주식회사 등의 외부감사에 관한 법률(이하 “외감법”이라 함) 제8조에서는 내부회계관리자가 매 사업연도마다 이사회 및 감사(위원회)에게 당해 회사의 내부회계관리제도의 운영실태를 보고하고, 감사(위원회)는 매 사업연도마다 내부회계관리제도의 운영실태를 평가하여 이사회에 보고하도록 규정하고 있으며, 모범규준에서는 경영진은 체계적이고 합리적인 평가 절차를 개발하여 내부회계관리제도를 평가하고 충분한 문서화를 통해 그 근거를 마련(모범규준 문단 31)하도록 하고 있다.

내부회계관리제도의 (삭 제) 평가 결과 식별된 내부회계관리제도 상의 미비점(또는 취약점)을 지속적으로 개선하는 과정을 통하여 회사는 재무제표의 신뢰성을 제고할 수 있을뿐만 아니라, 외부감사인이 수행하는 내부회계관리제도의 운영실태에 대한 검토를 위한 근거를 유지할 수 있다.

하향식 접근방법 또는 위험중심의 접근방법(Top-Down / Risk-Based Approach)의 적용 내부회계관리제도는 재무제표가 일반적으로 인정되는 회계처리기준에 따라 작성ㆍ공시되었는지 여부에 대한 합리적 확신을 제공하는 것을 목적으로 하기 때문에 재무제표 상의 모든 계정과목이나 회사의 모든 업무프로세스를 대상으로 하지는 않는다. 따라서 경영진은 중요한 재무제표 왜곡표시가 발생할 가능성이 상대적으로 높은 계정과목 및 주석정보와, 이와 관련된 업무프로세스나 거래유형에 집중함으로써 내부회계관리제도의 평가를 효율적이고 효과적으로 수행할 수 있다.

이러한 하향식 접근방법 또는 위험중심의 접근방법은 경영진이 회사의 사업 내용, 업무프로세스 및 회계처리에 대한 축적된 지식과 경험 및 판단을 합리적으로 활용하여 중요한 왜곡표시가 발생할 수 있는 위험이 존재하는 계정과목 및 주석정보를 파악한 후, 관련 업무프로세스 및 사업단위를 결정하고, 업무프로세스 및 사업단위에서 설계 및 운영되는 통제를 식별, 문서화 및 평가하는 방식으로 이루어진다.

또한 내부회계관리제도에 대한 외부감사인의 검토가 경영진의 내부회계관리제도 운영실태보고를 대상으로 하는 점을 감안할 때 회사의 위험평가결과를 외부감사인과 공유하는 것이 바람직하다

내부회계관리제도의 다섯 가지 구성요소(통제환경, 위험평가, 통제활동, 정보 및 의사소통, 모니터링)가 모두 내부회계관리제도의 평가 대상에 포함된다. 내부회계관리제도의 구성요소들은 전사적 수준과 업무프로세스 수준의 내부회계관리제도로 구분할 수 있으며, 일반적인 예시는 다음과 같다.

• -통제환경 : 조직 전반에 걸쳐 적용되는 윤리강령 등은 전사적 수준에 해당하고, 신규 입사자에 대한 신원조회는 업무프로세스 수준에 해당한다.
• -위험평가 : 감사(위원회)가 효과적이지 않을 위험에 대한 평가는 전사적 수준에 해당하고, 과잉재고로 인하여 재고자산이 적절한 가치를 반영하지 못할 위험에 대한 평가는 업무프로세스 수준에 해당한다.
• -통제활동 : 결산 절차의 일부분으로 수행하는 경영진의 검토는 전사적 수준에 해당하고, 은행 계좌와 회계 장부간 대사는 업무프로세스 수준으로 해당한다.
• -정보 및 의사소통 : 결산 시 미래 보증손실 금액을 예상하기 위한 정보는 전사적 수준에 해당하고, 기대 성과에 대한 구성원간의 의사소통은 업무프로세스 수준에 해당한다.
• -모니터링 : 내부감사기능이나 경영진의 자체평가절차는 전사적 수준에 해당하고 일상적인 업무의 일부로서 수행되는 관리자의 검토 및 승인절차 등은 업무프로세스 수준에 해당한다.

또한 재무제표에 중요한 왜곡표시를 초래할 수 있는 오류나 부정을 적절히 예방하고 적시에 발견하기 위해서는 내부회계관리제도가 효과적으로 설계되고, 설계된 내부회계관리제도가 효과적으로 운영되어야 하기 때문에 내부회계관리제도의 평가에는 설계의 효과성 및 운영의 효과성이 모두 포함된다.

내부회계관리제도의 평가 시에 적용되는 일반적인 절차는 다음과 같다(모범규준 문단 31.1).

• - 전사적 수준에서의 내부회계관리제도 고려
• - 유의한 계정과목 및 주석정보의 파악
• - 경영자 주장의 식별
• - 유의한 업무프로세스 파악 및 평가 대상 사업단위의 결정
• - 내부회계관리제도 설계의 효과성 평가
• - 내부회계관리제도 운영의 효과성 평가

1) 내부회계관리제도 관련 위험평가
앞 절에서 논의된 내용 중 ‘전사적 수준에서의 내부회계관리제도 고려’에서 ‘유의한 업무프로세스 파악 및 평가대상 사업단위의 선정’까지는 하향식 접근방법 또는 위험중심의 접근방법을 적용하여 재무제표의 신뢰성 확보에 부정적인 영향을 미칠 수 있는 위험을 식별하고 평가하기 위한 과정으로써, 내부회계관리제도에 있어 “위험평가”절차를 구성하게 된다. 이러한 위험평가절차는 일반적으로 내부회계관리제도의 설계를 최초로 문서화하는 단계와 매 평가기간 초반에 이루어지며, 합병이나 사업양수도 등으로 인한 사업단위의 변경, 중요한 신규 거래의 발생, 회계처리방법의 변경 등 중요한 변화가 발생한 경우에는 이러한 변화가 발생하였거나 경영진이 인지한 시점에 기존의 위험평가 결과가 적정한지를 재검토한다.

2) 내부회계관리제도의 효과성 평가
외감법에서는 내부회계관리자가 매 사업연도마다 이사회 및 감사(위원회)에 내부회계관리제도의 운영실태를 보고하도록 규정하고 있으며, 운영실태를 보고하기 위해서는 내부회계관리제도의 효과성을 평가하여야 한다. 일반적으로 내부회계관리제도의 평가는 중간평가와 기말평가 과정을 통해 이루어진다.

중간평가 및 기말평가
내부회계관리제도의 평가는 평가기준일 현재 내부회계관리제도가 효과적으로 설계ㆍ운영되고 있는지에 대한 합리적인 확신을 얻는 것을 목적으로 한다. 그러나, 재무제표에 기록된 거래는 회계기간 중 지속적으로 발생하기 때문에 충분한 기간에 대하여 평가하여야 하며, 일반적으로 평가기준일과 가까운 시기에 수행한다. 그러나 평가기준일과 가까운 시기에 모든 평가절차를 실시하는 것은 불가능하므로 당해 평가대상기간의 중간에 평가를 실시하고 기중에 평가된 중요한 통제 중 평가실시 이후 변경된 부분은 없는지, 기말 현재에도 여전히 효과적인지 등을 확인하여 평가절차를 간소화할 수도 있다(모범규준 문단 32~32.1).

또한 식별된 내부회계관리제도 상의 미비점(또는 취약점)을 개선하고 평가기준일 현재(또는 근접한 시점)의 재평가를 통해 내부회계관리제도의 평가 결론에 반영할 수 있도록 평가대상 기간 중간에 효과성을 평가하는 것이 일반적이다(“중간평가”).

그러나, 중간평가만으로는 평가기준일 현재의 내부회계관리제도의 효과성에 대해 합리적 확신을 제공하기에는 부족하기 때문에 중간평가 기준일 현재 내부회계관리제도의 효과성에 대한 평가 결론이 평가기준일 현재에도 여전히 유효한지를 확인하기 위하여 평가기준일 혹은 이에 근접한 일자에 추가적인 평가를 통해 보완하는 절차가 필요하다(“기말평가”). 이 경우 기말평가에서는 담당자와의 면담(질문)을 통해 내부회계관리제도 설계의 변경여부를 확인하고, 설계 상 변경이 없는 경우에는 운영의 효과성 평가를 위한 표본 수를 최소화하는 등 그 절차를 간소화하여 수행할 수 있다.

다만, 중요한 비일상적 거래와 관련된 통제와, 통제수행자의 주관적인 판단이나 추정에 크게 의존하는 통제 및 기말재무제표 작성절차 등은 평가기준일을 기준으로 테스트한다.

이상에서 논의된 중간평가 및 기말평가를 도해하면 다음과 같다. 경영진은 평가대상 통제로부터 독립된 위치에 있는 자를 평가자로 지정하여 평가를 수행한다(모범규준 문단 33). ‘독립된 위치에 있는 자’란 통제수행자가 소속된 해당 부서의 제3자를 포함한다. 경영진은 내부회계관리제도의 독립적인 평가를 위해 평가 시점마다 별도의 임시조직(Task Force팀 등)을 구성하거나, 일반 현업부서와는 독립적인 상시조직(예를 들어, 내부통제팀, 준법감시팀, 내부감사팀 등)을 통해 평가할 수도 있다.

그러나, 통제절차와 관련된 위험이 높지 않고, 상시적인 모니터링이 효과적인 것으로 판단된다면 낮은 수준의 독립성을 갖는 자를 평가자로 지정하는 것도 가능하며, 이때 평가대상 통제로부터의 평가자의 독립성 수준을 결정할 때에는 내부회계관리제도 각 구성요소나 해당 프로세스의 위험평가 결과 또는 각 통제의 중요성 등을 고려한다(문단 2.3.5 모니터링 (2) 내부회계관리제도의 설계 및 운영참조).

전사적 수준에서의 내부회계관리제도는 개별 업무프로세스 수준의 내부회계관리제도의 기반을 형성하며(모범규준 문단 34), 업무프로세스, 개별 거래 및 정보기술 응용통제 등에 영향을 미치고 경영진이 효과적인 내부회계관리제도를 유지ㆍ감독할 수 있도록 하는 체계적인 수단을 제공한다(모범규준 문단 34.1).

경영진은 주요 계정과목의 경영자 주장이 왜곡될 수 있는 위험을 적절히 예방 또는 적발할 수 있는 통제들을 식별하고 평가하는 과정에서 전사적 수준에서의 내부회계관리제도를 고려한다.

전사적 수준에서의 내부회계관리제도는 그 성격에 따라 다음과 같이 구분할 수 있다.

