내부회계관리제도 용어

출처: https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=bkyang2011&logNo=221538802178

알기 쉬운 내부회계관리제도:변화하는 내부회계관리제도 어떻게 준비하고 계신가요?

이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다.

* 약어 : 설계(내부회계관리제도 설계 및 운영 개념체계, 2019.12.20), 설법(내부회계관리제도 설계 및 운영 적용기법, 2019.12.20), 평준(내부회계관리제도 평가 및 보고 모범규준, 2019.12.20), 평법(내부회계관리제도 평가 및 보고 적용기법, 2019.12.20), 설례(내부회계관리제도 설계 및 운영 적용사례, 2019.12.20), 모FAQ(내부회계관리제도 모범규준 등 적용 FAQ, 2019.12.20), 감서(감사기준서 1100 내부회계관리제도의 감사, 2019.1.1), 감FAQ(내부회계관리제도 감사 FAQ, 2021.1)

객관적인 관리자(분별력있는 관리자, prudent officials) 관점​ 결재(승인, 품의서, 보고서, 기안문 vs. 시행문) 경영자 주장(Management Assertions)​ 경영진(Management)​ 경영진 검토통제(MRC, Management Review Control)​ 계정과목과 프로세스 연계표 고위 경영진​ 고유위험(Inherent Risk) 관련 경영진주장(relevant assertion)​ 금액적 크기(magnitude of the potential misstatement)​ 기말 평가​ 내부통제제도(Internal Control System) 내부통제체계​ 내부회계관리제도(ICFR: Internal control over financial reporting)​ 내부회계관리제도 감사(Audit of Internal control over financial reporting) 내부회계관리제도 운영실태보고서​ 내부회계관리제도 평가 내부회계관리제도 평가보고서 독립적인 평가(Separate Evaluations)​ 동질적 통제(homogeneous control) 또는 공통통제(common control) 모의테스트(Dry run)​ 목적 달성에 영향을 미치는 위험​ 미비점 ​- 중요한 취약점(Material Weakness)​ - 유의한 미비점(Significant Deficiency) 발생가능성​ 변화관리체계​ 변이(anomaly) 벤치마킹 전략(Benchmarking approach)​ 보완통제(compensating controls) 부정(Fraud)​ 사업단위​ 상시적인 모니터링(Ongoing Evaluations)​ 소극적 확신(Negative Assurance)​ 수동통제(Manual Control)​ 수행빈도​ 승인(authorization) 시정계획표(RP; Remediation Plan) 업무기술서(NA: Narrative, 敍事)​ 업무성과 검토​ 업무분장(SoD, Segregation of Duties)​ 업무분장표​ 업무연속성계획(BCP: Business Continuity Planning) 업무프로세스(Business Process) 업무프로세스수준 통제 또는 거래수준 통제(PLC; Process Level Controls, TLC; Transaction Level Controls) 업무흐름도(Flowchart) 영업성과에 대한 모니터링​ 예방통제(Preventive control)​ 예외사항(Exception) 외부서비스제공자(OSP, Outsourced Service Provider) 유의적인 거래유형, 계정잔액 및 공시(significant class of transaction, account balance or disclousre)​ 유의한 계정과목 및 주석정보 ​ 일반적으로 인정된 다른 기준​ 임계치(threshold)​ 자동통제(Automated Control)​ 자동화된 모니터링 프로그램(Automated monitoring application, 또는 상시 모니터링 시스템) 잔여위험(Residual Risk) 재무보고요소​ 적발통제(Detective control)​ 전사수준 통제(ELC: Entity Level Control) - 간접 전사 통제(Indirect Entity-level Control)​ - 직접 전사 통제(Direct Entity-level Control)​ 접근제한(Restricted Access) 정보기술 일반통제(ITGC: Information Technology General Controls) 정보기술 자동통제(ITAC: Information Technology Automated Control) 정보처리목적(Information Processing Objectives)​ 정책과 절차(Policy and Procedure)​ 준거기준(Criteria) 중간 평가​ 중소기업​ 중요성(Materiality) 및 수행 중요성(Performance Materiality)​ 최종 사용자 컴퓨팅(EUC: End-User Computing)​ 추적조사(WT, Walk Through)​ 출발점(Baseline) 컴플라이언스(Compliance) 탐색적 질문(probing question) 테스트방법(질문, 관찰, 문서검사, 재수행)​ 통제기술서(CM or RCM, Control Matrix, Risk & Contrl Matrix)​ 통제목표(Control Objectives)​ 통제 미비점(Internal control deficiency)​ 통제운영책임자(Control Owner)​ 통제위험(Control risk) 통제의 모니터링​ 통제이탈(Control Deviations)​ 통제테스트(Tests of Controls) 통제활동(Control Activity) ​ 편집체크(Edit check) 평가대상범위의 선정(Scoping)​ 품의서(round robin, 稟議書) 프로세스(Process)​ 하향식 접근방법 또는 위험중심의 접근방법(Top-Down / Risk-Based Approach) 합리적 확신(Reasonable assurance)​ 핵심통제(Key control)​ 허용가능 오류 허용이탈률 확신(Assurance)​ 확신의 수준(Level of Assurance) ​ COSO(Committee of Sponsoring Organizations of the Treadway Commission) ELC(Entity Level Control) IPE(Information Produced by Entity) IT의존 수동통제(IT dependent Manual Control)​ LSPM(Likely Sources of Potential Misstatement) MRC(Management Review Control, Ref.경영진 검토통제) OSP(Outsourced Service Provider, Ref.외부서비스제공자·SOC) PLC(Process Level Controls) RFP(Request for Proposal, 제안 요청서)​ SOC(Service Organization Control, 서비스 조직 통제, Ref.외부서비스제공자·OSP) OSP(Outsourced Service Provider) PBC List(Provided By Client List) Scoping(범위 선정) SOC(Service Organization Control, 서비스 조직 통제)​ TP(Test Program)

객관적인 관리자(분별력있는?, prudent officials) 관점 : 평준 9, 평법 133,140

회계와 내부회계관리제도에 충분한 전문지식을 갖춘 객관적인 관리자(prudent officials)를 말한다. 설계 및 운영 평가시 "합리적 확신"이란, 이른바 회사의 회계와 내부회계관리제도에 충분한 전문지식을 갖춘 객관적인 관리자(prudent official)를 만족시키기에 충분한 확신과 정교함의 수준을 의미한다. 경영진은 미비점의 중요도를 판단할 경우에 정보이용자의 입장을 고려한 회계와 내부회계관리제도에 충분한 전문지식을 갖춘 객관적인 관리자의 기준에서 판단하여야 한다. 즉, 규정에 따라 업무처리를 수행하는 관리자가 그들의 업무수행 과정에서 발생하는 거래가 회계기준에 따라 적정하게 재무제표에 기록되고 있다고 합리적 확신(reasonable assurance)을 가질 수 있어야 한다. 만일 발견된 문제점에 대해 회계와 내부회계관리제도에 충분한 전문지식을 갖춘 객관적인 관리자가 그러한 합리적 확신을 가지지 못한다면 해당 미비점은 유의한 미비점 또는 중요한 취약점으로 분류되어야 한다.

​

결재(決裁, authorization, approval) : 문서에 있는 사안에 대하여 조직의 의사를 결정할 권한 있는 자가 그 의사를 결정하는 행위를 말한다. 모든 기안문서는 결재권자의 결재를 받아야만 문서로서 성립이 되어 시행할 수 있다.

- 승인(承認, authorization)은 결재와 동의어이기는 하지만, 통상 결재보다 더 넓은 의미로 사용된다. 예를 들면, 구두 승인도 가능한 일이다. 승인은 거래가 유효하다는 사실을 확인하며, 일반적으로 상위 경영진이 거래의 유효성을 검증 및 확인하는 형식을 취한다.

- 품의서(稟議書, round robin, 여쭐 품, 의논할 의)는 어떠한 일의 집행을 시행하기에 앞서 결재권자에게 특정한 사안을 승인해 줄 것을 요청하는 문서. 기안서와 동일한 의미지만, 굳이 구분하자면 승인을 구하기 위해 그 과정 및 계획을 좀 더 상세히 예정하고 그 내용에 대해 결재를 올리는 것이 기안서(drafting paper, 起案書)이다.

- 보고서(報告書, report)는 업무 과정 또는 결과에 대해 상세히 보고하는 서식이다. 결재는 사규대로 득하면 되고, 보고서의 세부 항목들이나 구성 또한 그때 그때 상급자의 요청에 따라 배열, 조정할 수 있으며 주로 이미 일어난 사건에 관한 보고의 형태가 많으므로 그 업무의 득실이나 반성을 중심으로 작성한다.

- 기안문(起案文 , document drafting) vs. 시행문(施行文, action copy) : 기안문이 어떤 일을 할 때 검토 후 허락을 받는 문서라면, 시행문은 결재를 득하고 명령문처럼 어떻게 행동할지를 알리는 문서이다.

​

경영자 주장(Management Assertions) : 평법 46

경영진은 파악된 유의한 계정과목 등에 대한 경영자 주장을 식별한다. 재무제표에 대한 경영자 주장(financial statements assertions)이란 재무제표의 계정과목 및 주석사항에 대하여 경영자가 명시적 혹은 묵시적으로 주장하는 내용을 말하며, 회계기준에 의하여 재무제표를 작성 및 공시하였다는 사실을 주장하는 것이다. 경영자 주장은 실재성(Existence), 완전성(Completeness), 권리와 의무(Rights and Obligations), 평가(Valuation), 재무제표 표시와 공시(Presentation and Disclosure), 발생사실(Occurrence), 측정(Measurement)의 일곱 가지로 분류된다.

​

경영진(Management) : 설계 보론B

일반적으로 고위 경영진의 지침과 통제가 회사 및 하위 조직 내에서 실행될 수 있도록 실무지침을 제시하고 지원하는 조직으로 고위 경영진과 구분될 수 있으며, 경우에 따라 고위 경영진을 포괄하는 의미로도 사용된다.

​

경영진 검토통제(MRC, Management Review Control) : 설법 101, 설례 10-5[사례]

MRC란 합리적 판단을 요하는 사항(예컨대 대손충당금, 퇴직충당부채 등)에 대한 관리자의 검토절차를 규정하고 통제하는 문서를 말한다. MRC란 회사가 수립한 리뷰 통제를 의미하는 것으로 회사 프로세스 상의 통제 중 에, 경영진이 해당 통제가 적절히 운영되고 있는지 확인 하는 통제로 “회사의 통 제에 대한 리뷰 통제”라고 정의할 수 있다.

미국 AS No.5 상에는 감사인은 경영진이 재무제표의 잠재적 왜곡표시를 확인하기 위해 구축한 통제를 파악하라고 되어 있으며, 또한 경영진이 회사 자산의 취득, 사용, 처분으로 인해 발생할 수 있는 잠재적 왜곡표시 시의 적절하게 예방하거나 적벌할 수 있는 통제를 파악하라고 명시되어 있다. 이에 대한 내용을 바탕으로 PCAOB에서 2013년 10월에 공표한 Staff Audit Practice Alert No. 11에는 회사가 MRC를 적절히 구축하여 운영할 것을 강제하고 있다. 회사는 MRC를 구축할 경우 해당 Reviewer가 어떠한 포인트를 가지고 해당 통제 를 리뷰할 것인지 사전에 해당 포인트를 사전적으로 문서화하고 ∙ MRC를 수행할 경우, 관련 증빙에 MRC를 수행한 자가 해당 포인트에 근거하여 어 떠한 리뷰를 수행하였는지 확인할 수 있도록 문서화하라고 되어 있다. 리뷰의 수행 수준도 해당 MRC의 목적을 고려하여, 어느 정도의 Level로 어떠한 Frequency로 해당 리뷰를 수행해야 하는지 사전에 정의를 하라고 되어 있다(예 를 들면 매출의 검증도 회사 전체 매출 분석 수준이 아니라, 지역별 매출, 제품별 매출 분석 등 그 분석의 수준이 적절하도록 설계하라고 권고).

재무보고와 관련된 중요한 회계 추정이나 각종 평가, 특수관계자 거래 또는 판단의 정도가 큰 회계정책의 적용은 통제위험이 높은 것으로 평가된다. 통제활동의 위험이 높거나 여러 개의 통제활동으로 구성된 경우에는 왜곡표시 발생을 방지할 수 있도록 더욱 정교하게 설계되어야 한다. 예를 들어, 경영진의 검토 통제는 통상적으로 보고서를 검토하는 활동으로 구성된다. 이러한 경우, 해당 보고서를 검토함으로써 왜곡표시 위험을 방지하기 위해서는 명확한 검토 항목과 항목별 허용치를 기준으로 비교하고 확인하는 절차를 포함한다. 검토 항목에는 중요 가정들의 적정성, 근거 자료의 신뢰성 및 적용된 각종 계산 방법의 적정성이나 올바른 계산결과 등을 포함한다. 동 항목은 다양한 평가보고서의 적정성을 검토하는 통제활동에 포함하여야 하는 항목과 동일하다.

