예판 상세검색
생산일자  ~ 최근 1개월 최근 6개월 1년 3년 5년 전체
검색방법
임 의 어 세목 구분
  • 생산일자는 캘린더 선택 또는 직접 입력으로 설정이 가능합니다. (입력 예시: 2018-03-20)
  • 문서번호 또는 임의어 검색을 선택하여 검색할 수 있습니다.
  • 문서번호 검색 시 생산기관 선택 없이 문서번호 전체입력 또는 뒷 번호로 검색하시면 편리합니다.
    예1) 사전법령법인-560 or 560,  예2) 조심2016중4304 or 4304,  예3) 대법원2012두22485 or 2012두22485
  • 임의어 검색 시 세목구분을 활용하여 검색범위를 설정하실 수 있습니다.
원하는 검색 조건을 선택하고 '검색' 버튼을 클릭하세요.

2018. 7. 27
내부회계관리제도운영위원회
  • 1 본 내부회계관리제도 설계 및 운영 개념체계(이하 “설계·운영 개념체계”라 함)는 주식회사 등의 외부감사에 관한 법률(이하 “외감법”이라 함) 제8조의 규정이 적용되는 회사가 내부회계관리제도를 설계 및 운영하는데 필요한 기본원칙을 제시함으로써 회사가 합리적이고 효과적인 내부회계관리제도를 구축하도록 지원하고, 이를 통해 회사가 공시하는 재무제표의 신뢰성을 제고하는 것을 그 목적으로 한다.
  • 2 본 설계·운영 개념체계는 내부회계관리제도에 적용할 수 있는 내부통제제도 체계(이하 “내부통제체계”라 함)를 제시한 것으로써, 회사는 내부회계관리제도를 설계 및 운영함에 있어 일반적으로 인정된 다른 기준을 적용할 수 있다.
  • 3 본 설계·운영 개념체계가 회사별로 상이한 업종의 특성과 고유한 사업환경을 모두 고려할 수는 없으므로 각 회사는 본 설계·운영 개념체계를 기본으로 하여 자체적으로 고유의 내부회계관리제도를 설계 및 운영하여야 한다. 따라서 각 회사는 본 설계·운영 개념체계를 참고하여 회사의 실정에 맞는 내부회계관리규정, 내부회계관리제도 지침서 등을 구비할 필요가 있다.
  • 4 회사가 내부회계관리제도 설계 및 운영을 위한 내부통제체계로 본 설계·운영 개념체계를 선택하는 경우에는 이하에서 제시하는 내용을 준수하여야 한다. 다만, 회사는 본 설계·운영 개념체계를 적용함에 있어 회사의 규모, 관련 비용과 효익 등을 고려하여 합리적인 수준에서 그 내용을 조정할 수 있다.
  • 5 내부통제제도는 다음의 세 가지 목적달성에 대한 합리적 확신을 제공하기 위하여 조직의 이사회, 경영진 및 여타 구성원에 의해 지속적으로 실행되는 일련의 과정이다.
    • 기업운영의 효율성 및 효과성 확보(운영목적)
      - 회사가 업무를 수행함에 있어 자원을 효과적이고 효율적으로 사용하고 있다.
    • 보고 정보의 신뢰성 확보(보고목적)
      - 회사는 내부 및 외부 보고를 위해 정확하고 신뢰할 수 있는 재무정보와 비재무정보의 작성 및 보고체계를 유지하고 있다.
    • 관련 법규 및 정책의 준수(법규준수목적)
      - 회사의 모든 활동은 관련 법규, 감독규정, 내부정책 및 절차를 준수하고 있다.
내부통제제도의 구성요소와 원칙
  • 6 내부통제제도는 다음과 같이 통제환경, 위험평가, 통제활동, 정보 및 의사소통, 모니터링 활동의 5 가지의 구성요소와 각 구성요소별로 달성되어야 할 원칙으로 이루어진다. 내부통제제도의 구성요소별로 달성되어야 할 원칙은 다음과 같다.
    내부통제제도 구성요소원칙
    통제환경원칙 1-5
    위험평가원칙 6-9
    통제활동원칙 10-12
    정보 및 의사소통원칙 13-15
    모니터링 활동원칙 16-17
    * 내부통제제도에 적용되는 각 원칙은 문단 38 이하에서 설명한다.
    • 통제환경: 내부통제제도의 기반을 이루는 구성요소로 도덕성과 윤리적 가치에 대한 태도를 기반으로 이사회 및 감사 및 감사위원회를 포함한 내부통제제도 관련 조직의 책임을 명확히 하고 해당 업무를 수행할 수 있는 조직 체계의 구성, 교육을 포함한 인력 운용 및 성과평가와의 연계가 이뤄질 수 있는 체계를 포함한다.
    • 위험평가: 내부통제제도의 목적 달성을 저해하는 위험을 식별하고 평가 및 분석하는 활동을 의미한다. 구체적이고 명확한 목적을 설정하여 관련된 위험을 파악하고, 파악된 위험의 중요도(심각성) 정도를 평가한다. 동 절차에서 부정위험 평가를 포함하여 고려하고, 회사의 중요한 변화사항을 고려하여 기존에 평가한 위험을 지속적으로 유지·관리하는 것을 포함한다.
    • 통제활동: 조직 구성원이 이사회와 경영진이 제시한 경영방침이나 지침에 따라 업무를 수행할 수 있도록 마련된 정책 및 절차가 준수될 수 있는 통제활동이 선택 및 구축될 수 있는 체계를 포함한다. 통제활동은 경영진의 업무성과 검토, 정보기술 일반통제, 승인, 대사 및 물리적 통제 등 다양한 방법이 포함된다.
    • 정보 및 의사소통: 조직 구성원이 내부통제제도의 책임을 수행할 수 있도록 신뢰성 있는 정보를 활용할 수 있는 체계를 구비하고 4가지 통제 구성요소에 대한 대·내외 의사소통이 원활하게 이뤄질 수 있는 체계를 포함한다.
    • 모니터링 활동: 내부통제제도의 설계와 운영의 효과성을 평가하고 유지하기 위해 상시적인 모니터링과 독립적인 평가 또는 두 가지의 결합을 고려한 평가를 수행하고 발견된 미비점을 적시에 개선할 수 있는 체계를 포함한다.
  • 7 ‘통제 미비점(Internal control deficiency)’은 내부통제 목적을 달성함에 있어 하나의 구성요소 또는 복수의 구성요소 및 원칙들에 결함이 존재함을 뜻하며, ‘중요한 미비점(Major Deficiency)’은 내부통제 목적 달성을 중대하게 저해하는 하나의 통제 미비점 또는 여러 통제 미비점들의 결합을 말한다.
  • 8 효과적인 내부통제제도는 경영진이 업무성과를 측정하고, 경영의사결정을 수행하며, 업무프로세스를 평가하고, 위험을 관리하는데 기여함으로써 회사의 목표를 효율적으로 달성하고 위험을 회피 또는 관리할 수 있도록 한다. 그리고 직원의 위법 및 부당행위(횡령, 배임 등) 또는 내부정책 및 절차의 고의적인 위반행위뿐만 아니라 개인적인 부주의, 태만, 판단상의 착오 또는 불분명한 지시에 의해 야기된 문제점들을 신속하게 포착함으로써 회사가 시의적절한 대응조치를 취할 수 있게 해 준다. 또한, 효과적인 내부통제제도는 정보의 신뢰성을 향상시킨다.
  • 9 그러나 아무리 잘 설계된 내부통제제도라고 할지라도 제도를 운영하는 과정에서 발생하는 집행위험은 피할 수 없다. 즉, 최상의 자질과 경험을 지닌 사람도 부주의, 피로, 판단 착오 등에 노출될 수 있으며, 내부통제제도도 이러한 사람들에 의해 운영되므로 내부통제제도가 모든 위험을 완벽하게 통제할 수는 없다.
  • 10 효과적인 내부통제제도는 경영진과 이사회에 회사의 목적 달성에 관한 합리적 확신을 제공한다. “절대적 확신”이 아닌 “합리적 확신”이라는 개념은 모든 내부통제제도에 한계가 존재하고, 정확하게 예측할 수 없는 불확실성과 위험이 존재한다는 것을 인정하는 것이다. 이러한 한계로 인해 경영진과 이사회는 회사의 목적 달성에 대한 절대적인 확신을 갖지 못하게 된다. 즉, 내부통제제도는 합리적 확신을 제공하며, 절대적 확신을 제공하지 못한다.
  • 11 내부회계관리제도는 회사의 재무제표가 일반적으로 인정되는 회계처리기준에 따라 작성·공시되었는지에 대한 합리적 확신을 제공하기 위해 설계·운영되는 내부통제제도의 일부분으로서 회사의 경영진과 이사회를 포함한 모든 구성원들에 의해 지속적으로 실행되는 과정을 의미한다.
  • 12 내부회계관리제도는 내부통제제도의 보고정보의 신뢰성 확보목적 중 외부에 공시되는 재무제표의 신뢰성 확보를 목적으로 하며, 여기에는 자산의 보호 및 부정방지 프로그램이 포함된다. 또한, 운영목적이나 법규준수목적 등 다른 목적과 관련된 내부통제제도가 재무제표의 신뢰성 확보와 관련된 경우 해당 내부통제제도는 내부회계관리제도의 범위에 포함된다.
  • 13 자산의 보호와 관련된 통제라 함은 재무제표에 중요한 영향을 미칠 수 있는 승인되지 않은 자산의 취득, 사용, 처분을 예방하고 적시에 적발할 수 있는 체계를 의미한다.
  • 14 예를 들어, 경영진의 권한남용 및 통제 무시(management override) 위험 등에 대한 적절한 부정방지 프로그램이 존재하지 않는 경우 이는 내부회계관리제도상 중요한 취약점으로 분류될 수 있다.
  • 15 내부회계관리제도는 내부통제제도의 일반적인 5가지 구성요소(통제환경, 위험평가, 통제활동, 정보 및 의사소통, 모니터링 활동)와 각 구성요소별 원칙을 모두 고려하여 설계하고, 이사회, 경영진, 감사(위원회) 및 중간관리자와 일반 직원 등 조직 내 모든 구성원들에 의해 운영된다.
  • 16 효과적인 내부회계관리제도는 외부 재무보고의 신뢰성 확보라는 목적 달성을 저해할 수 있는 위험을 합리적인 수준에서 감소시킬 수 있으며, 그러한 목적은 다음의 요건이 모두 충족될 때 달성될 수 있다.
    • 내부회계관리제도의 각 구성요소와 관련 원칙이 존재하고 기능한다.
    • 내부회계관리제도의 구성요소가 연계되어 통합적으로 운영된다.
  • 17 각 구성요소와 관련 원칙들이 존재하고 기능하며, 구성요소들이 연계되어 통합적으로 운영되는지 여부를 평가함에 있어 경영진의 판단을 필요로 한다. 원칙은 구성요소와 밀접하게 연계되어 있는 기초 개념으로서 특정 원칙이 존재하지 않거나 기능하지 않고 있다면, 관련 구성요소는 존재하지 않거나 기능하지 않고 있다고 판단할 수 있다.
  • 18 내부회계관리제도 구성요소와 관련 원칙들이 존재하고 기능하는지 여부를 판단함에 있어 다른 원칙과의 연관성을 고려한다.
  • 19 내부회계관리제도의 구성요소와 원칙은 모든 기업에 적용된다. 원칙은 각 내부회계관리제도 구성요소와 관련된 근본적인 개념으로 각 구성요소가 존재하고 기능하는데 중대한 영향을 미친다. 따라서 관련된 원칙이 존재·기능하지 않는 경우 해당 내부회계관리제도 구성요소가 존재·기능할 수 없다. 그러나 관계 법령, 산업 및 운영환경 상의 특성에 따라 특정 원칙이 적용 가능하지 않다고 경영진이 판단할 수 있는 극히 예외적인 경우가 있을 수 있다. 특정 원칙이 회사에 적용 가능성이 없다고 결론을 내리기 위해서는 해당 원칙이 부재함에도 불구하고 관련 구성요소가 어떻게 존재하고 기능할 수 있는지에 대한 합리적인 근거로 경영진의 판단을 뒷받침하여야 한다.
  • 20 존재와 기능은 내부회계관리제도 구성요소 및 원칙에 적용되는 개념으로 다음과 같은 의미를 갖는다.
    • “구성요소 및 원칙이 존재한다” 함은 내부회계관리제도 구성요소 및 관련 원칙이 설계 및 구축되어 있다고 판단할 수 있어야 함을 의미한다.
    • “구성요소 및 원칙이 기능한다” 함은 내부회계관리제도 구성요소 및 관련 원칙이 계속적으로 운영되고 있다고 판단할 수 있어야 함을 의미한다.
  • 21 내부회계관리제도 구성요소가 “연계되어 통합적으로 운영된다” 함은 5가지 구성요소가 상호 유기적으로 연계되고 운영되어 외부 재무보고 신뢰성을 저해하는 위험을 감소시킨다고 합리적 수준에서 판단할 수 있어야 함을 의미한다.
  • 22 본 설계·운영 개념체계는 내부회계관리제도의 구성요소별 원칙 달성을 위한 중요한 항목으로 중점 고려사항을 제시하고 있다. 회사의 특수한 환경을 고려하여 일부 중점 고려사항을 적용하는 것이 적합하지 않거나 필요한 경우 중점 고려사항을 변경 또는 추가할 수 있다. 중점 고려사항은 경영진이 내부회계관리제도의 설계 및 운영 그리고 관련된 원칙이 실질적으로 존재하고 기능함을 평가하는 데 유용하게 사용될 수 있다.
  • 23 경영진은 내부회계관리제도를 설계, 운영 및 평가함에 있어 각 구성요소와 원칙을 필수적인 사항으로 고려하여야 하나, 원칙을 실현하기 위한 중점 고려사항은 개별 회사의 상황에 따라 적절히 조정하여 적용할 수 있다.
  • 24 통제는 회사의 정책 및 절차와 긴밀히 연계되어야 한다. 정책은 효과적인 통제를 위해 반드시 수행되어야 하는 경영진의 지시사항을 반영한다. 절차는 정책을 실행하기 위한 다양한 활동으로 구성된다. 따라서 정책이나 절차가 연계되지 않은 통제는 효과적이지 않을 것이다.
  • 25 경영진은 내부회계관리제도의 5가지 구성요소와 관련 원칙을 달성하기 위해 구성요소 내에 통제를 설계하고 구축한다. 본 설계·운영 개념체계는 효과적인 내부회계관리제도를 위해 설계 및 운영되어야 하는 특정한 통제를 제시하지는 않는다. 어떤 통제를 설계 및 운영할 것인가는 회사의 다양한 특성을 고려한 경영진의 결정 사항이다. 다만 경영진은 구성요소와 관련 원칙이 존재하고 기능하고 있다는 결론을 뒷받침하기 위해 설득력 있는 근거를 갖추어야 하며, 이를 위해 구성요소 및 원칙과 관련된 통제를 고려하여야 한다.
  • 26 효과적인 내부회계관리제도를 설계 및 운영할 수 있도록 본 설계·운영 개념체계에서는 5가지 구성요소에 대한 17가지 원칙 및 각 원칙을 달성하기 위한 중점 고려사항을 제시하고 있다. 내부회계관리제도 구성요소 및 17가지 원칙은 효과적인 내부회계관리제도의 필수적인 요구사항이며, 원칙달성을 위한 중점 고려사항은 회사의 상황에 따라 적절히 조정하여 적용할 수 있다.
  • 27 내부회계관리제도의 미비점은 재무제표 왜곡표시의 발생가능성 및 금액적 중요성에 따라 단순한 미비점, 유의한 미비점, 중요한 취약점*으로 구분된다.
    * 내부회계관리제도의 중요한 취약점(Material Weakness)은 내부통제의 중요한 미비점(Major Deficiency) 수준에 대응된다.
  • 28 내부회계관리제도 미비점이 내부회계관리제도의 설계 및 운영의 효과성에 미치는 영향은 구성요소별 통제 미비점을 종합하여 판단하여야 한다. 구성요소 또는 관련 원칙이 존재하고 기능하거나 구성요소들이 통합적으로 연계되어 운영됨에 있어 중요한 취약점이 존재할 때에는 회사가 효과적인 내부회계관리제도의 요구사항을 충족하고 있다고 볼 수 없다.
  • 29 내부회계관리제도의 미비점 평가를 위한 구체적인 사항은 “내부회계관리제도 평가 및 보고 모범규준(이하 “평가·보고 모범규준”이라 함)”에 제시된다.
  • 30 회사는 내부회계관리제도와 관련된 문서화를 수행하여야 한다. 문서화는 사업 수행에 필요한 정책 및 절차를 준수하는데 일관성을 높일 수 있는 명확한 권한과 책임을 제시한다. 또한, 통제의 설계를 확인하고 통제 수행자, 수행 방식 등을 전달하며 수행의 기준과 기대사항을 수립하는 데 유용하다. 이는 임직원의 교육에도 유용할 뿐 아니라, 내부회계관리제도의 일부로 통제 운영의 증거를 제공하고 내부회계관리제도의 평가를 가능하게 한다.
  • 31 효과적인 내부회계관리제도의 설계와 운영을 확신하기 위해서도 문서화가 반드시 필요하다. 외부감사인의 감사(검토) 시, 경영진은 내부회계관리제도가 효과적으로 설계되고 운영된다는 것을 입증할 수 있는 근거를 제시하여야 한다. 필요한 문서화를 결정함에 있어, 경영진은 중요한 결정 및 최종 결정을 내린 근거를 포함하여야 할 것이다.
  • 32 경영진이 일상적인 업무 수행과정에서 임직원이 관련 통제를 적절히 수행했음을 확인할 수 있는 경우에는 내부통제가 비공식적이고 문서화되지 않을 수 있다. 그러나 내부회계관리제도의 평가를 위한 범위선정이나 평가 근거 및 결과 등은 문서화 없이 고위 경영진의 머릿속에서만 수행될 수 없음을 고려한다.
