Definition
본음을 말하자면, 시즌 중에 부정 징후를 발견하고도 "오류"로 조서에 남기는 인차지가 적지 않다. 왜? 부정으로 분류하면 ISA 240.32의 지배기구 보고, 추가 조사 절차, 파트너 승인, 클라이언트와의 긴장된 대화가 모두 발동된다. 시간 예산은 이미 타이트하고, 시즌 마감은 일주일 뒤고, 감리까지의 거리는 멀어 보인다. 결과, "설명 가능한 차이"로 결론을 내리고 넘어간다. 금감원 감리에서 이런 파일이 걸리면, 감사인은 "징후를 문서화하지 않았다"가 아니라 "징후를 인식하고도 후속 절차를 설계하지 않았다"라는 지적을 받는다. 이게 훨씬 무겁다.
작동 방식
재무제표 작성 과정에서 오류가 발생합니다. 계산 착오, 데이터 입력 실수, 회계 원칙의 오적용, 거래 누락. ISA 330.A1은 감사인이 발견한 오류(선 항목 오류)와 감사 표본에서 식별된 오류(표본 오류)를 모두 기록해야 한다고 규정합니다. 이들은 회수 가능한 보정 항목입니다. 발견되고 수정되면 끝입니다.
부정행위는 다릅니다. ISA 240.11-13은 부정행위가 두 가지 범주로 나뉜다고 규정합니다. 첫째, 재무제표 부정행위(기금 조작, 자산 은폐, 부채 과소계상)로 감사의견에 영향을 미칩니다. 둘째, 자산 횡령(종업원의 현금 횡령, 물품 절도, 거짓 급여 청구)으로 개별 거래 또는 자산 수준에 영향을 미칩니다. 감사인이 부정행위를 의심할 근거가 있으면 ISA 240.21-24에 따라 반응이 의무적입니다. 조사, 경영진에 보고, 경우에 따라 감시기구에 보고(ISA 240.32-33).
감사인의 의심적 태도는 두 범주에 다르게 적용됩니다. 재무제표 부정행위에는 높은 경계심이 필수입니다. ISA 240.15는 경영진이 회계 처리를 거부하거나 불합리한 회계 추정을 강요하는 행동을 부정행위 위험 신호로 나열합니다. 자산 횡령의 경우, 감사 위험은 거래액과 빈도에 따라 달라집니다. 소규모 현금 부정행위는 감사의견에 영향을 주지 않을 수 있지만, 체계적인 횡령은 자산 통제의 설계 결함을 시사하며 ISA 315.A89에 따른 중요한 결함입니다.
실무 사례: 트라우테스 운수(Trautes Transport GmbH)
피감사회사: 독일 소형 화물 운송 회사, 2024년 결산, 수익 €8.2백만, IFRS 적용, 종업원 42명
1단계: 급여 항목 검토 회계담당자가 4월부터 6월까지 3개월간 급여 관련 거래(부정행위 위험이 높은 영역)를 표본하기로 합니다. 문서화: 표본 방법(무작위), 표본 크기(36건), 검토 기준(3개월 × 12명 = 36건의 급여 거래) 기록
2단계: 기록된 급여 추적 5월 기록에서 운전자 Müller가 €2,400의 급여로 나타나지만, 급여 명세서에서는 €1,800으로 기록되어 있습니다. 차액 €600. 문서화: 급여 명세서와 총계정원장의 불일치 기록, 금액 €600, 날짜 2024년 5월
3단계: 원인 파악 회계담당자와의 인터뷰. 그는 Müller가 경영자(본인의 배우자)로부터 추가 보수(부정행위성)를 받았다고 설명합니다. 본인은 이를 급여로 기록할 의도가 없었다고 말합니다. 경영진에 확인. 경영진은 이것이 "예외적 보너스"였으며 "실수로 기록 중복"되었다고 주장합니다.
