먼저, 내부회계관리제도 고도화 혹은 구축시, 새로운 내부회계 개념체계를 반영하여 전사수준통제의 재평가가 수행되어야 한다. 이때 가장 중요한 것은 17가지 원칙과 75개 중점 고려사항 반영하여, 현재 전사수준통제과 연계성(Mapping)을 분석하여, 미비점을 도출하고 그 영향을 평가하는 것이다. 현행 대비 고려사항을 대폭 증가시키고, 실제 각 부서별 운영 현황 등을 반영한 통제로 보완 또는 수정이 필요하다. 전사수준통제는 통제항목의 성격상 대체로 간접적(Indirect)이나, 내부회계관리제도에 기반이 되는 매우 중요한 통제활동이다. 주로, 신 외감법 및 내부회계관리제도 모범규준에서 요구하는 항목인 윤리·행동강령 위반 사항에 대한 보고와 즉각적인 조치 절차의 수립, 감사위원회의 역할과 모니터링, 내부회계관리제도의 전담조직과 역할, 성과평가와의 연계, 위험의 식별과 분석, 대응방안 평가, 부정위험 평가 및 대응, 외부서비스 제공자에 대한 통제정책과 통제항목, 각종 내부회계관리제도 운영정책(IPE, 샘플링 등) 및 문서관리 등이 미비점으로 대두된다. 현재 완료되었거나 진행 중인 대표기업의 경우, 이러한 미비점의 보완시 EY한영의 내부회계전문가들은 내부회계관리제도 기준 및 US Practice를 사전 분석하여, 한국 실정에 맞는 표준 전사수준통제(ELC)를 개발, 적용하여 전사수준통제를 재평가하였다. 상당수 많은 기업이 전사수준 통제활동 설계시, 75개 중점 고려사항을 효과적으로 포괄하는 전사수준통제를 설계하는 것이 아니라, 개별적으로 75개 각각 전사수준 통제활동을 설계, 적용하겠다고 주장한다. 기업입장에서 신 외감법의 취지에 부합하게 중점 고려사항과 일대일 연계되는 통제활동을 개별적으로 각각 설계하는게 낫다고 판단한다. 신 외부감사법 하의 불확실한 감독환경을 고려할 때 충분히 이해할 만하다. 그러나, 이러한 접근방법은 기업의 부담을 가중시키고, 내부회계관리제도의 실질적인 운영을 방해하는 비효율적인 방법일 수 있다. 사실 통제활동의 수가 중요한 것이 아니라, 여러개의 원칙과 중점 고려사항을 포괄하는 전사수준통제활동을 파악, 설계하여 제대로 운영하는 것이 바람직하다. 물론 반대로 통상적인 수준보다 적게 전사수준통제활동을 운영하는 것이 효과적이지 않을 수 있다. 그러나 중점 고려사항을 일대일 연계하는 방식으로 전사수준통제활동을 개별적으로 모두 인식하는 것이 아니라, 기업이 전사수준통제활동 중 핵심통제활동을 재평가(Reassessment)하고 중점고려사항을 포괄하는 전사수준통제활동을 설계, 분석하는 것이 효과적이고, 효율적인 전사수준통제 설계, 운영을 가능하게 한다. 세계 유수의 기업 중 전사수준통제활동이 50여개 미만이어도 충분히 17개 원칙과 75개 중점 고려사항과 연계 가능하며, 실질적으로 설계 및 운영평가를 수행하고 있는 점은 시사하는 바가 크다. 전사수준통제활동을 운영하기 위해서는 최고경영진의 투명경영의 의지, 조직구조, 핵심 역량을 갖춘 인력확보가 필수적이다.

