전사적 수준에서의 내부회계관리제도는 개별 업무프로세스 수준의 내부회계관리제도의 기반을 형성하며(모범규준 문단 34), 업무프로세스, 개별 거래 및 정보기술 응용통제 등에 영향을 미치고 경영진이 효과적인 내부회계관리제도를 유지ㆍ감독할 수 있도록 하는 체계적인 수단을 제공한다(모범규준 문단 34.1).

전사적 수준에서의 내부회계관리제도는 그 성격에 따라 다음과 같이 구분할 수 있다.

• - 간접 전사 통제(Indirect Entity-level Control) : 통제환경처럼 회사의 내부회계관리제도의 효과성에 전반적인 영향을 미치지만 중요한 재무제표 왜곡 표시의 발생을 예방 및 적발하는 데에는 간접적인 영향을 미치는 전사적 수준의 통제를 의미한다. 또한, 일부 간접 전사통제는 다른 통제의 효과성을 모니터링하는 기능을 수행하기도 하며, 이러한 간접 전사 통제가 효과적으로 운영되는 경우 모니터링의 대상이 되는 통제의 평가범위를 조정할 수 있다.
• - 직접 전사 통제(Direct Entity-level Control) : 재무제표와 관련된 경영자 주장이 왜곡될 위험을 적절히 방지하거나 적시에 적발할 수 있을 정도로 설계된 전사적 수준의 통제를 직접 전사통제라 한다. 따라서 직접 전사 통제가 특정 재무제표 왜곡표시 위험을 효과적으로 적발 또는 예방하고 있다고 평가된다면, 해당 위험과 관련된 업무프로세스 수준의 통제를 평가대상에서 제외할 수 있다. 예를 들어, 경영진이 기말재무제표 작성절차(직접 전사 통제에 해당)를 통해 관련 왜곡표시 위험이 적절히 적발된다고 평가한 경우 동 위험과 관련된 업무프로세스 수준 통제의 식별 및 평가를 생략할 수있을 것이다.

중소기업의 경우 경영진이 일상 업무프로세스에 직접적으로 관여하는 정도가 상대적으로 높기 때문에 전사적 수준의 내부회계관리제도(특히 직접 전사 통제)의 효과성이 매우 중요하다. 또한, 보다 효과적이고 효율적인 내부회계관리제도 평가를 위하여 전사적 수준의 내부회계관리제도의 효과성 여부에 따른 업무프로세스 수준의 내부회계관리제도의 평가 범위를 적극적으로 조정하는 것이 바람직하다.

내부회계관리제도는 재무제표의 신뢰성에 대한 절대적인 확신(absolute assurance)이 아닌 합리적 확신(reasonable assurance)을 제공하는 것을 목적으로 하기 때문에 내부회계관리제도의 평가에 있어 재무제표 상의 모든 계정과목 및 주석정보를 대상으로 하지는 않는다.

특히, 내부회계관리제도 운영실태보고서 상 기재되는 평가결론을 소극적인 확신의 방법으로 표명할 수 있는 중소기업의 경우(모범규준 문단 70) 중요한 계정과목 등을 위주로 내부회계관리제도를 평가할 수 있다. 중요한 계정과목 등을 식별할 때에는 양적 요소와 질적 요소를 함께 고려한다.

중요한 계정과목 등을 식별함에 있어 특정 계정과목 등이 양적 요소를 충족시키는 경우에도 회사의 사업 내용, 업무프로세스 및 회계처리에 대한 축적된 지식과 경험 및 판단을 합리적으로 활용하여 내부회계관리제도의 평가 범위에서 제외할 수 있다.

중요한 계정과목 등을 식별하기 위한 양적 요소는 계정과목의 규모를 고려하며, 일반적으로 ’중요성 금액’이 사용된다.

중요성은 회계항목이 정보로 제공되기 위한 최소한의 요건으로, 특정 정보가 생략되거나 왜곡 표시된 재무제표가 정보이용자의 판단이나 의사결정에 영향을 미치는 경우 이를 중요한 정보라고 한다.

중요성 금액은 일반적으로 직전 평가기간의 세전순이익 또는 당해 평가기간 예상 세전순이익의 일정 비율로 결정한다. 다만, 회사의 과거 경험에 비추어 특정 평가기간의 중요성 금액을 결정하는데 사용하는 세전순이익이 비정상적인 규모라고 판단할 경우, 비경상적이거나 비반복적인 성격의 항목을 고려하여 조정한 세전순이익을 사용할 수 있다. 한편, 한편, 세전순이익이 중요성 금액을 결정하는데 적절하지 않다고 판단하는 경우에는 세전순이익보다 총자산 또는 영업수익(또는 매출액)을 이용할 수 있다. 경영진은 중요성 금액의 산출근거를 적절히 문서화한다.

