중요한 오류표시 위험(RMM)

핵심 내용

- 중요한 오류표시 위험 = 발생 위험 × 감지 위험. 허용 가능 감사 위험을 달성하려면 감사인이 이를 제어해야 한다. - ISA 315에서 발생 위험을 식별·평가한다. ISA 330에서 그에 맞는 감지 위험 수준을 설계한다. - 대부분의 감사 파일에서 RMM 평가가 절차 설계를 주도하지 못한다. 체계적으로 낮지 않은 위험이 기계적으로 높은 수준의 감지 위험(낮은 수준의 절차)으로 처리된다.

---

작동 방식

ISA 320.11은 감사인이 감사 의견을 제시하기 위해 감사 위험을 허용 가능 수준으로 낮추도록 규정한다. 감사 위험은 세 가지 구성요소의 곱이다: 발생 위험, 감지 위험, 통제 위험이다. ISA 330.5에 따르면, 감사인은 RMM을 고려해 감지 위험을 결정한다.

실무에서는 이것이 역으로 작동한다. 감사인이 발생 위험을 "높음"으로 판단하면, 감지 위험을 "낮음"으로 설정해야 한다(더 강한 절차 필요). 반대로 "낮음"으로 판단하면 감지 위험을 "높음"으로 설정할 수 있다(덜 강한 절차 가능).

ISA 315.25는 발생 위험을 두 수준에서 식별한다. 재무제표 전체 수준과 주장 수준이다. 주장 수준의 RMM(ISA 315.26)은 절차 설계의 직접적 입력이다. ISA 330.6은 감사인이 RMM에 대응하는 절차를 설계하도록 규정한다.

사실 RMM 평가와 절차 설계가 분리된 채 운영되는 사무소가 더 흔하다. "높은 RMM"이라고 적어두고도 표본은 표준 템플릿대로 가져간다. ISA 315와 ISA 330은 평가가 절차를 구동하도록 요구한다.

---

산출 예시: Lindholm 수력발전 운영회사

고객: 스웨덴 소재 수력발전 운영회사, FY2024, 매출 €28M, IFRS 보고, 비상장사.

배경: 고객은 운영 중인 수력발전소 4곳 및 건설 중인 시설 1곳을 보유한다. 에너지 가격 변동성이 높으며, 환경 규제 변경 가능성이 있다. 전년도 감사에서 장기자산 손상 테스트가 도전과제였다.

Step 1: 재무제표 전체 수준 RMM 평가: 감사인은 다음을 평가한다. 경영진 특성(안정적, 내부 통제 의식), 산업 특성(규제 변동성 높음, 현금흐름 예측 어려움), 운영 복잡성(해외 규제, 환경 감시). ISA 315.A128은 산업 및 규제 요인을 고려하도록 규정한다.

조서 노트: 감사 기획 조서에서 "재무제표 전체 수준 RMM: 중간–높음. 에너지 가격 변동성 및 건설 프로젝트 실패 위험으로 인함."

Step 2: 주장 수준 RMM 식별: 감사인은 주요 주장을 식별한다:

- 장기자산(수력발전소): 손상 위험 높음. 현금흐름 예측이 에너지 가격과 규제 변경에 민감하다. - 건설 중인 자산: 완공 일정 지연 및 초과 비용 위험. 손상 위험을 증가시킨다. - 환경 의무 충당부채: 규제 변경이 의무 범위를 변화시킨다. - 차입금(부채): 에너지 가격 하락 시 이자보상비율 약정 위반 위험.

ISA 315.26은 감사인이 각 주장에서 RMM을 평가하도록 규정한다.

조서 노트: RMM 매트릭스. 행: 주요 주장(실현성, 완전성, 가치평가); 열: 각 주장의 발생 위험 수준(높음/중간/낮음) 및 근거.

Step 3: 감지 위험 결정 및 절차 설계: 장기자산 손상(높은 RMM)에 대해 감사인은 감지 위험을 낮춰야 한다. ISA 330.6은 RMM에 대응하는 절차를 설계하도록 규정한다.

- 높은 RMM(손상): 감지 위험 낮음 필요 → 절차 강화. 예: 현금흐름 예측 모델 독립 테스트, 에너지 시장 전문가 참여, 규제 변경 영향 분석. - 중간 RMM(부채 약정): 감지 위험 중간 → 중간 강도 절차. 예: 약정 계산 재작성, 재무 데이터 추적. - 낮은 RMM(매출 인식): 감지 위험 높음 가능 → 분석적 절차만 수행 가능. 전년도 금액 대비 변동 분석.

