내부회계관리제도 평가 및 보고 모범규준

 

『내부회계관리제도 평가 및 보고 모범규준』  2019. 12. 20.

내부회계관리제도운영위원회

내     용

문단 번호

제1장 개요

목적 및 적용
1~6
내부회계관리제도 평가의 의의
7~10
평가·보고의 원칙
11~14
내부회계관리제도의 미비점
15

내부회계관리제도의 미비점의 분류
16
내부회계관리제도 관련 법규의 고려
17
제2장 평가 절차

내부회계관리제도의 평가 개요
18~21
재무보고 위험과 통제에 대한 식별

22~46

재무보고 위험의 식별
24~29

재무보고 위험을 적절히 다룰 수 있는 통제의 식별
30~36

전사적 수준 통제의 고려
37~41

정보기술 일반통제의 역할
42~43

평가의 근거자료

44~46
내부회계관리제도 설계 및 운영의 효과성 평가
47~71

평가 시 필요한 증거자료 결정
52~58

내부회계관리제도 설계 및 운영에 대한 평가 절차 수립
59~67

평가를 지원하기 위한 증거자료
68~71
복수의 사업단위에 대한 고려
72~74
제3장 보고 시 고려사항

통제 미비점에 대한 평가
75~86
경영진에 의한 내부회계관리제도의 효과성 평가 결론
87
내부회계관리제도 운영실태보고서의 보고
88~92
감사(위원회)의 내부회계관리제도 평가 및 보고
93~97
재무제표 재작성이 내부회계관리제도 운영실태보고서에 미치는 영향
98~99
내부회계관리제도의 특정 영역에 대한 평가가 불가능한 상황
100~101
제1장      개요

내부회계관리제도 평가 및 보고 모범규준

제 정   2018.  06.  28

개 정   2019.  12.  20

 

목적  및 적용

1               내부회계관리제도는 회사의 재무제표가 일반적으로 인정되는 회계처리기준(이하 “회계기준”이라 함)에 따라 작성·공시되었는지에 대한 합리적 확신을 제공하기 위해 설계·운영되는 내부통제제도의 일부분으로서 회사의 경영진과 이사회를 포함한 모든 구성원들에 의해 지속적으로 실행되는 과정이다.

2               주식회사 등의 외부감사에 관한 법률(이하 “외감법”이라 함)은 경영진으로 하여금 신뢰할 수 있는 회계정보의 작성과 공시를 위하여 내부회계관리제도를 유지하도록 요구하는 동시에 내부회계관리제도에 대한 합리적 확신을 제공하기 위해 내부회계관리제도가 효과적으로 설계·운영되는지 여부를 매 사업연도마다 평가하고 투자자들에게 그 평가 결과를 공표하도록 요구하고 있다.

3               경영진은 외감법 제8조에 따라 내부회계관리제도를 설계·운영하기 위하여 준거기준으로 사용할 일반적으로 인정되는 내부통제제도 체계(이하 “내부통제체계”라 함)를 선택하여야 한다. 일반적으로 인정되는 내부통제체계는 회사가 내부회계관리제도를 설계·운영하는데 필요한 기본원칙을 제시하는 기준으로서, 효과적인 내부통제에 실제 존재하고 작동할 것으로 기대되는 내부통제의 구성내용을 정의한다.

4               경영진은 일반적으로 인정되는 내부통제체계로서 내부회계관리제도운영위원회(이하 “운영위원회”라 함)가 발표한 “내부회계관리제도 설계 및 운영 개념체계(이하 ”설계·운영 개념체계”라 함)”를 사용할 수 있으며 또한 경영진은 보다 적절하다고 판단하는 경우 다른 내부통제체계(예를 들어, COSO Framework(미국) 등 외감법 제8조의 정의에 부합되는 기타 기준)를 일반적으로 인정되는 내부통제체계로 사용할 수도 있다. 운영위원회는 경영진이 회사의 환경 및 상황을 고려하여 적절하고 유용한 내부통제체계를 검토하고 선택하는 것을 권장한다.

5               본 내부회계관리제도 평가 및 보고 모범규준(이하 “평가·보고 모범규준”이라 함)은 경영진이 선택한 내부통제체계에 따라 설계·운영한 내부회계관리제도의 평가 및 보고에 관한 지침을 제공하는 것을 목적으로 한다. 본 평가·보고 모범규준은 내부회계관리제도 평가 시 하향식 접근방법 또는 위험기반의 접근방법을 적용할 수 있는 방안을 제공한다. 본 평가·보고 모범규준을 준수하여 내부회계관리제도를 평가하는 것은 외감법 제8조에서 제시하는 내부회계관리제도의 평가 요구사항을 충족할 수 있는 하나의 방법이다.

5.1    내부회계관리제도 평가·보고와 관련하여 외감법에서 요구하고 있는 사항은 다음과 같다.

•        회사의 대표자는 사업연도마다 주주총회, 이사회 및 감사(또는 감사위원회)에게 해당 회사의 내부회계관리제도운영실태를 대면(對面)보고하여야 한다. 회사의 대표자가 필요하다고 판단하는 경우 이사회 및 감사에 대한 보고는 내부회계관리자가 하도록 할 수 있다(외감법 제8조 제4항).

•        회사의 감사(또는 감사위원회)는 내부회계관리제도의 운영실태를 평가하여 이사회에 사업연도마다 보고하고 그 평가보고서를 해당 회사의 본점에 5년간 비치하여야 한다. 이 경우 내부회계관리제도의 관리·운영에 대하여 시정 의견이 있으면 그 의견을 포함하여 보고하여야 한다(외감법 제8조 제5항).

•        그 밖에 신뢰할 수 있는 회계정보의 작성과 공시를 위하여 필요한 사항으로서 외감법 시행령에서 정하는 사항

6               본 평가·보고 모범규준은 회사가 외감법에서 요구하는 내부회계관리제도를 내부통제체계에 따라 이미 구축하여 운영하고 있음을 가정한다. 따라서 본 평가·보고 모범규준에서는 회사가 선택한 내부통제체계에 부합하도록 하기 위하여 내부회계관리제도를 어떻게 설계·운영하여야 하는지에 대한 지침은 제공하지 않는다. 또한 본 평가·보고 모범규준은 외부 재무보고 목적 이외 내부통제시스템의 효과성을 평가하는 절차까지 포함하지는 않는다.

 

내부회계관리제도 평가의 의의

7               경영진은 내부회계관리제도의 설계·운영 평가에 합리적인 확신을 제공하기 위한 문서화를 포함한 증거자료를 유지할 책임이 있다. 이를 통하여 외부감사인과 같은 제3자가 증거자료를 기반으로 경영진이 수행한 내부회계관리제도와 관련된 업무의 타당성을 확인할 수 있다.

8               내부회계관리제도는 인적 오류로 인한 잘못된 판단 및 부주의 등 내부통제의 고유 한계로 인하여 절대적 확신을 제공할 수 없다. 또한, 내부회계관리제도는 공모 또는 부적절한 경영진의 통제 무시(management override)를 통해 우회될 수 있다. 이러한 한계 때문에 내부회계관리제도는 의도하지 않은 오류 혹은 부정 여부와 관계 없이 모든 왜곡표시를 예방 또는 적발할 수 없다. 그러나 이러한 고유 한계는 재무보고 프로세스의 특징으로 잘 알려져 있기 때문에 고유 한계로부터 발생하는 위험을 제거하지는 못하더라도 이를 감소시키기 위한 절차를 안전장치로서 설계하는 것이 바람직하다.

9               설계·운영 개념체계에서 제시한 “합리적 확신”이란, 이른바 회사의 회계와 내부회계관리제도에 충분한 전문지식을 갖춘 객관적인 관리자(prudent official)를 만족시키기에 충분한 확신과 정교함의 수준을 의미한다. 이러한 “합리성”은 회사 기록에 대한 정확성의 절대적 기준을 의미하지 않는다. “합리성”이 객관적인 기준이지만, 내부회계관리제도를 적용 및 실행하는데 있어 어느 정도가 합리적인지에 대한 회사의 판단이 필요하다. 따라서 평가·보고 모범규준에서 “합리적”, “합리적인”, “합리성”이라는 문구는 하나의 결론이나 방법론을 의미하는 것이 아니라 회사의 결정에 근거가 될 수 있는 다양하고 적절한 업무 절차, 결론, 방법론을 포함할 수 있다.

10             합리적인 결론을 도출하기 위한 다양한 방법을 허용하고 이에 따른 유연성을 제공하기 위해 평가·보고 모범규준에서는 다음과 같은 사항을 제시한다.

