2021. 5. 11
내부회계관리제도운영위원회
내부회계관리제도운영위원회
목 차
내부회계관리제도운영위원회(위원장 : 이재은 홍익대 교수, 이하 ‘운영위원회’)가 2005년에 발표한 모범규준 등(이하 ‘舊모범규준 등’)은
적용대상 기업을 상장 및 중소기업 여부에 따라 구분하고 해당 분류별로 그 수준을 달리하여 내부회계관리제도 설계·운영·평가의 원칙을 제시
<舊모범규준 등의 구성과 적용대상>
반면, 운영위원회가 2018년에 발표한 모범규준 등(이하 ’新모범규준 등‘)은 기업 구분 없이 단일 준거기준 체계로 구성
<新모범규준 등 구성과 적용대상>
운영위원회는 중소기업의 내부회계관리제도 준수·이행 비용과 부담을 완화하기 위하여 ’新모범규준 등‘도 ’舊모범규준 등‘과 같이 기업규모 등에 따라 내부회계관리제도 적용수준을 달리하는 것이 필요하다고 결정하였으며, 이에 따라 ’중소기업 내부회계관리제도 설계 및 운영 적용기법(이하 ‘중소기업 설계·운영 적용기법’) 및 ‘중소기업 내부회계관리제도 평가 및 보고 적용기법(이하 ’중소기업 평가·보고 적용기법‘) 공개초안을 마련하여 발표하게 되었음.
< 新모범규준 등의 변화된 구성체계 >
< 舊모범규준 등 >
- ➊ ‘내부회계관리제도모범규준(이하 ’舊모범규준‘)’
- ➋ ‘내부회계관리제도모범규준 적용해설서(이하 ’적용해설서‘) 및 내부회계관리제도모범규준 중소기업 적용해설서(이하 ’중소기업 적용해설서‘)
<舊모범규준 등의 구성과 적용대상>
| 적용대상*1 | 모범규준 | 적용해설서 |
|---|---|---|
| 상장대기업 | 제1장~제4장 | (일반) 적용해설서 |
| 상장중소기업 및 비상장대기업 | 제5장 ‘중소기업에 대한 적용’*2 | 중소기업 적용해설서*2 |
| 비상장중소기업 | 제6장 ‘부칙’*3 |
*1 대기업과 중소기업의 구분은 ’중소기업기본법‘의 분류기준을 따름
*2 중소기업의 경영환경을 고려하여 대기업보다 완화된 방식의 적용을 허용
*3 모범규준 적용없이 주식회사 등의 외부감사에 관한 법률(이하 ’외감법‘)상 규정과 조직을 구비하고 관련 통제절차를 준수하면 모범규준을 준수한 것으로 간주(문단 71)
*2 중소기업의 경영환경을 고려하여 대기업보다 완화된 방식의 적용을 허용
*3 모범규준 적용없이 주식회사 등의 외부감사에 관한 법률(이하 ’외감법‘)상 규정과 조직을 구비하고 관련 통제절차를 준수하면 모범규준을 준수한 것으로 간주(문단 71)
반면, 운영위원회가 2018년에 발표한 모범규준 등(이하 ’新모범규준 등‘)은 기업 구분 없이 단일 준거기준 체계로 구성
< 新모범규준 등 >
- ➊ ‘내부회계관리제도 설계 및 운영 개념체계(이하 ’설계·운영 개념체계‘)’ 및 ‘내부회계관리제도 설계 및 운영 적용기법(이하 ’설계·운영 적용기법‘)’
- ➋ ‘내부회계관리제도 평가 및 보고 모범규준(이하 ’평가·보고 모범규준‘)’ 및 ‘내부회계관리제도 평가 및 보고 적용기법(이하 ’평가·보고 적용기법‘)’
<新모범규준 등 구성과 적용대상>
| 적용대상 | 설계 및 운영 | 평가 및 보고 | 舊모범규준과의 비교 | ||
|---|---|---|---|---|---|
| 구분 없음* | 설계․운영 개념체계 | 평가․보고 모범규준 | (독립적인) 중소기업 적용문단 부재 | ||
| 설계․운영 적용기법 | 평가․보고 적용기법 | 중소기업 적용기법 부재 | |||
* 상장 또는 중소기업 여부에 상관없이
단일 준거기준 체계로 구성되어 있으며, 일부 내용에서 중소기업에 대한 적용방안을 언급하는 정도로 기술
운영위원회는 중소기업의 내부회계관리제도 준수·이행 비용과 부담을 완화하기 위하여 ’新모범규준 등‘도 ’舊모범규준 등‘과 같이 기업규모 등에 따라 내부회계관리제도 적용수준을 달리하는 것이 필요하다고 결정하였으며, 이에 따라 ’중소기업 내부회계관리제도 설계 및 운영 적용기법(이하 ‘중소기업 설계·운영 적용기법’) 및 ‘중소기업 내부회계관리제도 평가 및 보고 적용기법(이하 ’중소기업 평가·보고 적용기법‘) 공개초안을 마련하여 발표하게 되었음.
< 新모범규준 등의 변화된 구성체계 >
| 설계 및 운영 | 평가 및 보고 | ||
|---|---|---|---|
| 설계․운영 개념체계 | 평가․보고 모범규준 | ||
| (일반) 설계․운영 적용기법 | (일반) 평가․보고 적용기법 | ||
| (New) 중소기업 설계․운영 적용기법 | (New) 중소기업 평가․보고 적용기법 | ||
- □
상장중소기업*1 및 비상장대기업*2을 적용대상으로 하고,
비상장중소기업에 대한 적용내용*3(舊모범규준 부칙의 내용)을 부칙으로 신설
*1 상장(유가증권시장, 코스닥시장, 코넥스시장)기업으로서 중소기업기본법상 중소기업으로 분류되는 기업
*2 비상장대기업이라 하더라도 외감법에 따른 금융회사는 적용대상에서 제외(일반 원칙 적용, 비상장 중소 금융회사는 부칙 적용)
*3 비상장중소기업은 新모범규준 등의 내용에 불구하고 외감법에 따라 내부회계관리규정 및 조직을 구비하고 내부회계관리규정상 관련 통제절차를 모두 준수하는 경우 新모범규준 등을 준수한 것으로 간주
- □
상위(上位)규준에 해당하는 설계·운영 개념체계 및 평가·보고 모범규준에 중소기업 적용기법 제정근거를 마련
* 설계·운영 개념체계 및 평가·보고 모범규준에 ‘제4장 중소기업에 대한 적용’을 각각 신설
< 新모범규준 등의 구성체계와 적용대상 >
| 적용대상 | 개념체계 | 모범규준 | 적용기법 |
|---|---|---|---|
| 상장대기업 | 전반내용 | 전반내용 | (일반) 적용기법 |
| 상장중소기업 및 비상장대기업 | 제4장 중소기업에 대한 적용 | 제4장
중소기업에 대한 적용 | 중소기업 적용기법 |
| 비상장중소기업 | 부칙 | 부칙 |
- □
내부회계관리제도의 5가지 구성요소(Components), 17가지 원칙(Principals) 및
원칙달성을 위한 중점 고려사항(Point of Focus)은 상장대기업과 상장중소기업(또는 비상장대기업)간 차이가 없는 가운데,
- 이를 세부적으로 적용하는 과정에서 중소기업의 경영환경 등을 고려하여 대기업에 비해 유연한 방식을 적용할 수 있도록 허용
* 이 경우에도 내부통제의 5가지 구성요소 및 17가지 원칙이 훼손되지 않도록 유의하여야 함.