중소기업의 경우 ‘중요한 계정과목 등’을 선정하기 위한 양적 기준으로 상장대기업에서 사용하는 유의한 왜곡표시 금액기준 대신 중요성 금액을 사용할 수 있다.

중요성 금액을 설정한 이후 평가시점에서 실제 재무상태나 경영성과가 크게 변동된 경우에는 중요성 금액의 변경을 고려한다. 예를들어, 중요성 금액을 당해 평가기간의 추정 세전순이익에 의해 결정한 경우 평가시점의 실제 세전순이익이 추정금액과 크게 다르다면 중요한 변화로 판단할 수 있다.

위험중심의 접근방법을 적용할 때에는 양적 요소뿐만 아니라 질적요소도 고려하는 것이 매우 중요하다. 예를 들어, 양적인 면에서 중요성 금액을 초과하는 계정과목이라도 질적 요소를 고려할 때 중요한 재무제표 왜곡표시의 발생가능성이 크지 않다고 판단되는 경우에는 내부회계관리제도의 평가대상에서 제외할 수 있다.

중요한 계정과목 등을 식별하기 위한 질적 요소는 오류 또는 부정으로 인한 손실발생가능성, 계정과목내의 개별 거래의 규모, 복잡성 및 동질성, 계정과목의 고유 속성, 회계처리 및 보고의 복잡성, 우발채무의 발생가능성, 특수관계자 거래의 존재여부, 계정과목 특성의 변동 여부 그리고 과거 재무제표 왜곡표시나 미비점(또는 취약점)의 발생 여부 등을 고려할 수 있다.

• - 양적 기준에 미달하는 계정과목에 대해서는 추가적으로 질적 요소를 고려하였으며, 본 사례의 경우 매출채권 대손충당금, 재공품, 장기금융상품, 매도가능증권, 만기보유증권, 이연법인세 부채, 퇴직급여, 보증수리비, 대손상각비, 재고자산 평가손실 등을 추가적으로 중요한 계정과목으로 분류함.
• - 반면, 본 사례의 경우 토지 및 보통주 자본금은 거래 빈도가 낮고 금액변동이 미미하며, 상대적으로 회계처리가 단순하고, 과거에 부정이나 회계처리 오류가 발생한 경험이 없어 중요한 계정과목 범위에서 제외함. 일반적으로 특정 계정의 기중 거래 빈도가 낮은 경우에는 통제의 테스트보다는 결산 시 관련 회계처리 내용을 재확인하는 절차로 갈음할 수 있음.

업무프로세스는 자료 입력, 분류 및 합산, 계산, 거래 업데이트, 파일관리, 거래 생성, 취합 및 보고 등의 일련의 업무과정을 포함하며, 정보기술 환경에서는 마스터파일의 생성, 갱신 등의 활동을 포함한다(모범규준 문단 39).

신뢰할 수 있는 재무제표의 작성 및 공시를 위해서는 재무제표의 작성 및 보고절차 뿐만 아니라 회계장부 상에 기록된 개별 거래들의 발생, 승인, 기록 및 처리 등 전반적인 과정이 중요하기 때문에 경영진은 내부회계관리제도의 설계 및 운영 시 회계부문 등 조직내의 특정 부서 뿐만 아니라 회사의 재무제표에 중요한 영향을 미칠 수 있는 업무프로세스를 포괄적으로 고려한다.

경영진은 중요한 계정과목 및 주석정보 그리고 이와 관련된 경영자 주장을 파악한 후 해당 계정과목 및 주석정보에 영향을 미치는 주요거래 유형별 업무프로세스를 파악한다. 이러한 업무프로세스를 중요한 업무프로세스라고 하며, 업무프로세스 내에서 수행되는 일련의 활동들을 하위프로세스라고 한다. 유형별 업무프로세스 및 하위프로 세스는 회사가 속한 산업의 특성, 회사의 주요 거래 유형, 규모, 조직구조 등에 따라 다를 수 있다.

중요한 업무프로세스라 하더라도 관련 하위프로세스를 모두 동일한 비중으로 고려하기보다는 각 하위 프로세스별 위험평가를 통해 내부회계관리제도 평가자, 평가방법, 테스트범위 및 시기 등을 적절히 조정하는 것이 바람직하다. 하위 프로세스의 위험평가 시에는 회사의 특성을 감안하여 계정과목과의 직접적인 연관성 정도, 업무처리의 복잡성 및 거래 빈도, 부정위험에 대한 노출 정도, 업무 담당자의 숙련도, 관련 정보시스템의 안정성, 우발채무의 발생가능성 등을 고려할 수 있다.