•        내부회계관리제도 평가에 일상적인 업무과정, 자가평가 및 기타 상시적인 모니터링의 적용 방안

•        설계·운영 개념체계에 제시된 문서화의 목적에 부합하는 유연한 내부회계관리제도 평가 방식에 대한 문서화 방법

•        위험평가 결과가 낮은 영역과 관련된 적절한 증거자료의 범위 결정 시, 상당한 수준의 유연성 제공

•        외부감사인과 다른 테스트 방법을 적용하는 것을 허용

 

평가·보고의 원칙

11             평가·보고 모범규준은 다음의 두 가지 원칙을 제시한다.

11.1  첫 번째 원칙은 경영진이 재무제표의 중요한 왜곡표시를 적시에 예방하거나 적발하지 못할 위험을 적절히 다루기 위한 통제활동을 설계 및 구축하였는지 평가하는 것이다. 평가·보고 모범규준은 동 원칙에 대한 접근방법으로 전사적 수준 통제의 역할을 포함하여 재무보고 위험을 평가하고 통제의 적정성을 평가하는데 있어 적용할 하향식 접근방법 또는 위험기반의 접근방법을 설명한다. 이를 통해, 평가·보고 모범규준은 경영진이 재무제표의 중요한 왜곡표시 위험을 적절히 다룰 수 있는 통제에 집중하도록 함으로써 내부회계관리제도의 효율성 증대방안을 제시한다.

평가·보고 모범규준은 경영진에게 프로세스의 모든 통제를 식별하거나 내부회계관리제도에 영향을 주는 모든 업무프로세스의 문서화를 요구하지는 않는다. 오히려 경영진은 중요한 왜곡표시 위험을 적절하게 다룰 수 있는 통제의 설계 및 운영을 평가하는데 필요한 문서화와 평가 절차에 중점을 둘 수 있다. 예를 들어, 만약 경영진이 중요한 왜곡표시 위험이 전사적 수준의 통제에 의해 충분히 관리되었다고 판단한다면 다른 통제에 대한 추가적인 평가는 필요하지 않을 수 있다.

11.2  두 번째 원칙은 경영진이 위험평가에 기초하여 통제 운영에 대한 평가를 수행하여야 한다는 것이다. 평가·보고 모범규준은 내부회계관리제도 평가에 필요한 증거에 대해 위험기반의 접근방법을 제시한다. 이를 통해 경영진이 재무보고의 신뢰성에 위험을 초래하는 정도에 따라, 평가 절차의 성격과 범위를 결정할 수 있도록 한다. 결과적으로, 경영진은 위험이 낮은 부문의 증거자료를 수집할 경우 자가평가와 같은 좀 더 효율적인 접근방식을 적용할 수 있으며, 위험이 높은 부문의 증거자료를 수집할 경우 좀 더 광범위한 테스트를 수행할 수 있다.

11.3  제시된 두 가지 원칙에 따라, 다양한 규모와 복잡성을 가진 회사들이 내부회계관리제도 평가를 효과적이고 효율적으로 수행할 수 있을 것이다.

12             본 평가·보고 모범규준은 내부회계관리제도가 효과적인지 평가하기 위한 실무적인 지침을 제공하고, 회사의 고유한 특성에 부합하는 평가 절차를 수립하기 위해 경영진이 회사의 경험과 정보에 근거한 판단을 적용하여야 한다는 내용을 반복하고 있다. 이를 통하여 경영진이 평가 절차를 수립하기 위한 충분하고 적절한 유연성을 가질 수 있도록 한다. 일반적으로 대기업보다 덜 복잡한 내부통제시스템을 가지고 있는 중소기업은 회사가 처한 환경과 상황에 맞게 평가방법과 절차를 조정할 수 있다. 운영위원회는 중소기업이 효율적이고 효과적인 내부회계관리제도 평가를 수행하는 과정에서 본 평가·보고 모범규준을 유연하게 적용하는 것을 권장한다.

13             내부회계관리제도의 최초 평가를 수행하는 데 필요한 업무의 정도는 회사마다 다를 것이다. 이는 회사가 기존에 수행하고 있는 위험평가 절차와 관련된 내부통제 모니터링 활동이 다르기 때문이기도 하다. 최초 평가가 수행된 이후에는 재무보고 위험과 관련 통제를 식별하기 위한 경영진의 노력은 줄어드는 것이 일반적이다. 왜냐하면 후속 평가는 모든 재무보고 위험과 관련된 통제의 식별보다는 기존에 적절하게 파악된 위험과 관련 통제의 변화사항에 집중하기 때문이다.

14             위험평가 및 관련된 통제 식별 절차를 통해, 경영진은 외부 재무보고의 신뢰성에 대한 합리적인 확신을 제공하기 위해 필요한 통제만을 선정하고, 해당 통제 운영에 대한 증거를 효율적으로 획득할 수 있을 것이다. 통제가 지속적으로 효과적인지 평가하기 위한 절차의 성격과 범위는 회사의 상황에 따라 조정될 수 있으며, 이를 통하여 불필요한 관련 비용을 줄일 수 있다.

 

내부회계관리제도의 미비점

15             내부회계관리제도의 미비점은 경영진과 임직원이 담당 업무를 수행하는 정상적인 과정에서 재무제표 왜곡표시를 예방하거나 적시에 적발할 수 없을 때 발생하며, 설계의 미비점 또는 운영의 미비점으로 구분할 수 있다.

15.1  설계의 미비점은 내부회계관리제도의 목적을 달성하기 위한 내부통제가 존재하지 않거나, 내부회계관리제도가 적절하게 설계되어 있지 않아서 내부회계관리제도가 설계된 대로 작동하더라도 그 목적이 달성되지 못할 때 발생한다.

15.2  운영의 미비점은 적절하게 설계된 내부회계관리제도가 설계된 대로 운영되지 않거나, 통제를 수행하는 담당자가 통제를 효과적으로 수행하기 위해 필요한 권한이나 자질을 갖고 있지 않을 때 발생한다.

 

내부회계관리제도의 미비점의 분류

16             내부회계관리제도의 미비점은 재무제표 왜곡표시의 발생 가능성 및 금액적 중요성에 따라 단순한 미비점, 유의한 미비점, 중요한 취약점*으로 구분하며, 중요한 취약점이 발견된 경우에는 경영진은 회사의 내부회계관리제도가 효과적이라고 결론지을 수 없다. 경영진은 발견된 모든 미비점을 개별적으로 그리고 다른 미비점과 결합하여 평가하여, 회사의 내부회계관리제도에 유의한 미비점 또는 중요한 취약점이 존재하는지 여부를 평가한다.

* 내부회계관리제도의 중요한 취약점(Material Weakness)은 내부통제의 중요한 미비점(Major Deficiency) 수준에 대응된다.

준거 기준
내부통제제도의 미비점 분류

(설계·운영 개념체계 문단 7)
내부회계관리제도의 미비점 분류

(설계·운영 개념체계 문단 27 및 본 평가·보고 모범규준)
미비점 구분
중요한 미비점 (Major Deficiency)
중요한 취약점(Material Weakness)
미비점(Deficiency)
유의한 미비점(Significant Deficiency)
미비점(Deficiency)
16.1  중요한 취약점이란 하나 또는 여러 개 미비점의 결합으로서 재무제표상 중요한 왜곡표시가 예방 또는 적시에 적발되지 못할 가능성이 낮지 않은(reasonable possibility) 경우를 말한다.

16.2  일반적으로 발생가능성은 i) ‘낮은(remote)’, ii) ‘합리적으로 발생가능한(reasonably possible)’, iii) ‘높은(probable)’의 세 단계로 구분되는데, 여기에서 ii) ‘합리적으로 발생가능한(reasonably possible)’ 또는 iii) ‘높은(probable)’ 가능성의 경우 ‘가능성이 낮지 않은(reasonable possibility) 경우’에 해당한다.

* i) ‘낮은(remote)’ 분류에 해당하지 않는 경우 ‘가능성이 낮지 않은(reasonable possibility)’ 경우에 해당하며, 이에 따라 실무적으로는 이를 ‘more than remote(낮지 않은 발생가능성)’이라고 표현하기도 함.

16.3  유의한 미비점이란 중요한 취약점으로 분류될 수준은 아니지만, 회사의 재무보고를 감독할 책임이 있는 이사회, 감사(위원회) 등이 주목할만한 하나 또는 여러 개 통제상 미비점의 결합을 의미한다.

내부회계관리제도 관련 법규의 고려

17             회사는 내부회계관리제도 평가 및 보고 시 외감법 등 내부회계관리제도 관련 법규 요구사항의 준수 여부를 평가하여야 한다. 주요 평가 대상으로 다음 항목의 적정성을 고려하여야 한다.