☞ 세부 내용은 첨부자료 1, 2 참조(상장대기업·상장중소기업 적용기법 대비표)
- 이를 세부적으로 적용하는 과정에서 중소기업의 경영환경 등을 고려하여 대기업에 비해 유연한 방식을 적용할 수 있도록 허용
- □
특히 운영위원회는 중소기업의 경우 통제목적을 달성하는 방식이 대기업과 상이할 수 있는 점에 주목하여,
- 대기업에 비해 비공식적 수단을 활용하거나 문서화가 덜 공식적일 수 있다는 점을 반영
중소기업의 경우 대기업에 비해 사업 규모가 크지 않고, 업무프로세스 역시 단순하기 때문에 통제 수행과정에서 고위 경영진 등의 직접적인 관여가 효과적일 수 있음. 따라서
내부회계관리제도의 설계 및 운영과정에서 대기업과는 달리 경영진 등에 의한 직접적인 표현(의사표시), 일상적 모임, 구두의견 제시 등 비공식적 수단을 활용할 수 있도록 그 근거를 마련함.
아울러 중소기업의 경우 대기업에 비해 통제 운영에 관한 문서화가 덜 공식적일 수 있는 점을 고려하여 설계·운영 및 평가·보고 단계상 문서화가 요구되는 부분에서 해당 내용을 반영함. 예를 들어 직무기술서 및 서비스수준합의서 등을 기안결재서류, 메모 등에 의존할 수 있도록 하고, 적격성이나 업무처리방식과 관련된 정책이나 절차가 대기업에 비해 덜 공식적으로 문서화될 수 있다는 내용을 반영하고 있음.
다만, 문서화가 부족하거나 비공식적 수단이 사용되는 경우 내부회계관리제도를 평가하는 과정에서 합리적인 결론을 내리거나, 해당 통제의 효과적 설계와 운영사실을 입증하는데 어려움이 발생할 수도 있음. 그러한 상황에서 통제운영자는 비공식적 수단의 발생사실 또는 문서화가 부족한 통제의 효과적인 운영여부를 확인할 수 있는 간접적인 근거(기안, 회의안건, 미팅계획안, 회의소집 이메일 등) 등을 통해 해당 사실을 확인하는 것이 필요할 것임.
아울러 중소기업의 경우 대기업에 비해 통제 운영에 관한 문서화가 덜 공식적일 수 있는 점을 고려하여 설계·운영 및 평가·보고 단계상 문서화가 요구되는 부분에서 해당 내용을 반영함. 예를 들어 직무기술서 및 서비스수준합의서 등을 기안결재서류, 메모 등에 의존할 수 있도록 하고, 적격성이나 업무처리방식과 관련된 정책이나 절차가 대기업에 비해 덜 공식적으로 문서화될 수 있다는 내용을 반영하고 있음.
다만, 문서화가 부족하거나 비공식적 수단이 사용되는 경우 내부회계관리제도를 평가하는 과정에서 합리적인 결론을 내리거나, 해당 통제의 효과적 설계와 운영사실을 입증하는데 어려움이 발생할 수도 있음. 그러한 상황에서 통제운영자는 비공식적 수단의 발생사실 또는 문서화가 부족한 통제의 효과적인 운영여부를 확인할 수 있는 간접적인 근거(기안, 회의안건, 미팅계획안, 회의소집 이메일 등) 등을 통해 해당 사실을 확인하는 것이 필요할 것임.