사업단위의 정의는 회사의 상황에 따라 달라질 수 있으며, 일반적으로 사업부문 또는 영업시설(예: 사업부, 생산설비, 판매조직) 등이 사업단위에 속한다. 특정 단위조직의 사업목적, 업무프로세스, 정보시스템환경 등이 타 조직과 독립적인 경우 별도의 사업단위로 본다.

복수의 사업단위가 존재하는 경우 경영진은 각 사업단위의 재무적 비중 및 고유위험, 특수한 회계처리방법의 적용여부, 대내외 감사결과 등의 과거 경험, 사업환경의 변화 등 개별 사업단위가 지니는 상대적 중요성 및 위험을 고려하여 평가대상에 포함할 중요한 사업단위를 선정한다(모범규준 문단 40, 복수의 사업단위 관련 고려사항은 적용해설서 별첨 6 참조).

평가 대상 사업단위결정 시, 경영진은 각 사업단위의 재무제표상 중요한 왜곡표시 위험을 고려해야 하며, 동 위험에 따라 사업단위 별로 평가절차를 달리할 수 있다. 예를 들어, 경영진은 개별적으로 또는 타 부문과 결합되었을 때, 회사의 재무제표 상 중요한 왜곡표시에 대한 합리적 가능성이 없는 사업단위는 평가대상에서 제외할 수 있다.

경영진의 평가일 또는 그 전에 인수된 사업단위나 평가일 현재 사업폐지부문(매각, 중단사업 등)으로 반영된 사업단위는 평가대상에 포함 한다.

회사가 재무제표 관련 자료 처리에 대한 서비스를 제공하는 서비스조직을 이용하고 있을 경우, 이러한 서비스 조직의 서비스와 관련된 통제의 책임은 경영진에게 있으므로 경영진은 서비스조직의 내부통제에 대한 평가를 고려한다(문단42).

서비스조직 감사인이 서비스조직의 통제 설계와 운영의 효과성 평가에 대한 보고를 경영진에게 제공한다면, 경영진은 이러한 보고서가 서비스조직의 통제 평가를 뒷받침하기에 충분한 증거를 포함하고 있는지 평가할 때 다음의 항목을 고려한다(문단 42.1).

• - 보고서 일자와 경영진의 평가 기준일간 차이여부
• - 보고서의 테스트 대상 범위와 테스트 방법
• - 서비스조직 감사인의 보고서 의견

보고서 일자와 경영진의 평가 기준일 사이에 유의한 차이가 있다면, 다음과 같은 추가 절차를 수행한다.

• - 보고서일 이후 서비스조직의 통제가 변경되었는지 확인한다.
• - 변경사항이 파악된 경우, 내부회계관리제도의 효과성에 미치는 영향을 평가한다.

서비스조직 감사인의 보고서를 제공받지 못하거나 추가적인 증거의 입수가 필요하다고 판단되면, 경영진은 서비스조직의 통제활동을 직접 테스트하는 등 추가적인 절차를 취하는 것을 고려한다.
경영진은 내부회계관리제도에 대한 평가결론을 표명할 때, 서비스조직 감사인의 보고서를 언급해서는 안된다.

경영진은 내부회계관리제제도 평가범위, 설계 및 운영의 효과성 평가 절차 및 결과 등에 대한 충분한 문서화를 통해 내부회계관리제도의 효과성 평가 결과에 대한 근거를 확보한다. 내부회계관리제도 설계의 문서화는 효과적인 내부회계관리제도의 설계 및 운영을 위하여 회사의 각 계층 및 기능별로 역할과 통제절차를 명확하게 이해하고 수행할 수 있도록 한다는 측면에서 매우 중요하며(모범규준 문단 14), 내부회계관리제도의 효과적인 운영 및 평가를 위한 출발점이 된다. 특히, 인력의 이동이 상대적으로 빈번한 중소기업의 경우 내부회계관리제도 설계 관련 문서를 통해 공식적인 문서를 마련하거나 신규 입사자 또는 전입자에 대한 교육 등 부수적인 효과를 기대할 수도 있다.

내부회계관리제도 설계의 문서화 시 (1) 통제목표 또는 위험, (2) 통제활동, (3) 관련 계정과목 및 경영자주장, (4) 통제의 속성 등을 포함하는 것은 상장대기업의 경우와 동일하며, 회사는 고유한 사업환경을 감안하여 내부회계관리제도에 대한 문서화 수준을 차별화할 수 있다.