•        내부회계관리규정과 관리 운영

•        내부회계관리조직 및 내부회계관리자 지정

•        회계정보의 작성, 변경, 폐기 관련 규정과 적용

•        내부회계관리제도 설계 및 운영

•        내부회계관리제도 평가 및 보고 절차

•        기타 관련 법규 등에서 규정하는 사항

 

제2장       평가 절차

내부회계관리제도의 평가 개요

18             내부회계관리제도는 회사의 재무제표가 회계기준에 따라 작성 및 공시되었는지에 대한 합리적 확신을 제공하는 것을 목적으로 한다. 내부회계관리제도의 평가 목적은 경영진이 회계연도 말 시점의 내부회계관리제도에 중요한 취약점의 존재 여부를 평가하는데 있어서 합리적인 근거를 제공하는데 있다. 이를 달성하기 위해, 경영진은 재무보고의 신뢰성에 대한 위험을 식별하고, 이러한 위험을 처리하기 위한 통제가 존재하는지 평가하며, 위험평가에 근거한 통제 운영에 대한 증거를 평가하여야 한다.

19             평가 절차는 기업마다 다를 수 있다. 그러나 본 평가·보고 모범규준에서 설명하는 하향식 접근방법 또는 위험기반의 접근방법은 일반적으로 평가를 수행하는 가장 효율적이고 효과적인 방법일 것이다.

20             평가 절차는 두 개의 부문으로 되어 있다. 첫 번째 부문은 외부 재무보고의 위험을 식별하고 식별된 위험과 관련하여 경영진이 구축한 내부회계관리제도가 해당 위험을 적절히 처리할 수 있도록 설계되었는지를 평가(설계의 효과성 평가)하는 방법을 설명한다. 두 번째 부문은 내부회계관리제도의 운영이 효과적인지를 평가(운영의 효과성 평가)하기 위한 방법, 절차 및 적용할 수 있는 판단의 방법을 설명한다. 두 개의 부문 모두 전사적 수준 통제가 내부회계관리제도 평가 절차에 어떻게 영향을 주는지를 설명하고 있으며, 경영진이 재무제표 왜곡표시 위험이 높은 분야에 평가의 중점을 둘 수 있는 방법을 설명한다.

21             경영진의 내부회계관리제도의 효과성에 대한 사업연도별 평가는 반드시 회사가 선택한 내부통제체계에서 제시하는 효과적인 내부통제에 대한 정의에 부합하는지 여부를 확인하여야 한다. 또한, 내부회계관리제도의 효과성을 평가하는데 있어서 경영진은 그 내부통제 구성내용이 효과적인 내부회계관리제도에 필요한 정책, 절차 및 활동을 포함하고 있는지 여부를 평가한다.

 

재무보고 위험과 통제에 대한 식별

22             경영진은 내부회계관리제도의 목적을 달성하기 위한 통제가 잘 설계 및 운영되었는지 평가하여야 한다. 경영진의 평가는 재무보고의 신뢰성에 대한 위험의 식별과 평가로부터 출발한다. 그리고 경영진은 재무보고의 신뢰성에 대한 위험을 처리하는데 합리적인 확신을 제공할 수 있도록 통제가 설계 및 운영되고 있는지 여부를 평가하여야 한다. 경영진은 평가된 위험을 적절하게 다루는 통제를 식별하는데 있어 회사의 전사적 수준의 통제 평가 결과를 고려하여야 한다.

23             평가·보고 모범규준에서 제시된 평가 방법은 아래에서 설명하는 각 회사의 재무보고 위험에 따라 경영진이 관련 통제를 식별하고 통제에 대한 증거자료를 유지하는 방법에 적용할 수 있도록 한다.

 

재무보고 위험의 식별

24             경영진은 왜곡표시 위험이 개별적으로 또는 다른 요소들과 결합하여 재무제표의 중요한 왜곡표시로 나타날 수 있는지 식별하여야 한다. 일반적으로 재무보고 위험의 식별은 회계기준의 요구 사항이 회사의 사업, 운영 및 거래에 어떻게 적용되고 있는지 평가하는 것으로 시작한다. 경영진은 회계기준에 따라 회사의 재무상태, 재무성과 및 현금흐름을 공정하게 표시하는 재무제표를 투자자에게 제공하여야 한다. 하나 이상의 재무제표 금액과 공시사항에 누락을 포함한 중요한 왜곡표시가 있는 경우 적정한 표시가 아니다.

25             경영진은 사업 및 조직, 운영과 프로세스에 대한 지식과 이해를 바탕으로 재무보고 요소의 왜곡표시 위험과 그 원천을 고려한다.

26             또한, 왜곡표시 위험은 재무보고와 관련된 거래의 개시, 승인, 처리, 기록 및 수정절차와 같은 원천으로부터 발생할 수 있다. 경영진은 잠재적 왜곡표시 가능성과 원천 및 중요한 왜곡표시가 발생하는 원인을 식별하기 위해 재무보고 요소에서 “무엇이 잘못될 수 있는가”를 고려하는 것이 효과적이다.

27             재무보고 위험을 식별하기 위한 방법 및 절차는 회사의 특성에 따라 달라질 수 있다. 이러한 특성에는 회사의 크기, 복잡성, 조직구조와 프로세스 및 재무보고 환경뿐만 아니라 경영진이 채택한 내부통제체계에서 제시하는 방안 등이 포함된다. 예를 들어, 대규모 비즈니스나 복잡한 비즈니스 프로세스에서 재무보고 위험을 식별하기 위해 경영진은 전문 지식을 가진 직원을 포함하여 다양한 직원들을 참여시킬 수 있다. 참여한 인원은 회계기준과 거래를 발생부터 승인, 기록 및 처리하는데 필요한 시스템을 포함한 관련된 프로세스 및 절차를 충분히 이해할 필요가 있다. 반면, 프로세스 또는 위험이 거의 변화하지 않고 덜 복잡한 비즈니스 프로세스를 가진 중소기업의 경우, 경영진의 일상적인 모니터링 활동이 재무보고 위험을 적절히 식별하는데 충분한 정보를 제공할 수 있다.

28             경영진의 왜곡표시 위험에 대한 평가는 부정한 재무보고, 자산의 남용 및 부패와 같은 부정에 대한 기업의 취약점과 해당 취약점으로 인해 재무제표가 중요하게 왜곡표시 될 수 있는지에 대한 고려가 포함되어야 한다. 부정위험 평가에 요구되는 업무의 정도는 회사의 운영 활동과 재무보고 환경의 규모 및 복잡성에 비례한다.

29             경영진은 부정에 의한 왜곡표시 위험이 규모나 유형에 관계없이 모든 조직에 일반적으로 존재하며, 특정 지역 또는 부문 및 개별 재무보고 요소에 따라 다를 수 있음을 인식하여야 한다. 예를 들어, 모든 규모와 유형의 회사에서 부정한 재무보고를 초래할 수 있는 부정위험의 유형은 경영진의 내부회계관리규정이나 통제를 무시할 위험이다.

 

재무보고 위험을 적절히 다룰 수 있는 통제의 식별

30             경영진은 회사의 재무보고 위험을 적절하게 다루는 통제가 운영되고 있는지 평가하여야 한다. 개별 통제 또는 통제의 결합하여 재무보고 위험을 적절히 처리하고 있는지 여부를 결정하는 것은 통제가 적절하게 운영된다면 재무제표의 중요한 왜곡표시를 초래할 수 있는 오류를 효과적으로 예방하거나 적발할 수 있는지에 대한 판단을 포함한다. 내부회계관리제도에 미비점이 존재한다고 경영진이 판단했다면 중요한 취약점에 해당하는지 여부를 결정하기 위해 발견된 미비점을 평가하여야 한다. 본 평가·보고 모범규준 제3장 내 ‘통제 미비점에 대한 평가’ 부분에서 경영진이 해당 평가를 할 수 있도록 지원한다.

31             경영진은 재무보고 위험을 적절하게 처리할 수 있는 예방통제, 적발통제 또는 두 가지를 결합한 통제를 식별할 것이다. 재무보고 요소에 대한 왜곡표시 위험을 처리하기 위해서는 하나 이상의 통제가 있을 수 있다. 반면에 하나의 통제가 하나 이상의 재무보고 요소의 위험을 처리할 수도 있다.

32             만약, 재무보고 위험을 다루기 위해 중복되는 통제가 필요한 경우가 아니라면 중복 통제를 포함한 존재하는 모든 통제를 식별할 필요는 없다. 예를 들어, 경영진은 재무제표의 중요한 왜곡표시를 초래할 수 있는 이자비용의 왜곡표시 위험이 회사의 기말 재무제표 작성 절차 관련 통제에 의해 충분히 관리될 수 있다고 판단할 수 있다. 이러한 경우에 경영진은 내부회계관리제도의 평가 목적상 이자비용의 왜곡표시 위험과 관련하여 추가적인 통제에 대한 평가가 필요하지 않다고 판단할 수 있다.