기업의 프로세스를 이해하여 문서화는 방식은 업무기술서와 업무흐름도가 있다. 현재 대부분의 기업들은 간결하면서도 모범규준에서 요구하는 항목(Risk, Control 등)을 포함하는 업무흐름도를 선호한다. 즉, 업무흐름도에 Narrative를 포함하는 것이 추세이며, 전체 프로세스 내 단위 업무의 연관성 파악이 가능하며, 위험의 식별 및 중요성 평가 용이하고, 시각적인 관점에서 프로세스에 대한 이해가 증진된다. 기업 입장에서는 업무기술서를 인사발령 등 새로운 변경사항 발생시 모두 읽어 보면서 수정하는 것이 불편하다. 또한 감독당국이나 외부감사인 입장에서도 프로세스를 일목요연하게 파악하여 검증하기 쉽기 때문에 대체로 업무흐름도를 프로세스 파악을 위한 핵심 문서로 선정하고 있다. EY한영의 내부회계전문가들이 공통적으로 추적조사(Walk-through) 등을 통한 중요 통제활동 누락 여부 확인 및 통제위험 식별의 적정성 병행하여 검토할 것을 권고한다. 아래의 사례는 업무흐름도에 업무를 간략하게 기술하고, 통제활동(자동, 수동, IT 의존 수동통제)과 IPE, EUC를 개별적으로 식별하였다. Visio가 update가 불편하다는 점을 고려하여, 파일을 엑셀로 하여, update 복사 등이 매우 용이하게 하였다. 범위선정과 위험평가는 내부회계관리제도의 통제항목을 합리화하는데, 매우 중요한 영역이다. 핵심 통제활동(relevant controls)의 범위와 필요성을 질문하고, 효율적인 통제활동을 설계하는 것이 매우 중요하다. 범위선정의 핵심은 중요성을 산정하고, 유의적인 계정과목과 경영자 주장을 식별하는 것이다. 가령, 중요성 금액은 법인세차감전순이익에 일정율을 곱하여 산출하기도 한다.⁵⁾ 유의적 계정과목은 질적요소도 같이 고려되어야 하며, 부정위험평가표 등을 활용한 부정위험노출정도, 계정과목 내 개별거래의 규모, 복잡성, 동질성, 추정이나 판단이 개입되는 회계처리 및 평가, 회계처리 및 보고의 복잡성, 우발채무의 발생가능성, 특수관계자와 유의적 거래의 존재여부, 계정과목 성격의 변화, 비 정상적인 거래, 관련 회계처리 기준의 변경, 법규 및 감독당국의 강조 사항, 주요한 외부환경의 변화가 존재하는 계정을 고려한다. 위험평가는 고유위험 평가, 통제위험 평가를 통한 최종 위험평가 결론을 도출하는 과정으로 아래와 같이 요약할 수 있다. 고유위험은 Risk workshop 등을 통하여 유의한 계정으로 선정된 계정에 대하여 매핑된 경영자 주장과 프로세스에 대해 고유위험을 매핑하고 해당 인식된 고유위험에 대한 고유위험 평가를 수행한다. 위험 평가의 첫번째 단계로써 유의한 계정과목/경영자 주장/프로세스/관련 고유위험을 기준으로 고유위험 평가를 수행하여야 하며 최종 고유위험 평가 결론은 Significant Risk, Higher, Lower로 최종 평가된다. 통제위험이란 개별 프로세스에서 파악된 고유위험을 낮추기 위해 회사가 설계한 통제가 고유위험을 효과적으로 낮추지 못할 위험을 의미하며 통제위험이 커질수록 고유위험이 제거되지 않아 최종 잔여위험이 높아지는 구조이다. 통제위험 평가 결론은 Higher와 Not Higher로 분류되며 최종 고유위험 평가 결과가 Significant Risk일 경우 통제위험 평가 결과에 상관없이 통제위험 평가 결론은 Higher가 된다. 상기 설명된 통제 매핑 및 통제위험 평가 또한 Risk Workshop을 통하여 수행한다. 위험평가는 통제활동의 합리화와 직결되므로, 핵심 통제활동(Relevant control)의 개수를 줄여 효율적인 내부회계관리제도의 설계 평가 및 운영테스트로 이어질 수 있습니다. 무엇보다 경험이 풍부한 전문가와 실무진의 프로세스에 대한 깊이 있는 이해가 위험평가 반영되어야 효율적이고 효과적인 통제활동을 유지할 수 있다. 이외, 위험통제표(RCM)는 개정 내부회계관리제도 모범 규준 요구사항 반영을 위해 신규 컬럼을 추가하거나, 변경이 필요한데, 경영진의 검토통제, IPE, 통제위험 세분화가 반영된다.

경영진의 검토 통제는 회계추정치 등 주관적인 판단 영역이 속하는 분야의 경영진의 검토를 통제활동으로 설계하는 것이다. 단순히 권한이 있는 자의 승인 통제(Authorization & Approval)가 아니라, 검토 통제활동을 수행하는 자가 적격성 있는지, 검토 대상(Input)은 무엇인지, 검토활동(Review activities)은 어떻게 이루어지고 있는지, 검토활동 후 산출물(Output)은 무엇인지를 통제활동으로 설계하도록 요구한다. 즉, ‘~전결권자의 승인을 득하고 검토한다’는 식의 통제기술이 더 이상 적합하지 않으며, 자산손상검토 등 중요한 회계추정치에 대한 경영진의 통제활동이 어떻게 이루어지고 있는지를 자세하게 기술하여야 한다. 통제활동을 설계할 때, 단순한 대사(Reconciliation), 권한과 승인 통제(Authorization & Approval)를 ‘~를 검토한다’ 식의 통제기술로 검토 통제로 만들 경우, 통제의 효과성이나 효율성 모두 의문이 제기될 수 있다. 경영진의 검토 통제는 단순하거나 자동화된 프로세스보다 주관적 판단 영역에 기반하여 설계하는 것이 합리적이다.