• - 간접 전사 통제(Indirect Entity-level Control) : 통제환경처럼 회사의 내부회계관리제도의 효과성에 전반적인 영향을 미치지만 중요한 재무제표 왜곡 표시의 발생을 예방 및 적발하는 데에는 간접적인 영향을 미치는 전사적 수준의 통제를 의미한다. 또한, 일부 간접 전사통제는 다른 통제의 효과성을 모니터링하는 기능을 수행하기도 하며, 이러한 간접 전사 통제가 효과적으로 운영되는 경우 모니터링의 대상이 되는 통제의 평가범위를 조정할 수 있다.
• - 직접 전사 통제(Direct Entity-level Control) : 재무제표와 관련된 경영자 주장이 왜곡될 위험을 적절히 방지하거나 적시에 적발할 수 있을 정도로 설계된 전사적 수준의 통제를 직접 전사통제라 한다. 따라서 직접 전사 통제가 특정 재무제표 왜곡표시 위험을 효과적으로 적발 또는 예방하고 있다고 평가된다면, 해당 위험과 관련된 업무프로세스 수준의 통제를 평가대상에서 제외할 수 있다. 예를 들어, 경영진이 기말 재무제표 작성절차(직접 전사 통제에 해당)를 통해 관련 왜곡표시 위험이 적절히 적발된다고 평가한 경우 동 위험과 관련된 업무프로세스 수준 통제의 식별 및 평가를 생략할 수 있을 것이다.

전사적 수준의 내부회계관리제도의 일반적인 예는 다음과 같다(모범규준 문단 34.1).

• - 통제환경 : 최고경영자의 의지 및 철학, 권한과 책임의 위임, 일관성 있는 정책과 절차 및 조직 전반에 걸쳐 적용되는 윤리강령, 부정방지 프로그램 등
• - 경영진의 권한 남용 및 통제무시 위험과 관련한 통제: 경영진이 내부통제가 존재함에도 불구하고, 권한을 남용하여 이를 무시할 위험을 줄일 수 있는 제도 및 관련 통제활동 등
• - 위험평가절차 : 내부회계관리제도 목적 상 위험평가절차는 유의한 계정과목 등의 선정, 업무프로세스와의 연계, 평가 대상사업부문의 선정 등으로 구성
• - 중앙집중적인 업무처리활동 및 통제활동 : 통합구매, 급여 계산, 자금 등 회사에 전반적인 영향을 미치는 업무처리활동 및 관련 통제활동
• - 영업성과에 대한 모니터링 : 경영진이 사업단위별 영업성과 및 재무제표, 또는 전사 재무제표에 대한 검토를 통하여 중요한 재무제표 왜곡표시를 사전에 예방하거나 적시에 발견할 수 있기 때문에 영업성과에 대한 모니터링은 전사적 수준의 내부회계관리제도로 구분됨
• - 통제활동에 대한 모니터링 : 내부감사 및 감사(위원회) 활동, 자체평가 프로그램 등은 전사적 수준, 현업부서의 일상적인 업무수행과정에서 수행되는 모니터링(경영진이나 중간관리자의 검토, 거래나 회계기록의 승인 등)은 업무프로세스 수준의 내부회계관리제도로 구분됨.
• - 재무제표 작성절차 : 업무프로세스 수준에서 이루어지는 모든 거래를 회사가 선택한 회계처리 정책에 의해 회계처리하고 각 사업부문에서 작성 및 제출되는 결산 관련 자료를 취합하는 등의 기말재무제표 작성절차는 전사적 수준의 내부회계관리제도로 구분되며, 일반적으로 아래의 내용이 포함됨(모범규준 문단 35).
  • 회계정책을 선택하고 적용하는 절차
  • 회계전표를 작성, 승인, 기록하고 총계정원장에 전기하는 절차
  • 결산 조정사항 및 수정사항의 반영절차
  • 재무제표 및 관련 주석사항의 작성절차
• - 이사회가 승인한 중요정책, 내부회계관리규정 및 조직 등 : 외감법의 규정에 따른 내부회계관리규정의 제ㆍ개정과 내부회계관리제도 관련 조직구조에 대한 승인 등

내부회계관리제도는 재무제표의 신뢰성에 대한 절대적인 확신(absolute assurance)이 아닌 합리적 확신(reasonable assurance)을 제공하는 것을 목적으로 한다. 따라서 경영진이 합리적인 확신을 갖기 위해 모든 계정과목 및 주석정보에 대해 내부회계관리제도를 파악하고, 설계 및 운영의 효과성을 평가하여야 하는 것은 아니며, 유의한 계정과목과 주석정보만을 대상으로 할 수 있다(모범규준 문단 36).

계정과목 및 주석정보가 개별적 또는 다른 계정과목이나 주석정보와 결합하여 재무제표의 중요한 왜곡표시가 합리적인 수준 이상으로 발생가능하다면, 이를 유의한 계정과목 및 주석정보(“유의한 계정과목 등”)라 한다(모범규준 문단 36.1). 유의한 계정과목 등을 식별할 때에는 양적 요소와 질적 요소를 함께 고려한다(모범규준 문단 36.2).

유의한 계정과목 및 주석정보를 식별함에 있어 특정 계정과목 혹은 사업단위가 양적 요소를 충족시키는 경우에도 회사의 사업 내용, 업무프로세스 및 회계처리에 대한 축적된 지식과 경험 및 판단을 합리적으로 활용하여 내부회계관리제도의 평가 범위에서 제외할 수 있다.

유의한 계정과목 등을 식별하기 위한 양적 요소는 계정과목의 규모를 고려하며, 일반적으로 “유의한 왜곡표시 금액기준”이 사용된다.
유의한 왜곡표시 금액기준을 결정하기 위하여 먼저 재무제표 수준에서 중요성 금액을 결정하며, 이를 기초로 내부회계관리제도의 문서화 및 평가대상에 포함될 계정과목을 식별한다.

중요성은 회계항목이 정보로 제공되기 위한 최소한의 요건으로, 특정 정보가 생략되거나 왜곡 표시된 재무제표가 정보이용자의 판단이나 의사결정에 영향을 미치는 정보를 중요한 정보라고 한다. 내부회계관리제도에도 이와 동일한 중요성 개념이 적용된다.

중요성 금액은 일반적으로 직전 평가기간의 세전순이익 또는 당해 평가기간 예상 세전순이익의 일정 비율로 결정한다. 다만, 회사의 과거 경험에 비추어 특정 평가기간의 중요성 금액을 결정하는데 사용하는 세전순이익이 비정상적인 규모라고 판단할 경우, 경영진은 비경상적이거나 비반복적인 성격의 항목을 고려하여 조정한 세전순이익을 사용할 수 있다. 한편, 세전순이익이 중요성 금액을 결정하는데 적절하지 않다고 판단하는 경우에는, 총자산 또는 영업수익(또는 매출액)을 이용할 수 있다. 경영진은 중요성 금액의 산출근거를 적절히 문서화 한다.

중요성 금액으로 총자산 기준을 사용하는 경우 총자산의 구성내용에 대한 검토가 필요한 경우도 있다. 예를 들어, 총자산 중 영업권 등 무형자산의 비중이 큰 경우 이를 포함한 중요성 금액이 회사의 규모 및 특성을 대표할 수 있는지 검토한다.

• - 직전 평가기간에 손실이 발생했거나 이익규모가 적은 경우(또는 당해 평가기간에 손실이 발생하거나 적을 것으로 예상되는 경우)
• - 사업 초기단계로서 세전순이익의 변동성이 크거나 빠르게 성장하는 경우
• - 영업활동이 거의 없는 회사의 경우
• - 세전순이익이 영업의 규모를 적절히 반영하지 못하는 경우

유의한 왜곡표시 금액기준은 유의한 계정과목 등을 식별하기 위한 양적 요소로 사용된다.
유의한 계정과목 등을 결정하기 위한 유의한 왜곡표시 금액기준은 내부회계관리제도 평가 과정에서 발견하지 못할 수 있는 미비점의 존재를 고려하기 위하여 중요성 금액의 일정 비율로 결정한다.

중요성 금액 또는 유의한 왜곡표시 금액기준을 설정한 이후, 평가시점에서 실제 재무상태나 경영성과가 크게 변동된 경우에는 그 변경을 고려한다. 예를 들어, 중요성 금액을 당해 평가기간의 추정 세전순이익에 의해 결정한 경우 평가시점의 실제 세전순이익이 추정금액과 크게 다르다면 중요한 변화로 판단할 수 있다.

유의한 계정과목 및 주석정보를 식별하기 위해 고려할 질적 요소는 다음과 같다(모범규준 문단 36.2).

• - 오류 또는 부정행위로 인한 손실발생가능성: 과거에 회계처리 상의 오류나 부정 등이 발생하였던 계정과목이나, 그 특성 상 오류 또는 부정으로 인한 손실이 발생할 가능성이 높은 계정과목(예를 들어, 현금, 재고자산, 유가증권과 관련된 계정 등)은 중요성 금액 또는 유의한 왜곡표시 금액기준 이하라 하더라도 내부회계관리제도의 평가범위에 포함할 것을 고려한다.
• - 계정과목 내 개별 거래의 규모, 복잡성, 동질성: 특정 계정과목이 다양한 거래와 관련하여 처리되거나, 관련 거래가 복잡할수록 그 계정과목(예를 들어, 복잡한 구조의 투자 상품)은 재무제표 왜곡표시를 야기할 위험이 크기 때문에 중요성 금액 또는 유의한 왜곡표시 금액기준 이하라 하더라도 내부회계관리제도의 평가범위에 포함할 것을 고려한다.
• - 계정과목의 고유 속성: 경영진을 포함한 구성원의 성과평가 또는 보상체계에 직접적으로 관련되는 계정과목이나 차입약정, 기타 경영상의 중요한 계약 조건 혹은 법규의 이행여부와 관련된 계정과목은 의도적인 재무제표 왜곡표시가 발생할 가능성이 상대적으로 높기 때문에 질적 요소로 고려한다.
• - 회계처리 및 보고의 복잡성: 회계처리 상 복잡한 추정이나 판단을 요하거나 불확실성이 높은 계정과목(예를 들어, 판매보증충당부채, 공사손실충당부채, 소송충당부채 등)은 계산상의 오류나 경영진의 의도적인 재무제표 왜곡표시가 발생할 가능성이 상대적으로 높다. 또한 과거에 회계처리상의 오류가 빈번하게 발생한 계정과목이나, 신규 또는 복잡한 회계처리의 영향을 받는 계정과목(특히, 당해 회계처리와 관련하여 다양한 해석이 존재하는 경우)은 재무제표 왜곡표시의 위험이 상대적으로 높기 때문에 질적 요소로 고려한다.
• - 우발채무의 발생가능성: 특정 계정과목과 관련되어 수행하는 업무프로세스에서 유의한 우발채무가 발생할 가능성이 높은 경우 양적 요소에 추가하여 고려한다.
• - 특수관계자 거래의 존재여부: 특수관계자와의 거래는 제3자와의 거래에 비하여 의도적인 재무제표 왜곡표시의 가능성이 상대적으로 높기 때문에 양적 요소에 추가하여 고려한다.
• - 계정과목 특성의 변동 여부: 당기 이전부터 계속 유의한 계정과목으로 분류된 계정과목의 금액이 당기에 중요성 금액 또는 유의한 왜곡표시 금액기준에 미치지 못하는 경우 계정과목 규모의 감소가 일시적인 것인지의 여부를 추가적으로 검토하고, 향후 지속적으로 양적 요소를 충족시키지 못할 가능성이 낮지 않은 경우에는 유의한 계정과목 등으로의 분류를 고려한다. 또한 새로운 거래유형의 발생 또는 새로운 회계처리기준의 도입 등 계정과목 특성의 변동여부를 고려한다.