33             또한 경영진은 식별된 재무보고 위험 통제 운영 평가의 효율성을 고려할 수 있다. 하나 이상의 통제가 존재하고 각각 재무보고 위험을 적절하게 처리하는 경우, 경영진은 운영의 효과성 증거를 보다 효율적으로 얻을 수 있는 통제를 평가 대상으로 선택할 수 있다. 또한, 적절한 정보기술 일반통제가 존재하고 해당 통제의 운영이 효과적이라고 판단한다면 경영진은 자동통제가 수동통제보다 평가하기에 보다 더 효율적이라고 판단할 수 있다.

34             구체적인 개별 재무보고 요소의 위험을 처리하는 통제를 식별하는 것 외에, 경영진은 기말 재무제표 작성 절차에 대한 통제, 전사적 수준과 전반적 요소를 처리할 수 있는 통제 등을 포함하여 평가한다. 예를 들어, 일반적으로 통제환경과 관련된 통제, 경영진의 통제 무시 위험과 관련한 통제, 전사적 수준의 위험평가 프로세스 및 모니터링 활동, 그리고 기말 재무제표 작성 절차에 대한 통제 및 중요한 통제와 위험관리 활동과 관련된 정책 등이 효과적인 내부통제에 부합하는지 여부를 평가하는 것을 포함한다.

35             재무보고 위험을 다루는 통제 식별 시, 경영진은 통제가 설계된 대로 작동하지 않을 위험과 관련된 통제의 특성을 인지할 수 있다. 예를 들어, 통제의 복잡성과 통제 적용에 필요한 판단의 정도를 확인하고 운영 평가의 방법, 범위 및 시기 등을 결정하는데 이용할 수 있다.

36             통제 식별 과정의 마지막으로, 경영진은 내부회계관리제도의 목적을 달성하는데 필요한 통제를 평가하고 통제의 운영에 대한 증거를 확인하고, 통제 운영의 증거를 효과적이고 효율적으로 획득할 수 있는 방안을 확인할 수 있다.

 

전사적 수준 통제의 고려

37             경영진은 재무보고 요소에 대한 위험 및 관련 통제를 식별할 때 회사의 전사적 수준 통제의 효과성을 고려한다.

38             이 과정에서, 경영진은 설계·운영 개념체계에서 요구하는 효과적인 내부회계관리제도를 위한 요건과 전사적 수준 통제들이 재무보고 요소와 연관되는 방식을 고려하는 것이 중요하다. 단, 재무보고 요소와의 관계가 직접적이지 않을수록 통제가 왜곡표시를 예방하거나 적발하는데 덜 효과적일 수 있다.

39             통제환경과 관련된 통제와 같은 일부 전사적 수준 통제는 간접적이지만 적시에 왜곡표시를 예방하거나 적발할 가능성에 중요한 영향을 미친다. 이러한 통제는 경영진이 재무보고 요소에 대한 위험을 적절하게 다루기 위하여 필요한 다른 통제들을 결정하는데 영향을 미칠 수 있다. 그러나 경영진은 재무보고 요소에 대하여 식별된 위험을 적절하게 다루기 위하여 이러한 유형의 전사적 수준 통제만을 식별하지는 않을 것이다.

40             일부 전사적 수준 통제는 하위 수준의 통제가 실패할 가능성을 식별할 수 있도록 설계될 수도 있지만, 해당 전사적 수준 통제만으로 재무보고 위험을 적절하게 처리할 수 있는 것은 아니다. 예를 들어, 통제 운영의 결과를 모니터링하는 전사적 수준 통제는 잠재적인 왜곡표시를 적발하고 하위 수준의 통제가 실패하였는지 조사하도록 설계될 수 있다. 그러나 모니터링 통제에 의하여 적발되기 전까지 존재할 수 있는 잠재적인 왜곡표시의 금액이 너무 큰 경우 해당 통제는 재무보고 요소와 관련된 위험을 적절하게 처리하지 못할 수 있다.

41             전사적 수준 통제는 프로세스, 응용시스템, 거래 또는 계정과목 수준에서 재무제표의 중요한 왜곡표시를 초래할 수 있는 재무보고 요소의 왜곡표시를 예방하거나 적시에 적발할 수 있도록 충분히 정교하게 설계되고 운영될 수 있다. 이러한 경우, 경영진은 재무보고 위험과 관련된 추가적인 통제를 식별하거나 평가할 필요가 없을 수 있다.

 

정보기술 일반통제의 역할

42             경영진이 재무보고 위험을 다루기 위하여 식별한 통제들은 자동화되거나, IT기능에 의존하거나 수동 및 자동화된 절차의 결합일 수 있다. 이러한 경우, 경영진은 평가 과정에서 자동통제 및 IT에 의존하는 통제와 함께 해당 IT기능을 제공하는 시스템에 대한 정보기술 일반통제의 설계 및 운영을 고려한다. 일반적으로 정보기술 일반통제만으로 재무보고 위험을 적절하게 처리할 수는 없지만, 적절하고 지속적인 자동통제 또는 IT기능은 효과적인 정보기술 일반통제에 의존한다. IT와 관련된 위험과 통제의 식별은 별도로 평가되어서는 안되며, 경영진이 재무보고 위험과 통제를 식별하고 평가에 필요한 증거자료를 결정하는 과정에서 사용되는 하향식, 위험기반 접근방법에 따라 수행되어야 한다.

43             내부회계관리제도 평가에 연관되는 정보기술 일반통제의 대상 시스템 및 통제는 회사의 상황에 따라 다를 수 있다. 내부회계관리제도 평가 목적으로 경영진은 재무보고 위험을 적절하게 처리하기 위하여 설계된 통제가 적절하고 지속적으로 운영되는데 필요한 정보기술 일반통제만을 평가할 수 있다. 예를 들어, 경영진은 프로그램 개발, 프로그램 변경, 컴퓨터 운영, 프로그램과 데이터에 대한 접근과 같은 정보기술 일반통제 영역의 특정 부분을 회사의 상황에 맞게 적용하는 것을 고려한다. 즉, 재무보고 위험을 처리하는 것과 관련이 없으며, 회사의 운영 측면의 효과성 또는 효율성과 주로 관련된 정보기술 일반통제를 평가할 필요는 없다.

 

평가의 근거자료

44             내부회계관리제도 평가 시, 경영진은 반드시 평가 결론을 뒷받침할 수 있는 합리적인 수준의 근거자료를 유지하여야 한다. 효과적인 내부회계관리제도를 위하여 필요한 전사적 수준 통제 및 다른 전반적인 구성요소를 포함한 위험을 적절히 처리하기 위해 경영진이 수행하는 통제 설계에 대한 문서화는 합리적인 근거자료의 필수적인 부분이다. 문서화의 형식과 범위는 회사의 규모, 성격, 복잡성에 따라 달라질 수 있으며, 종이 문서, 전자문서, 또는 다른 미디어 등 다양한 형태일 수 있다.

45             또한 문서화는 정책 및 절차 매뉴얼, 업무흐름도, 조직도, 직무기술서, 내부 기안문, 양식 등 여러 가지 방법으로 수행될 수 있다. 문서화는 재무보고에 영향을 미치는 프로세스 내에 존재하는 모든 통제를 포함할 필요는 없으며, 경영진이 재무보고 위험을 적절하게 해결할 수 있다고 결정한 통제만 포함할 수 있다.

46             통제 설계에 대한 문서화는 내부회계관리제도 평가뿐만 아니라 효과적인 내부통제 시스템의 다른 목적들도 지원한다. 예를 들어, 통제의 변화 여부를 포함하여 내부회계관리제도상 통제가 식별되었고, 통제 수행 책임자와 의사소통되었으며, 회사에 의해 모니터링될 수 있다는 근거로 사용될 수 있다.

 

내부회계관리제도 설계 및 운영의 효과성 평가

47             경영진은 내부회계관리제도 설계와 운영의 효과성에 대한 증거자료를 평가하여야 한다. 통제 설계의 효과성을 평가할 때는 통제가 정책 및 절차와 긴밀하게 연계되는지, 관련된 위험이 충분히 처리될 정도로 정교한지, 예외사항 발생 시의 대응방안 등이 적절한지 확인한다. 회사의 주요 프로세스에 대한 추적조사는 매우 효과적인 설계 평가 방법 중 하나이다. 회사의 내부회계관리제도의 최초 설계와 변화관리체계가 적절하게 운영되는 경우, 동 절차로 설계 평가를 대신할 수 있다. 이러한 경우 후속 연도마다 내부회계관리제도 전체 설계 문서를 새로 작성하지 않더라도, 전년 대비 변화사항에 대한 설계 평가가 적시에 이뤄졌을 것이다. 이와 반대로 내부회계관리제도의 설계에 대한 변화관리가 적절히 이루어지지 못하는 경우 설계 평가를 위한 추적조사를 확대 적용하는 것을 고려한다. 변화관리체계는 기중에 발생하는 내부회계관리제도에 영향을 미치는 변화사항을 식별하고 위험을 평가하여 대응하는 통제활동의 설계 및 변경을 수행하고 관련 내부회계관리제도 문서를 업데이트하는 절차로 구성된다.

