감사 전략

어떻게 작동하는가

감사 전략은 감사인이 감사 위험을 수용 가능한 수준으로 감소시키기 위해 설계한 감사의 구조다. ISA 300.8에 따르면 감사 전략에는 감사의 범위, 시기, 방향에 대한 결정이 포함되어야 한다. 단순한 일정표가 아니다. 피감사회사의 사업, 산업, 규제 환경, 재무제표 오류의 위험도를 종합적으로 평가한 결과물이다.

감사 전략 수립 시 감사인은 다음을 고려한다. 첫째, 감사 업무의 특성과 피감사회사의 산업 특성이다. ISA 300.A3은 산업의 규제 환경과 회계 기준 변경을 감사 전략 수립의 배경으로 명시한다. 둘째, 완료 단계에서의 전반적 검토(ISA 330.21)에 충분한 시간을 배정하는 것이다. 셋째, 피감사회사가 시스템 변경이나 조직 구조 개편을 계획 중인지 여부다. 넷째, 전기 감리 지적 사항이나 품관실 리뷰에서 나온 개선 요구가 반영되었는지 확인하는 것이다.

감사 전략이 구체적일수록 감사 계획은 명확해진다. 모호한 전략("모든 주요 거래 항목을 감시한다")은 실행할 수 없다. 구체적 전략("매월 말 거래일지를 추출하여 금액별로 분류하고 월별 상위 10건 거래에 대해 선별 절차를 수행한다")이라면 팀이 즉시 움직인다.

산출 예시: Bergströms Industrisverk AB

클라이언트: 스웨덴 제조업체, 2024년 결산, 매출 €87M, IFRS 보고자

1단계 — 감사 위험 평가 및 전략 방향 결정

감사인은 먼저 Bergströms의 감사 위험을 평가한다. 사업 구조(스웨덴 본사, 폴란드 자회사 1개, 독일 유통 자회사 1개), 최근 ERP 시스템 전환, 신용 한도 연장으로 인한 차입금 증가. 이들 요소를 종합하면 감사 위험이 높다. 특히 연결 재무제표 작성 시 자회사 재무제표 통합 절차에서 오류 위험이 크다.

문서화: 감사 계획 조서(감사 참고자료 1-000)에 위험 평가 결과를 기록한다. "높은 감사 위험: ERP 전환, 신규 연결회사, 차입금 증가로 인한 복합 거래 증가"라고 명시한다.

2단계 — 감사 목표 및 중요성 결정

전체 재무제표 중요성을 매출의 1%인 €870,000으로 설정한다. 수행 중요성(업무 수행 중 기준으로 사용할 금액)은 €435,000이다. 업계 특성상 제조업체의 매출 마진이 좁으므로 통상적인 5% 대신 1% 기준을 적용한다.

문서화: 중요성 산정 조서(감사 참고자료 1-010)에 산정 결과를 기록한다. 벤치마크 선정 근거("제조업 평균 마진 3-4%이고 Bergströms의 마진이 2.8%이므로 매출 기준 적용") 및 재검토 조건("분기별 실적이 예상 범위를 벗어나면 중요성 재평가")을 함께 남긴다.

3단계 — 주요 감사 영역 및 절차 시기 결정

주요 감사 영역은 자회사 통합, 신규 대출 조건, ERP 시스템의 통제 환경, 이전 감리 지적 사항 후속 조치 네 가지다. 자회사 재무제표는 현지 감사인이 감시할 수 없으므로 본사에서 자회사 조서를 직접 수취하여 검토하기로 결정한다. 신규 대출은 금융기관 확인서로 검증한다. ERP는 IT 전문가를 참여시켜 통제 환경을 평가한다.

완료 단계는 결산 후 5주 후로 설정한다. 이는 자회사가 현지 감사 완료 후 조서를 제출할 충분한 시간을 확보하기 위한 것이다. 시즌 중에 인차지가 일정을 조율하지 못하면 여기서 병목이 생긴다.

문서화: 감사 전략 조서(감사 참고자료 1-005)에 주요 영역 네 개를 기재한다. 각 영역별로 "시기: 현장 작업 4주차", "담당자: 선임 감사인 A", "근거: ISA 330.5에 따른 통제 테스트 필요성"을 기록한다.