업무프로세스는 자료 입력, 분류 및 합산, 계산, 거래 업데이트, 파일관리, 거래 생성, 취합 및 보고 등의 일련의 업무과정을 포함하며, 정보기술 환경에서는 마스터파일의 생성, 갱신 등의 활동을 포함한다(모범규준 문단 39).

신뢰할 수 있는 재무제표의 작성 및 공시를 위해서는 재무제표 작성 및 보고절차 뿐만 아니라 장부 상에 기록된 개별 거래들이 발생, 승인, 기록 및 처리되는 전반적인 과정이 중요하기 때문에 경영진은 내부회계관리제도의 설계 및 운영 시 회계나 경리 등 조직 내의 특정 부서 뿐만 아니라 회사의 유의한 업무프로세스를 포괄적으로 고려한다.

유의한 계정과목 및 주석정보, 그리고 이와 관련된 경영자 주장을 파악한 후 경영진은 해당 계정과목 및 주석정보에 영향을 미치는 주요 거래 유형별 유의한 업무프로세스를 파악한다(모범규준 문단 38).

유의한 업무프로세스 및 그 프로세스 내에서 수행되는 일련의 활동인 하위프로세스는 영위하는 사업의 내용이나 환경 등에 따라 회사마다 다를 수 있다. 예를 들어, 연구개발비 계정과 관련된 업무프로세스는 제조업(특히 첨단산업)의 경우에는 중요할 수 있으나 금융업을 영위하는 회사에서는 상대적으로 중요하지 않을 수도 있다.

유의한 업무프로세스라 하더라도 관련 하위프로세스를 모두 동일한 비중으로 고려하기보다는 각 하위 프로세스별 위험평가를 통해 내부회계관리제도 평가자, 평가방법, 테스트범위 및 시기 등을 적절히 조정하는 것이 바람직하다. 하위 프로세스의 위험평가 시에는 회사의 특성을 감안하여 계정과목과의 직접적인 연관성 정도, 업무처리의 복잡성 및 거래 빈도, 부정위험에 대한 노출 정도, 업무 담당자의 숙련도, 관련 정보시스템의 안정성, 우발채무의 발생가능성 등을 고려할 수 있다

기말재무제표 작성절차는 내부회계관리제도에서 차지하는 중요성으로 인해 항상 유의한 업무프로세스로 식별되어야 한다.

사업단위의 정의는 회사의 상황에 따라 달라질 수 있으며, 일반적으로 사업부문 또는 영업시설(예: 사업부, 생산설비, 판매조직) 등이 사업단위에 해당한다. 특정 단위조직의 사업목적, 업무프로세스, 전산환경 등이 타 조직과 독립적인 경우 별도의 사업단위로 본다. 복수의 사

업단위가 존재하는 경우 경영진은 각 사업단위의 재무적 비중 및 고유위험, 특수한 회계처리방법의 적용여부, 내부감사 또는 외부감사 결과 등의 과거경험, 사업환경의 변화 등 개별 사업단위가 지니는 상대적 중요성 및 위험을 고려하여 어느 사업단위가 평가대상에 포함되는지 결정한다(모범규준 문단 40, 복수의 사업단위 관련 고려사항은 별첨 6 참조).

평가 대상 사업단위 결정 시, 경영진은 각 사업단위의 재무제표 상 중요한 왜곡표시 위험을 고려해야 하며, 동 위험에 따라 사업단위 별로 평가절차를 달리할 수 있다. 예를 들어, 경영진은 개별적으로 또는 타 부문과 결합되었을 때, 재무제표 상 중요한 왜곡표시에 대한 합리적 가능성이 없는 사업 단위는 평가대상에서 제외할 수 있다.

경영진의 평가일 또는 그 전에 인수된 사업단위나 평가일 현재 사업폐지부문(매각, 중단사업 등)으로 반영된 사업단위는 평가대상에 포함한다.

회사가 재무제표 관련 자료 처리에 대한 서비스를 제공하는 서비스조직을 이용하고 있을 경우, 이러한 서비스 조직의 서비스와 관련된 통제의 책임은 경영진에게 있으므로 경영진은 서비스조직의 내부통제에 대한 평가를 고려한다(문단42).

서비스조직 감사인이 서비스조직의 통제 설계와 운영의 효과성 평가에 대한 보고를 경영진에게 제공한다면, 경영진은 이러한 보고서가 서비스조직의 통제 평가를 뒷받침하기에 충분한 증거를 포함하고 있는지 평가할 때 다음의 항목을 고려한다(문단 42.1).

• - 보고서 일자와 경영진의 평가 기준일간 차이여부
• - 보고서의 테스트 대상 범위와 테스트 방법
• - 서비스조직 감사인의 보고서 의견

보고서 일자와 경영진의 평가 기준일 사이에 유의한 차이가 있다면, 다음과 같은 추가 절차를 수행한다.

• - 보고서일 이후 서비스조직의 통제가 변경되었는지 확인한다.
• - 변경사항이 파악된 경우, 내부회계관리제도의 효과성에 미치는 영향을 평가한다.

서비스조직 감사인의 보고서를 제공받지 못하거나 추가적인 증거의 입수가 필요하다고 판단되면, 경영진은 서비스조직의 통제활동을 직접 테스트하는 등 추가적인 절차를 취하는 것을 고려한다.
경영진은 내부회계관리제도에 대한 평가결론을 표명할 때, 서비스조직 감사인의 보고서를 언급해서는 안된다

경영진은 다음 사항에 대한 충분한 문서화를 통해 내부회계관리제도 평가의 근거를 확보한다(모범규준 문단 31.2). 내부회계관리제도 설계의 문서화는 효과적인 내부회계관리제도의 설계 및 운영을 위하여 회사의 각 계층 및 기능별로 역할과 통제절차를 명확하게 이해하고 수행할 수 있도록 한다는 측면에서 매우 중요하며(모범규준 문단 14), 내부회계관리제도의 효과적인 운영 및 평가를 위한 출발점이 된다.

내부회계관리제도 설계의 문서화 시에는 다음의 사항들을 포함한다.

통제목표란 경영자가 수립한 목표로써, 통제목표가 달성되는 경우 식별된 위험을 허용가능한 수준으로 감소시킬 수 있다. 내부회계관리제도 목적 상으로는 유의한 계정과목 등에 내재된 경영자 주장 및 자산의 보호, 부정방지 등을 달성하는 것이 통제목표를 구성하게 된다. 위험이란 통제목표가 달성되지 않을 경우 재무제표 왜곡표시를 야기할 수 있는 가능성을 의미한다.

예를 들어, “실재성”이라는 경영자 주장과 관련되어 “퇴직자와 회사간의 채권채무는 모두 정산된다”라는 통제목표가 설정된 경우, 이 통제목표가 달성되지 않는 경우 퇴직자와의 채권이 모두 정산되지 않아 부실채권이 발생할 수 있는 가능성이 관련 위험이 된다. 통제목표 또는 위험만으로도 관련 위험 또는 통제목표를 유추할 수 있기 때문에 내부회계관리제도 목적 상 통제목표와 위험을 모두 문서화하는 것이 요구되지는 않으나, 통제목표 및 위험에 대한 구성원의 인지도를 높일 수 있는 등의 장점을 고려할 때 양자를 모두 내부회계관리제도 설계의 문서화에 포함하는 것이 바람직하다.

통제활동이란 통제목표를 달성하기 위해(또는 위험을 허용가능한 수준으로 감소하기 위해) 경영진이 수립한 정책이나 절차, 기법 및 체계 등을 의미한다. 특히, 내부회계관리제도와 관련해서는 회사의 재무제표를 일반적으로 인정된 회계원칙에 따라 작성 및 공시하는 목적을 달성하기 위한 정책이나 절차 등을 의미한다.

유의한 계정과목 등에 대한 경영자 주장 및 이와 관련된 유의한 업무프로세스가 파악되면, 경영진은 유의한 업무프로세스에서 재무제표 왜곡표시가 발생할 수 있는 위험을 관리하기 위한 통제활동을 식별하고 문서화한다.

통제활동은 회사 일상 업무의 일부가 되어야 하며, 개별 통제목표에 따라 그 형태 및 세부 운영수준은 다를 수 있지만 가장 일반적인 형태의 통제활동의 예는 다음과 같은 것이 있다(모범규준 문단 20).

• -경영진의 검토
  최고경영진은 다양한 업무활동에 대한 정책 및 절차를 수립할 뿐만 아니라 회사의 모든 분야에서 이들 정책과 절차가 준수되도록 하고 기존정책과 절차가 적정한지 주기적으로 평가한다. 또한 성과보고서(예산대비실적보고서 등)를 통해 경영 목표의 달성 정도를 점검하는 과정에서 관리자와의 질의 및 응답을 통해 통제의 취약점이나, 재무제표 왜곡표시의 가능성을 파악한다.
  경영진 수준에서 이루어지는 검토는 중간관리자의 검토보다는 상대적으로 그 범위는 넓으나 세부적인 사항을 포함하지는 않는 것이 일반적이기 때문에 그 자체만으로 통제목적을 달성하기에는 충분하지 않으며, 업무프로세스 수준에서 이루어지는 통제활동을 보완하는 기능을 수행한다.
• -중간관리자의 검토
  각 기능별 또는 조직별 중간관리자는 정기적으로 각 기능별ㆍ활동별 성과보고서를 검토한다. 이러한 검토는 경영진의 검토보다 상세한 수준에서 더 짧은 주기로 수행한다.
• -정보처리과정의 통제
  정보의 정확성, 완전성, 적절한 승인 여부를 확인하기 위해 다양한 통제를 활용한다. 예를 들어, 자료의 정확한 입력여부에 대한 확인, 입력된 자료와 처리된 자료의 일치여부를 확인할 수 있는 사후 검증절차가 수립되어야 하며, 예외사항 발견 시 상위 관리자에게 즉시 보고되어 적절한 후속조치가 이루어지도록 한다.
• -물리적 통제
  유형자산, 재고자산, 유가증권, 현금 등 회사의 자산은 물리적으로 보호되며, 주기적인 실물확인 절차를 통하여 장부상 보고되는 금액과의 일치여부가 확인된다. 이러한 통제활동은 경영진의 부정방지 프로그램과도 연관된다.
• -성과지표의 분석
  경영진은 재무제표의 중요한 왜곡표시를 방지ㆍ적발하기 위해 성과지표(반품비율 등과 같이 회사의 목표달성을 위해 계속적ㆍ주기적으로 수집되는 계량적 측정 지표를 말함) 상 예기치 못한 결과나 비정상적인 추세를 분석함으로써 재무제표의 왜곡이 발생할 위험이 있는 분야를 식별하고 필요한 경우 개선할 수 있다. 이는 위에서 설명된 경영진의 검토나 중간관리자의 검토의 일부분으로 수행 되기도 한다.
• -업무의 분장
  구성원들이 업무를 수행함에 있어 잠재적인 이해상충이나 실수 또는 부적절한 행위가 발생할 위험을 감소시키고 적시에 발견하기 위해 업무는 적절히 분장되어야 하며, 그러한 위험이 높은 업무분야를 파악하여 지속적으로 모니터링한다. 예를 들어, 외상매출거래의 경우 거래자체의 승인과 거래의 기록, 관련 자산의 취급에 대한 권한과 책임을 구분하여, 거래를 승인하는 관리자에게는 매출채권 계정의 관리나 현금회수활동과 관련된 권한과 책임을 부여하지 않는다.