전사적 수준의 내부회계관리제도의 파악 및 문서화는 각 구성요소별로 참고할 수 있는 항목들을 예시한 모범규준 적용해설서 별첨1의 질문서를 활용할 수 있다. 당 질문서는 전사적 수준의 내부회계관리제도와 관련된 항목들을 모두 포괄하거나, 모든 회사가 반드시 갖추어야 할 항목들을 나열한 것은 아니나, 특히 중소기업의 경우 당해 회사의 업종, 규모, 기업문화 등을 고려하고 경영자의 합리적인 판단에 근거하여 개별 기업별로 적절히 조정하여 적용할 수 있다.

전사적 수준의 내부회계관리제도는 재무제표의 각 계정과목과는 직접적인 연관관계가 적은 반면, 업무프로세스 수준의 내부회계관리제도는 개별 거래가 실제로 발생, 기록, 처리 및 보고되는 과정에 대한 통제절차로 구성되어 재무제표의 계정과목에 직접적인 영향을 미치게 된다.

내부회계관리제도 및 관련 통제절차의 문서화 시에는 업무기술서 및 업무흐름도, 업무분장표, 통제기술서 등을 활용 하나 중소기업의 경우 통제기술서를 위주로 문서화할 수 있다(적용해설서 통제기술서 참조 사례 3-9).

통제기술서는 업무프로세스 내의 하위 프로세스별 통제목표 또는 위험과 이를 관리하기 위한 통제활동 및 경영자 주장, 통제 유형 및 수행빈도 등을 일목요연하게 표현하는데 매우 유용하며, 내부회계관리제도 문서화 목적으로 널리 사용된다. 특히, 통제기술서 상에 각각의 통제활동과 관련되어 실제로 회사가 수행하는 절차(“회사 현황”)를 구체적으로 기술함으로써 내부회계관리제도 설계의 효과성 평가 결과에 대한 근거를 동시에 구비할 수 있으며, 통제활동의 유형 및 수행빈도 등은 내부회계관리제도 운영의 효과성 평가를 위한 테스트절차 개발 근거로 활용할 수 있다.

업무분장을 적절하게 적용하는 것이 어려운 중소기업의 경우 적절한 보완통제로 대체하는 방향으로 통제활동을 설계할 수 있다. 일반적으로 예방통제와 적발통제를 적절히 결합하는 것이 바람직하지만, 중소기업의 경우 예방통제나 적발통제 중 보다 효과적인 통제를 중심으로 통제활동을 설계할 수 있다.

경영진은 내부회계관리제도가 재무제표의 중요한 왜곡표시를 초래할 수 있는 오류나 부정을 예방하고 적시에 적발할 수 있도록 설계되었는지 여부를 판단하기 위해 내부회계관리제도 설계의 효과성을 평가한다. 이러한 평가는 전사적 수준과 업무프로세스 수준의 내부통제 설계에 대한 평가 등으로 구성된다. (모범규준 문단 44).

설계의 효과성 평가 시에는 통제수행 과정에서 식별된 예외사항의 적시 처리 여부, 통제를 수행하는데 사용된 정보의 신뢰성, 통제가 수행된 기간(Period covered by the control) 등을 고려한다.

경영진은 내부회계관리제도 설계의 효과성을 평가하기 위하여 추적조사, 질문, 문서검사와 같은 방법을 사용할 수 있으며, 평가자는 한 가지 방법을 단독으로 적용하거나 여러 방법을 조합하여 적용함으로써 내부회계관리제도 설계의 효과성에 대한 확신을 얻는다(모범규준 문단 49). 중소기업의 경우 추적조사의 절차를 생략하고 질문 및 문서검사 위주로 평가를 실시할 수 있다(모범규준 문단 69).

경영진은 내부회계관리제도의 설계를 최초로 문서화하는 과정에서 설계의 효과성을 평가할 수 있다. 이후 주기적으로 설계의 효과성을 평가할 때는 통제기술서 상 기재된 회사의 현황을 점검함으로써 설계평가업무를 수행할 수 있다.

내부회계관리제도 운영의 효과성은 회사에 존재하거나, 설계의 문서화에 포함된 모든 통제를 포함할 필요는 없으며 주요 통제를 위주로 평가한다(모범규준 문단 52). 경영진은 내부회계관리제도 설계를 최초로 문서화하는 과정에서 주요 통제를 결정하고, 주기적인 설계의 효과성 평가 시 이를 재검토할 수 있다.

중소기업의 경우 일반적으로 경영진이 일상적 업무의 일부분으로서 수행하는 모니터링(예: 거래의 승인, 예외사항의 검토, 성과지표의 검토 등)이나 중요한 실물자산에 대한 접근통제 및 정기적인 실사, 외부 증빙과의 상호대사 등이 주요 통제를 구성할 수 있다.

경영진은 내부회계관리제도가 설계된 대로 운영되고 있는지 여부를 판단하기 위하여 운영의 효과성을 평가한다. 운영의 효과성 평가는 주요 통제를 위주로 한다.