- □ 기발표된 新모범규준 등의 적용시기에 맞춰 동시에 적용
< 참고 : 新모범규준 등의 적용시기 >
* (상장회사) (’19) 자산 2조 이상 → (’20) 5천억 이상 → (’22) 1천억 이상 → (’23) 전체
* (비상장회사) (’23) 전체 비상장회사
* (상장회사) (’19) 자산 2조 이상 → (’20) 5천억 이상 → (’22) 1천억 이상 → (’23) 전체
* (비상장회사) (’23) 전체 비상장회사
| 요소 | 원칙 | 설계·운영 적용기법 | 상장대기업 설계·운영 적용기법 | 상장중소기업 설계·운영 적용기법 | |
|---|---|---|---|---|---|
통제 환경 (1~5) |
원칙 1 도덕성과 윤리적 가치에 대한 책임 강조 | 1.1 | 윤리·행동강령 및 제반 절차의 제정 | ● 공식적이고 문서화된 윤리·행동강령 등 마련 | ● 직접적인 표현, 구두의견 제시 또는 일상적인 모임 등 비공식적 수단을 활용하여 윤리문화 조성 가능 |
| ● 회사 모든 인원이 윤리·행동강령을 숙지하고 실천할 수 있는 다양한 절차를 마련하여 제공 | ● ‘윤리·행동강령의 중요성과 이를 준수하여야 한다는 경영진의 의지(Tone at the Top)’를 중심으로 이를 전달하고 공유 | ||||
| 1.2 | 도덕성과 윤리성에 대한 경영진의 솔선수범 | ● 전사(全社)에 도덕성과 윤리적 가치의 중요성을 강조하고 솔선수범하기 위해 고려해야 하는 다양한 방식을 제시 | ● ‘윤리·행동강령의 중요성과 이를 준수하여야 한다는 경영진의 의지(Tone at the Top)’를 임직원들과 지속적으로 소통·강조하고 솔선수범 | ||
| 1.3 | 임직원의 윤리규범 준수 여부 평가 | ● 윤리규범 준수 여부 평가대상에 사업관계에 있는 외부조직 포함 | ● 윤리규범 준수 여부 평가대상을 사내 임직원으로 한정 | ||
| 1.4 | 윤리·행동강령 위반사항에 대한 보고와 즉각적인 조치 절차의 수립 | ||||
|
원칙 2 이사회의 내부회계관리제도 감독 책임 | 2.1 | 이사회의 역할, 책임 및 위임 규정 수립 | ● 이사회의 역할, 책임 및 위임 권한은 관련 법규 및 정관, 이사회 규정 등에 정의 | ● 문서화 또는 공식적인 절차보다는 경영진에 대한 직접적인 구두의견 제시, 비공식적 회의 또는 일상적인 모임 등의 수단을 활용하여 감독활동 수행 가능 | |
| 2.2 | 이사회와 경영진 간 회의 정책 및 절차 수립 | ● 이사회와 경영진 간 회의 정책 및 절차를 정기적으로 검토하고 승인 | |||
| 2.3 | 이사회 위원의 선임과 주기적 검토 | 차이없음 | |||
| 2.4 | 경영진의 중요한 판단에 대한 검토 | ||||
| 2.5 | 외부 정보와의 비교 검토 | ||||
| 2.6 | 내부회계관리제도에 대한 내부고발 정보 고려 | ||||
|
원칙 3 조직구조, 보고체계 및 책임·권한 정립 | 3.1 | 역할과 보고체계의 정의 및 적정성 평가 | ● 각 부서나 조직별로 내부회계관리제도 관련 책임을 명확하게 정하여 제시하기 위해 조직도, 프로세스 정의서 및 직무기술서 등의 문서를 활용 | ● 기안결재서류, 메모 등의 비공식적인 문서 활용 가능 | |
| 3.2 | 전결 권한 등의 정의 | 차이없음 | |||
| 3.3 | 직무기술서와 서비스수준합의서 관리 | ● 직무기술서 및 서비스수준합의서 유지 필요 | ● 메모 등 비공식적인 문서로 대체 가능 | ||
| 3.4 | 내부회계관리제도 관련 부서의 역할 정의 | ● 내부회계관리제도 전담부서 설치 권장 | ● 내부회계관리제도 전담부서를 두거나 전담인원을 지정하기 어려운 경우 기존의 조직 또는 인원 활용 가능 | ||
|
원칙 4 적격성 있는 인력의 선발, 육성 및 관리 | 4.1 | 필요한 지식, 기술 및 경험을 정의 | ● 직무기술서를 활용 | ● 메모 등 비공식적인 문서로 대체 가능 | |
| 4.2 | 인사정책과 절차에 적격성 기준을 연계 | 차이없음 | |||
| 4.3 | 필요한 교육의 선정 및 수행 | ||||
| 4.4 | 적격한 외부서비스제공자 선정 | ● 외부서비스제공자의 적격성 측면의 요구사항을 마련 | ● 외부서비스제공자에 대한 적격성 측면의 요구사항을 별도로 요구하지 않으며, 재무보고 활동 관련 적격성 확보를 위해 외부 회계전문가의 활용 강조 | ||
| 4.5 | 적격성에 부합하는 업무처리 여부 평가 | ● 임직원의 적격성 및 업무처리 방식에 대한 기준을 공식화하고, 해당 정책 또는 절차와 부합하는 방식으로 업무가 처리되는 지 다양한 방식으로 확인·평가 | ● 적격성 및 업무처리방식 관련 정책이나 절차가 비공식적일 수 있고, 성과평가 항목의 구성, 평가대상 및 평가절차 역시 상대적으로 간소화된 방식으로 운영 가능 | ||
| 4.6 | 내부회계관리조직의 능력 평가 | ● 재무정보를 기록하는 임직원 및 관련 IT시스템을 설계 및 개발하는 임직원의 능력을 평가 | |||
| 4.7 | 외부 재무보고에 대한 핵심적인 역할의 승계 관리 | ● 이사회는 대표이사, 최고재무책임자, 내부회계관리자와 같은 핵심적인 역할을 확인하고, 역할별 승계계획을 수립하고 수행 | ● 공식적인 승계계획을 유지하는 대신, 핵심적인 역할을 담당하는 기존 임직원을 대체할 수 있는 내부 인력을 사전에 비공식적으로 식별하거나, 필요 시 신속한 채용절차를 진행할 수 있는 등의 방식 적용 가능 | ||
|