하향식 접근방법 또는 위험중심의 접근방법(Top-Down Approach or Risk-Based Approach)을 적용하는 경우 내부회계관리제도의 문서화 및 평가범위는 재무제표 상 유의한 계정과목 등을 선정한 후, 관련된 업무프로세스와 연계하고, 관련 경영자 주장을 식별하는 방식으로 결정된다. 식별된 유의한 계정과목 등과 관련된 경영자 주장은 통제목표 등의 형태로 표현되며, 통제목표 또는 위험과 함께 동 계정과목과 관련된 경영자 주장을 내부회계관리제도 문서화 내용에 포함한다. 재무제표에 대한 경영자 주장은 실재성, 권리와 의무, 발생사실, 완전성, 평가, 측정, 재무제표 표시와 공시(적용해설서 3.5참조) 등이 있으며, 이외에 자산보호, 부정방지 등이 내부회계관리제도 목적 상 경영자 주장을 구성할 수 있다.

통제유형, 수행빈도 등 통제의 속성은 내부회계관리제도 운영 효과성 평가의 방법 및 범위 등을 결정하는 요소가 될 뿐만 아니라, 설계의 효과성 평가에도 영향을 미칠 수 있기 때문에 식별된 통제활동에 대한 속성을 파악하여 문서화한다. 즉, 통제유형(예를 들면, 자동화된 통제와 수작업 통제)과 수행빈도는 운영효과성 평가를 위한 테스트 절차 및 표본 수 결정 시 고려되며(적용해설서 “3.9 내부회계관리제도 운영의 효과성 평가” 부분 참조), 통제활동이 통제목표를 달성하기에 충분한 빈도로 수행되지 않는다면(예를 들어, 은행의 예금잔고와 장부의 일치여부를 확인하는 절차가 연 1회만 수행되는 경우 등) 설계 상의 미비점이 될 수도 있다.

1) 통제유형

• -예방통제와 적발통제(Preventive/Detective)
  재무제표의 왜곡표시를 야기하는 오류나 부정의 발생을 사전에 예방하기 위한 통제활동을 예방통제(예: 거래의 사전 승인, 자산에 대한 물리적 접근통제, 전산시스템에의 논리적 접근통제, 업무분장 등), 오류나 부정이 이미 발생하여 이로 인해 재무제표의 왜곡표시를 가져올 것으로 예상되는 경우 당해 오류나 부정을 적발하는 것을 목적으로 하는 통제활동을 적발통제(예: 중간관리자의 검토, 실물자산 실사, 매출채권/은행 거래 조회 등)라 한다.
  효과적으로 설계된 내부회계관리제도는 각 업무프로세스별 통제목표 달성을 위한 예방통제와 적발통제가 적절히 결합되어 있어야 한다(모범규준 문단 48). 예를 들어, 승인받지 않은 자금거래의 발생을 방지하기 위한 예방통제(통장과 인감보관 기능의 구분 등)없이 주기적으로 예금잔액을 확인하는 절차(적발통제)만으로는 실재성, 완전성 등 예금계정에 대한 경영자의 주장을 만족시키기에 충분하지 않을 수 있다.
• -자동화된 통제와 수작업통제(Automated/Manual)
  정보기술 응용통제 등 전산을 통해 자동으로 수행되는 통제는 자동화된 통제(예: 신용한도를 초과한 주문에 대한 전산을 통한 주문 입력 통제), 수작업으로 수행되는 통제(예: 은행잔고와 회사 장부 상예금잔액의 대사)는 수작업통제로 분류한다.

2) 수행빈도
수행빈도는 실제 업무에서 통제활동이 수행되는 주기 또는 빈도를 의미하며, 일별 수시(More than Daily), 일별, 주별, 월별, 분기별, 반기별, 연간 또는 수시(Event Driven: 특정한 주기없이 거래 발생시마다 이루어지는 통제. 예: 고정자산 취득 또는 처분의 승인) 등으로 구분될 수 있다.
수행빈도는 거래규모, 거래 또는 통제의 속성, 회사의 인력구성 등을 고려하여 경영진이 합리적으로 결정할 수 있으나, 부정이나 오류에 의한 재무제표 왜곡표시를 적절히 예방 또는 적발하기에 충분한 빈도 또는 주기로 수행되어야 한다.

전사적 수준의 내부회계관리제도는 회사 전반 또는 복수의 업무프로세스에 영향을 미치며, 내부회계관리제도의 기반을 형성하게 한다. 전사적 수준의 내부회계관리제도는 일반적으로 내부회계관리제도의 구성요소 중 통제활동을 제외한 통제환경, 위험평가, 정보 및 의사소통, 모니터링에 대하여 경영자의 통제목표를 확인하고, 각각의 통제목표를 달성하기 위한 내부회계관리제도의 파악 및 문서화하는 절차로 이루어진다.

부정방지 프로그램과 관련된 내부회계관리제도는 전사적 수준 및 프로세스 수준의 내부회계관리제도에 모두 포함될 수 있으며, 전사적 수준과 관련된 부정방지 프로그램에는 다음과 같은 내용이 포함될 수 있다.

• - 감사(위원회) 및 이사회의 감독 기능
• - 윤리강령의 제정 및 준수에 관한 사항
• - 회계처리, 회계감사 및 내부회계관리제도 등과 관련한 예외사항에 대한 처리절차(예: 경영자가 내부회계관리규정을 위반하여 회계정보의 작성, 공시를 지시하는 경우에 있어서의 구성원의 대처방법 등)
• - 부정사건(회사 재산의 횡령, 유용 등)에 대한 내부고발자제도
• - 발견 또는 제보된 부정사건의 조사 및 징계에 관한 사항

전사적 수준의 내부회계관리제도의 파악 및 문서화에는 각 구성요소별로 참고할 수 있는 항목들을 예시한 별첨 1의 질문서를 활용할 수 있다. 본 질문서는 전사적 수준의 내부회계관리제도와 관련된 항목들을 모두 포괄하거나, 모든 회사가 반드시 갖추어야 항목들을 나열한 것은 아니며, 회사의 업종, 규모, 기업문화 등을 고려, 경영자의 합리적인 판단에 근거하여 개별 기업별로 적절히 수정하여 적용할 수 있다.

전사적 수준의 내부회계관리제도는 재무제표의 각 계정과목과는 직접적인 연관관계가 적은 것이 일반적인 반면, 업무프로세스 수준의 내부회계관리제도는 개별 거래가 실제로 발생, 기록, 처리 및 보고되는 과정에 대한 통제절차로 구성되어 재무제표의 계정과목에 직접적인 영향을 미치게 된다.

내부회계관리제도 및 관련 통제절차의 문서화 범위에는 다음과 같은 내용이 포함되며, 문서화 시에는 업무기술서 및 업무흐름도, 업무분장표, 통제기술서 등을 활용할 수 있다(모범규준 문단 43).

• - 유의한 계정과목에 대한 경영자 주장과 관련된 통제 설계
• - 부정을 적발하거나 예방할 수 있는 통제 설계
• - 재무제표 작성절차에 대한 통제 설계
• - 자산의 보호를 위한 통제 설계

내부회계관리제도 설계의 문서화 목적 상 거래의 흐름을 파악하기 위한 업무흐름도와 업무프로세스 수준에서의 통제목표(또는 위험), 통제활동, 경영자주장, 관련 계정과목 등을 일목요연하게 정리할 수 있는 통제기술서를 일반적으로 사용하며, 내부회계관리제도 설계의 문서화를 유형별로 살펴보면 다음과 같다.

업무기술서는 각 업무프로세스에서 수행되는 업무의 내용을 설명형식으로 기술한 문서로 업무의 출발점, 수행되는 업무처리절차 및 통제의 내용, 관련 서류 등을 명확하게 기술한다. 업무흐름이 단순하여 설명형식으로 기술하기에 용이할 때 이용할 수 있는 방법이다.

업무기술서는 업무프로세스에서 수행되는 업무, 통제 및 관련 문서 등을 시간의 흐름에 따라 순차적으로 표현할 수 있는 장점이 있다. 반면, 기술된 통제의 내용을 관련 통제목표나 경영자 주장 및 재무제표 계정과목 등과 연계시키기가 어려운 단점이 있기 때문에 내부회계관리제도의 문서화 목적 상업무기술서만으로는 충분하지 않을 수 있으며, 일반적으로는 아래에서 설명될 통제기술서 상의 “회사 현황” 등의 형태로 포함된다.

업무흐름도는 조직 내에서의 업무흐름 및 제반 문서 등을 도식적ㆍ동태적으로 표현하기 위한 것으로 주로 하위프로세스 단위로 작성된다. 업무흐름도에는 업무분장, 검토 및 승인, 전산 응용통제 등 업무프로세스와 관련된 제반 통제를 적절히 표시하며, 필요한 경우 몇 개의 하위프로세스를 통합하거나 하나의 하위프로세스를 세분하여 작성할 수 있다.

업무흐름도를 통해 업무프로세스 내에서 발생 가능한 위험 및 관련 통제 등을 쉽게 파악할 수 있는 장점이 있으나, 업무기술서와 마찬가지로 그 자체만으로는 통제목표나 경영자 주장 및 재무제표 계정과목 등과 연계시키기가 어려운 단점이 있기 때문에, 일반적으로는 아래에서 설명될 통제기술서를 보완하는 목적으로 활용된다.