48             통제 운영의 효과성을 평가할 때는 통제가 설계된 대로 운영되고 있는지 여부와 통제를 수행하는 인원이 효과적으로 통제를 수행하는데 필요한 권한과 능력을 보유하고 있는지 고려하여야 한다. 재무보고 요소에 대한 위험을 적절하게 처리하기 위하여 식별된 통제의 운영에 대한 증거자료 수집 절차는 개별 재무보고 요소의 성격 등이 고려된 고유위험 및 관련된 통제위험에 따라 조정된다.

49             경영진은 일반적으로 재무보고 요소의 왜곡표시 위험이 높은 영역의 통제 운영 평가에 중점을 두어야 한다. 또한, 경영진은 재무보고 위험평가 시 통제환경의 상대적인 강점 및 약점과 같은 전사적 수준 통제의 영향을 고려하여야 한다. 전사적 수준 통제가 특정 통제가 작동하지 않을 위험에 영향을 미칠 수 있기 때문이다.

50             통제의 효과적인 운영에 대한 증거자료는 통제에 대한 독립적인 평가 또는 상시적인 모니터링을 통하여 얻을 수 있다. 통제의 효과적인 운영에 대한 충분한 증거자료를 얻기 위한 평가 절차의 성격, 시기, 범위는 내부회계관리제도의 위험평가 결과에 따라 다르다. 입수한 통제 운영의 증거자료가 내부회계관리제도 운영 평가에 대한 합리적인 근거가 될 수 있는지 검토할 때, 경영진은 증거자료의 양(예를 들어, 표본의 크기)뿐만 아니라 증거자료의 질적 특성도 고려하여야 한다.

51             증거자료의 질적 특성은 수행된 평가 절차의 성격, 증거자료와 연관된 기간, 통제를 평가하는 인원의 객관성, 상시적인 모니터링 대상과 관련되거나 모니터링 항목의 기반이 되는 통제를 독립적인 평가에 포함하는 방식 등이 예가 될 수 있다. 증거자료의 충분성은 이러한 속성 중 어떤 하나의 속성에 의해서 개별적으로 결정되는 것은 아니다.

 

평가 시 필요한 증거자료 결정

52             경영진은 내부회계관리제도 평가 시 필요한 증거자료를 결정하기 위하여 재무보고 요소에 대한 위험을 적절하게 처리할 수 있도록 식별된 통제가 효과적으로 설계 및 운영되지 않을 위험(이하  “통제위험”이라 함)을 평가하여야 한다. 이러한 평가 시 통제가 관련되어 있는 재무보고 요소의 특성 및 통제 자체의 특성을 고려하여야 한다.

53             경영진은 재무보고 요소의 왜곡표시 위험을 판단할 때 재무보고 요소 자체의 중요성과 이를 구성하는 계정잔액, 거래 또는 기타 정보의 민감성 등을 고려한다. 재무보고 요소의 금액이 증가할수록 재무제표가 왜곡표시될 수 있는 금액이 증가하므로, 경영진의 재무보고 요소에 대한 왜곡표시 위험도 비례하여 증가한다.

54             추가적으로, 경영진은 중요한 왜곡표시가 발생하기 쉬운 거래, 계정잔액 또는 기타 정보를 포함하는 재무보고 요소를 고려한다. 재무보고 요소에서 중요한 왜곡표시의 발생 가능성은 다음을 고려하여 판단한다.

•         계정과목 등의 금액을 결정하는데 필요한 판단의 정도

•         부정 발생의 가능성

•         회계처리의 복잡성

•         계정과목 등을 구성하는 거래의 성격 또는 규모의 변화 정도

•         기술적, 경제적 발전과 같은 환경적 변화에 대한 민감도

55             경영진은 통제가 효과적으로 운영되지 못할 위험을 판단할 때 다음 사항을 고려한다.

•        통제의 유형(즉, 수동통제 또는 자동통제)과 수행 빈도

•        통제의 복잡성

•        경영진의 통제 무시 위험

•        통제를 수행하기 위하여 필요한 판단의 정도

•        통제를 수행하거나 통제 운영의 적정성을 모니터링하는 인원의 역량

•        통제를 수행하거나 통제 운영의 적정성을 모니터링하는 주요 인원의 변동 여부

•        통제가 예방 또는 적발하고자 하는 왜곡표시의 성격(예를 들어, 오류 혹은 부정)과 중요성

•        통제가 다른 통제활동의 효과성에 의존하는 정도(예를 들어, 정보기술 일반통제)

•        과거연도 통제 운영의 효과성 평가 결과

예를 들어, 경영진은 복잡하지 않고 적은 판단을 요구하는 통제보다는 중요한 판단을 요구하는 통제가 효과적으로 운영되지 못할 위험이 더 높은 것으로 평가할 것이다.

56             특수관계자 거래, 중요한 회계정책, 중요한 회계추정치와 관련된 재무보고 요소들은 일반적으로 높은 왜곡표시 위험을 가진 것으로 평가된다. 이러한 재무보고 요소들과 관련된 통제의 속성이 경영진의 통제 무시 위험에 취약하고, 중요한 판단을 수반하거나 복잡할 때, 일반적으로 재무보고가 왜곡표시될 위험이 높은 것으로 평가되어야 한다.

57             재무보고 요소와 관련된 위험에 대응하여 둘 이상의 통제를 설계·운영하는 경우 경영진은 개별 통제의 위험 특성을 분석하여야 한다. 왜냐하면 각각의 통제가 반드시 같은 종류의 위험을 처리하지 않을 수 있기 때문이다. 예를 들어, 중요한 추정을 수반하는 재무보고 요소에는 원천 데이터를 집계하는 자동통제와 높은 수준의 판단이 필요한 수동통제의 조합이 필요할 수 있다. 이러한 경우, 큰 변화가 없는 시스템의 효과적인 정보기술 일반통제에 의존하는 자동통제는 낮은 위험을 가진다고 평가될 수 있는 반면, 수동통제는 높은 위험을 가진다고 평가된다.

58             경영진은 내부회계관리제도 평가에 필요한 증거자료를 결정할 때 전사적 수준 통제의 영향을 고려하여야 한다. 예를 들어, 통제가 효과적으로 운영되지 못할 가능성에 대한 경영진의 판단은 통제환경의 효과성에 의해 영향을 받을 수 있고, 이로 인하여 해당 통제를 평가하기 위한 증거에 영향을 미칠 수 있다. 하지만, 잘 갖추어진 통제환경이라 하더라도 직접적이지 않은 전사적 수준의 통제를 근거로 통제 운영에 대한 평가를 수행하지 않을 수는 없다.

 

내부회계관리제도 설계 및 운영에 대한 평가 절차 수립

59             경영진은 식별된 통제 운영의 효과성에 대한 합리적인 근거를 제공하는 증거자료를 평가하여야 한다. 경영진은 충분한 증거자료를 얻기 위하여 필요한 평가 방법과 절차를 결정하기 위하여 위험 평가 결과를 고려한다. 평가 방법과 절차는 임직원의 일상적인 업무와 통합되거나, 내부회계관리제도 평가 목적을 위하여 별도로 수립될 수 있다.

60             경영진이 평가하는 증거자료는 통제에 대한 독립적인 평가와 상시적인 모니터링 또는 두 가지의 방법을 사용하여 얻을 수 있다. 일반적으로 통제에 대한 독립적인 평가는 검토 대상 통제에 대하여 높은 수준의 객관성을 가진 인원에 의해 정기적으로 수행된다. 독립적인 평가는 특정 시점의 증거를 제공하며, 상시적인 모니터링의 신뢰성에 대한 근거를 제공할 수 있다.

 

61             상시적인 모니터링은 통제 운영의 결과를 확인하는 경영진의 일상적이고 반복적으로 수행되는 활동을 의미한다. 예를 들어, 이러한 활동들은 자가평가 절차와 통제 운영 여부를 확인할 수 있도록 설계된 성과지표를 분석하는 절차를 포함한다. 자가평가는 다양한 수준의 객관성을 가진 인원에 의하여 수행되는 여러 유형의 절차를 포함한다. 자가평가는 평가 대상 통제를 운영할 책임이 있는 인원이 수행하는 평가는 물론 평가 대상 통제의 운영책임이 없는 경영진 등이 실시하는 평가를 포함하는 개념이다. 자가평가가 제공하는 증거자료의 성격은 평가자나 평가 수행 방식 등에 따라 달라진다. 예를 들어, 통제를 운영할 책임이 있는 인원에 의해 수행된 자가평가의 증거자료는 일반적으로 평가자의 낮은 객관성으로 인하여 낮은 수준의 확신을 제공하므로 핵심통제활동에는 적용하지 않는다.