​

계정과목과 프로세스 연계표 : 평법 63

계정과목과 개별 프로세스간의 연관성을 표시한 표.

​

고위 경영진 : 설계 보론B

임직원이 내부회계관리제도와 관련된 책임을 이해하고 이행할 수 있도록 방향성을 제시하고, 내부회계관리제도에 궁극적인 책임을 지는 회사의 대표자(또는 대표이사) 등을 의미한다.

​

고유위험(Inherent Risk) : 설계 보론B

모든 관련 통제를 고려하기 전에 거래유형, 계정잔액 혹은 공시에 대한 경영진의 주장이, 개별적으로 또는 다른 왜곡표시와 합칠 때 중요하게 왜곡표시 될 가능성

​

관련 경영진주장(relevant assertion) : 감서 1100.6(a)

재무제표의 중요한 왜곡표시를 야기할 왜곡표시 또는 왜곡표시들을 포함할 가능성이 낮지 않은(more than remote) 재무제표 주장. 경영진주장이 관련경영진주장인지 여부에 대한 결정은 통제의 효과와 상관없이, 고유위험에 근거하여야 한다.

​

금액적 크기(magnitude of the potential misstatement) : 평법 136

금액적 크기란 발생할 수 있는 잠재적 재무제표 왜곡표시의 크기(magnitude of the potential misstatement)를 말한다. 따라서 실제로 발생한 재무제표의 왜곡표시 금액이 아닌 발생 가능한 왜곡표시의 예상치이다. “잠재적 재무제표 왜곡표시 크기의 유의한 수준”이란 회사의 재무보고를 감독할 책임이 있는 이사회, 감사(위원회) 등이 주목할 만한 수준으로서, 중요성 금액기준의 일정비율을 의미하며 유의한 미비점과 단순한 미비점을 구분할 수 있는 하나의 기준이 된다.

​

기말 평가 : 평법 113

기말평가란 (기말)평가기준일 이전에 중간평가를 실시한 경우에 중간평가의 결론이 평가기준일 현재에도 여전히 유효한지를 확인하기 위해 중간평가일부터 평가기준일까지의 기간에 대해 추가적인 평가를 실시하는 것을 말한다.

​

내부통제제도(Internal Control System) : 설계 5, 6

내부통제제도는 다음의 세 가지 목적달성에 대한 합리적 확신을 제공하기 위하여 조직의 이사회, 경영진 및 여타 구성원에 의해 지속적으로 실행되는 일련의 과정이다.

• 기업운영의 효율성 및 효과성 확보(운영목적) ; 회사가 업무를 수행함에 있어 자원을 효과적이고 효율적으로 사용하고 있다.

• 보고 정보의 신뢰성 확보(보고목적) : 회사는 내부 및 외부 보고를 위해 정확하고 신뢰할 수 있는 재무정보와 비재무정보의 작성 및 보고체계를 유지하고 있다.

• 관련 법규 및 정책의 준수(법규준수목적): 회사의 모든 활동은 관련 법규, 감독규정, 내부정책 및 절차를 준수하고 있다.

내부통제제도는 통제환경, 위험평가, 통제활동, 정보 및 의사소통, 모니터링 활동의 5가지의 구성요소와 각 구성요소별로 달성되어야 할 원칙으로 이루어진다.

​

내부통제체계 : 평준 3,4

경영진은 외감법 제8조에 따라 내부회계관리제도를 설계·운영하기 위하여 준거기준으로 사용할 일반적으로 인정되는 내부통제제도 체계(내부통제체계)를 선택하여야 한다. 일반적으로 인정되는 내부통제체계는 회사가 내부회계관리제도를 설계·운영하는데 필요한 기본원칙을 제시하는 기준으로서, 효과적인 내부통제에 실제 존재하고 작동할 것으로 기대되는 내부통제의 구성내용을 정의한다. 경영진은 일반적으로 인정되는 내부통제체계로서 내부회계관리제도운영위원회(이하 “운영위원회”라 함)가 발표한 “내부회계관리제도 설계 및 운영 개념체계를 사용할 수 있으며 또한 경영진은 보다 적절하다고 판단하는 경우 다른 내부통제체계(예를 들어, COSO Framework(미국) 등 외감법 제8조의 정의에 부합되는 기타 기준)를 일반적으로 인정되는 내부통제체계로 사용할 수도 있다. 운영위원회는 경영진이 회사의 환경 및 상황을 고려하여 적절하고 유용한 내부통제체계를 검토하고 선택하는 것을 권장한다.

​

내부회계관리제도(ICFR: Internal control over financial reporting) : 설계 11, 12, 감서 1100.6(b)

내부회계관리제도는 회사의 재무제표가 일반적으로 인정되는 회계처리기준에 따라 작성·공시되었는지에 대한 합리적 확신을 제공하기 위해 설계·운영되는 내부통제제도의 일부분으로서 회사의 경영진과 이사회를 포함한 모든 구성원들에 의해 지속적으로 실행되는 과정을 의미한다.

내부회계관리제도는 내부통제제도의 보고정보의 신뢰성 확보목적 중 외부에 공시되는 재무제표의 신뢰성 확보를 목적으로 하며, 여기에는 자산의 보호 및 부정방지 프로그램이 포함된다. 또한, 운영목적이나 법규준수목적 등 다른 목적과 관련된 내부통제제도가 재무제표의 신뢰성 확보와 관련된 경우 해당 내부통제제도는 내부회계관리제도의 범위에 포함된다.

​

내부회계관리제도 감사(Audit of Internal control over financial reporting) : 감서 1100,6(c)

기업의 내부회계관리제도의 설계 및 운영 효과성에 대한 감사

​

내부회계관리제도 운영실태보고서 : 평준 88, 평법 151,152,153,157,별첨

회사의 대표자는 사업연도마다 주주총회, 이사회 및 감사(또는 감사위원회)에게 해당 회사의 내부회계관리제도운영실태를 대면(對面)보고하여야 한다. 회사의 대표자가 필요하다고 판단하는 경우 이사회 및 감사에 대한 보고는 내부회계관리자가 하도록 할 수 있다(외감법 제8조 제4항). 경영진은 회사의 내부회계관리제도의 효과성에 대한 평가를 수행하고 평가기준일 현재 내부회계관리제도가 효과적으로 설계 및 운영되고 있는지의 여부에 대한 종합 결론을 ‘내부회계관리제도 운영실태보고서’에 반영한다.

​

내부회계관리제도 평가 : 평준 18~21, 감서 1100,6(d)

내부회계관리제도는 회사의 재무제표가 회계기준에 따라 작성 및 공시되었는지에 대한 합리적 확신을 제공하는 것을 목적으로 한다. 내부회계관리제도의 평가 목적은 경영진이 회계연도 말 시점의 내부회계관리제도에 중요한 취약점의 존재 여부를 평가하는데 있어서 합리적인 근거를 제공하는데 있다. 이를 달성하기 위해, 경영진은 재무보고의 신뢰성에 대한 위험을 식별하고, 이러한 위험을 처리하기 위한 통제가 존재하는지 평가하며, 위험평가에 근거한 통제 운영에 대한 증거를 평가하여야 한다.

평가 절차는 기업마다 다를 수 있다. 그러나 본 평가·보고 모범규준에서 설명하는 하향식 접근방법 또는 위험기반의 접근방법은 일반적으로 평가를 수행하는 가장 효율적이고 효과적인 방법일 것이다.

평가 절차는 두 개의 부문으로 되어 있다. 첫 번째 부문은 외부 재무보고의 위험을 식별하고 식별된 위험과 관련하여 경영진이 구축한 내부회계관리제도가 해당 위험을 적절히 처리할 수 있도록 설계되었는지를 평가(설계의 효과성 평가)하는 방법을 설명한다. 두 번째 부문은 내부회계관리제도의 운영이 효과적인지를 평가(운영의 효과성 평가)하기 위한 방법, 절차 및 적용할 수 있는 판단의 방법을 설명한다. 두 개의 부문 모두 전사적 수준 통제가 내부회계관리제도 평가 절차에 어떻게 영향을 주는지를 설명하고 있으며, 경영진이 재무제표 왜곡표시 위험이 높은 분야에 평가의 중점을 둘 수 있는 방법을 설명한다.

경영진의 내부회계관리제도의 효과성에 대한 사업연도별 평가는 반드시 회사가 선택한 내부통제체계에서 제시하는 효과적인 내부통제에 대한 정의에 부합하는지 여부를 확인하여야 한다. 또한, 내부회계관리제도의 효과성을 평가하는데 있어서 경영진은 그 내부통제 구성내용이 효과적인 내부회계관리제도에 필요한 정책, 절차 및 활동을 포함하고 있는지 여부를 평가한다.

내부회계관리제도 평가 시, 경영진은 반드시 평가 결론을 뒷받침할 수 있는 합리적인 수준의 근거자료를 유지하여야 한다. 효과적인 내부회계관리제도를 위하여 필요한 전사적 수준 통제 및 다른 전반적인 구성요소를 포함한 위험을 적절히 처리하기 위해 경영진이 수행하는 통제 설계에 대한 문서화는 합리적인 근거자료의 필수적인 부분이다. 문서화의 형식과 범위는 회사의 규모, 성격, 복잡성에 따라 달라질 수 있으며, 종이 문서, 전자문서, 또는 다른 미디어 등 다양한 형태일 수 있다.

또한 문서화는 정책 및 절차 매뉴얼, 업무흐름도, 조직도, 직무기술서, 내부 기안문, 양식 등 여러 가지 방법으로 수행될 수 있다. 문서화는 재무보고에 영향을 미치는 프로세스 내에 존재하는 모든 통제를 포함할 필요는 없으며, 경영진이 재무보고 위험을 적절하게 해결할 수 있다고 결정한 통제만 포함할 수 있다.

통제 설계에 대한 문서화는 내부회계관리제도 평가뿐만 아니라 효과적인 내부통제 시스템의 다른 목적들도 지원한다. 예를 들어, 통제의 변화 여부를 포함하여 내부회계관리제도상 통제가 식별되었고, 통제 수행 책임자와 의사소통되었으며, 회사에 의해 모니터링될 수 있다는 근거로 사용될 수 있다.

​

내부회계관리제도 평가보고서 : 평준 97, 평법 별첨

회사의 감사(또는 감사위원회)는 내부회계관리제도의 운영실태를 평가하여 이사회에 사업연도마다 보고하고 그 평가보고서를 해당 회사의 본점에 5년간 비치하여야 한다. 이 경우 내부회계관리제도의 관리·운영에 대하여 시정 의견이 있으면 그 의견을 포함하여 보고하여야 한다(외감법 제8조 제5항). 외감법은 경영진(내부회계관리자)의 운영실태보고에 대해서 감사(위원회)에 의한 독립적인 평가를 요구한다. 감사는 내부회계관리제도 관리감독 업무를 수행하는 과정을 통해 독립적으로 내부회계관리제도를 평가하고 그 결과를 기반으로 평가보고서를 작성한다.

​

독립적인 평가(Separate Evaluations) : 설계 A97,A102,보론B, 설법 152,163,164, 평준 60

내부의 인력 또는 외부인 등이 통제 운영의 적정성을 평가하기 위해 주기적으로 수행하는 내부회계관리제도의 일반적인 평가 방법이다. 평가 수행자에 따라 객관성의 정도가 달라질 수 있으므로, 객관성의 수준에 따라 평가의 범위, 성격, 빈도 및 접근방식 등을 결정하여야 한다.

일반적으로 통제에 대한 독립적인 평가는 검토 대상 통제에 대하여 높은 수준의 객관성을 가진 인원에 의해 정기적으로 수행된다. 독립적인 평가는 특정 시점의 증거를 제공하며, 상시적인 모니터링의 신뢰성에 대한 근거를 제공할 수 있다.

​

동질적 통제(homogeneous control) 또는 공통통제(common control) : 모FAQ 41

중앙의 본사 차원에서 설계되어 전체 사업부 또는 지점에서 일관되게 수행되도록 의도된 통제. 동질적 통제 또는 공통통제의 경우 설계평가는 본사 차원에서 한 번 수행하고, 운영평가는 전체 사업부 또는 지점을 모집단으로 두고 표본을 추출하여 테스트하는 것이 가능하다. 예를 들어, 4개의 지점에서 매달 1회씩 수동통제를 수행한다면 연간 총 48개의 모집단에 해당하는 표본을 추출하여 운영의 효과성을 테스트하면 된다. 참고로, 표본을 추출할 지점을 선정 할 때에는 각 지점의 양적 및 질적 위험요소를 함께 고려하는 것이 바람직하다.

​

모의테스트(Dry run) : 평법 127

실제 상황을 가정하여 시행하는 테스트를 말함.