상충되는 업무의 적절한 분장은 오류 및 부정을 사전에 예방하고 적시에 발견할 수 있는 강력한 통제수단이 된다. 업무분장표는 업무프로세스 내에서 거래의 승인기능, 자산의 보관기능 및 회계기능 등 상충되는 업무가 적절히 분장되었는지의 여부를 확인하는데 유용하게 활용될 수 있으나 그 자체로 내부회계관리제도의 문서화 목적을 모두 충족시키기는 어렵고, 또한 반드시 요구되지는 않는다. 즉, 업무분장표를 별도로 작성 및 유지하는 것이 권장될 수는 있지만, 업무분장과 관련된 내용을 통제기술서 등 타 문서에 충분히 기술하고, 내부회계관리제도 설계 및 운영의 효과성 평가 시 그 적정성을 검토하는 경우 업무분장표를 별도로 작성하지 않을 수 있다.

통제기술서는 업무프로세스 내의 하위프로세스별 통제목표 또는 위험과 이를 관리하기 위한 통제활동 및 경영자 주장, 통제 유형 및 수행빈도 등을 일목요연하게 표현하는데 매우 유용하며, 내부회계관리제도 문서화 목적으로 널리 사용된다.

특히, 통제기술서 상에 각각의 통제활동과 관련되어 실제로 회사가 수행하는 절차(“회사 현황”)를 구체적으로 기술함으로써 내부회계관리제도 설계의 효과성 평가 결과에 대한 근거를 동시에 구비할 수 있으며, 통제활동의 유형 및 수행빈도 등은 운영의 효과성 평가를 위한 테스트절차를 개발하기 위한 근거로 활용될 수 있다.

경영진은 내부회계관리제도가 재무제표의 중요한 왜곡표시를 초래할 수 있는 오류나 부정을 예방하고 적시에 적발할 수 있도록 설계되었는지 여부를 판단하기 위해 내부회계관리제도 설계의 효과성을 평가한다. 이러한 평가는 전사적 수준과 업무프로세스 수준의 내부통제 설계에 대한 평가 등으로 구성된다. (모범규준 문단 44).

경영진이 내부회계관리제도 설계의 효과성 평가 시 고려할 사항은 다음과 같다.

• - 업무프로세스 내의 통제가 재무제표에 대한 경영진의 주장 및 통제목적을 효과적으로 달성하고 위험을 감소시키고 있는지 여부
• - 통제의 수행 빈도(통제가 시기 적절하게 식별된 위험을 적발하거나 예방할 수 있는지 여부)
• - 통제 수행자의 지식과 경험
• - 통제되는 프로세스와 관련된 업무 분장
• - 통제수행과정에서 식별된 예외사항의 적시 처리 여부
• - 통제를 수행하는데 사용된 정보의 신뢰성
• - 통제가 수행된 기간(Period covered by the control)

경영진은 내부회계관리제도 설계의 효과성을 평가하기 위하여 추적조사, 질문, 문서검사와 같은 방법을 사용할 수 있으며, 평가자는 한 가지 방법을 단독으로 적용하거나 여러 방법을 조합하여 적용함으로써 내부회계관리제도 설계의 효과성에 대한 합리적인 확신을 얻을 수 있다(모범규준 문단 49).

이중 추적조사(Walkthrough)는 내부회계관리제도 설계의 효과성 평가에 있어서 매우 효과적인 방법이다. 추적조사는 거래 유형별로 1~2개의 거래를 표본으로 추출하여 거래의 시작에서 종료까지 회계장부나 증빙서류 등의 거래 증적에 따라 거래 흐름을 추적하고 관련된 통제활동을 파악하는 것이다.

추적조사를 통해 회사는 업무기술서나 업무흐름도를 보완할 수 있으며 부수적으로는 관련 통제활동이 효과적으로 운용되고 있는지에 대한 증거를 수집할 수 있다(모범규준 문단 49.1).

경영진은 내부회계관리제도 최초 문서화 과정에서 설계에 대한 평가를 수행할 수 있다. 이후 주기적인 설계 효과성 평가시에는 통제활동에 대한 회사의 현황을 기술내지는 점검함으로써, 설계 평가를 할 수 있다.

재무제표 왜곡표시 위험의 예방 또는 적발에 대한 합리적인 확신을 제공할 수 있는 통제를 주요 통제라 한다. 경영진이 주요 통제를 식별하기 위하여 통제의 우선순위를 부여하는 것은 주의 깊은 사고와 판단을 요구한다.

다음과 같은 특성을 지니고 있는 통제가 주요통제로 결정될 수 있다.

• - 재무제표 왜곡표시 위험을 줄이는데 가장 직접적인 영향을 미치는 통제 → 이는 어떤 다른 통제보다도 회사가 내부회계관리제도의 효과성을 확신하기 위해 가장 우선적으로 고려하는 통제이다. 재고자산의 실재성과 관련한 경영진 주장을 만족시키기 위한 재고자산에 대한 강력한 물리적 보안 통제나 정기적인 실사를 예로 들 수 있다.
• - 하나 또는 그 이상의 유의한 계정과목, 거래유형과 공시사항의 왜곡표시 감소 및 재무제표에 대한 경영자 주장의 궁극적인 달성을 위한 통제 → 이러한 통제를 주요 통제로 선정하는 이유는 중요한 재무보고에 대한 주장과 관련된 통제에 대하여 테스트를 집중하여 평가를 효율적으로 수행하기 위함이다.

경영진은 구체적인 테스트 계획을 검토하고 승인한다. 다양한 이해 관계자의 검토와 승인을 용이하게 하기 위해 테스트와 그 결과를 일정한 형식에 따라 문서화하도록 테스트 계획을 수립하는 것이 바람직하다.

테스트 계획은 테스트 대상 주요 통제를 포함하고, 다음과 같은 요소를 포함하여 수립하는 것이 바람직하다.

• - 테스트 방법 : 테스트는 질문, 관찰, 문서 검사, 재수행의 방법을 이용한다.
• - 테스트 범위 : 통제 테스트 시 고려할 표본의 수를 결정한다.
• - 테스트 수행 시기 : 중간평가가 어떤 기간을 대상으로 언제 수행될 것인지, 그리고 중간평가 이후 기말까지 기간에 대한 기말평가 계획을 포함한다.
• - 기타 문서화 : 테스트 계획에는 테스트 수행자, 수행될 테스트 절차, 테스트를 통해 확인될 재무제표 주장, 어떠한 관련 증거가 검토되어야 하는지를 포함한다.
• - 예외사항 처리 : 테스트 계획에는 어떻게 예외사항이 조사되고, 파악되며, 언제 추가적인 테스트가 수행될 것인지를 설명한다.

단, 다음과 같은 상황이 발생하는 경우 테스트 계획을 수립함에 있어 평가 대상 통제의 수를 확대할 것을 고려하여야 한다.(모범규준 문단 52)

• - 전사적 수준 또는 업무프로세스 수준의 통제설계가 비효과적인 것으로 평가된 경우
• - 정보기술 일반통제의 설계가 비효과적인 것으로 평가된 경우
• - 재무제표작성 통제설계가 비효과적인 경우
• - 상시적인 모니터링을 수행한 결과 내부회계관리제도가 비효과적이라고 판단되는 경우 등

내부회계관리제도 구성요소, 업무프로세스 또는 하위프로세스의 중요도에 따라 운영의 효과성 평가시 평가자, 평가주기 등을 유연하게 적용할 수 있다.
예를 들어, 사례 3-2에서 수행한 위험평가 결과 “상”으로 분류된 하위프로세스에 해당하는 주요 통제의 경우 평가대상 통제로부터 독립된 위치에 있는 자가 평가를 수행하는 것이 바람직하다.
위험평가 결과 “중”으로 분류된 하위프로세스의 경우 통제업무 수행자에 의한 자체평가를 수행하고 이를 독립된 위치에 있는 자가 검증하는 방식을 채택할 수 있다.

또한, 위험평가 결과 “하”로 분류된 하위프로세스의 경우 자체평가로 종료할 수 있다. 다만, “하”로 분류된 하위프로세스의 경우 직전 평가기간의 평가 결과 미비점(또는 취약점)이 발생하지 않은 경우 당해 기간의 평가 대상에서 제외할 수 있다.
경영진은 주요 통제에 대한 운영의 효과성에 대한 결론을 형성하기 위하여 증거를 수집해야 하며, 이 때, 관련 계정과목 등의 고유 위험 및 통제 위험이 높을수록 더욱 설득력 있는 증거가 필요하다. 증거의 설득력은 테스트의 방법, 범위 및 시기와 관련이 있다.

1) 계정과목 등의 고유 위험
계정과목 등의 고유 위험은 해당 계정과목 등의 크기와 왜곡 표시 위험으로 구성된다. 즉, 관련 계정과목 등의 금액이 중요하거나, 왜곡 표시 위험이 높을수록 보다 설득력 있는 증거가 필요하다. 왜곡 표시 위험은 다음과 같은 요소의 영향을 받는다.

• - 계정과목 등의 금액을 결정하는데 필요한 판단의 정도
• - 부정 발생의 가능성
• - 복잡한 회계 처리 필요 여부
• - 계정과목 등을 구성하는 거래의 성격 또는 규모의 변경 여부
• - 기술적, 경제적 발전과 같은 환경적 변화에 대한 민감도

2) 통제 위험
통제위험은 다음과 같은 통제 자체의 특성에 영향을 받는다.

• - 통제의 유형(수작업 통제 또는 자동화된 통제)과 수행 빈도
• - 통제의 복잡성
• - 경영진의 권한남용으로 인한 통제무시 위험
• - 통제활동의 수행에 필요한 판단의 정도
• - 통제를 수행하는 인력의 역량
• - 통제를 수행하는 핵심 구성원의 변동
• - 통제가 예방 또는 적발하고자 하는 왜곡표시의 성격과 중요성
• - 통제가 다른 통제활동의 효과성에 의지하는 정도(예를 들어, 정보기술 일반통제)
• - 과거 연도 통제 운영의 효과성 평가 결과
• * 높은(낮은) 증거량: 테스트 방법, 범위, 시기를보다 높은(낮은) 확신이 부여될 수 있도록 고려했을 때의 증거를 의미함.

네 가지의 기본적인 테스트 방법이 있으며 단지 하나의 방법만을 사용하는 것보다 두 가지 이상의 테스트를 결합하는 것이 더 큰 확신을 부여한다. 계정과목이나 공시사항, 업무프로세스가 중요할수록 두 가지 이상의 방법을 사용하여 증거를 입수하는 것이 바람직하다. 또한 통제의 성격에 따라 수행되어야 할 테스트 방법을 적절히 선정한다.

질문은 그 자체로는 통제 운영의 효과성에 대한 충분한 증거를 제공하지 않는다. 통제의 관찰은 질문보다 더 높은 수준의 확신을 제공하며 이는 자동화된 통제를 확신하기 위한 적합한 방법이다. 문서검사는 수작업 통제(예를 들어, 예외사항 보고서에 대한 후속조치, 승인 등)가 적절히 수행되는 지를 결정하기 위해 이용될 수 있다. 특정 통제의 재수행은 가장 높은 수준의 확신을 제공하며 대부분의 수작업 통제는 위의 네 가지 방법을 적절히 결합하여 테스트한다.