원칙 5 내부회계관리제도 관련 책임 부여 | 5.1 | 내부회계관리제도 관련 책임 정의 및 강조 | ● 대표이사와 내부회계관리자는 예외사항이나 미비점을 강조하고, 관련 인원들에게 각각의 책임을 준수하고 있음을 확인하도록 요구 | ● 비공식적인 회의 또는 일상적인 모임 등을 통해 예외사항이나 미비점 및 관련 임직원의 역할과 책임 강조 가능 | |
| 5.2 | 균형 잡힌 성과평가, 인센티브 및 보상 개발 | ● 성과평가, 인센티브 및 보상 정책 수립시 고려해야 할 사항을 세부적으로 제시하고, 관련 내용 이사회에 보고 | ● 성과평가 등 정책 수립시 유연하고 간소한 방식 적용 가능(세부 고려사항, 보고의무 등 삭제) | ||
| 5.3 | 성과측정지표의 적정성 검토 | ● 성과측정지표가 의도대로 작동하고 있는지를 검토하고 주기적으로 적정성을 평가(세부평가항목 예시형태로 제시) | ● 좌동, 단, 성과측정지표 적정성 평가주기 및 세부 평가항목 예시 삭제 | ||
| 5.4 | 성과에 대한 보상을 연계 | 차이없음 | |||
| 위험 평가 (6~9) | 원칙
6 내부회계관리제도의 구체적인 목적 수립 | 6.1 | 재무제표 계정, 공시 및 경영자 주장 확인 | 차이없음 | |
| 6.2 | 재무보고 목적의 구체화 | ||||
| 6.3 | 중요성의 고려 | ||||
| 6.4 | 회계정책의 수립 및 변경 | ● 고유의 회계정책, 지침 및 절차가 필요한 부분을 파악하고 중요한 항목에 대해 관련 정책을 마련 | ● 좌동, 단, 관련 정책을 메모 등을 활용하여 문서화하는 것이 가능 | ||
| 6.5 | 다양한 기업활동의 고려 | 차이없음 | |||
|
원칙 7 위험 식별 및 분석 | 7.1 | 위험 식별 절차 | ● 위험을 식별하기 위해 계정과목 프로세스 연계표 등을 이용하여 계정과목과 연관된 프로세스 및 연관 위험을 표시 | ● 위험의 식별·평가 과정과 문서화를 상대적으로 단순화할 수 있음 | |
| 7.2 | 계정과목 등에 대한 위험평가 | ● 경영진은 특정 계정의 왜곡표시 위험이 과소평가될 수 있는 가능성에 대하여 정성적 평가를 수행 | ● 양적인 측면에서 중요성 금액을 초과하는 계정과목 등이라도 질적 요소를 고려할 때 중요한 재무제표 왜곡표시의 발생가능성이 크지 않다고 판단되는 경우에는 평가대상에서 제외 가능. 단, 그 근거의 명확한 문서화 필요 | ||
| 7.3 | 기업 구성원과의 논의 | ● 특정한 기업 구성원들과 정기적인 회의를 통해 위험평가가 적절하였는지 확인 | ● 조직 내 관련 임직원들과 정기적 또는 비정기적 회의를 통해 위험평가 결과를 확인 | ||
| 7.4 | 식별된 위험의 중요도와 발생 가능성에 대해 평가 | 차이없음 | |||
| 7.5 | 내/외부 요인 고려 | ● 재무보고 목적 달성을 위한 회사의 능력에 영향을 줄 수 있는 내·외부 요인을 고려(내·외부 요인 사례 제시) | ● 좌동. 단, 내·외부 요인 사례 삭제 | ||
| 7.6 | 위험 대응방안에 대한 평가 | 차이없음 | |||
|
원칙 8 잠재적인 부정위험 평가 | 8.1 | 부정위험 평가 수행 | 차이없음 | ||
| 8.2 | 통제를 무시하거나 우회하는 접근법 고려 | ||||
| 8.3 | 부정위험에 대한 대응방안 | ● 부정위험 평가 결과와 이에 대한 대응방안 등은 이사회 혹은 감사(위원회)의 검토 확인이 필요 | ● 좌동. 단, 감사(위원회)는 경영진의 권한남용이나 내부통제 무시를 비롯한 부정위험, 중요한 회계추정과 관련된 가정과 판단의 합리성 등에 집중하여 감독기능 수행 가능 | ||
| 8.4 | 보상정책과 연관된 유인과 압박에 대한 검토 | ● 경영진은 내부감사 등을 통하여 성과평가 및 보상을 위해 구성원이 부정을 저지를 수 있는 잠재적인 압력과 유인을 파악 | ● 경영진은 재무목표의 달성 여부가 개인의 성과평가나 보상에 영향을 미치는 경우 이에 따른 재무제표 왜곡표시 위험을 고려 | ||
|
원칙 9 중요한 변화의 식별과 분석 | 9.1 | 내/외부 변화 파악 | 차이없음 | ||
| 9.2 | 중요한 변화에 대한 위험평가 수행 및 대응방안 수립 | ||||
| 9.3 | 업무승계를 통한 변화 고려 | ||||
| 9.4 | 대표이사 및 고위 경영진 변경 고려 | ||||
| 통제 활동 (10~12) | 원칙
10 통제활동의 선택과 구축 | 10.1 | 식별 및 분석된 위험에 대응하는 통제활동을 설계 | ● 재무제표 등의 중요한 왜곡위험이 경영자 주장별로
식별되어 평가되면, 고유위험이 발생하는 프로세스를 확인하고 각각의 위험을 감소시킬 수
있는 통제활동을 수립 ● 통제활동의 유지 관리가 적절히 이뤄졌는지 확인하기 위해 주기적으로 통제기술서 및 업무흐름도의 검토를 수행 ● 통제활동 설계 시 다양한 유형의 통제활동을 조합 적용 |
● 좌동, 단, 제반 통제활동을 모두 갖추기 보다는
중요한 통제에 집중하여 통제활동을 설계하고, 회사에 적합한 보완통제(경영진의 모니터링
강화, 산출된 자료의 적정성 검증 등)로 대체 가능 ● 좌동. 단, 내부회계관리제도 설계의 문서화를 위해 통제기술서를 위주로 활용할 수 있으며, 이때 추적조사의 절차를 생략하고 질문 및 문서검사 위주로 검토 수행 가능 ● 좌동. 단, 예방통제나 적발통제 중 보다 효과적인 통제를 중심으로 통제활동 수행 가능 |
| 10.2 | 제3자에게 아웃소싱 하는 경우 통제활동의 수립 및 평가 | ● 외부서비스제공자의 통제에 대한 인증보고서를 입수하지 못하는 경우 외부서비스제공자의 통제활동을 회사가 직접 평가하는 방안을 고려 | ● 좌동. 추가적으로 외부서비스제공자의 통제활동의 적정성을 모니터링하는 절차 또는 외부서비스제공자가 제공하는 정보의 정확성을 확인하기 위한 회사의 검토절차를 평가하는 방안도 고려 가능 | ||