테스트 계획은 테스트 대상 주요 통제 및 테스트 방법, 범위, 수행시기 등을 고려하여 수립하는 것이 바람직하다.

테스트의 방법, 범위, 시기를 결정함에 있어 내부회계관리제도 구성요소, 업무프로세스 또는 하위프로세스의 중요도에 따라 운영의 효과성 평가 시 평가자, 평가주기 등을 유연하게 적용할 수 있다.

예를 들어, 사례 3-2에서 수행한 위험평가 결과 “상”으로 분류된 하위프로세스에 해당하는 주요 통제의 경우 평가대상 통제로부터 독립된 위치에 있는 자가 평가를 수행하는 것이 바람직하다.

위험평가 결과 “중”으로 분류된 하위프로세스의 경우 통제업무 수행자에 의한 자체평가를 수행하고 이를 독립된 위치에 있는 자가 검증하는 방식을 채택할 수 있다.

또한, 위험평가 결과 “하”로 분류된 하위프로세스의 경우 자체평가로 종료할 수 있다. 다만, “하”로 분류된 하위프로세스의 경우 직전 평가기간의 평가 결과 미비점(또는 취약점)이 발생하지 않은 경우 당해 기간의 평가 대상에서 제외할 수 있다.

테스트는 질문, 관찰, 문서 검사, 재수행 등의 방법이 주로 이용되며, 두 가지 이상의 테스트를 조합하는 것이 더 큰 확신을 부여한다. 계정과목이나 공시사항, 업무프로세스가 중요할수록 두 가지 이상의 방법을 사용하여 증거를 입수하는 것이 바람직하다. 중소기업의 경우 내부회계관리제도 운영의 효과성을 평가함에 있어 위험평가 결과 “중” 또는 “하”로 분류된 하위프로세스의 경우에는 재수행 절차를 생략하고 질문, 관찰, 문서검사 위주로 실시할 수 있다 (모범규준 문단 69).

운영의 효과성 테스트의 범위(표본의 개수)를 결정할 때는 통제유형(자동화된 통제와 수작업통제), 수행빈도, 중요성 등 다양한 요소를 고려한다.

1) 자동화된 통제의 테스트
자동화된 통제의 경우 정보기술 일반 통제의 테스트결과 효과적이라고 확인되었다면, 하나 또는 적은 양의 표본에 대한 테스트를 통하여 운영의 효과성을 확인할 수 있다.

2) 수작업 통제의 테스트
수작업 통제는 자동화된 통제보다 더 넓은 범위의 테스트를 요구한다. 즉, 각 거래가 발생할 때마다 실시되는 수작업 통제의 경우에는 통제가 효과적으로 운영되고 있는지에 대한 확신을 얻기 위하여 충분한 기간 동안 다수의 표본에 대한 테스트를 수행할 필요가 있다.

3) 수작업 통제와 자동화된 통제의 구분
자동화된 통제의 경우에도 통제의 핵심적인 부분은 수작업으로 이루어지는 경우가 있다. 예를 들어, 정보기술 시스템 자체에서 구매주문서, 입고보고서와 세금계산서를 내부적으로 상호 대사하고 이 결과 자동으로 생성된 예외사항 보고서를 매입채무 담당자가 검토하고 차이를 해결하는 통제의 경우 (1) 자동화된 상호대사절차와 (2) 수작업에 의한 검토절차로 구분할 수 있다. 이러한 경우 자동화된 통제와 수작업 통제를 구분하여 적절한 방법 및 범위를 선정하여 통제의 효과성을 테스트 한다.

내부회계관리제도의 효과성을 평가하기 위해 중간평가가 반드시 요구되지는 않는다. 기말평가기준일 현재의 평가를 간소화 하기 위하여 중간평가를 실시한 경우에도 중간평가의 결론이 평가기준일 현재에도 여전히 유효한지 확인하기 위해 중간평가일부터 기말평가기준일까지의 기간에 대해 추가적인 평가를 실시하는 것이 바람직하다. 단, 기말재무보고와 관련된 통제의 경우 기말평가 기준일시점에 해당 통제의 효과성 평가가 불가능하기 때문에 기말평가기준일 이후에 실시한다.

중소기업이 충분한 기간에 대하여 중간평가를 수행한 경우, 다음의 요건들이 모두 충족되는 하위 프로세스 또는 통제에 대하여는 기말평가를 생략할 수 있다.