운영의 효과성 테스트의 범위를 결정할 때는 해당 통제가 수작업통제인지 자동화된 통제인지 여부 등 다양한 요소를 고려한다(모범규준 문단 53).

1) 자동화된 통제의 테스트
자동화된 통제의 경우, 정보시스템 일반 통제가 테스트되어 효과적이라고 검증되었다면, 하나 또는 적은 양의 표본에 대한 테스트를 통하여 운영의 효과성을 확인할 수 있다. 대표적인 자동화된 통제의 사례는 특정 시스템에 데이터 입력할 때 사용되는 편집체크(Edit check)이 다. 편집체크 기능은 허용 가능한 입력값의 특성(문자, 숫자, 날짜 등)을 사전에 정의하고, 유효하지 않은 입력값이 입력되지 않도록 방지한다. 이러한 통제의 운영의 효과성을 테스트하기 위해서는 유효하지 않은 가격의 조합을 입력하여 입력이 가능한지 여부에 대해 확인하는 방법이 있다.

2) 수작업 통제의 테스트
수작업 통제는 자동화된 통제보다 더 넓은 범위의 테스트를 요구한다. 즉, 각 거래가 발생할 때마다 운영되는 수작업 통제의 경우에는 통제가 효과적으로 운영되고 있는지에 대한 높은 수준의 확신을 얻기 위하여 충분한 기간에 대해 다수의 테스트를 수행할 필요가 있다.

수작업 통제를 테스트하기 위해서는 질문, 관찰, 문서검사, 재수행 등의 방법을 사용할 수 있다. 평가자는 이 중 한 가지 방법을 단독으로 적용하거나 여러 방법을 조합하여 적용함으로써 내부회계관리제도 운영의 효과성에 대한 합리적인 확신을 얻는다(모범규준 문단 54). 테스트가 유효하게 이루어지기 위해서는 표본조사 방법으로 검증이 필요하다.

표본조사의 방법을 적용하는 경우, 경영진의 표본에서는 예외사항이 발견되지 않았을 지라도 그 통제가 항상 효과적으로 운영되지는 않을 수 있는 고유 위험이 존재한다. 경영진은 테스트를 수행함에 있어 통계적인 표본조사 방법을 적용하지 않더라도 통계적인 표본조사 개념(Concept)을 적용하여 적절한 테스트를 수행함으로써 발생 가능한 표본 위험을 감소시켜야 한다.

통제활동의 빈도가 많아질수록(모집단의 규모가 커질수록) 표본 위험은 증가하므로 테스트의 범위는 증가된다. 예를 들면, 연 1회 발생되는 수작업 통제의 경우는 모집단이 1개 뿐이므로 전체에 대해 테스트를 수행하고, 분기별로 수행하는 수작업 통제의 경우는 총 4개의 모집단에서 2개 정도의 표본을 선택해서 테스트를 수행한다. 월 1회 발생되는 수작업 통제의 경우는 총 12개의 모집단에서 2~5개 정도의 표본을 선택해서 테스트를 수행한다(여기서 2~5개로 표시한 이유는 위험이 더 높다고 판단되는 경우는 표본 수를 더 늘릴 수 있기 때문이다). 마찬가지로 주단위로 수행되는 수작업 통제의 표본테스트 범위는 증가될 것이다. 월별 계정잔액 대사나 특정기간의 재무보고절차에 대한 통제와 같이 발생 빈도가 낮은 통제의 경우 적은 수의 표본을 테스트하므로 이러한 통제에 대한 평가는 자주 운영되는 통제에 대한 테스트보다 주의 깊게 이루어져야 한다.

테스트 범위는 경영진의 판단과 테스트를 통해 얻고자 하는 확신의 수준(Level of Assurance)에 영향을 받는다. 즉, 경영진이 판단한 테스트 대상 통제의 중요성과 부여하고자 하는 확신수준에 따라 표본의 수가 달라진다. 더 적은 수의 표본이 테스트될수록 잘못된 결론에 도달할 위험이 증가한다. 그러므로 매우 중요한 통제(예를 들어, 복수의 경영진 주장과 관련된 통제나 기말 시점의 적발 통제는 예방 통제보다 더 중요할 수 있다) 또는 중요한 계정과목에 대한 재무제표 주장을 뒷받침하는 유일한 수작업 통제인 경우에는 경영진은 표본의 크기를 증가시켜야 한다.

3) 수작업 통제와 자동화된 통제의 구분
대부분의 경우에 통제가 수작업 통제인지 자동화된 통제인지를 명확하게 구분할 수 있다. 그러나, 테스트를 처음 수행할 경우 이 구분이 혼란스러울 수 있다. 어떤 통제의 경우 자동화된 절차에 따라 통제가 이루어지나, 통제의 핵심적인 부분은 수작업으로 이루어지는 경우가 있다. 예를 들어, 매입과 관련된 통제 중 시스템상에서 입고보고서, 구매주문서와 세금계산서를 상호 대사한 결과 예외사항이 발견될 경우 시스템에서는 자동적으로 예외사항보고서를 생성하게 된다. 매입채무를 담당하는 부서는 이러한 예외사항에 대해 검토하고 차이를 해결하게 된다. 이 통제는 (1) 자동화된 상호대사절차와 (2) 매입채무 담당부서의 수작업검토라는 두 가지로 구성되어 있다. 따라서 상기 통제의 경우 자동화 된 통제와 수작업 통제를 구분하여 적절한 테스트의 지침에 따라 평가한다.

1) 중간평가
내부회계관리제도의 효과성을 평가하기 위해 통제의 테스트를 평가기준일에 일괄적으로 수행하는 것이 현실적으로 불가능하며, 또한 식별된 내부회계관리제도 상의 미비점을 개선하고 평가기준일 현재 재평가를 통해 내부회계관리제도 평가 결론에 반영할 수 있도록 평가기간 중간에 내부회계관리제도의 전반적인 효과성을 평가하는 것이 일반적이다(중간평가).

2) 기말평가
기말평가란 (기말)평가기준일 이전에 중간평가를 실시한 경우에 중간평가의 결론이 평가기준일 현재에도 여전히 유효한지를 확인하기 위해 중간평가일부터 평가기준일까지의 기간에 대해 추가적인 평가를 실시하는 것을 말한다. 단, 기말재무보고와 관련된 통제의 경우 기말평가 기준일 시점에 해당 통제의 효과성 평가가 불가능하기 때문에 기말평가 기준일 이후에 실시한다. 경상적으로 발생하는 거래에 대한 통제는 기중에 평가하고, 비경상적이거나 판단을 필요로 하는 거래와 관련된 통제는 기말 시점에 근접하여 평가하도록 계획할 수 있다. 이 경우, 중간평가 결과는 외부감사인의 검토나 미비점의 개선 및 이행에 필요한 기간 등을 감안하여 기중의 특정일자(예를 들어, 3분기 말)까지 완료하는 것이 바람직하다. 특정일자 이후 평가기준일 시점까지 통제활동의 효과성이 유지되는지 확인할 때 다음의 사항을 고려 한다.

• - 지속적인 자가평가 결과 또는 모니터링의 효과성
• - 통제활동에 영향을 주는 요인에 변경이 발생하였는지 여부

경영진의 입장에서 중간평가의 결과를 가능한 많이 활용하기 위해서는 기말평가 대상기간이 짧은 것이 유리하며, 기말평가 대상기간이 지나치게 긴 경우에는 중간평가 결과의 활용이 불가능하게 된다.
즉, 기말평가 대상기간이 지나치게 길다면 중간평가 여부에 관계없이 중간평가일로부터 평가기준일 까지의 기간에 대하여 평가를 다시 수행한다.
기말평가는 통제의 계속성 여부에 대한 질문, 통제수행여부에 대한 관찰, 추가적인 추적조사 및 주요통제에 대한 추가적인 문서조사 등의 방법을 통해 이루어진다.

수작업 통제의 효과성에 대한 기말평가
경영진은 중간평가를 수행한 수작업 통제의 평가기준일 현재 운영의 효과성을 확인할 때 다음의 사항을 고려하여 추가적인 증거의 성격과 범위를 결정한다.

• - 평가기준일 이전에 테스트된 통제와 테스트 결과 - 즉, 중간평가 결과 특정 통제가 효과적으로 운영되지 않을 경우 통제상 미비점을 수정하고 기말평가시 표본 수를 확대해서 기말평가를 수행한다.
• - 중간평가 시 운영의 효과성을 확신할 수 있는 충분한 증거를 입수하였는지 여부. 즉, 중간평가시 입수한 증거가 충분하지 못한 경우 기말평가 시 추가적인 증거를 입수한다.
• - 중간평가일부터 평가기준일까지의 기간 - 기간이 길수록 평가의 범위가 커진다.
• - 중간평가일 이후 평가기준일까지 중요한 변경 여부

경영진은 위 사항들에 대한 판단에 기초하여, 다음의 요건들이 모두 충족되는 경우에는 기말평가 시 질문기법만을 사용하여도 평가기준일 현재 통제의 효과성에 대한 합리적인 확신을 얻을 수 있다.

• - 중간평가시 테스트된 통제활동이 일상적인 거래와 관련된 계정 또는 프로세스에 대한 것으로, 높은수준의 주관이나 판단을 요하지 않고, 경영진의 통제를 무력화(override)할 가능성이 높지 않고, 재무보고에 전반적인 영향을 미치는 통제가 아니며, 기말 재무 보고 절차와 관계가 없음. 또한 해당 통제의 운영 효과성에 대한 중간평가시에 효과적으로 운영되었음.
• - 중간평가일 이후 해당 통제의 설계에 큰 변경이 없음.
• - 중간평가일 이후 해당 통제의 운영 효과성에 영향을 미칠 만한 다른 통제의 효과성이나 환경적 위험요인에 큰 변화가 없음.

상기의 요건 중 하나라도 충족되지 않는 경우에는 평가기준일 시점 또는 평가기준일에 근접한 시점에서 질문 외의 추가적인 방법에 의한 테스트를 수행한다. 질문 외의 추가적인 기법은 관찰, 문서검사, 재수행이 사용될 수 있다.
자동화된 통제의 효과성에 대한 기말평가 경영진은 다음의 요건들이 모두 충족되는 경우에는 자동화된 통제의 운영 효과성에 대한 기말평가 절차를 생략할 수 있다.

• - 중간평가시 테스트된 통제활동이 일상적인 거래와 관련된 계정 또는 프로세스에 대한 것으로 높은 수준의 주관이나 판단을 요하지 않고, 경영진이 통제를 무시(override)할 가능성이 높지 않고, 광범위하게 영향을 미치는 통제가 아니며, 결산조정 절차와 관계가 없음. 해당 통제의 운영 효과성에 대한 중간평가 시에 효과적으로 운영되었음.
• - 중간평가일 이후 해당 통제의 설계에 큰 변경이 없음.
• - 해당 자동화된 통제에 영향을 미칠 수 있는 정보기술 일반통제 등의 전반적 통제가 기말평가 대상기간 동안 효과적으로 운영되고 있음.