  • 33 문서화의 수준과 특성은 조직의 규모와 통제의 복잡성에 따라 달라질 수 있다. 규모가 큰 기업은 일반적으로 보다 복잡한 내부통제 시스템과 업무프로세스로 구성되어 있으므로 보다 정교한 정책 및 절차 매뉴얼, 통제기술서, 업무흐름도, 조직도, 직무기술서 등 다양한 문서가 필요할 수 있다.
  • 34 중소기업은 공식적인 문서화의 필요성이 상대적으로 낮다. 중소기업에서는 일반적으로 인력과 관리조직이 복잡하지 않으며 수시로 확인이 가능한 일상적 업무처리 방식을 통해 수행하여야 하는 사항과 진행되는 현황에 대해 충분히 인지할 수 있다. 따라서 중소기업의 경영진은 직접적인 관찰을 통해 통제활동이 기능하고 있는지를 판단할 수도 있다.
  • 35 회사는 내부회계관리제도 설계 및 운영 시 외감법 등 관련 법규의 요구사항을 준수하여야 한다. 경영진은 내부회계관리규정에 내부회계관리제도를 관리하고 운영하는 조직의 구성, 내부회계관리자의 지정 등 내부회계관리제도 설계 및 운영과 관련된 제반 사항을 반영하고 적용하여 신뢰할 수 있는 회계정보의 작성과 공시를 위한 체계를 갖추어야 한다.
  • 36 내부회계관리제도의 설계·운영과 관련하여 외감법에서 요구하고 있는 사항은 다음과 같다.
    • 회사는 신뢰할 수 있는 회계정보의 작성과 공시를 위하여 내부회계관리규정과 이를 관리·운영하는 조직을 갖추어야 한다(외감법 제8조 제1항).
      - 회계정보(회계정보의 기초가 되는 거래에 관한 정보를 포함한다. 이하 이 조에서 같다)의 식별·측정·분류·기록 및 보고방법에 관한 사항(외감법 제8조 제1항 제1호)
      - 회계정보의 오류를 통제하고 이를 수정하는 방법에 관한 사항(외감법 제8조 제1항 제2호)
      - 회계정보에 대한 정기적인 점검 및 조정 등 내부검증에 관한 사항(외감법 제8조 제1항 제3호)
      - 회계정보를 기록·보관하는 장부(자기테이프·디스켓, 그 밖의 정보보존장치를 포함한다)의 관리 방법과 위조·변조·훼손 및 파기를 방지하기 위한 통제 절차에 관한 사항(외감법 제8조 제1항 제4호)
      - 회계정보의 작성 및 공시와 관련된 임직원의 업무 분장과 책임에 관한 사항(외감법 제8조 제1항 제5호)
      - 그 밖에 신뢰할 수 있는 회계정보의 작성과 공시를 위하여 필요한 사항으로서 외감법 시행령에서 정하는 사항
    • 회사는 내부회계관리제도에 의하지 아니하고 회계정보를 작성하거나 내부회계관리제도에 따라 작성된 회계정보를 위조·변조·훼손 및 파기해서는 아니 된다(외감법 제8조 제2항).
    • 회사의 대표자는 내부회계관리제도의 관리·운영을 책임지며, 이를 담당하는 상근이사(담당하는 이사가 없는 경우에는 해당 이사의 업무를 집행하는 자를 말한다) 1명을 내부회계관리자(이하 “내부회계관리자”라 한다)로 지정하여야 한다(외감법 제8조 제3항).
  • 37 본 설계·운영 개념체계에서 제시하는 내부회계관리제도 구성요소 및 원칙은 중소기업에도 동일하게 적용된다. 단, 중소기업의 경우 경영여건을 감안하여 본 설계·운영 개념체계를 세부적으로 적용하는 과정에서 대기업보다는 유연한 방식으로 내부회계관리제도를 설계 및 운영할 수 있다.
  • 38 (원칙 1. 도덕성과 윤리적 가치에 대한 책임) 회사는 도덕성과 윤리적 가치에 대한 책임을 강조한다.
    원칙 달성을 위한 중점 고려사항
    • 38.1 경영진과 이사회의 의지 - 경영진과 이사회는 내부회계관리제도가 효과적으로 기능할 수 있도록 지침, 조치, 행동을 통해 도덕성과 윤리적 가치의 중요성을 강조한다.
    • 38.2 윤리강령 수립 - 회사의 윤리강령은 도덕성과 윤리적 가치에 관한 이사회와 고위 경영진의 기대사항을 반영하고 있으며, 회사의 모든 임직원, 외부서비스제공자 및 협력업체가 이를 숙지하고 있다.
    • 38.3 윤리강령 준수 평가 - 윤리강령의 준수에 대한 개인과 팀의 성과를 평가하는 프로세스가 수립되어 있다.
    • 38.4 윤리강령 위반사항의 적시 처리 - 윤리강령의 위반사항은 적시에 일관된 방식으로 식별되고 개선된다.
  • 39 (원칙 2. 내부회계관리제도 감독 책임) 이사회는 경영진으로부터 독립성을 유지하며 내부회계관리제도의 설계 및 운영을 감독한다.
    원칙 달성을 위한 중점 고려사항
    • 39.1 이사회의 감독 책임 정립 - 이사회는 수립된 요구사항 및 기대사항과 관련된 감독 책임을 인지하고 수용한다. 단, 이사회는 외감법 등 법률에서 정하는 사항과 내부회계관리제도, 내부감사 및 부정방지 프로그램 등의 감독 책임을 감사(위원회)에 위임할 수 있다.
    • 39.2 이사회의 전문성 확보 - 이사회는 이사회 구성원에게 필요한 기술과 전문지식을 정의하고, 유지하며, 주기적으로 평가한다. 이를 통해 이사회 구성원들이 고위 경영진에게 면밀한 질문을 하고 상응하는 조치를 취할 수 있게 한다.
    • 39.3 이사회의 독립적 운영 - 이사회는 경영진의 의사결정을 평가하고 감독함에 있어 경영진으로부터 독립적이며 객관성을 갖춘 충분한 인력을 보유한다.
    • 39.4 내부회계관리제도 감독 수행 - 이사회는 경영진의 내부회계관리제도 설계, 구축 및 운영에 대한 감독 책임을 가진다.
      • 통제환경 - 도덕성 및 윤리적 가치, 감독 체계, 권한 및 책임, 적격성에 대한 기대사항 및 이사회의 책임 정립
      • 위험평가 - 경영진이 평가한 내부회계관리제도의 목적 달성을 저해하는 위험 요소에 대한 감독(중요한 변화, 부정 및 내부회계관리제도에 대한 경영진의 권한 남용으로부터 야기되는 잠재적 영향 포함)
      • 통제활동 - 경영진의 통제활동 설계 및 운영에 대한 감독
      • 정보 및 의사소통 - 회사의 내부회계관리제도 목적 달성과 관련된 정보의 분석 및 논의
      • 모니터링 활동 - 모니터링 활동의 성격과 범위, 경영진의 통제 미비점 및 개선활동의 평가 및 감독
  • 40 (원칙 3. 조직구조, 권한 및 책임 정립) 경영진은 내부회계관리제도의 목적을 달성하기 위해 이사회의 감독을 포함한 조직구조, 보고체계 및 적절한 권한과 책임을 정립한다.
    원칙 달성을 위한 중점 고려사항
    • 40.1 조직구조 고려 - 경영진과 이사회는 회사의 목적 달성을 지원하기 위해 다양한 조직구조(운영단위, 법적 실체, 지역적 분포, 외부서비스제공자 포함)를 고려한다.
    • 40.2 보고체계 수립 - 경영진은 각각의 조직이 권한과 책임을 이행하고 정보교류가 가능한 보고체계를 설계하고 평가한다.
    • 40.3 권한과 책임의 정의, 부여 및 제한 - 경영진과 이사회는 권한을 위임하고 책임을 정의하며 적절한 프로세스와 기술을 활용하여 조직의 다양한 수준의 필요성에 따라 책임을 부여하고 업무를 분장한다.
      • 이사회 - 중요한 의사결정 권한 보유 및 경영진이 부여한 권한과 책임의 적정성 검토
      • 고위 경영진 - 임직원이 내부회계관리제도와 관련된 책임을 이해하고 이행할 수 있도록 방향성 제시, 지침 및 통제 수립
      • 경영진 - 고위 경영진의 지침과 통제가 회사 및 하위 조직 내에서 실행될 수 있도록 실무지침을 제시하고 지원
      • 직원 - 윤리강령, 위험 요소, 조직 각 계층의 통제활동, 정보 및 의사소통 흐름, 모니터링 활동에 대한 이해
      • 외부서비스제공자 - 모든 외부 직원의 권한 및 책임 범위에 대해 경영진이 정한 사항의 준수
  • 41 (원칙 4. 적격성 유지) 회사는 내부회계관리제도 목적에 부합하는 적격성 있는 인력을 선발, 육성하고 관리한다.
    원칙 달성을 위한 중점 고려사항
    • 41.1 정책 및 실무절차 수립 - 정책 및 실무절차는 내부회계관리제도 목적 달성 지원을 위해 필요한 적격성의 기대사항을 반영한다.
    • 41.2 적격성 평가 및 보완 - 경영진과 이사회는 정책 및 실무절차에 의거하여 조직 구성원 및 외부서비스제공자들의 적격성을 평가하고, 평가 결과 파악된 미비사항을 보완하기 위해 필요한 조치를 취한다.
    • 41.3 인력 선발, 육성 및 유지 - 회사는 내부회계관리제도 목적 달성을 지원하기 위해, 충분하고 적격성 있는 인력 및 외부서비스제공자를 선발, 육성하고 유지하는 데 필요한 교육과 훈련을 제공한다.
    • 41.4 승계계획 및 준비 - 고위 경영진과 이사회는 내부회계관리제도상 중요한 책임에 관한 승계계획을 수립한다.
  • 42 (원칙 5. 내부회계관리제도 책임 부여) 회사는 조직 구성원들에게 내부회계관리제도의 목적을 달성하기 위해 필요한 책임을 부여한다.
    원칙 달성을 위한 중점 고려사항
    • 42.1 조직구조, 권한 및 책임을 통한 내부회계관리제도 책임 부여 - 경영진과 이사회는 조직 전체 구성원들과 내부회계관리제도 수행에 관한 책임에 대해 의사소통을 하고, 그들에게 책임을 부여하며 필요한 경우 개선활동을 이행하도록 하는 체계를 수립한다.
    • 42.2 성과평가 및 보상정책 수립 - 경영진과 이사회는 장단기 목적 달성의 균형을 고려하고, 조직 전체 구성원의 내부회계관리제도 책임 이행에 적합한 성과평가와 보상정책을 수립한다.
    • 42.3 성과평가 및 보상정책과의 연계 - 경영진과 이사회는 내부회계관리제도 목적 달성을 위해 내부회계관리제도 책임 이행과 그에 따른 성과평가 및 보상을 연계한다.
    • 42.4 과도한 압박 고려 - 경영진과 이사회는 조직 구성원들에게 책임을 부여하고 성과평가지표를 수립하고 평가할 때 관련된 압박이 존재하는지를 평가하고 조정한다.
    • 42.5 개인의 성과평가, 보상 또는 징계조치 - 경영진과 이사회는 내부회계관리제도 책임 이행(윤리강령의 준수 및 적격성의 기대 수준 충족 포함)에 대한 성과를 평가하고, 그 결과에 따라 보상하거나 필요 시 징계조치를 취한다.
  • 43 (원칙 6. 구체적인 목적 수립) 회사는 관련된 위험을 식별하고 평가할 수 있도록 내부회계관리제도의 목적을 명확하게 설정한다.
    원칙 달성을 위한 중점 고려사항
    • 43.1 적합한 회계기준의 준수 - 신뢰할 수 있는 외부 재무제표를 작성할 때, 경영진은 회사에 적용되는 회계기준을 고려한다. 또한 경영진은 회사의 상황과 목적에 적합한 회계원칙을 채택하고 일관성 있게 적용한다.
    • 43.2 회사 활동의 실질 반영 - 외부 재무보고는 재무정보의 질적 특성과 경영자 주장을 뒷받침할 수 있는 기초 거래와 사건을 반영한다.
    • 43.3 중요성 고려 - 경영진은 재무제표 표시에 있어 중요성을 고려한다.
  • 44 (원칙 7. 위험 식별 및 분석) 회사는 목적 달성에 영향을 미치는 위험을 전사적으로 식별하고, 위험 관리방안을 수립하기 위해 위험을 분석한다.
    원칙 달성을 위한 중점 고려사항
    • 44.1 회사 내 다양한 조직 수준 고려 - 회사는 회사, 종속회사, 부문, 운영 팀 및 기능 단위 등 회사 전체 조직 단위에서 목적 달성과 관련된 위험을 식별하고 평가한다.
    • 44.2 외부 재무보고에 영향을 미치는 내부 및 외부 요인 분석 - 내부 및 외부 요인과 그 요인들이 외부에 공시되는 재무제표의 신뢰성을 확보하는 목적을 달성하는데 미치는 영향을 고려한다.
    • 44.3 적절한 수준의 경영진 참여 - 적절한 수준의 경영진이 참여하는 효과적인 위험평가체계를 구축한다.
    • 44.4 식별된 위험의 중요성 평가 - 회사는 해당 위험의 잠재적인 중요성을 평가하는 절차를 포함한 프로세스를 통해 식별된 위험을 분석한다.
    • 44.5 위험 대응 방안 결정 - 위험평가 결과 식별된 재무제표 왜곡표시 위험에 대하여는 적절한 위험 대응 방안을 결정하여 시행한다.
  • 45 (원칙 8. 부정위험 평가) 내부회계관리제도 목적 달성에 대한 위험 평가 시 잠재적인 부정 가능성을 고려한다.
    원칙 달성을 위한 중점 고려사항
    • 45.1 다양한 부정의 유형 고려 - 부정위험 평가 시 다양한 방식의 부정과 비리행위로부터 비롯되는 부정한 재무보고, 자산의 잠재적 손실, 부패 등을 고려한다.
    • 45.2 유인과 압력의 평가 - 부정위험 평가 시 유인(incentive)과 압력(pressure)으로 인한 부정의 발생가능성을 고려한다.
    • 45.3 기회 평가 - 부정위험 평가 시 취약한 통제활동 등으로 인해 승인되지 않은 자산의 취득·사용·처분, 재무보고기록의 변경, 기타 부적절한 행위 등 부정을 저지를 수 있는 기회가 발생할 수 있는 가능성을 고려한다.
    • 45.4 태도와 합리화에 대한 평가 - 부정위험 평가 시 임직원이 어떻게 부적절한 행위에 연관되는 지와 어떻게 부적절한 행위를 정당화 하는지를 고려한다.
  • 46 (원칙 9. 중요한 변화의 식별과 분석) 회사는 내부회계관리제도에 중요한 영향을 미치는 변화를 식별·분석하여 내부회계관리제도를 유지·관리한다.
    원칙 달성을 위한 중점 고려사항
    • 46.1 외부 환경 변화의 평가 - 위험을 식별하는 과정에서 사업과 관련된 규제의 변화, 경제적인 변화, 물리적 환경의 변화 등이 내부회계관리제도에 미치는 영향을 고려한다.
    • 46.2 사업모델 변화의 평가 - 새로운 사업영역이나 기존 사업구성의 급격한 변화, 기업인수나 사업양수도, 급격한 성장, 해외 의존도의 변화, 새로운 기술 등이 내부회계관리제도에 미치는 영향을 고려한다.
    • 46.3 리더십 변화의 평가 - 회사는 경영진의 변경과, 이에 따른 경영진의 태도 및 철학의 변화가 내부회계관리제도에 미치는 영향을 고려한다.
  • 47 (원칙 10. 통제활동의 선택과 구축) 회사는 내부회계관리제도의 목적 달성을 저해하는 위험을 수용 가능한 수준으로 줄일 수 있는 통제활동을 선택하고 구축한다.
    원칙 달성을 위한 중점 고려사항
    • 47.1 위험평가와의 통합 - 위험평가 결과 확인된 위험을 관리하고 줄일 수 있는 통제활동을 마련한다.
    • 47.2 회사의 고유한 요인 고려 - 경영진은 통제활동 선택 및 구축 시, 회사의 고유한 특성뿐만 아니라 사업 환경, 복잡성, 성격 및 범위 등의 영향을 고려한다.
    • 47.3 관련 있는 업무프로세스 결정 - 경영진은 통제활동이 필요한 관련 있는 업무프로세스를 결정한다.
    • 47.4 통제유형의 조합 - 위험을 완화시키기 위해 다양한 속성을 결합한 균형 잡힌 통제활동을 고려한다(수동통제와 자동통제, 예방통제와 적발통제 등).
    • 47.5 다양한 수준의 통제활동 적용 고려 - 경영진은 회사 내 다양한 수준의 통제활동을 고려한다.
    • 47.6 업무분장 고려 - 경영진은 양립할 수 없는 직무를 분리하되, 업무분장 적용이 가능하지 않을 경우 대체적인 통제활동을 선택하고 구축한다.
  • 48 (원칙 11. 정보기술 일반통제의 선정과 구축) 회사는 내부회계관리제도 목적 달성을 지원하는 정보기술 일반통제를 선정하고 구축한다.
    원칙 달성을 위한 중점 고려사항
    • 48.1 업무프로세스에서 사용되는 정보기술과 정보기술 일반통제간 의존도 결정 - 경영진은 업무프로세스 및 자동통제와 정보기술 일반통제간의 의존성과 연관성을 이해하고 결정한다.
    • 48.2 정보기술 인프라 통제활동 수립 - 경영진은 정보처리의 완전성, 정확성 및 이용가능성을 확보하기 위한 정보기술 인프라에 대한 통제활동을 선택하고 구축한다.
    • 48.3 보안관리 프로세스에 대한 통제활동 수립 - 경영진은 업무 책임에 상응하는 정보기술 접근권한을 허가된 담당자로 제한하고, 외부의 위협으로부터 회사의 자산을 보호하기 위한 보안 관련 통제활동을 선택하고 구축한다.
