내부회계관리제도(모범규준) - 택스넷 : NO.1 재경비즈니스 포털 사이트

내부회계관리제도 평가 및 보고 가이드라인

제정　2023. 12. 29.
개정　2024. 12. 23.
금융감독원

목 차

제1장 총 칙　1
제2장 내부회계관리제도 평가　2~17
제1절 개요　2~7
제2절 재무보고 위험 및 통제의 식별　8~30
2.1.절 재무보고 위험의 식별　8~15
2.2절 재무보고 위험에 적절히 대처하기 위한 통제의 식별　16~18
2.3절 전사적 수준 통제의 고려　19~22
2.4절 정보기술 일반통제　23~25
2.5절 통제 설계에 대한 문서화　26~30
제3절 내부회계관리제도 설계 및 운영의 효과성 평가　31~49
3.1절 통제위험 평가와 평가절차의 수립　31~38
3.2절 내부회계관리제도 설계의 효과성 평가　39~42
3.3절 내부회계관리제도 운영의 효과성 평가　43~49
제3장 내부회계관리제도 평가 결과 보고　50~65
제1절 미비점에 대한 평가　50~59
제2절 대표자의 내부회계관리제도에 대한 효과성 평가 결론　60~62
제3절 감사(또는 감사위원회)의 내부회계관리제도에 대한 효과성 평가 결론　63~65
(별첨 1) 내부회계관리제도 운영실태보고서 예시
(별첨 2) 내부회계관리제도 평가보고서 예시

제1장 총칙

1 (목적) 내부회계관리제도 평가 및 보고 가이드라인은 외부감사 및 회계 등에 관한 규정 시행세칙 [별표6] 내부회계관리제도 평가 및 보고 기준(이하, ‘평가·보고기준’)을 준수하기 위한 추가적인 설명과 기법을 제시하여 회사의 내부회계관리제도 평가 및 보고에 도움을 제공하는 것을 목적으로 한다.

제2장 내부회계관리제도 평가

제1절 개요

2 (내부회계관리제도 평가의 의의) 내부회계관리제도평가는 내부회계관리제도가 경영진이 의도한 대로 설계되고 운영되는지 주기적인 평가를 수행하고, 그 결과 식별된 미비점이나 취약점을 지속적으로 개선하는 과정을 통하여 외부 재무보고 과정과 재무제표의 신뢰성을 제고하는데 의의가 있다.
3 (내부통제체계) 본 가이드라인은 경영진이 선택한 일반적으로 인정되는 내부통제체계로 내부회계관리제도운영위원회가 발표한 ‘내부회계관리제도 설계 및 운영 개념체계(이하 ‘설계·운영 개념체계’라 함)’나 ‘COSO Framework’를 선택한 경우를 기반으로 통제를 테스트하는 절차를 제시한다.
4 (위험기반 접근방법의 적용 방법) 내부회계관리제도에 대한 위험기반 접근방법(하향식 접근방법)의 적용에 따라 다양한 규모와 복잡성을 가진 회사들이 내부회계관리제도에 대한 평가를 효과적이고 효율적으로 수행할 수 있다.
- 가. 위험기반 접근방법을 적용하기 위해서는 경영진이 회사의 사업 내용, 업무프로세스 및 회계처리에 대한 축적된 지식과 경험 및 판단을 합리적으로 활용하여야 한다.
- 나. 내부회계관리제도는 재무제표에 대한 합리적 확신을 제공하는 것을 목적으로 하기 때문에 재무제표상의 모든 계정과목이나 회사의 모든 업무프로세스를 대상으로 하지 않을 수 있다. 따라서 경영진은 중요한 재무제표 왜곡표시가 발생할 가능성이 상대적으로 높은 계정과목 및 주석정보와 이와 관련된 업무프로세스나 거래유형에 집중함으로써 내부회계관리제도의 평가를 효율적이고 효과적으로 수행할 수 있다.
- 다. 재무보고의 신뢰성에 위험을 초래하는 정도에 따라 평가 절차의 성격과 범위를 결정함에 따라 경영진은 위험이 낮은 부문의 증거자료를 수집할 경우 자가평가와 같은 좀 더 효율적인 접근방식을 적용할 수 있으며 위험이 높은 부문의 증거자료를 수집할 경우 좀 더 광범위한 테스트를 수행할 수 있다.
- 라. 중소기업의 경우에는 위험기반 접근방법을 보다 적극적이고 광범위하게 적용함으로써 보다 효율적으로 내부회계관리제도를 평가할 수 있다.
5 (내부회계관리제도 평가대상) 내부회계관리제도의 5가지 구성요소(통제환경, 위험평가, 통제활동, 정보 및 의사소통, 모니터링 활동)가 모두 내부회계관리제도의 평가 대상에 포함된다.
- 가. 회사가 선택한 내부통제체계에서 제시된 각 통제구성요소별 원칙과 평가 대상 회사가 선택한 중점고려사항에 대한 전사적 수준의 통제 평가와 업무프로세스 수준의 거래수준 통제 평가로 구분할 수 있다.
- 나. 회사는 선택한 내부통제체계에서 제시하는 내부통제제도의 외부 재무보고 목적에 해당하는 효과적인 내부통제제도의 요건을 고려하여야 한다. 내부통제 요소의 각 원칙별로 문서화된 회사의 중점고려사항과 적용기법을 확인하고 각 원칙의 주요 항목별로 다음 사항을 확인하여 평가한다.
  - (1) 정책 및 절차가 존재하고 원칙과 중점고려사항에 부합하는지
  - (2) 해당 절차가 잘 지켜질 수 있는 통제가 파악되어 통제기술서에 문서화되어 있는지
  - (3) 해당 통제의 설계와 운영은 적절한 것인지
- 다. 내부회계관리제도의 평가 대상은 회사가 선택한 내부통제체계에서 제시된 각 통제구성요소별 원칙과 평가 대상 회사가 선택한 중점고려사항에 대한 전사적 수준의 통제와 외부감사법 등 법규에서 요구하는 사항이 포함된다.
  - (1) 통제환경 : 효과적인 내부회계관리제도를 위해 내부회계관리조직과 규정을 정비하여 외부 재무보고와 연관되는 임직원의 권한 및 책임을 제시하고 적격한 인력을 유지할 수 있는 정책과 통제활동이 설계되고 운영되는지 확인한다. 윤리·행동강령의 운영, 내부고발제도 및 감사(또는 감사위원회)의 관리감독 기능 등도 포함한다.
  - (2) 위험평가 : 회사의 통제 환경과 주요 변화사항을 고려하여 재무제표의 주요 계정, 주석사항 및 관련 프로세스에 대한 위험의 평가가 수행될 수 있는 절차와 통제가 설계되고 운영되는지 확인한다. 또한, 부정위험에 대한 평가도 포함한다.
  - (3) 통제활동 : 평가된 위험에 근거하여 경영진이 통제활동을 설계할 수 있는 체계를 유지·운영하고 연계된 정책 및 절차가 관리되는지 확인한다. 재무보고와 연관된 정보기술 일반통제를 포함하여 확인한다.
  - (4) 정보 및 의사소통 : 임직원의 책임을 수행할 수 있는 시의적절한 정보를 제공할 수 있는 체계 및 이에 기반한 내·외부 의사소통이 원활하게 이뤄질 수 있는 체계와 통제활동이 설계되고 운영되는지 확인한다.
  - (5) 모니터링 활동 : 내부회계관리제도의 설계 및 운영 여부를 주기적으로 평가하는 체계를 수립하여 적용하고 있고 미비점에 대해 필요한 조치를 취하고 있음을 확인한다. 평과 결과와 미비점에 대한 개선계획이 포함된 내부회계관리제도 운영실태보고와 감사(또는 감사위원회)의 독립적인 평가가 이뤄지는지 확인한다.
6 (내부회계관리제도 평가절차)
- 가. 내부회계관리제도의 평가의 일반적인 절차는 다음과 같다.
  - (1) 재무보고 위험의 식별
    - ① 전사적 수준에서의 내부회계관리제도 고려
    - ② 유의한 계정과목 및 주석정보의 파악
    - ③ 경영자 주장의 식별
    - ④ 유의한 업무프로세스 파악
  - (2) 재무보고 위험에 적절히 대처하기 위한 통제의 식별
  - (3) 내부회계관리제도 설계의 효과성 평가
  - (4) 내부회계관리제도 운영의 효과성 평가
  - (5) 내부회계관리제도 평가 결과 보고
- 나. 재무보고 위험의 식별 과정은 위험기반 접근방법(하향식 접근방법)을 적용하여 재무제표에 중요한 왜곡표시가 발생할 수 있는 위험을 식별하고 평가하기 위한 과정으로 내부회계관리제도의 ‘위험평가’ 절차를 주로 구성한다. 이러한 위험평가 절차는 일반적으로 최초로 내부회계관리제도를 설계하는 단계와 매 평가기간 초반에 이루어진다. 매 평가기간 초반에 당기의 내부회계관리제도 평가 계획을 수립할 때 수행하고 중요한 변화사항이 발생할 때마다 위험평가를 수행하고 필요한 후속조치를 취한다. 이를 위해 경영진은 중요한 변화사항을 확인하고 기존의 위험평가 결과 및 통제에 미치는 영향을 확인하여 대응할 수 있는 변화관리체계를 유지하는 것이 일반적이다. 중요한 변화사항은 합병이나 사업양수도 등으로 인한 사업단위의 변경, 중요한 신규 거래의 발생, 회계처리방법의 변경 등을 포함한다.
7 (문서화)
- 가. 경영진은 수립된 회사의 내부회계관리제도 설계 및 운영의 적정성에 대한 평가 절차에 따라 평가대상기간에 대한 평가가 이뤄졌음을 충분히 문서화한다.
- 나. 문서화 된 내역은 경영진의 책임하에 내부회계관리제도가 효과적으로 설계, 운영 및 평가되고 있다는 근거로서 감사(또는 감사위원회) 및 주주총회 보고 뿐 아니라 외부감사인의 내부회계관리제도 및 운영실태에 대한 검토 및 감사에 대한 근거로 사용된다.

제2절 재무보고 위험 및 통제의 식별

2.1.절 재무보고 위험의 식별

8 (재무보고 위험의 식별)
- 가. 내부회계관리제도에 대한 경영진의 평가는 재무보고의 신뢰성에 대한 위험의 식별과 평가에서 출발한다. 일반적으로 재무보고 위험의 식별은 회계처리기준의 요구사항이 회사의 사업, 운영 및 거래에 어떻게 적용되고 있는지 평가하는 것으로 시작한다. 경영진은 회계처리기준에 따라 회사의 재무상태, 재무성과 및 현금흐름을 공정하게 표시하는 재무제표를 외부정보이용자에게 제공하여야 한다. 하나 이상의 재무제표 금액과 공시사항에 누락을 포함한 중요한 왜곡표시가 있는 경우 적정한 표시가 아니다.
- 나. 경영진은 사업 및 조직, 운영과 프로세스에 대한 지식과 이해를 바탕으로 재무보고요소의 왜곡표시 위험과 그 원천을 고려한다. 왜곡표시 위험은 사업에 영향을 미치는 대내외 위험 요소로부터 발생할 수 있다. 또한, 왜곡표시 위험은 재무보고와 관련된 거래의 개시, 승인, 처리, 기록 및 수정절차와 같은 원천으로부터 발생할 수 있다. 경영진은 잠재적 왜곡표시 가능성과 원천 및 중요한 왜곡표시가 발생하는 원인을 식별하기 위해 재무보고 요소에서 ‘무엇이 잘못될 수 있는가’를 고려하는 것이 효과적이다.
- 다. 재무보고 위험을 식별하기 위한 방법 및 절차는 회사의 특성에 따라 달라질 수 있다. 이러한 특성에는 회사의 크기, 복잡성, 조직구조와 프로세스 및 재무보고 환경뿐만 아니라 경영진이 채택한 내부통제체계에서 제시하는 방안 등이 포함된다. 예를 들어, 대규모 기업이나 복잡한 비즈니스 프로세스에서 재무보고 위험을 식별하기 위해 경영진은 전문 지식을 가진 직원을 포함하여 다양한 직원들을 참여시킬 수 있다. 참여한 인원은 회계처리기준과 거래를 발생부터 승인, 기록 및 처리하는데 필요한 시스템을 포함한 관련된 프로세스 및 절차를 충분히 이해할 필요가 있다. 반면, 프로세스 또는 위험이 거의 변화하지 않고 덜 복잡한 비즈니스 프로세스를 가진 기업의 경우 경영진의 일상적인 모니터링 활동이 재무보고 위험을 적절히 식별하는데 충분한 정보를 제공할 수 있다.
9 (유의한 계정과목과 주석정보의 파악)
- 가. 내부회계관리제도는 재무제표의 신뢰성에 대한 합리적 확신을 제공하는 것을 목적으로 하므로 모든 계정과목 및 주석정보에 대한 통제를 파악하고 설계 및 운영의 효과성을 평가하여야 하는 것은 아니며 유의한 계정과목과 주석정보(이하 ‘유의한 계정과목 등’이라 함)만을 대상으로 할 수 있다.
- 나. 계정과목 및 주석정보가 개별적 또는 다른 계정과목이나 주석정보와 결합하여 재무제표의 중요한 왜곡표시의 발생가능성이 낮지 않다면(Reasonable Possibility) 이를 유의한 계정과목 등이라 한다. 유의한 계정과목 등을 식별할 때에는 양적 요소와 질적 요소를 함께 고려한다.
- 다. 유의한 계정과목 등을 식별함에 있어 특정 계정과목 혹은 사업단위가 양적 요소를 충족시켜 평가범위에 포함되더라도 당해 계정과목 등과 관련된 업무프로세스의 위험평가 결과에 따라 평가자, 평가방법, 테스트범위 및 시기 등을 유연하게 조정할 수 있다.
- 라. 중소기업의 경우에도 양적 요소 뿐 아니라 질적 요소도 함께 고려하는 것이 중요하다. 중소기업의 경우 양적인 측면에서 중요성 금액을 초과하는 계정과목이라도 질적 요소를 고려할 때 중요한 재무제표 왜곡표시의 발생가능성이 크지 않다고 판단되는 경우에는 내부회계관리제도의 평가대상에서 제외할 수 있다. 단, 이 경우에는 평가대상에서 제외한 근거(질적 요소의 적용 내용과 결론 등)를 명확히 문서화하여야 한다. 반대로 중요성 금액에 미달하더라도 질적으로 중요한 경우 내부회계관리제도 평가 범위에 포함할 수 있다.
10 (양적 요소)
- 가. 유의한 계정과목 등을 식별하기 위한 양적 요소는 계정과목의 금액을 고려하며 일반적으로 설계·운영 적용기법에서 제시하는 ‘중요성 금액’과 ‘수행 중요성(Performance Materiality)’ 기준을 활용한다. 경영진은 내부회계관리제도 평가 과정에서 회사에 존재하는 미비점을 발견하지 못할 가능성에 대비하여 보수적으로 중요성 기준의 50～75%를 적용한 수행 중요성 기준으로 유의한 계정과목 등을 선정한다. 수행 중요성을 적용함에 따라 유의한 계정과목 등이 추가로 선정되어 회사의 내부회계관리제도 평가가 잘못 수행될 위험을 최소화할 수 있다.
- 나. 중요성 금액 또는 수행 중요성 기준을 설정한 이후 평가시점에서 실제 재무상태나 경영성과가 크게 변동된 경우에는 그 변경을 고려한다. 예를 들어, 중요성 금액을 당해 평가기간의 추정 세전순이익에 의해 결정한 경우 평가시점의 실제 세전순이익이 추정금액과 크게 다르다면 중요한 변화로 판단할 수 있다.
11 (질적 요소) 유의한 계정과목 등을 식별하기 위해 고려할 질적 요소는 다음과 같다.
- 가. (계정과목 내 개별 거래의 복잡성, 동질성) 특정 계정과목이 다양한 거래와 관련하여 처리되거나 관련 거래가 복잡할수록 그 계정과목(예를 들어, 복잡한 구조의 투자 상품)은 재무제표 왜곡표시를 야기할 위험이 크기 때문에 중요성 금액 또는 수행 중요성 기준 이하라 하더라도 내부회계관리제도의 평가범위에 포함할 것을 고려한다.
- 나. (추정이나 판단이 개입되는 회계처리 및 평가) 회계처리 상 복잡한 추정이나 판단을 요하거나 불확실성이 높은 계정과목(예를 들어, 판매보증충당부채, 공사손실충당부채, 소송충당부채 등)은 계산상의 오류나 경영진의 의도적인 재무제표 왜곡표시가 발생할 가능성이 상대적으로 높다.
- 다. (회계처리 및 보고의 복잡성) 신규 또는 복잡한 회계처리의 영향을 받는 계정과목(특히, 당해 회계처리와 관련하여 다양한 해석이 존재하는 경우)은 재무제표 왜곡표시의 위험이 상대적으로 높다.
- 라. (우발채무의 발생가능성) 특정 계정과목과 관련되어 수행하는 업무프로세스에서 유의한 우발채무가 발생할 가능성이 높은 경우 양적 요소에 추가하여 고려한다.
- 마. (특수관계자와 유의적 거래의 존재 여부) 특수관계자와의 거래는 제3자와의 거래에 비하여 의도적인 재무제표 왜곡표시의 가능성이 상대적으로 높기 때문에 양적 요소에 추가하여 고려한다.
- 바. (계정과목 성격의 변화 및 당기 금액 변화 정도) 회사 회계정책 등의 변경으로 당기 계정과목의 성격이 변화한 경우나 당기 금액의 급격한 변화가 존재하는 경우에는 재무제표 왜곡표시 위험이 상대적으로 높다. 당기 이전부터 계속 유의한 계정과목으로 분류된 계정과목의 금액이 당기에 중요성 금액 또는 수행 중요성 기준에 미치지 못하는 경우 계정과목 규모의 감소가 일시적인 것인지 여부를 추가적으로 검토하고, 향후 지속적으로 양적 요소를 충족시키지 못할 가능성이 낮지 않은 경우에는 유의한 계정과목 등으로의 분류를 고려한다.
- 사. (비경상적인 거래) 빈번하게 발생하지 않는 거래와 관련된 회계처리의 경우 재무제표 왜곡표시 위험이 크다고 판단할 수 있다.
- 아. (관련 회계처리기준의 변경) 회사가 회계처리기준을 변경하거나 새로운 회계처리기준의 도입과 관련된 계정과목 역시 재무제표 왜곡표시 위험이 증가한다.
- 자. (법규 및 감독당국의 강조 사항) 금융감독원 등의 규제기관에서 중점 점검항목으로 강조하거나 감리 등을 통해 지적되는 항목은 일반적으로 재무제표 왜곡표시 위험이 크다고 판단할 수 있다.
- 차. (주요한 외부환경의 변화가 존재하는 계정) 회사의 사업을 영위하는 외부환경에 중요하거나 급격한 변화가 존재하는 경우 이와 관련된 계정과목은 일반적으로 재무제표 왜곡표시 위험이 크다고 판단할 수 있다.
- 카. (부정 발생의 가능성) 부정한 재무보고, 자산의 남용 및 부패와 같은 부정에 쉽게 노출될 가능성을 고려하는 것으로 문단 12 (부정위험 평가)를 참조한다.
12 (부정위험 평가)
- 가. 경영진은 위험식별 과정에서 계정과목과 프로세스에서 부정에 쉽게 노출되어 부정 행위가 발생할 가능성의 정도를 고려하여야 한다. 부정위험 평가에 요구되는 업무의 정도는 회사의 운영 활동과 재무보고 환경의 규모 및 복잡성에 비례한다.
- 나. 경영진은 부정에 의한 왜곡표시 위험이 규모나 유형에 관계 없이 모든 조직에 일반적으로 존재하며 특정 지역 또는 부문 및 개별 재무보고요소에 따라 다를 수 있음을 인식하여야 한다. 예를 들어, 모든 규모와 유형의 회사에서 부정한 재무보고를 초래할 수 있는 부정위험의 유형은 경영진의 내부회계관리규정이나 통제를 무시할 위험이다.
13 (경영자 주장)
- 가. 경영진은 파악된 유의한 계정과목 등에 대한 경영자 주장을 식별한다. 재무제표에 대한 경영자 주장(Financial Statements Assertions)이란 재무제표의 계정과목 및 주석사항에 대하여 경영자가 명시적 혹은 묵시적으로 주장하는 내용을 말하며 회계처리기준에 따라 재무제표를 작성 및 공시하였다는 사실을 주장하는 것이다.
- 나. 경영자 주장은 다음의 일곱 가지로 분류된다.
  - (1) (실재성) 실재성이란 재무상태표에 기록되어 있는 자산, 부채 및 자본이 보고기간 종료일 등 주어진 특정일 현재 존재하고 있으며, 기록된 거래들이 특정 기간 동안 실제로 발생한 사건을 기록하고 있음을 주장하는 것이다. 예를 들면, 재무상태표상의 재고자산은 회사가 보고기간 종료일 현재 실제로 보유하고 있는 자산을 나타낸다고 경영진은 주장한다.
  - (2) (완전성) 완전성이란 특정한 기간동안 발생한 모든 거래와 사건들이 해당 기간의 기록으로 모두 기록되었음을 주장하는 것이다. 이는 재무제표에 기록되지 않은 자산, 부채, 거래나 사건 혹은 공시되지 않은 항목은 없다는 주장이다. 예를 들어, 경영자는 모든 이자비용이 빠짐없이 (포괄)손익계산서에 표시되었고 재무상태표에 표시되지 않은 부채는 존재하지 않는다고 주장한다. 완전성에 대한 주장은 재무제표에 포함되어야 할 항목의 누락 여부에 관한 주장으로 일반적으로는 부채와 비용 계정과 관련되는 것에 반하여 실재성 또는 발생사실의 주장은 재무제표에 포함되지 않아야 할 가공의 항목이 없다는 사실에 관한 주장으로 자산이나 수익 계정과 보다 밀접하게 관련된다.
  - (3) (권리와 의무) 권리와 의무는 재무제표에 표시된 자산에 대해 해당 일자에 회사가 소유권 혹은 독점적인 사용권을 보유하고 있으며 부채는 해당 일자에 회사가 변제하여야 할 의무가 있는 채무가 존재한다는 주장이다. 예를 들어, 회사가 차입을 통하여 유형자산을 구입한 경우 재무상태표상의 유형자산은 회사가 미래 경제적 효익을 받을 수 있는 독점적 권리를 나타내고 차입금은 회사가 상환하여야 하는 의무를 나타낸다는 주장이다.
  - (4) (평가) 재무제표상의 자산, 부채, 자본, 수익과 비용 항목은 회계기준에 따라 적정한 금액으로 표시되었다는 주장이다. 거래들이 수학적으로 옳게 계산되고 적절하게 요약되어 회사의 장부에 반영되었음을 의미한다. 예를 들어, 재고자산은 제조원가 또는 매입가액에 부대비용이 가산되어 원가계산방법에 따라 산정된 취득원가(순실현가능가치가 취득원가보다 낮은 경우에는 순실현가능가치)로 기록되었고, 금융자산은 보고기간 종료일 현재 공정가치 등으로 평가되었다는 주장이다.
  - (5) (재무제표 표시와 공시) 재무제표 구성항목 및 주석사항은 회계처리기준에 따라 공시, 분류 및 기술되어 있다는 주장이다. 예를 들어, 재무상태표 상 장기차입금으로 기록된 채무는 1년 이내에 상환되지 않는 채무임을 주장하는 것이다.
  - (6) (발생사실) 거래나 사건은 회계기간 동안에 실제로 발생하였다는 주장으로 일반적으로 (포괄)손익계산서 계정과목에 해당한다. 예를 들어, (포괄)손익계산서의 이자수익은 예금 또는 대여금을 통해 당기 중에 실제로 발생한 금액이라고 경영진은 주장한다.
  - (7) (측정) 회계적인 거래나 사건은 적절한 금액으로 재무제표에 기록되었으며, 수익이나 비용은 발생주의 원칙에 따라 적절한 회계기간에 배분되었다는 주장이다. 예를 들어, 유형자산의 취득가액은 적절한 내용연수 동안에 체계적인 방법을 통하여 감가상각비로 배분되었다는 주장이다.
14 (유의한 업무프로세스 파악)
- 가. 유의한 계정과목 등, 그리고 이와 관련된 경영자 주장을 파악한 후 경영진은 해당 계정과목 및 주석정보에 영향을 미치는 주요 거래유형별 유의한 업무프로세스를 파악한다.
- 나. 신뢰할 수 있는 재무제표의 작성 및 공시를 위해서는 재무제표 작성 및 보고 절차뿐만 아니라 장부 상에 기록된 개별 거래들이 발생, 승인, 기록 및 처리되는 전체 과정이 중요하기 때문에 경영진은 내부회계관리제도의 평가 시 회계나 경리 부서뿐만 아니라 회계처리의 기초가 되는 정보와 관련된 회사의 유의한 업무프로세스를 고려한다.
15 (업무프로세스 위험평가시 고려사항)
- 가. 계정과목의 특성을 고려한 질적 평가 시 관련된 프로세스 위험평가를 한꺼번에 고려하여 수행하거나 별도로 프로세스별 위험평가를 수행할 수 있다.
- 나. 유의한 업무프로세스 및 그 프로세스 내에서 수행되는 일련의 활동인 하위프로세스는 영위하는 사업의 내용이나 환경 등에 따라 회사마다 다를 수 있다. 예를 들어, 연구개발비 계정과 관련된 업무프로세스는 제조업(특히 첨단산업)의 경우에는 중요할 수 있으나 금융업을 영위하는 회사에서는 상대적으로 중요하지 않을 수도 있다.
- 다. 프로세스별 위험평가 시에는 회사의 특성을 감안하여 계정과목과의 직접적인 연관성 정도, 프로세스의 복잡성, 프로세스의 변경 정도, 중앙 집중화 및 동질성 정도, 프로세스를 지원하는 IT 시스템의 복잡성 및 변화 정도, 프로세스에 개입하는 내·외부 이해 관계자의 수(혹은 부서의 수) 등을 고려할 수 있다.
- 라. 유의한 업무프로세스라 하더라도 관련 하위프로세스를 모두 동일한 비중으로 고려하기보다는 각 하위 프로세스별 위험평가를 통해 내부회계관리제도 평가자, 평가방법, 범위 및 시기 등을 적절히 조정하는 것이 바람직하다.
- 마. 기말재무제표 작성절차는 내부회계관리제도에서 차지하는 중요성으로 인해 항상 유의한 업무프로세스로 식별되어야 한다.