상기의 요건 중 하나라도 충족되지 않는 경우에는 해당 통제의 기말평가 대상기간에 대한 추가적인 테스트 절차를 수행하며, 이러한 절차는 질문만으로는 충분하지 않다. 따라서 질문 외의 추가적인 기법인 관찰, 문서검사, 재수행을 활용하여 자동화된 통제의 운영 효과성에 대한 충분한 증거를 획득한다.

기말평가 절차로써의 질문 기법
기말평가 절차로써 질문 기법을 활용하는 경우에는 충분하고 구체적으로 질문을 수행한다. 다음은 질문 기법의 수행 시 질문자가 고려하는 요소들이다.

• - 정보시스템의 신규 적용 또는 중요한 변동여부
• - 업무프로세스의 중요한 변동여부
• - 이직 등 통제 수행자의 중요한 역할 및 책임의 변동여부
• - 산업 또는 회사 위험의 중요한 변동여부
• - 회계 또는 재무보고 원칙의 변동여부
• - 부정 또는 오류 발생 징후
• - 법규 개정 등 감독 환경의 변화여부

질문 기법을 수행하는 경우에는 질문의 결과에 대해 주의 깊게 고려하여 추가적인 테스트가 필요한 지 여부를 판단한다.

운영의 효과성 평가 결과의 문서화 수준은 독립적인 제3자가 이를 이해하고 테스트의 적정성을 검토할 수 있도록 테스트된 항목을 구체적으로 확인할 수 있는 충분한 정보(예를 들어, 고정자산 구매승인에 대한 통제를 평가하는 경우 품의서 일자, 거래처명, 금액, 최종 승인자 등), 테스트 수행자, 테스트 결과 및 전반적인 결론을 포함하여 충분히 문서화되어야 한다.

운영의 효과성 평가의 목적은 재무제표에 대한 경영자 주장을 뒷받침하기 위해 필요한 통제가 효과적으로 운영되는가를 결정하는 것이다. 테스트 중 예외사항이 발생할 경우 경영진은 예외사항의 원인을 확인하기 위하여 예외사항을 평가하며, 이를 통해 경영진은 통제가 효과적으로 운영되었는지 여부를 결정할 수 있다.

어떤 경우에는 첫번째 표본에서 예외사항이 발생한 경우라도 반드시 미비점이라고 판단하기 힘든 경우가 있을 수 있다. 이런 경우 하루에 한 번 수행되는 통제(Daily Controls)라면, 경영진은 같은 크기의 다른 표본을 선택할 수도 있다. 이 두 번째의 표본에서는 예외사항이 발견되지 않는다면, 오류율이 낮다는 결론을 내릴 수가 있다. 이러한 경우의 예외사항은 재무제표 왜곡표시를 야기할 수 있는 미비점으로 고려되지 않는다.

운영의 효과성 테스트에서 발견된 예외사항에 대해서는 다음과 같이 평가가 이루어지게 된다.

1) 발견된 예외사항은 양적인 기준과 질적인 기준 모두를 고려하여 평가한다. 또한 예외사항이 통제상 미비점인지를 판단하기 위해서는 예외사항의 원인(cause)을 충분히 이해하는 것이 중요하다.
또한 다른 통제의 효과성(COSO의 통제활동을 제외한 네 가지 요소 및 정보기술 일반 통제)과의 잠재적 함의(potential implication)도 고려한다.
테스트 목적이 충족되었는지 여부를 판단할 때 다음의 사항들을 고려한다.

• - 통제의 수행빈도 및 예외사항의 이탈률(deviation rate) (예를 들어, 수행빈도가 상대적으로 낮은 통제의 예외사항은 추가적인 테스트 없이 미비점으로 간주될 수 있다.)
• - 발견된 예외사항이 체계적이고 반복적인지 여부를 포함한 질적인 항목
• - 예외사항이 재무제표 왜곡표시에 미치는 영향(통제 설계 시 의도하였던 수준을 벗어나 실제로 재무제표 왜곡표시를 초래한 예외사항은 미비점으로 고려되어, 왜곡표시의 크기에 따라 유의한 미비점 또는 중요한 취약점으로 분류된다.)

2) 테스트 목적이 충족되지 않았다면, 추가적인 표본에 대한 운영의 효과성 테스트가 이미 발견된 예외사항이 모집단을 대표하지 않는다는 결론을 뒷받침할 수 있는지 고려해야 한다. 예를 들어, 1개 이하의 예외사항이 허용될 수 있게 설계된 테스트에서 2개 이상의 예외사항이 발견되었을 경우 추가적인 테스트를 통해 최초 테스트 결과가 모집단을 대표하지 않는다는 결론을 내릴 수 있는지 대해 고려해야 한다.

3) 테스트 목적이 충족되지 않을 경우는 두 가지 대안(Option)이 있다.

• - 만약 이미 발견된 예외사항이 모집단을 대표하지 않는다고 판단되면, 평가 범위를 확대하고 재평가한다.
• - 이미 발견된 예외사항이 모집단을 대표한다고 판단되면, 당해 예외사항으로 인해 통제상 미비점이 되고, 중요도를 평가하여 유의한 미비점 또는 중대한 취약점 여부를 판단한다.

경영진은 평가기준일 이전에 식별된 통제상 미비점을 수정할 기회가 있다. 경영진은 내부회계관리제도가 효과적이라는 결론을 내리기 위하여 수정된 통제가 효과적으로 운영된다는 것을 확인하기 위해 충분한 테스트를 수행한다. 평가기준일 전에 통제가 적절히 설계되고 효과적으로 운영되기 위해 필요한 시간은 통제의 성격이나 그 운영의 수행 빈도에 따라 달라진다. 그러므로 기말 보고일 이후의 통제 수정은 통제상 미비점을 감소시키지 못하기 때문에 기말 보고일 이전에 통제가 수정되어야 할 것이다.

그럼에도 불구하고, 기말재무보고절차와 같은 연단위로 수행되는 수작업 통제의 경우 평가기준일 이후 운영의 효과성에 대해 테스트를 수행해야 하므로, 미비점을 시정하기 위한 시간이 없기 때문에 분기말이나 월말에 ‘모의테스트(Dry run)’를 수행해서 미비점이 발생되지 않도록 하는 것이 바람직하다.

통제의 운영 효과성을 확신하기 위해 필요한 시간(즉, 통제가 효과적으로 운영된다고 결론내리기 위하여 수정된 통제가 최소한 얼마 동안 운영되어야 하는가)은 통제의 운영 빈도에 따라 달라진다. 경영진은 통제의 빈도가 높을수록, 짧은 기간으로도 통제가 효과적으로 운영된다는 충분한 증거를 얻을 수 있다.

내부회계관리제도와 관련된 통제상 미비점은 경영진과 종업원이 담당 업무를 수행하는 정상적인 과정에서 적시에 재무제표 왜곡표시를 예방하거나 적발할 수 없을 때 발생한다(모범규준 55).

경영진은 내부회계관리제도의 다섯 가지 구성요소(통제환경, 위험평가, 통제활동, 정보 및 의사소통, 모니터링)와 관련하여 발견된 미비점을 모두 고려한다. 내부회계관리제도의 미비점은 경영진의 효과성 평가, 내부감사업무, 외부감사, 규제 기관의 감독 업무등 다양한 경로를 통하여 발견될 수 있으며, 아래의 설계상 미비점과 운영상 미비점으로 구분된다.

• - 설계상 미비점: 내부회계관리제도의 목적을 달성하기 위하여 필요한 통제가 존재하지 않거나, 수립된 통제가 적절하게 설계되지 않아 설계된 대로 운영되더라도 통제목적이 충족되지 못하는 경우에 발생(모범규준 문단 55.1)
• - 운영상 미비점: 적절하게 설계된 내부회계관리제도가 설계된 대로 운영되지 못하거나, 통제 업무 수행자가 통제를 효과적으로 수행하기 위한 자격요건이나 권한을 갖추고 있지 않아 통제의 목적이 충족되지 못하는 경우에 발생(모범규준 문단 55.2)

내부회계관리제도의 미비점은 재무제표 왜곡표시의 발생가능성 및 금액적 중요도에 따라 I) 단순한 미비점, II) 유의한 미비점, III) 중요한 취약점으로 구분하며(모범규준 문단 55.3), 중요한 취약점이 발견된 경우에는 경영진은 회사의 내부회계관리제도가 효과적이라고 결론을 내릴 수 없다. 경영진은 발견된 모든 미비점을 개별적으로 그리고 다른 미비점과 결합하여 평가하여, 회사의 내부회계관리제도에 유의한 미비점 또는 중요한 취약점이 존재하는지 여부를 평가한다.

미비점을 분류하기 위해서는 해당 미비점의 발생가능성(likelihood), 금액적 크기(magnitude), 보완통제(compensating controls) 등의 존재 여부, 분별력있는 관리자(prudent officials) 관점 등을 고려하여야 한다. 미비점의 분류는 객관적인 기준의 적용뿐만 아니라 높은 수준의 판단을 요하므로 경영진은 지속적으로 외부감사인과 충분한 협의를 거치는 것이 바람직하다.

발생가능성이란 재무제표 왜곡표시가 방지되거나 발견되지 못하는 경우가 발생할 잠재적 가능성을 말한다. 따라서 재무제표의 왜곡표시가 실제로 발생하였는가 여부를 고려하는 것은 아니다. 해당 미비점의 발생가능성이 합리적인 수준(reasonably possible 혹은 probable) 이상으로 존재한다면 유의한 미비점이나 중요한 취약점으로 분류한다.

발생가능성을 평가함에 있어서는 재무제표의 왜곡표시를 발생시키는 다음의 원인들을 고려한다.

• - 예외사항의 근본적 발생원인 및 발생빈도
• - 예외사항의 영향을 받는 계정과목, 공시사항 및 경영자 주장의 내용
• - 계정과목, 공시사항에 내재된 주관성, 복잡성 및 판단요소의 성격
• - 관련 자산이나 부채상의 손실, 또는 부정에 관련될 수 있는 민감도
• - 통제미비점이 장래에 미칠 수 있는 영향의 결과
• - 통제의 상호의존성 또는 중복성(redundancy)의 정도

금액적 크기란 발생할 수 있는 잠재적 재무제표 왜곡표시의 크기(magnitude of the potential misstatement)를 말한다. 따라서 실제로 발생한 재무제표의 왜곡표시 금액이 아닌 발생 가능한 왜곡표시의 예상치이다. 미비점으로 인한 잠재적 재무제표 왜곡표시의 크기가 유의한 수준 미만이라고 확신할 수 있다면 유의한 미비점이나 중요한 취약점으로 구분하지는 않으며, 금액적 크기를 평가하기 위하여는 다음의 요소들을 고려한다.