    • 48.4 정보기술의 취득, 개발 및 유지보수 프로세스에 대한 통제 수립 - 경영진은 내부회계관리제도 목적 달성을 위하여 정보기술 및 인프라의 취득, 개발, 유지보수 활동에 대한 통제활동을 선정하고 구축한다.
  • 49 (원칙 12. 정책과 절차를 통한 실행) 회사는 기대사항을 정한 정책과 그 정책을 실행하기 위한 절차를 통하여 통제활동을 적용한다.
    원칙 달성을 위한 중점 고려사항
    • 49.1 경영진의 지침 전달을 지원하기 위한 정책 및 절차 수립 - 경영진은 기대사항을 정한 정책과 이를 실행 가능한 구체적 절차로 제시하여 업무프로세스 및 구성원의 일상적인 활동에 통제활동이 내재화되도록 한다.
    • 49.2 정책과 절차의 적용을 위한 책임 확립과 담당자의 지정 - 경영진은 관련 위험이 존재하는 사업단위 또는 부서의 경영진(또는 지정된 인원)과 함께 통제활동에 대한 책임을 확립하고 담당자를 지정한다.
    • 49.3 통제활동의 적시 수행 - 통제활동별로 지정된 담당자가 정책과 절차에 정해진 대로 통제활동을 적시에 수행한다.
    • 49.4 개선조치 이행 - 통제활동 수행 결과 식별된 문제점에 대하여 책임 있는 담당자가 조사하고 조치를 취한다.
    • 49.5 적격성 있는 담당자의 수행 - 충분한 권한을 가진 적격성 있는 담당자가 지속적인 관심과 주의를 기울여 통제활동을 수행한다.
    • 49.6 정책, 절차 및 통제활동의 주기적인 재평가 - 경영진은 정책, 절차 및 통제활동이 지속적으로 적정한지 판단하기 위하여 주기적으로 검토하고, 필요 시 정책, 절차 및 통제활동을 개정 또는 개선한다.
  • 50 (원칙 13. 관련 있는 정보의 사용) 회사는 내부회계관리제도의 운영을 지원하기 위하여 관련 있는 양질의 정보를 취득 또는 생산하고 사용한다.
    원칙 달성을 위한 중점 고려사항
    • 50.1 정보 요구사항의 식별 - 회사의 내부회계관리제도 목적 달성과 내부회계관리제도 구성요소들의 기능을 지원하기 위해 필요하고 요구되는 정보를 식별하는 절차가 수립되어 있다.
    • 50.2 내부 및 외부의 데이터 원천 포착 - 정보시스템은 내부 및 외부의 데이터 원천을 포착한다.
    • 50.3 관련 있는 데이터를 의미 있는 정보로 변환 - 정보시스템은 관련 있는 데이터를 처리하여 의미 있는 정보로 변환한다.
    • 50.4 정보 처리 과정에서 품질의 유지·관리 - 정보시스템은 시의적절하고, 최신의, 정확하고, 완전하고, 접근가능하고, 보호되고, 검증가능한 정보를 생산하고 유지하며 동 정보가 내부회계관리제도 구성요소 지원에 적절한 정보인지 검토한다.
    • 50.5 비용과 효익 고려 - 의사소통 대상이 되는 정보의 성격, 양, 상세한 정도는 회사의 내부회계관리제도 목적에 부합하고, 목적 달성을 지원한다.
  • 51 (원칙 14. 내부 의사소통) 회사는 내부회계관리제도의 운영을 지원하기 위하여 필요한 내부회계관리제도에 대한 목적과 책임 등의 정보에 대해 내부적으로 의사소통한다.
    원칙 달성을 위한 중점 고려사항
    • 51.1 내부회계관리제도 정보에 대한 의사소통 - 모든 직원이 내부회계관리제도 책임을 이해하고 이행하기 위해 필요한 정보를 교환하는 프로세스가 존재한다.
    • 51.2 경영진과 이사회 간의 의사소통 - 경영진과 이사회는 회사의 내부회계관리제도 목적과 관련한 각자의 역할 수행을 위해 요구되는 정보를 얻을 수 있도록 양자 간에 의사소통한다.
    • 51.3 별도의 의사소통 라인 제공 - 통상적인 의사소통 채널이 비효과적인 경우를 대비하여 익명 또는 비밀이 보장된 의사소통이 가능하도록 내부고발제도 같은 별도의 의사소통 채널이 갖추어져 있다.
    • 51.4 적절한 의사소통 방법 선택 - 시기, 대상자 및 정보의 성격을 고려하여 의사소통의 방법을 선택한다.
  • 52 (원칙 15. 외부 의사소통) 회사는 내부회계관리제도의 운영에 영향을 미치는 사항에 대해 외부 관계자와 의사소통 한다.
    원칙 달성을 위한 중점 고려사항
    • 52.1 외부 관계자와의 의사소통 - 주주, 협력업체, 소유주, 규제기관, 고객, 재무분석가 등 외부 관계자와 관련 있는 정보를 적시에 의사소통할 수 있는 프로세스가 구축되어 있다.
    • 52.2 외부로부터의 의사소통 - 고객, 소비자, 공급자, 외부감사인, 규제기관, 재무분석가 등 외부 관계자의 의견을 수렴하여 경영진과 이사회에 관련 있는 정보를 제공할 수 있는 개방된 의사소통 채널을 마련한다.
    • 52.3 이사회와의 의사소통 - 외부 관계자가 수행한 평가로부터 도출된 관련 있는 정보는 이사회와 의사소통된다.
    • 52.4 별도의 의사소통 라인 제공 - 통상적인 의사소통 채널이 작동하지 않거나 비효과적인 경우를 대비하여 익명 또는 비밀이 보장된 의사소통이 가능하도록 내부고발제도와 같은 별도의 의사소통 채널이 갖추어져 있다.
    • 52.5 적절한 의사소통 방법 선택 - 의사소통의 시기, 대상, 성격뿐만 아니라 법률, 규제, 주주 및 이해관계자의 요구사항 및 기대를 고려하여 의사소통 방법을 선택한다.
  • 53 (원칙 16. 상시적인 모니터링과 독립적인 평가 수행) 회사는 상시적인 모니터링과 독립적인 평가 방안을 수립하여 내부회계관리제도 설계 및 운영의 적정성을 평가한다.
    원칙 달성을 위한 중점 고려사항
    • 53.1 상시적인 모니터링과 독립적인 평가의 결합 고려 - 경영진은 상시적인 모니터링과 독립적인 평가의 균형을 고려한다.
    • 53.2 변화의 정도 고려 - 경영진은 상시적인 모니터링과 독립적인 평가를 선택하고 구축할 때, 업무와 업무프로세스의 변화의 정도를 고려한다.
    • 53.3 출발점(Baseline)의 설정 - 내부회계관리제도의 설계와 현재 상태는 상시적인 모니터링과 독립적인 평가를 위한 출발점을 수립하는데 활용된다.
    • 53.4 충분한 지식을 갖춘 인력 활용 - 상시적인 모니터링과 독립적인 평가를 수행하는 평가자들은 평가 대상에 대한 충분한 지식을 보유하고 있다.
    • 53.5 업무프로세스와의 통합 - 상시적인 모니터링은 업무프로세스에 내재되고 변화하는 상황에 따라 조정된다.
    • 53.6 범위와 빈도 조정 - 경영진은 위험의 중요성에 따라 독립적인 평가의 범위와 빈도를 달리 한다.
    • 53.7 객관적인 평가 - 객관적인 피드백을 제공하기 위해 주기적으로 독립적인 평가가 수행된다.
  • 54 (원칙 17 미비점 평가와 개선활동) 회사는 내부회계관리제도의 미비점을 평가하고 필요한 개선활동을 적시에 수행한다.
    원칙 달성을 위한 중점 고려사항
    • 54.1 결과 평가 - 경영진과 이사회는 상시적인 모니터링과 독립적인 평가 결과에 대해 적절히 평가한다.
    • 54.2 미비점 의사소통 - 내부회계관리제도의 미비점은 개선활동을 수행할 책임이 있는 담당자와 책임자(일반적으로 차상위자, 필요시 고위 경영진과 이사회 포함), 이사회와 적절하게 의사소통 된다.
    • 54.3 개선활동에 대한 모니터링 활동 - 경영진은 통제 미비점들이 적시에 개선되는지 확인한다.
이 보론 내용은 본 설계·운영 개념체계의 일부이다.
원칙 1. 도덕성과 윤리적 가치에 대한 책임 (문단 38)
경영진과 이사회의 의지 (문단 38.1)
  • A1 경영진과 이사회는 회사를 둘러싼 다양한 이해관계자의 기대사항과 회사가 운영되는 시장의 사회적, 윤리적, 법적 기준을 반영한 최고위층의 의지를 설정할 필요가 있다. 설정된 최고위층의 의지는 회사의 헌장, 윤리강령, 정책 및 절차, 경영방식, 경영진의 의사결정, 윤리강령 위반사항에 대한 조치 그리고 비공식적인 의사소통과 행동방식 등 다양한 형태로 표현될 수 있다. 이러한 최고위층의 의지는 단순히 법과 규정을 준수하는 것이 아닌 기업가치에 부합하는 옳은 행위를 수행하는 것을 명확하게 제시하여, 회사 임직원에게 우선순위가 무엇인지를 이해하게 하고 행동에 옮기게 한다.
  • A2 설정된 최고위층의 의지는 경영진과 이사회뿐만 아니라 회사의 전체 조직에 공유되고 적용되어야 한다. 회사의 운영 방식, 경영진과 이사회의 개인적인 행위, 위험에 대한 태도, 보수적이거나 공격적인 성향, 규정에 기반한 운영 방식 등은 최고위층의 의지에 영향을 미치고 회사 전체에 메시지를 전달하게 된다. 개인에 대한 차별, 부당한 성과평가 및 보상 등은 기업문화에 영향을 미치고 적절치 못한 행동을 유발시킬 수 있다. 이와 반대로 경영진과 이사회 등의 윤리적이고 책임 있는 일련의 행동과 부적절한 행위에 대한 엄격한 대처는 회사가 기업가치와 윤리를 추구한다는 강력한 메시지가 된다.
  • A3 최고위층의 의지는 내부회계관리제도가 효과적으로 작동하기 위한 기반이 되며, 회사 내의 전체 조직이 회사의 가치, 임직원 및 협력업체 등에게 기대되는 행동에 대한 공통의 이해를 수립하는데 도움을 준다. 내부통제를 강조하는 조직 문화를 만들기 위한 최고위층의 의지가 없다면 인지된 위험이 저평가되거나, 위험에 대한 대응절차가 부적절하거나, 통제활동이 잘못 설계 또는 운영되거나, 정보에 대한 의사소통이 약화되거나, 모니터링 활동이 수행되지 않을 수 있다. 따라서 최고위층의 의지를 어떻게 설정하느냐에 따라 효과적인 내부회계관리제도를 지원하는 요인이 되거나, 이를 가로막는 장벽이 될 수도 있다.
윤리강령 수립 (문단 38.2)
  • A4 윤리강령은 회사가 목적을 달성하는 과정에서 옳고 그른 것에 대한 판단 기준, 위험의 존재 여부에 대한 판단 기준, 그리고 법률 또는 규제사항 등 회사에 요구되는 다양한 기대사항을 반영하는 방식에 대한 판단 기준을 제시하고 행동강령을 포함한다. 이는 회사의 의사결정 및 활동에 영향을 미친다. 따라서 회사는 어려운 의사결정에 직면하였을 때 지속적으로 윤리강령을 준수함으로써 회사가 도덕성 및 윤리적인 가치를 고수함을 증명할 수 있다. 도덕성과 윤리적 가치는 회사의 의사소통과 교육프로그램의 핵심적인 메시지일 것이다.
  • A5 외부서비스제공자 또는 협력업체의 부적절한 행위는 경영진에게 궁극적인 책임이 있으며, 고객, 회사의 이해관계자 및 회사의 명성에 피해를 발생시키고 많은 비용이 유발되는 대책 마련을 필요하게 한다. 따라서 경영진은 외부서비스제공자 또는 협력업체에게 위임된 업무에 대해서도 회사의 윤리강령을 준수할 수 있도록 의사소통 및 감독할 책임이 있다.
윤리강령 준수 평가 (문단 38.3)
  • A6 윤리강령은 회사 내부 및 외부서비스제공자의 도덕성 및 윤리적 가치의 준수 여부를 평가하는 판단 기준이 되며, 회사의 정책 및 절차 또는 다양한 계약문서를 통하여 공유된다. 실무적으로 윤리강령이 준수되고 있는지 확인하기 위하여 업무 담당자들의 행동, 의사결정, 태도가 경영진 또는 독립적인 인원에 의하여 평가된다. 회사가 용인할 수 있는 윤리강령 위반사항의 수준 및 범위가 정의되고 구성원들에게 공유되어야 한다. 위반사항이 회사에 미치는 영향의 정도에 따라 회사가 취해야 하는 조치사항은 다양할 수 있으나, 조치사항의 적용에 있어서는 일관성이 요구된다. 윤리강령의 준수 여부는 경영진의 상시적인 감독 또는 독립적인 검토를 통하여 평가될 수 있다. 구성원들은 공식적인 또는 비공식적인 다양한 의사소통 방식을 통하여 부적절한 사항을 확인하고 보고할 수 있어야 한다.
  • A7 윤리강령의 평가 절차로 다음과 같은 사항을 고려하여야 한다.
    • 외부서비스제공자를 포함한 조직 전체의 행동규범 준수 여부를 확인할 수 있는 지표의 정의
    • 지속적이며, 주기적인 평가 절차의 수립
    • 인사 부서나 내부고발제도 등을 포함한 발견된 문제점에 대한 보고체계
    • 성과평가, 보상 및 승진에 대한 결정시 고려
    • 독립된 인원에 의한 평가 방식
    • 발견된 문제점에 대한 개선 체계 수립
윤리강령 위반사항의 적시 처리 (문단 38.4)
  • A8 윤리강령의 위반사항은 적시에 일관된 방식으로 식별되고 개선되어야 한다. 경영진은 위반사항에 대한 평가를 수행하고, 위반사항의 심각성에 따라 경고, 정직 또는 퇴사 등의 적절한 조치를 취해야 하고 해당 조치에 대해 적절한 방법을 선택하여 회사 임직원과 공유한다.
원칙 2. 내부회계관리제도 감독 책임 (문단 39)
이사회의 감독 책임 정립 (문단 39.1)
  • A9 이사회는 회사와 관련된 다양한 이해관계자의 기대사항과 법적, 규제적 요구사항 및 연관된 위험을 이해하여야 하며, 이는 회사의 목적, 이사회의 감독 책임, 조직에 필요한 자원을 결정하는데 도움을 준다. 이사회는 최고경영자에 대한 임명 및 해임의 권한을 가지며, 최고경영자가 회사의 전반적인 전략을 실행하고 목적을 달성하며, 내부회계관리제도를 효과적으로 운영할 수 있도록 승계계획을 수립한다. 이사회의 감독은 경영진이 업무 수행을 위하여 수립한 구조 및 프로세스를 기반으로 수행된다. 이사회가 감독 책임을 가지는 반면, 최고경영자 및 고위 경영진은 내부회계관리제도를 설계하고 운영할 직접적인 책임을 갖는다. 단, 이사회는 외감법 등 법률에서 정하는 사항과 내부회계관리제도, 내부감사 및 부정방지 프로그램에 대한 등의 감독 책임을 감사(위원회)에 위임할 수 있다.
이사회의 전문성 확보 및 독립적 운영 (문단 39.2와 39.3)
  • A10 이사회는 감독 책임을 수행함에 있어 경영진과 독립적이어야 하며, 적절한 전문성과 기술을 보유할 필요가 있다. 이사회의 구성원이 동시에 다른 회사 이사회의 구성원일 경우 초래될 수 있는 편향성 또는 구성원간 이해 상충도, 이사회의 독립성과 전문성 등이 고려해야 할 주요 요소이다. 이사회에게는 부정행위에 대한 문제제기, 경영진의 활동에 대한 면밀한 조사, 쟁점사항에 대한 대안 제시 및 결단력 있는 행동이 항상 요구되므로 독립성을 갖춘 이사회의 구성원이 필요하다. 회사의 임직원들이 회사에 대하여 더 깊이 있는 지식을 보유하고 있기는 하지만, 관련된 전문지식이 있는 독립적인 이사회의 구성원이 공정성, 건전한 의구심, 편향성 없는 평가를 통하여 가치를 제공할 수 있다.
  • A11 회사의 규모와 상황에 따라 비용 또는 기타 사유 등으로 인해 전문성 및 독립성을 갖춘 이사회의 구성원을 확보하는 것이 어려울 수 있다. 이러한 상황에서는 이를 대체할 수 있도록 적절한 수준의 감독을 수행할 수 있는 감사(위원회)를 포함한 다른 프로세스 및 통제를 고려해야 한다. 이는 본 설계·운영 개념체계에서 제시하는 이사회 관련 사항에 동일하게 적용된다.
내부회계관리제도 감독 수행 (문단 39.4)
  • A12 이사회는 내부회계관리제도의 설계, 구축 및 운영에 대한 감독을 수행할 때, 본 설계·운영 개념체계에서 제시하는 통제환경, 위험평가, 통제활동, 정보 및 의사소통, 모니터링 활동의 5가지 구성요소를 모두 관리 감독하여야 한다. 각 구성요소별 감독항목과 방법에 대한 명확한 기준은 경영진과 이사회의 감독 책임을 강화할 것이고, 감독 업무 수행을 위해서는 정기적 또는 비정기적인 보고절차가 이뤄져야 한다.