2.2절 재무보고 위험에 적절히 대처하기 위한 통제의 식별

16 (재무보고 위험에 적절히 대처하기 위한 통제의 식별)
- 가. 위험평가 절차에 기반하여 선정된 유의한 계정과목 등에 대해 경영자 주장별로 다양한 통제가 존재하는 것이 일반적이다. 경영진은 재무보고 위험을 적절한 수준으로 감소시키기 위한 예방통제, 적발통제, 또는 두 가지를 결합한 통제를 식별할 수 있다.
- 나. 반면에 하나의 통제가 하나 이상의 재무보고요소의 위험을 처리할 수도 있다. 만약, 재무보고 위험을 다루기 위해 중복되는 통제가 필요한 경우가 아니라면 중복 통제를 포함한 존재하는 모든 통제를 식별할 필요는 없다. 예를 들어, 경영진은 재무제표의 중요한 왜곡표시를 초래할 수 있는 이자비용의 왜곡표시 위험이 회사의 기말재무제표 작성 절차 관련 통제에 의해 충분히 관리될 수 있다고 판단할 수 있다. 이러한 경우에 경영진은 내부회계관리제도의 평가 목적상 이자비용의 왜곡표시 위험과 관련하여 추가적인 통제에 대한 평가가 필요하지 않다고 판단할 수 있다.
17 (평가 대상 통제의 선정)
- 가. 경영진은 통제 운영 평가의 효율성을 고려하여 평가 대상 통제를 선정할 수 있다. 하나 이상의 통제가 존재하고 각각 재무보고 위험을 적절하게 처리하는 경우 경영진은 운영의 효과성 증거를 보다 효율적으로 얻을 수 있는 통제를 평가 대상으로 선택할 수 있다. 또한, 적절한 정보기술 일반통제가 존재하고 해당 통제의 운영이 효과적이라고 판단한다면 경영진은 자동통제가 수동통제보다 평가하기에 보다 더 효율적이라고 판단할 수 있다.
- 나. 또한, 회사의 모든 통제에 대해 설계와 운영의 효과성을 평가하기 보다는 핵심통제를 평가 대상으로 선정하는 것이 위험기반평가 방식에 부합하는 평가 방법이다. 경영진은 내부회계관리제도 문서 등을 기반으로 내부회계관리제도 설계와 운영의 평가 대상이 되는 핵심통제를 선정한다.
18 (핵심통제 선정시 고려사항) 핵심통제는 특정 계정과목에 대한 경영자 주장별로 발생가능한 위험에 대응하는 통제 중 없어서는 안 될 통제를 의미한다. 예를 들어, 매출에 대한 판매단가의 적용이 잘못되는 경우를 방지하기 위해 다양한 통제가 존재할 수 있다. 판매단가 적용 시 시스템에서 제시된 단가 이외에는 선택할 수 없도록 하는 입력통제나 판매주문서 승인 시 판매금액을 검토하는 통제, 전표 기표 시 관련 계약서와 거래 증빙 등을 확인하여 판매금액을 검토하는 통제 등이 사용될 수 있다. 회사의 특정 매출 유형에 예외 없이 적용되는 판매단가에 대한 입력통제는 핵심통제로 선정될 수 있을 것이다. 다른 매출 유형은 매출 확정 시 조정이 발생하는 경우가 존재하여 조정과 관련한 통제가 핵심통제로 선정될 수 있을 것이다. 이러한 핵심통제는 일반적으로 계정과목별 경영자 주장을 고려하여 선정되는 것이 필요하며 주의 깊은 사고와 판단을 요구한다. 다음과 같은 특성을 지니고 있는 통제가 핵심통제로 결정될 수 있다.
- 가. 재무제표 왜곡표시 위험을 줄이는데 가장 직접적인 영향을 미치는 통제로 어떤 다른 통제보다도 회사가 해당 계정과목의 왜곡표시 위험을 방지하는 데 가장 우선적으로 고려하는 통제이다. 재고자산의 실재성과 관련한 경영진 주장을 만족시키기 위한 재고자산에 대한 강력한 물리적 보안 통제나 정기적인 실사를 예로 들 수 있다.
- 나. 하나 또는 그 이상의 유의한 계정과목, 거래유형과 공시사항의 왜곡표시 감소를 위한 통제로 이러한 통제를 핵심통제로 선정하는 이유는 중요한 재무보고에 대한 주장과 관련된 통제에 대하여 테스트를 집중함으로써 평가를 효율적으로 수행하기 위함이다.
- 다. 회사는 철저한 위험관리를 위해 중복적으로 통제를 설계하기도 하고 단계적으로 통제를 설계하기도 한다. 그러므로 보완적이고 중복적으로 설계된 통제는 핵심통제로 선정하지 않는 것이 일반적이다. 그러나, 단계적 통제로 수행되는 통제의 정교함이 다르거나 통제가 실패할 위험을 고려하여 의도적으로 핵심통제에 포함할 수도 있다.
- 라. 중소기업의 경우에는 일반적으로 경영진이 일상적 업무의 일부분으로서 수행하는 모니터링(예: 거래의 승인, 예외사항의 검토, 성과지표의 검토 등)이나 중요한 실물자산에 대한 접근통제 및 정기적인 실사, 외부 증빙과의 상호대사 등을 위주로 핵심통제를 선정할 수 있다.

2.3절 전사적 수준 통제의 고려

19 (전사적 수준 통제의 고려) 전사적 수준 통제는 업무프로세스의 거래수준 통제의 기반을 형성하고 경영진이 효과적인 내부회계관리제도를 유지·감독할 수 있도록 하는 체계적인 관리수단을 제공한다. 효과적인 전사적 수준 통제는 업무프로세스 수준, 거래수준 통제 및 정보기술 일반통제 등에 긍정적인 영향을 미치게 된다. 이에 전사적 수준 통제의 미비점은 거래수준이나 다른 전사적 수준 통제의 평가 방법·범위·시기 등에 중대한 영향을 미치게 된다. 경영진은 주요 계정과목의 경영자 주장이 왜곡될 수 있는 위험을 적절히 예방 또는 적발할 수 있는 통제들을 식별하고 평가하는 과정에서 전사적 수준에서의 통제를 고려한다.
20 (전사적 수준 통제의 구분) 전사적 수준통제는 그 성격에 따라 다음과 같이 구분할 수 있다.
- 가. (간접 전사 통제(Indirect Entity-Level Control)) 통제환경처럼 회사의 내부회계관리제도의 효과성에 전반적인 영향을 미치지만 중요한 재무제표 왜곡표시의 발생을 예방 및 적발하는 데에는 간접적인 영향을 미치는 전사적 수준의 통제를 의미한다.
  - (1) 전사적 수준 통제가 재무보고요소와의 관계가 직접적이지 않을수록 통제가 왜곡표시를 예방하거나 적발하는데 덜 효과적일 수 있으나 통제환경과 관련된 통제와 같은 일부 전사적 수준 통제는 간접적이지만 적시에 왜곡표시를 예방하거나 적발할 가능성에 중요한 영향을 미친다.
  - (2) 이러한 통제는 경영진이 개별 재무보고요소의 왜곡표시 위험과 관련하여 평가 대상 통제를 선정하는데 영향을 미칠 수 있다. 그러나, 경영진은 재무보고요소에 대하여 식별된 위험을 적절하게 다루기 위하여 이러한 유형의 전사적 수준 통제만을 식별하지는 않을 것이다.
  - (3) 또한, 일부 간접 전사 통제는 다른 통제의 효과성을 모니터링 하는 기능을 수행하기도 하며, 이러한 간접 전사 통제가 효과적으로 운영되는 경우 모니터링 대상이 되는 통제의 평가범위를 조정할 수 있다.
- 나. (직접 전사 통제(Direct Entity-Level Control)) 재무제표와 관련된 경영자 주장이 왜곡될 위험을 적절히 방지하거나 적시에 적발할 수 있을 정도로 설계된 전사적 수준의 통제를 직접 전사 통제라 한다.
  - (1) 직접 전사 통제가 특정 재무제표 왜곡표시 위험을 효과적으로 적발 또는 예방하고 있다고 평가된다면 해당 위험과 관련된 업무프로세스 수준의 통제를 평가 대상에서 제외할 수 있다.
  - (2) 예를 들어, 경영진이 기말재무제표 작성절차(직접 전사 통제에 해당)를 통해 관련 왜곡표시 위험이 적절히 적발된다고 평가한 경우 동 위험과 관련된 거래수준 통제의 식별 및 평가를 생략할 수 있을 것이다.
21 (전사적 수준 통제의 예) 전사적 수준에서의 내부회계관리제도의 일반적인 예는 다음과 같다.
- 가. (통제환경) 최고경영자의 의지 및 철학, 권한과 책임의 위임, 일관성 있는 정책과 절차 및 조직 전반에 걸쳐 적용되는 윤리강령, 부정방지 프로그램 등
- 나. (경영진의 권한 남용 및 통제 무시(Override) 위험과 관련한 통제) 경영진이 내부통제가 존재함에도 불구하고 권한을 남용하여 이를 무시할 위험을 줄일 수 있는 제도 및 관련 통제활동 등
- 다. (위험평가 절차) 내부회계관리제도 목적 상 위험평가 절차는 유의한 계정과목 등의 선정, 업무프로세스와의 연계, 평가 대상 사업부문의 선정 등으로 구성
- 라. (중앙집중적인 업무처리활동 및 통제활동) 통합구매, 급여 계산, 자금 등 회사에 전반적인 영향을 미치는 업무처리활동 및 관련 통제
- 마. (영업성과에 대한 모니터링) 경영진이 사업단위별 영업성과 및 재무제표, 또는 전사 재무제표에 대한 검토를 통하여 중요한 재무제표 왜곡표시를 사전에 예방하거나 적시에 발견할 수 있기 때문에 영업성과에 대한 모니터링은 전사적 수준의 내부회계관리제도로 구분됨
- 바. (통제활동에 대한 모니터링) 내부감사 및 감사(또는 감사위원회) 활동, 자체평가 프로그램 등은 전사적 수준, 현업부서의 일상적인 업무수행과정에서 수행되는 모니터링(경영진이나 중간관리자의 검토, 거래나 회계기록의 승인 등)은 업무프로세스 수준의 내부회계관리제도로 구분됨
- 사. (재무제표 작성절차) 업무프로세스 수준에서 이루어지는 모든 거래를 회사가 선택한 회계처리 정책에 의해 회계처리하고 각 사업부문에서 작성 및 제출되는 결산 관련 자료를 취합하는 등의 기말재무제표 작성절차는 전사적 수준의 내부회계관리제도로 구분할 수 있으며 아래의 내용이 포함됨. 재무제표 작성절차는 거래수준의 내부회계관리제도로 구분할 수도 있고 회계정책을 선택하고 적용하는 절차는 위험평가 절차의 항목으로 구분하기도 함
  - (1) 회계정책을 선택하고 적용하는 절차
  - (2) 회계전표를 작성, 승인, 기록하고 총계정원장에 전기하는 절차
  - (3) 결산 조정사항 및 수정사항의 반영절차
  - (4) 재무제표 및 관련 주석사항의 작성절차
- 아. (이사회가 승인한 중요정책, 내부회계관리규정 및 조직 등) 외부감사법규에 따른 내부회계관리규정의 제·개정과 내부회계관리제도 관련 조직구조에 대한 승인 등
22 (전사적 수준 통제 평가 결과의 활용)
- 가. 전사적 수준의 통제와 정보기술 일반통제의 평가 결과는 일반적으로 평가 대상으로 선정한 거래수준 통제의 위험평가 시에 고려하게 된다. 전사적 수준의 통제와 정보기술 일반통제의 평가 결과가 바람직하지 않은 경우 관련된 거래수준 통제의 설계 및 운영이 부적절할 가능성이 증가하므로 평가 방법, 시기 및 정도를 확대하는 방식을 적용하여야 한다.
  예를 들어, 내부회계관리제도의 전담 조직이 부재한 경우 내부회계관리제도 변화관리체계, 정보 및 의사소통, 모니터링 활동이 적절히 이뤄지지 못할 가능성이 높음에 유의하여 거래수준 통제를 평가하여야 할 수 있다. 즉, 기중에 변경되거나 되어야 하는 통제의 업데이트가 적시에 이뤄지지 못한 경우에는 이를 고려하여 거래수준이나 다른 전사적 수준 통제의 평가 방식을 결정한다.
- 나. 일부 전사적 수준의 통제와 정보기술 일반통제는 내부회계관리제도의 유효성이 직접적인 영향을 미치는 항목도 존재하나, 일반적으로는 거래수준에 포괄적인 영향을 미치며 그 연관관계가 명확하지 않은 부분도 존재할 수 있다.
- 다. 일부 전사적 수준 통제는 하위 수준의 통제가 실패할 가능성을 식별할 수 있도록 설계될 수도 있으나 해당 전사적 수준 통제만으로 재무보고 위험을 적절하게 처리할 수 있는 것은 아니다. 예를 들어, 통제 운영의 결과를 모니터링 하는 전사적 수준 통제는 잠재적인 왜곡표시를 적발하고 하위 수준의 통제가 실패하였는지 조사하도록 설계될 수 있다. 그러나, 모니터링 통제에 의하여 적발되기 전까지 존재할 수 있는 잠재적인 왜곡표시의 금액이 너무 큰 경우 해당 통제는 재무보고요소와 관련된 위험을 적절하게 처리하지 못할 수 있다.
- 라. 전사적 수준 통제는 프로세스, 응용시스템, 거래 또는 계정과목 수준에서 재무제표의 중요한 왜곡표시를 초래할 수 있는 재무보고요소의 왜곡표시를 예방하거나 적시에 적발할 수 있도록 충분히 정교하게 설계되고 운영될 수 있다. 이러한 경우 경영진은 재무보고 위험과 관련된 추가적인 통제를 식별하거나 평가할 필요가 없을 수 있다.
- 마. 설계·운영 개념체계에서 제시하는 17가지 원칙이 존재하지 않거나 기능하지 않는 경우에는 유의한 미비점이나 중요한 취약점으로 구분되는 것이 일반적이며, 감사(또는 감사위원회) 및 부정방지와 관련된 원칙은 중요한 취약점으로 고려할 수 있는 항목으로 간주된다.

2.4절 정보기술 일반통제

23 (정보기술의 사용에 따른 위험) 정보기술의 사용은 회사의 업무환경과 밀접한 관계가 있다. 날로 발전하는 정보기술로 수작업 처리 업무절차가 시스템에서 자동화되고 각종 문서들이 전자적인 형식으로 대체된다. 이러한 정보기술은 회사의 업무처리의 효율성과 효과성을 증대시키기도 하지만 다음과 같은 위험을 초래하기도 한다.
- 가. 데이터를 잘못 처리하거나 잘못된 데이터를 처리하는 시스템에 의존할 위험
- 나. 데이터에 대한 승인되지 않은 접근으로 데이터가 위조, 변조, 훼손 및 파기될 위험
- 다. IT부서 인원이 과도한 권한을 보유하여 업무분장이 적절하지 않을 위험
- 라. 승인되지 않은 마스터 파일의 수정
- 마. 승인되지 않은 시스템 및 프로그램의 수정
- 바. 시스템이나 프로그램에 필요한 변경이 적절히 이루어지지 못할 위험
- 사. 데이터 유실 위험 또는 필요한 데이터를 사용하지 못할 위험
24 (정보기술 일반통제)
- 가. 정보기술 일반통제란 정보기술 사용에 따른 위험을 적절히 예방·적발하기 위한 통제로 정보시스템이 구입·개발되고 유지·보수되며 운영되는 전반적인 통제를 의미한다.
- 나. 정보기술 일반통제는 단독으로 재무보고 위험을 적발 또는 예방할 수 없는 것이 일반적이나 자동통제 또는 회사의 제반 IT 기능은 효과적인 정보기술 일반통제에 의존한다. 따라서, 재무보고 위험과 관련된 핵심통제가 자동통제 또는 전산에 기반한 수동통제인 경우 해당 통제의 효과성에 영향을 미치는 정보시스템의 정보기술 일반통제를 평가한다.
- 다. 중소기업의 경우에는 정보기술 일반통제의 평가범위는 정보시스템에의 의존 정도, 정보시스템의 복잡도, 회사의 규모나 업종 등에 따라 달라질 수 있다. 예를 들어, 중소기업의 정보기술 환경은 규모가 작고 복잡도가 낮을 수 있어 관리가 중앙집중화되고 관련 규정이나 절차가 공식적으로 문서화되지 않을 수도 있다. 또한, 인력 제한 등으로 인하여 프로그램 개발자가 운영환경에 직접 접근하는 등 충분한 업무 분장이 이루어지지 않을 수도 있다. 이러한 경우에는 시스템에서 산출된 자료의 정확성을 확인하는 통제 위주로 내부회계관리제도를 설계·운영할 수 있다.
25 (내부회계관리제도 목적의 정보기술 일반통제의 범위) 경영진은 업무프로세스 및 자동통제나 IT에 의존하는 수동통제와 관련된 시스템 및 해당 시스템의 정보기술 일반통제 간의 연관성을 파악한다. 정보기술 일반통제에는 전산화 계획의 수립, 재난복구계획 등 다양한 영역이 존재하며 회사의 정보시스템에의 의존 정도, 회사의 규모나 업종 등에 따라 달라질 수 있으나 내부회계관리제도 목적상으로는 일반적으로 다음 (가)～(라)의 영역이 포함된다.
- 가. (프로그램 개발(Program Development)) 프로그램 개발과 관련하여 고려되어야 할 통제에는 일반적으로 다음의 항목을 포함한다. 단, 사업의 구조가 단순하고 복잡한 정보시스템이 요구되지 않는 중소기업에서 회사의 개별적인 수정이 허용되지 않는 범용소프트웨어를 도입하는 경우에는 일반적인 프로그램 개발방법론의 모든 영역을 고려하지 않을 수 있다.
  - (1) 새로운 시스템의 개발 및 도입은 적절한 경영진에 의해 승인된다.
  - (2) 전산시스템 및 응용 프로그램의 개발은 적절한 통제가 내재된 개발방법론을 적용하여 수행한다.
  - (3) 새로운 시스템의 구축에 의해 영향을 받을 수 있는 기존의 통제는 수정되거나 완전성의 유지를 위해 재설계된다.
  - (4) 전산시스템 및 응용프로그램의 개발은 현업부서 및 전산관련 부서의 적절한 테스트과정을 거친다.
  - (5) 새로운 전산시스템과 응용프로그램에 대해 시스템, 사용자, 관련 통제에 대한 적절한 문서화가 이루어진다.
  - (6) 새로운 시스템을 운영환경으로 이전함에 있어 접근통제가 수행된다.
  - (7) 새로운 시스템으로 이전된 데이터는 완전성을 유지한다.
  - (8) 시스템 사용자는 새로운 시스템과 응용프로그램을 사용하기에 적절한 수준의 지식을 보유하고 있다.
- 나. (프로그램 변경(Program Changes)) 프로그램(하드웨어 및 네트워크 포함) 변경 과정이 적절하게 통제되지 않는 경우 재무제표의 신뢰성에 중요한 영향을 미칠 수 있으며 "프로그램 변경"과 관련된 통제는 일반적으로 다음의 사항들을 충족시킬 수 있도록 설계·운영한다. 단, 범용소프트웨어를 사용하는 중소기업의 경우에는 회사의 재무보고 프로세스에 직접적인 영향을 미치는 사항의 변경이 있는지를 확인하고 기존에 설계·운영 중인 내부회계관리제도의 변경 필요성을 판단하여 조치하는 것으로 시스템 변경에 대한 통제를 수행할 수 있으며 동 과정의 문서화가 대기업에 비해 덜 공식적일 수 있다.
  - (1) 시스템에 대한 변경 요청은 적절한 경영진의 승인을 받는다.
  - (2) 시스템 변경의 영향을 적절히 반영하기 위해 관련 시스템, 사용자, 관련 통제문서 등을 적절히 수정한다.
  - (3) 시스템의 변경을 적절히 테스트하고 그 결과를 문서화한다.
  - (4) 운영환경에 적용된 시스템은 적절한 관리자의 승인 없이 변경되지 않는다.
  - (5) 변경된 시스템과 응용 프로그램을 운영환경으로 이전하기 전에 적절한 관리자가 승인한다.
  - (6) 각 사용자는 변경된 시스템 및 응용프로그램을 사용하기에 적절한 지식을 보유하고 있다.
- 다. (프로그램과 데이터에 대한 접근보안 (Access to Program and Data)) 재무제표의 신뢰성을 유지하기 위해서는 프로그램 및 데이터에 대한 접근보안이 전제되어야 한다. "프로그램과 데이터에 대한 접근보안"과 관련된 통제는 일반적으로 다음의 사항들을 충족시킬 수 있도록 설계 및 운영한다. 단, 소규모의 덜 복잡한 정보기술 환경을 보유한 중소기업의 경우에는 보안관리가 중앙집중화되고 규정과 절차의 문서화 수준이 높지 않으며 소수의 인원 또는 한 명의 개인이 파트타임으로 보안 관리와 모니터링을 지원하는 경우도 있다. 이러한 경우 운영체제, 데이터, 응용 프로그램에 대한 접근제한 및 업무분장의 결여로 야기되는 위험은 관련 업무에 대한 적발통제 혹은 모니터링 절차 등을 통해 보완할 수 있다.
  - (1) 정보보안 정책을 수립하고 있으며 보안실무를 고려하여 그 적정성을 정기적으로 검토한다.
  - (2) 구성원이 수행하는 업무의 내용 및 직무기술서 등을 고려하여 시스템 접근권한의 적정성을 정기적으로 검토한다.
  - (3) IT 자원(하드웨어, 소프트웨어, 데이터를 포함)에 대한 접근을 관리하기 위한 물리적인 접근통제 및 논리적인 접근통제(식별, 인증, 승인 메커니즘 등)를 수립하고 적용하고 있다.
  - (4) 적시에 사용자 계정을 추가, 수정, 삭제할 수 있는 절차를 수립하고 적용하고 있다.
  - (5) 보안활동에 대한 기록, 발생가능한 보안위반 사항에 대한 식별, 이에 대한 전달 및 적시대응 등을 포함한 효과적인 보안체제를 구축하고 있다.
- 라. (컴퓨터 운영(Computer Operation)) 재무제표의 신뢰성을 확보하기 위해서는 재무정보가 입력, 처리 및 산출되는 제반 정보시스템을 적절히 운영하여야 한다. "컴퓨터 운영"과 관련된 통제는 다음의 사항을 충족시킬 수 있도록 통제를 설계 및 운영한다. 단, 소규모의 덜 복잡한 정보기술 환경을 보유한 중소기업의 경우에는 공식적인 정보시스템 운영기능이나 장애 관리 또는 데이터의 저장 및 보존에 관한 공식적인 정책이 존재하지 않거나 관련 절차들이 수작업으로 진행될 수도 있다.
  - (1) 재무보고에 필요한 데이터, 거래, 프로그램을 복구하기 위해 적절한 백업 및 복구절차가 존재한다.
  - (2) 복구절차의 효과성과 백업자료의 질을 정기적으로 테스트하기 위한 절차가 존재한다.
  - (3) 백업자료에 대한 접근을 승인된 구성원에게만 허용할 수 있는 통제절차가 존재한다.
  - (4) 시스템과 관련된 장애나 오류 등을 기록하고 분석하여 동일한 문제의 재발을 방지할 수 있는 절차가 존재한다.
  - (5) 재무보고와 관련된 응용 프로그램이나 데이터에 관한 일괄처리(Batch Job) 및 온라인(On-Line) 거래가 정확하며 완전하고 적시에 처리된다.