• - 해당 통제가 중간평가 시 효과적으로 운영되고 있다고 판단된 경우
• - 해당 통제가 일상적으로 발생하는 거래와 관련되고, 재무보고 전반에 영향을 미치지 않으며, 기말 재무제표 작성절차와 직접적인 관련성이 없는 경우(예: 매출거래, 매입거래, 급여 거래 등)
• - 해당 통제의 수행에 있어 높은 수준의 추정이나 판단을 요하지 않는 경우
• - 중간평가일 이후 해당 통제의 설계에 큰 변경이 없는 경우
• - 중간평가일 이후 해당 통제의 운영 효과성에 영향을 미칠만한 다른 통제의 효과성이나 환경적 위험요인에 큰 변화가 없는 경우
• - 해당 통제의 효과성에 영향을 미칠 수 있는 정보기술 일반통제가 중간평가일 이후 기말평가기준일 현재까지 효과적으로 운영되는 경우

자동화된 통제의 효과성에 대한 기말평가
경영진은 다음의 요건들이 모두 충족되는 경우에는 자동화된 통제의 운영 효과성에 대한 기말평가 절차를 생략할수 있다.

• - 중간평가시 테스트된 통제활동이 일상적인 거래와 관련된 계정 또는 프로세스에 대한 것으로 높은 수준의 주관이나 판단을 요하지 않고, 경영진이 통제를 무시(override)할 가능성이 높지 않고, 광범위하게 영향을 미치는 통제가 아니며, 결산조정 절차와 관계가 없음. 해당 통제의 운영 효과성에 대한 중간평가 시에 효과적으로 운영되었음.
• - 중간평가일 이후 해당 통제의 설계에 큰 변경이 없음.
• - 해당 자동화된 통제에 영향을 미칠 수 있는 정보기술 일반통제 등의 전반적 통제가 기말평가 대상기간 동안 효과적으로 운영되고 있음.

상기의 요건 중 하나라도 충족되지 않는 경우에는 해당 통제의 기말평가 대상기간에 대한 추가적인 테스트 절차를 수행하며, 이러한 절차는 질문만으로는 충분하지 않다. 따라서 질문 외의 추가적인 기법인 관찰, 문서검사, 재수행을 활용하여 자동화된 통제의 운영 효과성에 대한 충분한 증거를 획득한다.

운영의 효과성 테스트는 독립적인 제3자가 이를 이해하고 테스트의 적정성을 검토할 수 있는 수준으로 문서화하여 적절한 근거를 유지한다. 문서화 내용에는 테스트 절차 및 관련 표본의 내역 (예: 고정자산 구매승인에 대한 통제를 평가하는 경우 품의서 일자, 거래처명, 금액, 최종 승인자 등), 테스트 수행자, 테스트 결과 및 전반적인 결론 등을 포함한다.

운영의 효과성 테스트를 수행하는 과정에서 예외사항을 발견한 경우 경영진은 해당 통제가 효과적으로 운영되고 있는지 결정하기 위하여 해당 예외사항을 평가한다. 예외사항으로 인하여 테스트 목적이 충족되지 못한다고 판단되는 경우 이는 관련 통제의 미비점으로 분류된다. ‘테스트 목적’이란 평가자가 테스트를 계획할 때 수립한 기준으로서 예외사항의 개수 또는 이탈률(deviation rate) 등을 고려한다. ‘일별’ 이하의 빈도(‘연간’, ‘반기별’, ‘분기별’, ‘월별’등)로 수행되는 통제의 경우 표본의 개수가 적기 때문에 예외사항이 발견된 경우 일반적으로 해당 통제의 미비점으로 판단한다. 또한 당해 예외사항으로 인하여 재무제표 왜곡표시가 직접적으로 발생한 경우에는 해당 통제의 미비점으로 판단한다.

테스트 목적이 충족되지 않더라도 최초 테스트 결과가 모집단을 대표하지 않는다고 판단되는 경우에는 추가적인 테스트를 수행하고, 그 결과에 기초하여 미비점으로의 판단 여부를 결정할 수 있다.

내부회계관리제도의 효과성 여부는 평가기준일을 기준으로 판단한다. 따라서, 기중에 식별된 통제상 미비점이 평가기준일 이전에 수정되어 충분한 기간동안 효과적으로 설계 및 운영된다면 평가기준일 현재의 통제는 효과적이라고 평가할 수 있다.

통제의 효과성을 확신하기 위해 필요한 기간(수정된 통제가 효과적으로 운영되어야 하는 최소한의 기간)은 통제의 성격이나 그 수행빈도에 따라 달라진다.

내부회계관리제도의 미비점은 통제의 설계상 또는 운영상 미비점으로서 경영진과 종업원이 담당 업무를 수행하는 정상적인 과정에서 적시에 재무제표 왜곡표시를 예방하거나 적발할 수 없을 때 발생한다(모범규준 문단 55).