원칙 3. 조직구조, 권한 및 책임 정립 (문단 40)
조직구조 고려 및 보고체계 수립 (문단 40.1과 40.2)
  • A13 고위 경영진과 이사회는 회사의 활동을 계획하고, 실행하고, 통제하며, 주기적으로 평가하는 등 감독 책임을 수행하기 위하여 필요한 조직구조와 보고체계를 수립한다. 회사는 직면한 다양한 상황(제품 및 서비스의 특성, 위험 관리, 지역적 위치, 외부서비스제공자 등)을 고려하여, 업무를 세분화하거나 통합하는 등의 다양한 형태로 운영되어야 하며, 이에 따른 조직구조 및 보고체계의 수립이 필요하다. 이와 같이 다양한 상황을 고려한 조직구조 및 보고체계를 수립함으로써 다양한 측면에서 내부회계관리제도를 평가할 수 있다. 하나의 측면에서 위험이 존재하지 않았다 하더라도, 다른 측면에서는 집중된 위험을 발견할 수 있다. 조직구조는 사업의 성격이 변함에 따라 변화하며, 따라서 경영진은 내부회계관리제도를 지원하기 위한 조직구조의 목적적합성, 효과성 및 효율성을 지속적으로 검토하고 평가할 필요가 있다.
  • A14 경영진은 조직의 운영형태에 따라 부여된 책임이 달성되고, 정보가 의도한 대로 흘러갈 수 있도록 보고체계를 설계하고 평가한다. 이와 같은 보고체계의 설계와 평가는 조직 내부로부터 외부서비스제공자까지 부여된 책임을 이행하는데 발생할 수 있는 이해상충의 존재 여부를 파악할 수 있게 한다.
권한과 책임의 정의 및 부여 (문단 40.3)
  • A15 이사회는 경영진에게 권한을 위임함과 동시에 책임을 정의하고 부여한다. 경영진은 순차적으로 내부회계관리조직을 포함한 하위조직에 권한을 위임하고, 책임을 정의하며 부여한다. 회사는 권한과 책임을 위임하며, 이를 통하여 회사의 목적 달성을 위한 경영진의 지침에 따라 경영진 및 임직원이 의사결정할 수 있도록 한다. 권한의 위임은 회사의 유연성을 증가시키지만, 반면에 관리해야 할 위험의 복잡성을 증가시키기도 한다. 경영진은 이사회의 지침을 고려하여 어떤 권한을 부여하거나 부여하지 않을 것인지에 대한 기준을 제공한다.
권한의 제한 (문단 40.3)
  • A16 권한은 주어진 역할을 수행할 수 있도록 충분히 부여되어야 하지만, 권한의 한계를 정의하는 것 또한 필요하다. 내부회계관리제도와 관련된 충분한 권한이 부여되어야 하지만, 회사의 목적 달성을 위해 필요한 범위 내에서만 권한을 부여한다. 또한 목적을 달성해 나가는 과정에서 발생할 수 있는 권한의 부적절한 사용을 예방시킬 수 있도록 업무의 분장이 필요하며, 조직의 모든 위치에서 견제와 균형이 이루어져야 한다. 더불어, 업무프로세스상의 역할과 책임을 정의하고 제한하기 위하여 다양한 기술적 측면을 함께 고려할 필요가 있다.
원칙 4. 적격성 유지 (문단 41)
정책 및 실무절차 수립 (문단 41.1)
  • A17 정책 및 실무절차는 투자자, 규제기관 및 기타 이해관계자의 기대사항과 요구사항을 반영한 전사적인 수준의 지침이며, 회사 업무 처리에 필요한 적격성을 정의하는 근간을 제공한다. 정책 및 실무절차는 이사회를 비롯한 최고경영자 및 고위 경영진으로부터 다양한 계층의 구성원들에게 적격성의 중요성을 강조하고, 업무별 요구되는 적격성이 전체 조직에 공유될 수 있도록 한다.
적격성 평가 및 보완 (문단 41.2)
  • A18 적격성은 부여 받은 책임을 실행하기 위한 자격요건을 의미하며, 관련된 적절한 기술과 전문성을 필요로 한다. 회사는 목적 달성에 필요한 적격성의 요구사항을 정의할 때 다음과 같은 사항을 고려할 수 있다.
    • 필요한 지식, 기술 및 경험
    • 특정 직위 수행에 필요한 판단의 성격과 수준, 권한의 한계
    • 요구되는 다양한 수준의 기술과 경험에 따른 비용과 효익의 분석
  • A19 이사회는 최고경영자의 적격성을 평가하고, 경영진은 수립된 정책 및 절차에 따라 회사 전체 및 외부서비스제공자의 적격성을 평가한 후, 그 결과에 따라 필요한 조치를 취하여야 한다. 회사는 내·외부 환경이 변화함에 따라 새로운 위험 요소가 식별되는 경우, 이러한 위험에 적절히 대응하기 위한 적격성 있는 인력을 활용하는 것을 고려하여야 한다.
인력 선발, 육성 및 유지 (문단 41.3)
  • A20 적격성 유지를 위한 회사의 각종 정책과 절차는 적절한 인적자원을 채용, 평가 및 유지하기 위한 인적 자원 관리 프로세스를 통해 관리되고 실행될 수 있다. 회사의 목적 달성을 지원할 수 있도록 변화하는 위험의 상대적 중요성을 고려하여 인적 자원의 적절한 규모를 결정하여야 하며, 이는 주기적으로 재조정되어야 한다.
승계계획 및 준비 (문단 41.4)
  • A21 경영진은 회사의 내부회계관리조직을 포함하여, 내부회계관리제도 목적 달성에 있어 필수적으로 판단되는 역할을 지속적으로 확인하고 그 적정성을 평가하여야 한다. 각 역할의 중요성은 해당 역할이 일시적 또는 영구적으로 공석이 될 경우의 영향을 평가함으로써 결정된다. 최고경영자와 경영진, 내부회계관리조직, 전략적 공급업체와 주요 협력업체는 업무 승계계획을 필요로 하는 대표적인 예로, 이들이 수행하는 역할에 공백이 발생하더라도 회사의 목적 달성에 지장이 없다는 것을 확신할 수 있도록 업무 승계계획(승계와 관련된 비상계획 포함)을 수립하여 대비하여야 한다. 특히 핵심 임원에 대한 업무 승계계획이 수립되어야 하고, 업무승계 후보자에게는 역할승계를 가정한 교육과 훈련이 이루어져야 한다.
원칙 5. 내부회계관리제도 책임 부여 (문단 42)
조직구조, 권한 및 책임을 통한 내부회계관리제도 책임 부여 (문단 42.1)
  • A22 이사회는 최고경영자에게 회사가 직면하고 있는 위험을 이해하고 회사의 목적 달성을 위한 내부회계관리제도를 설계 및 운영하는 궁극적인 책임을 부여한다. 최고경영자 및 고위 경영진은 내부회계관리조직을 포함한 회사 내의 모든 구성원들에게 내부회계관리제도에 대한 의무를 부여하기 위해 필요한 조직구조, 권한 및 책임을 설계 및 구축하고 실행하며, 주기적으로 평가할 책임이 있다. 내부회계관리제도에 대한 의무를 부여하는 것은 목적 달성을 위한 통제 수행에 대한 역할을 부여하는 것을 의미한다. 내부회계관리제도를 수행하는 과정에서 외부서비스제공자가 활용되는 경우가 있을 수 있다. 이러한 경우에도 외부서비스제공자가 수행한 내부통제 활동에 대한 궁극적인 책임은 경영진에게 있으며, 경영진은 외부서비스제공자의 성과에 대한 필수 요구 수준 및 감독 체계를 수립하여야 한다.. 내부회계관리제도에 대한 책임의 수준은 경영진의 철학 및 운영방식과 상관관계가 있다. 고위 경영진의 의지가 강할수록 내부회계관리제도의 책임에 대한 이해 수준이 높아지고, 실행력을 가지며, 조직 전반에 걸쳐 지속적으로 책임이 부여된다. 책임 부여는 고위 경영진의 의지를 포함한 윤리적 가치, 적격성, 회사 프로세스에 의해 영향을 받고 조직의 통제 문화에 영향을 미친다.
성과평가 및 보상정책과의 연계 (문단 42.2와 42.3)
  • A23 회사 임직원의 업무성과는 각자의 책임 정도와 보상체계에 큰 영향을 받는다. 경영진과 이사회는 회사의 장단기 목표의 달성과 연계하여, 회사 내 모든 구성원들의 책임을 고려한 성과평가지표 및 인센티브를 포함하는 보상체계를 수립한다. 미래의 결과에 대해 현재 보상을 지급하는 것은 의도하지 않은 결과를 초래할 수 있다는 것을 인지하고, 회사는 목적 달성에 부합될 수 있도록 보상 및 징계 대상 행위를 균형 있게 고려하며, 정성적 요소와 정량적 요소가 결합된 성과평가지표를 수립한다. 성과평가지표, 인센티브 및 보상체계가 회사의 목적에 부합하게 운영된다면, 효과적인 내부회계관리제도 운영에 긍정적인 효과를 가져올 수 있다.
  • A24 인센티브는 임직원들이 성과를 내도록 하는 동기를 유발한다. 인센티브는 보통 급여 인상이나 상여 지급의 형태이지만, 보다 큰 역할을 부여하거나 조직 내에서의 인정 등의 비금전적인 형태도 효과적인 인센티브가 될 수 있다. 경영진은 회사의 성과평가지표와 보상체계를 지속적으로 적용하고, 주기적으로 검토하여 부적절한 행위를 초래하는 일이 없도록 하여야 한다. 예를 들어, 매출 목표와 다른 목표 간에 불균형이 발생하는 경우 준수해야 하는 업무수행기준에 위배되는 행위를 야기할 수 있다.
과도한 압박 고려 (문단 42.4)
  • A25 경영진과 이사회는 목적을 달성하기 위한 목표를 설정하며, 이는 본질적 특성상 회사 내부에 압박을 만들어 낼 수 있다. 내부 또는 외부 환경에 의해 더 영향을 받는 이러한 압박은 개인이 단기간 및 장기간에 걸쳐 행동과 성과에 대한 기대에 부응할 수 있도록 긍정적으로 동기부여하는 기능이 있다. 그러나 과도한 압박은 임직원들이 목표를 달성하지 못할 경우의 결과를 두려워하게 하고, 프로세스를 우회하거나 부정한 행위를 하게 하는 원인이 될 수 있다. 경영진과 이사회는 이러한 압박을 이해하고 내부회계관리제도의 목적 달성과 배치되거나 불균형을 야기할 수 있는 압박요소에 대해 적절한 의사소통과 인센티브 및 보상으로 균형을 맞춰야 한다. 경영진과 이사회는 책임을 부여하고, 성과지표를 설계하고, 성과를 평가할 때 인센티브 및 보상에 대한 압박을 적절한 수준으로 설정하고 조정한다.
개인의 성과평가, 보상 또는 징계조치 (문단 42.5)
  • A26 성과 목표가 이사회로부터 최고경영자, 고위 경영진 및 일반 직원들에게 단계적으로 주어지는 것처럼, 성과평가 역시 각각의 단계에서 수행된다. 이사회는 최고경영자의 성과를 평가하고, 최고경영자는 고위 경영진의 성과를 평가하며, 고위 경영진은 일반 직원들의 성과를 평가한다. 각각의 단계에서 윤리강령의 준수 여부와 요구되는 적격성 수준의 충족 여부가 평가되며, 그 결과에 따라 적절하게 보상을 부여하거나 징계조치를 취한다. 이러한 평가 결과는 구성원과 공유되며, 바람직한 행동을 유도할 수 있도록 보상 또는 징계의 형태로 실행된다. 장단기 관점에서 목적 달성과 허용 가능한 수준에서 위험을 관리하는 능력에 대하여 성과가 측정되며, 과거의 위험 및 미래의 위험을 모두 고려한다.
원칙 6. 구체적인 목적 수립 (문단 43)
적합한 회계기준의 준수 (문단 43.1)
  • A27 회사는 다양한 외부 정보이용자들이 공시된 재무제표 및 재무정보를 목적 적합하게 사용할 수 있도록 관련 회계기준 및 외부 규제사항을 준수하여야 한다. 회사가 선택한 회계처리방법은 회사에 적용가능하고 적합하며, 회사의 사업 환경에 타당한 회계원칙의 요구사항과 일관성을 가지며, 관련 회계기준, 지침 및 규정에 따라 작성되어야 한다.
회사 활동의 실질 반영 (문단 43.2)
  • A28 회사의 외부 재무보고는 회계기준에 따라 작성한 재무제표가 유용한 정보로써 갖추어야 할 질적 특성을 반영하여 회사 내 거래와 사건의 실질을 반영한다. 재무정보가 유용하기 위해서는 기본적으로 그 목적이 적합하여야 하고, 나타내고자 하는 바를 충실하게 표현하여야 한다. 이러한 재무정보는 비교가능성, 검증가능성, 적시성 및 이해가능성을 갖춤으로써 유용성이 보강된다. 재무정보의 질적 특성, 경영자 주장 및 중요성은 회계기준의 재무보고를 위한 개념체계 및 감사기준의 내용을 참조한다. 이러한 재무정보의 질적 특성은 적절한 회계원칙과 경영진 주장을 통하여 적용되며, 이러한 주장은 일반적으로 다음 항목과 연관된다.
    • 해당 기간의 거래와 사건의 집합
    • 기말 계정 잔액
    • 재무제표 표시와 공시
중요성 고려 (문단 43.3)
  • A29 중요성 개념은 목적적합성과 관련이 깊다. 중요성은 특정 재무적 금액의 목적적합성을 결정하는 임계치가 된다. 만약 특정 재무정보의 누락 또는 왜곡표시가 재무정보에 기반한 정보이용자의 의사결정에 영향을 줄 수 있다면 그 정보는 의사결정에 관련성이 높은 것이고 중요한 것이다. 중요성은 누락 및 왜곡표시가 발생하는 특정상황에서 판단 대상이 되는 항목과 오류의 크기에 따라 달라질 수 있다. 외부보고의 경우, 중요성은 외부 정보이용자들의 요구에 부합할 정도의 정확성을 반영하고, 허용 가능한 범위 내에서 회사의 활동, 거래 및 사건을 표시하게 한다. 또한, 내부회계관리제도의 관리 대상이 되는 재무보고요소의 범위를 결정하는 중요한 요인으로 이용된다.
원칙 7. 위험 식별 및 분석 (문단 44)
회사 내 다양한 조직 수준 고려 (문단 44.1)
  • A30 위험을 식별하고 분석하는 절차는 회사의 목적 달성을 위한 능력과 가능성을 제고하기 위해 수행하는 지속적이고 반복적인 과정이다. 이를 위해 경영진은 다양한 방법과 기술을 사용하며, 관련 절차와 통제를 마련한다. 위험 식별은 조직 내 다양한 수준에서의 위험을 고려하는 포괄적인 절차이어야 한다. 전사적 수준의 위험 식별은 전체 조직이나 사업부와 같이 상대적으로 높은 수준에서 수행된다. 반면 매출, 인사, 영업 등 거래 수준에서 수행하는 위험 식별 과정을 통해, 세부적이고 구체적인 거래 수준의 위험을 식별한다. 위험 식별은 전사적 수준 및 거래 수준의 위험뿐만 아니라 외부서비스제공자, 주요 공급처 및 협력업체에서 유발될 수 있는 위험도 포함한다.
  • A31 목적을 구체화하고 세부적으로 수립된 목적과 관련된 위험에 집중하는 것은 회사의 목적을 달성하는데 유용하다. 거래 수준의 위험에 대한 식별과 평가가 적절히 이뤄진다면 전사적 수준의 위험 관리에도 기여한다.
외부 재무보고에 영향을 미치는 내부 및 외부 요인 분석 (문단 44.2)
  • A32 내부회계관리제도와 관련하여, 경영진은 위험 식별을 위해 내·외부 요소를 고려하여야 한다. 위험은 변동성이 있기 때문에 위험 평가 주기를 결정하기 위해 경영진은 일반적으로 회사의 목표, 기타 운영상 우선 순위 요소 및 비용에 대한 위험의 변동성을 고려한다. 위험 분석 시 고려할 수 있는 외부 요인에는 다음과 같은 것들이 있다.
    • 경제 - 자금조달, 자본 가용성, 경쟁자의 진입 방어 등에 영향을 줄 수 있는 경제 상황 변화
    • 자연환경 - 원자재 가용성 감소, 정보시스템 붕괴, 우발상황 등을 초래 할 수 있는 자연재해 및 인재
    • 규제 - 기존 재무보고 내용에 변경을 필요로 하는 새로운 재무보고 기준이나 규정
    • 해외기업활동 - 해외 진출 국가의 정부 변화로 인한 신규 법규, 규제 및 세금 제도
    • 사회 - 제품개발, 생산 공정, 고객 서비스, 가격 및 보증제도에 영향을 미치는 고객의 요구사항 및 기대사항
    • 기술 - 데이터 이용, 인프라 비용 및 기술 기반 서비스 수요에 영향을 미치는 기술적 발전
  • A33 위험 분석 시 고려할 수 있는 내부 요인에는 다음과 같은 것들이 있다.
    • 인프라 - 회사 인프라의 운영 및 상시적 이용가능성에 영향을 미칠 수 있는 자본 조달구조 결정
    • 경영구조 - 특정 통제활동 방식에 영향을 미칠 수 있는 경영진의 책임과 권한 변화
    • 인사 - 회사 내 통제활동 인식 수준에 영향을 미칠 수 있는 인적자원의 역량 수준, 인사 교육 및 동기부여 방침
    • 자산에 대한 접근권한 - 회사 자산의 남용·횡령을 초래할 수 있는 조직 활동 성격 및 직원의 자산 접근가능성
    • 기술 - 회사 운영에 부정적 영향을 미칠 수 있는 정보시스템의 장애 등
적절한 수준의 경영진 참여 (문단 44.3)
  • A34 위험을 식별한 이후에는 위험의 분석과 평가가 수행되어야 한다. 내부통제 내의 다른 프로세스와 마찬가지로 위험 식별 및 분석에 대한 책임은 회사, 본부, 부서에 있는 각 경영자에게 있다. 더 나아가서 회사는 적절한 경영진들이 참여하도록 하여 효과적인 위험평가 절차와 관련된 통제활동을 갖추어야 한다.