​

목적 달성에 영향을 미치는 위험 : 설계 보론B

외부 재2무보고 목적이 달성되지 못할 위험으로 내부회계관리제도가 적절히 설계 및 운영되지 못할 위험, 다시 말해 재무제표가 중요하게 왜곡 표시될 수 있는 위험을 의미한다.

​

미비점 : 평준 15, 16,44~46, 평법 123~125, 129~149

내부회계관리제도와 관련된 통제상 미비점은 경영진과 종업원이 담당 업무를 수행하는 정상적인 과정에서 적시에 재무제표 왜곡표시를 예방하거나 적발할 수 없을 때 발생한다.

미비점은 설계상 미비점과 운영상 미비점으로 구분된다. 설계의 미비점(Deficiency in Design)은 내부회계관리제도의 목적을 달성하기 위한 내부통제가 존재하지 않거나, 내부회계관리제도가 적절하게 설계되어 있지 않아서 내부회계관리제도가 설계된 대로 작동하더라도 그 목적이 달성되지 못할 때 발생한다. 운영의 미비점(Deficiency in Operation)은 적절하게 설계된 내부회계관리제도가 설계된 대로 운영되지 않거나, 통제를 수행하는 담당자가 통제를 효과적으로 수행하기 위해 필요한 권한이나 자질을 갖고 있지 않을 때 발생한다.

내부회계관리제도의 미비점은 재무제표 왜곡표시의 발생 가능성 및 금액적 중요성에 따라 단순한 미비점, 유의한 미비점, 중요한 취약점*으로 구분하며, 중요한 취약점이 발견된 경우에는 경영진은 회사의 내부회계관리제도가 효과적이라고 결론지을 수 없다. 경영진은 발견된 모든 미비점을 개별적으로 그리고 다른 미비점과 결합하여 평가하여, 회사의 내부회계관리제도에 유의한 미비점 또는 중요한 취약점이 존재하는지 여부를 평가한다.

* 내부회계관리제도의 중요한 취약점(Material Weakness)은 내부통제의 중요한 미비점(Major Deficiency) 수준에 대응된다.

준거 기준	내부통제제도의 미비점 분류 (설계·운영 개념체계 문단 7)	내부회계관리제도의 미비점 분류 (설계·운영 개념체계 문단 27 및 본 평가·보고 모범규준)
미비점 구분	중요한 미비점 (Major Deficiency)	중요한 취약점(Material Weakness)
	미비점(Deficiency)	유의한 미비점(Significant Deficiency)
		미비점(Deficiency)

중요한 취약점이란 하나 또는 여러 개 미비점의 결합으로서 재무제표상 중요한 왜곡표시가 예방 또는 적시에 적발되지 못할 가능성이 낮지 않은(reasonable possibility) 경우를 말한다.

일반적으로 발생가능성은 i) ‘낮은(remote)’, ii) ‘합리적으로 발생가능한(reasonably possible)’, iii) ‘높은(probable)’의 세 단계로 구분되는데, 여기에서 ii) ‘합리적으로 발생가능한(reasonably possible)’ 또는 iii) ‘높은(probable)’ 가능성의 경우 ‘가능성이 낮지 않은(reasonable possibility) 경우’에 해당한다.

* i) ‘낮은(remote)’ 분류에 해당하지 않는 경우 ‘가능성이 낮지 않은(reasonable possibility)’ 경우에 해당하며, 이에 따라 실무적으로는 이를 ‘more than remote(낮지 않은 발생가능성)’이라고 표현하기도 함.

유의한 미비점이란 중요한 취약점으로 분류될 수준은 아니지만, 회사의 재무보고를 감독할 책임이 있는 이사회, 감사(위원회) 등이 주목할만한 하나 또는 여러 개 통제상 미비점의 결합을 의미한다.

미비점을 분류하기 위해서는 해당 미비점의 발생가능성(likelihood), 금액적 크기(magnitude), 보완통제(compensating controls) 등의 존재 여부, 회계와 내부회계관리제도에 충분한 전문지식을 갖춘 객관적인 관리자(prudent officials) 관점 등을 고려하여야 한다.

- 중요한 취약점(Material Weakness) : 설계 보론B, 감서 1100.6(i)

하나 또는 여러 개 미비점의 결합으로서 재무제표상 중요한 왜곡표시가 예방 또는 적시에 적발되지 못할 가능성이 낮지 않은(reasonable possibility) 경우를 말한다. 일반적으로 발생가능성은 (i) ‘낮은(remote)’, (ii) ‘합리적으로 발생가능한(reasonably possible)’, (iii) ‘높은(probable)’의 세 단계로 구분되는데, 여기에서 (ii) ‘합리적으로 발생가능한(reasonably possible)’ 또는 (iii) ‘높은(probable)’ 가능성의 경우가 ‘가능성이 낮지 않은(reasonable possibility) 경우’에 해당된다.

- 유의한 미비점(Significant Deficiency) : 설계 보론B

중요한 취약점으로 분류될 수준은 아니지만, 회사의 재무보고를 감독할 책임이 있는 이사회, 감사(위원회) 등이 주목할만한 하나 또는 여러 개 통제상 미비점의 결합을 의미한다.

​

발생가능성 : 평법 134~135

발생가능성이란 재무제표 왜곡표시가 방지되거나 발견되지 못하는 경우가 발생할 잠재적 가능성을 말한다.

​

변화관리체계 : 평준 47, 설법 83,84,91

회사의 주요 프로세스에 대한 추적조사는 매우 효과적인 설계 평가 방법 중 하나이다. 회사의 내부회계관리제도의 최초 설계와 변화관리체계가 적절하게 운영되는 경우, 동 절차로 설계 평가를 대신할 수 있다. 이러한 경우 후속 연도마다 내부회계관리제도 전체 설계 문서를 새로 작성하지 않더라도, 전년 대비 변화사항에 대한 설계 평가가 적시에 이뤄졌을 것이다. 이와 반대로 내부회계관리제도의 설계에 대한 변화관리가 적절히 이루어지지 못하는 경우 설계 평가를 위한 추적조사를 확대 적용하는 것을 고려한다. 변화관리체계는 기중에 발생하는 내부회계관리제도에 영향을 미치는 변화사항을 식별하고 위험을 평가하여 대응하는 통제활동의 설계 및 변경을 수행하고 관련 내부회계관리제도 문서를 업데이트하는 절차로 구성된다.

변화관리체계는 기중에 발생하는 내부회계관리제도에 영향을 미치는 변화사항을 식별하고 위험을 평가하여 대응하는 통제활동의 설계 및 변경을 수행하고 관련 내부회계관리제도 문서를 업데이트하는 절차로 구성된다. 확인된 내부회계관리제도 변화사항의 영향 정도를 평가하고, 기존 내부회계관리제도 통제의 개선이나 신설이 필요한지를 결정한다. 통제가 변경되거나 신설되는 경우에는 설계의 효과성을 평가하고 적용하는 것이 필요하다. 이와 같이 일상적으로 중요한 변화를 파악하고 변화하는 통제의 설계의 효과성을 평가하는 변화관리체계를 유지하는 경우에는 별도의 설계 평가를 수행하지 않을 수 있다. 이러한 변화관리체계는 해당 업무를 처리하는 부서가 수행하고 내부회계관리제도 전담부서 혹은 해당 업무 담당자가 확인하는 절차가 적절하다.

​

변이(anomaly) : 모집단의 이탈을 대표하지 않는 것이 명백한 이탈(감사기준서 530 문단 5.(e)). 비체계적(non-systematic) 이탈, 무작위적(random) 이탈이라고도 함

​

벤치마킹 전략(Benchmarking approach) : 평법 121, 감서 1100.100~102, A123~129

완전히 자동화된 응용통제는 일반적으로 인간의 실패로 인한 와해에 덜 취약하다. 이러한 특성으로 인해 감사인이 "벤치마킹" 전략을 사용할 수 있다. 벤치마킹이란 운영효과성에 대한 구체적인 테스트를 반복하지 않고도 감사인이 자동화된 응용통제가 효과적이라고 결론지을 수 있도록, 효과적인 IT 일반통제와 결합할 수 있는 출발점(baseline)을 수립하여 자동화된 응용통제를 테스트하는 프로세스이다.

​

보완통제(compensating controls) : 설법 102,111,133, 138~139

보완통제란 본래의 통제에서 미비점이 발견되었다 하더라도 그 미비점에서 발생될 수 있는 유의한 재무제표 왜곡표시 위험을 경감시켜 줄 수 있는 통제이다.

​

부정(Fraud) : 설계 A38, 평준 28

경영진의 왜곡표시 위험에 대한 평가는 부정한 재무보고, 자산의 남용(Abuse) 및 부패(Corruption)와 같은 부정에 대한 기업의 취약점과 해당 취약점으로 인해 재무제표가 중요하게 왜곡표시 될 수 있는지에 대한 고려가 포함되어야 한다. 부정위험(Fraud Risk) 평가에 요구되는 업무의 정도는 회사의 운영 활동과 재무보고 환경의 규모 및 복잡성에 비례한다.

경영진은 부정에 의한 왜곡표시 위험이 규모나 유형에 관계없이 모든 조직에 일반적으로 존재하며, 특정 지역 또는 부문 및 개별 재무보고 요소에 따라 다를 수 있음을 인식하여야 한다. 예를 들어, 모든 규모와 유형의 회사에서 부정한 재무보고를 초래할 수 있는 부정위험의 유형은 경영진의 내부회계관리규정이나 통제를 무시할 위험이다.

부정위험 평가에는 부정한 재무보고와 회사 자산의 보호 및 부패와 관련한 위험에 대한 경영진의 평가가 포함된다. 부정위험 평가는 “위험 식별 및 분석” 과정의 일부로서 수행되고, 위험 대응 방안 및 관련된 통제활동을 선택하고 구축하는 것 역시 동일한 방식이 적용된다. 또한, 위험평가 절차와 같이 부정위험 평가 과정과 결과를 이사회 혹은 감사(위원회)가 검토하고 확인하는 것이 필요하다.

• 부정한 재무보고 – 회사의 재무정보가 의도적으로 왜곡표시되거나 누락되는 경우 부정한 재무보고가 발생할 수 있다.

• 자산의 보호 – 자산의 보호는 권한 없이 자산을 획득하고 사용하거나 처분하는 등의 행위를 사전에 예방하거나 적시에 적발하는 것을 의미한다.

• 부패 – 부정위험 평가 시 뇌물 수수, 과도한 접대 등을 포함한 비윤리적인 행위 등을 의미한다.

​

사업단위 : 설계 보론B, 평법 51~55

회사의 하나 이상의 사업단위로 구성되며, 사업단위의 정의는 회사의 성격에 따라 다를 수 있다. 사업단위는 일반적으로 사업부문 또는 영업시설(예: 사업부, 생산설비, 판매조직) 등 일 수 있다. 특정 단위조직의 사업목적, 업무프로세스, 전산환경 등이 타 조직과 독립적인 경우 별도의 사업단위로 본다. 경영진이 내부회계관리제도를 적정하게 설계·운영 및 평가하기 위해서는 업종이나 규모 등을 종합적으로 고려하여 사업단위를 정의하여야 한다.

​

상시적인 모니터링(Ongoing Evaluations) : 설계 A97,A101,보론B, 설법 152, 평준 61, 감준 1100.A11

업무프로세스를 처리하는 과정의 일부로서 일상적으로 수행되는 평가를 의미한다. 즉 경영진이나 임직원이 통제활동을 수행하는 과정에서 하위 수준의 개별적인 통제 운영의 적정성을 확인할 수 있다면, 해당 절차는 상시적인 모니터링에 포함된다. 또한, 일부 회사에서 시스템을 이용하여 통제 운영의 적정성을 확인하는 절차를 수행하는 경우 동 절차도 포함될 수 있다.

상시적인 모니터링은 통제 운영의 결과를 확인하는 경영진의 일상적이고 반복적으로 수행되는 활동을 의미한다. 예를 들어, 이러한 활동들은 자가평가 절차와 통제 운영 여부를 확인할 수 있도록 설계된 성과지표를 분석하는 절차를 포함한다. 자가평가는 다양한 수준의 객관성을 가진 인원에 의하여 수행되는 여러 유형의 절차를 포함한다. 자가평가는 평가 대상 통제를 운영할 책임이 있는 인원이 수행하는 평가는 물론 평가 대상 통제의 운영책임이 없는 경영진 등이 실시하는 평가를 포함하는 개념이다. 자가평가가 제공하는 증거자료의 성격은 평가자나 평가 수행 방식 등에 따라 달라진다. 예를 들어, 통제를 운영할 책임이 있는 인원에 의해 수행된 자가평가의 증거자료는 일반적으로 평가자의 낮은 객관성으로 인하여 낮은 수준의 확신을 제공하므로 핵심통제활동에는 적용하지 않는다

​

소극적 확신(Negative Assurance) : 설계 보론B

내부회계관리제도 설계·운영의 효과성에 대하여 평가자가 보통수준(또는 중간수준)의 확신을 제공하는 것으로써, 평가 결과 중요한 취약점이 발견되었는지 여부에 대해서만 언급하며, 내부회계관리제도가 효과적으로 설계·운영되고 있는지 여부에 대한 의견을 적극적으로 제시하지는 않는다.

