[전문가칼럼] 내부회계관리제도 핵심이론과 외부감사 대응전략 ①

 

 

2018년말 외부감사법 개정으로 도입된 내부회계관리제도 감사는 이제 기업경영에 있어 하나의 위험(Risk)요소로 인식되기에 이르렀다. 특히, 기업들은 내부회계관리제도에 대한 이해부족으로 이 제도의 설계와 운영을 외부 회계법인의 컨설팅에 의존하는 경우가 대부분이다. 그러나 이렇게 되면 경영자가 스스로 회사의 내부통제 관련 위험을 관리하지 못하는 상황이 될 수 있다. 즉, 단기적으로는 외부감사에 대한 위험관리 수단이 될 수 있으나 중장기적으로는 결국 위험을 다시 부담하는 결과가 될 수 있다. 내부회계관리제도의 목표는 모든 기업들이 외부컨설팅을 받는 것이 목표가 아니라 기업 스스로 회사에 도움이 되는 내부통제를 운영하는 것이다. 이에 향후 이 기고문을 통해 내부회계관리제도의 핵심개념을 최대한 쉽게 설명하는 동시에 외부감사 대응을 위해 어떠한 부분에 중점을 두어야 하는지 설명함으로써 기업이 내부회계관리제도를 주체적으로 관리운영하는데 조금이나마 도움이 되고자 한다.

 

「내부회계관리제도 평가 및 보고 적용기법 문단89」

□ 핵심통제(Key Control)의 결정

가. 통제활동의 설계와 운영의 효과성 평가는 핵심통제를 대상으로 한다.

나. 핵심통제는 여러 가지 통제활동 중 없어서는 안될 통제활동을 의미한다.

□ 해설

가. 핵심통제만이 평가대상이 되는 이유

① 문단89에서는 내부통제 설계와 운영 효과성 평가시 모든 통제활동을 대상으로 하기 보다는 핵심통제를 대상으로 하는 것이 위험기반접근법에 부합하는 평가방법이라고 언급하고 있다. 내부회계관리제도 설계 및 운영평가는 외부감사인의 감사접근방법과 동일하기 때문에 외부감사와 비교해 보면 이해가 더 쉽다. 외부감사 역시 위험기반접근법(risk-based approach)를 적용한다. 외부감사 과정은 크게 위험평가(risk assessment)와 위험대응(respond to risk)으로 구분된다.

위험대응은 테스트나 문서검증 등 구체적인 확인작업을 의미하는데 우리가 흔히 ‘감사’, ‘조사’라고 할 때 떠올리게 되는 활동을 의미한다. 그러나 외부감사는 이러한 구체적인 확인절차 이전에 위험평가를 먼저 수행해야 하는데 그 이유는 재무제표상 중요한 부정과 오류를 유발하는 위험요소가 무엇인지 식별한 다음 그 부분에 자원을 집중할 때 감사의 효율성과 효과성이 극대화 되기 때문이다. 위험기반접근법은 결국 감사의 고유한계(inherent risk) 개념과 직결된 것인데 외부감사라는 것이 모든 항목을 100% 완벽하게 감사하는 것이 아닌 중요한 항목만을 감사하는 것임을 전제하는 것이다.

② 마찬가지로 내부회계관리제도 설계 및 운영 평가 역시 모든 내부통제를 100% 평가할 필요는 없다. 그 이유는 회사가 스스로 자신의 내부통제를 평가하는 목적은 결국 외부감사인의 내부회계관리제도 감사에서 적정의견을 받는 것인데 외부감사의 목적 자체가 중요한 왜곡(significant misstatements)을 방지 또는 적발 기능의 존재여부를 확인하는 것에 있기 때문이다. 따라서 중요하지 않은 계정과목 관련 내부통제는 내부회계관리제도 설계 및 운영평가의 대상 자체가 되지 않는다.

물론 회사 내부적으로는 관리목적상 모든 절차를 중요하게 다룰 수는 있다. 그러나 외부감사는 투자자의 경제적 의사결정에 영향을 미치는지 여부를 중요시하기 때문에 모든 계정과목이나 통제절차를 중요하게 볼 이유가 없다.

이것을 외부감사의 고유한계(inherent risk)라고 하는데 회사의 통제평가 역시 고유한계를 인정받으므로 결국 평가대상도 중요한 항목, 즉 핵심통제(key control)만이 되는 것이다. 아래 그림은 위험기반 접근법이 외부감사인의 재무제표 및 내부회계관리제도 감사와 회사 경영자의 내부통제 설계 및 운영 평가에 동시에 적용되는 개념임을 표시한 것이다. 하나의 재무제표를 두고 회사와 감사인은 동일한 접근을 하고 있는 것이다. 그리고 이 둘이 불일치할 위험이 외부감사 위험이다.