| 10.3 | 통제활동의 유형과 통제위험을 고려 | ● 재무제표 등의 중요한 왜곡표시 위험을 감소시킬 수 있는 통제활동 수립 시, 설계·운영 개념체계에서 제시한 다양한 유형의 통제활동을 고려 | ● 좌동. 단, 예방통제나 적발통제 중 보다 효과적인 통제를 중심으로 통제활동 수행 가능 | ||
| 10.4 | 업무분장이 어려운 경우 보완통제 활동 고려 | ● 업무분장이 이뤄지기 어려운 경우 적절한 보완통제 활동을 수립 | ● 좌동. 단, 적절한 수준의 검토 통제를 설계 및 운영하거나 외부자원을 활용함으로써 업무분장의 미비로 인한 잠재적인 위험을 보다 용이하게 보완하는 것도 가능 | ||
| 10.5 | 업무분장 기준 수립 | 차이없음 | |||
|
원칙 11 정보기술 일반통제의 선정과 구축 | 11.1 | 통제기술서를 이용한 IT 연관 항목 문서화 | ● 다양한 애플리케이션을 포함한 여러 기술간의 연관관계 등에 대해서 이해한 후 최종적으로 정보기술 일반통제를 수립할 대상 시스템을 선정 | ● 좌동. 단, 정보기술 일반통제의 일부 영역을 고려하지 않더라도 시스템에서 산출된 자료의 정확성을 확인하는 통제를 위주로 내부회계관리제도를 설계·운영하는 것도 가능 | |
| 11.2 | 최종 사용자 컴퓨팅에 대한 평가 | ● EUC의 사용으로 인해 발생할 수 있는 재무제표 왜곡위험을 평가하고, 관련된 통제활동들을 설계하고 운영 | ● 좌동. 단, EUC와 직접적으로 관련된 적발통제 위주로 통제활동을 설계·운영하는 것도 가능 | ||
| 11.3 | IT기능의 제3자 아웃소싱 시 통제활동 수립 혹은 평가 | ● IT 외부서비스제공자의 통제에 대한 인증보고서를 입수하지 못하는 경우 외부서비스제공자의 통제활동을 회사가 직접 평가하는 방안을 적용 | ● 좌동. 추가적으로 IT 외부서비스제공자의 통제활동의 적정성을 모니터링하는 절차 또는 외부서비스제공자가 제공하는 정보의 정확성을 확인하기 위한 회사의 검토절차를 평가하는 방안도 적용 가능 | ||
| 11.4 | 접근제한 및 업무분장이 실행될 수 있는 시스템 구성 | ● IT시스템 등 관련 업무분장 또는 접근제한이 이뤄지기 어려운 경우 적절한 보완통제를 수립 | ● 좌동. 단, 접근제한 및 업무분장의 결여에 의해 야기되는 위험은 관련 업무에 대한 적발통제 혹은 모니터링 절차 등을 통해 보완 가능 | ||
| 11.5 | 거래 및 테이터 처리의 완전성, 정확성 및 유효성을 지원하는 시스템 구성 | ● 거래 및 데이터 처리의 완전성, 정확성 및 유효성을 지원하는 절차와 통제활동을 수립 | ● 좌동. 단, 소규모의 덜 복잡한 정보기술 환경에서는 공식적인 정보시스템 운영기능이나, 장애 관리 또는 데이터의 저장 및 보존에 관한 공식적인 정책이 존재하지 않거나 관련 절차들을 수작업으로 진행하는 것도 가능 | ||
| 11.6 | 보안 및 권한 관리 | ● 재무적으로 중요한 시스템 및 프로세스에 대해 수행할 업무에 필요한 적절한 접근권한 및 업무분장을 정의하는 정책을 수립하고 통제활동을 설계·운영 | ● 좌동. 특히, 접근제한 및 업무분장의 결여에 의해 야기되는 위험은 관련 업무에 대한 적발통제 혹은 모니터링 절차 등을 통해 보완 가능 | ||
| 11.7 | 패키지 소트프웨어에 대한 시스템 개발 방법론 적용 | ● 경영진은 새로운 패키지 소프트웨어를 선택할
때 기능성, 응용 프로그램 통제, 보안 기능 및 데이터 변환 요구사항을 포함한
많은 요소를 고려 ● 경영진은 패치를 설치하거나 시스템을 업그레이드하기 위해 정의된 변경절차를 준수하며, 관련 사용자 등은 변경사항이 적용되기 전에 이를 검토·승인하고 변경 절차가 적절히 이뤄졌음을 증명하는 문서화를 수행 |
● 좌동. 단, 범용소프트웨어 도입시 일반적인
시스템 개발방법론의 모든 영역을 고려하지 않는 것도 가능 ● 좌동 단, 범용소프트웨어 패치 또는 업그레이드 시 검토, 승인 및 테스트 절차를 축소할 수 있으며 공식적으로 문서화하지 않는 것도 가능 |
||
| 11.8 | 사내에서 개발된 소프트웨어에 대한 시스템 개발 방법론 적용 | ● 사내에서 개발된 소프트웨어에 대해서도 일반적인 시스템 개발 방법론에 따라 프로세스 및 통제활동을 제시 | ● 좌동. 추가적으로 외부업체의 개발 단계의 주요 사항을 점검할 수 있는 핵심적인 통제활동을 적용하는 것으로 갈음하는 것도 가능 | ||
|
원칙 12 정책과 절차를 통한 실행 | 12.1 | 정책 및 절차 수립 및 문서화 | ● 경영진은 외부 재무보고 과정의 중요한 모든 통제활동과 관련된 정책 및 절차를 수립하고 문서화 | ● 좌동. 단, 이메일, 전사공유게시판 등을 활용하거나 기안결재서류, 메모 등의 형식을 이용하는 등 덜 공식적인 수준의 문서화 가능 | |
| 12.2 | 사업본부장 혹은 부서장을 통한 통제활동의 적용 | 차이없음 | |||
| 12.3 | 정책, 절차 및 통제활동의 정기적/비정기적 유효성 평가 | ● 업무흐름도가 존재하지 않거나 통제활동 관련 문서가 적절히 업데이트되지 않는 경우 통제활동 설계의 유효성 평가는 문서 검토 보다 추적조사를 적용하는 것이 바람직 | ● 통제기술서를 위주로 내부회계관리제도 설계의 문서화를 할 수 있으며, 이때 추적조사의 절차를 생략하고 질문 및 문서검사 위주로 검토 수행 가능(제정안 문단 91 참조) | ||
| 정보 및 의사 소통 (13~15) | 원칙
