횡령위험과 내부회계관리제도 취약성이 감사시간･보수에 미친 영향

Effects of Asset Misappropriation Risks and Internal Control Weaknesses on Audit Hours and Audit Fees

외부감사인은 횡령 등 부정위험에 대비함으로써 투자자들을 보호한다. 횡령위험에 대한 중요성은 2005년 부터 국내 상장규정에서 횡령･배임 등 부정의 혐의발생 또는 사실확인 때 부정행위 정보를 공시하도록 요구한 것과 감사기준서 240에서 ‘회계분식(부정한 재무보고)’ 뿐만 아니라 ‘자산횡령’에도 감사인이 관심을 두도록 정한 것에서도 찾을 수 있다. 한편 외감법에서는 내부회계관리제도에 대하여 감사인의 검토를 감사로 강화하는 규정을 2019년부터 기업 규모에 따라 차례대로 시행한다. 선행연구에 따르면, 내부회계관리제도가 취약하면 감사인이 통제위험을 높게 평가하여 감사투입시간을 늘리고 감사보수를 높게 청구한다. 횡령행위 공시기업에 대해서도 이와 동일할 것이다. 또 내부통제가 취약할 경우 부정발생 위험이 더 크며, 부정위험 및 내부회계관리제도 취약성에 따라 감사인의 대응행동(감사시간･감사보수)이 달라진다. 본 연구는 이 내용을 기초로, 횡령공시기업(또는 횡령위험기업)에 대한 감사인의 대응행동이 내부회계관리제도 취약성 여부에 따라 다른지 조사한다. 연구 결과는 다음과 같다. 첫째, 내부회계관리제도가 취약한 기업은 사후에 횡령 등 부정사건(이하, “횡령사건”)을 공시할 가능성이 크다. 내부회계관리제도의 취약성 여부로 나눈 경우에도 조사결과는 같다. 둘째, 횡령사건 공시 이후에는 횡령공시기업의 감사시간과 감사보수프리미엄이 다른 기업보다 유의하게 더 높다. 그러나 횡령사건 공시 이전에는 이러한 차이가 유의하지 않다. 반면에 내부회계관리제도가 취약한 경우에는 감사시간이 더 높지만 감사보수프리미엄은 유의한 차이가 없다. 그런데 내부회계관리제도 취약점을 심각성 여부로 나누면, 두 경우 모두 감사시간은 더 높지만 감사보수프리미엄은 심각한 취약점의 경우에는 양의 값, 심각하지 않은 경우에는 음의 값을 가졌다. 이는 감사인이 횡령공시 이후와 내부회계관리제도 취약점(심각한 취약점, 심각하지 않은 취약점)을 ‘감사절차위험’ 성격으로 인식하며, 특히 이 중에서 횡령공시 이후와 심각하게 취약한 내부통제는 ‘감사인사업위험’ 성격까지 있다고 해석할 수 있다. 셋째, 내부회계관리제도 취약성과 횡령공시 전･후 변수의 감사시간 및 감사보수에 대한 결합효과는 대체로 유의하지 않다. 그러나, 내부회계관리제도 취약성을 심각성 여부에 따라 나눈 결과에서는 심각하지 않은 취약점을 보고한 기업이 횡령공시를 한 이후에는 감사시간과 감사보수프리미엄의 증분효과가 유의한 양의 값으로 나타났다. 이는 감사인들이 횡령공시 이후에는 심각한 내부통제 취약점뿐만 아니라 심각하지 않은 경우에도 ‘감사절차위험’과 ‘감사인사업위험’ 성격을 모두 가져서 더 이상 관대한 대응을 하지 않았다고 볼 수 있다. 본 연구는 회계감사기준에서 단순 회계부정뿐만 아니라 횡령행위에 대한 감사절차까지 고려하도록 정한 측면에 초점을 맞추어, 횡령사건만을 대상으로 하여 감사인의 대응을 조사하였으며, 이를 내부회계관리제도 취약점과 결합하여 조사하였다. 이러한 조사결과는 내부회계관리제도에 대한 감사제도 의무화의 단계적 시행과 표준감사시간제도 적용을 앞두고 감사위험요소에 대한 감사인의 대응 차이를 조사함으로써, 국내 회계감독 및 감사실무 차원에서의 감사인의 차별적 관심 부분에 대한 실증증거를 제시한다.

Stakeholders require external auditors to play a role in managing fraud risk and protect investors as public watchdog . The importance of asset misappropriation risk can also be found in the Korean Stock Exchange s requirement for public companies in Korea to disclose information about misappropriation of assets or breach of trust when if there is suspicions or settlements of such frauds. With respect to the frauds, U.S. audit standards (SAS) No. 82 was implemented in the United States in 1997, and, since then, the current audit procedures to require auditors to pay more attentions to misstatements by the frauds comprising misappropriation of assets as well as fraudulent financial reporting. International audit standards (ISA) No. 240 also have similar requirements with U.S. SAS No. 82, as is designed to require auditors to pay more attentions so as to obtain reasonable confidence in not only fraudulent financial reporting but also misappropriation of assets (Caplan 1999). Meanwhile, the External Audit Laws of Korea (Financial Supervisory Commission 2017), as amended in 2017, provided an step-by-step requirement for attestations on internal controls for financial reporting management system of public companies from review to audit depending on their size and listed/unlisted status. This change in the environment of internal control systems, in conjunction with the audit standards on the enhanced fraud audit procedures, raises the need to investigate how the auditors respond to internal control weaknesses for financial reporting in conjunction with fraud risks such as misappropriation of assets. According to prior studies, the auditor assess the control risk high to increase audit hours and charge higher audit fee premiums if internal controls are weak (Raghunandan and Rama 2006; Hoitash et al. 2008; Hogan and Wilkins 2010). Public companies that disclose fraud commitments, such as misappropriation of assets, are also be assessed as having a high risk of audit, which will increase audit hours and audit fee premiums (Zimbelman 1997). It is also reported that if internal control is weak, there is a higher risk of fraud (Bell and Carcello 2000, Lee S. W. Lee 2010). Caplan (1999) stated that for high fraud risk companies, “the weaker internal control, the greater the audit failure risks,” and explained that it requires the auditors to more attend to fraud risks in audits. Also, the External Audit Laws of Korea (Financial Supervisory Commission 2017), as amended in 2017, requires to implement the “Standard Audit Hour (SAH) System” to improve audit quality, which is, however, in controversy since there are large disagreement among auditors and client companies regarding how to reflect company characteristics into the SAH computations. This raises the need to investigate how the SAH should be estimated. In particular, where a controversy over the method how to estimate the appropriate SAH exist, it needs to accumulate empirical evidences regarding he specific company characteristics, such as asset misappropriation risk, to be considered in the SAH estimation and the related audit fee decision. I find evidences on the auditors response to enterprises that are at high risk of misappropriation of assets, as combined with their internal control weaknesses for financial reporting. Samples are 9,167 firm-years of public companies (1,144 firm-years for matching samples), among which fraud-disclosure samples are 622 firm-years (318 firm-years for propensity-scored matching samples). The experimental variable is the firm-years who has disclosed the frauds comprising misappropriation of assets, where the firm-years within three years before and after the fraud disclosure. The results of the study are summarized as follows. First, companies with an weak internal controls for financial reporting are more likely to disclose fraud of asset misappropriations.…