62             통제위험의 크기에 따라 경영진은 입수된 증거자료의 성격을 조정한다. 예를 들어, 경영진은 보다 객관적인 인원을 활용하여 상시적인 모니터에 대한 증거자료를 추가하거나, 주기적으로 수행되는 통제활동에 대한 독립적인 평가 범위를 증가시킬 수 있다. 경영진은 또한 독립적인 평가의 대상 기간을 조정함으로써 입수된 증거자료의 성격을 조정할 수 있다.

63             통제위험이 높게 평가된 경우, 경영진이 입수하는 증거자료는 일반적으로 독립적인 평가 또는 높은 수준의 객관성을 가진 인원에 의하여 수행된 상시적인 모니터링의 결과로 구성될 것이다 상시적인 모니터링이 객관성이 낮은 인원에 의하여 수행된 경우, 통제 운영과 독립된 인원에 의한 독립적인 평가로 보강하는 것을 고려한다. 이러한 경우, 통제에 대한 독립적인 평가는 상시적인 모니터링 및 모니터링 대상 통제의 운영 평가에 대한 증거자료를 제공한다. 통제위험이 낮게 평가된 경우, 경영진은 상시적인 모니터링에 의해 입수된 증거자료가 충분하다면 독립적인 평가는 필요하지 않다고 결론지을 수도 있다.

64             경영진은 평가 수행 시 평가 대상이 되는 기간 중 일반적으로 회계연도 말을 포함하는 충분한 기간에 대한 증거자료를 고려한다. 중간평가를 통해 발견한 통제 미비점을 개선한 경우, 개선된 통제가 회계연도 말 시점을 기점으로 충분한 기간 동안 운영되어 향후에도 효과적일 것으로 판단할 수 있어야 한다.

65             중소기업의 경우, 회사의 통제와 경영진의 일상적인 상호작용이 내부회계관리제도 운영을 평가하기에 충분한 증거자료를 제공할 수 있다. 일상적인 상호작용으로부터 입수된 증거자료는 내부회계관리제도의 효과성 평가 책임자가 통제 수행에 지속적으로 참여하거나 직접적인 감독을 수행함으로써 입수된 정보를 포함한다.

66             통제와의 일상적인 상호작용이 내부회계관리제도 운영의 효과성을 평가하기 위한 충분한 증거자료를 제공하는지 결정할 때 경영진은 회사의 특정한 상황과 환경을 고려하여야 한다. 예를 들어, 일상적인 상호작용은 통제 운영이 중앙 집중화되어 있고, 통제 운영에 관련되는 인원의 수가 제한적인 경우에 충분한 증거자료를 제공한다. 반대로, 경영진의 보고 체계 또는 운영 부문이 복잡한 회사의 일상적인 상호작용은 내부회계관리제도의 효과성 평가 책임자가 일반적으로 통제 운영에 대한 지식이 충분하지 않기 때문에 충분한 증거자료를 제공하지 못할 것이다. 이러한 상황에서는 평가를 합리적으로 지원하기 위하여 경영진이 통제를 독립적으로 평가하거나 다른 상시적인 모니터링 절차를 활용한다.

67             경영진은 통제가 효과적으로 운영되고 있는지 판단하기 위하여 수집한 증거자료를 평가한다. 이러한 평가 시 통제가 설계된 대로 운영되고 있는지 고려한다. 또한 경영진은 어떻게 통제가 적용되었는지, 일관되게 적용되고 있는지, 그리고 통제를 수행하는 인원이 통제를 효과적으로 수행하기 위하여 필요한 권한 및 역량을 보유하고 있는지 고려한다.

 

평가를 지원하기 위한 증거자료

68             경영진의 평가 결과는 합리적인 증거자료에 의하여 뒷받침되어야 한다. 평가에 대한 합리적인 증거자료는 증거를 수집하고 평가하는데 사용된 방법 및 절차에 대한 문서화와 같은 경영진의 평가 근거를 포함한다.

69             증거자료는 여러 가지 형태를 취할 수 있으며, 각각의 재무보고 요소와 관련된 통제에 대하여 평가된 위험평가 결과에 따라 다를 수 있다. 예를 들어, 전사적 수준 통제 및 재무보고 요소가 왜곡표시될 고유위험과 통제위험의 정도에 따라 경영진의 평가 방법, 절차 및 기타 중요한 항목을 결정할 수 있다. 이러한 위험평가 결과에 근거한 평가의 계획 및 결과를 문서화 한다.

70             만약 경영진이 회사의 장부와 기록된 증거자료가 경영진의 평가 결과를 합리적으로 지원하는데 충분하다고 판단한다면, 경영진이 평가한 증거자료에 대한 사본을 별도로 유지할 필요가 없을 수 있다. 예를 들어, 회사의 통제와 경영진의 일상적인 상호작용이 평가의 근거자료를 제공하는 중소기업의 경우, 경영진은 내부회계관리제도 평가를 위하여 별도의 문서를 작성하는 것을 제한할 수 있다. 그러나 이러한 경우 경영진은 평가의 합리적인 근거로써 경영진의 일상적인 상호작용이 어떻게 충분한 증거를 제공하는지에 관한 문서를 포함시킬지 고려하여야 한다. 이러한 문서화는 메모, 이메일 그리고 경영진부터 직원들까지 공유된 정책 또는 지침 등을 포함한다.

71             경영진의 평가에 대한 합리적인 근거를 제공하는 증거자료에는 회사가 채택한 내부통제체계에서 필요하다고 제시한 회사의 전사적 수준 및 내부회계관리제도의 전반적인 구성요소들의 효과성에 대한 결론을 경영진이 어떻게 도출하였는지에 대한 문서화를 포함한다.

 

복수의 사업단위에 대한 고려

72             경영진의 재무보고 위험에 대한 고려는 일반적으로 개별 사업장과 사업단위로 평가한다. 다만 경영진은 하나의 사업부를 가진 회사의 평가 접근방법과 유사하게 재무보고 위험이 중앙 집중화되어 운영되는 통제들에 의하여 처리될 경우 통합하여 평가할 수 있다. 재무보고 위험을 처리하는데 필요한 통제들이 둘 이상의 사업장 또는 사업부에서 운영되는 경우, 경영진은 일반적으로 개별 사업장 또는 사업부 수준에서 통제 운영에 대한 증거를 평가한다.

73             경영진은 개별 사업장 또는 사업부에서 운영되는 통제위험이 낮다고 판단할 수 있는 경우가 있다. 이러한 경우, 경영진은 반복적인 자가평가 또는 상시적인 모니터링을 통하여 입수된 증거자료들이 개별 사업장의 운영 결과를 모니터링하는 중앙 집중화된 통제로부터 입수된 증거들과 결합되었을 때, 평가를 위한 충분한 증거자료가 구성되었다고 판단할 수 있다. 반대로 경영진은 개별 사업장의 통제 운영이 복잡하거나 판단이 개입되어 통제가 효과적으로 운영되지 않을 위험이 높다고 판단할 경우, 사업장 통제의 효과적인 운영에 대하여 더 많은 증거자료가 필요하다고 결정할 수 있다.

74             경영진은 일반적으로 증거자료의 성격과 범위가 충분한지 결정할 때, 개별 사업장의 모든 통제에 대하여 동일한 판단을 하기 보다는 각 재무보고 요소에 대한 통제의 위험 특성을 고려하여야 한다. 식별된 통제의 위험 특성을 평가할 때, 경영진은 통제가 효과적으로 운영되지 못할 위험에 영향을 줄 수 있는 사업장 특유의 위험이 존재하는지 고려하여야 한다. 추가적으로, 특정 사업장의 모든 통제 또는 대부분의 통제가 높은 위험을 가지고 있다고 고려할 수 있는 전반적인 위험 요소가 존재할 수 있다.

 

제3장       보고 시 고려사항

통제 미비점에 대한 평가

75             하나의 통제 미비점 또는 통제 미비점들의 결합이 중요한 취약점인지 결정하기 위하여 경영진은 파악된 개별 통제 미비점의 심각성을 평가하여야 한다. 중요한 취약점으로 평가한 통제 미비점은 내부회계관리제도의 효과성 평가에 대한 경영진의 운영실태보고서에 반영되어야 한다. 유의한 미비점으로 고려된 통제 미비점은 감사(위원회) 및 외부감사인에게 보고되어야 한다. 다만, 해당 유의한 미비점은 경영진의 운영실태보고서에 포함하지는 않는다.

76             경영진은 하나 이상의 내부회계관리제도 미비점이 중요한 취약점으로 결정된다면 내부회계관리제도가 효과적이라고 할 수 없다. 내부회계관리제도 평가 시, 경영진은 회계연도 말 시점을 기준으로 각 미비점이 개별적으로 또는 결합하여 중요한 취약점인지 고려한다.