IPE(Information produced by Entity)란 기업의 IT 어플리케이션 또는 EUC Tool 또는 기타 다른 수단 등의 사용을 통해 기업에서 생산한 정보를 의미한다. 이는 기업의 시스템에서 추출된 데이터, 주요 통제의 실행 및 재무분석을 위해 사용된 Query, 제3의 외부서비스제공자로부터 제공받은 데이터까지 포괄적으로 포함한다. IPE는 회사가 통제활동을 수행시와 운영테스트 등을 수행하기 위해 모집단을 추출하는 경우에 사용된다. 통제활동을 수행하거나, 통제활동의 설계 및 운영의 효과성을 테스트할 때에는, 통제활동 및 테스트에 활용되는 IPE가 그 목적상 충분하게 신뢰할만 한지(Reliable) 평가하여야 하며, 그 신뢰의 평가는 IPE의 완전성과 정확성에 대하여 평가함으로써 확보할 수 있다. IPE가 완전하고 정확한지에 대해 증거를 문서화해야 한다. 가령, 매출채권연령보고서를 통해, 대손충당금을 분석을 검증하는 통제활동이 있다고 할 경우, IPE는 매출채권연령보고서이며, 이 IPE의 Input, Reporting logic, Parameter, Output에 대한 통제활동을 설계하여야 한다. EY의 IPE 방법론은 Big4 중 IPE 관련 Risk를 가장 명확하게 정의하고 있다. IPE와 관련된 Risk는 총 6가지가 존재하며, 3가지 IPE Risk는 사용자와 관련되어 있고, 나머지 3가지는 시스템과 관련되어 있다. 아래의 그림은 통제활동 및 테스트 수행시 활용되는 IPE Risk가 이론적으로 어떠한 내용인지 설명해주는 그림이다. 회사는 각 통제 활동별로 IPE Risk Form을 작성함으로써, 회사가 각 IPE Risk에 대응하기 위해 어떠한 IPE 통제활동을 설계하여 운영하고 있는지 문서화 해야 한다. 이를 통해 IPE 통제 활동 설계의 적정성을 평가하고, 추가적으로 IPE 운영 테스트를 수행함으로써 해당 IPE 통제활동이 설계된 대로 운영되고 있는지 확인한다.

과거의 내부회계관리제도에서는 결산 모니터링 절차 위주로 주석 공시에 대한 통제활동을 설정하였다. 중요한 주석 공시 영역에 대한 추가적인 통제활동을 설계한다. 대표적으로 특수관계자 관련 주석이 그러하다. 미국과 달리, 대규모기업집단이 국가경제에 중요한 역할을 수행하고, 이 대규모기업집단의 거래 및 채권 채무, 지급보증 등의 상황은 감독당국이나 과세당국, 이해관계자가 모두 주목하는 정보이다. 이 정보가 어떻게 재무보고 과정에서 집계처리 되는지 어떻게 통제활동이 이루어지고 있는지 별도의 통제활동 설계가 필요할 수 있다.

과거의 내부회계관리제도와 달리, Risk-based scoping 개념을 도입하여 통제 위험도에 따른 테스트 방법 및 대상 샘플 수를 결정할 수 있다. 1단계로 Risk workshop 등을 통해, 부정위험을 포함하여 기업의 위험평가를 수행하는 단계이며, 신규 위험을 식별하거나 기존 위험을 재평가하여 테스트 대상 통제활동을 가감할 수 있다. 통제위험을 세분화하여 문서검사 및 재수행 등으로 철저히 테스트를 할지, 질문이나 관찰로 갈음하거나 샘플 수를 조절할 수 있다. 이는 앞서 이야기 했듯이, 무엇보다 경험이 풍부한 전문가와 실무진의 프로세스에 대한 깊이 있는 이해가 결합되어야 효과적이고 강력한 내부회계관리제도를 운영할 수 있다.

과거 내부회계관리제도는 Outsourcing Provider가 제공하는 정보에 대한 통제활동이 충분하지 않은 것으로 파악된다. 더욱이 최근 기업의 특성상 외부서비스 제공자의 영역은 전산 외주, 계리평가, 비상장주식 공정가치 평가 등 외부 입수 정보에 대한 보완 통제활동 추가 설계 필요하다. 사실 이 분야는 미국의 경우에도 많이 지적되고 있는 사항으로, 외부서비스 제공자가 제공하는 정보의 신뢰성을 모니터링하는 통제활동을 설계하거나 외부서비스 제공자가 제공하는 정보가 산출되는 과정을 직접 통제활동하기도 한다. 또한, System and Organization Controls Report(SOC Report)라 하여, 정보이용자인 기업이 외부서비스 제공자에게 외부서비스 제공자 내부통제가 설계 운영평가한 바 신뢰할 만하다는 보고서를 요구하여, 검토하기도 한다.