​

수동통제(Manual Control) : 평법 71

거래처리시 재무제표의 왜곡표시를 야기하는 오류나 부정위험을 수작업으로 수행하는 통제(예: 구매주문서 승인 절차에서, 거래처의 현재 거래 총액을 확인하고 한도 내에 존재하는 경우 승인을 하는 통제절차는 승인자가 신용한도를 초과한 주문위험을 관리한다)는 수동통제로 분류한다.

​

수행빈도 : 평법 72, 73

수행빈도는 실제 업무에서 통제활동이 수행되는 주기 또는 빈도를 의미하며, 일별 수시(More than Daily), 일별, 주별, 월별, 분기별, 반기별, 연간 또는 수시(Event Driven: 특정한 주기없이 거래 발생 시마다 이루어지는 통제. 예: 유형자산 취득 또는 처분의 승인) 등으로 구분될 수 있다. 수행빈도는 거래규모, 거래 또는 통제의 속성, 회사의 인력구성 등을 고려하여 경영진이 합리적으로 결정할 수 있으나, 부정이나 오류에 의한 재무제표 왜곡표시를 적절히 예방 또는 적발하기에 충분한 빈도 또는 주기로 수행되어야 한다.

​

승인(authorization) : 결재 참조

​

시정계획표(RP; Remediation Plan) : 설법 154

​

업무기술서(NA: Narrative, 敍事) : 평법 85, 86

프로세스 업무기술서는 각 업무프로세스에서 수행되는 업무의 내용을 설명 형식으로 기술한 문서로 업무의 출발점, 수행되는 업무처리 절차 및 통제의 내용, 관련 서류 등을 명확하게 기술한다. 업무흐름이 복잡하지 않고 단순하여 설명 형식으로 기술하기에 용이할 때 이용할 수 있는 방법으로 업무 흐름도와 유사한 목적을 가진다. 업무프로세스에서 수행되는 업무, 통제 및 관련 문서 등을 시간의 흐름에 따라 순차적으로 표현할 수 있는 장점이 있다. 반면, 프로세스가 복잡한 경우 프로세스와 관련된 위험과 통제활동의 일목요연한 파악이 어려워 통제활동 설계의 적정성을 파악하기에 부적절할 수 있다. 또한, 기술된 통제의 내용을 관련 통제목표나 경영자 주장 및 재무제표 계정과목 등과 연계시키기 어렵기 때문에 통제기술서를 대체하기에는 부적절하며, 업무흐름도를 보완하는 문서나 간단한 프로세스의 경우 대체하는 수단으로 활용될 수 있다.

* Narrative는 서사(敍事)로 번역되는데, 어떤 사실을 있는 그대로 기록하는 글의 양식을 말한다. 서사는 인간 행위와 관련되는 일련의 사건들에 대한 언어적 재현 양식이라고 할 수 있는데, 경험적(經驗的) 서사와 허구적(虛構的) 서사가 있다. 경험적 서사는 사건에 담겨지는 정보의 실재성 자체를 본질로 한다는 점에서 미적 형상성과는 아무 관계가 없다. 그러나 허구적 서사는 서사를 구성하는 허구성의 원리 자체가 미적 형상성을 목표로 한다는 점에서 문학적 서사가 되는데, 대표적인 형태가 소설이라 할 수 있다. 시간과 공간의 결합이 없이는 서사 자체의 성립이 불가능하다. 경험적인 내용이나 역사적 사실에 근거한 서사에서 시간과 공간은 실재로 ‘어떤 일이 일어났던 구체적인 공간과 시간’을 의미한다. 허구적 서사는 일어날 수 있는 것을 마치 일어났던 것처럼 꾸며내기 위해 인물을 만들어 어떤 행위를 꾸며내고 그 행위에 시간과 공간의 구체성을 부여한다. 허구적 서사의 시간과 공간은 실재의 때와 장소가 아니라 가공의 시간과 공간이다.

​

업무성과 검토 : 설계 A56, 설법 158~160

회사는 거래 수준에서 운영되는 통제활동 이외에도 광범위하게 그리고 일반적으로 더 상위 수준에서 운영되는 통제활동과의 조합을 선택하고 구축한다. 상위 수준의 통제활동 예로는 업무 데이터 또는 재무 데이터의 비교를 포함하는 업무성과 검토가 있을 수 있다. 회사의 재무보고 위험을 감소시키기 위한 계층화된 접근방법을 제공하기 위해 거래통제와 업무성과 검토는 함께 운영되어야 한다. 대부분의 업무성과 검토는 일반적으로 거래가 발생하여 처리된 이후에 수행되기 때문에 적발통제이다. 따라서 통제활동을 조합할 때 상위 수준의 통제도 중요하지만, 거래통제 없이는 업무프로세스의 위험을 효과적으로 다루기는 어렵다.

​

업무분장(SOD, Segregation of Duties) : 설계 A57, 설법 103

통제활동을 선택하고 구축할 때, 경영진은 오류 또는 부정과 관련된 행위가 발생할 위험을 줄이기 위하여 담당자별로 업무가 배분되거나 분리되어 있는지 고려하여야 한다. 이를 고려할 때는 법적 환경, 규제의 요구사항, 이해관계자의 기대가 포함되어야 한다. 업무분장은 일반적으로 거래의 기록, 거래 승인 및 관련 자산의 보관에 대한 책임을 분리하는 것을 수반한다. 업무분장은 경영진의 통제 무시와 관련된 중요한 위험을 감소시킬 수 있다. 경영진의 통제 무시는 존재하는 통제를 회피하기 위해 자주 사용되는 부정의 수단이다. 업무분장은 한 사람이 독단적으로 처리할 가능성을 완전히 방지할 수는 없지만, 상당 부분 줄여주기 때문에 부정위험을 감소시키는데 필수적이다. 관련된 담당자가 공모하지 않으면 부정을 저지르기가 매우 어렵다. 또한 업무분장은 두 명 이상이 프로세스상 거래를 수행하거나 검토하도록 함으로써 오류를 감소시키고, 오류가 발견될 가능성을 증가시킨다. 그러나 업무분장이 실용적이지 않거나, 비용 대비 효율이 낮고 실행 가능하지 않을 수 있다. 이러한 경우 경영진은 대체적인 통제활동의 설계를 고려한다.

​

업무분장표 : 평법 87

상충되는 업무의 적절한 분장은 오류 및 부정을 사전에 예방하고 적시에 발견할 수 있는 강력한 통제수단이 된다. 업무분장표는 업무프로세스 내에서 거래의 승인기능, 자산의 보관기능 및 회계기능 등 상충되는 업무가 적절히 분장되었는지의 여부를 확인하는데 유용하게 활용될 수 있으나 그 자체로 내부회계관리제도의 문서화 목적을 모두 충족시키기는 어렵고, 보조적인 수단으로 활용된다. 즉, 업무분장표를 별도로 작성 및 유지하는 것이 권장될 수는 있지만, 업무분장과 관련된 내용을 통제기술서 등 타 문서에 충분히 기술하고, 내부회계관리제도 설계 및 운영의 효과성 평가를 수행할 수 있다. 단 회사의 업무분장에 대한 규정과 지침은 명확하게 제시되는 것이 필요하다.

​

업무연속성계획(BCP: Business Continuity Planning) : 재난 발생 시 비즈니스의 연속성을 유지하기 위한 계획. 재해, 재난으로 인해 정상적인 운용이 어려운 데이터 백업과 같은 단순 복구뿐만 아니라 고객 서비스의 지속성 보장, 핵심 업무 기능을 지속하는 환경을 조성해 기업 가치를 극대화하는 것을 말한다. 기업이 운용하고 있는 시스템에 대한 평가 및 비즈니스 프로세스를 파악하고 재해 백업 시스템 운용 체계를 마련하여 재해로 인한 업무 손실을 최소화하는 컨설팅 기능을 포함한 개념으로 일반적으로 컨설팅-시스템 구축-시스템 관리의 3단계로 이뤄진다.

​

업무프로세스(Business Process) : 설계 보론B, 평법 47

회사가 관련 업무를 완수하고 목표를 달성할 수 있도록 거래가 처리되는 일련의 과정이다. 이러한 거래들은 단순한 활동수행(예를 들어, 전표처리)에서부터 사업의 핵심요소 관리(예를 들어, 도매업자의 재고관리 및 배분 시스템), 기능적 업무수행(예를 들어, 조직의 재무기록 유지), 상호기능적 요소(예를 들어, 인력관리부문) 등 보다 복잡한 분야에까지 연결되어 발생할 수 있다. 업무프로세스는 자료 입력, 분류 및 합산, 계산, 거래 업데이트, 파일관리, 거래 생성, 취합 및 보고 등의 일련의 업무과정을 포함하며, 시스템에서 수행되는 마스터파일의 생성, 갱신 등의 활동을 포함한다.

​

업무프로세스수준 통제 또는 거래수준 통제(PLC; Process Level Controls, TLC; Transaction Level Controls) : 설계 A51, A53

회사의 업무프로세스상 거래처리 과정의 위험을 감소시키기 위한 현업부서 수준에서 일어나는 활동을 직접적으로 지원하는 통제활동을 업무프로세스수준 통제 또는 거래수준 통제라고 한다. 업무프로세스수준 통제는 경영진의 목적을 달성하기 위해 구축된 업무프로세스의 위험에 직접적으로 대응하기 때문에 회사의 가장 기본적인 통제활동이다. 업무프로세스수준 통제는 인프라 역할을 하는 전사적 수준 통제(ELC: Entity Level Controls)와 대비되는 개념으로 개별 업무프로세스가 존재하는 곳이라면 어디든지 선택되고 구축된다.

아래와 같이 다양한 유형의 거래통제를 선택하고 구축할 수 있다.

• 승인 – 승인은 거래가 유효하다는 사실을 확인한다. 승인은 일반적으로 상위 경영진이 거래의 유효성을 검증 및 확인하는 형식을 취한다.

• 검증 – 두 개 이상의 항목을 서로 비교하거나 회사정책과 비교하여, 두 항목이 일치하지 않거나 회사정책에 부합하지 않을 때 후속조치를 수행한다.

• 물리적 통제 – 설비, 재고자산, 유가증권, 현금 및 기타 자산은 물리적으로 안전하게 보관되며, 주기적으로 점검되고, 기록된 수량과 비교/대사된다.

• 기준정보 관리통제 – 가격 마스터 파일과 같은 기준 정보는 종종 업무프로세스상 거래 처리를 지원하는 데 사용된다. 회사는 기준 정보의 정확성, 완전성 및 유효성을 관리하는 프로세스에 대한 통제활동을 설계한다.

• 대사 – 대사는 두 개 이상의 데이터를 비교하는 것이다. 차이가 발견될 경우 해당 차이내역의 소명을 위한 조치가 취해진다. 대사는 일반적으로 거래 처리의 완전성 및 정확성과 관련된다.

• 감독통제 – 감독통제는 다른 거래통제(즉, 특정한 검증, 대사, 승인, 기준정보 관리 통제, 물리적 통제)가 완전하고, 정확하며, 정책 및 절차에 따라 수행되었는지 평가하는 것이다. 경영진은 일반적으로 위험이 높은 거래에 대하여 감독통제를 선택하고 구축한다.

​

업무흐름도(Flowchart) : 평법 83, 84

플로우차트는 논리 플로우차트(Logical Flowchart)와 기능 플로우차트(Functional Flowchart)가 있다. 내부회계관리제도에서는 기능 플로우차트(Functional Flowchart)가 주로 사용된다.

업무흐름도는 조직 내에서의 업무흐름 및 제반 문서 등을 도식적·동태적으로 표현하기 위한 것으로 주로 하위프로세스 단위로 작성된다. 업무흐름도에는 특정 계정과 관련된 업무프로세스의 시작과 끝을 포함하고 있으며, 거래과정의 위험과 통제활동이 통제 설계의 적정성을 확인할 수 있도록 제시된다. 필요한 경우 몇 개의 하위프로세스를 통합하거나 하나의 하위프로세스를 세분하여 작성할 수 있다. 업무흐름도를 통해 업무프로세스 내에서 발생 가능한 위험 및 관련 통제 등을 쉽게 파악할 수 있는 장점이 있으나, 그 자체만으로는 통제목표나 경영자 주장 및 재무제표 계정과목 등과 연계하여 표시하기 어려운 단점이 있기 때문에 일반적으로는 통제기술서를 보완하는 목적으로 활용된다.

​

영업성과에 대한 모니터링: 평법 29

경영진이 사업단위별 영업성과 및 재무제표, 또는 전사 재무제표에 대한 검토를 통하여 중요한 재무제표 왜곡표시를 사전에 예방하거나 적시에 발견할 수 있기 때문에 영업성과에 대한 모니터링은 전사적 수준의 내부회계관리제도로 구분됨.