2.5절 통제 설계에 대한 문서화

26 (통제 설계에 대한 문서화의 의의)
- 가. 회사가 설계한 통제에 대한 문서화는 효과적인 내부회계관리제도의 설계 및 운영을 위한 회사의 각 조직 및 기능별 역할과 통제절차를 명확하게 이해하고 수행할 수 있도록 한다는 측면에서 매우 중요하며 내부회계관리제도의 효과적인 운영 및 평가를 위한 출발점이 된다. 단, 중소기업의 경우에는 회사의 고유한 사업환경을 감안하여 문서화 수준을 유연하게 적용할 수 있다.
- 나. 통제 설계에 대한 문서화는 내부회계관리제도 평가뿐만 아니라 효과적인 내부통제 시스템의 다른 목적들도 지원한다. 예를 들어, 통제의 변화 여부를 포함하여 내부회계관리제도상 통제가 식별되었고 통제 수행 책임자와 의사소통되었으며 회사에 의해 모니터링될 수 있다는 근거로 사용될 수 있다.
27 (문서화의 형식과 범위) 문서화의 형식과 범위는 회사의 규모, 성격, 복잡성에 따라 달라질 수 있다
- 가. 문서화는 종이 문서, 전자문서, 또는 다른 미디어 등 다양한 형태일 수 있으며, 정책 및 절차 매뉴얼, 업무흐름도, 조직도, 직무기술서, 내부 기안문, 양식 등 여러 가지 방법으로 수행될 수 있다.
- 나. 문서화에는 재무보고에 영향을 미치는 프로세스 내에 존재하는 모든 통제를 포함할 필요는 없으며 경영진이 재무보고 위험을 적절한 수준으로 감소시킬 수 있다고 판단한 통제만 포함할 수 있다.
28 (문서화에 포함할 사항) 내부회계관리제도 설계 및 운영의 효과성 평가 이전에 확인할 문서에는 다음의 사항들을 포함한다.
- 가. (업무프로세스) 회사의 주요 사업 및 업무처리 절차를 구분하여 표시한 것으로 회사 특성에 따라 다양하게 구분한다.
  - (1) 주요 거래유형별 업무프로세스를 구분하되 외부 재무보고 목적과 관련된 프로세스가 누락되지 않도록 한다. 특히, 외부 재무보고 목적상 중요하다고 판단하는 유의한 업무프로세스가 누락되는 경우 해당 프로세스의 통제가 식별되어 문서화되지 않고 이에 따라 관련 통제가 설계 및 운영의 평가 대상에 포함되지 않을 수 있다. 이를 방지하기 위해서는 지속적인 변화관리 및 계정과목과 프로세스 연계표의 작성, 추적조사(Walkthrough) 등을 통한 보완작업이 필요하다.
  - (2) 구분된 프로세스와 관련된 부서, 프로세스책임자 및 관련 업무흐름도를 추가 문서화 하는 것은 관련 업무 수행의 효율성을 제고할 수 있음을 고려한다.
- 나. (통제목표 또는 통제실패위험)
  - (1) 통제목표란 경영자가 수립한 목표로써 통제목표가 달성되는 경우에는 식별된 위험을 허용가능한 수준으로 감소시킬 수 있다. 내부회계관리제도 목적상으로는 유의한 계정과목 등에 내재된 경영자 주장 및 자산의 보호, 부정방지 등을 달성하는 것이 통제목표를 구성한다.
  - (2) 통제실패위험이란 통제목표가 달성되지 않을 경우 재무제표 왜곡표시를 야기할 가능성을 의미한다. 예를 들어, ‘완전성’이라는 경영자 주장과 관련하여 ‘구매부서가 매월 결산 시 구매 주문의 진행상태를 확인하고 실재 현황에 따라 거래의 현황을 업데이트 한다’라는 통제목표를 설정한 경우, ‘구매주문 물품이 입고되었음에도 입고처리 되지 않을 위험’이나 ‘구매주문 물품이 입고처리 되었음에도 매입채무 기표가 이루어지지 않을 위험’ 등의 위험이 존재할 수 있다.
  - (3) 구체적인 통제목표는 통제실패위험을 유추할 수 있으므로 통제목표와 통제실패위험 모두를 문서화하는 것이 필수적이지는 않으나 통제목표의 다양한 기술 수준을 고려하는 측면을 고려한다면 양자를 모두 문서화에 포함하는 것이 바람직하다. 또한, 통제목표가 구체적으로 기술될수록 관련 통제실패위험과 통제활동을 유추할 수 있다는 사항을 고려한다. 이러한 통제목표는 외부 재무보고 목적을 중점적으로 기술하되 자산의 보호나 부정방지 목적으로 기술되고 구분될 수 있다.
- 다. (통제활동)
  - (1) 통제활동이란 통제목표를 달성하기 위해(또는 위험을 허용가능한 수준으로 감소시키기 위해) 경영진이 수립한 정책이나 절차, 활동 및 체계 등을 의미한다. 특히, 내부회계관리제도와 관련해서는 회사의 재무제표를 일반적으로 인정된 회계원칙에 따라 작성 및 공시하는 목적을 달성하기 위한 정책이나 절차 등을 의미한다.
  - (2) 유의한 계정과목 등에 대한 경영자 주장 및 이와 관련된 유의한 업무프로세스가 파악되면 경영진은 유의한 업무프로세스에서 재무제표 왜곡표시가 발생할 수 있는 위험을 관리하기 위한 통제를 식별하고 문서화한다.
  - (3) 통제활동은 회사 일상 업무의 일부가 되어야 하며 개별 통제목표에 따라 그 형태 및 세부 운영수준은 다를 수 있으나 목적과 관리 대상 위험이 불명확한 경우에는 통제 설계의 미비점이 될 수 있다.
- 라. (관련 계정과목 및 경영자 주장)
  - (1) 각 통제활동과 관련된 계정과목 및 경영자 주장은 통제목표의 구체적인 기술을 통해 확인될 수도 있으나 별도로 관련 계정과목이나 경영자 주장을 문서에 명시하는 것이 바람직하다. 단, 중소기업의 경우에는 통제목표의 구체적인 기술을 통해 경영자 주장을 확인할 수 있는 경우 이를 별도로 문서화하지 않을 수 있다.
  - (2) 통제활동이 프로세스에 존재하고 발생하므로 선행하는 프로세스의 통제활동은 관련된 계정이 너무 많거나 확정되지 않은 경우도 존재한다. 이러한 사항을 고려하여 해당 프로세스의 대상 거래의 정보처리목적(Information Processing Objectives)에 해당하는 완전성, 정확성, 유효성 및 접근제한을 이용한 표시도 가능하다. 이러한 접근 방식은 특정 프로세스에서 발생할 수 있는 통제실패위험을 누락 없이 고려하여 적절한 통제활동 설계의 기반이 되기도 한다.
- 마. (통제의 속성)
  - (1) 통제유형, 수행빈도 등 통제의 속성은 내부회계관리제도 운영 효과성 평가의 방법 및 범위 등을 결정하는 요소가 될 뿐만 아니라 통제의 설계가 적절히 이뤄졌음을 확인 할 수 있는 방안이므로 식별된 통제에 대한 속성을 파악하여 문서화한다.
  - (2) 즉, 통제유형(예를 들면, 자동통제와 수동통제)과 수행빈도는 운영 효과성 평가를 위한 테스트 절차 및 표본 수 결정 시 고려되며, 통제가 통제목표를 달성하기에 충분한 빈도로 수행되지 않는다면(예를 들어, 은행의 예금잔고와 장부의 일치 여부를 확인하는 절차가 연 1회만 수행되는 경우 등) 설계상의 미비점이 될 수도 있다. 또한, 하나의 유형에 편중되거나 고려되지 않은 경우에도 설계상의 미비점이 될 수 있다.
  - (3) 회사가 통제를 관리하기 위한 추가적인 유형을 구분한 경우(예 : 승인, 검증, 물리적 통제, 기준정보 관리 통제, 대사, 감독통제 등)에는 해당 구분을 추가하여 문서화한다.
- 바. (통제유형 : 예방통제와 적발통제(Preventive/Detective))
  - (1) 예방통제란 거래처리 시 재무제표의 왜곡표시를 야기하는 오류나 부정위험이 발생하지 않도록 사전에 예방하는 통제를 말하며 거래의 사전 승인, 시스템의 입력통제, 자산에 대한 물리적 접근통제, 전산시스템에의 논리적 접근통제, 업무분장 등이 이에 해당한다.
  - (2) 적발통제란 오류나 부정이 이미 발생하여 이로 인해 재무제표의 왜곡표시가 발생했거나 가져올 것으로 예상되는 경우 당해 오류나 부정을 적시에 적발하는 것을 목적으로 하는 통제를 말하며 중간관리자의 검토, 실물자산 실사, 매출채권·은행 거래 조회 등이 이에 해당한다.
- 사. (통제유형 : 자동통제와 수동통제(Automated/Manual))
  - (1) 거래처리 시 재무제표의 왜곡표시를 야기하는 오류나 부정위험을 회사의 시스템을 통해 자동으로 관리하는 활동을 자동통제(예 : 신용한도를 초과한 주문에 대해 전산을 통한 주문 입력 발생 시 시스템이 해당 거래를 자동으로 잠금 처리하는 통제는 신용한도를 초과한 주문위험을 시스템이 자동으로 관리한다), 수작업으로 수행되는 통제(예 : 구매주문서 승인 절차에서 승인자가 거래처의 현재 거래총액을 확인하고 한도 내에 존재하는 경우 승인을 하는 통제절차는 신용한도를 초과한 주문위험을 관리한다)는 수동통제로 분류한다.
  - (2) 구매주문 승인자가 거래총액을 확인하는데 시스템에서 산출되는 정보를 기반으로 통제를 수행하는 경우 이는 IT의존 수동통제(IT Dependent Manual Control)로 구분한다. 이러한 IT기반 수동통제와 자동통제가 핵심통제로 구분되는 경우 관련된 시스템은 정보기술 일반통제의 대상을 파악하는데도 유용하다.
- 아. (수행빈도)
  - (1) 수행빈도는 실제 업무에서 통제가 수행되는 주기 또는 빈도를 의미하며 일별 수시(More Than Daily), 일별, 주별, 월별, 분기별, 반기별, 연간 또는 수시(Event Driven : 특정한 주기 없이 거래 발생시마다 이루어지는 통제, 예 : 유형자산 취득 또는 처분의 승인) 등으로 구분될 수 있다.
  - (2) 수행빈도는 거래규모, 거래 또는 통제의 속성, 회사의 인력구성 등을 고려하여 경영진이 합리적으로 결정할 수 있으나 부정이나 오류에 의한 재무제표 왜곡표시를 적절히 예방 또는 적발하기에 충분한 빈도 또는 주기로 수행되어야 한다.
- 자. (통제운영자의 적격성 요건) 직무기술서나 기타 문서를 통해 통제수행자의 적격성 요건이 명시되는 것이 바람직하나 재무보고와 관련된 인원의 적격성 관리가 실무적으로 어려운 경우 통제기술서에 포함된 통제운영자의 적격성 요건을 기술하고 평가 대상에 포함할 수 있다.
- 차. (관련된 정책 및 절차) 통제활동은 별도로 존재하는 것이 아닌 회사의 정책 및 절차의 일부이다. 기술된 통제활동이 효과적으로 운영되기 위해서는 회사의 정책 등으로 명문화 하는 것이 바람직하며, 공식적인 문서화가 부족한 경우에는 조직 및 하부 조직의 관리자 등 관련자가 해당 절차와 통제활동을 명확하게 인지할 수 있는 체계를 갖추는 것이 필요하다.
- 카. (출발점(Baseline)) 통제활동의 변화 여부를 확인하고 설계평가를 수행하여야 하는지 판단하기 위해 가장 최근의 내부통제 설계 평가를 수행한 시점을 문서화한다. 예를 들어, 매출 프로세스 등의 변화가 발생한 경우 관련된 통제를 확인하고 각 통제별 출발점으로 기술된 일자의 설계 평가 문서 등을 확인하고 해당 통제가 변경되어야 하는지 여부를 확인할 수 있다. 통제가 변경되는 경우 해당 통제설계의 적정성을 평가하고 출발점으로 기술된 일자를 업데이트한다.
- 타. (통제운영책임자(Control Owner)) 통제활동의 설계와 운영의 책임을 지는 인원을 통제운영책임자로 기술하고 필요에 따라 통제를 실제 수행하는 부서, 책임자, 수행자 등을 구분하여 표시하는 것이 해당 통제활동의 권한과 책임을 명확히 하고 미비점에 대한 개선조치를 포함한 변화관리에도 유용하다.
29 (거래수준 내부회계관리제도 문서화의 유형) 내부회계관리제도 설계의 문서화 목적상 거래의 흐름을 파악하기 위한 업무흐름도와 업무프로세스 수준에서의 통제목표(또는 위험), 통제활동, 경영자 주장, 관련 계정과목 등을 일목요연하게 정리할 수 있는 통제기술서를 일반적으로 사용하며 업무기술서 및 업무분장표를 추가할 수 있다. 단, 업무프로세스가 단순하고 인력이 충분하지 않은 중소기업의 경우에는 통제기술서를 위주로 거래수준의 내부회계관리제도를 문서화할 수 있다.
- 가. (통제기술서) 통제기술서는 업무프로세스 내의 하위프로세스별 통제목표 또는 위험과 이를 관리하기 위한 통제 및 경영자 주장, 통제 유형 및 수행빈도 등을 일목요연하게 표현하는데 매우 유용하며 내부회계관리제도 문서화 목적으로 널리 사용된다.
  - (1) 통제기술서는 주로 통제에 대한 설명과 유형, 수행빈도 등 문단 28에서 제시하는 항목을 포함하여 작성되는 문서이나 프로세스의 시작부터 재무제표에 반영되는 복잡한 프로세스에 대한 기술과 관련된 위험을 포함하지 않는 것이 일반적이다. 이에 회사 프로세스에 대한 설명과 관련된 위험을 확인하고 통제 설계의 적정성을 검토하기 위해 업무흐름도와 업무기술서는 매우 유용할 것이다.
  - (2) 또한, 통제기술서 상에 각각의 통제와 관련하여 실제로 회사가 수행하는 절차를 구체적으로 기술함으로써 내부회계관리제도 설계의 효과성 평가에 활용할 수 있다.
- 나. (업무흐름도) 업무흐름도는 조직 내에서의 업무흐름 및 제반 문서 등을 도식적, 동태적으로 표현하기 위한 것으로 주로 하위프로세스 단위로 작성된다.
  - (1) 업무흐름도에는 특정 계정과 관련된 업무프로세스의 시작과 끝을 포함하고 있으며 거래과정의 위험과 통제가 통제 설계의 적정성을 확인할 수 있도록 제시된다. 필요한 경우 몇 개의 하위프로세스를 통합하거나 하나의 하위프로세스를 세분하여 작성할 수 있다.
  - (2) 업무흐름도를 통해 업무프로세스 내에서 발생 가능한 위험 및 관련 통제 등을 쉽게 파악할 수 있는 장점이 있으나 그 자체만으로는 통제목표나 경영자 주장 및 재무제표 계정과목 등과 연계하여 표시하기 어려운 단점이 있어 일반적으로는 통제기술서를 보완하는 목적으로 활용된다.
- 다. (업무기술서) 업무기술서는 각 업무프로세스에서 수행되는 업무의 내용을 설명 형식으로 기술한 문서로 업무의 출발점, 수행되는 업무처리 절차, 통제의 내용 및 관련 서류 등을 명확하게 기술한다.
  - (1) 업무흐름이 복잡하지 않고 단순하여 설명 형식으로 기술하기가 용이할 때 이용할 수 있는 방법으로 업무흐름도와 유사한 목적을 가진다. 업무기술서는 업무프로세스에서 수행되는 업무, 통제 및 관련 문서 등을 시간의 흐름에 따라 순차적으로 표현할 수 있는 장점이 있다.
  - (2) 반면, 프로세스가 복잡한 경우 프로세스와 관련된 위험과 통제의 일목요연한 파악이 어려워 통제 설계의 적정성을 파악하기에 부적절할 수 있다. 또한, 기술된 통제의 내용을 관련 통제목표나 경영자 주장 및 재무제표 계정과목 등과 연계시키기 어렵기 때문에 통제기술서를 대체하기에는 부적절하며 업무흐름도를 보완하는 문서나 간단한 프로세스의 경우 업무흐름도를 대체하는 수단으로 활용될 수 있다.
- 라. (업무분장표)
  - (1) 상충되는 업무의 적절한 분장은 오류 및 부정을 사전에 예방하고 적시에 발견할 수 있는 강력한 통제수단이 된다. 업무분장표는 업무프로세스 내에서 거래의 승인기능, 자산의 보관기능 및 회계기능 등 상충되는 업무가 적절히 분장되었는지 여부를 확인하는데 유용하게 활용될 수 있다.
  - (2) 그러나, 업무분장표 그 자체로 내부회계관리제도의 문서화 목적을 모두 충족시키기는 어렵고 보조적인 수단으로 활용된다. 즉, 업무분장표를 별도로 작성 및 유지하는 것이 권장될 수는 있으나 업무분장과 관련된 내용을 통제기술서 등 타 문서에 충분히 기술하고 내부회계관리제도 설계 및 운영의 효과성 평가를 수행할 수 있다.
  - (3) 단, 회사의 업무분장에 대한 규정과 지침은 명확하게 제시되는 것이 필요하다.
30 (전사적 수준의 내부회계관리제도 문서화)
- 가. 전사적 수준의 통제에 대한 문서화 내용 역시 거래수준의 문서화와 크게 다르지 않다. 단, 거래수준 통제의 문서화가 거래수준의 통제 자체를 문서화하는 반면, 전사적 수준 통제의 문서화는 17가지 원칙과 회사가 선택한 중점고려사항을 준수하기 위한 정책 및 절차가 적용될 수 있는 통제를 기술하는 것이다.
- 나. 이는 때로는 회사의 정책과 절차가 존재하고 관련된 업무수행 결과가 존재하는 것만으로도 수용될 수 있다. 예를 들어, 위험평가 원칙과 관련된 내부회계관리규정이나 지침에 회사가 수행할 위험평가 절차를 제시하고 이에 따라 재무제표를 기준으로 평가 대상을 선정하고 보고하는 절차가 적절히 이뤄졌음을 증명할 수 있는 문서가 존재하는 경우에는 관련된 원칙이 준수되었음을 확인할 수 있다. 물론 이러한 경우에도 위험평가가 효과적으로 수행되기 위한 통제(예 : 위험평가의 기반은 내부회계관리제도 평가 계획의 감사(또는 감사위원회) 보고 및 검토 절차)가 기술되는 것이 바람직하다. 회사가 선택한 중점고려사항을 고려하는 것은 필요하나 중점고려사항별로 통제가 설계되지 않을 수 있다.
- 다. 전사적 수준 통제의 문서화에는 외부감사법 등에서 요구하는 내부회계관리규정 및 보고절차 등이 반드시 포함되어야 한다. 내부회계관리규정이나 지침에는 외부감사법 등에서 요구하는 항목의 반영과 적용을 위한 절차가 마련되는 것이 바람직하다.
- 라. 경영자의 내부회계관리규정 위반이나 내부통제 무시에 대처할 수 있는 부정방지 프로그램 역시 중요한 항목이다. 부정방지 프로그램과 관련된 전사적 수준의 통제는 다음과 같은 사항이 원활하게 수행될 수 있는 통제를 의미한다.
  - (1) 감사(또는 감사위원회) 및 이사회의 감독 기능
  - (2) 윤리강령의 제정, 준수 여부 조사에 관한 사항
  - (3) 회계처리, 회계감사 및 내부회계관리제도 등과 관련한 예외사항에 대한 처리절차(예 : 경영자가 내부회계관리규정을 위반하여 회계정보의 작성, 공시를 지시하는 경우에 있어서의 구성원의 대처방법 등)
  - (4) 부정사건(회사 재산의 횡령, 유용 등) 및 내부회계관리규정 위반사항에 대한 내부고발자제도 및 고발자 보호
  - (5) 발견 또는 제보된 내부고발 사항의 조사 및 징계에 관한 사항