• - 미비점에 따라 영향을 받는 재무제표 금액 또는 거래총액
• - 당기에 이미 발생되었거나 향후 발생될 것으로 예상되는 미비점에 따라 영향을 받는 거래의 계정잔액 및 거래금액의 크기
• - 보완통제의 영향
• - 왜곡표시가 실제 발생된 경우에는 동 금액의 크기(절대금액, 모집단에 대비한 왜곡표시 비율, 잠재적 영향의 추가적 크기 등)

여기서 “잠재적 재무제표 왜곡표시 크기의 유의한 수준”이란 회사의 재무보고를 감독할 책임이 있는 이사회, 감사위원회 등이 주목할 만한 수준으로서, 중요성 금액기준의 일정비율을 의미하며 유의한 미비점과 단순한 미비점을 구분할 수 있는 하나의 기준이 된다(모범규준 문단 56).

보완통제란 본래의 통제에서 미비점이 발견되었다 하더라도 그 미비점에서 발생될 수 있는 유의한 재무제표 왜곡표시 위험을 경감시켜 줄 수 있는 통제이다(모범규준 문단 58).

즉, 효과적인 보완통제의 존재가 미비점의 재무제표 왜곡표시 위험을 경감시켜주기 때문에, 발견된 미비점이 유의한 미비점 또는 중요한 취약점인지를 결정할 때 보완통제를 고려하는 것이다. 보완통제가 재무제표 왜곡표시 위험을 경감시킨다고 결론 짓기 위해서는, 해당 보완통제의 설계 및 운영의 효과성 평가를 통해 그 효과성을 입증하여야 한다. 특정 미비점이 효과적인 보완통제의 존재로 인해 유의한 미비점이나 중요한 취약점으로 분류되지 않았다고 하더라도, 타 미비점과의 종합적인 고려를 통하여 유의한 미비점 또는 중요한 취약점에 해당하는지의 여부에 대해서도 판단하여야 한다.

경영진은 미비점의 중요도를 판단할 경우에 정보이용자의 입장을 고려한 분별력있는 관리자의 기준에서 판단하여야 한다. 즉, 정상적인 사리분별을 할 수 있는 관리자가 그들의 업무수행 과정에서 발생하는 거래가 회계처리기준에 따라 적정하게 재무제표에 기록되고 있다고 합리적 확신(reasonable assurance)을 가질 수 있어야 한다. 만일 발견된 문제점에 대해 분별력있는 관리자가 그러한 합리적 확신을 가지지 못한다면 해당 미비점은 유의한 미비점 또는 중요한 취약점으로 분류되어야 한다.

경영진은 미비점의 중요도를 판단할 때 재무보고를 감독할 책임이있는 이사회, 감사위원회 등의 시각도 함께 고려하여야 한다. 즉, 중요한 취약점으로 분류될 수준은 아니지만 이러한 감독기구가 주목할 만큼 중요하다면 해당 미비점은 유의한 미비점으로 분류되어야 한다.

미비점을 분류할 때에는 개별적인 미비점의 중요성뿐만 아니라, 다른 미비점들과 종합적으로 고려하였을 경우의 효과에 대해서도 판단하여야 하며, 이러한 종합적 고려는 유의한 계정과목별로 하도록 한다(모범규준 문단 58.1).

예를 들어, 충분히 정교하게 설계 및 운영되는 직접 전사 통제와 업무 프로세스수준의 통제는 통제목적의 달성에 직접적인 영향을 미치지만, 해당 미비점이 유의한 미비점으로 분류되지 않더라도 다른 미비점과의 결합효과를 고려하여 단순미비점, 유의한 미비점 및 중요한 취약점으로 구분될 수 있다.

한편, 간접 전사 통제와 정보기술 일반통제는 통제성격 상 회사의 내부회계관리제도 전반에 걸쳐 중요한 영향을 미치나, 특정 계정과목 관련 경영자주장에는 간접적인 영향을 미친다. 따라서 간접적인 영향을 미치는 통제의 미비점이 발견될 경우 그 자체로 미비점의 수준을 판단하기 보다는, 관련된 업무 프로세스 수준의 통제가 효과적인지 여부를 고려하여 종합적으로 판단한다(발생가능성, 금액적 크기 등).

일반적으로 정보기술 일반통제의 미비점이 재무제표 왜곡표시위험에 직접적인 영향을 미치지는 않지만, 동 미비점의 영향으로 자동화된 통제 또는 정보시스템에 기반한 수작업통제의 미비점이 발생하면 재무제표 왜곡표시로 이어질 수 있다.

내부회계관리제도 상의 미비점은 그 중요도에 따라 단순한 미비점, 유의한 미비점, 중요한 취약점으로 구분하며 아래의 단계를 이용할 수 있다.
다만, 다음의 예시에 해당하는 미비점은 중요한 취약점으로 분류될 가능성이 있다.

• - 중요한 전기오류의 수정을 위하여 전기재무제표를 재작성한 경우
• - 회사의 내부회계관리제도에 의해 파악하지 못한 중요한 당기 수정사항으로서, 회사가 제시한 최초 재무제표에 반영되지 아니하였으나 감사인에 의하여 파악된 경우(최종 재무제표에 동 수정사항을 반영하였는지 여부는 관계없음)
• - 회사의 대외적 재무보고 및 내부회계관리제도에 대한 감사(위원회)의 감독기능이 효과적이지 않은 경우
• - 일부 고위경영자가 관련된 부정행위가 발견되었을 경우(금액크기에 불문함) 내부회계관리제도의 미비점을 분류할 때에는 일반적으로 재무제표에 미치는 영향의 크기와 같이 양적인 요소와 함께 질적인 특성을 고려하도록 한다.

외감법에서는 경영진(내부회계관리자)의 운영실태보고에 대해서 감사(위원회)에 의한 연간 별도의 평가를 규정하고 있으며, 이는 실무적으로 감사(위원회)의 위임을 받아 내부감사부서가 별도 평가를 수행할 것으로 예상되나, 경영진의 평가 방법(독립성 및 적격성을 충족한 평가조직에 따라 시행됨을 가정), 범위 등에서 이중 작업 등 업무 중복이 예상되므로 회사의 규모, 관련 비용 및 효익을 고려해서 합리적인 수준에서 감사(위원회)의 평가가 수행되어야 할 것이다.

감사(위원회)는 경영진이 실시한 평가절차와 운영실태 평가결과의 적정성을 감독자의 관점에서 독립적으로 평가하여 이사회에 보고한다.

• 29.1감사(위원회)는 내부회계관리제도를 독자적으로 평가하거나 회사의 내부감사기능을 활용하여 평가할 수 있으며, 평가절차 및 그 결과를 문서화하여 충분한 근거자료를 마련한다.
• 29.2감사(위원회)는 내부회계관리제도에 대한 평가를 광의의 내부통제제도에 대한 정기적인 평가에 포함하여 실시할 수 있다.
• 29.3감사(위원회)는 내부회계관리제도 평가시 필요에 따라 경영진의 평가와 관련된 자료를 근거로 평가절차를 수행할 수 있다.

감사(위원회)의 평가 범위는 경영진의 내부회계관리제도 평가 시 독립성 및 적격성 여부에 따라서 달리 접근해야 할 것이다. 또한 감사(위원회)의 평가의 의의는 전면적인 감사 차원에서 접근하는 것이라기 보다는 경영진의 운영실태보고의 내용이 외감법 및 모범규준에 따라서 계획, 문서화, 평가 및 예외 사항 평가가 적정하게 수행되었는지의 여부에 대하여 독립적인 관점에서 평가하고 결론을 내리는 활동이다.

또한 감사(위원회)의 평가는 경영진에 의한 평가시 평가조직의 독립성 및 적격성 정도에 따라 평가범위를 조정하는 것이 바람직하다.

1) 경영진의 평가가 독립성 및 적격성을 갖춘 것으로 판단되는 경우
경영진의 평가 시 전담 별도 조직 및 내부감사부서에 위임해서 운영실태보고를 한 경우는 독립성과 적격성을 갖춘 것으로 판단할 수 있다. 이 경우 감사(위원회)의 평가는 제한적인 절차에 의한 평가를 수행해서 경영진의 운영실태보고와 감사(위원회)의 평가가 이중작업이 되지 않도록 하는 것이 바람직하다.

2) 경영진의 평가가 독립성 및 적격성을 갖추지 못한 것으로 판단되는 경우
경영진의 평가가 비상임조직 등 독립성 및 적격성을 갖추지 못한 상태에서 수행된 것으로 판단되면, 감사(위원회)의 평가는 보다 업무 범위를 확대한 평가를 수행하는 것이 바람직하다. 독립적인 입장에서 경영진의 내부회계관리제도에 대한 계획, 문서화, 평가 및 예외사항 평가가 적정하게 수행되었는지에 대한 평가뿐만 아니라, 일부 주요 통제에 대해서는 직접 표본 조사 방법 등을 통해 경영진 평가의 적정성을 독립적으로 평가하는 것이 바람직하다. 이는 경영진의 내부회계관리제도 운영에 대한 전반적에 개선 권고안을 제시함으로써 내부회계관리제도가 개선될 수 있도록 지원해 줄 것이다.

감사(위원회)는 평가기준일 현재 내부회계관리제도가 효과적으로 설계 및 운영되고 있는지의 여부를 경영진과는 독립적인 입장에서 평가하고 감사(또는 감사위원회)의 평가보고서에 종합결론을 내려 그 결과를 이사회에 보고하여 문제점을 시정하게 한다.

감사(위원회)의 평가보고서는 모범규준 별첨에 예시된 바와 같이, 경영진의 경우와 동일하게 회사의 내부회계관리 제도가 효과적인지 비효과적인지에 대한 결론을 명확한 문구를 사용하여 표명한다.

감사(위원회)는 회사의 내부회계관리제도의 효과성에 대해 감사(위원회) 스스로 합리적인 수준의 확신을 가지고 효과성 평가에 대한 결론을 내린다.

1) 미비점의 중요도 구분
감사(위원회)는 경영진의 경우와 동일하게 미비점의 중요도를 구분한다.

2) 감사(위원회)의 효과성 평가결론 고려요인
미비점의 중요도 구분 외에 감사(위원회)가 효과성 평가 결론을 도출하기 위해 참조할 수 있는 자료의 예시는 다음과 같다.

• - 내부감사부서의 보고자료
• - 경영진이 내부회계관리제도에 대한 효과성 평가절차를 통해 얻은 자료 감사(위원회)는 효과성 평가절차 및 상기자료 등을 참조하여 회사의 내부회계관리제도에 대한 효과성 평가 최종결론을 도출하고 근거를 문서화한다.

감사(위원회)의 내부회계관리제도 평가보고서에는 모범규준 문단 61에 언급된 내용이 포함되어야 하며 모범규준 별첨의 운영실태 및 평가보고서 예시를 고려하여 작성한다.