13 관련 있는 정보의 사용 | 13.1 | 정보 요구사항 목록 작성 | ● 외부 재무보고 목적 및 경영진이 강조하는 관련 위험에 해당하는 정보의 영역별 유형을 정의하고, 각 영역별로 최적의 내부 및 외부 원천에서 관련 있는 정보를 식별하고 정보 목록을 작성 | ● 좌동. 단, 정보목록 대신 비공식적 방법을 활용하여 정보를 수집하는 것도 가능 |
| 13.2 | 외부 원천에서 정보 취득 | 차이없음 | |||
| 13.3 | 비재무 부문 경영진으로부터의 정보 수집 | 차이없음 | |||
| 13.4 | 정보의 저장과 관리 | ● 재무제표 및 내부회계관리제도를 위한 정보를 수집, 변경, 생성, 공유하기 위한 정책을 수립 | ● 좌동. 단, 이메일, 전사공유게시판 등을 활용하거나 기안결재서류, 메모 등의 비공식적인 형식을 활용한 정책 수립 가능 | ||
| 13.5 | 시스템을 이용한 테이터의 정보화 | ● 데이터 수집 등 활동은 회사 정책 및 절차
설명서에 문서화 ● 시스템의 응용 프로그램 설계 시 실재성 및 유효성에 대한 입력 관련 통제 및 완전성과 정확성에 대한 출력 관련 통제와 같은 자동통제 활동을 포함한 정보기술 일반통제를 운영 |
● 문서화 삭제 ● 좌동, 단, 자동통제 대신 시스템에서 산출된 자료의 적정성을 직접 확인하는 수동통제를 통해 내부회계관리제도를 설계 및 운영할 수 있으며, 정보기술 일반통제에 일부 미비점이 존재한다 하더라도, 관련 시스템에서 산출된 자료의 정확성을 확인하거나 관련 자동통제의 효과성을 검증하는 방식으로 해당 미비점 보완 가능 |
||
| 13.6 | 정보의 품질 관리 방안 | ● 데이터 품질 관리 방안 등을 수립하며, 관련 정책, 절차 및 책임을 공식화 | ● 데이터 품질 관리 방안 등을 수립하되, 공식적인 정책이나 절차 대신, 이메일, 전사공유게시판 등을 활용하거나 기안결재서류, 메모 등의 덜 공식적인 형식 활용 가능 | ||
| 13.7 | 재무보고 관련 데이터와 정보의 식별 및 유지·관리 | ● 경영진은 데이터를 보호, 유지·관리하기 위해 준수할 사항을 포함한 정책 및 절차를 수립하고, 동 정책 및 절차에 회계정보를 기록·보관하는 장부의 관리 방법과 위조, 변조, 훼손 및 파기를 방지하기 위한 통제절차를 포함 | ● 데이터 보호 등의 정책 및 절차 수립 없이 회계정보에 국한하여 관련 장부의 관리 방법과 위조, 변조, 훼손 및 파기를 방지하기 위한 통제절차를 수립 | ||
|
원칙 14 내부 의사소통 | 14.1 | 내부회계관리제도의 목적과 내부통제 관련 의사소통 | ● 내부회계관리제도의 목적, 내부회계관리규정을 포함한 정책과 절차, 통제활동 및 이의 중요성에 대해 충분한 의사소통을 수행 | ● 좌동. 단, 공식적인 의사소통 창구가 마련되어 있지 않더라도 일상적인 접촉이나 상위 경영진과의 직접적인 의사소통 경로 등을 통해 충분한 의사소통 수행 가능 | |
| 14.2 | 내부회계관리제도의 책임에 대한 의사소통 | ● 재무적으로 유의한 프로세스와 시스템과 관련한 내부회계관리제도 문서 등은 내부회계관리자를 포함한 주요 역할 수행자와 감사(위원회)의 접근이 가능한 곳에 보관 | ● 좌동. 단, 보관문서의 범위에서 업무흐름도, 업무기술서 등 제외 | ||
| 14.3 | 이사회 보고 및 논의를 위한 지침 수립 | 차이없음 | |||
| 14.4 | 경영진과 이사회 간의 의사소통 | ||||
| 14.5 | 회사 임직원에 대한 내부고발제도 홍보 | ||||
| 14.6 | 대체적인 보고 방식을 통한 의사소통 활성화 | ● 경영진은 직속 상관 이외 사람에게 보고할 수 있는 대체적인 방식을 제공하여 직원들에게 의견 개진 기회가 충분히 있다는 인식과 신뢰도를 제고 | ● 좌동. 단, 공식적인 방식이 마련되어 있지 않더라도 일상적인 접촉이나 상위 경영진과의 직접적인 의사소통 경로 활용 가능 | ||
| 14.7 | 부서 내외 간 다방면의 내부통제 의사소통 프로세스 및 회의체 구성 | ● 내부통제전담부서의 관리하에 부서 내외 간 다방면의 내부통제 의사소통 프로세스 구성 | ● 부서 내외 간 일상적인 접촉이나 직접적인 의사소통 경로 등을 통해 내외 간 다방면의 내부통제 의사소통 프로세스 구성 가능 | ||
|
원칙 15 외부 의사소통 | 15.1 | 외부 관계자에게 정보 제공 | ● 외부 정보이용자를 고려하여 외부 재무보고 목적에 중요한 진행 중인 사건, 정책, 활동 및 외부 관계자에게 영향을 미치는 사항을 평가하는 프로세스를 수립 | ● 좌동. 단, 공식적인 의사소통절차가 마련되어 있지 않더라도 외부이해관계자와 효과적인 의사소통이 가능 | |
| 15.2 | 외부 정보의 입수 | ● 회사 외부로부터 정보를 받을 수 있는 적절한 수단을 확인하고, 회사 내에서 관련 정보를 수집, 검토, 공유할 책임이 있는 관리자와 기타 구성원의 역할을 지정 | ● 역할지정 등 의무 없음 | ||
| 15.3 | 외부 관계자에 대한 설문조사 | ● 고객 등에 대해 회사 임직원의 청렴성 및 윤리 준수 여부에 대한 설문조사를 수행 | ● 설문조사를 수행할 수 있음 | ||
| 15.4 | 외부 관계자에게 내부고발제도 소개 | 차이없음 | |||
| 15.5 | 외부 감사 논의사항에 대한 검토 | ||||
| 모니 터링 활동 (16~17) |