내부회계전담조직 구성안과 관련 모범규준에서 명확하게 기술하지 않아 실무 혼선이 증가하였다. 다양한 사례를 통한 회사에 적합한 독립된 내부회계전담조직 운영 방안 도출이 필요한 상황이다. 한가지 분명한 것은 감독당국을 포함하여, 많은 내부회계관리제도 전문가들은 회계팀을 내부회계전담조직으로 두는 방안을 자가평가 보아 객관성이 결여된 안으로 인식하고 있다. 따라서, 내부회계전담조직은 회계팀과 별도로 구분하여 운영될 필요가 있다. 내부회계관리제도 도입 첫 해에 많은 미비점들이 발생할 수 밖에 없을 것으로 예상된다. 이때 대부분 통제활동 보완을 위한 업무들이 주로 이루어지기 때문에, 기업은 효과적인 통제활동 구축과정에 능숙한 전문인력이 절실하다. 그러나, 우리 기업의 여건상 쉽지 않은 상황이다. 즉, 도입 초기 많은 기업들은 기업내 전문인력 확보, 유지의 어려움, 내부회계관리제도 설계운영 평가의 객관성 및 신뢰성 확보, 통제 미비점의 보완(remediation), 외부감사인 및 감사위원회와의 효율적인 커뮤니케이션을 이유로 전문가 조력이 필요하다고 판단하고 있다. 다음은 현재 내부회계관리제도를 운영하는 대표기업의 사례이나, 실질적인 운영 측면에서 회의적인 시각이 존재한다. 가령, Control steering committee의 기능을 하는 회의체의 통제가 모두 문서로 갈음되어 유명무실화 되고 있다거나, 현업부서의 자가평가가 존재하여 이를 재설계할 필요성이 있다. 중요한 것은 내부회계전담조직과 관련하여 법체계상 설계 및 운영 평가를 수행하고, 그 결과를 감사위원회에 보고하고, 감사위원회는 이를 검토하게 되어 있다는 점이다. 즉, 내부회계관리제도의 운영평가보고서와 감사위원회의 평가보고서가 각각 평가하도록 되어 있다는 점이다. 감독당국도 이 점을 주의 깊게 보고 있는 상황이다. 이를 감안할 경우 프로세스 수행자, 내부통제 설계 및 운영 평가자, 감사위원회 및 감사의 평가는 구분되어야 할 수 있다. 물론 이런 구분이 옥상옥이며, 신 외부감사법 상 감사위원회가 대면 보고를 받고, 특정 사안에 대해 검토를 요청하면, 이를 독립적으로 사후 조치를 취하면 된다는 견해도 존재한다. 사실 내부회계전담조직은 필자의 경험상, 정상적인 상황 하에서는 내부회계전담조직의 조직구조가 문제가 되지 않으나, 내부회계관리제도 상 중요한 취약점이나 유의적 미비점이 발생했을 때, 어떤 내부회계전담조직이 설계 및 운영 평가하였는지, 이를 누가 모니터링, 검토하였는지가 수정보완계획(Remediation plan)의 핵심 이슈로 대두된다. CFO 산하에서 중요한 취약점이나 유의적 미비점이 부당한 압력에 의해 수정될 가능성이 존재한다고 판단되면, 내부회계전담조직의 조직 내 위치 및 구조 자체를 수정하여야 할 수 있다. 주목할 점은 미국의 경우, Chief Audit Executive(내부회계관리담당 임원)의 행정적 (administrative) 보고라인은 CFO로 기능적(functional) 보고라인 즉 내부회계와 관련된 사항들은 감사위원회 또는 이사회(in charge of Governance)로 보고하게 되어 있다. 미국내 625개 기업의 행정적 기능적 보고 라인을 조사 통계화 한 내용은 아래와 같다. 미국의 회계감사 및 기업문화가 한국과 다르지만, 아래의 사례에서 보듯이 전문가 조력이 필요한 영역 등을 판단할 때 도움이 될 수 있으며, 많은 한국 기업이 이를 참고하여 내부회계전담조직의 조직 내 위치를 고민하고 있다. 내부회계관리제도와는 별도로 내부회계관리제도 시스템 도입은 통제활동의 설계평가, 운영평가, 보고를 명확하게 문서화해야 하기 때문에, ERP 시스템과 별도로 내부회계관리제도에 특화된 시스템이 필요할 수 있다. 중요한 것은 기존 직원들의 업무 흐름에 영향을 주지 않으면서 내부회계절차를 진행할 수 있도록 도와주는 시스템을 도입하는 것이다. 내부회계관리제도 시스템과 관련 사항은 다른 EY 내부회계관리제도 전문가가 다룰 예정이므로, 이 지면에서는 생략하기로 한다.