제3절 내부회계관리제도 설계 및 운영의 효과성 평가

3.1절 통제위험 평가와 평가절차의 수립

31 (통제위험의 평가)
- 가. 선정된 핵심통제에 대해서는 이미 평가된 계정과목 및 프로세스의 고유위험 및 통제실패위험을 고려한 통제위험을 평가하여 효과성 평가시 수집해야 할 증거량 및 평가 방안을 결정한다. 위험평가에 기반한 핵심통제 선정과 내부회계관리제도의 효과성 평가 계획은 일정한 형식에 따라 문서화하고 내부회계관리자의 검토 및 감사(또는 감사위원회)의 평가 과정을 거쳐 확정되어야 한다.
- 나. 통제위험 평가시에는 통제와 관련된 계정과목 및 프로세스의 고유위험 평가 결과와 통제실패위험 평가결과를 함께 고려하여야 한다. 고유위험 평가시에는 문단 10 및 문단 11에서 설명하는 양적, 질적 요소를 고려하며 통제실패위험 평가시에는 다음의 항목을 고려한다.
  - (1) 통제의 유형(수동통제, 자동통제)과 수행빈도
  - (2) 통제의 복잡성
  - (3) 경영진의 권한남용으로 인한 통제 무시 위험
  - (4) 통제의 수행에 필요한 판단의 정도
  - (5) 통제를 수행하는 인력의 역량
  - (6) 통제를 수행하는 핵심 구성원의 변동
  - (7) 통제가 예방 또는 적발하고자 하는 왜곡표시의 성격과 중요성
  - (8) 통제가 다른 통제의 효과성에 의존하는 정도(예를 들어, 정보기술 일반통제)
  - (9) 과거 연도 통제 운영의 효과성 평가 결과
- 다. 특수관계자 거래, 추정이나 판단이 개입되는 재무보고요소들은 일반적으로 높은 왜곡표시 위험을 가진 것으로 평가된다. 이러한 재무보고요소들과 관련된 통제의 속성이 경영진의 통제 무시 위험에 취약하고 중요한 판단을 수반하거나 복잡할 때 해당 통제의 통제위험은 높은 것으로 평가되어야 한다.
- 라. 재무보고요소의 위험에 적절히 대처하기 위해 둘 이상의 통제를 조합하여 설계·운영하는 경우 경영진은 통제 각각의 위험 특성이 다를 수 있으므로 개별 통제의 위험을 각각 평가하여야 한다. 예를 들어, 중요한 추정을 수반하는 재무보고요소에는 원천 데이터를 집계하는 자동통제와 높은 수준의 판단이 필요한 수동통제의 조합이 필요할 수 있다. 이러한 경우, 큰 변화가 없는 시스템의 효과적인 정보기술 일반통제에 의존하는 자동통제는 낮은 위험을 가진다고 평가될 수 있는 반면, 수동통제는 높은 위험을 가진다고 평가된다.
- 마. 통제위험 평가 시에는 관련된 전사적 수준의 통제 및 정보기술 일반통제의 효과성을 함께 고려한다. 예를 들어, 통제가 효과적으로 운영되지 못할 가능성에 대한 경영진의 판단은 통제환경의 효과성에 의해 영향을 받을 수 있고 이로 인하여 해당 통제를 평가하기 위한 증거에 영향을 미칠 수 있다. 하지만, 잘 갖추어진 통제환경이라 하더라도 직접적이지 않은 전사적 수준의 통제를 근거로 통제 운영에 대한 평가를 수행하지 않을 수는 없다.
- 바. 전사적 수준의 통제의 설계와 운영의 효과성을 평가하는 방식은 거래수준 통제의 효과성 평가방식과 크게 다르지 않다. 회사의 통제 기술방식이 회사의 정책과 절차만을 기술하는 것은 바람직하지 않으며, 관련된 정책과 절차가 존재한다는 사실만으로 관련된 원칙과 회사의 중점고려사항이 적절히 준수되고 있다고 할 수 없음을 유의한다.
32 (통제위험 평가와 증거량) 계정과목 등의 고유위험과 통제실패위험 및 그에 따른 증거량의 관계는 다음과 같다.

* 높은(낮은) 증거량 : 테스트 방법, 범위, 시기를 보다 높은(낮은) 확신이 부여될 수 있도록 고려했을 때의 증거를 의미
33 (내부회계관리제도 평가를 위한 증거자료의 수집) 내부회계관리제도 효과성 평가를 위한 증거자료는 통제에 대한 독립적인 평가와 상시적인 모니터링 또는 두 가지 방법의 조합으로 얻을 수 있다.
- 가. 일반적으로 통제에 대한 독립적인 평가는 검토 대상 통제에 대하여 높은 수준의 객관성을 가진 인원에 의해 정기적으로 수행된다. 독립적인 평가는 특정 시점의 증거를 제공하며 상시적인 모니터링의 신뢰성에 대한 근거를 제공할 수 있다.
- 나. 상시적인 모니터링에는 자가평가 절차와 통제 운영 여부를 확인할 수 있도록 설계된 성과지표를 분석하는 절차를 포함한다. 자가평가는 다양한 수준의 객관성을 가진 인원에 의하여 수행되는 여러 유형의 절차를 포함한다.
- 다. 자가평가는 평가대상 통제를 운영할 책임이 있는 인원이 수행하는 평가는 물론 평가 대상 통제의 운영책임이 없는 경영진 등이 실시하는 평가를 포함하는 개념이다. 자가평가가 제공하는 증거자료의 성격은 평가자나 평가 수행 방식 등에 따라 달라진다.
34 (통제위험 평가에 따른 평가절차의 결정)
- 가. 경영진은 평가대상 통제의 위험평가 결과에 따라 효과성 평가시 평가자, 평가방법을 유연하게 적용하여 입수된 증거자료의 성격을 조정한다. 즉, 보다 객관적인 인원을 활용하여 상시적인 모니터링에 대한 증거자료를 추가하거나, 주기적으로 수행되는 통제에 대한 독립적인 평가범위를 증가시킬 수 있다. 또한 독립적인 평가의 대상기간을 조정함으로써 입수된 증거자료의 성격을 조정할 수 있다.
- 나. 통제위험이 높게 평가된 경우 경영진이 입수하는 증거자료는 일반적으로 독립적인 평가 또는 높은 수준의 객관성을 가진 인원에 의하여 수행된 상시적인 모니터링의 결과로 구성될 것이다. 즉, 높은 수준의 독립성과 전문성을 보유한 인원이 평가를 수행하고 평가방법은 문서검사 및 재수행, 잦은 빈도의 평가 및 많은 수의 샘플을 평가하는 방식을 적용한다. 상시적인 모니터링이 객관성이 낮은 인원에 의하여 수행된 경우 통제 운영과 독립된 인원에 의한 독립적인 평가로 보강하는 것을 고려한다. 이러한 경우 통제에 대한 독립적인 평가는 상시적인 모니터링 및 모니터링 대상 통제의 운영 평가에 대한 증거자료를 제공한다. 선정된 핵심통제는 재무제표의 왜곡표시 방지를 위해 반드시 필요한 통제이므로 평가에서 제외하거나 통제 운영자 본인이 직접 평가하는 방안은 적정하지 않다.
- 다. 통제위험이 낮게 평가된 경우에는 다소 낮은 독립성을 보유한 인원에 의해 다소 약화된 평가방법을 적용할 수 있다. 경영진은 상시적인 모니터링에 의해 입수된 증거자료가 충분하다면 독립적인 평가는 필요하지 않다고 결론지을 수도 있다.
35 (평가시기) 외부감사법규에 따라 매 사업연도마다 내부회계관리제도의 운영실태를 보고하기 위해서는 내부회계관리제도의 설계와 운영의 효과성을 평가하여야 한다. 일반적으로 내부회계관리제도의 평가는 중간평가와 기말평가 과정을 통해 이루어진다.
- 가. 내부회계관리제도의 평가는 경영진이 평가기준일 현재 내부회계관리제도가 효과적으로 설계·운영되고 있는지에 대한 합리적인 확신을 얻는 것을 목적으로 한다. 그러나, 재무제표에 기록된 거래는 회계기간 중 지속적으로 발생하기 때문에 충분한 기간을 대상으로 평가를 수행하여야 한다. 특히, 평가기준일과 가까운 시기는 반드시 평가 대상기간으로 포함되어야 한다. 그러나 평가기준일과 가까운 시기에 모든 평가 절차를 실시하는 것은 불가능하므로 당해 평가 대상기간의 중간에 평가를 실시하고 기중에 평가된 중요한 통제 중 평가 실시 이후 변경된 부분은 없는지, 기말 현재에도 여전히 효과적인지 등을 확인하는 평가 절차가 효율적일 수 있다.
- 나. 또한, 기중에 식별된 내부회계관리제도 상의 미비점(또는 취약점)을 개선하고 평가기준일 현재(또는 근접한 시점)에 충분한 기간 동안 통제의 설계와 운영이 적정함을 확인하는 경우에는 최종적인 내부회계관리제도 평가는 적정하다고 결론 내릴 수 있다. 이에 회사는 중간평가를 통해 미비점(취약점)을 조기에 확인하고 개선하는 것이 일반적이다.
- 다. 그러나, 중간평가만으로는 평가기준일 현재의 내부회계관리제도의 효과성에 대해 합리적 확신을 제공하기에는 부족하므로 중간평가 기준일 현재 내부회계관리제도의 효과성에 대한 평가 결론이 평가기준일 현재에도 여전히 유효한지를 확인하기 위하여 평가기준일 혹은 이에 근접한 일자에 추가적인 평가를 통해 보완하는 절차가 필요하다. 이를 ‘기말평가’라 하며 기말에 이루어지는 기말 결산 절차 중 중간평가에 포함되지 않는 통제는 기말평가에 포함되어야 한다.
- 라. 중간평가 실시 후 평가기준일까지의 잔여기간의 길이, 평가 대상 통제의 위험평가 결과, 통제환경, 통제 발생 횟수, 중간평가 이후 통제의 유의적 변동 여부 등을 고려하여 잔여기간에 대한 기말평가의 범위, 방법 등을 결정한다.
- 마. 이상에서 논의된 중간평가 및 기말평가를 도해하면 다음과 같다.
36 (위험 평가에 따른 평가시기 결정) 통제위험이 클수록 테스트의 수행 시기는 빈번할 수 있으며 위험이 높은 통제는 가급적 평가기준일에 평가하는 것이 효과적인 평가 방법이다.
- 가. 경상적으로 발생하는 거래에 대한 통제는 기중에 평가할 수 있으나, 평가기준일 근처에 발생하는 중요한 비일상적 거래와 관련된 통제나 통제위험이 큰 통제수행자의 주관적인 판단이나 추정에 크게 의존하는 통제 등은 기말 시점에 근접하여 평가하여야 한다.
- 나. 기말 재무보고와 관련된 통제의 경우 기말평가 기준일 시점에 해당 통제의 효과성 평가가 불가능하기 때문에 기말평가 기준일 이후에 실시한다
37 (평가자) 경영진은 일반적으로 평가 대상 통제로부터 독립된 위치에 있는 자를 평가자로 지정하여 평가를 수행한다.
- 가. "독립된 위치에 있는 자"란 통제수행자가 소속된 해당 부서와 독립적인 제3자를 의미한다. 경영진은 내부회계관리제도의 독립적인 평가를 위해 평가 시점마다 별도의 임시조직(Task Force팀 등)을 구성하거나 일반 현업부서와는 독립적인 상시조직(예를 들어, 내부통제팀 등)을 통해 평가할 수 있다.
- 나. 그러나, 통제위험이 높지 않고 상시적인 모니터링이 효과적인 것으로 판단된다면 낮은 수준의 독립성을 갖는 자를 평가자로 지정하는 것도 가능하며, 이때 평가대상 통제로부터 평가자의 독립성 수준을 결정할 때에는 전사적 수준 통제테스트 결과를 포함한 위험평가 결과와 각 통제의 위험평가 결과를 고려한다.
- 다. 동일부서의 다른 인원의 평가 및 전담부서가 아닌 다른 부서의 평가는 낮은 수준의 독립성이나 전문성을 갖는다고 할 수 있다. 이는 다음과 같은 방안을 종합적으로 반영하여 보완될 수 있다.
  - (1) 내부통제팀 등 독립적인 평가자가 테스트 절차(테스트 방법, 표본의 선정방법 및 개수) 및 결론 등의 적정성 확인
  - (2) 내부통제팀 등 독립적인 평가자가 문서검사 및 재수행을 통하여 평가결과의 일정 부분을 검토
  - (3) 내부통제팀 등 독립적인 평가자가 테스트 모집단과 샘플을 직접 선정하여 평가자에게 전달
- 라. 아래와 같은 상황에서는 보완절차를 생략할 수 있다.
  - (1) 테스트 절차가 구체적으로 기술되어 별도의 전문성이 필요 없다고 판단되는 경우
  - (2) 평가를 적절하게 수행하지 않은 인원에 대한 성과 반영이 이뤄지는 경우
- 마. 중소기업은 내부회계관리제도의 독립적인 평가를 수행하는 것이 어려운 경우 통제업무를 수행하는 담당자가 평가를 수행할 수 있다. 이 경우에도 통제환경, 기말 재무보고 절차 및 중요한 추정이나 판단이 필요한 통제 등 특히 위험이 높은 것으로 평가된 통제에 대해서는 해당 통제와 독립적인 다른 부서의 인원 또는 외부의 전문가가 문단 37 다.(1)～(3)의 절차 등을 통해 해당 평가의 적정성을 확인하는 것이 필요하다. 단, 문단 37 라.(1)～(2)의 상황에서는 동 보완 절차를 생략할 수 있다.
38. (평가대상 사업단위의 선정)
- 가. 재무보고 위험을 처리하는데 필요한 통제들이 둘 이상의 사업장 또는 사업부에서 운영되는 경우 경영진은 일반적으로 개별 사업장과 사업부를 별도의 사업단위로 보아 재무보고 위험을 평가하고 통제 운영에 대한 증거를 평가한다. 사업단위의 정의는 회사의 상황에 따라 달라질 수 있으며 일반적으로는 법적실체(연결재무제표에서 종속회사, 유한회사, 파트너쉽 등), 사업부문 또는 영업시설(예 : 사업부, 생산설비, 판매조직) 등이 사업단위에 해당한다. 특정 단위조직의 사업목적, 업무프로세스, 전산환경 등이 타 조직과 독립적인 경우 별도의 사업단위로 본다.
- 나. 복수의 사업단위가 존재하는 경우 경영진은 각 사업단위의 재무적 비중 및 고유위험, 특수한 회계처리방법의 적용여부, 내부감사 또는 외부감사 결과 등의 과거경험, 사업환경의 변화 등 개별 사업단위가 지니는 상대적 중요성 및 위험을 고려하여 어느 사업단위가 평가대상에 포함되는지 결정한다.
- 다. 평가대상 사업단위 결정 시 경영진은 각 사업단위의 재무제표 상 중요한 왜곡표시 위험을 고려하여야 하며 동 위험에 따라 사업단위 별로 평가 절차를 달리할 수 있다. 예를 들어, 경영진은 개별적으로 또는 타 부문과 결합되었을 때 재무제표 상 중요한 왜곡표시의 발생가능성이 낮은(Do Not Present a Reasonable Possibility) 사업단위의 통제는 설계 및 운영 평가 대상에서 제외할 수 있다. 연결재무제표의 종속회사의 경우 범위에 포함된 유의한 계정과목과 관련된 모든 종속회사를 범위에 포함할 수 있으나 실무적으로는 중요한 왜곡표시의 발생가능성이 낮은 사업단위를 제외하는 것이 일반적이다. 사업단위를 제외하였음에도 충분한 범위의 선정은 이뤄져야 하며 이는 특정 유형의 매출이나 거래의 경우에도 동일하게 적용될 수 있다.
- 라. 경영진은 개별 사업장 또는 사업부에서 운영되는 통제위험이 낮다고 판단할 수 있는 경우가 있다. 이러한 경우 경영진은 반복적인 자가평가 또는 상시적인 모니터링을 통하여 입수된 증거자료들이 개별 사업장의 운영 결과를 모니터링하는 중앙 집중화된 통제로부터 입수된 증거들과 결합되었을 때 평가를 위한 충분한 증거자료가 구성되었다고 판단할 수 있다. 반대로, 경영진은 개별 사업장의 통제 운영이 복잡하거나 판단이 개입되어 통제가 효과적으로 운영되지 않을 위험이 높다고 판단할 경우 사업장 통제의 효과적인 운영에 대하여 더 많은 증거자료가 필요하다고 결정할 수 있다.
- 마. 지점, 영업점 등 복수의 사업단위에서 중앙의 본사 차원에서 설계되어 전체 사업부 또는 지점에서 일관되게 수행되도록 하는 동질적 통제(공통 통제)가 존재하는 경우 해당 동질적 통제의 설계평가는 본사 차원에서 한번 수행하고 운영평가는 전체 사업부 또는 지점을 모집단으로 두고 표본을 추출하여 테스트할 수 있다. 즉, 4개의 지점에서 매달 1회씩 수동통제를 수행한다면 연간 총 48개의 모집단에 해당하는 표본을 추출하여 운영의 효과성을 테스트하는 것이다. 이 때 각 지점의 양적·질적 위험요소를 함께 고려하여 표본을 추출할 지점을 선정하는 것이 바람직하다.
- 바. 동질적 통제(공통통제)를 판단할 때에는 다음 사항을 고려한다.
  - (1) 해당 통제가 본사 차원에서 설계되어 일부 또는 전체 사업부(또는 지점)가 수정 없이 적용하도록 요구되는가? 해당 통제에 대한 상세한 설명이나 관련된 정책과 절차가 본사 차원에서 개발되고 관리되며 적용되는 사업부(또는 지점)에 공유되는가?
  - (2) 해당 통제가 비슷한 수준의 역량이나 전문성, 권한을 가진 개인에 의해 수행되는가?
  - (3) 해당 통제가 자동통제라면 해당 사업장(또는 지점)이 동일한 시스템 설정(Configuration)이 적용된 동일한 응용프로그램에서 작동하는가?
  - (4) 해당 통제가 정보시스템에서 산출되는 정보를 사용한다면 해당 사업장(또는 지점)이 동일한 정보시스템을 사용하는가?
  - (5) 해당 통제를 수행하기 위해 요구되는 판단이나 추정의 정도가 높지 않은가?

3.2절 내부회계관리제도 설계의 효과성 평가

39 (내부회계관리제도 설계의 효과성 평가) 경영진은 내부회계관리제도가 재무제표의 중요한 왜곡표시를 초래할 수 있는 오류나 부정을 예방하고 적시에 적발할 수 있도록 설계되었는지 여부를 판단하기 위해 내부회계관리제도 설계의 효과성을 평가한다.
- 가. 설계의 효과성 평가는 전사적 수준과 거래수준의 내부통제 설계에 대한 평가 등으로 구성된다.
- 나. 업무프로세스 내의 통제가 재무제표에 대한 경영진의 주장 및 통제목적을 효과적으로 달성하고 발생가능한 위험을 충분히 관리할 수 있는 통제의 설계 여부를 확인하기 위해 다음과 같은 항목을 고려한다.
  - (1) 통제가 정책과 절차와 연계되는지
  - (2) 관련 통제위험을 명확하게 감소시킬 수 있을 정도로 정교한지
  - (3) 예외사항의 정의와 적시 대응방안이 포함되는지
  - (4) 통제를 수행하는데 사용된 정보의 신뢰성 확보 방안이 적절한지
  - (5) 통제가 설계되어 수행된 기간은 충분한지
  - (6) 통제수행자의 적격성이 정의되었는지
  - (7) 통제 수행 빈도가 위험을 적시에 예방하거나 적발할 수 있는지
  - (8) 유의한 계정과목의 중요한 왜곡표시 원천이 완전하게 고려되었는지
- 다. 효과적으로 설계된 내부회계관리제도는 각 업무프로세스별 통제목표 달성을 위한 예방통제와 적발통제가 적절히 결합되는 것이 바람직하다. 예를 들어, 승인받지 않은 자금거래의 발생을 방지하기 위한 예방통제(펌뱅킹상의 승인절차, 접근제한, 인증서 관리 등) 없이 주기적인 예금결산절차를 통한 예금잔액과 장부와의 대사를 수행하는 절차(적발통제)만으로는 실재성, 완전성 등 예금계정에 대한 경영자 주장을 만족시키기에 충분하지 않을 수 있다. 단, 업무프로세스가 상대적으로 단순하고 예방통제와 적발통제의 균형을 고려할 정도의 인력이 뒷받침되지 않는 중소기업의 경우에는 예방통제나 적발통제 중 보다 효과적인 유형을 중심으로 통제를 설계할 수 있다.
40 (설계의 효과성 평가방법)
- 가. 경영진은 통제 설계의 효과성을 평가하기 위하여 추적조사, 관찰, 문서검사, 재수행과 같은 방법을 사용할 수 있으며 평가자는 한 가지 방법을 단독으로 적용하거나 여러 방법을 조합하여 적용함으로써 내부회계관리제도 설계의 효과성에 대한 합리적인 확신을 얻을 수 있다.
- 나. 추적조사는 통제 설계의 효과성 평가에 있어서 매우 효과적인 방법이다. 추적조사는 거래유형별로 1～2개의 거래를 표본으로 추출하여 거래의 시작에서 재무제표에 반영되는 종료시점까지 계약서, 증빙서류 및 회계장부 등의 거래 증적에 따라 거래 흐름을 추적하고 관련된 위험을 파악하여 관련된 통제의 설계가 적절한지 여부를 파악하는 것이다. 단, 중소기업의 경우에는 추적조사 절차를 생략하고 질문 및 문서검사 위주로 설계의 효과성을 평가할 수 있다.
- 다. 최초 설계평가 시에는 복잡하고 유의한 프로세스는 추적조사를 적용하고, 나머지 프로세스는 업무흐름도와 통제기술서를 검토하고 질문이나 관찰 등의 절차를 이용하여 평가할 수 있다. 추적조사 대신에 각 프로세스에서 계정과목의 중요한 왜곡표시 원천이 되는 위험을 관리하기 위한 통제를 확인하는 절차를 통해 설계 평가를 수행할 수도 있다.
41 (변화관리체계와 설계평가)
- 가. 설계의 효과성 평가 방식을 결정할 때는 회사의 내부회계관리제도의 변화관리체계 수립 및 적용의 적정성을 고려하여야 한다. 회사는 일반적으로 변화관리체계를 통해 중요한 변경이 존재하는 경우 추적조사를 수행하고, 그렇지 않은 경우에는 다른 방법을 적용하여 통제 설계의 적정성을 확인하고 관련 절차를 문서화한다. 이는 통제기술서를 포함한 업무흐름도, 관련 정책 및 절차의 업데이트를 포함한다.
- 나. 변화관리는 업무흐름도가 존재하지 않거나 대규모 변화가 발생하는 경우 변화된 사항으로 인한 위험의 변화가 파악되기 어려운 경향이 존재하므로 업무흐름도 등의 기반 문서가 충분하지 않거나 구체적이지 않은 부분에 대해 추적조사를 수행하는 것을 고려한다.
- 다. 경영진은 매년 통제의 설계 평가를 수행하여야 한다. 다만, 최초 설계 평가 이후 관련된 프로세스, 조직 및 시스템의 변화가 없거나 미미한 경우에는 통제에 영향을 미치는 변경이 존재하지 않음을 확인하는 것으로 설계 평가를 할 수 있다. 최초 설계와 변화관리체계가 잘 수립되고 운영되어 기중에 발생하는 프로세스, 조직 및 시스템의 변경사항에 따른 변화사항을 파악하고 통제 설계의 적정성을 평가하는 절차가 효과적으로 수행되는 경우에는 해당 절차를 평가하고 변화 여부를 확인하는 통제를 평가하는 것으로 설계 평가를 대체할 수 있다. 후속 연도마다 내부회계관리제도 전체의 설계 문서를 새로 작성하지 않더라도 전년 대비 변화사항에 대한 설계 평가가 적시에 이뤄졌을 것이기 때문이다.
- 라. 통제의 변경 정도를 파악하기 위해서는 다음과 같은 요소를 고려한다.
  - (1) 통제 설계의 변경 정보
  - (2) 통제 설계 및 운영의 효과성에 부정적인 영향을 미칠 수 있는 거래량 및 거래성격의 변경 정도
  - (3) 해당 통제가 다른 통제(예를 들면, 통제환경, 정보기술 일반통제 등)의 효과성에 의존하는 정도
  - (4) 통제를 수행하는 중요 담당자의 변경 여부
  - (5) 이전 평가에서 해당 통제에서 미비점이 식별되었는지 여부
42 (설계의 효과성 평가의 문서화) 경영진은 내부회계관리제도 설계의 효과성 평가결론을 뒷받침하기 위해 충분하고 적합한 근거를 확보하여야 하며 설계의 효과성에 대한 평가 절차 및 그 결과에 대해 문서화하여야 한다.