원칙 16 상시적인 모니터링과 독립적인 평가 수행 | 16.1 | 모니터링 활동의 조합에 대한 정기적인 검토 | ● 내부회계관리제도에 대한 모니터링 활동인 상시적인 모니터링과 독립적인 평가가 적절한 비율로 수행되고 있는지 검토 | ● 좌동. 단, 상시적인 모니터링이 재무제표의 중요한 왜곡표시 위험을 적절한 수준으로 감소시킬 수 있을 정도로 효과적으로 설계·운영될 경우 내부회계관리제도 모니터링 통제의 효과성 위주로 평가 가능 |
| 16.2 | 출발점의 설정 | 차이없음 | |||
| 16.3 | 업무성과 검토 시 측정지표 설정 및 적용 | ||||
| 16.4 | 현황판의 사용 | ● 내부회계관리제도 평가자 및 감사(위원회)가 활용할 수 있는 현황판을 설계하여 구축 | ● 현황판을 구축할 수 있음 | ||
| 16.5 | 모니터링 활동을 위한 IT 활용 | 차이없음 | |||
| 16.6 | 독립적인 평가의 수행 | ||||
| 16.7 | 내부통제전담부서(기능) 혹은 내부감사부서(기능)를 활용한 독립적인 평가 수행 | ● 내부회계관리제도에 대한 객관적인 관점에서의 평가를 수행하기 위해 독립적이고 전문성을 지닌 인원으로 구성된 내부통제전담부서(기능)나 내부감사부서(기능)를 이용 | ● 좌동. 단, 내부회계관리제도의 독립적인 평가를 수행하는 것이 어려운 경우 통제업무를 수행하는 담당자의 평가 수행(‘자가평가’)도 가능. 이 경우에도 특히 위험이 높은 것으로 평가된 통제에 대해서는 일정한 절차 등을 통해 자가평가의 적정성을 확인하는 절차 필요 | ||
| 16.8 | 외부서비스제공자의 통제 이해 | ● 경영진은 내부회계관리제도에 영향을 미칠 수 있는 변경사항을 파악할 수 있도록 외부서비스제공자로부터 주기적인 정보를 입수하고 검토 | ● 좌동. 단, 정보를 입수하지 못하는 경우, 내부회계관리제도의 평가 목적으로 외부서비스제공자의 통제활동을 직접 평가하거나, 외부서비스제공자의 통제활동의 적정성을 모니터링하는 절차 또는 외부서비스제공자가 제공하는 정보의 정확성을 확인하기 위한 회사의 검토절차를 평가하는 방안 적용도 가능 | ||
|
원칙 17 미비점 평가와 개선활동 | 17.1 | 미비점 평가 및 보고 | 차이없음 | ||
| 17.2 | 시정조치에 대한 모니터링 | ||||
| 17.3 | 미비점 보고를 위한 지침 수립 | ||||
| 구 분 | 문단 | 상장대기업 평가·보고 적용기법 | 상장중소기업 평가·보고 적용기법 | |
|---|---|---|---|---|
| 목적 및 적용 | 1 | ● 평가·보고 모범규준의 기본원칙에 대한 적용기법 제시 | ● 평가·보고 모범규준 제4장 중소기업에 대한 적용을 위한 적용기법 제시 | |
| 하향식 또는 위험기반 접근방법 | 4 | ● 하향식 접근방법 또는 위험기반의 접근방법을 통해 내부회계관리제도의 평가를 효율적이고 효과적으로 수행 가능 | ● 좌동. 단, 위험기반 접근방법을 보다 적극적이고 광범위하게 적용함으로써 보다 효율적인 내부회계관리제도 평가수행이 가능함을 강조 | |
| 내부회계관리제도 효과성 평가시기 | 14 | ● 내부회계관리제도의 변화관리체계가 잘 구축되어 운영되는 경우 기말평가에서는 담당자와의 질문, 관찰 등을 통해 내부회계관리제도 설계의 변경 여부를 확인하고, 설계상 변경이 없는 경우에는 운영의 효과성 평가를 위한 표본수를 줄여 수행 | ● 충분한 기간을 대상으로 수행한 중간평가 결과 효과적으로 설계되어 운영 중이라고 결론 내린 통제의 설계상 변경이 없는 경우에는 기말평가 목적의 추가적인 운영의 효과성 평가절차 없이 중간평가 시의 테스트 결과를 활용 가능 | |
| 평가자 | 19 | ● 경영진은 평가 대상 통제로부터 독립된 위치에 있는 자를 평가자로 지정하여 평가를 수행 | ● 좌동, 단, 독립적인 평가를 수행하는 것이 어려운 경우 통제업무를 수행하는 담당자의 평가 수행(“자가평가”)도 가능. 이 경우에도 특히 위험이 높은 것으로 평가된 통제에 대해서는 일정한 절차 등을 통해 자가평가의 적정성을 확인하는 절차 필요 | |
| 전사적 수준에서의 내부회계관리제도의 성격 | 28 | ● 효과적인 전사적 수준의 통제활동은 업무프로세스 수준, 거래수준 통제활동 및 정보기술 일반통제 등에 긍정적인 영향을 미쳐 통제활동에 대한 평가 방법/범위/시기 등에 중대한 영향 | ● 좌동, 특히, 중소기업의 경우 경영진이 일상 업무에 직접적으로 관여하는 정도가 상대적으로 높기 때문에 전사적 수준의 내부회계관리제도(특히 직접 전사 통제)의 효과성이 매우 중요. 또한, 전사적 수준에서의 내부회계관리제도(특히 직접 전사 통제)가 업무프로세스 수준의 위험을 충분하게 대응할 수 있을 정도로 효과적으로 설계 및 운영되는 것으로 판단되는 경우 업무프로세스 수준의 내부회계관리제도의 평가범위를 조정하는 것이 가능 | |
| 정보기술 일반통제의 평가 | 33 | ● 재무보고 위험과 관련된 핵심통제가 자동통제 또는 전산에 기반한 수동통제인 경우, 해당 통제의 효과성에 영향을 미치는 정보시스템의 정보기술 일반통제를 평가 | ● 좌동. 단, 시스템에서 산출된 자료의 정확성을 확인하는 통제 위주로 내부회계관리제를 설계 및 운영할 수 있음 | |
| 프로그램 개발 통제활동 | 34 | ● 일반적인 프로그램 개발방법론의 모든 영역을 고려하여 프로그램 개발과 관련된 통제활동을 설계·운영 | ● 좌동. 단, 사업의 구조가 단순하고 복잡한 정보시스템이 요구되지 않는 중소기업에서 회사의 개별적인 수정이 허용되지 않는 범용소프트웨어를 도입하는 경우의 일반적인 프로그램 개발방법론의 모든 영역을 고려하지 않는 것도 가능 | |