결론: 오류인가, 부정행위인가? €600 차액 자체는 중요하지 않습니다(전체 급여 €432,000 중 0.14%). 문제는 의도입니다. 경영진이 명확히 보상을 의도했다면(자산 횡령), 부정행위입니다. 회계담당자가 단순히 항목을 중복 기록했다면(오류), ISA 330.A1에 따른 발견 오류입니다.
감사인이 검증해야 할 것: (1) 보너스 지급이 회사 정책이나 종업원 계약에서 허용되는가? (2) 경영진이 명시적으로 보너스를 급여로 기록하지 말라고 지시했는가? (3) 유사한 거래가 과거에 적절하게 기록되었는가?
만약 경영진이 의도적으로 보너스를 급여 항목에 숨기려 했다면, ISA 240.24에 따라 경영감시기구(Aufsichtsrat)에 보고해야 합니다. 의도가 불명확하면, ISA 330에 따른 보정 항목으로 취급하고 ISA 240.A8의 의심적 태도를 기록합니다.
감시기구 및 감리 기관이 놓치는 사항
- Tier 1 실제 감리 지적: FRC 감리 데이터(2023년)에 따르면, 검토 대상 감사 파일의 35%에서 감시기구가 부정행위 위험을 평가하는 감사인의 업무를 검토하지 않았거나 불충분하게 검토했습니다. ISA 240.31은 감시기구에 보고할 의무를 명시하지만, 실무에서 감사인이 보고 기준(reporting threshold)을 오류와 부정행위 사이에 잘못 설정합니다.
- Tier 2 기준서 위반 패턴: 감사인이 거래의 부정행위 특성을 오류로 재분류하는 가장 일반적인 경우는 ISA 240.15의 위험 신호가 문서화되지 않을 때입니다. ISA 240.15는 비정상적인 거래, 거래의 시간 간격 또는 통제 우회를 부정행위 징후로 나열합니다. 그러나 많은 감사 파일에서 이러한 신호가 "설명됨" 또는 "사소함"으로 분류되면서 의심적 태도 수준이 낮아집니다.
- Tier 3 실무 격차: 종업원 부정행위(자산 횡령)와 재무제표 부정행위(관리 부정행위)의 구분이 감사 계획에서 명확하지 않습니다. 많은 팀은 ISA 240.33에 따른 "감시기구 보고 의무"를 경영진에 대한 보고로만 이해합니다. 그러나 감시기구는 독립적 기구이고(이사회, 감사위원회), 부정행위의 범주와 심각성에 따라 감시기구 자체에 직접 보고해야 할 수도 있습니다.
경험 많은 파트너도 갈리는 지점 매출 계정에서 기말 2주에 몰린 대형 송장 3건이 발견되었다. 기중 평균의 4배 규모, 고객은 모두 신규, 배송 증명은 "운송 중". 파트너 A(품관실 출신)는 "기말 몰림, 신규 고객, 배송 미완의 세 가지 위험 신호가 동시에 떴다. ISA 240.15의 레드 플래그가 세 개다. 오류 아닌 부정 위험으로 전환, 추가 절차 설계, 감사위원회 보고 검토까지 간다"고 한다. 파트너 B(IFRS 자문 출신, 같은 연차)는 "세 건 모두 감사인 송부 조회서에서 확인이 올 수 있다. 확인서가 오면 실재성이 입증되니 오류 범주에서 해결된다. 확인서 회신 이후에 판단을 확정하자"고 제안한다. A는 의심적 태도를 선제적으로 작동시키고, B는 증거가 먼저 모인 후 판단하자는 입장이다. 어느 쪽이든 조서에 "왜 이 판단을 했는가"의 한 줄이 빠지면, 금감원 감리에서 "ISA 240의 위험 신호를 보고도 즉시적인 절차 강화를 검토하지 않았다"는 지적을 받을 수 있다.