4단계 — 감사 전략 검토 및 승인

감사 리더는 감사 전략 조서에 서명한다. 서명 날짜는 감사 현장 작업 개시 전이다. 현장 작업 중 새로운 위험(예: 자회사의 재고 검증 실패)이 발견되어 전략 변경이 필요하면 변경 사항을 기록하고 검토자 승인을 받는다.

문서화: 감사 리더 및 검토자의 서명란에 날짜를 기입한다. 변경이 있으면 별도 노트("2월 15일 자회사 재고 검증 실패로 인해 추가 분석적 절차 추가. 감사 리더 승인")를 기록한다.

Bergströms의 감사 전략은 네 가지 핵심 위험(연결, 차입금, 시스템, 전기 감리 지적)과 각각의 대응 절차를 명확히 한다. 솔직히 전략이 모호할수록 시즌 후반에 타임이팅이 시작되고 조서의 질이 떨어진다.

감사인과 검토자가 놓치는 것

감사 위험 평가 없는 전략 수립이 가장 빈번한 문제다. 많은 팀이 표준 전략 템플릿을 모든 클라이언트에 적용한다. ISA 300.8(a)는 피감사회사의 특성, 산업, 규제 환경을 감안하여 감사 전략을 결정하라고 명시한다. 금감원 감리(금감원 → 금융감독원)에서 지적받는 가장 흔한 항목은 "감사 위험 평가 결과가 감사 전략에 반영되지 않았음"이다.

감시 활동 충분성 미확인도 자주 발생한다. 감사 전략에는 감시 활동(ISA 330.19)을 수행할 충분한 시기가 명시되어야 한다. "현장 작업 전반에 걸쳐 분기별 감시"와 "현장 초반 1주차 감시만 수행"은 완전히 다른 전략이다. 많은 팀이 감시 활동의 시기를 전략에 명시하지 않는다. 결과적으로 현장 후반에 감시 활동을 생략하게 된다.

변경 사항 미기록 역시 감리 지적 대상이다. 감사 진행 중 위험도가 예상을 초과하거나 새로운 이슈가 발견되면 감사 전략을 변경해야 한다. ISA 300.9는 감사인이 "감사 계획을 재평가"하여 변경된 상황에 대응하도록 요구한다. 많은 조서에서 감사 전략이 수립된 후 변경되지 않은 채로 남아 있다.

같은 개념의 비교: 감사 전략 vs. 감사 계획

감사 전략과 감사 계획은 다르다. 감사 전략은 "어느 위험에 집중할 것인가"이고 감사 계획은 "구체적으로 어떤 절차를 언제 누가 수행할 것인가"다. ISA 300은 두 가지를 구분하여 다룬다.

감사 전략은 범위(scope)를 결정한다. "자회사 재무제표는 본사에서 수취하여 검토한다" "ERP 시스템은 IT 전문가와 함께 평가한다"는 전략적 결정이다. 반면 감사 계획은 세부사항을 결정한다. "자회사 조서 수취 시기는 현장 작업 3주차" "IT 전문가와의 회의는 2월 10일 오후 2시, ERP 통제 문서 사전 검토는 2월 8일"이 계획이다.

감사 전략이 모호하면 감사 계획도 집행할 수 없다. 전략을 먼저 명확히 한 후 계획을 수립하는 순서가 핵심이다.

관련 용어

- 감사 계획 - 감사 전략에 기초하여 구체적인 감시 절차, 실질적 절차, 시기를 결정하는 세부 문서. - 감시 활동 - 감사 진행 중 감사인과 감사팀의 업무를 지도, 감시하고 검토하는 활동. 감사 전략에 포함되어야 한다. - 감사 위험 평가 - 피감사회사의 사업, 산업, 규제 환경에서 발생 가능한 중요한 왜곡표시의 위험을 평가하는 절차. 감사 전략 수립의 기초다. - 중요성 - 감사 범위를 결정하는 정량적 기준. 감사 전략에 포함된다. - 실질적 절차 - 재무제표 거래와 잔액을 직접 검증하는 절차. 감시 활동의 정책에 기초하여 설계된다. - 통제 테스트 - 내부 통제의 효과성을 평가하는 절차. 통제에 대한 신뢰도가 감사 전략에 영향을 준다.

관련 도구

ciferi의 감사 전략 템플릿은 ISA 300.7-10의 요구사항을 구조화한 조서 형식으로 제공된다. 팀별 위험 평가, 전략적 의사결정, 서명 절차를 통합한다. 감사 전략 템플릿으로 이동

---