77             통제 미비점이 개별적으로는 덜 심각하더라도, 복수의 통제 미비점이 동일한 재무제표 계정 또는 공시사항에 영향을 미치는 경우 왜곡표시의 가능성은 증가하며, 재무제표의 중요한 왜곡표시를 예방하거나 적시에 적발하지 못할 가능성이 낮지 않은지(reasonable possibility) 종합적으로 고려하여 중요한 취약점으로 판단한다. 따라서 경영진은 통제 미비점들이 결합되어 중요한 취약점으로 평가되는지 판단하기 위하여 개별 통제 미비점들이 동일한 재무제표 금액 또는 공시사항, 또는 설계·운영 개념체계의 내부통제제도 구성요소와 원칙에 영향을 미치는지 평가하여야 한다.

78             통제 미비점의 심각성 평가 시에는 양적인 요소와 질적인 요소를 모두 고려하여야 한다. 경영진은 회사의 내부회계관리제도가 재무제표 금액 또는 공시사항의 왜곡표시가 발생할 가능성과 미비점 또는 미비점들로부터 초래되는 잠재적 왜곡표시의 금액적 크기를 고려하여 내부회계관리제도 미비점의 심각성을 평가한다. 내부회계관리제도 미비점의 심각성은 왜곡표시가 실제로 발생했는지가 아니라, 회사의 내부회계관리제도가 왜곡표시를 예방하거나 적시에 적발하는데 실패할 가능성이 낮지 않은지(reasonable possibility) 여부에 따라 평가한다.

79             미비점 또는 미비점의 결합으로 재무제표 금액 또는 공시사항의 왜곡표시가 발생할 가능성에 영향을 미치는 위험 요소는 다음 사항을 포함하며, 이에 한정되지 않는다.

•        관련된 재무보고 요소의 성격(예를 들어, 가계정 및 특수관계자 거래는 더 큰 위험을 수반)

•        관련된 자산 및 부채의 손실 또는 부정에 노출된 민감도(예를 들어, 민감도가 클수록 위험이 증가)

•        금액 결정에 요구되는 주관성, 복잡성 및 판단의 정도(예를 들어, 회계 추정과 관련된 사항과 같이 주관성, 복잡성, 판단의 정도가 클수록 위험이 증가)

•        통제들의 상호 의존성 및 중복 여부를 포함한 통제와 다른 통제들간의 연관 관계(예를 들어, 보완통제가 존재하면 위험이 감소하고, 통제간 상호 의존성이 높으면 위험이 증가)

•        둘 이상의 연관된 미비점에 대한 평가 시 미비점들의 상호작용으로 인하여 동일한 재무제표 금액 또는 공시사항에 영향을 줄 수 있는지 여부(예를 들어, 미비점간 상호작용이 있으면 위험이 증가)

•        미비점으로 인하여 발생 가능한 미래의 결과(예를 들어, 발생 가능한 미래의 결과가 중요할수록 위험이 증가)

80             내부회계관리제도의 미비점 또는 미비점들로부터 발생할 수 있는 왜곡표시의 금액적 크기에 영향을 미치는 요소들은 다음의 사항을 포함하나, 해당 사항으로만 한정되지는 않는다.

•        미비점에 노출된 재무제표 금액 또는 거래금액 합계

•        당기에 발생하였거나 미래에 발생할 것으로 예상되는 미비점에 노출된 계정잔액 또는 거래 유형의 규모

81             잠재적 왜곡표시의 금액적 크기를 평가할 때, 과대계상될 수 있는 계정잔액 또는 거래금액 합계의 최대값은 일반적으로 기록된 금액이나, 과소계상의 경우 더 큰 금액으로 평가될 수 있다. 또한 대부분의 경우, 소액의 왜곡표시 가능성이 거액의 왜곡표시 가능성보다 더 높다.

82             경영진은 하나의 미비점 또는 미비점들의 결합이 중요한 취약점인지 결정할 때 보완통제의 영향을 평가하여야 한다. 보완 효과를 가지기 위하여 보완통제는 중요한 왜곡표시를 예방 또는 적발할 수 있는 정교한 수준으로 운영되어야 한다. 하나의 미비점 또는 미비점들의 결합이 중요한 취약점인지 판단할 때, 경영진은 관련된 정보를 고려하여야 한다.

83             다음은 중요한 취약점의 징후로서 경영진은 다음 상황이 발생하는 경우, 해당 내부회계관리제도의 미비점이 중요한 취약점인지 평가하여야 한다.

•        금액이 중요한지와 관계없이 고위 경영진에 의한 부정이 발견된 경우

•        중요한 왜곡표시의 수정을 반영하기 위하여 기존 재무제표를 재작성하는 경우

•        회사의 내부회계관리제도에 의해 파악하지 못한 중요한 당기 수정사항으로써, 회사가 제시한 최초 재무제표에 반영되지 아니하였으나 외부감사인에 의하여 파악된 경우(최종 재무제표에 동 수정사항을 반영하였는지 여부는 관계 없음)

•        회사의 외부 재무보고와 내부회계관리제도에 대한 감사(위원회)의 감독기능이 효과적이지 않은 경우

•        합리적인 근거 없이 외감법 제8조에서 정한 사항이 내부회계관리규정에 포함되지 않거나 준수되지 않은 경우

84             내부회계관리제도 미비점의 중요성 평가 시에는 재무제표 작성을 관리 감독할 경영진의 능력이 현저히 부재한 경우나 유의한 미비점들에 대한 경영진의 시정조치가 적절히 이행되지 않은 경우와 같이 내부회계관리제도에 전반적인 영향을 미칠 수 있는 상황을 함께 고려하여야 한다.

85             내부회계관리제도의 미비점 또는 미비점 결합의 중요성 평가 시, 경영진은 회계와 내부회계관리제도에 충분한 전문지식을 갖춘 객관적인 관리자가 업무를 수행하는 과정에서 회계기준에 부합하는 재무제표가 작성되었다는 합리적인 확신을 가질 수 있도록 하는 확신의 정도와 정교함의 수준을 결정하고 이를 평가에 적용하여야 한다. 만약 미비점 또는 미비점 결합으로 인해 회계와 내부회계관리제도에 충분한 전문지식을 갖춘 객관적인 관리자가 업무를 수행하는 과정에서 회계기준에 부합하는 재무제표가 작성되었다는 합리적인 확신을 가질 수 없다면, 경영진은 해당 미비점 또는 미비점 결합을 중요한 취약점으로 다루어야 한다.

86             경영진은 미비점의 중요도를 판단할 때 재무보고를 감독할 책임이 있는 이사회, 감사(위원회) 등의 시각도 함께 고려하여야 한다, 즉, 중요한 취약점으로 분류될 수준은 아니지만 감독기구가 주목할 만큼 중요하다면 해당 미비점은 유의한 미비점으로 분류되어야 한다.

 

경영진에 의한 내부회계관리제도의 효과성 평가 결론

87             경영진은 내부회계관리제도의 효과성에 대한 평가 결과를 명확하게 표시하여야 하며, 회사의 내부회계관리제도가 특정 제약조건 하에서 효과적이라고 결론을 내릴 수 없다. 예를 들어, 경영진은 식별된 특정 중요한 취약점을 제외하거나 특정 사업부 등을 제외하고는 회사의 내부회계관리제도가 효과적이라고 결론을 내릴 수 없다.

 

내부회계관리제도 운영실태보고서의 보고

88             내부회계관리제도 운영실태보고서에는 다음과 같은 내용을 포함하여야 한다. 대표자(또는 대표이사, 이하 동일)는 운영실태보고서를 감사(위원회), 이사회, 주주총회 및 외부감사인에게 보고한다.

•        보고서 제목에 내부회계관리제도 운영실태보고서임을 기술

•        수신인이 주주총회, 이사회 및 감사(위원회)임을 기술

•        평가기준일에 평가 대상 기간에 대하여 내부회계관리제도의 설계 및 운영의 효과성에 대하여 평가하였다는 사실

•        경영진이 선택한 내부통제체계와 이에 따른 내부회계관리제도의 설계 및 운영의 책임은 대표이사 및 내부회계관리자를 포함한 회사의 경영진에 있다는 사실

•        내부회계관리제도의 설계 및 운영의 평가기준으로 평가·보고 모범규준을 사용하였다는 사실

•        중요성의 관점에서 평가·보고 모범규준에 따른 내부회계관리제도 평가 결론

•        중요한 취약점이 있는 경우 내부회계관리제도의 설계와 운영 상의 중요한 취약점에 대한 설명

•        중요한 취약점이 있는 경우 중요한 취약점에 대한 시정조치 계획

•        직전 사업연도에 보고한 중요한 취약점에 대한 시정조치 계획의 이행결과

•        그 밖에 외감법령에 따른 기재사항

•        보고서 일자

•        대표이사 및 내부회계관리자의 서명 날인

•        별첨: 상세평가내용

–       위반자에 대한 징계사항

–       중요한 취약점 및 시정조치 계획에 대한 상세 설명

89             경영진은 운영실태평가 또는 감사(위원회) 평가 결과 확인된 내부회계관리제도의 미비점이 적시에 시정될 수 있도록 하는 체계를 마련한다. 경영진은 평가를 통해 확인된 중요한 취약점과 (운영실태보고서에는 포함되지 않지만 평가결과 확인된) 유의한 미비점 및 개선방안을 감사(위원회)에 보고한다. 경영진은 감사(위원회)의 권고사항을 고려하여 평가 결과에 따른 필요한 조치를 결정한다. 경영진은 시정 또는 개선을 요하는 사항들에 대해 계획된 기간 내에 필요한 조치가 완료될 수 있도록 하며 사후 이행 여부에 대해 확인하여 보고한다.

