내부회계관리제도 개요/구축/용어 정리

[ 내부회계관리제도란? ]

 

회사의 재무제표가 일반적으로 인정되는 회계처리기준에 따라 작성, 공시 되었느지에 대한 

합리적 확신을 제공하기 위해 설계, 운영되는 내부통제제도의 일부분으로서 

회사의 이사회와 경영진을 포함한 모든 구성원들에 의해 지속적으로 실행되는 과정이다.

 

[ 내부회계관리제도 설계, 운영 체계 ]

 

내부회계관리제도는 5가지 구성요소를 가지며 이를 효과저그로 설계, 운영하려면 

17가지 원칙을 준수하고 75가지 중점사항을 고려해야한다.

각 내부통제 구성요소들의 미비점을 종합적으로 고려하였을때 하나 이상의 중요한 

취약점이 존재하지 않아야한다. 

 

내부회계관리제도 구성요소, 관련 원칙 및 원칙달성을 위한 중점 고려사항(요약)

구성요소	원칙	원칙 달성을 위한 중점 고려사항
통제환경 (원칙 1~5)	원칙 1. 도덕성과 윤리적 가치에 대한 책임	경영진과 이사회의 의지
		윤리강령 수립
		윤리강령 준수 평가
		윤리강령 위반사항의 적시 처리
	원칙 2. 내부회계관리제도 감독 책임	이사회의 감독 책임 정립
		이사회의 전문성 확보
		이사회의 독립적 운영
		내부회계관리제도 감독 수행
	원칙 3. 조직구조, 권한 및 책임 정립	조직구조 고려
		보고체계 수립
		권한과 책임의 정의, 부여 및 제한
	원칙 4. 적격성 유지	정책 및 실무절차 수립
		적격성 평가 및 보완
		인력 선발, 육성 및 유지
		승계계획 및 준비
	원칙 5. 내부회계관리제도 책임 부여	조직구조, 권한 및 책임을 통한 내부회계관리제도 책임 부여
		성과평가 및 보상정책 수립
		성과평가 및 보상정책과의 연계
		과도한 압박 고려
		개인의 성과평가, 보상 또는 징계조치
위험평가 (원칙 6~9)	원칙 6. 구체적인 목적 수립	적합한 회계기준의 준수
		회사 활동의 실질 반영
		중요성 고려
	원칙 7. 위험 식별 및 분석	회사 내 다양한 조직 수준 고려
		외부 재무보고에 영향을 미치는 내부 및 외부 요인 분석
		적절한 수준의 경영진 참여
		식별된 위험의 중요성 평가
		위험 대응 방안 결정
	원칙 8. 부정위험 평가	다양한 부정의 유형 고려
		유인과 압력의 평가
		기회 평가
		태도와 합리화에 대한 평가
	원칙 9. 중요한 변화의 식별과 분석	외부 환경 변화의 평가
		사업모델 변화의 평가
		리더십 변화의 평가
통제활동 (원칙 10~12)	원칙 10. 통제활동의 선택과 구축	위험평가와의 통합
		회사의 고유한 요인 고려
		관련 있는 업무프로세스 결정
		통제유형의 조합
		다양한 수준의 통제활동 적용 고려
		업무분장 고려
	원칙 11. 정보기술 일반통제의 선정과 구축	업무프로세스에서 사용되는 정보기술과 정보기술 일반통제간 의존도 결정
		정보기술 인프라 통제활동 수립
		보안관리 프로세스에 대한 통제활동 수립
		정보기술의 취득, 개발 및 유지보수 프로세스에 대한 통제 수립
	원칙 12. 정책과 절차를 통한 실행	경영진의 지침 전달을 지원하기 위한 정책 및 절차 수립
		정책과 절차의 적용을 위한 책임 확립과 담당자의 지정
		통제활동의 적시 수행
		개선 조치 이행
		적격성 있는 담당자의 수행
		정책, 절차 및 통제활동의 주기적인 재평가
정보 및 의사소통 (원칙 13~15)	원칙 13. 관련 있는 정보의 사용	정보 요구사항의 식별
		내부 및 외부의 데이터 원천 포착
		관련 있는 데이터를 의미 있는 정보로 변환
		정보 처리 과정에서 품질의 유지·관리
		비용과 효익 고려
	원칙 14. 내부 의사소통	내부회계관리제도 정보에 대한 의사소통
		경영진과 이사회 간의 의사소통
		별도의 의사소통 라인 제공
		적절한 의사소통 방법 선택
	원칙 15. 외부 의사소통	외부 관계자와의 의사소통
		외부로부터의 의사소통
		이사회와의 의사소통
		별도의 의사소통 라인 제공
		적절한 의사소통 방법 선택
모니터링 활동 (원칙 16~17)	원칙 16. 상시적인 모니터링과 독립적인 평가 수행	상시적인 모니터링과 독립적인 평가의 결합 고려
		변화의 정도 고려
		출발점(Baseline)의 설정
		충분한 지식을 갖춘 인력 활용
		업무프로세스와의 통합
		범위와 빈도 조정
		객관적인 평가
	원칙 17. 미비점 평가와 의사소통	결과 평가
		미비점 의사소통
		개선활동에 대한 모니터링 활동

