로 질문하는 팀은 드물다. 경영진 자신도 자기 도구가 EU AI법 대상인지 모르는 경우가 많으니 감사인이 먼저 물어봐야 한다. ISA 315.24는 AI 모델을 포함한 모든 관련 통제를 식별하도록 요구한다. AI 모델이 있는데 이를 감사하지 않았다면 감리에서 중대한 절차 누락으로 지적된다.
ISA 540.13(c)는 "회계추정을 뒷받침하는 데이터의 신뢰성"을 평가하도록 요구한다. 막상 해보니까 많은 감사인이 모델 로직 자체는 검토하면서 훈련 데이터의 품질은 확인하지 않는다. 신용손실 모델이 5년 이상의 거래처 이력 데이터로 훈련되었다면 그 데이터가 현재 경제 상황을 대표하는지 평가해야 한다. 2020-2022년 팬데믹 기간의 데이터가 포함된 모델은 통상 상황에서 부도율을 과대평가할 수 있다. 이 편향을 검증하지 않으면 ISA 540.15(c)의 합리성 평가를 충분히 수행하지 않은 것이다.
문서화 쪽이 더 심각하다. 빅펌은 AI 감사 전담 팀이 별도로 있지만 로컬 법인이 담당하는 중형 기업은 AI 도구를 운영하면서도 EU AI법이 요구하는 위험 관리 문서와 성능 모니터링 로그를 유지하지 않는 경우가 흔하다. 감사인이 문서 부재를 발견하고 "경영진이 문서화하지 않았음"으로 기록하고 넘어가면 안 된다. ISA 315.32에 따르면 높은 위험 시스템에 대해 감사인은 통제의 설계 및 운영 효과를 검증해야 한다. 문서가 없으면 이 검증 자체가 불가능하다. 경영진에게 사후 문서화를 요청하거나 대체 절차(모니터링 로그가 없으면 사후 성능 비교, 훈련 데이터 기록이 없으면 시스템 관리자 인터뷰)를 설계해야 한다. 보고서일 앞두고 이걸 뒤늦게 발견하면 감사팀 전체 일정이 밀린다.
EU AI법의 단계별 발효 일정
EU AI법은 일괄 발효가 아니라 조항별로 단계적으로 발효된다. 감사인이 감사 계획 시 고려해야 할 주요 일정이다.
- 2024년 8월: EU AI법 공식 발효 (Official Journal 게재) - 2025년 2월: 금지된 AI 관행 조항 발효 - 2026년 8월: 높은 위험 시스템 요구사항 발효 (위험 관리, 기술 문서, 품질 관리) - 2027년 8월: 모든 요구사항 완전 발효
현재(2026년 4월) 감사를 수행하는 감사인은 FY2025 감사에서 금지된 AI 관행 조항이 이미 적용 중인지 확인해야 한다. 2026년 8월부터는 높은 위험 시스템의 문서화 요구사항도 본격 적용되므로 FY2026 감사 계획부터 반영이 필요하다.
관련 용어
공정가치 평가는 AI 모델이 공정가치를 추정하는 데 사용되면 같은 수준의 데이터 품질 검증이 적용된다.
내부통제 설계와 관련하여 EU AI법 준수는 내부통제의 일부다. AI 시스템의 통제 설계 평가는 ISA 315의 통제 식별 범위에 포함된다.
IT 리스크의 하위 범주로 AI 시스템이 위치한다. 감사인의 IT 환경 이해는 AI 도구 식별부터 시작한다.
회계추정 감사에서 AI 기반 추정(신용손실, 공정가치 평가 등)은 ISA 540의 직접 적용 대상이다.
감사 증거로서 AI 시스템의 경우 모델 출력값만이 아니라 훈련 데이터와 성능 로그, 위험 관리 문서도 감사 증거로 평가된다.
데이터 품질은 AI 모델의 신뢰성을 결정한다. 훈련 데이터의 완전성과 정확성에 달려 있다.
---