3.3절 내부회계관리제도 운영의 효과성 평가

43 (내부회계관리제도 운영의 효과성 평가)
- 가. 경영진은 내부회계관리제도가 설계된 대로 운영되고 있는지를 판단하기 위해 운영의 효과성을 평가한다. 이러한 평가는 전사적 수준 및 거래수준의 내부회계관리제도 운영에 대한 평가로 구성된다. 평가 대상의 통제위험 평가 결과를 고려하여 테스트 수행자, 테스트 방법, 범위 및 시기 등을 달리 적용할 수 있다.
- 나. 운영의 효과성 평가를 위한 테스트 계획에는 테스트 대상 핵심통제를 포함하고, 다음과 같은 요소를 포함하여 수립하는 것이 바람직하다.
  - (1) 테스트 방법 : 테스트는 질문, 관찰, 문서 검사, 재수행의 방법을 이용한다.
  - (2) 테스트 범위 : 통제 테스트 시 고려할 표본의 수를 결정한다.
  - (3) 테스트 수행 시기 : 중간평가가 어떤 기간을 대상으로 언제 수행될 것인지, 그리고 중간평가 이후 기말까지 기간에 대한 기말평가 계획을 포함한다.
  - (4) 기타 문서화 : 테스트 계획에는 테스트 수행자, 수행될 테스트 절차, 테스트를 통해 확인될 재무제표 주장, 어떠한 관련 증거가 검토되어야 하는지를 포함한다.
  - (5) 예외사항 처리 : 테스트 계획에는 어떻게 예외사항이 조사되고 파악되며 언제 추가적인 테스트가 수행될 것인지를 설명한다.
44. (운영의 효과성 평가 방법)
- 가. 내부회계관리제도 운영의 효과성을 평가하기 위하여 질문, 관찰, 문서검사, 재수행 등 4가지 방법을 사용할 수 있다.
- 나. ‘질문’은 그 자체로는 통제 운영의 효과성에 대한 충분한 증거를 제공하지 않는다. ‘관찰’은 통제가 수행되는 절차를 관찰하여 관련된 위험이 감소하는지 여부를 확인하는 절차로 질문보다 더 높은 수준의 확신을 제공한다. ‘문서검사’는 통제의 결과가 문서화되는 경우 해당 문서 검토를 수행하는 절차를 의미하고, ‘재수행’이란 통제 평가자가 통제를 동일한 상황을 가정하고 다시 반복하여 수행해 봄으로써 통제가 효과적으로 수행되었는지를 평가하는 것으로 질문, 관찰 등의 방법보다 높은 수준의 확신을 제공하여 주는 평가 방법이다.
- 다. 테스트의 종류별 확신의 수준은 다음과 같다.
- 라. 평가자는 이러한 방법을 단독으로 적용하거나 여러 방법을 조합하여 적용함으로써 내부회계관리제도 운영의 효과성에 대해 합리적인 확신을 얻는다. 하나의 방법만을 사용하는 것보다 2가지 이상의 테스트를 결합하는 것이 더 큰 확신을 부여한다. 평가된 통제위험이 클수록 2가지 이상의 방법을 사용하여 증거를 입수하는 것이 바람직하다.
- 마. 또한, 평가 대상 통제의 성격 및 속성에 따라 수행되어야 할 테스트 방법을 적절히 선정한다. 예를 들어, 승인, 증빙 대조, 연관된 보고서 간의 상호 검증 등 문서 증거가 존재하는 통제에 대하여는 문서검사의 방법으로 통제 운영의 효과성을 평가할 수 있다. 반면에 통제환경과 관련된 문서화된 증거가 존재하지 않을 수도 있다. 통제의 문서화된 증거나 통제성과가 존재하지 않거나 존재하지 않을 것으로 기대되는 경우에는 질문과 관찰을 조합한 방법 등이 사용될 수 있다.
- 바. 중소기업의 경우에는 내부회계관리제도 운영의 효과성을 평가함에 있어 위험평가 결과 위험이 높지 않은 것으로 분류된 프로세스의 경우에는 재수행절차를 생략하고 질문, 관찰, 문서검사 위주로 실시할 수 있다.
45 (테스트 범위) 일반적으로 테스트의 범위는 표본조사 방법에 기반한 방식을 적용한다.
- 가. 일반적으로 통제의 빈도가 많아질수록(모집단의 규모가 커질수록) 표본 위험은 증가하므로 테스트의 범위, 즉 테스트 대상 통제의 운영평가 표본 개수는 증가한다. 또한, 통제의 빈도가 동일하더라도 위험평가 결과에 따라 표본을 달리 적용할 수 있다.
- 나. 통제빈도와 통제수행 모집단 개수별 표본 수를 결정할 때에는 다음의 예시를 참고할 수 있다.
- 다. 다음과 같은 상황이 발생하는 경우에는 테스트 계획을 수립함에 있어 평가 대상 통제의 수를 확대할 것을 고려하여야 한다.
  - (1) 전사적 수준 또는 업무프로세스 수준의 통제 설계가 비효과적인 것으로 평가된 경우
  - (2) 정보기술 일반통제의 설계가 비효과적인 것으로 평가된 경우
  - (3) 상시적인 모니터링을 수행한 결과 내부회계관리제도가 비효과적이라고 판단되는 경우 등
- 라. 자동통제와 수동통제의 테스트 범위
  - (1) (자동통제) 자동통제의 경우 정보기술 일반통제 평가 결과가 효과적이라고 검증되었다면 하나 또는 적은 양의 표본에 대한 테스트를 통하여 운영의 효과성을 확인할 수 있다. 대표적인 자동통제의 사례는 특정 시스템에 데이터를 입력할 때 사용되는 편집체크(Edit Check)이다. 편집체크 기능은 허용 가능한 입력값의 특성(문자, 숫자, 날짜 등)을 사전에 정의하고 유효하지 않은 입력값이 입력되지 않도록 방지한다. 이러한 통제의 운영의 효과성을 테스트하기 위해서는 유효하지 않은 가격의 조합이 입력가능한지 여부에 대해 확인하는 방법 등이 있다.
  - (2) (수동통제) 수동통제는 자동통제보다 더 넓은 범위의 테스트를 요구한다. 즉, 각 거래가 발생할 때마다 사람이 수행하는 수동통제의 경우에는 통제가 효과적으로 운영되고 있는지에 대한 확신을 얻기 위하여 충분한 기간에 대해 다수의 테스트를 수행할 필요가 있다. 예를 들면, 연 1회 발생되는 수동통제의 경우는 모집단이 1개뿐이므로 전체에 대해 테스트를 수행하고, 분기별로 수행하는 수동통제의 경우는 총 4개의 모집단에서 2개 정도의 표본을 선택해서 테스트를 수행한다. 월 1회 발생되는 수동통제의 경우는 총 12개의 모집단에서 2～5개 정도의 표본을 선택해서 테스트를 수행한다(여기서 2～5개로 범위를 표시한 이유는 위험이 더 높다고 판단되는 경우는 표본 수를 더 늘릴 수 있기 때문이다). 마찬가지로 주단위로 수행되는 수동통제의 표본 테스트 범위는 증가될 것이다. 월별 계정잔액 대사나 특정기간의 재무보고절차에 대한 통제와 같이 발생 빈도가 낮은 통제의 경우 적은 수의 표본을 테스트하므로 이러한 통제에 대한 평가는 자주 운영되는 통제에 대한 테스트보다 주의 깊게 이루어져야 한다.
- 마. 테스트 범위는 경영진의 판단과 테스트를 통해 얻고자 하는 확신의 수준(Level of Assurance)에 영향을 받는다. 즉, 경영진이 판단한 테스트 대상 통제의 중요성과 부여하고자 하는 확신수준에 따라 표본의 수가 달라진다. 더 적은 수의 표본이 테스트 될수록 잘못된 결론에 도달할 위험이 증가한다. 그러므로 매우 중요한 통제(예를 들어, 복수의 경영진 주장과 관련된 통제나 기말 시점의 적발통제는 예방통제보다 더 중요할 수 있다) 또는 중요한 계정과목에 대한 재무제표 주장을 뒷받침하는 유일한 수동통제인 경우에는 표본의 크기를 증가시켜야 한다.
46 (테스트 시기에 따른 고려사항)
- 가. 기말평가는 중간평가 이후 통제의 변화 여부에 대한 질문, 통제 수행여부에 대한 관찰, 통제에 대한 추가적인 문서조사나 재수행 등의 방법과 추가적인 추적조사 등을 통해 이루어진다. 이는 다음과 같이 중간평가 이후 평가기준일 시점까지 통제의 변화가 중요한지 여부를 고려하여 결정한다.
  - (1) 상시 모니터링 평가를 수행하는 경우 결과가 효과적인지 여부
  - (2) 통제에 영향을 주는 요인에 변경이 발생하였는지 여부
  - (3) 통제의 기반이 되는 통제가 여전히 효과적인지 여부
- 나. 경영진은 중간평가를 수행한 수동통제의 기말평가를 수행 시 다음 사항을 고려하여 추가로 수행할 테스트 방법 및 범위 등을 결정한다.
  - (1) 중간평가 결과 특정 통제가 효과적으로 운영되지 않았으나 기중에 통제 미비점의 개선이 완료된 경우에는 개선 완료 시점 이후부터 평가기준일 현재까지 충분한 기간 동안 효과적으로 운영되었다는 결론을 얻기 위해 충분한 표본을 입수하여 평가한다. 이 때, ‘충분한 기간’이란 해당 통제의 효과성에 대한 합리적인 확신을 줄 수 있을 정도의 기간을 의미하며 통제의 위험과 빈도를 고려하여 결정하는 샘플 수와 연관하여 판단하는 것이 일반적이다. 예를 들어, 월별 통제활동의 미비점이 8월에 확인되어 해당 사항을 개선한 후 9월부터 적용한 경우 해당 통제의 운영평가 시 수행빈도와 위험을 고려할 때 3개의 샘플이 적정하다고 판단한다면 9월부터 12월까지의 기간은 ‘충분한 기간’에 해당할 수 있다. 그러나, 해당 통제활동이 11월과 12월에만 적용되었다면 3개의 샘플을 확인하기에는 기간이 충분하지 않기 때문에 평가기준일 현재의 미비점으로 평가된다.
  - (2) 중간평가 시 운영의 효과성을 확신할 수 있는 충분한 증거를 입수하지 못한 경우 기말평가 시 추가적인 증거를 입수한다.
  - (3) 중간평가일부터 평가기준일까지의 기간이 길수록 평가의 범위가 커진다.
  - (4) 중간평가일 이후 평가기준일까지의 기간 중 중요한 변경이 존재하는 경우 별도의 통제로 간주하여 평가한다.
- 다. 경영진의 입장에서 중간평가의 결과를 가능한 많이 활용하기 위해서는 기말평가 대상기간이 짧은 것이 유리하며 기말평가 대상기간이 지나치게 긴 경우에는 중간평가 결과의 활용이 불가능하게 된다. 즉, 기말평가 대상기간이 지나치게 길다면 중간평가 여부에 관계 없이 중간평가일로부터 평가기준일까지의 기간에 대하여 평가를 다시 수행한다.
- 라. 회사의 내부회계관리제도 변화관리체계가 효과적으로 구축되어 운영되는 경우 기말평가에서는 담당자에 대한 질문, 관찰 등을 통해 내부회계관리제도 설계의 변경 여부를 확인하고, 설계상 변경이 없는 경우에는 운영의 효과성 평가를 위한 표본 수를 줄여 수행할 수 있다. 변화관리체계가 효과적으로 구축되어 운영되는 중소기업의 경우에는 기말평가에서 담당자에 대한 질문, 관찰 등을 통해 내부회계관리제도 설계의 변경 여부를 확인하는 절차를 위주로 수행할 수 있다. 예를 들어, 충분한 기간을 대상으로 수행한 중간평가 결과 효과적으로 설계되어 운영 중이라고 결론 내린 통제가 설계상 변경이 없는 경우에는 기말평가 목적의 추가적인 운영의 효과성 평가절차 없이 중간평가 시의 테스트 결과를 활용할 수 있다.
- 마. 또한 내부회계관리제도의 변화관리체계가 효과적이고 다음의 요건들이 모두 충족되는 경우에는 기말평가 시 질문기법 만을 사용하여도 평가기준일 현재 통제의 효과성에 대한 합리적인 확신을 얻을 수 있다. 다음의 요건 중 하나라도 충족되지 않는 경우에는 평가기준일 시점 또는 평가기준일에 근접한 시점에서 질문 외의 추가적인 방법에 의한 테스트를 수행한다. 질문 외의 추가적인 기법은 관찰, 문서검사, 재수행이 사용될 수 있다.
  - (1) 중간평가 시 테스트된 통제의 위험평가 결과가 높지 않고 경영진이 통제를 무시할 가능성이 높지 않음
  - (2) 재무보고에 전반적인 영향을 미치는 통제가 아니며 기말 재무보고 관련 통제나 정보기술 일반통제에 해당하지 않음
  - (3) 중간평가 시 해당 통제의 운영이 효과적으로 운영되었음을 확인함
  - (4) 중간평가일 이후 해당 통제의 설계에 중요한 변경이 없음
  - (5) 중간평가일 이후 해당 통제의 운영 효과성에 영향을 미칠 만한 다른 통제의 효과성이나 환경적 위험요인에 큰 변화가 없음
- 바. 기말평가 절차로써 질문 기법을 활용하는 경우에는 충분하고 구체적으로 질문을 수행한다. 다음은 질문 기법의 수행 시 질문자가 고려하는 요소들이다. 또한, 질문 기법을 수행하는 경우에는 질문의 결과에 대해 주의 깊게 고려하여 추가적인 테스트가 필요한지 여부를 판단한다.
  - (1) 정보시스템의 신규 적용 또는 중요한 변동 여부
  - (2) 업무프로세스의 중요한 변동 여부
  - (3) 이직 등 통제수행자의 중요한 역할 및 책임의 변동 여부
  - (4) 산업 또는 회사 위험의 중요한 변동 여부
  - (5) 회계 또는 재무보고 원칙의 변동 여부
  - (6) 부정 또는 오류 발생 징후
  - (7) 법규 개정 등 감독 환경의 변화 여부
- 사. 자동통제 역시 수동통제와 동일한 요건들이 모두 충족되는 경우에는 자동통제의 운영 효과성에 대한 추가적인 기말평가 절차를 생략할 수 있다. 단, 중간평가일 이후 해당 통제의 설계에 중요한 변경이 없다는 것을 확인하기 위해 해당 프로그램의 변경 여부를 확인하는 절차(Benchmarking Approach) 등을 통해 변화가 존재하지 않음을 테스트 하여야 하며, 정보기술 일반통제에 대한 기말 평가는 반드시 수행되어야 한다.
47 (운영의 효과성 평가의 문서화) 경영진은 내부회계관리제도 운영의 효과성에 대한 평가 절차 및 그 결과에 대해 문서화한다.
- 가. 운영의 효과성 평가 결과의 문서화 수준은 독립적인 제3자가 테스트의 내용을 이해하고 그 적정성을 검토할 수 있을 정도의 수준으로 문서화되어야 한다.
- 나. 즉, 구체적인 테스트 절차와 표본의 내용(예를 들어, 유형자산 구매승인에 대한 통제를 평가하는 경우 대상 품의서 모집단의 정의 및 개수, 테스트하는 통제의 속성, 관련 증빙의 내용으로 품의서 일자, 거래처명, 금액, 최종 승인자 등), 테스트 수행자, 테스트 결과 및 전반적인 결론을 포함하여 충분히 문서화되어야 한다.
- 다. 만약 경영진이 회사의 장부와 기록된 증거자료가 경영진의 평가 결과를 합리적으로 지원하는데 충분하다고 판단한다면 경영진이 평가한 증거자료에 대한 사본을 별도로 유지할 필요가 없을 수 있다. 예를 들어, 회사의 통제와 경영진의 일상적인 상호작용이 평가의 근거자료를 제공하는 중소기업의 경우에는 경영진은 내부회계관리제도 평가를 위하여 별도의 문서를 작성하는 것을 제한할 수 있다. 그러나, 이 경우에도 경영진은 평가의 합리적인 근거로써 경영진의 일상적인 상호작용이 어떻게 충분한 증거를 제공하는지에 대한 문서를 포함시킬지 여부를 고려하여야 한다. 이러한 문서화는 메모, 이메일 그리고 경영진부터 직원들까지 공유된 정책 또는 지침 등을 포함한다.
48 (운영의 효과성 테스트에서 발견된 예외사항의 평가 절차) 테스트 중 예외사항이 발생할 경우 경영진은 예외사항의 원인을 파악하여 미비점에 해당하는지를 확인한다. 발견된 예외사항이 모집단을 대표한다고 판단되면 당해 예외사항으로 인한 통제상 미비점으로 판단하고 심각성을 평가하여 단순한 미비점, 유의한 미비점 또는 중대한 취약점 인지 여부를 판단한다.
- 가. 먼저 예외사항이 통제상 미비점인지를 판단하기 위해서는 예외사항의 근본 원인을 충분히 이해하는 것이 중요하다. 발견된 예외사항이 체계적이고 반복적이지 않고 극히 예외적인 경우에 발생한 것으로 판단되는 경우에는 단순한 예외사항으로 구분할 수 있다. 반면, 담당자의 교체, 특정 시기에 거래나 업무가 집중되는 현상이나 인적 오류와 같은 원인으로 발생한 예외사항인 경우에는 일반적으로 미비점으로 분류한다.
- 나. 또한, 단순한 예외사항이 아니라도 추가적인 표본에 대한 운영의 효과성 테스트를 통해 이미 발견된 예외사항이 모집단을 대표하지 않을 수 있다는 것을 뒷받침할 수 있다고 판단한 경우에 해당하는지를 고려할 수 있다. 예를 들어, 1개 이하의 예외사항이 허용될 수 있게 설계된 테스트에서 2개의 예외사항이 발견되었을 경우 추가적인 테스트를 통해 최초 테스트 결과가 모집단을 대표하지 않는다는 결론을 내릴 수 있는지에 대해 고려하여야 한다.
- 다. 통제의 빈도가 연간, 분기, 월간, 주간 등에 해당하여 모집단이 작은 경우에는 예외사항이 발견되면 특별한 반증이 없는 한 미비점으로 분류하고, 일간 혹은 하루에 1번 이상 발생하는 통제활동의 테스트에서 1개의 예외사항이 발견된 경우 다음 조건을 모두 충족한다면 추가 테스트를 고려할 수 있다.
  - (1) 예외사항의 성격이 체계적이고 반복적이지 않는 것으로 판단되는 경우
  - (2) 예외사항으로 인한 재무제표 상의 왜곡표시가 발생하지 않을 것으로 판단되는 경우
- 라. 새로운 표본을 추출하여 추가 테스트를 수행한 결과 추가적인 예외사항이 발견되지 않는다면 최초 발견한 예외사항은 단순한 예외사항으로 구분할 수 있다. 단, 새로 추출할 표본의 크기는 최초 표본크기의 절반 이상으로 하며 최초 표본과 새로운 표본을 합한 총 표본크기는 40개 이상으로 하는 것이 바람직하다.
- 마. 그러나, 추가 테스트에서도 1개 이상의 예외사항이 발생한 경우에는 미비점으로 구분하여 심각성을 평가하여야 한다. 예를 들어, 일간통제를 대상으로 위험수준을 고려하여 추출한 25개의 표본을 대상으로 한 최초 테스트에서 1개의 예외사항이 발견되었으나 위 조건을 충족하여 15개의 새로운 표본을 추출하여 추가 테스트를 수행한 결과 예외사항이 발견되지 않은 경우 단순한 예외사항으로 결론 내릴 수 있다.
49 (평가기준일 이전에 통제상 미비점 수정) 경영진은 평가기준일 이전에 식별된 통제상 미비점을 개선한 경우, 내부회계관리제도가 효과적이라는 결론을 내리기 위하여 수정된 통제가 효과적으로 운영된다는 것을 확인하기 위해 충분한 테스트를 수행한다.
- 가. 평가기준일 전에 통제가 적절히 설계되고 운영의 효과성을 확신하기 위해 필요한 시간(즉, 통제가 효과적으로 운영된다고 결론 내리기 위하여 수정된 통제가 운영되어야 하는 최소 기간)은 일반적으로 최소 2개월 이상이나 통제의 성격이나 운영 빈도에 따라 달라진다. 경영진은 통제의 빈도가 높을수록 짧은 기간으로도 통제가 효과적으로 운영된다는 충분한 증거를 얻을 수 있다. 예를 들어, 분기통제의 경우 1개 이상, 월별 통제의 경우 최소한 2개 이상의 표본이 테스트될 수 있는 기간 동안 통제가 효과적으로 운영되어야 한다.
- 나. 기말 재무보고 절차와 같은 연단위로 수행되는 수동통제의 경우에는 평가기준일 이후에 운영의 효과성에 대해 테스트를 수행해야 하므로 미비점을 시정하기 위한 시간이 없다. 기말보고일 이후의 통제 수정은 통제상 미비점을 감소시키지 못하기 때문에 기말보고일 이전에 통제가 수정되어 충분한 기간 동안 적용되어야 할 것이다. 이를 위해 분기말이나 월말에 "모의테스트(Dry Run)"를 수행해서 미비점이 발생되지 않도록 할 수 있다.

제3장 내부회계관리제도 평가 결과 보고

제1절 미비점에 대한 평가

50. (내부회계관리제도 미비점) 내부회계관리제도와 관련된 통제상 미비점은 경영진과 종업원이 담당 업무를 수행하는 정상적인 과정에서 적시에 재무제표 왜곡표시를 예방하거나 적발할 수 없을 때 발생하며 설계상 미비점과 운영상 미비점으로 구분된다.
- 가. (설계상 미비점) 내부회계관리제도의 목적을 달성하기 위하여 필요한 통제가 존재하지 않거나 수립된 통제가 적절하게 설계되지 않아 설계된 대로 운영되더라도 통제목적이 충족되지 못하는 경우에 발생한다.
- 나. (운영상 미비점) 적절하게 설계된 내부회계관리제도가 설계된 대로 운영되지 못하거나 통제 업무 수행자가 통제를 효과적으로 수행하기 위한 자격요건이나 권한을 갖추고 있지 않아 통제의 목적이 충족되지 못하는 경우에 발생한다.