​

예방통제(Preventive control) : 설계 A54, 보론B, 평법 69~70, 감서 1100,6(e)

재무제표의 왜곡표시를 야기하는 오류나 부정의 발생을 사전에 예방하는 것이 목적이다.

거래처리시 재무제표의 왜곡표시를 야기하는 오류나 부정위험이 발생하지 않도록 사전에 예방하는 통제활동을 예방통제(예: 거래의 사전 승인, 시스템의 입력통제, 자산에 대한 물리적 접근통제, 전산시스템에의 논리적 접근통제, 업무분장 등)라 한다.

통제활동은 예방통제 또는 적발통제일 수 있으며, 회사는 일반적으로 두 가지 유형을 조합하여 설계한다. 통제활동은 수행시기에 따라 예방통제 또는 적발통제로 구분할 수 있다. 예방통제는 의도하지 않은 사건 또는 결과가 애초에 발생하는 것을 피하기 위해 설계된다. 적발통제는 최초의 거래가 발생한 이후 최종 목적이 종료되기 전에 의도하지 않은 사건 또는 결과를 발견하기 위하여 설계된다. 두 가지 통제활동의 중요한 부분은 의도하지 않은 사건 또는 결과를 수정하거나 피하기 위한 행위라는 점이다. 또한 통제활동을 선택하고 구축하는 경우, 회사는 통제활동의 정교함(precision)을 고려한다. 즉, 통제활동이 어느 정도 정교한 수준으로 의도하지 않은 사건 또는 결과를 예방 또는 적발할 것인지를 고려하여야 한다.

​

예외사항(Exception) : 평법 123~125

테스트 중 예외사항이 발생할 경우 경영진은 예외사항의 원인을 확인하여 미비점에 해당하는지를 확인한다. 발견된 예외사항이 모집단을 대표한다고 판단되면, 당해 예외사항으로 인해 통제상 미비점으로 판단하고, 중요도를 평가하여 단순한 미비점, 유의한 미비점 또는 중대한 취약점 여부를 판단한다. 먼저 예외사항이 통제상 미비점인지를 판단하기 위해서는 예외사항의 근본 원인을 충분히 이해하는 것이 중요하다. 발견된 예외사항이 체계적이고 반복적이지 않고 극히 예외적인 경우에 발생한 것으로 판단되는 경우는 단순한 예외사항으로 구분할 수 있다. 또한, 단순한 예외사항이 아니라도 추가적인 표본에 대한 운영의 효과성 테스트를 통해 이미 발견된 예외사항이 모집단을 대표하지 않을 수 있다는 뒷받침할 수 있다고 판단한 경우에 해당하는지 고려할 수 있다. 예를 들어, 1개 이하의 예외사항이 허용될 수 있게 설계된 테스트에서 2개의 예외사항이 발견되었을 경우 추가적인 테스트를 통해 최초 테스트 결과가 모집단을 대표하지 않는다는 결론을 내릴 수 있는지에 대해 고려하여야 한다.

​

외부서비스제공자(OSP, Outsourced Service Provider) : 설계 38· 40· 41· A5· A6· A7· A13· A14· A19· A22· A30· A78· A93· A95· A106, 설법 4.4, Ref.SOC

재무보고와 관련 있는 서비스를 제공하는 외부의 제3자 조직을 의미하고, 서비스 조직이라고도 부른다. 서비스 조직의 예시로는 급여 및 원천징수 수행 및 결과 제공, 펀드 운영 및 평가 결과 제공, 정보기술 일반통제를 포함한 서비스의 제공 등을 포함한다.

​

유의적인 거래유형, 계정잔액 및 공시(significant class of transaction, account balance or disclousre) : 감서 1100.6(f) 과대표시와 과소표시 위험을 모두 고려하여, 거래유형, 계정잔액 및 공시가, 개별적으로 또는 집합적으로, 재무제표에 중요한 영향을 미치는 왜곡표시를 포함할 가능성이 낮지 않은(more than remote) 경우의 거래유형, 계정잔액 및 공시. 거래유형, 계정잔액 및 공시가 유의적인지 여부에 대한 결정은 통제의 효과와 상관없이, 고유위험에 근거하여야 한다.

​

유의한 계정과목 및 주석정보 : 설법 57

계정과목 및 주석정보가 개별적 또는 다른 계정과목이나 주석정보와 결합하여 재무제표의 중요한 왜곡표시의 발생가능성이 낮지 않다면(reasonable possibility), 이를 유의한 계정과목 및 주석정보(“유의한 계정과목 등”이라 함)라 한다.

​

일반적으로 인정된 다른 기준 : 설계 보론B

본 설계·운영 개념체계 이외에 재무제표의 신뢰성 확보를 목적으로 하는 외부 재무보고 목적의 내부통제체계나 이를 포함하는 일반적으로 인정되는 내부통제제도 체계를 의미한다. 예를 들어, 미국의 COSO보고서나 캐나다의 CoCo보고서가 이에 해당한다고 할 수 있다.

​

임계치(threshold) : 설법 153

​

자동통제(Automated Control) : 설계운영개념체계 A55, 평가보고적용기법 71

거래처리 시 재무제표의 왜곡표시를 야기하는 오류나 부정위험을 회사의 시스템을 통해 자동으로 관리하는 활동을 자동통제(예: 신용한도를 초과한 주문에 대한 전산을 통한 주문 입력 발생 시, 해당 거래를 자동으로 잠금 처리하는 통제활동은 신용한도를 초과한 주문위험을 시스템이 자동으로 관리한다)로 분류한다.

​

자동화된 모니터링 프로그램(Automated monitoring application, 또는 상시 모니터링 시스템) : 설법 162

​

잔여위험(Residual Risk) : 설계 A36, 보론B

재무제표가 중요하게 왜곡표시 되어 있을 위험의 발생가능성 또는 영향을 감소하기 위한 경영진의 위험 대응이 설계되고 실행된 이후에도 잔존하고 있는 재무제표의 중요한 왜곡표시 위험

​

재무보고요소 : 설계 보론B

회계정보의 기초가 되는 거래의 식별·측정·분류·기록 및 보고 과정을 구성하는 항목을 포함하여 외부공시용 재무제표와 주석을 구성하는 항목을 의미한다.

​

적발통제(Detective control) : 설계 A54, 보론B, 평법 69~70, 감서 1100,6(g)

오류나 부정이 이미 발생하여 이로 인해 재무제표의 왜곡표시를 가져올 것으로 예상되는 경우 당해 오류나 부정을 적발하는 것을 목적으로 한다.

거래처리시 오류나 부정이 이미 발생하여 이로 인해 재무제표의 왜곡표시가 발생했거나 가져올 것으로 예상되는 경우 당해 오류나 부정을 적시에 적발하는 것을 목적으로 하는 통제활동을 적발통제(예: 중간관리자의 검토, 실물자산 실사, 매출채권/은행 거래 조회 등)라 한다.

통제활동은 예방통제 또는 적발통제일 수 있으며, 회사는 일반적으로 두 가지 유형을 조합하여 설계한다. 통제활동은 수행시기에 따라 예방통제 또는 적발통제로 구분할 수 있다. 예방통제는 의도하지 않은 사건 또는 결과가 애초에 발생하는 것을 피하기 위해 설계된다. 적발통제는 최초의 거래가 발생한 이후 최종 목적이 종료되기 전에 의도하지 않은 사건 또는 결과를 발견하기 위하여 설계된다. 두 가지 통제활동의 중요한 부분은 의도하지 않은 사건 또는 결과를 수정하거나 피하기 위한 행위라는 점이다. 또한 통제활동을 선택하고 구축하는 경우, 회사는 통제활동의 정교함(precision)을 고려한다. 즉, 통제활동이 어느 정도 정교한 수준으로 의도하지 않은 사건 또는 결과를 예방 또는 적발할 것인지를 고려하여야 한다.

​

전사수준 통제(ELC, Entity Level Control) : 평준 37~41

경영진은 재무보고 요소에 대한 위험 및 관련 통제를 식별할 때 회사의 전사적 수준 통제의 효과성을 고려한다.

이 과정에서, 경영진은 설계·운영 개념체계에서 요구하는 효과적인 내부회계관리제도를 위한 요건과 전사적 수준 통제들이 재무보고 요소와 연관되는 방식을 고려하는 것이 중요하다. 단, 재무보고 요소와의 관계가 직접적이지 않을수록 통제가 왜곡표시를 예방하거나 적발하는데 덜 효과적일 수 있다.

통제환경과 관련된 통제와 같은 일부 전사적 수준 통제는 간접적이지만 적시에 왜곡표시를 예방하거나 적발할 가능성에 중요한 영향을 미친다. 이러한 통제는 경영진이 재무보고 요소에 대한 위험을 적절하게 다루기 위하여 필요한 다른 통제들을 결정하는데 영향을 미칠 수 있다. 그러나 경영진은 재무보고 요소에 대하여 식별된 위험을 적절하게 다루기 위하여 이러한 유형의 전사적 수준 통제만을 식별하지는 않을 것이다.

일부 전사적 수준 통제는 하위 수준의 통제가 실패할 가능성을 식별할 수 있도록 설계될 수도 있지만, 해당 전사적 수준 통제만으로 재무보고 위험을 적절하게 처리할 수 있는 것은 아니다. 예를 들어, 통제 운영의 결과를 모니터링하는 전사적 수준 통제는 잠재적인 왜곡표시를 적발하고 하위 수준의 통제가 실패하였는지 조사하도록 설계될 수 있다. 그러나 모니터링 통제에 의하여 적발되기 전까지 존재할 수 있는 잠재적인 왜곡표시의 금액이 너무 큰 경우 해당 통제는 재무보고 요소와 관련된 위험을 적절하게 처리하지 못할 수 있다.

전사적 수준 통제는 프로세스, 응용시스템, 거래 또는 계정과목 수준에서 재무제표의 중요한 왜곡표시를 초래할 수 있는 재무보고 요소의 왜곡표시를 예방하거나 적시에 적발할 수 있도록 충분히 정교하게 설계되고 운영될 수 있다. 이러한 경우, 경영진은 재무보고 위험과 관련된 추가적인 통제를 식별하거나 평가할 필요가 없을 수 있다.

- 간접 전사 통제(Indirect Entity-level Control) : 평법 28

통제환경처럼 회사의 내부회계관리제도의 효과성에 전반적인 영향을 미치지만 중요한 재무제표 왜곡표시의 발생을 예방 및 적발하는 데에는 간접적인 영향을 미치는 전사적 수준의 통제를 의미한다. 또한, 일부 간접 전사 통제는 다른 통제의 효과성을 모니터링하는 기능을 수행하기도 하며, 이러한 간접 전사 통제가 효과적으로 운영되는 경우 모니터링의 대상이 되는 통제의 평가범위를 조정할 수 있다.

- 직접 전사 통제(Direct Entity-level Control) : 평법 28

재무제표와 관련된 경영자 주장이 왜곡될 위험을 적절히 방지하거나 적시에 적발할 수 있을 정도로 설계된 전사적 수준의 통제를 직접 전사 통제라 한다. 따라서 직접 전사 통제가 특정 재무제표 왜곡표시 위험을 효과적으로 적발 또는 예방하고 있다고 평가된다면, 해당 위험과 관련된 업무프로세스 수준의 통제를 평가 대상에서 제외할 수 있다. 예를 들어, 경영진이 기말 재무제표 작성절차(직접 전사 통제에 해당)를 통해 관련 왜곡표시 위험이 적절히 적발된다고 평가한 경우 동 위험과 관련된 거래 수준 통제의 식별 및 평가를 생략할 수 있을 것이다.

​

접근제한(Restricted Access) : 설계 A52, 설법 103,104,111,113

​

정보기술 일반통제(ITGC: Information Technology General Controls) : 설계 A58~66, 평준 42~43, 평법 31~37

정보기술 일반통제란 전산에 대한 권한 관리, 서버에 대한 정기적인 백업, 방화벽 및 해킹 방지 등 전산을 운영하기 위한 일반적인 업무원칙에 대한 통제를 수립하는 것을 말한다.

자동통제를 포함하여 업무프로세스에 사용되는 정보기술의 신뢰성은 정보기술 일반통제로 불리는 정보기술에 대한 통제활동의 선택, 구축, 운영에 따라 달라진다. 시스템 도입 및 개발에 대한 정보기술 일반통제는 시스템이 최초에 개발될 때 자동통제가 적절히 작동하는지에 대한 확신을 제공한다. 또한, 정보기술 일반통제는 시스템 구축 이후에 지속적으로 정보시스템의 적절한 운영에 대한 확신을 제공한다. 회사의 다른 부문과 마찬가지로 회사의 정보시스템과 관련된 프로세스 및 통제활동도 선택되고, 설계되고, 운영되고, 유지되어야 한다. 회사는 내부회계관리제도 목적 달성을 위해 재무보고 프로세스와 연관된 정보기술 프로세스와 일반통제로 그 범위를 한정할 수 있다. 이러한 프로세스와 통제활동은 외부 업체에서 구매한 간단한 범용소프트웨어를 사용하는 경우에 보다 간단하게 관리될 수 있으며, 자체 개발한 시스템과 외부에서 개발된 시스템을 동시에 활용하는 경우에는 관리해야 할 영역이 확장될 수도 있다. 선택되어 설계된 통제활동은 정보기술 프로세스의 활용에 대한 구체적인 위험을 완화하는데 도움을 준다.