식별된 위험의 중요성 평가 (문단 44.4)
  • A35 위험분석 과정에서 회사는 목적 달성에 대한 위험의 중요성을 평가한다. 회사는 다음과 같은 기준에 의해 중요성을 평가할 수 있다.
    • 위험의 발생가능성과 그 영향의 크기
    • 발생한 위험의 영향이 발생하는데 걸리는 시간
    • 발생한 영향의 지속성 및 지속기간
    위험의 평가 시, 회사는 위험의 발생가능성과 해당 위험이 미치는 영향의 크기를 계량화하여 평가하는 방식을 주로 사용한다. 추가적으로 발생한 위험이 회사에 영향을 미치는 데 걸리는 속도와 지속되는 정도를 고려할 수 있다. 일반적으로 경영진은 목적의 달성 정도를 확인하고 관리하기 위해 세분화된 성과지표 등의 제도를 활용하고, 잠재적인 위험의 영향을 고려할 때에도 동일한 기준을 적용한다.
위험 대응 방안 결정 (문단 44.5)
  • A36 위험의 잠재적 중요성이 평가되면 경영진은 위험의 중요성과 위험을 적정 수준으로 관리하기 위한 비용 등을 고려하여 위험 대응 방안을 결정한다. 이러한 결정으로 최소한의 잔여 위험 수준을 도출할 필요는 없으나, 잔여 위험이 허용 가능한 수준을 초과하는 경우에는 경영진은 대응 방안을 재검토하고 수정하여야 한다. 고유위험과 잔여위험을 평가하는 것은 회사의 위험 대응 방안을 결정하는데 유용하다
  • A37 위험 대응 방안은 다음 범주에서 결정된다.
    • 수용 - 위험의 발생가능성 또는 영향의 크기에 영향을 줄 수 있는 어떤 행동도 취하지 않는 것
    • 회피 - 특정 제품의 생산 및 판매 중단, 신규 시장 진출 축소, 특정 사업부 매각 등 위험을 발생시키는 활동을 중단하는 방안
    • 경감 - 가장 일상적으로 수행되는 위험 대응 방안으로 위험의 발생가능성이나 영향의 크기 혹은 모두를 줄이기 위한 조치
    • 공유 - 보험 가입, 공동 투자, 위험회피 거래 및 아웃소싱과 같이 위험의 일부분을 이전하거나 공유함으로써 위험 발생가능성 또는 영향의 크기를 줄이는 방안
    선택한 위험 대응 방안은 또 다른 위험을 발생시킬 수 있다. 그러므로 위험을 수용함에 따라 발생할 수 있는 재무제표 등에 미치는 영향을 고려한 추가 통제활동이나, 위험을 공유하는 경우 아웃소싱업체에 대한 위험 대응 방안이 추가로 고려되어야 한다.
원칙 8. 부정위험 평가 (문단 45)
다양한 부정의 유형 고려 (문단 45.1)
  • A38 부정위험 평가에는 부정한 재무보고와 회사 자산의 보호 및 부패와 관련한 위험에 대한 경영진의 평가가 포함된다. 부정위험 평가는 “위험 식별 및 분석” 과정의 일부로서 수행되고, 위험 대응 방안 및 관련된 통제활동을 선택하고 구축하는 것 역시 동일한 방식이 적용된다. 또한, 위험평가 절차와 같이 부정위험 평가 과정과 결과를 이사회 혹은 감사(위원회)가 검토하고 확인하는 것이 필요하다.
    • 부정한 재무보고 - 회사의 재무정보가 의도적으로 왜곡표시되거나 누락되는 경우 부정한 재무보고가 발생할 수 있다.
    • 자산의 보호 - 자산의 보호는 권한 없이 자산을 획득하고 사용하거나 처분하는 등의 행위를 사전에 예방하거나 적시에 적발하는 것을 의미한다.
    • 부패 - 부정위험 평가 시 뇌물 수수, 과도한 접대 등을 포함한 비윤리적인 행위 등을 의미한다.
  • A39 회사는 위험평가 과정에서 다음과 같은 부정한 재무보고의 다양한 위험을 고려하여 그 대응 방안을 수립한다.
    • 경영진이 회사의 회계원칙 및 처리 방법 선택 시 편향되게 개입할 위험
    • 외부 재무보고 시 수반되는 추정과 판단의 정도
    • 동종 산업에서 일반적으로 발생하는 부정의 유형
    • 사업을 운영하는 지역에서 발생하는 부정의 유형
    • 부정행위를 유발할 수 있는 동기 부여
    • 회계정보를 위조, 변조 및 훼손할 수 있는 기술이나 경영진의 능력
    • 부외부채가 존재하거나 자산의 손실에 대한 보고가 완전하거나 정확하지 않을 위험
    • 경영진에 의해 중대하게 영향을 받을 수 있는 비경상적이거나 복잡한 거래
    • 내부통제를 우회하거나 경영진의 통제 무시에 취약할 수 있는 부분의 위험
유인과 압력의 평가 (문단 45.2)
  • A40 일반적으로 부정에는 동기(유인과 압력)와 실행할 수 있는 기회 그리고 태도 및 사후합리화가 연관되어 있다. 부정위험 평가 시 회사는 동기(유인과 압력)로 작용할 요소와 부정위험으로 인한 잠재적 영향을 고려한다. 이러한 유인과 압력은 “원칙 5. 내부회계관리제도 책임 부여”에서 기술한 바와 같이, 통제환경과 밀접하게 관련되어 있다.
기회 평가 (문단 45.3)
  • A41 부정위험을 평가할 때에는 부정을 저지를 수 있는 실행 기회를 고려하여야 한다. 일반적으로 부정은 적발되지 않을 것이라는 믿음 하에 수행된다. 실행 기회는 취약한 통제활동과 모니터링, 경영진의 허술한 감시 및 경영진의 통제 무시 등에 기인하며, 부정한 재무보고 및 자산의 유용가능성은 다음의 경우에 증가한다.
    • 복잡하거나 불안정한 조직구조
    • 담당임직원(회계, 운영, 위험관리, 내부감사, IT직원)의 빈번한 교체
    • 효과적이지 못한 통제활동의 설계나 운영
    • 효과적이지 못한 정보시스템
태도와 합리화에 대한 평가 (문단 45.4)
  • A42 부정위험을 평가할 때에는 실행 기회뿐만 아니라 태도 및 사후합리화 행위를 함께 고려하여야 한다. 부적절한 행위를 정당화하려는 사후합리화 행위에는 다음과 같은 예를 고려할 수 있다.
    • 회사 자산의 사용을 ‘차용’이라 여기고, 해당 자산을 ‘상환’하려는 의도
    • 직무 불만족 사항(급여, 업무 환경 및 대우 등)에 기인한 피해의식
    • 사회 통념 및 신의에 반하는 자신의 행동으로 비롯될 영향에 대한 무지 및 무관심
원칙 9. 중요한 변화의 식별과 분석 (문단 46)
변화의 평가 (문단 46.1, 46.2와 46.3)
  • A43 경제, 산업, 규제환경이 변화함에 따라, 회사의 리더십, 우선순위, 사업모델, 조직, 업무프로세스, 사업활동의 범위와 성격은 변화하는 상황에 적합하도록 변경될 필요가 있다. 특정한 환경에서 효과적인 내부회계관리제도는 관련된 조건이 중요하게 변경되는 경우 효과적이지 않을 수 있다. 위험평가의 일부로 경영진은 회사의 내부회계관리제도에 중요한 영향을 미칠 수 있는 변화를 식별하고 필요한 조치를 취한다. 따라서 모든 회사는 목적 달성을 위한 조직의 역량에 중대하게 영향을 미칠 수 있는 내부 및 외부 요인을 식별하고 평가하는 프로세스를 설계할 필요가 있다. 이러한 프로세스는 회사의 일반적인 위험평가 프로세스와 유사하지만 별도로 진행되며, 중요한 가정이나 조건의 변화를 식별하는 것을 포함한다. 또한, 내부회계관리제도 목적에 영향을 미칠 수 있는 변화사항을 식별 및 의사소통하고 위험을 평가할 수 있는 통제활동의 설계 및 운영이 필요하다. 변화관리 프로세스는 효과적인 내부회계관리제도에 매우 중요한 영향을 미치지만, 일상 업무를 우선적으로 처리하는 관행으로 인해 간과되거나 충분한 주의가 기울여지지 않을 수 있으므로, 정규 위험평가 프로세스와 별도로 구분되어 수행되어야 한다. 또한, 경영진은 내부회계관리제도에 대한 영향을 미칠 수 있는 중요한 변화사항을 신속하게 식별할 수 있는 절차를 조기에 수립하여 운영하고, 중요한 경우 감사(위원회)의 검토를 고려한다.
외부 환경 변화의 평가 (문단 46.1)
  • A44 외부 환경의 변화 - 규제환경 또는 경제환경의 변화는 회사의 경쟁에 대한 압박의 증가, 사업 요구사항의 변경 등 기존과는 상당히 다른 위험들을 초래할 수 있다. 회사는 이러한 외부 환경의 변화가 내부회계관리제도의 설계 및 운영에 미치는 영향을 검토하여야 한다.
  • A45 물리적 환경의 변화 - 회사 및 공급망, 다른 협력업체에게 직접적인 영향을 미치는 자연재해가 회사의 내부회계관리제도에 미칠 수 있는 영향을 고려한다.
사업모델 변화의 평가 (문단 46.2)
  • A46 새로운 사업모델 변화의 예는 다음과 같다.
    • 사업모델의 변화 - 회사가 새로운 사업에 진입하거나, 새로운 아웃소싱계약을 통하여 서비스 제공 방식을 변경하거나, 기존 사업 영역의 구성을 급격하게 변경하는 경우, 이전에 효과적이었던 내부회계관리제도는 더 이상 효과적이지 않을 수 있다. 내부회계관리제도를 구축하기 위한 기반으로 최초에 평가된 위험 구성요소가 변경되거나, 위험의 잠재적 영향이 증가하는 경우 기존의 통제활동이 변화된 상황에 적용하기에는 충분하지 않을 수 있다.
    • 중요한 사업 인수 또는 매각 - 회사가 사업 부문을 인수하고자 할 때, 확장된 회사 전체 관점에서 내부회계관리제도를 검토하고 표준화할 필요가 있다. 사업 부문 인수 전에 구축되어 있던 통제활동은 새로 통합된 회사에는 적합하지 않을 수 있다. 이와 유사하게 일부 사업이 처분되는 경우, 해당 사업과 관련된 통제활동은 더 이상 효용성이 없어질 수도 있다. 사업 부문을 인수 또는 매각하는 경우, 회사는 새롭게 구성된 조직의 목적 달성을 지원하는데 적합하도록 통제활동을 검토하고 개선할 필요가 있다.
    • 해외 영업 - 해외로 사업 부문을 확장 또는 해외 사업을 인수하는 경우 새로운 위험 또는 해당 사업장과 관련된 특정 위험을 수반한다. 새로운 지역에서 사업을 개발하거나 해외에 사업 운영을 아웃소싱하는 것은 사업을 성장시키거나 비용을 절감하는데 도움을 줄 수 있으나, 동시에 새로운 도전에 직면하게 되어 위험의 유형과 범위가 변경될 수 있다. 관습과 관행의 차이로 인해 신규 시장에서의 사업 운영은 위험을 동반하게 되며, 사업위험은 주로 경제, 규제환경, 의사소통 채널에 기인한다.
    • 급속한 성장 - 사업 운영이 급격한 속도로 확장되는 경우, 기존의 조직구조, 업무프로세스, 정보시스템 및 자원의 한계로 통제활동 수행이 원활하지 않을 수 있다.
    • 새로운 기술 - 새로운 기술이 재화 생산 또는 용역 제공 프로세스 및 정보시스템에 적용될 경우 통제활동에도 수정·변경이 필요할 수 있다.
리더십 변화의 평가 (문단 46.3)
  • A47 회사에 새로 임명된 경영진은 회사의 문화를 이해하지 못하여 다른 경영철학을 고집하거나, 내부회계관리제도 관련 절차를 배제하고 성과에만 치중할 수 있다. 또한, 효과적인 교육·훈련이나 감독 없이 이루어진 직원의 빈번한 교체는 내부회계관리제도에 부정적인 영향을 미칠 수 있다.
원칙 10. 통제활동의 선택과 구축 (문단 47)
위험평가와의 통합 (문단 47.1)
  • A48 통제활동은 모든 내부회계관리제도 구성요소를 지원하지만, 특히 위험평가 절차와 연계된다. 위험평가 결과와 함께 경영진은 특정 위험에 대응하기 위하여 필요한 효과적인 대응 방안을 식별하고 설계한다. 일반적으로 통제활동은 회사가 특정 위험을 수용하거나 회피하는 것을 선택할 때에는 필요하지 않다. 그러나 회사가 위험을 회피하지 않기로 결정하고 이를 위한 통제활동을 설계하기로 결정하는 경우, 위험을 감소시키거나 분산시키려는 이러한 행동은 통제활동을 선택하고 설계할 때 고려되어야 한다. 위험에 대한 대응 및 관련된 통제활동의 성격과 범위는 경영진이 허용할 수 있는 위험의 수준에 영향을 받는다.
회사의 고유한 요인 고려 (문단 47.2)
  • A49 각 회사는 그 회사만의 목적과 접근방식을 가지고 있기 때문에, 목적, 위험, 위험에 대한 대응방식, 관련된 통제활동이 각기 다를 것이다. 두 회사가 동일한 목적과 구조를 갖고 있다 하더라도 통제활동은 다를 수 있다. 각 회사는 내부통제에 영향을 미치는 각기 다른 결정을 하고, 다른 능력을 보유한 인원에 의해 운영된다. 더욱이 통제활동은 조직의 복잡성, 역사, 문화, 성격, 사업영역뿐만 아니라 회사가 속한 환경 및 산업을 반영한다. 내부회계관리제도를 지원하기 위해 필요한 통제활동에 영향을 미치는 회사의 고유한 요인은 다음과 같다.
    • 회사의 환경과 복잡성, 영업활동의 성격과 범위는 통제활동에 영향을 미친다.
    • 규제를 많이 받는 회사일수록 일반적으로 그렇지 않은 회사보다 복잡한 위험평가 절차 및 통제활동을 설계한다.
    • 여러 나라에 걸쳐서 다양한 영업활동을 수행하는 회사는 내수 중심의 단순한 영업활동을 수행하는 회사보다 더 복잡한 통제활동을 설계한다.
    • 복잡한 ERP 시스템을 사용하는 회사는 간단한 범용소프트웨어를 사용하는 회사와는 다른 통제활동을 설계한다.
    • 영업활동이 분산되어 있고 지역적인 자율성이 강조되는 회사는 영업활동이 유사하고 높은 수준으로 중앙화 되어 있는 회사와 다른 통제환경에 놓여 있다.
관련 있는 업무프로세스 결정 (문단 47.3)
  • A50 위험을 감소시키기 위하여 어떤 통제활동을 설계할 것인지 결정할 때, 경영진은 유사한 통제활동이 필요한 업무프로세스, 정보기술, 지역 등을 고려한다. 이러한 경우 공유서비스센터(shared service center), 데이터 센터, 아웃소싱 업체에서 수행되는 기능과 같이 회사의 업무 부서 밖에서 운영되는 통제활동을 고려할 필요가 있다.
거래 수준의 통제활동 (문단 47.3)
  • A51 회사의 업무프로세스상 거래처리 과정의 위험을 감소시키기 위한 활동을 직접적으로 지원하는 통제활동을 “거래통제”라고 한다. 거래통제는 경영진의 목적을 달성하기 위해 구축된 업무프로세스의 위험에 직접적으로 대응하기 때문에 회사의 가장 기본적인 통제활동이다. 거래통제는 전사적 수준의 재무보고 프로세스부터 특정 부서의 고객지원 프로세스까지 업무프로세스가 존재하는 곳이라면 어디든지 선택되고 구축된다. 업무프로세스는 각각의 위험 및 위험에 대한 대응방식을 가진 다양한 목적 및 하위목적을 포함할 것이다. 정보처리목적(완전성, 정확성, 유효성)에 따라 그룹화함으로써 이러한 업무프로세스의 위험을 보다 쉽게 관리할 수 있다.
    • 완전성 - 발생된 거래는 모두 기록된다.
    • 정확성 - 거래는 각각의 거래처리 단계에서 적시에 올바른 계정으로 정확한 금액이 기록된다.
    • 유효성 - 기록된 거래는 실제로 발생되고 정책과 규정에 따라 적법하게 수행된 경제적 사건을 나타낸다.
  • A52 접근제한은 대부분의 업무프로세스상 중요한 고려사항이며, 종종 정보처리목적의 항목으로 포함되기도 한다. 왜냐하면 업무프로세스상 거래에 대한 접근제한이 적절하지 않을 경우, 해당 업무프로세스의 통제활동이 우회될 수 있고 업무분장이 달성되지 못할 수 있기 때문이다. 특히, 회사의 프로세스와 사업에서 정보시스템의 기술에 의존하는 정도가 클수록 접근제한은 중요하게 고려되어야 한다.
통제유형의 조합 (문단 47.4)
  • A53 아래와 같이 다양한 유형의 거래통제를 선택하고 구축할 수 있다.
    • 승인 - 승인은 거래가 유효하다는 사실을 확인한다. 승인은 일반적으로 상위 경영진이 거래의 유효성을 검증 및 확인하는 형식을 취한다.
    • 검증 - 두 개 이상의 항목을 서로 비교하거나 회사정책과 비교하여, 두 항목이 일치하지 않거나 회사정책에 부합하지 않을 때 후속조치를 수행한다.
    • 물리적 통제 - 설비, 재고자산, 유가증권, 현금 및 기타 자산은 물리적으로 안전하게 보관되며, 주기적으로 점검되고, 기록된 수량과 비교/대사된다.