경영진은 내부회계관리제도의 다섯 가지 구성요소(통제환경, 위험평가, 통제활동, 정보 및 의사소통, 모니터링)와 관련하여 발견된 미비점을 모두 고려한다.

중소기업의 경우에도 미비점 분류의 기본적인 개념체계는 대기업과 다르지 않다. 즉, 내부회계관리제도의 미비점은 재무제표 왜곡표시의 발생가능성 및 금액적 중요성 등을 고려하여 단순한 미비점, 유의한 미비점, 중요한 취약점으로 구분한다.

미비점을 분류하기 위해서는 해당 미비점으로 인한 재무제표 왜곡표시의 발생가능성, 금액적 크기, 보완통제 등의 존재 여부, 분별력 있는 관리자(Prudent Officials)의 관점, 타 미비점과의 결합효과 등을 종합적으로 고려한다. 미비점의 분류는 객관적인 기준의 적용뿐만 아니라 높은 수준의 판단을 요하므로 미비점이 발견된 경우 경영진은 외부감사인과 협의하는 것이 바람직하다.

내부회계관리제도의 미비점 분류 시에는 재무제표 왜곡표시가 실제로 발생하였는지의 여부가 아니라, 발생할 가능성을 고려한다.

일반적으로 발생가능성은 ‘낮은(remote)’, ‘합리적인 수준으로 존재하는(reasonably possible 혹은 probable)’ 또는 ’매우 높은 (highly probable)’ 등으로 구분할 수 있으며, 특정 미비점으로 인한 재무제표 왜곡표시의 발생가능성이 합리적인 수준 이상으로 존재하는 경우 당해 미비점은 금액적 크기를 고려하여 유의한 미비점 또는 중요한 취약점으로 분류한다.

내부회계관리제도의 미비점 분류 시에는 실제로 발생한 재무제표의 왜곡표시 금액이 아니라 발생할 수 있는 잠재적 재무제표 왜곡표시의 크기를 기준으로 한다. 잠재적 왜곡표시의 크기는 당해 미비점의 영향을 받는 재무제표 금액(예: 매입채무 잔액) 또는 거래총액(예: 매입채무 대금지급 총액)을 고려하여 결정한다. 내부회계관리제도의 미비점으로 인한 잠재적 재무제표 왜곡표시의 크기가 유의한 수준 미만이라고 확신할 수 있다면 단순한 미비점으로 분류할 수 있다.

여기서 “잠재적 재무제표 왜곡표시 크기의 유의한 수준”이란 회사의 재무보고를 감독할 책임이 있는 이사회, 감사위원회 등이 주목할만한 수준으로서, 중요성 금액기준의 일정비율을 의미하며 유의한 미비점과 단순한 미비점을 구분할 수 있는 하나의 기준이 된다.

‘보완통제’ 란 특정 통제의 미비점으로 인하여 발생할 수 있는 재무제표 왜곡표시 위험을 경감시켜 줄 수 있는 통제를 의미한다. 따라서, 발생가능성 및 금액적 크기만을 고려하면 중요한 취약점으로 분류되어야 할 통제의 미비점이라 하더라도, 보완통제의 존재를 통해 재무제표 왜곡표시의 발생가능성이나 금액적 크기를 낮출 수 있는 경우에는 유의한 미비점 또는 단순한 미비점으로 분류할 수 있다. 보완통제가 재무제표 왜곡표시 위험을 경감시킨다고 결론짓기 위해서는 해당 보완통제의 설계 및 운영의 효과성을 확인하여야 한다.

즉, 효과적인 보완통제의 존재가 미비점의 재무제표 왜곡표시 위험을 경감시켜주기 때문에, 발견된 미비점이 유의한 미비점 또는 중요한 취약점인지를 결정할 때 보완통제를 고려하는 것이다. 보완통제가 재무제표 왜곡표시 위험을 경감시킨다고 결론 짓기 위해서는, 해당 보완통제의 설계 및 운영의 효과성 평가를 통해 그 효과성을 입증하여야 한다. 특정 미비점이 효과적인 보완통제의 존재로 인해 유의한 미비점이나 중요한 취약점으로 분류되지 않았다고 하더라도, 타 미비점과의 종합적인 고려를 통하여 유의한 미비점 또는 중요한 취약점에 해당하는지의 여부에 대해서도 판단하여야 한다.

경영진은 미비점의 중요도를 판단할 경우에 정보이용자의 입장을 고려한 분별력 있는 관리자의 기준에서 판단하여야 한다. 즉, 정상적인 사리분별을 할 수 있는 관리자가 그들의 업무수행 과정에서 발생하는 거래가 회계처리기준에 따라 적정하게 재무제표에 기록되고 있다고 합리적 확신(reasonable assurance)을 가질수 있어야한다. 만일 발견된 문제점에 대해 분별력있는 관리자가 그러한 합리적 확신을 가지지 못한다면 해당 미비점은 유의한 미비점 또는 중요한 취약점으로 분류되어야 한다.