90             중요한 취약점의 존재를 공시하는 것도 중요하지만, 오해를 불러일으키지 않도록 전체적인 상황을 구성하는데 필요하고 중요한 다른 정보들도 함께 공시하여야 한다. 공시의 근본적인 목적은 투자자들에게 중요한 취약점의 존재 여부만을 언급하는 것을 넘어서 분석내용을 제공하는 것이다. 특정 중요한 취약점의 잠재적 효과를 평가할 때 중요할 수 있는 다양한 유형의 중요한 취약점과 다양한 고려사항이 존재한다.

91             경영진은 하나 이상의 중요한 취약점이 존재하는 경우, 보고서에 내부회계관리제도가 비효과적이라는 결론을 공시하고, 투자자들이 통제 미비점의 원인을 이해하고 각각의 중요한 취약점의 잠재적인 영향을 평가할 수 있는 정보를 제공할 것인지 고려하여야 한다.

92             경영진이 내부회계관리제도에 전반적인 영향을 미치는 중요한 취약점과 부분적인 영향을 미치는 중요한 취약점을 구분하는 것을 포함하여 식별된 중요한 취약점이 재무제표에 미치는 잠재적인 영향 및 중요성을 구분해 준다면, 이러한 공시는 투자자들에게 더 유용할 것이다.

 

감사(위원회)의 내부회계관리제도 평가 및 보고

93             이사회는 경영진이 설계·운영하는 내부회계관리제도 전반에 대한 감독책임을 지며, 감사(위원회)는 경영진과는 독립적으로 내부회계관리제도에 대한 평가기능을 수행하고 이사회에 보고함으로써 내부회계관리제도의 적정한 운영과 지속적인 개선을 지원한다.

94             이사회는 내부회계관리제도에 대한 관리 감독 업무를 수행하며, 여기에는 다음과 같은 업무가 포함된다.

•        내부회계관리규정 및 중요 정책의 승인

•        내부회계관리제도와 관련된 조직구조의 승인

•        회사 내 재무보고 및 자산보호와 관련된 제반 위험에 대한 이해

•        파악된 위험에 대한 경영진의 대응방안 및 통제 미비점에 대한 경영진의 조치에 대한 확인

•        내부회계관리제도의 효과성에 대한 경영진의 모니터링 및 평가활동에 대한 확인 등

95             감사(위원회)는 경영진과 독립적인 입장에서 내부회계관리제도의 운영실태를 평가하고 그 결과를 이사회에 보고하여 미비점이나 취약점을 시정하게 함으로써 내부회계관리제도가 원활하게 운영되도록 하는 역할을 수행한다. 다음의 업무를 포함하는 감사(위원회)의 활동은 독립적인 평가가 이뤄졌다고 판단할 수 있다.

•        평가기간의 위험평가 결과를 포함한 평가 계획의 적정성 검토(당기 조치 계획 및 결과, 평가 기간, 평가자, 평가 대상과 방식의 적정성 포함)

•        운영실태보고서에 모든 중요한 취약점이 포함되었는지 확인(인지하거나 보고 받은 회계처리 이슈와 관련된 내부회계관리제도 적정성 평가)

•        운영실태보고서상 미비점 평가, 개선조치의 적정성 및 이행 현황 확인

•        내부회계관리규정 위반이나 운영실태보고서상 미비점으로 인한 성과평가 반영 계획이나 결과의 적정성 확인

•        외부감사인의 내부회계관리제도 감사 계획 및 결과의 적정성 확인

•        내부회계관리제도에 대한 독립적 평가 결과의 이사회 보고

•        내부회계관리제도와 관련된 내부고발 사항의 검토 및 내부회계관리제도에 미치는 영향 확인

•        운영실태보고서상 기타 항목의 적정성 확인과 내부회계관리제도 관리감독을 위한 검토

96             감사(위원회)는 이와 같은 업무 수행을 통해 경영진이 실시한 평가 절차와 운영실태 평가 결과의 적정성을 감독자의 관점에서 독립적으로 평가한다. 감사(위원회)는 내부회계관리제도 평가 시 경영진의 평가와 관련된 자료를 주로 활용하고, 경영진의 평가 절차가 적절하지 않거나 충분하지 않은 경우 추가적인 테스트를 수행할 수 있다. 감사(위원회)는 전문가를 활용하여 독자적으로 평가하거나, 회사의 내부감사기능을 활용하여 추가적인 테스트를 수행할 수 있으며, 평가 절차 및 그 결과를 문서화하여 충분한 근거자료를 마련한다.

97             감사(위원회)의 평가보고서에는 다음과 같은 내용을 포함하여 이사회에 대면 보고한다.

•        제목이 내부회계관리제도 평가보고서임을 기술

•        수신인이 주주 및 이사회임을 기술

•        평가기준일에 평가 대상 기간에 대하여 내부회계관리제도의 설계·운영의 효과성에 대하여 평가하였다는 사실

•        경영진이 선택한 내부통제체계와 이에 따른 내부회계관리제도의 설계 및 운영의 책임은 대표이사 및 내부회계관리자를 포함한 회사의 경영진에 있으며 감사(위원회)는 관리감독 책임이 있다는 사실

•        내부회계관리제도의 설계 및 운영의 평가 기준으로 평가·보고 모범규준을 사용하였다는 사실

•        중요성의 관점에서 평가·보고 모범규준에 따른 내부회계관리제도 평가 결론

•        중요한 취약점이 있는 경우 내부회계관리제도의 설계와 운영상의 중요한 취약점에 대한 설명

•        중요한 취약점이 있는 경우 중요한 취약점에 대한 시정조치 계획 또는 이미 수행 중인 절차

•        감사(위원회)는 내부회계관리제도 운영실태보고서를 참고하여 평가하였다는 사실, 추가적인 검토절차를 수행한 경우 해당 사실

•        그 밖에 외감법령에 따른 기재사항

•        보고서 일자

•        감사(위원회)의 서명 날인

•        별첨: 상세평가내용

–       운영실태보고서에 보고한 중요한 취약점 요약

–       권고사항

 

재무제표 재작성이 내부회계관리제도 운영실태보고서에 미치는 영향

98             기공시된 재무제표에서 중요한 왜곡표시가 발견되는 경우, 회사는 재무제표를 재작성하여야 한다. 그러나 재무제표 재작성 그 자체만으로는 해당 기간의 내부회계관리제도의 효과성에 대한 결론을 수정하여야 하는 것은 아니다.

99             경영진에게 내부회계관리제도의 효과성과 관련된 결론을 재평가하거나 수정하는 것이 필수적인 절차는 아니지만, 경영진은 과거의 결론이 여전히 적절한지 고려하여야 한다. 또한, 재무제표 재작성의 관점에서 기존 결론에 대한 오해가 발생하지 않기 위해 필요한 중요한 추가정보를 기존 공시된 내용에 보충하거나 수정을 고려하여야 한다.

 

내부회계관리제도의 특정 영역에 대한 평가가 불가능한 상황

100           경영진이 내부회계관리제도의 특정한 영역을 평가하기가 어려운 상황이 있을 수 있다. 예를 들면, 중요한 프로세스를 외부서비스제공자에 아웃소싱 한 경우 해당 프로세스의 통제운영의 효과성에 대한 증거자료가 필요할 수 있다. 그러나 외부서비스제공자가 3402 보고서(서비스조직의 통제에 대한 인증보고서)를 제공하려 하지 않거나, 외부서비스제공자에 구축된 통제의 효과성을 경영진이 직접 평가하는 것을 허용하지 않을 수 있다. 또한, 경영진은 대체적인 방법으로 프로세스에 대한 통제의 효과성 판단을 가능하게 하는 보완통제를 가지고 있지 않을 수도 있다.

101           그럼에도 불구하고, 경영진은 내부회계관리제도 운영실태보고서에 내부회계관리제도의 효과성에 관한 종합결론을 표명하여야 하며, “특정 부분을 제외하고는 효과적이다”는 식의 한정적인 표현을 사용할 수 없다. 따라서 경영진은 통제평가가 불가능한 특정 프로세스가 내부회계관리제도 전반에 미치는 중요성을 고려하여 내부회계관리제도에 대한 종합결론을 내려야 한다.