51. (미비점 평가)

가. 내부회계관리제도의 미비점은 재무제표 왜곡표시의 발생가능성 및 금액적 중요도에 따라 단순한 미비점, 유의한 미비점, 중요한 취약점*으로 구분하며, 중요한 취약점이 발견된 경우 경영진은 회사의 내부회계관리제도가 효과적이라고 결론을 내릴 수 없다. 경영진은 발견된 모든 미비점을 개별적으로 그리고 다른 미비점과 결합하여 평가하여 회사의 내부회계관리제도에 유의한 미비점 또는 중요한 취약점이 존재하는지 여부를 평가한다. * 내부회계관리제도의 중요한 취약점(Material Weakness)은 내부통제의 중요한 미비점(Major Deficiency) 수준에 대응된다.

준거 기준	내부통제제도의 미비점 분류 (설계·운영 개념체계 문단 7)	내부회계관리제도의 미비점 분류 (설계·운영 개념체계 문단 27 및 평가·보고기준)
미비점 구분	중요한 미비점(Major Deficiency)	중요한 취약점(Material Weakness)
	미비점(Deficiency)	유의한 미비점(Significant Deficiency)
	미비점(Deficiency)	미비점(Deficiency)

나. 경영진은 발견된 미비점이 내부회계관리제도의 5가지 구성요소와 17가지 원칙에 미치는 영향을 고려한다. 내부회계관리제도의 미비점은 경영진의 모니터링 활동, 내부감사업무, 외부감사, 규제 기관의 감독 업무 등 다양한 경로를 통하여 발견될 수 있으며, 평가 대상 미비점을 취합 시에는 다양한 경로로 확인된 재무보고상의 문제점과 관련된 미비점이 존재하는지 확인하여야 한다. 이미 효과적이라고 판단한 통제라 하더라도 관련된 재무보고에 오류나 부정이 확인되는 경우에는 해당 효과성 평가 결과가 적절한 것인지 재검토하여야 한다.
다. 미비점을 분류하기 위해서는 해당 미비점의 발생가능성(Likelihood), 금액적 크기(Magnitude), 보완통제(Compensating Controls) 등의 존재 여부, 회계와 내부회계관리제도에 충분한 전문지식을 갖춘 객관적인 관리자(Prudent Officials)의 관점 등을 고려하여야 한다. 미비점의 분류는 객관적인 기준의 적용뿐만 아니라 높은 수준의 판단을 필요로 하므로 경영진은 지속적으로 외부감사인과 충분한 협의를 거치는 것이 바람직하다.

52 (미비점의 심각성 평가) 미비점의 심각성 평가시에는 재무제표 왜곡표시의 발생가능성과 잠재적 왜곡표시의 금액적 크기를 고려한다.
53 (발생가능성) 발생가능성이란 재무제표 왜곡표시가 방지되거나 발견되지 못하는 경우가 발생할 잠재적 가능성을 말하는 것으로 재무제표의 왜곡표시가 실제로 발생하였는가 여부를 고려하는 것은 아니다.
- 가. 일반적으로 발생가능성은 (i) 낮은(remote), (ii) 합리적으로 발생가능한(reasonably possible), (iii) 높은(probable)의 세단계로 구분되는데, 여기에서 (ii) 합리적으로 발생 가능한(reasonably possible) 또는 (iii) 높은(probable) 가능성의 경우는 "가능성이 낮지 않은(reasonable possibility) 경우"에 해당한다. 해당 미비점의 발생가능성이 낮지 않다면(Reasonable Possibility) 유의한 미비점이나 중요한 취약점으로 분류할 수 있다. * (i) 낮은(remote) 분류에 해당하지 않는 경우 "가능성이 낮지 않은 (reasonable possibility)" 경우에 해당하며, 이에 따라 실무적으로는 이를 "more than remote(낮지 않은 발생가능성)"이라고 표현하기도 함.
- 나. 발생가능성을 평가함에 있어서는 재무제표의 왜곡표시를 발생시키는 다음의 원인들을 고려한다.
  - (1) 예외사항의 근본적 발생원인 및 발생빈도
  - (2) 예외사항의 영향을 받는 계정과목, 주석사항 및 경영자 주장의 내용
  - (3) 계정과목, 공시사항에 내재된 주관성, 복잡성 및 판단요소의 성격
  - (4) 관련 자산이나 부채상의 손실, 또는 부정에 관련될 수 있는 민감도
  - (5) 통제미비점이 장래에 미칠 수 있는 영향의 결과
  - (6) 통제의 상호의존성 또는 중복성(Redundancy)의 정도
54 (금액적 크기) 금액적 크기란 발생할 수 있는 잠재적인 재무제표 왜곡표시의 크기(Magnitude of the Potential Misstatement)를 말한다.
- 가. 실제로 발생한 재무제표의 왜곡표시 금액이 아닌 발생 가능한 왜곡표시의 예상치이다.
- 나. 미비점으로 인한 잠재적 재무제표 왜곡표시의 크기가 중요한 수준 미만이라고 확신할 수 있다면 중요한 취약점으로 구분하지는 않으며, 금액적 크기를 평가할 때에는 다음의 요소들을 고려한다.
  - (1) 미비점에 따라 영향을 받는 재무제표 금액 또는 거래총액
  - (2) 당기에 이미 발생되었거나 향후 발생될 것으로 예상되는 미비점에 따라 영향을 받는 거래의 계정잔액 및 거래금액의 크기
  - (3) 보완통제의 영향으로 감소되는 발생가능한 왜곡표시의 예상치
- 다. ‘잠재적 재무제표 왜곡표시 크기의 유의한 수준’이란 회사의 재무보고를 감독할 책임이 있는 이사회, 감사(또는 감사위원회) 등이 주목할 만한 수준으로 중요성 금액 기준의 일정비율을 의미하며, 유의한 미비점과 단순한 미비점을 구분할 수 있는 하나의 기준이 된다.
- 라. 잠재적 왜곡표시의 금액적 크기를 평가할 때 과대계상될 수 있는 계정잔액 또는 거래금액 합계의 최대값은 일반적으로는 기록된 금액이지만 과소계상의 경우에는 더 큰 금액으로 평가될 수 있다. 또한, 대부분의 경우에는 소액의 왜곡표시 가능성이 거액의 왜곡표시 가능성보다 더 높다.
55 (보완통제의 고려)
- 가. 보완통제란 본래의 통제에서 미비점이 발견되었다 하더라도 그 미비점으로 인해 발생할 수 있는 유의한 재무제표 왜곡표시 위험을 경감시켜 줄 수 있는 통제를 말한다. 효과적인 보완통제의 존재가 미비점으로 인한 재무제표 왜곡표시 위험을 경감시켜 주기 때문에 발견된 미비점이 유의한 미비점 또는 중요한 취약점인지를 결정할 때 보완통제를 고려하는 것이 필요하다.
- 나. 보완통제가 재무제표 왜곡표시 위험을 경감시킨다고 결론짓기 위해서는 해당 보완통제의 설계 및 운영의 효과성 평가 결과가 효과적이어야 하며, 특정 미비점이 효과적인 보완통제의 존재로 인해 유의한 미비점이나 중요한 취약점으로 분류되지 않았다고 하더라도 다른 미비점을 종합적으로 고려하여 유의한 미비점 또는 중요한 취약점에 해당하는지 여부에 대해서도 판단하여야 한다.
56 (객관적인 관리자의 판단)
- 가. 경영진은 미비점의 중요도를 판단할 때 회계와 내부회계관리제도에 충분한 전문지식을 갖춘 객관적인 관리자의 기준에서 정보이용자의 입장을 고려하여 판단하여야 한다. 즉, 규정에 따라 업무처리를 수행하는 관리자가 그들의 업무수행 과정에서 발생하는 거래가 회계처리기준에 따라 적정하게 재무제표에 기록되고 있다고 합리적 확신(Reasonable Assurance)을 가질 수 있어야 한다.
- 나. 만일 발견된 문제점에 대해 회계와 내부회계관리제도에 충분한 전문지식을 갖춘 객관적인 관리자가 그러한 합리적 확신을 가지지 못한다면 해당 미비점은 유의한 미비점 또는 중요한 취약점으로 분류되어야 한다.
57 (재무보고 감독 기구의 판단)
- 가. 경영진은 미비점의 중요도를 판단할 때 내부회계관리제도와 재무보고를 감독할 책임이 있는 이사회, 감사(또는 감사위원회) 등의 시각도 함께 고려하여야 한다. 즉, 중요한 취약점으로 분류될 수준은 아니지만 이러한 감독기구가 주목할 만큼 중요하다면 해당 미비점은 유의한 미비점으로 분류되어야 한다.
- 나. 발생한 미비점으로 인하여 5가지 구성요소와 17가지 원칙이 존재하지 않거나 기능하지 않는 경우에는 감사(또는 감사위원회)가 주목하는 항목으로 유의한 미비점이나 중요한 취약점으로 분류되어야 한다.
58 (미비점의 다른 미비점과의 종합적인 고려) (Aggregation of Deficiencies)
- 가. 미비점을 분류할 때에는 개별적인 미비점의 중요성뿐만 아니라 다른 미비점들과 종합적으로 고려하였을 경우의 효과에 대해서도 판단하여야 하며 이러한 종합적 고려는 유의한 계정과목별로 하도록 한다.
- 나. 예를 들어, 충분히 정교하게 설계 및 운영되는 직접 전사 통제와 업무프로세스 수준의 통제는 통제목적 달성에 직접적인 영향을 미치므로 해당 미비점이 유의한 미비점으로 분류되지 않더라도 다른 미비점과의 결합효과를 고려하여 유의한 미비점 및 중요한 취약점으로 구분될 수 있다.
- 다. 한편, 간접 전사 통제와 정보기술 일반통제는 통제 성격상 회사의 내부회계관리제도 전반에 걸쳐 중요한 영향을 미치나 특정 계정과목과 관련한 경영자 주장에는 간접적인 영향을 미친다. 따라서, 간접적인 영향을 미치는 통제의 미비점이 발견될 경우 그 자체로 미비점의 수준을 판단하기보다는 관련된 업무프로세스 수준의 통제가 효과적인지 여부를 고려하여 종합적으로 판단한다(발생가능성, 금액적 크기 등).
59. (내부회계관리제도의 미비점 평가 절차) 내부회계관리제도 상의 미비점은 그 심각성에 따라 단순한 미비점, 유의한 미비점, 중요한 취약점으로 구분하며 아래의 단계를 이용할 수 있다.
- 가. 내부회계관리제도의 미비점을 분류할 때에는 일반적으로 재무제표에 미치는 영향의 크기와 같은 양적 요소와 함께 질적인 특성을 고려하도록 한다.
- 나. 일반적으로 거래수준 통제를 평가하지 않고 전사적 수준 통제에 미비점이 존재한다는 이유만으로 내부회계관리제도가 효과적이지 않다고 결론 내리지 않는다. 단, 내부회계관리제도와 관련하여 외부감사법규 등에서 강조되는 감사(또는 감사위원회)의 기능이 미흡하거나 내부회계관리규정을 위반한 경영진의 지시사항에 대응하는 절차에 단순하지 않은 미비점이 존재하는 등의 경우에는 중요한 취약점의 징후로 고려되어야 한다.
- 다. 또한, 위험평가 과정에서 중요한 누락이 발생하는 미비점이 존재하는 경우, 예를 들어 중요한 주석 항목이나 현금흐름표의 영업현금 관련 항목이 평가에서 제외되는 경우 경영진은 해당 부분의 내부통제의 평가를 수행하지 않고 내부회계관리제도의 설계와 운영이 적정하다고 결론 내릴 수 없을 것이다.
- 라. 관련법규에서 강조하는 사항이나 회사가 선택한 내부통제체계에서 정의한 효과적인 내부회계관리제도에 부합하지 않는 경우에는 이는 적어도 유의한 미비점 이상으로 간주되어야 한다.
- 마. 미비점을 중요한 취약점이나 유의한 미비점으로 분류할 때에는 미비점을 계정과목별, 공시항목별 또는 내부회계관리제도의 5가지 구성요소와 17가지 원칙별로 집계하여 다른 미비점과의 결합효과를 고려하여야 한다. 특정 계정과목이나 공시항목과 관련된 통제에 다수의 미비점이 존재하게 되면 재무제표의 왜곡표시가 발생할 가능성이 높아지기 때문에 유의한 계정과목이나 공시항목별로 통제의 미비점을 집계하는 것이 필요하다. 내부회계관리제도의 5가지 구성요소와 17가지 원칙별로 통제의 미비점을 집계하는 것은 계정과목별, 공시항목별 집계방식보다 어렵고 더 많은 판단을 필요로 한다.

제2절 대표자의 내부회계관리제도에 대한 효과성 평가 결론

60 (대표자의 내부회계관리제도 효과성 평가 결론)
- 가. 경영진은 회사의 내부회계관리제도의 효과성에 대한 평가를 수행하고 내부회계관리제도에 대한 효과성 평가 절차를 통해 얻은 자료, 감사(또는 감사위원회) 및 외부감사인과의 논의 내용 등을 고려하여 내부회계관리제도의 효과성에 대한 평가 결론을 도출한다. 경영진은 평가기준일 현재 내부회계관리제도가 효과적으로 설계 및 운영되고 있는지 여부에 대해 경영진 스스로 합리적인 수준의 확신을 가지고 내린 종합 결론을 "내부회계관리제도 운영실태보고서"에 반영한다.
- 나. 대표자의 운영실태보고서에는 회사의 내부회계관리제도가 효과적인지 비효과적인지에 대한 결론을 명확한 문구를 사용하여 표명한다. 즉, 중요한 취약점이 없는 경우 ‘중요성의 관점에서 효과적으로 설계되어 운영되고 있다고 판단됩니다.’, 중요한 취약점이 있는 경우 ‘중요성의 관점에서 효과적으로 설계되어 운영되고 있지 않다고 판단됩니다.’라는 문구를 운영실태보고서에 사용한다.
- 다. 내부회계관리자의 운영실태보고서에는 ‘식별된 특정 중요한 취약점을 제외하고는 효과적이다’ 또는 ‘특정 부분을 제외하고는 효과적이다’는 식의 한정적 표현이나 ‘효과적이지 않다는 것을 나타내는 특별한 사항을 인지하지 못하였다’는 식의 소극적 확신(Negative Assurance)을 통한 결론표명을 할 수 없다.
61 (외부서비스 제공자의 이용) 회사가 재무보고와 관련된 서비스를 제공하는 외부서비스제공자를 이용하고 있는 경우, 이러한 외부서비스제공자의 서비스와 관련된 통제의 책임은 경영진에게 있으므로 경영진은 외부서비스제공자의 내부통제에 대한 평가를 수행한다.
- 가. 외부서비스제공자의 내부통제 설계 및 운영의 효과성을 평가하기 위해서는 다음 방식을 적용할 수 있다.
  - (1) 외부서비스제공자의 통제를 직접 평가
  - (2) 외부서비스제공자의 통제의 적정성을 충분히 모니터링할 수 있는 회사의 모니터링 통제 평가(단, 해당 서비스의 규모나 복잡성이 큰 경우에는 적절하지 않을 수 있다.)
  - (3) 외부서비스제공자의 감사인이 제공하는 통제 설계와 운영의 효과성 평가에 대한 보고서(‘서비스조직의 통제에 대한 인증업무 기준’에 의한 인증보고서, 3402 보고서(한국공인회계사회나 국제감사인증기준위원회가 인증한 서비스조직의 통제에 대한 보고서))
  - (4) 중소기업의 경우에는 외부서비스제공자가 제공하는 정보의 정확성을 확인하기 위한 회사의 검토 절차를 평가할 수 있다.
- 나. 외부서비스제공자 감사인이 3402 보고서(서비스조직의 통제에 대한 인증보고서)를 경영진에게 제공한다면, 경영진은 이러한 보고서가 외부서비스제공자의 통제 평가를 뒷받침하기에 충분한 증거를 포함하고 있는지 평가할 때 다음의 항목을 고려한다.
  - (1) 보고서 일자와 경영진의 평가기준일간 차이 여부
  - (2) 보고서의 테스트 대상 범위와 테스트 방법
  - (3) 외부서비스제공자 감사인의 적격성과 독립성
  - (4) 외부서비스제공자 감사인의 보고서 의견
- 다. 보고서 일자와 경영진의 평가기준일 사이에 유의한 차이가 있다면 다음과 같은 추가 절차를 수행한다. 단, 중소기업의 경우에는 외부서비스제공자의 경영진이 제공하는 확인서 입수를 통해 보고서일 이후 평가기준일 사이의 기간 동안 외부서비스제공자의 통제가 변경되었는지, 외부서비스제공자가 수행하는 통제의 효과성에 부정적 변화가 있었는지를 확인하는 절차로 대신할 수 있다.
  - (1) 보고서일 이후 외부서비스제공자의 통제가 변경되었는지 확인한다.
  - (2) 변경사항이 파악된 경우 내부회계관리제도의 효과성에 미치는 영향을 평가한다. 예를 들어, 서비스조직의 3402 보고서가 9월말 기준으로 발행되었고 회사는 12월말을 기준으로 내부회계관리제도를 평가하는 경우 회사는 9월말 기준의 3402 보고서를 활용할 수 있다. 다만, 9월말 이후 12월말까지 서비스조직의 내부통제에 중요한 변화가 존재하지 않았는지, 9월말 이후 12월까지 통제의 운영에도 변화가 존재하지 않음을 확인하여야 하며, 중요한 변화가 발생한 경우에는 관련 통제에 대한 설계 및 운영 평가를 추가로 수행하여야 한다.
- 라. 경영진은 회사의 감사인과 외부서비스제공자 감사인이 동일한 경우 외부서비스제공자 감사인의 적격성과 독립성을 평가하여 3402 보고서 활용 여부를 결정할 수 있다. 그러나, 3402 보고서를 발행한 외부서비스제공자 감사인이 경영진이 의존하는 외부서비스제공자의 프로세스와 관련된 내부통제를 직접 설계 또는 구축하였다면 감사인의 자기평가위협에 해당하여 독립성이 훼손되므로 경영진은 해당 보고서를 이용할 수 없다.
- 마. 외부서비스제공자 감사인의 보고서를 제공받지 못하거나 추가 증거의 입수가 필요하다고 판단되면 경영진은 외부서비스제공자의 통제를 직접 테스트하는 등 추가적인 절차를 취하는 것을 고려한다.
- 바. 경영진은 내부회계관리제도에 대한 평가 결론을 표명할 때 외부서비스제공자 감사인의 보고서를 언급해서는 안 된다.
- 사. 외부서비스제공자가 3402 보고서(서비스조직의 통제에 대한 인증보고서)를 제공하려 하지 않거나 외부서비스제공자에 구축된 통제의 효과성을 경영진이 직접 평가하는 것을 허용하지 않을 수 있다. 또한, 경영진은 대체적인 방법으로 프로세스에 대한 통제의 효과성 판단을 가능하게 하는 보완통제를 가지고 있지 않을 수도 있다. 그럼에도 불구하고 경영진은 내부회계관리제도 운영실태보고서에 내부회계관리제도의 효과성에 관한 종합결론을 표명하여야 하며 ‘특정 부분을 제외하고는 효과적이다’는 식의 한정적인 표현을 사용할 수 없다.
62 (내부회계관리제도 운영실태보고서) 내부회계관리제도 운영실태보고서에는 평가·보고 기준 문단 25의 내용을 포함하여야 하며, <별첨> 내부회계관리제도 운영실태보고서 예시를 참고하여 작성할 수 있다.

제3절 감사(또는 감사위원회)의 내부회계관리제도에 대한 효과성 평가 결론

63 (감사(또는 감사위원회)의 평가)
- 가. 감사(또는 감사위원회)는 경영진이 실시한 평가 절차와 운영실태 평가 결과의 적정성을 감독자의 관점에서 독립적으로 평가하는 과정에서 필요에 따라 경영진의 평가와 관련된 자료를 근거로 평가 절차를 수행할 수 있다.
- 나. 감사(또는 감사위원회)는 경영진이 수행한 평가가 충분하지 않다고 판단하거나 추가 테스트가 필요하다고 판단하는 경우 별도 테스트를 추가할 수 있다. 또한, 별도 테스트 수행을 위해 내부감사 등의 지원이 필요한 경우 대표자에게 이를 요청할 수 있다. 이러한 추가 절차는 중복적인 작업이 될 가능성이 높으므로 감사(또는 감사위원회)는 경영진의 평가 과정이 충분하지 않다고 판단되는 경우에 국한해서 진행할 수 있다.
- 다. 감사(또는 감사위원회)의 평가 방식은 회사의 상황에 따라 외부감사법규 등의 요구사항을 고려하여 감사(또는 감사위원회)가 결정하고 내부회계관리규정에 포함하는 것이 바람직하다.
- 라. 동일한 내부평가조직이 경영진의 내부회계관리제도 운영실태보고를 위한 통제 설계 및 운영 평가를 수행한 경우, 감사(또는 감사위원회)가 해당 내부평가조직이 작성한 평가 계획과 수행한 절차 및 결과 등을 충분히 관리·감독하였다면 감사(또는 감사위원회)가 내부회계관리제도의 운영실태를 독립적으로 평가한 것으로 판단할 수 있다. 다만, 감사(또는 감사위원회)가 경영진과는 독립적으로 내부회계관리제도를 평가하도록 한 취지를 고려할 때 평가조직의 독립성을 확보할 수 있는 방안(예 : 감사(또는 감사위원회)의 내부감사 책임자의 임면권, 성과평가 권한 등)을 마련하거나 내부평가조직 내에서 경영진의 평가에 참여한 인원과 감사(또는 감사위원회)의 독립적인 평가에 참여한 인원을 분리하는 등의 방안을 마련할 필요가 있다.
- 마. 중소기업의 경우에는 감사(또는 감사위원회)는 내부회계관리제도 운영실태 평가는 경영진이 보고하는 위험평가 결과에 기반한 평가 계획, 경영진이 보고하는 중간·기말평가 절차 및 결과를 포함하여 경영진이 운영실태 보고를 위해 작성한 자료를 검토하는 절차를 위주로 이루어진다.
64 (감사(또는 감사위원회)의 효과성 평가 결론)
- 가. 감사(또는 감사위원회)의 평가보고서에는 경영진의 경우와 동일하게 회사의 내부회계관리제도가 효과적인지 비효과적인지에 대한 결론을 명확한 문구를 사용하여 표명한다. 감사(또는 감사위원회)는 회사의 내부회계관리제도의 효과성에 대해 감사(또는 감사위원회) 스스로 합리적인 수준의 확신을 가지고 효과성 평가에 대한 결론을 내린다.
- 나. 감사(또는 감사위원회)는 내부회계관리제도의 효과성 평가 절차를 통해 발견된 미비점들에 대해 중요도를 구분하여 평가 결론의 근거로 활용하며, 평가기준일 현재 존재하는 미비점은 단순한 미비점, 유의한 미비점, 중요한 취약점으로 구분한다. 감사(또는 감사위원회)는 평가기준일의 내부회계관리제도에 대한 효과성 평가의 결과로 하나 이상의 중요한 취약점이 발견된 경우에는 회사의 내부회계관리제도가 효과적이라고 결론을 내릴 수 없다.
65 (내부회계관리제도 평가보고서) 내부회계관리제도 평가보고서에는 평가·보고기준 문단 28의 내용을 포함하여야 하며, <별첨> 내부회계관리제도 평가보고서 예시를 참고하여 작성할 수 있다.