[ 내부회계관리제도 구축 흐름 ]

1. 대상 범위 선정
2. 전사수준통제(ELC)
3. 업무수준통제(PLC)
4. 유효성 평가 및 개선사항
5. 보고 단계

의 흐름으로 이루어 짐.

 

[내부회계관리시스템 도입 필수여부]

내부회계관리시스템 도입은 내부회계관리제도의 효과성에 직접적인 영향을 끼치진 않고, 단순한 문서관리 및 workflow 등의 관리가 수월하도록 하기 위함으로 많은 회사들이 도입을 하고 있으며, 반드시 구축해야하는 시스템은 아님.

 

 

 

[내부통제란?]

 

기업의 조직목적 달성에 대한 합리적 확신을 제공하기 위하여

회사의 이사회, 경영진 및 여타 구성원에 의해 지속적으로 실행되는 일련의 과정으로

일반적으로 운영목적,재무보고목적,법규준수 목적의 세가지 동제로 구분됨.

 

 

> 기업운영의 효율성 및 효과성 확보 ( 운영목적 )
ㄴ 회사가 업무를 수행함에 있어 자원을 효과적이고 효율적으로 사용하고 있는지.
> 재무정보의 신뢰성 확보 ( 재무보고목적 )
ㄴ 회사가 정확하고 신뢰할 수 있는 재무정보의 작성 및 보고체계를 유지하고 있는지.
> 관련 법규 및 정책의 준수 ( 법규준수목적 )
ㄴ 회사의 모든 활동은 관련 법규, 감독규정, 내부정책 및 절차를 준수하고 있는지.

 

[효과]
1. 경영진이 업무성과 측정, 의사결정 수행, 업무 프로세스 평가, 위험관리에 기여.
-> 회사의 목표를 효율적으로 달성하고 위험을 회피 또는 관리할 수 있도록 함.
2. 직원의 위법 및 부당행위 또는 내부정책 및 절차의 고의적인 위반행위 뿐만아니라 개인 부주의/태만/판단성의 착오 또는 불분명한 지시에 의해 야기된 문제점들을 신속하게 포착함으로써 회사가 시의적절한 대응조치를 취할 수 있게 함.

[한계]
1. 제도를 운영하는 과정에서 발생하는 집행 위험 발생.
-> 사람에의해 운영되므로 모든 위험을 완벽하게 통제할 수는 없음.

 

 

 

[전사수준통제란?]

회사 전체(Entity Wide)에 영향을 미치거나 업무수준통제에 전반적으로 영향을 미치는 내부통제.

 

 

 

[용어 정리]

 

① RCM(Risk Control Matrix)
∙ 위험통제 매트릭스
∙ 업무 프로세스 설명, 리스크 정보, 통제활동, 경영자 주장, 위험통제 테스트 절차 등을 기술한 문서

② FC(Flow Chart)
∙ 업무순서도(플로우차트, 업무흐름도)
∙ 업무의 흐름을 도식화하고 절차마다 위험요소와 위험을 통제할 수 있는 대응방안을 기술한 문서

③ MRC(Management Review Control)
∙ 관리자 검토(리뷰) 통제 혹은 경영진 리뷰통제라고 부름
∙ 합리적 판단을 요하는 사항(퇴직충당부채, 대손충당부채 등)에 대한 관리자의 검토 절차를 규정하고 통제하는 문서

④ WT(Walk Through)
∙ 재수행 또는 추적시사라고 부름
∙ RCM 내에 설계된 업무 프로세스 및 테스트 절차가 맞는지 확인하고 실제 그 업무 프로세스 및 테스트 절차를 그대로 재수행하여 결과값을 확인할 수 있는 지 확인 하는 수단이 됨
∙ 추적시사는 내부통제의 설계상 유효성을 평가하는 데 있어 매우 효과적인 방법으로 알려짐
∙ 크게 질문, 관찰, 검사, 재수행 등으로 나뉨.