    • 기준정보 관리통제 - 가격 마스터 파일과 같은 기준 정보는 종종 업무프로세스상 거래 처리를 지원하는 데 사용된다. 회사는 기준 정보의 정확성, 완전성 및 유효성을 관리하는 프로세스에 대한 통제활동을 설계한다.
    • 대사 - 대사는 두 개 이상의 데이터를 비교하는 것이다. 차이가 발견될 경우 해당 차이내역의 소명을 위한 조치가 취해진다. 대사는 일반적으로 거래 처리의 완전성 및 정확성과 관련된다.
    • 감독통제 - 감독통제는 다른 거래통제(즉, 특정한 검증, 대사, 승인, 기준정보 관리 통제, 물리적 통제)가 완전하고, 정확하며, 정책 및 절차에 따라 수행되었는지 평가하는 것이다. 경영진은 일반적으로 위험이 높은 거래에 대하여 감독통제를 선택하고 구축한다.
  • A54 통제활동은 예방통제 또는 적발통제일 수 있으며, 회사는 일반적으로 두 가지 유형을 조합하여 설계한다. 통제활동은 수행시기에 따라 예방통제 또는 적발통제로 구분할 수 있다. 예방통제는 의도하지 않은 사건 또는 결과가 애초에 발생하는 것을 피하기 위해 설계된다. 적발통제는 최초의 거래가 발생한 이후 최종 목적이 종료되기 전에 의도하지 않은 사건 또는 결과를 발견하기 위하여 설계된다. 두 가지 통제활동의 중요한 부분은 의도하지 않은 사건 또는 결과를 수정하거나 피하기 위한 행위라는 점이다. 또한 통제활동을 선택하고 구축하는 경우, 회사는 통제활동의 정교함(precision)을 고려한다. 즉, 통제활동이 어느 정도 정교한 수준으로 의도하지 않은 사건 또는 결과를 예방 또는 적발할 것인지를 고려하여야 한다.
정보기술과 통제활동 (문단 47.4)
  • A55 통제활동과 정보기술은 아래 두 가지 방식으로 연관성을 가진다.
    • 정보기술의 업무프로세스 지원 - 제조 공장에서의 공장 자동화와 같이 정보기술이 회사의 업무프로세스에 내재화되어 있다면, 정보기술 자체가 적절히 운영되지 못할 위험을 감소시키기 위한 통제활동이 필요하다.
    • 자동통제에 사용되는 정보기술 - 회사의 많은 통제활동은 정보기술을 사용함으로써 부분적으로 또는 전적으로 자동화되어 있다. 이러한 절차를 자동통제활동 또는 자동통제라고 부른다.
    대부분의 업무프로세스는 회사의 이용 가능한 정보기술에 따라 수동통제와 자동통제의 조합으로 이루어진다. 자동통제는 뒤에서 설명되는 정보기술 일반통제의 효과성에 따라 달라질 수 있으나, 인적 판단 및 오류의 영향을 덜 받기 때문에 더 신뢰성이 높으며 일반적으로 더 효율적이다.
다양한 수준의 통제활동 적용 고려 (문단 47.5)
  • A56 회사는 거래 수준에서 운영되는 통제활동 이외에도 광범위하게 그리고 일반적으로 더 상위 수준에서 운영되는 통제활동과의 조합을 선택하고 구축한다. 상위 수준의 통제활동 예로는 업무 데이터 또는 재무 데이터의 비교를 포함하는 업무성과 검토가 있을 수 있다. 회사의 재무보고 위험을 감소시키기 위한 계층화된 접근방법을 제공하기 위해 거래통제와 업무성과 검토는 함께 운영되어야 한다. 대부분의 업무성과 검토는 일반적으로 거래가 발생하여 처리된 이후에 수행되기 때문에 적발통제이다. 따라서 통제활동을 조합할 때 상위 수준의 통제도 중요하지만, 거래통제 없이는 업무프로세스의 위험을 효과적으로 다루기는 어렵다.
업무분장 고려 (문단 47.6)
  • A57 통제활동을 선택하고 구축할 때, 경영진은 오류 또는 부정과 관련된 행위가 발생할 위험을 줄이기 위하여 담당자별로 업무가 배분되거나 분리되어 있는지 고려하여야 한다. 이를 고려할 때는 법적 환경, 규제의 요구사항, 이해관계자의 기대가 포함되어야 한다. 업무분장은 일반적으로 거래의 기록, 거래 승인 및 관련 자산의 보관에 대한 책임을 분리하는 것을 수반한다. 업무분장은 경영진의 통제 무시와 관련된 중요한 위험을 감소시킬 수 있다. 경영진의 통제 무시는 존재하는 통제를 회피하기 위해 자주 사용되는 부정의 수단이다. 업무분장은 한 사람이 독단적으로 처리할 가능성을 완전히 방지할 수는 없지만, 상당 부분 줄여주기 때문에 부정위험을 감소시키는데 필수적이다. 관련된 담당자가 공모하지 않으면 부정을 저지르기가 매우 어렵다. 또한 업무분장은 두 명 이상이 프로세스상 거래를 수행하거나 검토하도록 함으로써 오류를 감소시키고, 오류가 발견될 가능성을 증가시킨다. 그러나 업무분장이 실용적이지 않거나, 비용 대비 효율이 낮고 실행 가능하지 않을 수 있다. 이러한 경우 경영진은 대체적인 통제활동의 설계를 고려한다.
원칙 11. 정보기술 일반통제의 선정과 구축 (문단 48)
업무프로세스에서 사용되는 정보기술과 정보기술 일반통제간 의존도 결정 (문단 48.1)
  • A58 자동통제를 포함하여 업무프로세스에 사용되는 정보기술의 신뢰성은 정보기술 일반통제로 불리는 정보기술에 대한 통제활동의 선택, 구축, 운영에 따라 달라진다. 시스템 도입 및 개발에 대한 정보기술 일반통제는 시스템이 최초에 개발될 때 자동통제가 적절히 작동하는지에 대한 확신을 제공한다. 또한, 정보기술 일반통제는 시스템 구축 이후에 지속적으로 정보시스템의 적절한 운영에 대한 확신을 제공한다. 회사의 다른 부문과 마찬가지로 회사의 정보시스템과 관련된 프로세스 및 통제활동도 선택되고, 설계되고, 운영되고, 유지되어야 한다. 회사는 내부회계관리제도 목적 달성을 위해 재무보고 프로세스와 연관된 정보기술 프로세스와 일반통제로 그 범위를 한정할 수 있다. 이러한 프로세스와 통제활동은 외부 업체에서 구매한 간단한 범용소프트웨어를 사용하는 경우에 보다 간단하게 관리될 수 있으며, 자체 개발한 시스템과 외부에서 개발된 시스템을 동시에 활용하는 경우에는 관리해야 할 영역이 확장될 수도 있다. 선택되어 설계된 통제활동은 정보기술 프로세스의 활용에 대한 구체적인 위험을 완화하는데 도움을 준다.
정보기술 일반통제 (문단 48.2, 48.3과 48.4)
  • A59 정보기술 일반통제는 정보기술 인프라, 보안관리, 정보기술의 취득, 개발 및 유지보수에 대한 통제활동을 포함한다. 정보기술 일반통제는 모든 종류의 시스템(mainframe, client/server, desktop, end-user computing, portable computer, mobile device 등)에 적용될 수 있으며, 시스템의 복잡성 및 시스템이 지원하는 업무프로세스의 위험 등을 고려하여 통제활동의 범위와 강도는 달라질 수 있다. 업무프로세스 수준의 통제와 유사하게 정보기술 일반통제도 수동통제 및 자동통제를 모두 포함한다.
정보기술 인프라 통제활동 수립 (문단 48.2)
  • A60 정보기술은 사내 네트워크, 각종 애플리케이션 시스템의 운영 기반이 되는 각종 시스템 및 전원장치 등의 인프라 구조를 필요로 한다. 동 인프라 구조는 회사 내의 다른 업무 부문과 공유하거나, 독립된 서비스 제공업체에 아웃소싱할 수 있으며, 또는 클라우드 컴퓨팅과 같이 장소에 구애 받지 않는 서비스를 활용할 수도 있다. 회사는 이와 같이 미래에 지속될 기술 활용의 광범위한 변화 가능성에 대하여 검토하고 새롭게 발생하는 위험에 대하여 평가할 필요가 있다.
  • A61 회사는 정보기술 처리의 완전성, 정확성 및 이용 가능성을 달성할 수 있는 정책, 절차 및 통제활동을 구축하고 적용한다. 시스템 운영의 지속성을 확보할 수 있는 장애관리절차와, 시스템 중단과 관련된 위험과 동 위험이 미치는 영향의 정도에 따라 백업, 복구절차 및 재해복구절차 등이 포함될 수 있다.
보안관리 프로세스에 대한 통제 수립 (문단 48.3)
  • A62 보안관리는 애플리케이션 시스템의 거래를 처리할 수 있는 권한을 포함하여 회사의 정보기술에 대한 접근권한을 누가 어떤 수준으로 보유하고 있는지에 대한 프로세스 및 통제활동을 포함한다. 일반적으로 데이터베이스, 운영체제, 네트워크, 애플리케이션 시스템 및 물리적 접근권한을 관리한다. 접근권한에 대한 보안 통제활동은 부적절한 접근권한 부여 및 인가되지 않은 시스템 사용을 방지하며, 업무분장이 잘 이뤄질 수 있도록 지원한다. 시스템의 인가되지 않은 사용 및 변경을 방지함으로써 악의적인 의도 또는 단순한 오류로부터 데이터 및 프로그램의 무결성을 보호할 수 있다.
  • A63 보안 위협은 내부와 외부로부터 모두 발생할 수 있다. 외부 위협은 네트워크와 인터넷에 의존하는 정도가 큰 회사일수록 특히 중요하다. 다양한 정보기술 발전과 침입 경로는 보안관리의 중요성을 강조한다. 오늘날의 서로 긴밀하게 연결된 업무 환경에서 외부위협은 일반적인 현상이기 때문에, 이러한 위험에 대처하기 위한 지속적인 노력이 필요하다. 내부 위협은 회사시스템과 프로세스에 익숙하여 관련 접근권한을 보유한 퇴직자나 불만을 가진 임직원에 의해 발생할 수 있다. 회사는 사업의 특징, 산업환경 및 내부회계관리제도와의 연관성을 고려하여 관련된 통제활동을 구축하고 적용한다.
  • A64 정보기술에 대한 사용자의 접근은 일반적으로 승인된 사용자 계정에 기반한 인증 통제활동을 통하여 제어된다. 정보기술 일반통제는 오직 인증된 사용자만 시스템 접근이 가능하도록 설계된다. 이러한 통제활동은 일반적으로 직무책임에 상응하도록 인증된 사용자에게만 시스템 접근권한을 허용하고, 적절한 업무분장을 유지하기 위한 정책이 적용될 수 있도록 지원한다. 회사는 승인된 인원에 대해서만 접근요청을 검토하고, 직무나 역할의 변경이나 퇴사에 따른 접근권한을 변경하는 통제활동을 구축하고 적용한다. 또한, 회사의 정책에 따라 접근권한이 적절하게 유지되고 있는지를 확인하기 위한 정기적인 검토절차도 고려하여야 한다.
정보기술의 취득, 개발, 유지보수 프로세스에 대한 통제활동 수립 (문단 48.4)
  • A65 정보기술 일반통제는 정보기술의 취득, 개발, 유지보수 활동을 지원한다. 정보기술 개발방법론은 정보기술의 취득, 개발, 유지보수 활동과 관련하여 시스템 설계 및 구축, 특정 개발단계에 대한 개요, 문서화 요건, 승인 체계, 점검항목에 대한 통제활동의 구조를 제공한다. 동 방법론은 변경 요청 사항의 정합성 검토와 승인, 변경된 사항에 대한 검토와 승인, 테스트 결과, 변경이 적절히 이루어졌는지 판단하기 위한 이관 절차 등을 포함하는 정보기술 변경의 적절한 통제활동을 제공한다. 어떤 회사에서는 개발방법론이 대규모의 개발 프로젝트부터 아주 작은 변경까지 포괄하는 경우도 있고, 다른 회사에서는 새로운 정보기술을 도입하는 프로세스와 변화관리 프로세스를 별도로 설계하기도 한다. 어떤 경우라도 변화관리 프로세스는 변화의 시작부터 최종 적용까지의 일련의 과정을 추적할 수 있도록 설계될 것이다. 변화는 정보기술 변화에 따른 수정이 필요한 경우에도 발생할 수도 있고 시스템 사용자들의 요청에 의해서 발생하기도 한다.
  • A66 개발방법론에 포함되는 정보기술 일반통제의 정도는 정보기술의 위험에 따라 다를 것이다. 대규모의 복잡한 개발이 진행된 경우 일반적으로 소규모 또는 단순한 개발보다 높은 위험을 가질 것이다. 자체개발의 대안으로 범용소프트웨어를 사용할 수 있다. 범용소프트웨어는 허용된 커스터마이징의 정도 및 해당 소프트웨어의 신뢰성 및 범용성에 따라 위험이 달라지며, 범용소프트웨어의 선정과 도입에 대한 통제활동을 구축하고 적용한다. 또 다른 대안은 아웃소싱이다. 원칙적으로 내부에서 통제가 적용되든 혹은 아웃소싱 업체에 의하여 통제가 적용되든 상관없이 동일한 고려사항이 적용되어야 하나, 아웃소싱을 하는 경우 고려해야 할 특수한 위험이 존재하여 종종 아웃소싱 업체와 주고받는 정보의 완전성, 정확성, 유효성에 대한 추가적인 통제를 선택하여 구축할 필요가 있다.
원칙 12. 정책과 절차를 통한 실행 (문단 49)
경영진의 지침 전달을 지원하기 위한 정책 및 절차 수립 (문단 49.1)
  • A67 정책은 효과적인 내부통제를 적용하기 위해 수행되어야 할 경영진의 지시사항을 반영한다. 이러한 내용은 공식적으로 문서화되어 공유되거나, 경영진의 활동 및 의사결정 과정에 내재되어 있기도 한다. 절차는 이러한 정책을 실행하기 위한 구체적인 활동들로 구성된다. 통제활동은 특히 목적달성을 저해하는 위험을 적절한 수준으로 감소시키기 위한 정책 및 절차와 밀접한 관계를 가진다.
  • A68 정책 및 절차는 종종 구두상으로 의사소통된다. 문서화되지 않은 정책도 그 정책이 오래 지속되어온 관행이고, 소수의 경영진에 의한 밀접한 관리 감독이 가능한 소규모의 조직에서는 효과적일 수도 있다. 문서화되지 않은 정책은 일부 회사에서는 비용 측면의 효과적인 대안이 될 수는 있지만, 우회되기 쉽고, 담당자의 변경이 잦은 경우에는 오히려 관련 비용이 증가하고 책임성도 낮아질 수 있다. 외부기관과 관련된 정책 및 절차는 공식적으로 문서화되는 것이 바람직하다. 공식적인 문서화 여부와 상관없이 정책은 반드시 조직 및 하부 조직의 관리자의 역할 및 책임을 명확하게 설정하여야 한다. 정책의 구체적인 절차는 통제활동을 수행하는 담당자의 책임을 명확히 하여야 한다. 또한, 정책은 사려 깊고 신중하게 적용하여야 하고, 관련된 절차는 적격한 임직원들에 의해 적시에 성실하고 지속적으로 수행되어야 한다.
통제활동의 적시 수행 (문단 49.3)
  • A69 회사의 절차에는 통제활동 및 필요한 개선조치가 수행되어야 하는 시기가 포함되어야 한다. 적시에 수행되지 못하는 절차는 통제활동의 유용성을 감소시킬 수 있다.
개선조치 이행 (문단 49.4)
  • A70 통제활동을 수행함에 있어서, 추가 검토가 필요한 것으로 확인된 사안은 조사하고, 필요한 경우 적절한 방식의 개선조치를 취하여야 한다.
적격성 있는 담당자의 수행 (문단 49.5)
  • A71 일반적으로 잘 설계된 통제활동이라 하더라도 해당 통제활동을 수행할 수 있는 충분한 권한을 가진 적격성 있는 담당자 없이는 제대로 수행될 수 없다. 통제활동을 수행하기 위하여 요구되는 적격성의 수준은 통제활동 자체의 복잡성, 관련된 거래의 복잡성과 규모 등의 사항에 따라 다를 것이다. 또한 관련된 위험을 지속적으로 반영하지 못하고, 단순히 기존의 절차를 반복하는 것은 유용하지 않다. 적절한 방식의 개선조치를 취하는 것을 포함하여 통제의 모든 측면을 완전하게 수행하기 위한 충분한 권한이 필요할 것이다.
정책, 절차 및 통제활동의 주기적인 재평가 (문단 49.6)
  • A72 경영진은 회사의 위험 또는 목적의 중요한 변화에 대응하는 것과 별개로 정책, 절차 및 이와 관련된 통제활동이 지속적으로 유효한 것인지 주기적으로 검토하여야 한다. 중요한 변화사항은 위험평가 절차를 통하여 평가될 것이다. 인력, 프로세스, 기술의 변화는 통제활동의 효과성을 감소시키거나 불필요하게 만들 수 있다. 이러한 변화가 발생할 때마다 경영진은 기존 통제활동의 적정성을 재평가하고 필요한 경우 개선하여야 한다.
원칙 13. 관련 있는 정보의 사용 (문단 50)
정보 요구사항의 식별 (문단 50.1)
  • A73 효과적인 내부회계관리제도를 설계 및 운영하기 위해서는 관련 있는 정보가 필요하다. 세부적인 목표는 경영진과 이사회의 지시사항과 활동 등을 통해 수립하며, 회사의 임직원이 수립된 목적과 목적을 달성함에 있어 각자의 역할을 이해할 수 있도록 요약되어 제시되어야 한다.