| 프로그램 변경 통제활동 | 35 | ● 프로그램 변경과 관련된 통제활동이 충족해야 할 세부 요건을 제시 | ● 좌동. 단, 범용소프트웨어를 사용하는 경우, 회사의 재무보고 프로세스에 직접적인 영향을 미치는 사항의 변경이 있는지를 확인하고 기존에 설계 및 운영 중인 내부회계관리제도의 변경 필요성을 판단하여 조치하는 것으로 시스템 변경에 대한 통제를 수행할 수 있으며, 동 과정의 문서화가 대기업에 비해 덜 공식적일 수 있음 | |
| 프로그램과 데이터에 대한 접근보안 | 36 | ● 프로그램 및 데이터에 대한 접근보안 통제활동이 충족해야 할 세부 요건을 제시 | ● 좌동. 단, 운영체제, 데이터, 응용 프로그램에 대한 접근제한 및 업무분장의 결여에 의해 야기되는 위험은 관련 업무에 대한 적발통제 혹은 모니터링 절차 등을 통해 보완하는 것도 가능 | |
| 컴퓨터 운영 관련 통제활동 | 37 | ● ‘컴퓨터 운영’과 관련된 통제활동이 충족해야 할 세부 요건을 제시 | ● 좌동. 단, 공식적인 정보시스템 운영기능이나, 장애 관리 또는 데이터의 저장 및 보존에 관한 공식적인 정책이 존재하지 않거나 관련 절차들이 수작업으로 진행될 수도 있음 | |
| 유의한 계정과목 및 주석정보의 파악 - 질적 요소 | 42 | ● N/A | ● 양적인 측면에서 중요성 금액을 초과하는 계정과목 등이라도 질적 요소를 고려할 때 중요한 재무제표 왜곡표시의 발생가능성이 크지 않다고 판단되는 경우에는 평가대상에서 제외 가능. 단, 그 근거의 명확한 문서화 필요 | |
| 평가 대상 사업단위의 선정 : 외부서비스제공자의 이용 | 57 | ● 외부서비스제공자의 내부통제 설계 및 운영의 효과성을 평가하기 위해 외부서비스제공자의 통제활동을 직접 평가하거나, 외부서비스제공자의 통제활동의 적정성을 충분히 모니터링할 수 있는 회사의 모니터링 통제활동을 평가하거나, 외부서비스제공자의 감사인이 제공하는 통제 설계와 운영의 효과성 평가에 대한 보고서를 입수 | ● 좌동. 추가적으로 ‘외부서비스제공자가 제공하는 정보의 정확성을 확인하기 위한 회사의 검토절차를 평가’ 가능 | |
| 내부회계관리제도 설계의 문서화 | 62 | ● 설계 및 운영의 효과성 평가 이전에 내부회계관리제도 설계내용을 문서화 | ● 좌동. 단, 고유한 사업환경을 감안하여 내부회계관리제도에 대한 문서화 수준을 유연하게 적용 가능 | |
| 관련 계정과목 및 경영자 주장 | 67 | ● 각 통제활동과 관련된 계정과목 및 경영자 주장을 문서에 명시 | ● 통제목표의 구체적인 기술을 통해 경영자 주장을 확인할 수 있는 경우, 이를 별도로 문서화하지 않을 수 있음 | |
| 통제유형: 예방통제와 적발통제(Preventive/Detective) | 70 | ● 효과적으로 설계된 내부회계관리제도는 각 업무프로세스별 통제목표 달성을 위한 예방통제와 적발통제가 적절히 결합되는 것이 바람직 | ● 좌동. 단, 단순하고 예방통제와 적발통제의 균형을 고려할 정도의 인력이 뒷받침되지 않는 중소기업의 경우 예방통제나 적발통제 중 보다 효과적인 통제를 중심으로 통제활동 수행 가능 | |
| 거래수준의 내부회계관리제도의 문서화 | 80 | ● 업무흐름도와 업무프로세스 수준에서의 통제목표(또는 위험), 통제활동, 경영자 주장, 관련 계정과목 등을 일목요연하게 정리할 수 있는 통제기술서를 일반적으로 사용하며, 업무기술서 및 업무분장표 추가 가능 | ● 좌동. 단, 통제기술서를 위주로 문서화 가능 | |
| 핵심통제(Key Control)의 결정 | 89 | ● N/A | ● 중소기업의 핵심통제가 될 수 있는 항목을 예시로
열거
※ 경영진이 일상적 업무의 일부분으로서 수행하는 모니터링(예: 거래의 승인, 예외사항의 검토,
성과지표의 검토 등)이나 중요한 실물자산에 대한 접근통제 및 정기적인 실사, 외부 증빙과의
상호대사 등 |
|
| 설계 및 운영의 효과성 평가방안 - 평가자 | 92 | ● 선정된 핵심통제는 재무제표의 왜곡표시 방지를 위해 반드시 필요한 통제활동이므로 평가에서 제외하거나 통제 운영자 본인이 직접 평가하는 방안은 부적절 | ● 독립적인 평가를 수행하는 것이 어려운 경우 통제업무를 수행하는 담당자의 평가 수행(“자가평가") 가능 | |
| 설계의 효과성 평가 - 추적조사 | 96 | ● 일반적으로 변화관리체계를 통해 중요한 변경이 존재하는 경우는 추적조사를 수행하고, 그렇지 않은 경우에는 다른 방법을 적용하여 통제 설계의 적정성을 확인하고 관련 절차를 문서화 | ● 추적조사의 절차를 생략하고 질문 및 문서검사 위주로 설계의 효과성을 평가 가능 | |
| 설계의 효과성 평가 – 예방통제와 적발통제의 결합 | 100 | ● 각 업무프로세스별 통제목표 달성을 위한 예방통제와 적발통제의 적절한 결합을 포함한 다양한 유형이 적절히 결합되는 것이 바람직 | ● 좌동. 단, 예방통제나 적발통제 중 보다 효과적인 유형을 중심으로 통제를 설계하는 것도 가능 | |
| 내부회계관리제도 운영의 효과성 평가- 평가방법 | 108 | ● 평가 대상인 통제활동의 속성에 따라 선택적으로 질문, 문서검사, 재수행, 관찰 등의 방법을 적절히 적용 | ● 좌동. 단, 위험평가 결과 “중” 또는 “하”로 분류된 하위 프로세스의 경우에는 재수행절차를 생략하고 질문, 관찰, 문서검사 위주로 실시 가능 | |
| 감사위원회의 평가절차 | 160 | ● 감사(위원회)는 내부회계관리제도 평가 시 필요에 따라 경영진의 평가와 관련된 자료를 근거로 평가 절차를 수행 | ● 경영진이 운영실태 보고를 위해 작성한 자료를 검토하는 절차를 위주로 평가 수행 | |