정보기술 일반통제는 정보기술 인프라, 보안관리, 정보기술의 취득, 개발 및 유지보수에 대한 통제활동을 포함한다. 정보기술 일반통제는 모든 종류의 시스템(mainframe, client/server, desktop, end-user computing, portable computer, mobile device 등)에 적용될 수 있으며, 시스템의 복잡성 및 시스템이 지원하는 업무프로세스의 위험 등을 고려하여 통제활동의 범위와 강도는 달라질 수 있다. 업무프로세스 수준의 통제와 유사하게 정보기술 일반통제도 수동통제 및 자동통제를 모두 포함한다.

경영진이 재무보고 위험을 다루기 위하여 식별한 통제들은 자동화되거나, IT기능에 의존하거나 수동 및 자동화된 절차의 결합일 수 있다. 이러한 경우, 경영진은 평가 과정에서 자동통제 및 IT에 의존하는 통제와 함께 해당 IT기능을 제공하는 시스템에 대한 정보기술 일반통제의 설계 및 운영을 고려한다. 일반적으로 정보기술 일반통제만으로 재무보고 위험을 적절하게 처리할 수는 없지만, 적절하고 지속적인 자동통제 또는 IT기능은 효과적인 정보기술 일반통제에 의존한다. IT와 관련된 위험과 통제의 식별은 별도로 평가되어서는 안되며, 경영진이 재무보고 위험과 통제를 식별하고 평가에 필요한 증거자료를 결정하는 과정에서 사용되는 하향식, 위험기반 접근방법에 따라 수행되어야 한다.

내부회계관리제도 평가에 연관되는 정보기술 일반통제의 대상 시스템 및 통제는 회사의 상황에 따라 다를 수 있다. 내부회계관리제도 평가 목적으로 경영진은 재무보고 위험을 적절하게 처리하기 위하여 설계된 통제가 적절하고 지속적으로 운영되는데 필요한 정보기술 일반통제만을 평가할 수 있다. 예를 들어, 경영진은 프로그램 개발, 프로그램 변경, 컴퓨터 운영, 프로그램과 데이터에 대한 접근과 같은 정보기술 일반통제 영역의 특정 부분을 회사의 상황에 맞게 적용하는 것을 고려한다. 즉, 재무보고 위험을 처리하는 것과 관련이 없으며, 회사의 운영 측면의 효과성 또는 효율성과 주로 관련된 정보기술 일반통제를 평가할 필요는 없다.

​

정보기술 자동통제(ITAC: Information Technology Automated Control) : 정보기술 자동통제란 재무제표에 반영되는 숫자의 정확성을 높이기 위해 IPU나 EUC에 의해 값이 입력되는 것이 아니라 전표 자동생성 또는 환차손 자동계산 등 정보기술을 이용하여 값이 자동으로 반영될 수 있도록 설계하거나 원천적으로 접근제어 툴을 이용하여 모든 사용자 기록을 남기고 외부침입자의 접근을 자동으로 막는 것 등을 말한다.

​

정보처리목적(Information Processing Objectives) : 설계 A51, A52, 설법 88, 평법 67

통제활동이 프로세스에 존재하고 발생하므로 선행하는 프로세스의 통제활동은 관련된 계정이 너무 많거나 확정되지 않은 경우도 존재한다. 이러한 사항을 고려하여 해당 프로세스의 대상 거래의 정보처리목적(Information Processing Objectives)에 해당하는 완전성, 정확성, 유효성 및 접근제한을 이용한 표시도 가능하다. 이러한 접근 방식은 특정 프로세스에서 발생할 수 있는 통제위험을 누락 없이 고려하여 적절할 통제활동 설계의 기반이 되기도 한다.

정보의 품질은 A81을 참조할 것.

​

정책과 절차(Policy and Procedure) : 설계 24,49,A67,A68, 평법 75

통제는 회사의 정책 및 절차와 긴밀히 연계되어야 한다. 정책은 효과적인 통제를 위해 반드시 수행되어야 하는 경영진의 지시사항을 반영한다. 절차는 정책을 실행하기 위한 다양한 활동으로 구성된다. 따라서 정책이나 절차가 연계되지 않은 통제는 효과적이지 않을 것이다.

​

준거기준(Criteria) : 감서 1100.6(h),A5,A6

인증대상을 측정하거나 평가하는데 사용되는 기준. 인증대상(즉, 감사대상)은 내부회계관리제도이다. 감사인은 내부회계관리제도감사를 수행할 때 내부회계관리제도 운영실태에 관한 보고내용이 외부감사법의 요구사항을 포함하여 "내부회계관리제도 평가 및 보고 모범규준"에 따라 작성되었는지를 평가한다.

​

중간 평가 : 평법 112

내부회계관리제도의 효과성을 평가하기 위해 통제의 테스트를 평가기준일에 일괄적으로 수행하는 것이 현실적으로 불가능하며, 또한 기중에 식별된 내부회계관리제도 미비점을 개선할 시간적인 여유를 갖기 위해서는 평가기간 중간에 내부회계관리제도의 효과성을 평가하는 것이 일반적이다(중간평가).

​

중소기업 : 평준 12

​

중요성(Materiality) 및 수행 중요성(Performance Materiality) : 설계 A29, 설법 64~68, 평법 40

중요성 개념은 목적적합성과 관련이 깊다. 중요성은 특정 재무적 금액의 목적적합성을 결정하는 임계치가 된다. 만약 특정 재무정보의 누락 또는 왜곡표시가 재무정보에 기반한 정보이용자의 의사결정에 영향을 줄 수 있다면 그 정보는 의사결정에 관련성이 높은 것이고 중요한 것이다. 중요성은 누락 및 왜곡표시가 발생하는 특정상황에서 판단 대상이 되는 항목과 오류의 크기에 따라 달라질 수 있다. 외부보고의 경우, 중요성은 외부 정보이용자들의 요구에 부합할 정도의 정확성을 반영하고, 허용 가능한 범위 내에서 회사의 활동, 거래 및 사건을 표시하게 한다. 또한, 내부회계관리제도의 관리 대상이 되는 재무보고요소의 범위를 결정하는 중요한 요인으로 이용된다.

유의한 계정과목 등을 식별하기 위한 양적 요소는 계정과목의 금액을 고려하며, 일반적으로 설계·운영 적용기법에서 제시하는 "중요성" 기준과 “수행 중요성(Performance Materiality)" 기준을 활용한다. 경영진은 내부회계관리제도 평가 과정에서 회사에 존재하는 미비점을 발견하지 못할 가능성에 대비하여 보수적으로 중요성 기준의 50~75%를 적용한 수행 중요성 기준으로 유의한 계정과목을 선정한다. 수행 중요성을 적용함에 따라, 유의한 계정이 추가로 선정되어 회사의 내부회계관리제도 평가가 잘못 수행될 위험을 최소화 할 수 있다.

​

최종 사용자 컴퓨팅(EUC, End-User Computing) : 설법 106

End-User Computing이란 마지막 실무자가 IPE를 IT통합시스템에 입력하는 행위의 뜻을 지니며, 실무자가 실무를 하는 과정에서 회사의 IT 통합 시스템을 통해 전산적으로 만들어 내는 자료가 아니라 개인의 엑셀, 워드 자료 등 실무자 개인의 PC에서 회사의 IT 통합시스템을 통하지 않고 만들어내는 모든 종류의 문서들을 말한다. 예컨대 실무자가 대손충당금, 퇴직충당부채, 외화평가 등의 자료를 엑셀을 이용하여 IPE를 생성하고 그 결과값을 전표로 입력하는 행위가 해당된다. 내부회계관리제도에서는 End-User의 Computing에 심각한 오류가 발생할 수 있음을 인지하고 이에 대한 통제절차를 수립하게 된다. EUC의 경우에도 EUC Inventory가 작성되어야 한다.

경영진은 재무보고의 중요한 프로세스나 관련 통제활동에 사용되는 엑셀, 스프레드시트 등을 포함한 최종 사용자 컴퓨팅(EUC)의 사용 현황을 확인하고, 해당 EUC의 사용으로 인해 발생할 수 있는 재무제표 왜곡위험을 평가한다. EUC 항목에 대한 위험평가 결과가 높은 것으로 판단되는 경우, 해당 EUC를 시스템의 애플리케이션으로 전환하는 것을 고려한다. 일반적으로 EUC에 대한 통제활동은 시스템 애플리케이션에 대한 정보기술 일반통제와 같이 강력하게 설계하지 않는다. 따라서 EUC의 복잡성이 증가하여 왜곡위험이 증가될수록 EUC 통제활동으로 충분하지 않을 수 있다.

​

추적조사(WT, Walk Through) : 평법 96

거래 유형별로 1~2개의 거래를 표본으로 추출하여 거래의 시작에서 재무제표에 반영되는 종료시점까지 계약서, 증빙서류 및 회계장부 등의 거래 증적에 따라 거래 흐름을 추적하여 관련된 위험을 파악하여 관련된 통제활동의 설계가 적절한지를 파악하는 것.

​

출발점(Baseline) : 설법 155,156,157, 평법 76

통제활동의 변화 여부를 확인하고 설계평가를 수행하여야 하는지 판단하기 위해 가장 최근의 내부통제설계평가를 수행한 시점을 문서화 한다. 예를 들어 매출 프로세스 등의 변화가 발생한 경우, 관련된 통제를 확인하고 각 통제활동별 출발점으로 기술된 일자의 설계평가 문서 등을 확인하고, 해당 통제가 변경되어야 하는지 여부를 확인할 수 있다. 통제활동이 변경되는 경우, 해당 통제설계의 적정성을 평가하고 출발점으로 기술된 일자를 업데이트 한다.

​

컴플라이언스(Compliance) : 조직 구성원 모두가 제반 법규를 철저하게 준수하도록 사전적, 상시적으로 통제, 감독하는 체제.

​

탐색적 질문(probing question) : 감서 1100.A44

추적조사를 수행할 때, 감사인은 기업 담당자에게 중요한 거래 처리절차가 수행되는 시점에 기업의 규정된 절차 및 통제에 의하여 요구되는 사항에 대한 기업 담당자의 이해에 관해 질문한다. 이러한 탐색적 질문(probing question)은 다른 추적조사 절차와 결합하여, 감사인이 해당 프로세스에 대한 충분한 이해를 얻고 필요한 통제가 누락되거나 효과적으로 설계되지 않은 중요한 지점을 식별할 수 있게 한다. 또한, 추적조사의 기초로 사용된 단일거래에 대한 제한된 초점을 넘어서는 탐색적 질문은 해당 프로세스에 의해 다루어지는 상이한 유형의 유의적인 거래에 대한 이해를 제공한다.

​

테스트방법(질문, 관찰, 문서검사, 재수행) : 평법 106~109

질문은 그 자체로는 통제 운영의 효과성에 대한 충분한 증거를 제공하지 않는다. 통제의 관찰은 통제활동이 수행되는 절차를 관찰하여 관련된 위험이 감소하는지 여부를 확인하는 절차로 질문보다 더 높은 수준의 확신을 제공한다. 문서검사는 통제활동의 결과가 문서화되는 경우, 해당 문서 검토를 수행하는 절차를 의미하고, 재수행이란 통제 평가자가 통제활동을 동일한 상황을 가정하고 다시 반복하여 수행해 봄으로써 통제활동이 효과적으로 수행되었는지 평가하는 것으로, 질문, 관찰 등의 방법보다 높은 수준의 확신을 제공하여 주는 평가 방법이다. 이러한 평가 방법은 평가 대상인 통제활동의 속성에 따라 선택적으로 적용된다. 예를 들어 승인, 증빙 대조, 연관된 보고서간의 상호 검증 등 문서 증거가 존재하는 통제활동에 대하여는 문서검사의 방법으로 통제 운영의 효과성을 평가할 수 있다. 반면에 통제환경과 관련된 문서화된 증거는 존재하지 않을 수도 있다. 통제활동의 문서화된 증거나 통제성과가 존재하지 않거나 존재하지 않을 것으로 기대되는 경우에는 질문과 관찰을 조합한 방법 등이 사용될 수 있다.