  • A74 관련된 적절한 정보를 얻기 위해서 경영진은 다양한 수준에서 요구되는 정보를 식별하고 정의하여 필요한 정보를 명확하게 구체화하여야 한다. 요구되는 정보를 식별하는 것은 효과적인 내부회계관리제도를 운영하는 과정에서 반복적이고 지속적으로 수행하는 프로세스이다. 경영진은 내부통제의 다른 구성요소가 효과적으로 작동할 수 있도록 관련 있는 정보를 식별하기 위한 통제활동을 개발하고 구축한다.
  • A75 회사의 통제활동에 요구되는 정보를 정의하는 것은 임직원이 관련 있는 적절하고 신뢰성 있는 정보의 원천과 기반이 되는 데이터를 식별할 수 있는 효율적인 방안을 제시한다. 데이터 관련 기술의 진보로 회사가 이용 가능한 정보와 기반이 되는 데이터는 필요 이상으로 많을 수 있으며, 때로는 특정 수준의 정보나 요구사항에 부합하는 정보 획득이 어려울 수도 있다. 따라서 회사의 임직원이 요구되는 정보를 명확히 이해하면 적절하고 신뢰할 수 있는 정보 및 정보의 원천을 식별할 수 있을 것이다. 정보시스템을 설계하고 관리하는데 필요한 비용과 효익을 분석하는 것은 회사의 요구사항을 충족하는 정보시스템을 구축하기 위해 고려해야 할 주요 요소이다.
회사 내부 및 외부의 데이터 원천 포착 (문단 50.2)
  • A76 경영진은 내·외부의 다양한 원천을 통해 다양한 형식으로 내부회계관리제도와 관련한 정보를 얻을 수 있으며, 데이터와 데이터 원천에는 다음과 같은 것들이 있다.
    내부 데이터
    내부 데이터 예시내부 데이터의 원천 예시
    ㆍ 회사 조직의 변화 정보 ㆍ 발송된 이메일
    ㆍ 생산 제품의 소요시간 및 품질 정보 ㆍ 제조 공정의 생산 기록
    ㆍ 프로젝트별 발생 시간 ㆍ 개인별 작업시간 관리 시스템
    ㆍ 제품별 월별 배송 수량 ㆍ 생산(혹은 재고) 시스템의 출하 기록
    ㆍ 경영진의 업무 처리 방식에 대한 불만 ㆍ 내부고발제도의 기록
    외부 데이터
    외부 데이터 예시외부 데이터의 원천 예시
    ㆍ 외주업체의 직접 배송한 제품 수량 ㆍ 외주업체가 제공한 제품별 세부 배송 데이터
    ㆍ 경쟁자 제품 정보 등 ㆍ 업종별 조사 보고서
    ㆍ 신규 법규 및 규제사항 ㆍ 관련 규제 당국
    ㆍ 뇌물 수수 ㆍ 내부고발제도의 기록
  • A77 경영진은 이용 가용한 내부 데이터, 신뢰할 수 있는 외부 데이터의 원천 등을 종합적으로 고려하여 회사의 목적, 조직구조 및 사업 모델에 가장 관련성 높고 유용한 것을 선택하고, 필요에 따라 적절하게 조정한다. 회사에서 발생하는 변화에 따라 정보 요구사항도 변화하게 되므로 경영진은 정보 요구사항의 적정성을 재평가하고 필요에 따라 적절하게 조정한다.
관련 있는 데이터를 의미 있는 정보로 변환 (문단 50.3)
  • A78 회사는 정의된 정보 요구사항을 충족하기 위해 회사 내·외부에서 취득한 데이터를 취합하여 의미 있고 이용 가능한 정보로 전환할 수 있는 정보시스템을 개발한다. 정보시스템은 회사의 내부 프로세스 및 외부서비스제공자가 수행하는 프로세스를 지원하는 정보기술뿐만 아니라 임직원, 세부 프로세스, 데이터 등을 포함한다.
  • A79 다양한 형태로 획득되는 정보는 상당한 변환작업이 필요할 수도 있다. 경영진은 정보시스템에 입력되는 데이터의 정합성 및 데이터를 변환하여 다른 통제활동에 사용되는 정보로 처리하는 과정의 완전성과 정확성을 확보하기 위한 통제활동을 개발하고 구축한다.
  • A80 정보 요구사항의 성격과 정도, 정보의 복잡성과 양, 외부에 대한 의존 정도는 회사 정보시스템에 적용되는 기술 수준 및 정교하고 복잡한 정도에 영향을 받는다. 회사 시스템의 수준에 관계없이, 정보시스템은 조직이 수동 또는 자동화된 프로세스를 통해 일관되고 좋은 품질의 데이터를 수집, 저장 및 집계할 수 있도록 거래와 데이터의 정보처리과정을 지원한다. 이렇게 통합된 정보시스템은 사용자에게 정보의 효율성, 신속성 및 접근가능성을 강화할 수 있는 기회를 제공한다. 또한 필요한 인원에게만 접근권한을 부여하고, 접근할 수 있는 방식을 제한하도록 개발되고 구축된 시스템은 정보 보안과 관련된 위험을 줄이는데 효과적이다.
정보 처리 과정에서 품질의 유지·관리 (문단 50.4)
  • A81 오늘날 정보시스템의 방대한 데이터와 정교하고 자동화된 시스템에 대한 의존도를 고려하면 정보의 품질을 유지·관리하는 것은 효과적인 내부통제제도에서 필수적인 요소이다. 좋은 품질의 정보는 데이터 원천으로부터 출발한다. 부정확하고 불완전한 데이터 원천에서 생성된 정보는 잘못된 판단, 추정 및 경영의사결정의 원인이 된다. 정보의 품질을 결정하는 요소는 다음과 같다.
    • 접근가능성 - 정보를 필요로 하는 임직원이 쉽게 정보를 얻을 수 있다. 즉, 가용한 정보가 어디에 있는지 알 수 있다.
    • 정확성 - 기초 데이터는 정확하고 완전하다.
    • 현재성 - 데이터는 필요한 주기에 따라 최신의 원천으로부터 수집된다.
    • 보안성 - 민감한 정보에 대한 접근은 권한이 부여된 직원으로 한정된다.
    • 보존성 - 외부기관의 질의나 조사에 대응하기 위해 일정 기간 동안 정보를 사용할 수 있다.
    • 충분성 - 정보 요구사항에 맞는 충분한 정보가 있으며 적절한 수준으로 상세히 기재되어 있다. 과도한 데이터는 비효율 및 오용을 피하기 위해 정리된다.
    • 적시성 - 정보가 필요한 시점에 정보시스템에서 해당 정보를 이용할 수 있다.
    • 유효성 - 정보는 검증된 원천에서 취득하고 정해진 절차에 따라 수집하며, 실제 발생한 사건에 근거한다
    • 입증가능성 - 정보는 원천으로부터 얻은 증거에 의해 뒷받침된다.
  • A82 회사는 정보의 품질관리를 위한 명확한 책임관계를 포함한 정보관리 정책을 수립한다. 이러한 정책에는 데이터를 유형화하여 구분하고 데이터의 처리, 저장, 접근 등의 관리를 위한 방안을 포함한다. 또한 허가 받지 않은 접근과 변경을 방지하고, 요구되는 기간 동안 보관하기 위한 임직원의 책임과 권한을 포함한다.
  • A83 경영진은 내부적으로 필요한 보관기간 그리고 외부의 제3자나 법규나 규정에서 요구하는 정보의 보관기간을 고려한다. 그러나 최근의 방대한 정보와 정보를 보관하고 복구하는 기술을 고려할 때, 실시간 정보처리에만 의존하는 경우 이러한 요구사항을 충족하는 것은 매우 어려울 수 있다. 내부회계관리제도와 관련한 정보의 보관 통제는 다른 통제 구성요소를 지원하기 위한 필요사항과 급격한 기술 발전을 고려하는 것이 바람직하다.
비용과 효익 고려 (문단 50.5)
  • A84 회사가 필요한 정보의 성격, 양, 상세한 정도는 내부회계관리제도의 목적 달성을 지원하고 부합되는 수준으로 관리되어야 한다. 목적 달성에 필요한 적절한 수준을 결정하는 것은 관련된 비용과 효익의 고려를 포함한 합리적인 판단에 근거한다.
원칙 14. 내부 의사소통 (문단 51)
내부회계관리제도 정보에 대한 의사소통 (문단 51.1)
  • A85 회사에서 전달·공유되는 의사소통 정보에는 다음과 같은 것들이 있다.
    • 임직원들의 내부회계관리제도 책임의 수행을 지원하는 정책과 절차
    • 효과적인 내부회계관리제도의 중요성, 목적적합성 및 효익
    • 통제활동을 수행하는 경영진 및 직원들의 역할과 책임
    • 통제의 미비점 사례를 포함한 내부회계관리제도 관련 중요한 문제가 회사 내·외부에 원활하게 의사소통될 것이라는 사실
  • A86 회사는 내부 의사소통을 활성화하기 위한 정책과 절차를 수립하고 실행한다. 여기에는 회사 내의 개인별 권한, 책임 및 윤리강령을 제시하는 구체적이고 직접적인 의사소통을 포함한다. 고위 경영진은 내부회계관리제도의 목적을 명확히 전달하여 다른 경영진과 직원 및 제3자들로 하여금, 자신의 역할이 회사의 목적 달성에 어떤 영향을 미치는지 이해할 수 있도록 한다. 내부 의사소통은 구체화된 목적의 의사소통에서 출발한다. 내부회계관리제도의 목적을 달성하는데 각자의 역할과 책임에 어떻게 영향을 미치는지 이해할 수 있는 방식으로 임직원에게 전달하는 것이 중요하다.
  • A87 모든 직원은 고위 경영진으로부터 내부회계관리제도에 대한 책임을 진지하게 받아들여야 한다는 명확한 메시지를 받는다. 통제환경에서 기술한 바와 같이 적절한 조직구조, 권한 및 책임을 수립함으로써 임직원에게 내부회계관리제도 기대치에 대한 의사소통을 수행한다. 그러나 내부회계관리제도의 책임에 관한 의사소통은 경영진과 기타 직원이 책임을 수용하고 의도한 바와 같이 대응할 수 있도록 하기에 충분하지 않을 수 있다. 종종 경영진은 전달된 메시지를 강화하기 위해 그러한 의사소통과 일치하는 시의적절한 조치를 취하여야 한다. 경영진은 내부 의사소통을 통해 정보가 공유될 수 있게 할 뿐만 아니라 경영진 스스로와 직원들이 내부회계관리제도에 관한 책임을 이행할 수 있도록 통제활동을 선택, 구축 및 적용하여야 한다.
경영진과 이사회 간의 의사소통 (문단 51.2)
  • A88 이사회는 경영진과의 의사소통으로 회사의 내부회계관리제도 감독의무를 수행하는 데 필요한 정보를 제공 받는다. 이사회에 제공되는 내부회계관리제도 관련 정보는 일반적으로 내부회계관리제도에서 발생하는 변화나 쟁점 사항 및 내부회계관리제도와 관련된 정책과 지침의 준수와 관련된 주요 문제들에 관한 것이다. 이사회가 경영진의 활동에 대해 이해할 수 있도록 충분한 의사소통이 이루어져야 하며, 비효과적인 통제활동에 대해 이사회가 시의적절한 대응을 할 수 있도록 경영진과 이사회간의 빈번하고 깊이 있는 의사소통이 이루어져야 한다. 경영진과 이사회 간 의사소통뿐 아니라, 타 임직원과 이사회 간 직접적인 의사소통 또한 중요하다.
별도의 의사소통 라인 제공 (문단 51.3)
  • A89 공식적인 의사소통 채널을 이용할 수 없거나, 채널이 효과적이지 못한 상황에서는 익명 또는 비밀이 보장되는 독립된 의사소통 채널이 필요할 수 있다. 많은 회사에서는 직원들에게 이러한 채널을 제공하고 그 존재를 인지시킬 뿐만 아니라, 이사회 및 감사(위원회)에 보고한다. 이와 같은 의사소통 채널은 익명 또는 비밀을 보장할 수 있는 체계를 갖추어야 하며, 직원들이 의사소통 채널의 운영 및 비밀이 보장되는 방식 등을 완전히 이해하여야 한다. 이 독립된 의사소통 체계는 직원들이 보복에 대한 두려움 없이 윤리강령의 위반사항을 보고할 수 있게 장려하여야 하며, 경영진이 의사소통에 개방적이고 보고 받은 정보에 대해 필요 조치를 취할 것이라는 명확한 메시지를 전달하여야 한다.
적절한 의사소통 방법 선택 (문단 51.4)
  • A90 의사소통 내용의 의도한 바를 정확히 전달하기 위해서는 전달하는 정보의 명확성과 전달방식의 효과성이 중요하다. 의사소통의 효과성을 주기적으로 평가함으로써 적절한 의사소통 방법에 효과성을 제고할 수 있다. 경영진은 의사소통의 상대방, 성격, 적시성, 비용, 기타 법적 요건을 고려하여 의사소통 방법을 결정하며, 의사소통 방법에는 다음과 같은 것들이 있다.
    • 메모, 문자메시지 및 이메일
    • 오프라인 또는 온라인 교육, 성과평가, 정책과 프로세스
    • 1:1 토론, 발표, 웹캐스트 및 영상, 웹사이트 또는 협업용 사이트 게시, 소셜미디어 게시 등
  • A91 의사소통 수단을 선택할 때 경영진은 다음을 고려한다.
    • 구두로 전달하는 의사소통 - 구두로 의사소통을 하는 경우, 전달자의 어조 및 비언어적인 단서를 통해 메시지의 중요성을 강조할 수 있으며 이를 통해 수신자의 이해도를 높일 수 있다.
    • 다양성이 존재하는 그룹과의 의사소통 - 문화적 또는 윤리적 차이, 연령대 등의 다양성은 메시지의 전달 방식이나 수용성에 영향을 미칠 수 있다.
    • 내부회계관리제도 효과성에 관련된 의사소통 - 직접적으로 내부회계관리제도의 효과성에 관련된 의사소통을 하는 경우, 해당 내용을 문서화한다.
    • 긴급한 의사소통 - 전달하는 정보의 기밀성이나 보관성이 별도로 요구되지 않는 경우에는 비공식적인 채널(예: 이메일, 문자메시지 및 SNS)을 통한 즉각적인 의사소통이 효과적일 수 있다.
    • 공식적 의사소통 - 공식적인 방식(예: 공문)을 통해 의사소통을 하는 경우, 임직원들이 의도한 상대방과 의사소통이 이루어지지 않을 수 있고, 비공식적 의사소통 방식에 익숙한 상대인 경우에는 메시지에 대한 피드백을 구하기 어려울 수 있다.
원칙 15. 외부 의사소통 (문단 52)
외부 관계자와의 의사소통 (문단 52.1)
  • A92 회사 내부의 정보를 외부 관계자와 의사소통함으로써, 외부 관계자와 회사간 상호작용에 영향을 미칠 수 있는 사건, 활동, 환경에 대한 상대방의 이해도를 제고할 수 있다. 경영진은 개방된 의사소통 채널을 통하여 회사의 내부회계관리제도의 중요성을 외부 관계자에게 전달한다. 외부 공급자 및 고객은 회사의 가치와 문화를 충분히 이해할 필요가 있으며, 외부와의 충분한 의사소통을 통하여 회사는 적절한 수준의 통제환경을 유지할 수 있다. 외부 공급자 및 고객에게 회사의 윤리강령을 전달하고 상대방의 책임을 명확히 인식하게 함으로써, 그들이 회사의 윤리강령을 준수하고 있는지 판단하는데 도움을 줄 수 있다.
외부로부터의 의사소통 (문단 52.2)
  • A93 외부 관계자와의 의사소통 내용 또한 회사의 내부회계관리제도가 기능함에 있어 중요한 정보를 제공할 수 있으며, 이러한 정보에는 다음과 같은 것들이 있다.
    • 회사의 재무보고와 관련된 외부서비스제공자의 내부통제에 대한 독립적인 평가
    • 회사의 내부회계관리제도에 대한 독립적인 외부감사인의 평가
    • 제품의 품질, 부적절한 대금 청구, 분실되거나 오류가 있는 영수증 등과 관련한 고객의 피드백
    • 신규 또는 변경된 법률, 규정, 표준 및 기타 요구사항
    • 규제기관(금융감독원, 국세청 등 관계기관)의 규정 준수 관련 검토 및 조사 결과
    • 판매된 제품에 대한 대금 회수 지연 또는 납품 대금 미납과 관련된 구매처의 문의사항
    • 회사가 운영하는 소셜미디어 웹사이트 또는 의사소통 채널에 기재된 내용
이사회와의 의사소통 (문단 52.3)
  • A94 내부회계관리제도와 관련된 회사의 활동에 대한 외부 평가로부터 얻어진 정보에 대하여 경영진이 검토하고 이사회와 의사소통한다. 이러한 평가를 통하여 재무보고에 영향을 미칠 수 있는 내부회계관리제도 미비점을 인지할 수 있으며, 경영진은 미비점의 심각성을 평가하고 이사회가 감독 책임을 수행할 수 있도록 필요한 정보를 보고한다.
별도의 의사소통 라인 제공 (문단 52.4)
  • A95 외부서비스제공자와 아웃소싱 계약, 합작사업, 제휴 및 조직간 상호의존적인 거래관계로 인하여 회사와 외부 관계자들간 사업관계의 복잡성이 증가할 수 있다. 이러한 복잡성은 각 당사자 또는 당사자들 간에 사업이 수행되는 방식에 대한 갈등을 초래할 수 있다. 이러한 경우 회사는 각 고객, 구매처 및 외부서비스제공자 등이 이용할 수 있는 별도의 분리된 의사소통 채널을 구축하여 경영진 및 임직원과 직접적인 의사소통을 할 수 있게 한다.