(별첨)

1. 내부회계관리제도 운영실태보고서 예시
가. 비상장 중소기업 외
(1) 중요한 취약점이 없는 경우
(2) 중요한 취약점이 있는 경우
(3) 평가·보고기준 문단 14 다.에 따라 일부 사업단위를 평가대상에서 제외한 경우
나. 비상장 중소기업
2. 내부회계관리제도 평가보고서 예시
가. 비상장 중소기업 외
(1) 중요한 취약점이 없는 경우
(2) 중요한 취약점이 있는 경우
나. 비상장 중소기업

(별첨 1) 내부회계관리제도 운영실태보고서 예시

가. 비상장 중소기업 외

(1) 중요한 취약점이 없는 경우

xx주식회사 주주, 이사회 및 감사(위원회) 귀중

본 대표이사 및 내부회계관리자는 20xx년 x월 x일 현재 동일자로 종료하는 회계연도에 대한 당사의 (연결)내부회계관리제도의 설계 및 운영실태를 평가하였습니다.

(연결)내부회계관리제도의 설계 및 운영에 대한 책임은 본 대표이사 및 내부회계관리자를 포함한 회사의 경영진에 있습니다.
본 대표이사 및 내부회계관리자는 회사의 (연결)내부회계관리제도가 신뢰할 수 있는 (연결)재무제표의 작성 및 공시를 위하여 (연결)재무제표의 왜곡을 초래할 수 있는 오류나 부정행위를 예방하고 적발할 수 있도록 효과적으로 설계 및 운영되고 있는지의 여부에 대하여 평가하였습니다.
본 대표이사 및 내부회계관리자는 (연결)내부회계관리제도의 설계 및 운영을 위해 내부회계관리제도운영위원회에서 발표한 ‘내부회계관리제도 설계 및 운영 개념체계(단, ’제4장 중소기업에 대한 적용‘을 적용한 경우, 동 규정을 적용함을 명시·다른 체계를 사용한 경우 그 체계의 명칭)’를 준거기준으로 사용하였습니다. 또한 (연결)내부회계관리제도의 설계 및 운영실태를 평가함에 있어 「외부감사 및 회계 등에 관한 규정 시행세칙」 별표6 ‘내부회계관리제도 평가 및 보고 기준(단, 동 기준 ‘제4호 다목의 완화된 방식’을 적용한 경우, ‘제4호 다목의 완화된 방식’을 적용함을 명시)’을 평가기준으로 사용하였습니다.

본 대표이사 및 내부회계관리자의 (연결)내부회계관리제도 운영실태 평가결과, 20××년 ×월 ×일 현재 당사의 (연결)내부회계관리제도는 ‘내부회계관리제도 설계 및 운영 개념체계(다른 체계를 사용한 경우 그 체계의 명칭)’에 근거하여 볼 때, 중요성의 관점에서 효과적으로 설계되어 운영되고 있다고 판단됩니다.

본 대표이사 및 내부회계관리자는 보고내용이 거짓으로 기재되거나 표시되지 아니하였고, 기재하거나 표시하여야 할 사항을 빠뜨리고 있지 아니함을 확인하였습니다.
또한 본 대표이사 및 내부회계관리자는 보고내용에 중대한 오해를 일으키는 내용이 기재되거나 표시되지 아니하였다는 사실을 확인하였으며, 충분한 주의를 다하여 직접 확인·검토하였습니다.

(붙임)
ㅇ 직전 사업연도에 보고한 중요한 취약점의 시정조치 계획 이행결과
ㅇ 횡령 등 자금 관련 부정위험에 대응하기 위해 회사가 수행한 내부통제 활동

20××년 × 월 × 일
대 표 이 사 × × × (인)
내부회계관리자 × × × (인)

(붙임)
ㅇ 직전 사업연도에 보고한 중요한 취약점의 시정조치 계획 이행결과
ㅇ 횡령 등 자금 관련 부정위험에 대응하기 위해 회사가 수행한 내부통제 활동
　- (내부회계관리제도 운영실태보고서) 붙임 서식

구 분^*1	회사가 수행한 통제활동^*1,2	설계·운영 실태 점검 결과^*3 (수행부서, 수행 시기 등)
전사적 수준 통제	(예) <부정 방지 제도 운영> 경영진은 횡령 사고 등의 부정 방지를 위해 내부고발자제도(익명제보채널), 부정 방지 및 모니터링 프로그램을 운영하며, 동 프로그램 준수에 대한 경영진의 의지를 정기적으로 전 임직원에게 전사 공지를 통해 전달하고 있음	(예) 테스트 수행 결과, 중요한 취약점이 발견되지 않음(내부회계팀, ‘X1.7월, ’X1.10월, ‘X2.1월)
전사적 수준 통제
자금통제 (입출금 계좌관리, 입출금 관리, 수표관리, 법인카드관리 등)	(예) <계좌 등록/변경> 자금팀장은 계좌등록 및 변경 시 사유를 검토하여 승인함	(예) 테스트 수행 결과, 중요한 취약점이 발견되지 않음(내부회계팀, ‘X1.7월, ’X1.10월, ‘X2.1월)
	(예) <법인인감, OTP 사용통제> 감사팀에 의해 법인인감, OTP의 물리적 접근이 통제되고 있으며 감사팀장의 사용대장 상 날인·사용 목적의 검토 및 승인을 통해 날인·사용이 허용됨	(예) 테스트 수행 결과, XX의 중요한 취약점이 발견되었으며 XXX의 시정조치를 이행할 예정임 (내부회계팀, ‘X1.7월, ’X1.10월, ‘X2.1월)

기타 업무 수준 통제	(예) <거래처 Master 생성·변경 검토> 회계팀장은 거래처 Master 생성·변경 요청서 상 주요 정보(사업자등록번호, 주소 등)가 근거 문서와 일치하는지 검토 후 승인함	(예) 테스트 수행 결과, 중요한 취약점이 발견되지 않음(내부회계팀, ‘X1.7월, ’X1.10월, ‘X2.1월)
기타 업무 수준 통제

*1. 자금횡령 방지를 위한 내부회계관리제도 업무 체크포인트(‘22.12월, 한국공인회계사회, 한국상장회사협의회, 코스닥협회)에서 제시한 자금 관련 부정위험을 예방 또는 적발하기 위한 통제와 그 항목 구분을 예시로 참고하되, 회사의 규모 등 상황에 따라 회사의 통제활동을 적절하게 기재 및 구분할 수 있다. *2. 전사적 수준 통제와 자금통제 중 자금 관련 부정위험을 예방 또는 적발하는 데 관련된 것으로 판단한 통제(다만, 자금통제는 직접 관련된 핵심통제에 한함)를 기술하되, 그 외 업무수준 통제 중 회사가 자금 관련 부정위험을 예방 또는 적발하는 데 직접 관련된 것으로 판단한 핵심통제를 포함하여 기술할 수 있다. 이때, 통제기술서의 통제활동을 통합·요약 기술하는 것을 원칙으로 하되, 회사의 상황에 따라 통제기술서의 통제활동 내용을 그대로 기술할 수도 있다. 다만, 통제수행자와 통제항목은 명시적으로 기술한다. *3. 설계 및 운영 평가 수행한 결과를 표기하되, 수행팀, 수행 시기, (중요한 취약점이 있는 경우) 중요한 취약점 및 이에 대한 시정조치 계획 또는 이행 결과를 포함한다.

　- (연결 내부회계관리제도 운영실태보고서) 붙임 서식

구 분^*1	회사가 수행한 통제활동^*1,2	대상회사^*3	설계·운영 실태 점검 결과^*4 (수행부서, 수행 시기 등)
전사적 수준 통제	(예) <부정 방지 제도 운영> 경영진은 횡령 사고 등의 부정 방지를 위해 내부고발자제도(익명제보채널), 부정 방지 및 모니터링 프로그램을 운영하며, 동 프로그램 준수에 대한 경영진의 의지를 정기적으로 전 임직원에게 전사 공지를 통해 전달하고 있음	(예) A사, B사 외 4개 사	(예) 테스트 수행 결과, 중요한 취약점이 발견되지 않음(A사 XX팀, B사 외 4개사 YY팀, ‘X1.7월, ‘X1.10월, ’X2.1월 등)
전사적 수준 통제
자금통제 (입출금 계좌관리, 입출금 관리, 수표관리, 법인카드관리 등)	(예) <법인인감, OTP 사용통제> 감사팀에 의해 법인인감, OTP의 물리적 접근이 통제되고 있으며, 감사팀장의 사용대장 상 날인·사용 목적의 검토 및 승인을 통해 날인·사용이 허용됨	(예) A사, B사 외 4개 사	(예) 테스트 수행 결과, XX의 중요한 취약점이 발견되었으며 XX의 시정조치를 이행할 예정임 (A사 XX팀, B사 외 4개사 YY팀, ‘X1.7월, ‘X1.10월, ’X2.1월 등)
자금통제 (입출금 계좌관리, 입출금 관리, 수표관리, 법인카드관리 등)
기타 업무 수준 통제	(예) <거래처 Master 생성·변경 검토> 회계팀장은 거래처 Master 생성·변경 요청서 상 주요 정보(사업자등록번호, 주소 등)가 근거 문서와 일치하는지 검토 후 승인함	(예) A사, C사 외 3개 사	(예) 테스트 수행 결과, 중요한 취약점이 발견되지 않음(A사 XX팀, C사 외 3개사 YY팀, ‘X1.7월, ‘X1.10월, ’X2.1월 등)
기타 업무 수준 통제

*1. 자금횡령 방지를 위한 내부회계관리제도 업무 체크포인트(‘22.12월, 한국공인회계사회, 한국상장회사협의회, 코스닥협회)에서 제시한 자금 관련 부정위험을 예방 또는 적발하기 위한 통제와 그 항목 구분을 예시로 참고하되, 회사의 규모 등 상황에 따라 회사의 통제활동을 적절하게 기재 및 구분할 수 있다. *2. 전사적 수준 통제와 자금통제 중 자금 관련 부정위험을 예방 또는 적발하는 데 관련된 것으로 판단한 통제(다만, 자금통제는 직접 관련된 핵심통제에 한함)를 기술하되, 그 외 업무수준 통제 중 회사가 자금 관련 부정위험을 예방 또는 적발하는 데 직접 관련된 것으로 판단한 핵심통제를 포함하여 기술할 수 있다. 이때, 통제기술서의 통제활동을 통합·요약 기술하는 것을 원칙으로 하되, 회사의 상황에 따라 통제기술서의 통제활동 내용을 그대로 기술할 수도 있다. 다만, 통제수행자와 통제항목은 명시적으로 기술한다. *3. 작성 및 공시 범위는 연결 내부회계관리제도 평가·보고 대상 전체와 같으며, 각 통제를 설계 및 운영한 회사를 기재한다(다만, 대상 회사가 3개 이상인 경우, ’●●, ●● 외 ●개사‘로 기재 가능) *4. 설계 및 운영 평가 수행한 결과를 표기하되, 수행팀, 수행 시기, (중요한 취약점이 있는 경우) 중요한 취약점 및 이에 대한 시정조치 계획 또는 이행 결과를 포함한다.

(2) 중요한 취약점이 있는 경우

xx주식회사 주주, 이사회 및 감사(위원회) 귀중

본 대표이사 및 내부회계관리자는 20xx년 x월 x일 현재 동일자로 종료하는 회계연도에 대한 당사의 (연결)내부회계관리제도의 설계 및 운영실태를 평가하였습니다.

(연결)내부회계관리제도의 설계 및 운영에 대한 책임은 본 대표이사 및 내부회계관리자를 포함한 회사의 경영진에 있습니다.
본 대표이사 및 내부회계관리자는 회사의 (연결)내부회계관리제도가 신뢰할 수 있는 (연결)재무제표의 작성 및 공시를 위하여 (연결)재무제표의 왜곡을 초래할 수 있는 오류나 부정행위를 예방하고 적발할 수 있도록 효과적으로 설계 및 운영되고 있는지의 여부에 대하여 평가하였습니다.
본 대표이사 및 내부회계관리자는 (연결)내부회계관리제도의 설계 및 운영을 위해 내부회계관리제도운영위원회에서 발표한 ‘내부회계관리제도 설계 및 운영 개념체계(단, ’제4장 중소기업에 대한 적용‘을 적용한 경우, 동 규정을 적용함을 명시·다른 체계를 사용한 경우 그 체계의 명칭)’를 준거기준으로 사용하였습니다. 또한 (연결)내부회계관리제도의 설계 및 운영실태를 평가함에 있어 「외부감사 및 회계 등에 관한 규정 시행세칙」 별표6 ‘내부회계관리제도 평가 및 보고 기준(단, 동 기준 ‘제4호 다목의 완화된 방식’을 적용한 경우, ‘제4호 다목의 완화된 방식’을 적용함을 명시)’을 평가기준으로 사용하였습니다.

본 대표이사 및 내부회계관리자의 (연결)내부회계관리제도 운영실태 평가결과, 20××년 ×월 ×일 현재 당사의 (연결)내부회계관리제도는 다음과 같은 중요한 취약점으로 인해 ‘내부회계관리제도 설계 및 운영 개념체계(다른 체계를 사용한 경우 그 체계의 명칭)’에 근거하여 볼 때, 중요성의 관점에서 효과적으로 설계되어 운영되고 있지 않다고 판단됩니다.

<중요한 취약점의 내용>
<중요한 취약점에 대한 시정조치 계획
(내부회계관리제도에 대한 감리를 받은 경우에는 그 감리에 따른 시정조치 계획을 포함)>

본 대표이사 및 내부회계관리자는 보고내용이 거짓으로 기재되거나 표시되지 아니하였고, 기재하거나 표시하여야 할 사항을 빠뜨리고 있지 아니함을 확인하였습니다.
또한 본 대표이사 및 내부회계관리자는 보고내용에 중대한 오해를 일으키는 내용이 기재되거나 표시되지 아니하였다는 사실을 확인하였으며, 충분한 주의를 다하여 보고 내용의 기재사항을 직접 확인· 검토하였습니다.

(붙임)
ㅇ 중요한 취약점에 대한 상세평가내용
　- 중요한 취약점을 발생시킨 통제 미비점의 원인을 이해하고 각각의 중요한 취약점의 잠재적인 영향을 평가할 수 있는 정보
　- 중요한 취약점과 관련하여 내부회계관리규정을 위반한 임직원의 징계 내용 등을 포함
ㅇ 직전 사업연도에 보고한 중요한 취약점의 시정조치 계획 이행결과
ㅇ 횡령 등 자금부정 위험에 대응하기 위해 회사가 수행한 내부통제 활동

20××년 × 월 × 일
대 표 이 사 × × × (인)
내부회계관리자 × × × (인)

(붙임)
ㅇ 중요한 취약점에 대한 상세평가내용
ㅇ 직전 사업연도에 보고한 중요한 취약점의 시정조치 계획 이행결과
ㅇ 횡령 등 자금 관련 부정위험에 대응하기 위해 회사가 수행한 내부통제 활동
　- (내부회계관리제도 운영실태보고서) 붙임 서식

구 분^*1	회사가 수행한 통제활동^*1,2	설계·운영 실태 점검 결과^*3 (수행부서, 수행 시기 등)
전사적 수준 통제	(예) <부정 방지 제도 운영> 경영진은 횡령 사고 등의 부정 방지를 위해 내부고발자제도(익명제보채널), 부정 방지 및 모니터링 프로그램을 운영하며, 동 프로그램 준수에 대한 경영진의 의지를 정기적으로 전 임직원에게 전사 공지를 통해 전달하고 있음	(예) 테스트 수행 결과, 중요한 취약점이 발견되지 않음(내부회계팀, ‘X1.7월, ’X1.10월, ‘X2.1월)
전사적 수준 통제
자금통제 (입출금 계좌관리, 입출금 관리, 수표관리, 법인카드관리 등)	(예) <계좌 등록/변경> 자금팀장은 계좌등록 및 변경 시 사유를 검토하여 승인함	(예) 테스트 수행 결과, 중요한 취약점이 발견되지 않음(내부회계팀, ‘X1.7월, ’X1.10월, ‘X2.1월)
	(예) <법인인감, OTP 사용통제> 감사팀에 의해 법인인감, OTP의 물리적 접근이 통제되고 있으며 감사팀장의 사용대장 상 날인·사용 목적의 검토 및 승인을 통해 날인·사용이 허용됨	(예) 테스트 수행 결과, XX의 중요한 취약점이 발견되었으며 XXX의 시정조치를 이행할 예정임 (내부회계팀, ‘X1.7월, ’X1.10월, ‘X2.1월)

기타 업무 수준 통제	(예) <거래처 Master 생성·변경 검토> 회계팀장은 거래처 Master 생성·변경 요청서 상 주요 정보(사업자등록번호, 주소 등)가 근거 문서와 일치하는지 검토 후 승인함	(예) 테스트 수행 결과, 중요한 취약점이 발견되지 않음(내부회계팀, ‘X1.7월, ’X1.10월, ‘X2.1월)
기타 업무 수준 통제

　- (연결 내부회계관리제도 운영실태보고서) 붙임 서식

구 분^*1	회사가 수행한 통제활동^*1,2	대상회사^*3	설계·운영 실태 점검 결과^*4 (수행부서, 수행 시기 등)
전사적 수준 통제	(예) <부정 방지 제도 운영> 경영진은 횡령 사고 등의 부정 방지를 위해 내부고발자제도(익명제보채널), 부정 방지 및 모니터링 프로그램을 운영하며, 동 프로그램 준수에 대한 경영진의 의지를 정기적으로 전 임직원에게 전사 공지를 통해 전달하고 있음	(예) A사, B사 외 4개 사	(예) 테스트 수행 결과, 중요한 취약점이 발견되지 않음(A사 XX팀, B사 외 4개사 YY팀, ‘X1.7월, ‘X1.10월, ’X2.1월 등)
전사적 수준 통제
자금통제 (입출금 계좌관리, 입출금 관리, 수표관리, 법인카드관리 등)	(예) <법인인감, OTP 사용통제> 감사팀에 의해 법인인감, OTP의 물리적 접근이 통제되고 있으며, 감사팀장의 사용대장 상 날인·사용 목적의 검토 및 승인을 통해 날인·사용이 허용됨	(예) A사, B사 외 4개 사	(예) 테스트 수행 결과, XX의 중요한 취약점이 발견되었으며 XX의 시정조치를 이행할 예정임 (A사 XX팀, B사 외 4개사 YY팀, ‘X1.7월, ‘X1.10월, ’X2.1월 등)
자금통제 (입출금 계좌관리, 입출금 관리, 수표관리, 법인카드관리 등)
기타 업무 수준 통제	(예) <거래처 Master 생성·변경 검토> 회계팀장은 거래처 Master 생성·변경 요청서 상 주요 정보(사업자등록번호, 주소 등)가 근거 문서와 일치하는지 검토 후 승인함	(예) A사, C사 외 3개 사	(예) 테스트 수행 결과, 중요한 취약점이 발견되지 않음(A사 XX팀, C사 외 3개사 YY팀, ‘X1.7월, ‘X1.10월, ’X2.1월 등)
기타 업무 수준 통제

*1. 자금횡령 방지를 위한 내부회계관리제도 업무 체크포인트(‘22.12월, 한국공인회계사회, 한국상장회사협의회, 코스닥협회)에서 제시한 자금 관련 부정위험을 예방 또는 적발하기 위한 통제와 그 항목 구분을 예시로 참고하되, 회사의 규모 등 상황에 따라 회사의 통제활동을 적절하게 기재 및 구분할 수 있다. *2. 전사적 수준 통제와 자금통제 중 자금 관련 부정위험을 예방 또는 적발하는 데 관련된 것으로 판단한 통제(다만, 자금통제는 직접 관련된 핵심통제에 한함)를 기술하되, 그 외 업무수준 통제 중 회사가 자금 관련 부정위험을 예방 또는 적발하는 데 직접 관련된 것으로 판단한 핵심통제를 포함하여 기술할 수 있다. 이때, 통제기술서의 통제활동을 통합·요약 기술하는 것을 원칙으로 하되, 회사의 상황에 따라 통제기술서의 통제활동 내용을 그대로 기술할 수도 있다. 다만, 통제수행자와 통제항목은 명시적으로 기술한다. *3. 작성 및 공시 범위는 연결 내부회계관리제도 평가·보고 대상 전체와 같으며, 각 통제를 설계 및 운영한 회사를 기재한다(다만, 대상 회사가 3개 이상인 경우, ’●●, ●● 외 ●개사‘로 기재 가능) *4. 설계 및 운영 평가 수행한 결과를 표기하되, 수행팀, 수행 시기, (중요한 취약점이 있는 경우) 중요한 취약점 및 이에 대한 시정조치 계획 또는 이행 결과를 포함한다.

(3) 평가·보고기준 14.다.에 따라 일부 사업단위를 평가대상에서 제외한 경우

- 중요한 취약점이 없는 경우의 운영실태보고서 예시이며, 중요한 취약점이 있는 경우에도 동일 방식으로 적용

xx주식회사 주주, 이사회 및 감사(위원회) 귀중

본 대표이사 및 내부회계관리자는 20xx년 x월 x일 현재 동일자로 종료하는 회계연도에 대한 당사의 (연결)내부회계관리제도의 설계 및 운영실태를 평가하였습니다.

(연결)내부회계관리제도의 설계 및 운영에 대한 책임은 본 대표이사 및 내부회계관리자를 포함한 회사의 경영진에 있습니다.
본 대표이사 및 내부회계관리자는 회사의 (연결)내부회계관리제도가 신뢰할 수 있는 (연결)재무제표의 작성 및 공시를 위하여 (연결)재무제표의 왜곡을 초래할 수 있는 오류나 부정행위를 예방하고 적발할 수 있도록 효과적으로 설계 및 운영되고 있는지의 여부에 대하여 평가하였습니다.
본 대표이사 및 내부회계관리자는 (연결)내부회계관리제도의 설계 및 운영을 위해 내부회계관리제도운영위원회에서 발표한 ‘내부회계관리제도 설계 및 운영 개념체계(단, ’제4장 중소기업에 대한 적용‘을 적용한 경우, 동 규정을 적용함을 명시·다른 체계를 사용한 경우 그 체계의 명칭)’를 준거기준으로 사용하였습니다. 또한 (연결)내부회계관리제도의 설계 및 운영실태를 평가함에 있어 「외부감사 및 회계 등에 관한 규정 시행세칙」 별표6 ‘내부회계관리제도 평가 및 보고 기준(단, 동 기준 ‘제4호 다목의 완화된 방식’을 적용한 경우, ‘제4호 다목의 완화된 방식’을 적용함을 명시)’을 평가기준으로 사용하였습니다.

본 대표이사 및 내부회계관리자의 (연결)내부회계관리제도 운영실태 평가결과, 20××년 ×월 ×일 현재 당사의 (연결)내부회계관리제도는 ‘내부회계관리제도 설계 및 운영 개념체계(다른 체계를 사용한 경우 그 체계의 명칭)’에 근거하여 볼 때, 중요성의 관점에서 효과적으로 설계되어 운영되고 있다고 판단됩니다.