​

통제기술서(CM or RCM, Control Matrix, Risk & Contrl Matrix) : 평법 81, 82

통제기술서는 업무프로세스 내의 하위프로세스별 통제목표 또는 위험과 이를 관리하기 위한 통제활동 및 경영자 주장, 통제 유형 및 수행빈도 등을 일목요연하게 표현하는데 매우 유용하며, 내부회계관리제도 문서화 목적으로 널리 사용된다. 통제기술서는 주로 통제활동에 대한 설명과 유형, 수행빈도 등의 문단 63~77에서 제시하는 항목을 포함하여 작성되는 문서이나, 프로세스의 시작부터 재무제표에 반영되는 복잡한 프로세스에 대한 기술과 관련된 위험을 포함하지 않는 것이 일반적이다. 이에 회사 프로세스에 대한 설명과 관련된 위험을 확인하고 통제활동 설계의 적정성을 검토하기 위해 업무흐름도와 업무기술서는 매우 유용할 것이다. 단, 중소기업에서는 통제기술서 상에 각각의 통제활동과 관련되어 실제로 회사가 수행하는 절차(“회사 현황”)를 구체적으로 기술함으로써 내부회계관리제도 설계의 효과성 평가에 활용할 수 있다.

​

통제목표(Control Objectives) : 평법 64

통제목표란 경영자가 수립한 목표로써, 통제목표가 달성되는 경우 식별된 위험을 허용가능한 수준으로 감소시킬 수 있다. 내부회계관리제도 목적상으로는 유의한 계정과목 등에 내재된 경영자 주장 및 자산의 보호, 부정방지 등을 달성하는 것이 통제목표를 구성하게 된다.

​

통제 미비점(Internal control deficiency) : 설계 7,A107

‘통제 미비점’은 내부통제 목적을 달성함에 있어 하나의 구성요소 또는 복수의 구성요소 및 원칙들에 결함이 존재함을 뜻하며, ‘중요한 미비점(Major Deficiency)’은 내부통제 목적 달성을 중대하게 저해하는 하나의 통제 미비점 또는 여러 통제 미비점들의 결합을 말한다.

​

통제운영책임자(Control Owner) : 평법 77

통제활동의 설계와 운영의 책임을 지는 인원을 통제 운영 책임자로 기술하고, 필요에 따라 통제를 실제 수행하는 부서, 책임자, 수행자 등을 구분하여 표시하는 것이 해당 통제활동의 권한과 책임을 명확히 하고, 미비점에 대한 개선 조치를 포함한 변화관리에도 유용하다.

​

통제위험(Control risk) : 평준 52~57, 평법 65

경영진은 내부회계관리제도 평가 시 필요한 증거자료를 결정하기 위하여 재무보고 요소에 대한 위험을 적절하게 처리할 수 있도록 식별된 통제가 효과적으로 설계 및 운영되지 않을 위험(이하 “통제위험”이라 함)을 평가하여야 한다. 이러한 평가 시 통제가 관련되어 있는 재무보고 요소의 특성 및 통제 자체의 특성을 고려하여야 한다.

식별된 통제가 효과적으로 설계 및 운영되지 않을 위험. 통제위험이란 통제목표가 달성되지 않을 경우 재무제표 왜곡표시를 야기할 가능성을 의미한다.

​

통제의 모니터링 : 감서 1100.A10

통제의 모니터링은 지속적으로 내부회계관리제도 수행의 효과성을 평가하는 프로세스이다. 이는 적시에 통제의 효과성을 평가하고, 조직 내의 적합한 개인에게 미비점을 식별하여 보고하며, 그리고 필요한 시정조치를 취하는 것을 포함한다. 경영진은 상시적인 평가나 별도의 평가 또는 이 두 가지를 결합하여 통제의 모니터링을 달성한다.

​

통제이탈(Control Deviations) : 감서 1100.A62

통제가 설계된 대로 운영되지 않을 때 발생(감서 1100 문단 A62), 예외사항이라고도 함.

​

통제테스트(Tests of Controls) : 감서 1100.36~46,A48~72

​

통제활동(Control Activity) : 평법 66

통제활동이란 통제목표를 달성하기 위해(또는 위험을 허용가능한 수준으로 감소하기 위해) 경영진이 수립한 정책이나 절차, 활동 및 체계 등을 의미한다. 특히, 내부회계관리제도와 관련해서는 회사의 재무제표를 일반적으로 인정된 회계원칙에 따라 작성 및 공시하는 목적을 달성하기 위한 정책이나 절차 등을 의미한다. 유의한 계정과목 등에 대한 경영자 주장 및 이와 관련된 유의한 업무프로세스가 파악되면, 경영진은 유의한 업무프로세스에서 재무제표 왜곡표시가 발생할 수 있는 위험을 관리하기 위한 통제활동을 식별하고 문서화한다. 통제활동은 회사 일상 업무의 일부가 되어야 하며, 개별 통제목표에 따라 그 형태 및 세부 운영수준은 다를 수 있으나 명확한 목적과 관리 대상 위험이 불명확한 경우는 통제 설계의 미비점이 될 수 있다.

​

편집체크(Edit check) : 평법 110

편집체크 기능은 허용 가능한 입력값의 특성(문자, 숫자, 날짜 등)을 사전에 정의하고, 유효하지 않은 입력값이 입력되지 않도록 방지한다. 이러한 통제의 운영의 효과성을 테스트하기 위해서는 유효하지 않은 가격의 조합을 입력하여 입력이 가능한지 여부에 대해 확인하는 방법 등이 있다.

​

평가대상범위의 선정(Scoping) : 평법 38, 45, 47~61

내부회계관리제도는 재무제표의 신뢰성에 대한 절대적인 확신(absolute assurance)이 아닌 합리적 확신(reasonable assurance)을 제공하는 것을 목적으로 한다. 따라서 경영진이 합리적인 확신을 갖기 위해 모든 계정과목 및 주석정보에 대한 통제활동을 파악하고, 설계 및 운영의 효과성을 평가하여야 하는 것은 아니며, 유의한 계정과목과 주석정보(이하 “유의한 계정과목 등”이라 함)만을 대상으로 할 수 있다. 계정과목 및 주석정보가 개별적 또는 다른 계정과목이나 주석정보와 결합하여 재무제표의 중요한 왜곡표시의 발생가능성이 낮지 않다면(reasonable possibility), 이를 유의한 계정과목 등이라 한다. 유의한 계정과목 등을 식별할 때에는 양적 요소와 질적 요소를 함께 고려한다.

유의한 계정과목 등, 그리고 이와 관련된 경영자 주장을 파악한 후 경영진은 해당 계정과목 및 주석정보에 영향을 미치는 주요 거래유형별 유의한 업무프로세스를 파악한다. 유의한 업무프로세스 및 그 프로세스 내에서 수행되는 일련의 활동인 하위프로세스는 영위하는 사업의 내용이나 환경 등에 따라 회사마다 다를 수 있다. 예를 들어, 연구개발비 계정과 관련된 업무프로세스는 제조업(특히 첨단산업)의 경우에는 중요할 수 있으나 금융업을 영위하는 회사에서는 상대적으로 중요하지 않을 수도 있다. 기말재무제표 작성절차는 내부회계관리제도에서 차지하는 중요성으로 인해 항상 유의한 업무프로세스로 식별되어야 한다. 유의한 업무프로세스라 하더라도 관련 하위프로세스를 모두 동일한 비중으로 고려하기보다는 각 하위 프로세스별 위험평가를 통해 내부회계관리제도 평가자, 평가방법, 범위 및 시기 등을 적절히 조정하는 것이 바람직하다.

복수의 사업단위가 존재하는 경우 경영진은 각 사업단위의 재무적 비중 및 고유위험, 특수한 회계처리방법의 적용여부, 내부감사 또는 외부감사 결과 등의 과거경험, 사업환경의 변화 등 개별 사업단위가 지니는 상대적 중요성 및 위험을 고려하여 어느 사업단위가 평가 대상에 포함되는지 결정한다.

선정 범위 안에 들어오면 Scope-in, 범위에서 제외되면 Scope-out이라 함.

​

프로세스(Process) : 평법 63

회사의 주요 사업 및 업무처리 절차를 구분하여 표시한 것으로, 회사 특성에 따라 다양하게 구분한다.

​

하향식 접근방법 또는 위험중심의 접근방법(Top-Down / Risk-Based Approach) : 평법 5, 감서 1100.23~35,A28~A47

​

합리적 확신((Reasonable assurance) : 설계 보론B, 평준 9, 평법 38

내부회계관리제도는 재무제표의 신뢰성에 대한 절대적인 확신(absolute assurance)이 아닌 합리적 확신(reasonable assurance)을 제공하는 것을 목적으로 한다. 내부회계관리제도의 본질적 한계 때문에, 재무제표의 신뢰성 확보 목적이 달성되도록 내부회계관리제도가 효과적으로 설계·운영되고 있다는 것을 절대적으로 보증하지는 않는다는 개념으로서, 평가자는 절대적 수준은 아니지만 높은 수준의 확신을 평가보고서에 적극적으로 표명함으로써 합리적 확신을 제공한다. "합리적 확신"이란, 이른바 회사의 회계와 내부회계관리제도에 충분한 전문지식을 갖춘 객관적인 관리자(prudent official)를 만족시키기에 충분한 확신과 정교함의 수준을 의미한다. 이러한 "합리성"은 회사 기록에 대한 정확성의 절대적 기준을 의미하지 않는다. "합리성"이 객관적인 기준이지만, 내부회계관리제도를 적용 및 실행하는데 있어 어느 정도가 합리적인지에 대한 회사의 판단이 필요하다. 따라서 “합리적”, “합리적인”, “합리성”이라는 문구는 하나의 결론이나 방법론을 의미하는 것이 아니라 회사의 결정에 근거가 될 수 있는 다양하고 적절한 업무 절차, 결론, 방법론을 포함할 수 있다.

​

핵심통제(Key control) : 평법 89

핵심통제는 특정 계정과목에 대해 경영자의 주장별로 발생가능한 위험에 대응하는 통제활동 중 없어서는 안 될 통제활동을 의미한다. 예를 들어, 매출에 대한 판매단가의 적용이 잘못되는 경우를 방지하기 위해 다양한 통제활동이 존재할 수 있다. 판매단가 적용 시, 시스템에서 제시된 단가 이외에는 선택할 수 없는 입력통제활동이나 판매주문서 승인시 판매금액을 검토하는 통제활동, 전표 기표 시 관련된 계약서와 거래 증빙 등을 확인하여 판매금액을 검토하는 통제활동 등이 사용될 수 있다. 회사의 특정 매출 유형에 예외 없이 적용되는 판매단가에 대한 입력통제활동은 핵심통제활동으로 선정될 수 있을 것이다. 다른 매출 유형은 매출 확정 시 조정이 발생하는 경우가 존재하여 조정과 관련한 통제활동이 핵심통제활동으로 선정될 수 있을 것이다. 이러한 핵심통제는 일반적으로 계정과목별 경영자의 주장을 고려하여 선정되는 것이 필요하며 핵심통제를 선정하는 하는 것은 주의 깊은 사고와 판단을 요구하며 다음과 같은 특성을 지니고 있는 통제가 핵심통제로 결정될 수 있다.

· 재무제표 왜곡표시 위험을 줄이는데 가장 직접적인 영향을 미치는 통제활동으로, 어떤 다른 통제보다도 회사가 해당 계정과목의 왜곡표시 위험을 방지하는 데 가장 우선적으로 고려하는 통제활동이다. 재고자산의 실재성과 관련한 경영진 주장을 만족시키기 위한 재고자산에 대한 강력한 물리적 보안 통제나 정기적인 실사를 예로 들 수 있다.

· 하나 또는 그 이상의 유의한 계정과목, 거래유형과 공시사항의 왜곡표시 감소를 위한 통제활동으로, 이러한 통제를 핵심통제로 선정하는 이유는 중요한 재무보고에 대한 주장과 관련된 통제에 대하여 테스트를 집중하여 평가를 효율적으로 수행하기 위함이다.

· 회사는 철저한 위험관리를 위해 중복적으로 통제활동을 설계하기도 하고, 단계적으로 통제활동을 설계하기도 한다. 그러므로 보완적이고 중복적으로 설계된 통제활동은 핵심통제활동으로 선정하지 않는 것이 일반적이다. 그러나, 단계적 통제활동으로 수행되는 통제활동의 정교함이 다르거나 통제가 실패할 위험을 고려하여 의도적으로 핵심통제활동에 포함할 수도 있다.

​

허용가능 오류 : 표본에서 발생한 이탈이 특정 횟수 이내여야만 모집단의 실제 이탈률이 허용 이탈률 이내라는 결론을 내릴 수 있을 때 그 특정 횟수

​

허용이탈률 : 모집단의 실제 이탈률이 감사인이 설정한 이탈률을 초과하지 않는다는 적합한 수준의 확신을 얻기 위한 관점에서 감사인이 설정한 내부통제절차의 이탈률(감서 530 문단5.(j))

​

확신(Assurance) : 설계 보론B

경영자 주장의 신뢰성에 대하여 평가자가 만족하는 정도를 말한다. 이러한 확신을 얻기 위해서 평가자는 수행된 평가 절차에서 수집된 증거를 평가하고 결론을 내려야 한다. 만족의 정도와 그에 따른 확신의 수준은 수행된 절차 및 그 결과에 따라 결정된다.