⑤ WCGW(What Could Go Wrong)
∙ What Could Go Wrong 이란 재무제표에 중대한 왜곡표시를 야기할 수 있는 위험이 회사의 프로세스에 존재할 합리적인 가능성(reasonable possibility)을 말함.

⑥ IPE(Information Produced by Entity)
∙ 회사(실무자)가 만들어내는 정보들
∙ 실무자가 실무를 하는 과정에서 회사의 IT 통합 시스템을 통해 전산적으로 만들어 내는 자료가 아니라 개인의 엑셀, 워드 자료 등 실무자 개인의 PC에서 회사의 IT 통합시스템을 통하지 않고 만들어내는 모든 종류의 문서들을 말함.
∙ 각종 보고서, 기안지, 검토분석 엑셀파일, 업무연락, 사진 등을 말함.

⑦ EUC(End User Computing)
∙ 마지막 실무자가 IPE를 IT통합 시스템에 입력하는 행위
∙ 예를 들어 실무자의 판단을 요하는 대부분의 업무(대손상각, 퇴직충당부채, 환차손 등)는 실무자가 IPE를 생성하여 그 결과값을 전표로 입력하고 회사는 그 입력된 전표를 총계정원장에 반영하여 손익자료를 확정하게 됨.
∙ 이때 전표를 입력하는 행위가 End User Computing이 됨
∙ 내부회계관리제도에서는 이러한 End User(실무자)의 Computing에 심각한 에러가 발생할 수 있음을 인지하고 이를 통제하는 절차를 수립하게 됨.

⑧ Scoping
∙ 내부회계관리제도에서는 기업의 재무제표에 큰 영향을 끼치게 되는 계정과목을 식별하고 해당 계정과목에 대한 통제활동을 수립할 것인지 말것인지를 결정하게 됨.
∙ 이때, 각 계정과목을 특정 기준(연간 영업이익의 5%, 혹은 전체 자산규모의 0.5% 등)에 근거하여 해당 계정과목을 포함시킬 기준(범위)을 수립하게 되고 이를 Scoping 작업이라고 함.
∙ 범위 안에 들어오게 되면 Scope-in이라고 하고, 범위에서 배제하게 되면 Scope-out이라고 함.

⑨ PAD(Process Activity Analysis & Description)
∙ 업무활동과정 분석 및 묘사
∙ 실무자의 업무 프로세스 과정을 따라 해당업무에 대한 자세한 묘사(설명)를 덧붙이고 해당 프로세스의 이름을 정의하고, 해당 업무를 추진하는 유관 부서를 명기한 서류

⑩ ELC(Entity Level Control)
∙ 전사 수준 통제라고 말함
∙ 어느 회사에서나 동일하게 있는, 거시적인 관점에서의 위험통제를 말함.
∙ 인사, IT, 전사수준 통제가 대표적이며, 대표자의 경영윤리, 부정위험 방지, 이사회, 감사위원회의 활동 및 역할을 규정하고 통제함.

⑪ PLC(Process Level Control)
∙ 업무수준 통제라고 함
∙ 각 현업부서에서 이루어지는 업무절차에 대해 위험통제를 설계, 운영하는 것을 말함.

⑫ ITGC Vs ITAC(Information Technology General Control Vs Information Technology automated Control)
∙ ITGC or GITC는 정보기술(전산) 일반 통제라고 부르고, ITAC는 정보기술(전산) 자동통제라고 부름.
∙ 정보기술 일반통제란 전산에 대한 권한 관리, 서버에 대한 정기적인 백업, 방화벽 및 해킹 방지 등 전산을 운영하기 위한 일반적인 업무원칙에 대한 통제를 수립하는 것을 말함.
∙ ITAC란 정보기술 자동통제란 재무제표에 반영되는 숫자의 정확성을 높이기 위해 IPE나 EUC에 의해 값이 입력되는 것이 아니라 전표 자동 생성 혹은 환차손 자동 계산 등 정보기술을 이용하여 값이 자동으로 반영될 수 있도록 설계하거나 원천적으로 접근제어툴 등을 이용하여 모든 사용자 기록을 남기고 외부침입자의 접근을 자동으로 막는 것 등을 말함.