조서 노트: "절차 설계 조서. RMM 높음(손상): 현금흐름 모델 독립 재작성, 3시나리오(기본/낙관/비관) 분석, 규제 영향 검증. 증거 취득: 에너지 분석가 보고서, 규제청 공시, 고객 관리자 인터뷰. 감지 위험: 낮음. 결론: 충분한 증거 달성."

RMM이 절차 강도를 좌우한다. 높은 RMM 주장은 더 강한 절차를, 낮은 RMM 주장은 덜 강한 절차를 정당화한다. 모든 주장을 동일하게 감사하지 않는다.

---

감시자와 실무자가 놓치는 것들

1순위 금감원 지적: 많은 감사 파일에서 RMM 평가와 절차 강도 간 연결이 문서화되지 않는다.

> 금감원: "충분·적합한 감사증거 확보가 미흡한 것으로 확인되었습니다."

실무에서 의미하는 것: 조서가 너무 얇다. 감사인이 "높은 RMM"으로 평가했으나 감지 위험 수준에 관계없이 표준 절차만 수행한 사례다. ISA 330.6은 RMM에 대응하는 절차를 요구한다. 연결고리를 보여야 한다.

2순위 표준 기반 오류: ISA 315.25–26은 감사인이 RMM을 주장 수준에서 평가하도록 규정한다. 막상 해보니까 거래 유형 수준(예: "매출 거래")에서만 평가하는 팀이 많다. 주장 수준(예: "매출의 발생 주장")에 도달하지 않는다. 주장이 명시되지 않으면 주장별 절차를 설계할 수 없다.

3순위 실무 간극: "높은 RMM"과 "낮은 감지 위험"은 같은 의미이지만 감사 파일에서는 분리되어 있다. 감사인이 RMM을 평가한 후, 별도 결정으로 표본 크기나 절차 범위를 설정하는 관행. RMM이 절차를 주도하지 않는다.

새내기 인차지 시절에는 RMM 평가가 무슨 의미인지 몰랐다. 양식만 채웠다. 이제는 RMM이 표본 크기와 절차 시기를 결정해야 하는 이유를 안다. ISA 330.6의 "대응" 요구가 평가-절차 간 연결을 강제하는 조항이다.

---

발생 위험 vs 중요한 오류표시 위험

발생 위험은 내재적 위험이다. 감사 절차 없이도 오류가 발생할 가능성이다. 경영진의 성향, 거래 복잡성, 산업 특성에 따라 결정된다.

중요한 오류표시 위험(RMM)은 발생 위험에 감지 위험을 곱한 것이다. 감사 절차가 오류를 감지하지 못할 확률이다. 같은 높은 발생 위험이라도 강한 절차로 감지 위험을 낮추면 RMM은 낮아진다.

어느 때 중요한가: 절차 설계 시. 발생 위험이 높으면 감지 위험을 낮춰야 하므로, 절차를 더 강하게 설계해야 한다.

혼동하는 경우: 많은 팀이 "발생 위험 높음 = 절차 강화"라고 생각하면서도, 실제로는 절차 강도를 변경하지 않는다. RMM 평가는 해 놓고, 절차는 표준 템플릿을 사용한다.

---

관련 용어

- 발생 위험 – 감사 절차 없이 오류가 존재할 확률. RMM의 첫 번째 구성요소. - 감지 위험 – 감사 절차가 중요한 오류표시를 발견하지 못할 확률. RMM의 두 번째 구성요소. - 통제 위험 – 내부 통제가 중요한 오류표시를 예방 또는 적시에 발견하지 못할 확률. ISA 330의 절차 강도를 결정합니다. - 감사 위험 – 감사인이 중요한 오류표시가 있는 재무제표에 적정의견을 제시할 위험. 허용 가능 수준으로 낮춰야 합니다. - 절차 설계 – RMM에 대응하는 감사 절차를 선택하고 범위를 결정하는 과정. ISA 330.6의 핵심.

---

RMM 계산기 사용

ciferi의 RMM 위험 평가 계산기는 발생 위험, 통제 위험, 허용 가능 감사 위험 수준에 따라 필요한 감지 위험 수준을 자동으로 산정합니다. 수동 계산 오류를 제거하고, 절차 강도가 계산된 RMM과 일치하는지 검증합니다.

---