경영진은 미비점의 중요도를 판단할 때 재무보고를 감독할 책임이있는 이사회, 감사위원회 등의 시각도 함께 고려하여야 한다. 즉, 중요한 취약점으로 분류될 수준은 아니지만, 이러한 감독기구가 주목할 만큼 중요하다면 해당 미비점은 유의한 미비점으로 분류되어야 한다.

미비점을 분류할 때에는 해당 미비점의 개별적인 영향 뿐만 아니라, 다른 미비점과 결합되었을 때 발생할 수 있는 효과에 대해서도 판단한다. 즉, 내부회계관리제도의 미비점을 중요한 계정과목별, 주석정보별 혹은 내부회계관리제도 구성요소별로 집계하여 다른 미비점과의 결합효과를 고려한다.

예를 들어, 충분히 정교하게 설계 및 운영되는 직접 전사 통제와 업무 프로세스수준의 통제는 통제목적의 달성에 직접적인 영향을 미치지만, 해당 미비점이 유의한 미비점으로 분류되지 않더라도 다른 미비점과의 결합효과를 고려하여 단순미비점, 유의한 미비점 및 중요한 취약점으로 구분될 수 있다.

한편, 간접 전사 통제와 정보기술 일반통제는 통제성격 상 회사의 내부회계관리제도 전반에 걸쳐 중요한 영향을 미치나, 특정 계정과목 관련 경영자주장에는 간접적인 영향을 미친다. 따라서 간접적인 영향을 미치는 통제의 미비점이 발견될 경우 그 자체로 미비점의 수준을 판단하기 보다는, 관련된 업무 프로세스 수준의 통제가 효과적인지 여부를 고려하여 종합적으로 판단한다(발생가능성, 금액적 크기 등).

일반적으로 정보기술 일반통제의 미비점이 재무제표 왜곡표시 위험에 직접적인 영향을 미치지는 않지만, 동 미비점의 영향으로 자동화된 통제 또는 정보시스템에 기반한 수작업통제의 미비점이 발생하면 재무제표 왜곡표시로 이어질 수 있다.

내부회계관리제도 상의 미비점은 그 중요도에 따라 단순한 미비점, 유의한 미비점, 중요한 취약점으로 구분하며 아래의 단계를 이용할 수 있다.
다만, 다음의 예시에 해당하는 미비점은 중요한 취약점으로 분류될 가능성이 있다.

• - 중요한 전기오류의 수정을 위하여 전기재무제표를 재작성한 경우
• - 회사의 내부회계관리제도에 의해 파악하지 못한 중요한 당기 수정사항으로서, 회사가 제시한 최초 재무제표에 반영되지 아니하였으나 감사인에 의하여 파악된 경우(최종 재무제표에 동 수정사항을 반영하였는지 여부는 관계없음) - 회사의 대외적 재무보고 및 내부회계관리제도에 대한 감사(위원회)의 감독기능이 효과적이지 않은 경우
• - 일부 고위경영자가 관련된 부정행위가 발견되었을 경우(금액크기에 불문함)

내부회계관리제도의 미비점을 분류할 때에는 일반적으로 재무제표에 미치는 영향의 크기와 같이 양적인 요소와 함께 질적인 특성을 고려하도록 한다.

감사는 외감법의 규정에 따라 내부회계관리제도의 운영실태를 평가하여 이사회에 매 사업연도마다 보고한다. 감사의 평가는 내부회계관리제도의 효과성에 대한 경영진의 평가결론이 외감법 및 모범규준에 따라 적정하게 수행되었는지의 여부에 대해서 독립적인 관점에서 평가하고 결론을 내리는 활동이다.

감사는 내부회계관리제도 운영 전반에 대한 개선 권고안을 제시함으로써 내부회계관리제도가 개선될 수 있도록 지원하기 위하여 일부 주요 통제에 대해서는 경영진 평가가 적정한지 독립적으로 평가할 수도 있을 것이다. 다만, 감사의 평가는 평가방법과 범위 등에 있어 경영진이 운영실태 보고를 위해 수행한 업무와 중복되지 않도록 하는 것이 바람직하다.

중소기업의 감사는 내부회계관리제도 평가보고서 상 기재되는 평가결론을 소극적인 확신(보통수준 또는 중간수준의 확신)의 수준으로 표명할 수 있다.
중소기업 감사의 내부회계관리제도 평가보고서는 모범규준 <첨부1>의 ‘2 상장중소기업 및 비상장대기업’의 운영실태 및 평가보고서 예시를 고려하여 작성한다.