적절한 의사소통 방법 선택 (문단 52.5)
  • A96 경영진이 대외적으로 의사소통을 수행하는 방법은 필요한 정보를 얻는 능력뿐만 아니라, 외부로부터 회사의 핵심 메시지를 받아들이고 이해하는데 영향을 미친다. 경영진은 의사소통의 대상, 성격, 적시성, 법적 또는 규제적 요구사항 등을 고려하여 다양한 형태의 의사소통 방법을 선택한다.
원칙 16. 상시적인 모니터링과 독립적인 평가 수행 (문단 53)
상시적인 모니터링과 독립적인 평가의 결합 고려 (문단 53.1)
  • A97 모니터링 활동은 상시적인 모니터링, 독립적인 평가 또는 이 두 가지 평가가 결합된 형태로 수행된다. 상시적인 모니터링은 업무처리 과정의 일부 절차로 일상적으로 수행되며, 변화하는 상황에 적합하게 변경하는 방식이다. 독립적인 평가는 내부의 객관성을 가진 인력 또는 외부인 등에 의해 주기적으로 수행되는 평가를 의미하며, 독립적인 평가의 범위와 빈도는 경영진의 판단에 따른다. 상시적인 모니터링, 독립적인 평가 또는 두 가지가 결합된 방식의 평가의 결정은 회사의 상황에 따라 달라지며, 상시적인 모니터링 및 독립적인 평가를 수행할 때에는 회사 운영의 범위와 성격, 내·외부 요소의 변동 및 관련된 위험을 고려할 필요가 있다. 독립적인 평가는 상시적인 모니터링과 동일한 기법을 적용할 수 있으나, 회사에서 일상적으로 수행되는 상시적인 모니터링과는 별개로 주기적으로 통제를 평가하기 위해 설계되어야 한다.
  • A98 일반적으로 경영진은 내부통제의 5가지 구성요소가 존재하고 적절히 기능하고 있는지 확신을 얻기 위해 상시적인 모니터링과 독립적인 평가 모두를 포함한 모니터링 활동의 조합을 선정, 절차를 수립하고 실행한다. 또한, 각 내부회계관리제도 구성요소의 각 원칙들이 효과적으로 작동할 수 있는 통제활동이 효과적으로 설계 및 운영되었는지 평가하여야 한다. 또한, 평가·보고 모범규준에서 제시하는 내부회계관리제도 평가와 관련된 요구사항을 확인하여야 한다.
변화의 정도 고려 (문단 53.2)
  • A99 경영진은 회사 또는 회사가 속한 산업군에 직면한 변화와 관련하여 변화의 정도를 고려하여야 한다. 급격한 변화요인에 노출되어 있는 산업군에 속한 회사의 경우에는 보다 빈번한 독립적인 평가 또는 상시적인 모니터링과 독립적인 평가를 결합한 형태의 모니터링 활동 방식을 고려할 필요가 있다.
출발점(Baseline)의 설정 (문단 53.3)
  • A100 내부회계관리제도의 설계를 이해함으로써, 상시적인 모니터링과 독립적인 평가에 필요한 유용한 기초정보를 획득할 수 있다. 모니터링 활동 수행 시, 경영진이 내부회계관리제도를 설계한 방식과 5가지 구성요소의 통제활동들이 원칙을 어떻게 효과적으로 달성하고 있는지를 이해함으로써 회사 내 어떠한 영역에 더 중요한 위험이 있는지 판단할 수 있는 기준을 마련할 수 있으며, 상시적인 모니터링과 독립적인 평가의 계획 수립에 도움을 줄 수 있다. 내부회계관리제도의 5가지 구성요소 내에서 변동이 발생할 경우, 현재의 모니터링 활동이 적절한지, 아니면 변동사항에 맞게 개선되어야 할지 평가하기 위해서는 내부회계관리제도의 설계 및 운영 현황에 대한 출발점을 설정할 필요가 있다.
상시적인 모니터링 (문단 53.5)
  • A101 상시적인 모니터링은 수작업 또는 자동화된 방식으로 수행될 수 있으며, 일상적인 업무 수행 과정에서 내부회계관리제도의 구성요소가 존재하고 기능하고 있는지 모니터링하는 것을 의미한다. 회사는 상시적인 모니터링을 지원하기 위해 정보기술 측면을 검토할 수 있다. 전산화된 상시적인 모니터링은 높은 객관성을 가지며, 대량의 데이터를 적은 비용으로 효율성 있게 검토할 수 있도록 하기 때문이다.
독립적인 평가 (문단 53.6)
  • A102 독립적인 평가는 객관성을 가진 자의 평가를 통해 내부회계관리제도의 5가지 구성요소가 회사 내에 존재하고 기능하는지 여부에 대해 새로운 시각으로 접근할 수 있다는 점에서 유용하다. 평가는 일반적으로 질문, 관찰, 문서 검사 및 재수행 등을 통해 이뤄지며, 이를 통해 회사 내에 설계된 내부회계관리제도 구성요소별 원칙을 달성할 수 있도록 통제활동이 설계, 구축, 이행되었는지 여부를 점검한다. 독립적인 평가의 범위와 빈도는 위험의 중요성, 위험에 대한 대응방식, 상시적인 모니터링의 결과, 내부회계관리제도 구성요소에 미치는 영향 등에 따라 다양하게 조정할 수 있다. 예를 들어 위험평가 결과에서 확인된 위험이 높을수록 빈번하고 정교한 방식으로 평가하며, 독립적인 평가의 비중이 높아야 한다. 이는 상시적인 모니터링과 독립적인 평가가 결합되어 이루어지는 방식이 될 수도 있고, 상시적인 모니터링 결과에 독립적인 평가를 통해 피드백을 제공하는 방식 또는 더 빈번하게 독립적인 평가를 수행하는 방식이 될 수도 있다.
충분한 지식을 갖춘 인력 활용 (문단 53.4)
  • A103 독립적인 평가는 일반적으로 내부감사 등 현업부서와 분리된 조직에 의해서 수행되지만, 해당 통제를 수행하는 부서에서 직접 평가를 수행하는 등 평가자의 독립성이나 객관성이 상대적으로 낮은 경우에는 평가의 범위, 빈도, 객관성을 향상시킬 필요가 있다.
  • A104 평가 대상 조직이나 통제로부터 독립적인 관리자, 직원 또는 외부의 검토자에 의해 독립적인 평가가 주기적으로 수행되는 경우, 더 높은 객관성을 포함한 피드백을 제공할 수 있지만, 평가자들이 내부회계관리제도의 구성요소가 존재하고 기능하는지 평가하고 분석하기 위해서는 평가 대상에 대한 충분한 지식을 보유할 필요가 있다. 이는 모니터링 활동 기능이 어떻게 작동하고 있으며, 무엇이 평가되는지 이해하는 것을 포함한다.
독립적인 평가의 접근법 및 객관성 (문단 53.6)
  • A105 위험의 중요성, 내부회계관리제도 구성요소 및 원칙 등을 고려하여 독립적인 평가의 범위, 성격, 빈도 및 접근방식을 다양하게 결정할 수 있다. 그 형태는 내부감사 및 내부회계관리 부서에 의한 평가 혹은 기타 객관성을 가진 자에 의한 평가, 운영조직 간의 교차평가, 자기평가 등 다양한 형식이 가능하다. 단 자기평가는 수행자의 객관성이 결여될 가능성이 높기 때문에 신중하게 해당 평가 결과를 이용하여야 한다.
외부서비스제공자 (문단 53.7)
  • A106 일반적으로 회사는 회사의 목적 달성을 위해 다양한 외부서비스제공자를 이용하고 있으며, 해당 외부서비스제공자의 내부통제가 회사의 내부회계관리제도에 미치는 위험 및 영향을 다양한 방식으로 파악할 필요가 있다. 회사는 외부서비스제공자와 계약 시, 감사 수행 권리와 관련한 문구를 포함하여 제공되는 서비스의 내부통제에 대한 독립적인 평가를 수행할 수 있는 근거를 마련하여야 한다. 외부서비스제공자의 내부통제를 이해하기 위한 방법으로는 직접적으로 외부서비스제공자의 내부통제에 대해 독립적인 평가를 수행하거나, 외부 인증보고서를 이용하는 등 다양한 형태가 될 수 있다.
원칙 17 미비점 평가와 의사소통 (문단 54)
결과 평가 (문단 54.1)
  • A107 회사는 상시적인 모니터링 및 독립적인 평가 등 모니터링 활동을 수행함으로써 주의가 필요한 사항들을 식별한다. 이러한 사항들 중 신뢰성 있는 재무보고 목적 달성에 부정적 영향을 미치는 내부회계관리제도의 잠재적인 문제점 또는 실제 발생한 결함을 통제 미비점이라고 한다. 경영진은 통제 미비점을 통해 내부회계관리제도의 효과성을 개선시킬 수 있는 기회를 발굴하거나 현재의 내부회계관리제도를 개선하여 회사의 신뢰성 있는 재무보고 목적을 달성할 수 있다. 회사의 통제 미비점은 다양한 원천을 통해 확인될 수 있으므로, 경영진은 확인된 미비점을 종합하여 내부회계관리제도의 결과를 평가하여야 한다.
미비점 의사소통 (문단 54.2)
  • A108 회사 내 담당자와 통제 미비점에 대해 의사소통하여 개선사항을 도출하는 것은 내부회계관리제도 목적을 달성하기 위해 중요한 사항이다. 의사소통할 내용은 회사가 설정한 기준, 문제가 발생했을 때 대처할 수 있는 개인의 권한, 그리고 상급자의 감독 활동 등 다양할 수 있으며 관련된 내부 규정에 따라 통제 미비점들이 경영진과 이사회에 보고된다. 만약 통제 미비점이 전사적으로 영향을 미친다면, 이는 모든 관련된 부서뿐만 아니라 관련된 부서에 적절한 조치를 취할 수 있는 충분한 위치의 경영진에게 보고되어야 한다. 일반적으로 통제 미비점은 개선조치를 취할 책임이 있는 담당자와 그 담당자의 최소한 한 단계 위의 경영진에게 보고된다. 통제 미비점의 의사소통 여부는 해당 미비점의 잠재적인 영향력과 회사 내 보고 절차를 고려하여 판단하여야 한다. 의사소통되는 내용이나 수준은 규정에 따른 미비점의 평가 절차, 미비점 처리에 대한 직원의 권한 및 상급자의 감독 활동 수준에 따라 다를 수 있다. 또한, 외감법 및 평가·보고 모범규준을 고려하여야 한다.
개선활동에 대한 모니터링 활동 (문단 54.3)
  • A109 통제 미비점을 평가하고 해당 미비점에 대한 개선 책임이 있는 임직원과의 의사소통이 이루어진 후, 경영진은 통제 미비점의 개선을 위한 노력이 시의적절하게 수행되는지 점검하여야 한다. 개선조치의 수행을 점검하는 자와 실제로 개선조치를 수행하는 자는 분리하여야 한다. 통상적으로, 적시에 개선조치가 이루어지지 않은 통제 미비점은 해당 담당자의 상급자에게 보고가 이루어져야 하며, 경영진은 통제 미비점에 대한 개선조치가 완료될 때까지 모니터링 활동을 다시 수행할 것을 고려하여야 한다.
이 보론 내용은 본 설계·운영 개념체계의 일부이다.
경영진일반적으로 고위 경영진의 지침과 통제가 회사 및 하위 조직 내에서 실행될 수 있도록 실무지침을 제시하고 지원하는 조직으로 고위 경영진과 구분될 수 있으며, 경우에 따라 고위 경영진을 포괄하는 의미로도 사용된다.
고위 경영진임직원이 내부회계관리제도와 관련된 책임을 이해하고 이행할 수 있도록 방향성을 제시하고, 내부회계관리제도에 궁극적인 책임을 지는 회사의 대표자(또는 대표이사) 등을 의미한다.
고유위험모든 관련 통제를 고려하기 전에 거래유형, 계정잔액 혹은 공시에 대한 경영진의 주장이, 개별적으로 또는 다른 왜곡표시와 합칠 때 중요하게 왜곡표시 될 가능성
독립적인 평가내부의 인력 또는 외부인 등이 통제 운영의 적정성을 평가하기 위해 주기적으로 수행하는 내부회계관리제도의 일반적인 평가 방법이다. 평가 수행자에 따라 객관성의 정도가 달라질 수 있으므로, 객관성의 수준에 따라 평가의 범위, 성격, 빈도 및 접근방식 등을 결정하여야 한다.
목적 달성에 영향을
미치는 위험
외부 재무보고 목적이 달성되지 못할 위험으로 내부회계관리제도가 적절히 설계 및 운영되지 못할 위험, 다시 말해 재무제표가 중요하게 왜곡 표시될 수 있는 위험을 의미한다.
사업단위회사의 하나 이상의 사업단위로 구성되며, 사업단위의 정의는 회사의 성격에 따라 다를 수 있다. 사업단위는 일반적으로 사업부문 또는 영업시설(예: 사업부, 생산설비, 판매조직) 등 일 수 있다. 특정 단위조직의 사업목적, 업무프로세스, 전산환경 등이 타 조직과 독립적인 경우 별도의 사업단위로 본다. 경영진이 내부회계관리제도를 적정하게 설계·운영 및 평가하기 위해서는 업종이나 규모 등을 종합적으로 고려하여 사업단위를 정의하여야 한다.
상시적인 모니터링 업무프로세스를 처리하는 과정의 일부로서 일상적으로 수행되는 평가를 의미한다. 즉 경영진이나 임직원이 통제활동을 수행하는 과정에서 하위 수준의 개별적인 통제 운영의 적정성을 확인할 수 있다면, 해당 절차는 상시적인 모니터링에 포함된다. 또한, 일부 회사에서 시스템을 이용하여 통제 운영의 적정성을 확인하는 절차를 수행하는 경우 동 절차도 포함될 수 있다.
소극적 확신 내부회계관리제도 설계·운영의 효과성에 대하여 평가자가 보통수준(또는 중간수준)의 확신을 제공하는 것으로써, 평가 결과 중요한 취약점이 발견되었는지 여부에 대해서만 언급하며, 내부회계관리제도가 효과적으로 설계·운영되고 있는지 여부에 대한 의견을 적극적으로 제시하지는 않는다.
업무프로세스회사가 관련 업무를 완수하고 목표를 달성할 수 있도록 거래가 처리되는 일련의 과정이다. 이러한 거래들은 단순한 활동수행(예를 들어, 전표처리)에서부터 사업의 핵심요소 관리(예를 들어, 도매업자의 재고관리 및 배분 시스템), 기능적 업무수행(예를 들어, 조직의 재무기록 유지), 상호기능적 요소(예를 들어, 인력관리부문) 등 보다 복잡한 분야에까지 연결되어 발생할 수 있다.
예방통제재무제표의 왜곡표시를 야기하는 오류나 부정의 발생을 사전에 예방하는 것이 목적이다.
외부서비스제공자 재무보고와 관련 있는 서비스를 제공하는 외부의 제3자 조직을 의미하고, 서비스 조직이라고도 부른다. 서비스 조직의 예시로는 급여 및 원천징수 수행 및 결과 제공, 펀드 운영 및 평가 결과 제공, 정보기술 일반통제를 포함한 서비스의 제공 등을 포함한다.
유의한 미비점중요한 취약점으로 분류될 수준은 아니지만, 회사의 재무보고를 감독할 책임이 있는 이사회, 감사(위원회) 등이 주목할만한 하나 또는 여러 개 통제상 미비점의 결합을 의미한다.
일반적으로 인정된
다른 기준
본 설계·운영 개념체계 이외에 재무제표의 신뢰성 확보를 목적으로 하는 외부 재무보고 목적의 내부통제체계나 이를 포함하는 일반적으로 인정되는 내부통제제도 체계를 의미한다. 예를 들어, 미국의 COSO보고서나 캐나다의 CoCo보고서가 이에 해당한다고 할 수 있다.
잔여위험재무제표가 중요하게 왜곡표시 되어 있을 위험의 발생가능성 또는 영향을 감소하기 위한 경영진의 위험 대응이 설계되고 실행된 이후에도 잔존하고 있는 재무제표의 중요한 왜곡표시 위험
재무보고요소 회계정보의 기초가 되는 거래의 식별·측정·분류·기록 및 보고 과정을 구성하는 항목을 포함하여 외부공시용 재무제표와 주석을 구성하는 항목을 의미한다.
적발통제오류나 부정이 이미 발생하여 이로 인해 재무제표의 왜곡표시를 가져올 것으로 예상되는 경우 당해 오류나 부정을 적발하는 것을 목적으로 한다.
중요한 취약점하나 또는 여러 개 미비점의 결합으로서 재무제표상 중요한 왜곡표시가 예방 또는 적시에 적발되지 못할 가능성이 낮지 않은(reasonable possibility) 경우를 말한다. 일반적으로 발생가능성은 (i) ‘낮은(remote)’, (ii) ‘합리적으로 발생가능한(reasonably possible)’, (iii) ‘높은(probable)’의 세 단계로 구분되는데, 여기에서 (ii) ‘합리적으로 발생가능한(reasonably possible)’ 또는 (iii) ‘높은(probable)’ 가능성의 경우가 ‘가능성이 낮지 않은(reasonable possibility) 경우’에 해당된다.
합리적 확신 내부회계관리제도의 본질적 한계 때문에, 재무제표의 신뢰성 확보 목적이 달성되도록 내부회계관리제도가 효과적으로 설계·운영되고 있다는 것을 절대적으로 보증하지는 않는다는 개념으로서, 평가자는 절대적 수준은 아니지만 높은 수준의 확신을 평가보고서에 적극적으로 표명함으로써 합리적 확신을 제공한다.
확신경영자 주장의 신뢰성에 대하여 평가자가 만족하는 정도를 말한다. 이러한 확신을 얻기 위해서 평가자는 수행된 평가 절차에서 수집된 증거를 평가하고 결론을 내려야 한다. 만족의 정도와 그에 따른 확신의 수준은 수행된 절차 및 그 결과에 따라 결정된다.
해당 자료를 지정한 '카테고리'에 보관합니다.
제목
메모