당사는 (평가 제외 사유 공시 : 평가기준일 현재 합병일로부터 1년이 경과하지 않아 (연결)내부회계관리제도 평가를 현실적으로 수행하기 어려운) 피합병부문인 xx주식회사 부문(합병기준일 20xx년 x월 x일, 평가기준일 현재 자산총액 및 매출액은 x원 및 x원, 합병 후 자산총액 및 매출액의 x% 및 x%에 해당)을 (연결)내부회계관리제도 평가 대상에서 제외하였습니다.

본 대표이사 및 내부회계관리자는 보고내용이 거짓으로 기재되거나 표시되지 아니하였고, 기재하거나 표시하여야 할 사항을 빠뜨리고 있지 아니함을 확인하였습니다.
또한 본 대표이사 및 내부회계관리자는 보고내용에 중대한 오해를 일으키는 내용이 기재되거나 표시되지 아니하였다는 사실을 확인하였으며, 충분한 주의를 다하여 직접 확인·검토하였습니다.

(붙임)
ㅇ 직전 사업연도에 보고한 중요한 취약점의 시정조치 계획 이행결과
ㅇ 횡령 등 자금부정 위험에 대응하기 위해 회사가 수행한 내부통제 활동

20××년 × 월 × 일
대 표 이 사 × × × (인)
내부회계관리자 × × × (인)

구 분^*1	회사가 수행한 통제활동^*1,2	설계·운영 실태 점검 결과^*3 (수행부서, 수행 시기 등)
전사적 수준 통제	(예) <부정 방지 제도 운영> 경영진은 횡령 사고 등의 부정 방지를 위해 내부고발자제도(익명제보채널), 부정 방지 및 모니터링 프로그램을 운영하며, 동 프로그램 준수에 대한 경영진의 의지를 정기적으로 전 임직원에게 전사 공지를 통해 전달하고 있음	(예) 테스트 수행 결과, 중요한 취약점이 발견되지 않음(내부회계팀, ‘X1.7월, ’X1.10월, ‘X2.1월)
전사적 수준 통제
자금통제 (입출금 계좌관리, 입출금 관리, 수표관리, 법인카드관리 등)	(예) <계좌 등록/변경> 자금팀장은 계좌등록 및 변경 시 사유를 검토하여 승인함	(예) 테스트 수행 결과, 중요한 취약점이 발견되지 않음(내부회계팀, ‘X1.7월, ’X1.10월, ‘X2.1월)
	(예) <법인인감, OTP 사용통제> 감사팀에 의해 법인인감, OTP의 물리적 접근이 통제되고 있으며 감사팀장의 사용대장 상 날인·사용 목적의 검토 및 승인을 통해 날인·사용이 허용됨	(예) 테스트 수행 결과, XX의 중요한 취약점이 발견되었으며 XXX의 시정조치를 이행할 예정임 (내부회계팀, ‘X1.7월, ’X1.10월, ‘X2.1월)

기타 업무 수준 통제	(예) <거래처 Master 생성·변경 검토> 회계팀장은 거래처 Master 생성·변경 요청서 상 주요 정보(사업자등록번호, 주소 등)가 근거 문서와 일치하는지 검토 후 승인함	(예) 테스트 수행 결과, 중요한 취약점이 발견되지 않음(내부회계팀, ‘X1.7월, ’X1.10월, ‘X2.1월)
기타 업무 수준 통제

　- (연결 내부회계관리제도 운영실태보고서) 붙임 서식

구 분^*1	회사가 수행한 통제활동^*1,2	대상회사^*3	설계·운영 실태 점검 결과^*4 (수행부서, 수행 시기 등)
전사적 수준 통제	(예) <부정 방지 제도 운영> 경영진은 횡령 사고 등의 부정 방지를 위해 내부고발자제도(익명제보채널), 부정 방지 및 모니터링 프로그램을 운영하며, 동 프로그램 준수에 대한 경영진의 의지를 정기적으로 전 임직원에게 전사 공지를 통해 전달하고 있음	(예) A사, B사 외 4개 사	(예) 테스트 수행 결과, 중요한 취약점이 발견되지 않음(A사 XX팀, B사 외 4개사 YY팀, ‘X1.7월, ‘X1.10월, ’X2.1월 등)
전사적 수준 통제
자금통제 (입출금 계좌관리, 입출금 관리, 수표관리, 법인카드관리 등)	(예) <법인인감, OTP 사용통제> 감사팀에 의해 법인인감, OTP의 물리적 접근이 통제되고 있으며, 감사팀장의 사용대장 상 날인·사용 목적의 검토 및 승인을 통해 날인·사용이 허용됨	(예) A사, B사 외 4개 사	(예) 테스트 수행 결과, XX의 중요한 취약점이 발견되었으며 XX의 시정조치를 이행할 예정임 (A사 XX팀, B사 외 4개사 YY팀, ‘X1.7월, ‘X1.10월, ’X2.1월 등)
자금통제 (입출금 계좌관리, 입출금 관리, 수표관리, 법인카드관리 등)
기타 업무 수준 통제	(예) <거래처 Master 생성·변경 검토> 회계팀장은 거래처 Master 생성·변경 요청서 상 주요 정보(사업자등록번호, 주소 등)가 근거 문서와 일치하는지 검토 후 승인함	(예) A사, C사 외 3개 사	(예) 테스트 수행 결과, 중요한 취약점이 발견되지 않음(A사 XX팀, C사 외 3개사 YY팀, ‘X1.7월, ‘X1.10월, ’X2.1월 등)
기타 업무 수준 통제

*1. 자금횡령 방지를 위한 내부회계관리제도 업무 체크포인트(‘22.12월, 한국공인회계사회, 한국상장회사협의회, 코스닥협회)에서 제시한 자금 관련 부정위험을 예방 또는 적발하기 위한 통제와 그 항목 구분을 예시로 참고하되, 회사의 규모 등 상황에 따라 회사의 통제활동을 적절하게 기재 및 구분할 수 있다. *2. 전사적 수준 통제와 자금통제 중 자금 관련 부정위험을 예방 또는 적발하는 데 관련된 것으로 판단한 통제(다만, 자금통제는 직접 관련된 핵심통제에 한함)를 기술하되, 그 외 업무수준 통제 중 회사가 자금 관련 부정위험을 예방 또는 적발하는 데 직접 관련된 것으로 판단한 핵심통제를 포함하여 기술할 수 있다. 이때, 통제기술서의 통제활동을 통합·요약 기술하는 것을 원칙으로 하되, 회사의 상황에 따라 통제기술서의 통제활동 내용을 그대로 기술할 수도 있다. 다만, 통제수행자와 통제항목은 명시적으로 기술한다. *3. 작성 및 공시 범위는 연결 내부회계관리제도 평가·보고 대상 전체와 같으며, 각 통제를 설계 및 운영한 회사를 기재한다(다만, 대상 회사가 3개 이상인 경우, ’●●, ●● 외 ●개사‘로 기재 가능) *4. 설계 및 운영 평가 수행한 결과를 표기하되, 수행팀, 수행 시기, (중요한 취약점이 있는 경우) 중요한 취약점 및 이에 대한 시정조치 계획 또는 이행 결과를 포함한다.

나. 비상장 중소기업

xx주식회사 주주, 이사회 및 감사(위원회) 귀중

본 대표이사 및 내부회계관리자는 20xx년 x월 x일 현재 동일자로 종료하는 회계연도에 대한 당사의 내부회계관리제도의 설계 및 운영실태를 평가하였습니다. 당사는 「주식회사 등의 외부감사에 관한 법률」에 따라 내부회계관리규정과 이를 관리·운영하는 조직을 구비하고 있으며 다음과 같이 내부회계관리규정의 각 사항을 모두 준수하고 있습니다. (미준수 사항이 있는 경우: 내부회계관리규정의 각 사항에 대한 준수 여부는 다음과 같습니다.)

내부회계관리규정 준수 여부	예	아니오	비고
· 회계정보의 식별·측정·분류·기록 및 보고 방법에 관한 사항의 준수
· 회계정보의 오류를 통제하고 이를 수정하는 방법에 관한 사항의 준수
· 회계정보에 대한 정기적인 점검 및 조정 등 내부검증에 관한 사항의 준수
· 회계정보를 기록·보관하는 장부의 관리 방법과 위조·변조·훼손 및 파기를 방지하기 위한 통제 절차에 관한 사항의 준수
· 회계정보의 작성 및 공시와 관련한 임직원의 업무 분장과 책임에 관한 사항의 준수
· 내부회계관리규정의 제정 및 개정을 위한 절차의 준수
· 내부회계관리자의 자격요건 및 임면절차의 준수
· 대표이사 등의 운영실태 보고 기준 및 절차의 준수
· 감사(위원회)의 평가·보고 기준 및 절차의 준수
· 감사(위원회)의 평가 결과를 회사의 대표이사 등의 인사·보수 및 차기 사업연도 내부회계관리제도 운영계획 등에 반영하기 위한 절차 및 방법의 준수
· 회사의 대표이사 등을 대상으로 하는 교육·훈련의 계획·성과평가·평가결과의 활용 등에 관한 사항의 준수
· 회사의 대표이사 등이 내부회계관리규정을 관리·운영하는 임직원 또는 회계정보를 작성·공시하는 임직원에게 내부회계관리규정에 위반되는 행위를 지시하는 경우에 해당 임직원이 지시를 거부하더라도 그와 관련하여 불이익을 받지 아니하도록 보호하는 제도에 관한 사항의 준수
· 내부회계관리규정 위반행위 신고제도의 운영에 관한 사항의 준수
· 법 제22조 제3항·제4항에 따른 조사·시정 등의 요구 및 조사결과 제출 등과 관련하여 필요한 감사의 역할 및 책임에 관한 사항의 준수
· 법 제22조 제5항에 따른 자료나 정보 및 비용의 제공과 관련한 회사 대표이사의 역할 및 책임에 관한 사항의 준수
· 내부회계관리규정을 위반한 임직원의 징계 등에 관한 사항의 준수

※ 비고란에는 예외사항 또는 미준수의 사유를 기재하거나 직전 사업연도에 보고한 점검 결과의 시정조치 이행 결과를 기재

본 대표이사 및 내부회계관리자는 보고내용이 거짓으로 기재되거나 표시되지 아니하였고, 기재하거나 표시하여야 할 사항을 빠뜨리고 있지 아니함을 확인하였습니다. 또한 본 대표이사 및 내부회계관리자는 보고내용에 중대한 오해를 일으키는 내용이 기재되거나 표시되지 아니하였다는 사실을 확인하였으며, 충분한 주의를 다하여 보고내용의 기재사항을 직접 확인 검토하였습니다.

20××년 × 월 × 일
대 표 이 사 × × × (인)
내부회계관리자 × × × (인)

(별첨 2) 내부회계관리제도 평가보고서 예시

가. 비상장 중소기업 외

(1) 중요한 취약점이 없는 경우

×× 주식회사 이사회 귀중

본 감사(위원회)는 20××년 ×월 ×일 현재 동일자로 종료하는 회계연도에 대한 당사의 (연결)내부회계관리제도의 설계 및 운영실태를 평가하였습니다.

내부회계관리제도의 설계 및 운영에 대한 책임은 대표이사 및 내부회계관리자를 포함한 회사의 경영진에 있으며 본 감사(위원회)는 관리감독 책임이 있습니다.
본 감사(위원회)는 대표이사 및 내부회계관리자가 본 감사(위원회)에게 제출한 (연결)내부회계관리제도 운영실태보고서를 참고로, 회사의 (연결)내부회계관리제도가 신뢰할 수 있는 (연결)재무제표의 작성 및 공시를 위하여 (연결)재무제표의 왜곡을 초래할 수 있는 오류나 부정행위를 예방하고 적발할 수 있도록 효과적으로 설계 및 운영되고 있는지 여부에 대하여 평가하였으며, (연결)내부회계관리제도가 신뢰성있는 회계정보의 작성 및 공시에 실질적으로 기여하는지를 평가하였습니다.
또한 본 감사(위원회)는 (연결)내부회계관리제도 운영실태보고서에 거짓으로 기재되거나 표시된 사항이 있거나, 기재하거나 표시하여야 할 사항을 빠뜨리고 있는지를 점검하였으며, (연결)내부회계관리제도 운영실태보고서의 시정 계획이 해당 회사의 (연결)내부회계관리제도 개선에 실질적으로 기여할 수 있는지를 검토하였습니다.
회사는 (연결)내부회계관리제도의 설계 및 운영을 위해 내부회계관리제도운영위원회에서 발표한 ‘내부회계관리제도 설계 및 운영 개념체계(단, ’제4장 중소기업에 대한 적용‘을 적용한 경우 동 규정을 적용함을 명시·다른 체계를 사용한 경우 그 체계의 명칭)’를 준거기준으로 사용하였습니다.

본 감사(위원회)는 (연결)내부회계관리제도의 설계 및 운영실태를 평가함에 있어 「외부감사 및 회계 등에 관한 규정 시행세칙」별표6 ‘내부회계관리제도 평가 및 보고 기준(단, 동 기준 ‘제4호 다목의 완화된 방식’을 적용한 경우, ‘제4호 다목의 완화된 방식’을 적용함을 명시)’을 평가기준으로 사용하였습니다.

본 감사(위원회)의 의견으로는, 20××년 ×월 ×일 현재 당사의 (연결)내부회계관리제도는 ‘내부회계관리제도 설계 및 운영 개념체계(다른 체계를 사용한 경우 그 체계의 명칭)’에 근거하여 볼 때, 중요성의 관점에서 효과적으로 설계되어 운영되고 있다고 판단됩니다.

(붙임)
ㅇ 권고사항
ㅇ (연결)내부회계관리제도가 신뢰성있는 회계정보의 작성 및 공시에 실질적으로 기여하지 못하고 있다고 판단한 경우 그 시정 의견
ㅇ (연결)내부회계관리제도 운영실태보고서에 거짓으로 기재되거나 표시된 사항이 있거나, 기재하거나 표시하여야 할 사항을 빠뜨리고 있는지를 점검한 결과에 대한 조치내용
ㅇ (연결)내부회계관리제도 운영실태보고서의 시정 계획이 해당 회사의 (연결)내부회계관리제도를 개선하는데 실질적으로 기여하지 못하고 있다고 판단한 경우 대안
ㅇ (연결)내부회계관리제도 운영실태 평가를 위한 경영진과의 대면 협의 및 자금 관련 부정위험에 대한 감사인과의 의사소통 내역

구 분	일자	참석자	주요 논의내용^*
경영진 (대표자, 내부회계관리자 등)
경영진 (대표자, 내부회계관리자 등)
외부감사인

* 이전연도 발견된 미비점에 대한 시정계획의 이행결과 검토, 자금관련 부정위험 통제를 위한 회사의 통제활동에 대한 평가, 경영진과 감사인의 내부회계관리제도에 대한 평가 내역 차이 등

20××년 × 월 × 일
(감사 설치 회사) 감사 × × × (인)
(감사위원회 설치 회사) 감사위원회 위원장 × × × (인)

(2) 중요한 취약점이 있는 경우

×× 주식회사 이사회 귀중

본 감사(위원회)는 20××년 ×월 ×일 현재 동일자로 종료하는 회계연도에 대한 당사의 (연결)내부회계관리제도의 설계 및 운영실태를 평가하였습니다.

내부회계관리제도의 설계 및 운영에 대한 책임은 대표이사 및 내부회계관리자를 포함한 회사의 경영진에 있으며 본 감사(위원회)는 관리감독 책임이 있습니다.
본 감사(위원회)는 대표이사 및 내부회계관리자가 본 감사(위원회)에게 제출한 (연결)내부회계관리제도 운영실태보고서를 참고로, 회사의 (연결)내부회계관리제도가 신뢰할 수 있는 (연결)재무제표의 작성 및 공시를 위하여 (연결)재무제표의 왜곡을 초래할 수 있는 오류나 부정행위를 예방하고 적발할 수 있도록 효과적으로 설계 및 운영되고 있는지의 여부에 대하여 평가하였으며, (연결)내부회계관리제도가 신뢰성있는 회계정보의 작성 및 공시에 실질적으로 기여하는지를 평가하였습니다.
또한 본 감사(위원회)는 (연결)내부회계관리제도 운영실태보고서에 거짓으로 기재되거나 표시된 사항이 있거나, 기재하거나 표시하여야 할 사항을 빠뜨리고 있는지를 점검하였으며, (연결)내부회계관리제도 운영실태보고서의 시정 계획이 해당 회사의 (연결)내부회계관리제도를 개선에 실질적으로 기여할 수 있는지를 검토하였습니다.
회사는 (연결)내부회계관리제도의 설계 및 운영을 위해 내부회계관리제도운영위원회에서 발표한 ‘내부회계관리제도 설계 및 운영 개념체계(단, ’제4장 중소기업에 대한 적용‘을 적용한 경우 동 규정을 적용함을 명시·다른 체계를 사용한 경우 그 체계의 명칭)’를 준거기준으로 사용하였습니다.

본 감사(위원회)는 (연결)내부회계관리제도의 설계 및 운영실태를 평가함에 있어 「외부감사 및 회계 등에 관한 규정 시행세칙」별표6 ‘내부회계관리제도 평가 및 보고 기준(단, 동 기준 ‘제4호 다목의 완화된 방식’을 적용한 경우, ‘제4호 다목의 완화된 방식’을 적용함을 명시)’을 평가기준으로 사용하였습니다.

본 감사(위원회)의 의견으로는, 20××년 ×월 ×일 현재 당사의 (연결)내부회계관리제도는 다음과 같은 중요한 취약점으로 인해 ‘내부회계관리제도 설계 및 운영 개념체계(다른 체계를 사용한 경우 그 체계의 명칭)’에 근거하여 볼 때, 중요성의 관점에서 효과적으로 설계되어 운영되고 있지 않다고 판단됩니다.

<중요한 취약점 및 시정조치 계획>

(붙임)
ㅇ 운영실태보고서에 보고한 중요한 취약점 요약
ㅇ 권고사항
ㅇ (연결)내부회계관리제도가 신뢰성있는 회계정보의 작성 및 공시에 실질적으로 기여하지 못하고 있다고 판단한 경우 그 시정 의견
ㅇ (연결)내부회계관리제도 운영실태보고서에 거짓으로 기재되거나 표시된 사항이 있거나, 기재하거나 표시하여야 할 사항을 빠뜨리고 있는지를 점검한 결과에 대한 조치내용
ㅇ (연결)내부회계관리제도 운영실태보고서의 시정 계획이 해당 회사의 (연결)내부회계관리제도를 개선하는데 실질적으로 기여하지 못하고 있다고 판단한 경우 대안
ㅇ (연결)내부회계관리제도 운영실태 평가를 위한 경영진과의 대면 협의 및 자금 관련 부정위험에 대한 감사인과의 의사소통 내역

구 분	일자	참석자	주요 논의내용^*
경영진(대표자, 내부회계관리자 등)
경영진(대표자, 내부회계관리자 등)
외부감사인

20××년 × 월 × 일
(감사 설치 회사) 감사 × × × (인)
(감사위원회 설치 회사) 감사위원회 위원장 × × × (인)

나. 비상장 중소기업

××주식회사 이사회 귀중

본 감사(위원회)는 20xx년 x월 x일 현재 동일자로 종료하는 회계연도에 대한 당사의 내부회계관리제도의 설계 및 운영실태를 평가하였습니다. 당사는 「주식회사 등의 외부감사에 관한 법률」에 따라 내부회계관리규정과 이를 관리·운영하는 조직을 구비하고 있으며 다음과 같이 내부회계관리규정의 각 사항을 모두 준수하고 있습니다. (미준수 사항이 있는 경우: 내부회계관리규정의 각 사항에 대한 준수 여부는 다음과 같습니다.)

본 감사(위원회)는 대표이사 및 내부회계관리자가 본 감사(위원회)에게 제출한 내부회계관리제도 운영실태보고서를 참고로, 회사의 내부회계관리제도가 신뢰할 수 있는 재무제표의 작성 및 공시를 위하여 재무제표의 왜곡을 초래할 수 있는 오류나 부정행위를 예방하고 적발할 수 있도록 효과적으로 설계 및 운영되고 있는지의 여부에 대하여 평가하였으며, 내부회계관리제도가 신뢰성 있는 회계정보의 작성 및 공시에 실질적으로 기여하는지를 평가하였습니다. 또한 본 감사(위원회)는 내부회계관리제도 운영실태보고서에 거짓으로 기재되거나 표시된 사항이 있거나, 기재하거나 표시하여야 할 사항을 빠뜨리고 있는지를 점검하였으며, 내부회계관리제도 운영실태보고서의 시정 계획이 회사의 내부회계관리제도 개선에 실질적으로 기여할 수 있는지를 검토하였습니다.

내부회계관리규정 준수 여부	예	아니오	비고
· 회계정보의 식별·측정·분류·기록 및 보고 방법에 관한 사항의 준수
· 회계정보의 오류를 통제하고 이를 수정하는 방법에 관한 사항의 준수
· 회계정보에 대한 정기적인 점검 및 조정 등 내부검증에 관한 사항의 준수
· 회계정보를 기록·보관하는 장부의 관리 방법과 위조·변조·훼손 및 파기를 방지하기 위한 통제 절차에 관한 사항의 준수
· 회계정보의 작성 및 공시와 관련한 임직원의 업무 분장과 책임에 관한 사항의 준수
· 내부회계관리규정의 제정 및 개정을 위한 절차의 준수
· 내부회계관리자의 자격요건 및 임면절차의 준수
· 대표이사 등의 운영실태 보고 기준 및 절차의 준수
· 감사(위원회)의 평가·보고 기준 및 절차의 준수
· 감사(위원회)의 평가 결과를 회사의 대표이사 등의 인사·보수 및 차기 사업연도 내부회계관리제도 운영계획 등에 반영하기 위한 절차 및 방법의 준수
· 회사의 대표이사 등을 대상으로 하는 교육·훈련의 계획·성과평가·평가결과의 활용 등에 관한 사항의 준수
· 회사의 대표이사 등이 내부회계관리규정을 관리·운영하는 임직원 또는 회계정보를 작성·공시하는 임직원에게 내부회계관리규정에 위반되는 행위를 지시하는 경우에 해당 임직원이 지시를 거부하더라도 그와 관련하여 불이익을 받지 아니하도록 보호하는 제도에 관한 사항의 준수
· 내부회계관리규정 위반행위 신고제도의 운영에 관한 사항의 준수
· 법 제22조 제3항·제4항에 따른 조사·시정 등의 요구 및 조사결과 제출 등과 관련하여 필요한 감사의 역할 및 책임에 관한 사항의 준수
· 법 제22조 제5항에 따른 자료나 정보 및 비용의 제공과 관련한 회사 대표이사의 역할 및 책임에 관한 사항의 준수
· 내부회계관리규정을 위반한 임직원의 징계 등에 관한 사항의 준수

※ 비고란에는 예외사항 또는 미준수의 사유를 기재하거나 아래 사항을 기재

ㅇ 내부회계관리제도가 신뢰성 있는 회계정보의 작성 및 공시에 실질적으로 기여하지 못하고 있다고 판단한 경우 그 시정 의견
ㅇ 내부회계관리제도 운영실태보고서에 거짓으로 기재되거나 표시된 사항이 있거나, 기재하거나 표시하여야 할 사항을 빠뜨리고 있는지를 점검한 결과에 대한 조치내용
ㅇ 내부회계관리제도 운영실태보고서의 시정 계획이 해당 회사의 내부회계관리제도를 개선하는데 실질적으로 기여하지 못하고 있다고 판단한 경우 대안

20××년 × 월 × 일
(감사 설치 회사) 감사 × × × (인)
(감사위원회 설치 회사) 감사위원회 위원장 × × × (인)

목록보기