구조적 압력: 왜 부정 징후가 오류로 미끄러지는가 스캘럽이 나빠서가 아니다. 부정 분류를 선택하면, 인차지는 파트너 승인을 받고, 추가 조사 절차를 설계하고, 클라이언트에게 민감한 질문을 던지고, 경우에 따라 감사위원회에 보고해야 한다. 이 모든 절차는 시즌 마감을 2주 이상 늦출 수 있다. 반면 "오류로 판정, 수정분개로 처리"라고 한 줄 쓰면, 10분 만에 다음 계정으로 넘어갈 수 있다. 시간 이팅(time eating)은 여기서 시작된다. 근본 대응은, 펌 차원에서 "ISA 240.15 레드 플래그가 2개 이상 동시에 뜬 경우, 인차지 판단이 아니라 파트너 회의에서 분류를 확정한다"는 운영 규칙을 두는 것이다. 인차지 개인의 판단 부담을 구조적으로 덜어주지 않으면, 같은 현상이 매년 반복된다.
오류 vs 부정행위
| 측면 | 오류 | 부정행위 |
|---|---|---|
| 의도 | 의도하지 않은 착오, 부주의 또는 거래 누락 | 의도적 거짓 진술, 기만, 자산 횡령 |
| 근거 기준 | ISA 330.A1 (발견 오류, 표본 오류) | ISA 240.11 (재무제표 부정행위, 자산 횡령) |
| 감사 대응 | 수정 항목 기록, 경영진에 보고, ISA 450.A2 누적 효과 평가 | ISA 240.24 조사 의무, ISA 240.32-33 경영진 및 감시기구 보고 |
| 의심적 태도 수준 | 정상 수준의 의심 | ISA 240.15의 위험 신호에 따른 높은 수준의 의심 |
| 통제 평가 | 개별 거래 수준 | ISA 315.A89에 따른 설계 결함, 운영 결함 |
| 수정 후 결과 | 수정되면 감사 위험 제거됨 | 적발되지 않으면 감사의견(또는 감시기구 보고)에 영향 |
실무에서 구분이 중요한 이유
부정행위를 오류로 분류하면 감사 위험이 즉시 상승합니다. ISA 320.11에 따른 성과 중요성(Performance Materiality)은 개별 거래의 오류 누적 위험을 가정합니다. 하지만 부정행위는 누적되지 않습니다. 한 건의 의도적 거래가 감사의견 전체를 위협할 수 있습니다.
예: 매출액 €50M 기업에서 중요성이 €500,000으로 설정됐다면, 성과 중요성은 일반적으로 €250,000입니다. 감사인이 매출 거짓 송장(부정행위) €180,000을 오류로 분류하고 수정하면, 오류 누적 리스트(Errors Rollforward)에 기록됩니다. 그러나 ISA 240.32는 경영진이나 감시기구 보고를 요구하지 않습니다. 결과: 부정행위가 감사 기록에 남지 않고, 감시기구도 모르고, ISA 240.A8의 의심적 태도도 적용되지 않습니다.
올바른 분류는 ISA 240.24의 "추가 조사 절차"를 트리거합니다. 송장 실재성 테스트, 배송 증거 검증, 거래 취소 기록 검토. 부정행위의 범주와 통제상 약점을 문서화하고, ISA 240.32에 따라 경영감시기구에 보고합니다.
관련 용어
- ISA 240 부정행위: 감사인의 부정행위 대응 절차 전체; 위험 평가, 조사, 보고 - 재무제표 왜곡표시: 오류와 부정행위 모두를 포함하는 광범위한 용어; 감사의견에 미치는 영향 - 의심적 태도: ISA 200에서 정의된 마음가짐; ISA 240.A8에서는 부정행위 위험에 대해 높아짐 - 감시기구 보고: ISA 260, ISA 240.32-33; 감사인이 이사회, 감사위원회, 감시위원회에 보고해야 하는 사항 - 성과 중요성: ISA 320에서 정의; 개별 거래 테스트 수준에서 설정된 오류 한계
도구: ISA 240 부정행위 위험 평가 도구
ciferi의 ISA 240 부정행위 위험 평가 도구는 위험 신호를 자동으로 문서화하고, 재무제표 부정행위와 자산 횡령 범주를 구분하며, 필요한 보고 경로(경영진 vs 감시기구)를 결정합니다.
---