나. 핵심통제의 정의

① 내부회계관리제도 운영과정에서 핵심통제(Key control)의 선정 과정은 상당히 중요한 의미를 가진다. 회사의 통제 매트릭스에서 특정 통제가 핵심통제로 지정이 되어 있지 않았고 경영자 또는 내부회계관리자의 자가평가 과정과 감사의 운영실태 평가 과정에서도 핵심통제로 식별되지 않았다고 가정해 보자.1)

이는 재무제표상 중요한 부정과 오류로 이어질 위험을 식별하지 못해 동 위험을 예방, 적발할 통제활동이 누락될 가능성을 시사한다. 이는 내부통제 5요소 중 위험평가(Risk Assessment)와 통제활동(Control Activity)에 중요한미비점(Major Deficiency)이 존재할 가능성을 시사한다. 또한 해당 통제의 누락이 경영자 또는 내부감사의 자체점검 과정에서도 발견되지 않았다는 사실은 내부통제 5요소 중 모니터링(Monitoring)에 중요한미비점(Major Deficiency)이 존재할 가능성을 시사한다.

유의할 사항은 이 상황이 내부회계관리제도 부적정의견으로 직결되는 것은 아니라는 점이다. 해당 통제가 내부회계관리제도의 설계(Design) 과정에서 누락되었다고 하더라도 실제 운영(Operation)은 되고 있을 가능성이 있기 때문이다. 감사의견을 결정하는 것은 ‘운영’이므로 만약 운영이 적절하게 수행되고 있다면 이 사항으로 인해 내부회계관리제도가 부적정의견을 받을 가능성은 없을 것이다.

다만 유의할 점은 정형화된 업무활동이 아닌 회계기준의 해석, 적용과 관련된 핵심통제가 내부회계관리제도 통제 매트릭스에서 누락되었다면 이는 운영의 미비점까지 이어질 가능성이 매우 높다. 이는 상장기업 회계처리 기준인 IFRS의 복잡성, 난해성으로 인한 고유위험 때문이다. 한국의 상장기업이 내부회계관리제도의 설계와 운영을 외부 회계법인에 의존할 수 밖에 없고 이로 인해 내부회계관리제도가 일상적인 내부통제의 일부로 안착하는데 어려움을 겪는 이유도 IFRS 해석, 적용의 어려움에 있다고 할 수 있다.

IFRS로 인해 회계기준의 해석, 적용과 관련한 위험평가 프로세스의 중요성이 매우 높아져 있음을 의미한다. 이 위험에 대비하는 유일한 방법은 전년도까지는 없었던 ‘중요한 신규거래’를 걸러내어 그것이 새로운 회계기준의 적용을 유발하는지를 하나하나 점검하는 방법이다. 이러한 활동은 내부통제 5요소 중 위험평가(Risk Assessment) 활동이라고 할 수 있다.

한편, 핵심통제의 누락이 운영상의 중대한 취약점으로까지 이어지지는 않았다고 하더라도 내부통제 5 요소 중 위험평가(Risk Assessment), 통제활동(Control Activity), 모니터링(Monitoring)등에 중요한미비점(Major Deficiency)은 엄연히 존재하고 있었다는 사실에 유의할 필요가 있다.

왜냐하면 그러한 미비점의 영향이 쟁점이 되었던 프로세스 뿐 아니라 다른 프로세스에까지 미칠 수 있기 때문이다. 이는 외부감사인으로 하여금 다수의 프로세스에 영향을 미칠 수 있는 위험요인(risk)으로 인식하므로 확인되지 않은 미비점의 존재여부를 확인해야 하므로 테스트 범위를 확대할 것이다. 이처럼 위험이 추가로 발견되면 테스트 범위를 넓히는 것이 위 가, ①에서 언급한 위험기반접근법(risk-based approach)의 기본개념이다.

1) 이 경우 핵심통제이냐 아니냐는 외부감사인은 관점의 문제이다.

 

 저자의 다른글 보기

회계사 시장의 호황은 계속될까?
새정부 출범과 주기적 지정제의 미래
내부통제와 따로 노는 내부회계관리제도
횡령을 방지하는 내부통제
회계감사는 비용이 아닌 투자가 되어야

 

 

---

 

 

 

 

☞ 자세한 내용은 삼일아이닷컴 홈페이지에서 확인하실 수 있습니다.

삼일: Opinion

 

☞ 뉴스레터 신청하기

삼일: 세무 자료실