​

확신의 수준(Level of Assurance) : 설법 111

​

COSO(Committee of Sponsoring Organizations of the Treadway Commission) : 1985년 미국에서 효과적인 내부통제 체계를 확립하기 위해 AICPA, AAA, FEI, IIA, IMA의 5개의 민간 단체가 공동 설립한 조직이다. COSO의 내부통제 프레임워크는 통제환경, 위험평가, 통제활동, 정보 및 의사소통, 모니터링으로 구성된다. 이런 COSO의 내부통제 개념들을 통합하여 효과적인 업무를 수행할 수 있다.

​

ELC : 전사수준통제(Entity Level Control)

​

IPE(Information Produced by Entity) : 회사가 생성하는 정보들을 말한다. 실무자가 실무를 하는 과정에서 회사의 IT시스템을 통하지 않고 개인의 엑셀, 워드 자료 등 실무자 개인의 PC에서 만들어내는 모든 종류의 문서들도 포함하며, 각종 보고서, 기안지, 검토분석 엑셀파일, 업무연락, 사진 등이 여기에 포함된다. 회사의 의사결정에 이용되는 모든 정보를 의미하며 SOX 목적으로는 재무보고를 위한 통제 상에 활용되는 데이터(IUC; Information Used in a Control)를 지칭하는 것이다.

​

기본적으로 IPE는 다음의 4가지 카테고리로 구분되며, 해당 카테고리별 회사가 취해야 하는 IPE절차는 아래와 같다.

#	Report 카테고리	개념	회사의 절차
1	Standard Reports(표준보고서)	· 회사 ERP에서 도출되는 데이터로 End user가 관련 Parameter(기간, 생성자 등)만 입력하여 도출하는 리포트를 의미 · 시스템 Query 등을 이용하여 수정할 수 없는 데이터를 의미	· 경영진은 해당 리포트 추출 시 이용된 'Parameter'를 스크린 캡쳐하는 방식 등으로 문서화 ​ · 해당 Parameter를 실행하여 도출된 결과값도 문서화하여 보관 ​ ​
2	Non-Standard Reports(비표준보고서)	· 대개 회사의 ERP에 Add-on된 시스템 (매장재고관리시스템, POS 등)에서 도출되는 데이터로 회사가 추가 개발/변경한 report 등의 데이터를 의미	· 경영진은 해당 리포트 추출 시 이용된 'Parameter'를 스크린 캡쳐하는 방식 등으로 문서화 ​ · 해당 Parameter를 실행하여 도출된 결과값도 문서화하여 보관 ​ · Accuracy 등 해당 Data의 신뢰성 관련 통제 및 검토 필요 (예: 5개는 시스템에서 데이터 원본으로, 5개는 데이터 원본에서 시스템으로 검증)
3	Third party report(제3자발행보고서)	· 외부 서비스 조직 또는 벤더 등으로부터 취득한 정보 · 회계법인의 평가보고서, 신용평가사의 평가보고서, 감정평가법인의 평가보고서 등	· 경영진은 외부에서 제공된 해당 정보에 대해 완전성과 정확성을 확인할 수 있는 적절한 통제 절차를 마련하여야 함.
4	Spreadsheet(스프레드시트)	엑셀 등 spreadsheet를 이용하여 작성된 데이터	- 경영진은 아래의 IPE 절차를 취할 것을 요구 · 해당 spreadsheet의 계산 로직 등을 포함하여 개발, 변경, 접근권한, 보관 등에 대한 통제활동을 수행 · Spreadsheet의 원천 데이터의 이해 및 신뢰성 관련 통제활동 수행

회사는 재무보고 목적의 개별 통제들에 사용되는 정보(IUC)를 식별하고, 정보시스템상의 파라미터(Parameter), 알고리즘(Report Logic) , 원천 데이터(Source Data)의 검증을 통해 해당 정보의 정확성과 완전성을 확인하기 위한 테스트 절차를 수립하고, 식별된 IUC에 대한 테스트를 수행 및 문서화하고 감사인에게 제출해야 한다.

PCAOB AS1105, AICPA AU-C 500, COSO 2013 Principle 13 등에 회사가 사용한 정보에 대해, 감사인은 해당 정보가 신뢰성 있는 정보인지 평가해야 한다고 하면서, 해당 정보의 “정확성과 완전성”을 확인해야 한다고 명시하고 있다. 또한 해당 정보가 감사인의 목적에 맞게 충분하게 정확하고 상세한지 여부를 확인하라고 명시하고 있다. 이에 따라 회사는 재무보고를 위한 Key통제에 개별 통제들에 사용되는 데이터의 원천을 확인하여 이를 카테고리별로 구분하고, 해당 카테고리별 IPE절차를 수립하여 문서화하여야 한다. 뿐만 아니라, 개별 IPE절차에 따라 수행한 모든 절차를 문서화하고 감사인이 요구시 제출해야 한다. IPE를 신뢰성있게 구축하고 운영하기 위해서 IPE 목록(IPE Inventory)의 작성, IPE 범주화, IPE 유효성 평가 등이 요구되어진다.

☞원칙 13. 관련 있는 정보의 사용

회사는 내부통제의 운영을 지원하기 위하여 관련 있는 양질의 정보를 취득 또는 생산하고 사용한다(The organization obtains or generates and uses relevant, quality information to support the functioning of internal control).

​원칙 달성을 위한 중점 고려사항

① 정보 요구사항의 식별(Identifies information requirements) – 회사의 내부통제 목적 달성과 내부통제 구성요소들의 기능을 지원하기 위해 필요하고 요구되는 정보를 식별하는 절차가 수립되어 있다.

② 내부 및 외부의 데이터 원천 포착(Captures internal and external sources of data) – 정보시스템은 내부 및 외부의 데이터 원천을 포착한다.

③ 관련 있는 데이터를 의미 있는 정보로 변환(Processes relevant data into information) – 정보시스템은 관련 있는 데이터를 처리하여 의미 있는 정보로 변환한다.

④ 정보 처리 과정에서 품질의 유지•관리(Maintains quality throughout processing) – 정보시스템은 시의적절하고, 최신의, 정확하고, 완전하고, 접근가능하고, 보호되고, 검증가능한 정보를 생산하고 유지하며 동 정보가 내부통제 구성요소 지원에 적절한 정보인지 검토한다.

⑤ 비용과 효익 고려(Considers costs and benefits) – 의사소통 대상이 되는 정보의 성격, 양, 상세한 정도는 회사의 내부통제 목적에 부합하고, 목적 달성을 지원한다.

☞설계운영적용기법 120

경영진은 다양한 출처로부터 광범위한 정보를 획득 및 이용할 수 있다. 관련 있는 정보가 되기 위해서는 외부 재무보고를 감독하고 내부통제체계를 모니터링하는 임직원의 요구와 책임에 부합하고 유용성과 신뢰성을 갖춰야 한다. 경영진은 내부회계관리제도의 설계, 운영 및 평가에 필요한 정보를 식별하고 정보 요구사항 목록을 작성함으로써 내부회계관리제도 측면에 필요한 정보에만 집중할 수 있을 것이다.

​

IT의존 수동통제(IT dependent Manual Control) : 평법 71

거래처리시 재무제표의 왜곡표시를 야기하는 오류나 부정위험을 회사의 시스템에서 산출되는 정보를 기반으로 하여 수작업으로 통제활동을 수행하는 경우(예: 구매주문서 승인 절차에서 구매주문 승인자가 거래총액을 확인하는데 시스템에서 산출되는 정보를 기반으로 통제활동을 수행하는 경우), 이는 IT의존 수동통제(IT dependent Manual Control)로 구분한다.

​

LSPM(Likely Sources of Potential Misstatement) : 부정 등으로 왜곡표시가 발생할 수 있는 위험요소를 뜻하며, 실무상 프로세스 수준에서 통제가 필요하게 되는 위험으로 표현된다. 보통 LSPM이 나오고 그 뒤에 통제가 나열되므로, PLC 수준의 RCM을 LSPM으로 부르기도 한다.

​

MRC(Management Review Control) : Ref.경영진 검토통제

​

OSP(Outsourced Service Provider) : Ref.외부서비스제공자·SOC

​

PBC List(Provided By Client List) : 필드워크(fieldwork) 개시 전 감사인이 클라이언트에게 요구하는 항목(items)에 대한 요청서이다. PBC List는 예비적인 것으로서 감사가 개시되면서 확대될 것이다.

​

PLC : 업무프로세스수준통제(Process Level Controls) 또는 거래수준통제( TLC; Transaction Level Controls)

​

RFP(Request for Proposal, 제안 요청서) : 용역 회사와 시스템 공급사(RFP) 등 제안 업체들에게 제안 요청을 하는 것으로, 제안 요청 내용은 ① 시스템 개발부문：개발 방안, 개발 방법론, 사용자 인터페이스. ② 기술 부문：시스템 구성 방안, 통신망 구성 방안, 하드웨어 설치 방안, 소프트웨어 툴. ③ 사업 수행 부문：조직, 전담 인원, 추진 인원, 사업 관리 방안. ④ 사업 지원 부문：시험 운영 방안, 하자 보수 방안, 보안 대책, 기술 이전 방안. 가격 제안 등을 작성하여 해당 과제의 내용을 명확히 이해하고 제안의 목적, 범위 전제 조건, 특징 등을 작성하여 성공적으로 사업이 수행될 수 있도록 수행 능력과 기술 능력을 평가하여 업체를 선정할 수 있도록 항목화된 형식으로 작성된 서류이다.

​

Scoping(범위 선정) : 내부회계관리제도에서는 기업의 재무제표에 큰 영향을 끼치게 되는 계정과목을 식별하고 해당 계정과목에 대한 통제활동을 수립할 것인지 말것인지를 결정하게 된다. 이때, 각 계정과목을 특정 기준(연간 영업이익의 5%, 혹은 전체 자산규모의 0.5% 등)에 근거하여 해당 계정과목을 포함시킬 기준(범위)을 수립하게 되고 이를 Scoping 작업이라고 한다. 범위 안에 들어오게 되면 Scope-in이라고 하고, 범위에서 배제하게 되면 Scope-out이라고 한다.

​

SOC(Service Organization Control, 서비스 조직 통제) : Ref.외부서비스제공자·OSP. 설계 A106, 설법 10.2, 감준 100,64·65·66·91~99·112~122, 감준 402, 서비스조직의 통제에 대한 인증업무기준(한공회, ISAE 3402)

OSP가 제공하는 서비스에 대해서 통제가 필요하며, 그 방법을 달리해서 적용가능하다.

일반적으로 회사는 회사의 목적 달성을 위해 다양한 외부서비스제공자(OSPs)를 이용하고 있으며, 해당 외부서비스제공자의 내부통제가 회사의 내부회계관리제도에 미치는 위험 및 영향을 다양한 방식으로 파악할 필요가 있다. 회사는 외부서비스제공자와 계약 시, 감사 수행 권리와 관련한 문구를 포함하여 제공되는 서비스의 내부통제에 대한 독립적인 평가를 수행할 수 있는 근거를 마련하여야 한다. 외부서비스제공자의 내부통제를 이해하기 위한 방법으로는 직접적으로 외부서비스제공자의 내부통제에 대해 독립적인 평가를 수행하거나, 외부 인증보고서를 이용하는 등 다양한 형태가 될 수 있다.

① 통제활동 직접 평가: 서비스제공자가 파견 형태 또는 회사 직원과 동일한 관리(통제)하에 업무를 수행하고 있고 이에 대한 직접 평가가 가능한 경우

② 회사 모니터링 활동 평가: 서비스제공회사가 제공하고 있는 서비스에 대해 운영부서의 주기적인 검토가 이루어지고 있으며, 이에 대한 평가가 가능한 경우

③ SOC 보고서: ①②가 불가능한 경우 SOC Report(3402 보고서)를 통해 통제를 확인한다. 즉, 제공받은 서비스에 대한 서비스감사인(회계법인이나 공인회계사)의 인증보고서(감사보고서와 성격이 동일함)를 수령하여 제공서비스의 신뢰성을 확보하는 것이다. 인증보고서 유형에는 유형1 보고서와 유형2 보고서가 있다(하단 참조).

SOC Report 요청대상인 OSP가 이미 내부회계관리제도를 구축하여 운영하고 있더라도, 내부회계관리제도 감사의견은 사용자기업의 재무제표와 관련된 내부통제가 아닌 서비스기업의 재무제표 작성을 위한 내부통제에 대한 감사의견만 제시하고 있으므로, OSP의 감사보고서를 참조할 수 없다.

​

TP(Test Program) : 테스트 절차서. 개별 통제활동별 테스트 양식을 말함.