[내부] 내부회계 업무수준통제

1. 개요

전사 수준 통제는 재무제표의 각 계정과목과는 직접적인 연관관계가 적은 것이 일반적인 반면, 업무 수준 통제는 개별 거래가 실제로 발생, 기록, 보고 및 처리되는 과정에 대한 통제절차로 구성되어 재무제표의 계정과목에 직접적인 영향을 미치게 된다.
COSO 프레임워크의 내부통제 구성요소 중 위험평가, 통제환경,모니터링, 정보 및 의사소통은 일반적으로 전사 수준 통제를 통해 구현되며, 통제활동은 대부분은 업무 수준 통제를 통해 구현된다.

2. 통제범주

통제 범주는 내부통제 구성요소 중 하나인 통제활동의 하부 속성으로, 통제활동의 세부적인 성격을 나타낸다. 회사의 내부통제 활동은 그 성격의 유사성에 의해 몇 가지의 범주로 분류될 수 있다. 통제활동을 속성에 따라 분류하는 것은 회사가 갖추고 있는 내부통제를 식별하는데 유용하다. 다음은 통제에 대한 일반적인 몇 가지 범주이다.

2-1. 승인

승인은 회사가 설정한 일반적 혹은 세부적 정책과 절차에 따라 수행되는 거래의 집행에 대한 허가를 말하며, 자산 및 기록에 대한 접근을 포함한다.
모든 거래의 집행 및 자산, 기록에 대한 접근과 관련하여 적절한 승인절차가 이루어져야 한다. 어떤 사원의 임의로 자산을 취득하고 사용할 수 있다면 이는 통제상의 결정적인 취약점을 의미한다. 이러한 승인은 일반 승인과 개별승인의 두 유형으로 분류될 수 있다. 일반 승인은 전체 조직 구성원이 공통적으로 준수해야 할 정책 및 절차를 의미하고, 개별승인은 개별거래에 대해 매번 별도의 승인을 받는 사항을 말한다.

2-2. 상호 대사

상호 대사는 두 가지 항목의 일관성 여부를 확인하기 위한 통제절차이다. 업무를 수행하다 보면 동일한 자료를 이용하여 상이한 목적의 문서나 데이터 등이 생성되기도 한다. 만일 그러한 둘 이상의 자료가 서로 부합하지 않을 경우 이는 통제가 제대로 이루어지지 않았다고 판단할 수 있다.

2-3. 시스템 설정

조직의 영업 방침에 기초하여 부적절한 절차에 대해 자료를 보호하기 위하여 시스템 내에 활성화 또는 비활성화되어 있는 기능을 의미한다. 업무절차의 시스템 구현은 수작업 시 발생할 수 있는 오류나 부정 등을 사전에 예방할 수 있도록 하며 모니터링도 용이하게 한다.

2-4. 핵심 성과지표

핵심 성과지표란 회사의 목표 달성 정도를 평가하기 위하여 지속적, 주기적으로 수집되고 경영진에 의해 사용되는 재무, 비재무적인 양적 측정지표를 말한다.

2-5. 예외사항, 편집 보고서

통제활동을 벗어나는 예외사항이 발생하여 특정 사건에 대해 생성되는 보고서들을 의미한다. 예외사항이 발생하게 되면 권한 있는 관리자에게 적시에 보고되어야 하며, 이러한 관련 사건들에 대한 의문점이나 이슈가 해결될 때까지 지속적으로 추적관리를 해야 한다.

2-6. 인터페이스 통제

데이터 인터페이스란 두 컴퓨터 시스템 사이에서 수동이나 자동 혹은 이 두 가지 방법을 동시에 사용하여 데이터를 주고받는 것을 의미한다. 인터페이스 통제는 전환된 자료의 정확성 및 완전성, 무결성을 보증할 수 있도록 하는 통제활동이다.
데이터 인터페이스를 위한 일련의 작업들은 자료가 무결성을 지닐 수 있도록 적시에 안전한 형태로 완전하고 정확하게 전환, 이동시키는 작업이며, 인터페이스 통제는 이 과정에서 나타날 수 있는 예외사항들을 식별할 수 있도록 한다.

2-7. 시스템 접근

권한 있는 자에 의해서만 시스템의 접근 및 데이터의 액세스가 가능하도록 하는 통제를 의미한다. 중요한 시스템에 대하여 모든 사람이 쉽게 접근이 가능하고, 데이터의 액세스가 가능하다면 이는 통제가 미비한 것으로 판단된다.

2-8. 경영자 검토

경영자 검토는 수행된 업무에 대해 제삼자의 검토자에 의해 수행되는 검토 행위를 말한다.

2-9. 업무분장

거래의 승인, 기록 및 보관, 유지에 대한 책임과 의무를 분리하는 것이고, 개인이 오류나 부정을 저지르고 은폐할 수 있는 위치에 있는 것을 막을 수 있게 관리하는 것이다.

3. 통제절차의 문서화

내부회계관리제도 설계 및 운영 개념 체계에서는 내부회계관리제도 및 관련 통제절차에 대해 문서화하도록 요구하고 있다. 업무 수준에서의 통제절차 문서화에는 업무 기술서 및 업무 흐름도, 통제 기술서 등이 사용되며, 중요한 계정과목과 관련된 재무제표 주장과 관련된 통제 설계, 부정을 적발하거나 예방할 수 있는 통제 설계, 기말 재무보고 절차에 관한 통제 설계, 자산을 보고하기 위한 통제 설계가 포함된다.
문서화에 대한 수준은 조직의 규모와 복잡성에 따라 달라질 수 있다.
규모가 큰 기업은 일반적으로 규모가 작은 기업보다 복잡한 내부통제시스템과 업무 프로세스로 구성되어 있을 것이므로 보다 정교한 업무 기술서, 업무 흐름도, 통제 기술서 등의 문서가 필요할 것이다.
반면, 중소기업은 일반적으로 인력과 관리조직이 복잡하지 않고, 수시로 확인이 가능한 일상적 업무처리 방식을 통해 업무가 진행되는 경우가 많다. 따라서 중소기업의 경영진은 직접적인 관찰을 통해 통제활동이 가능하고, 있는지를 판단할 수 있으므로 공식적인 문서화의 수준이 상대적으로 낮을 수 있다.

4. 업무 수준 통제 구축 흐름

업무 수준 통제는 프로세스 이해 단계, 위험식별 및 내부통제파악단계 , 프로세스수준 통제평가단계로 구분된다. 여기서 프로세스이해 단계에서는 현업 담당자의 인터뷰와 기타 자료를 이용하여 scoping단계에서 구분된 단위별 하위 프로세스에 대해 이해하고 그 내용을 업무 기술서와 업무 흐름도에 문서화한다.
위험식별 및 내부통제 파악 단계에서는 업무기술서와 업무흐름도에 대한 프로세스의 이해를 기반으로 위험을 식별하고, 그 위험에 대한 내부통제를 파악한다. 위험 및 내부통제의 내역은 통제 기술서 양식에 기술되고 관리된다.
프로세스 수준 통제 평가 단계에서는 관련 내부통제에 대해 그 설계에 대한 적정성을 판단하고, 그 운영이 유효한지에 대해 평가하기 위한 계획을 수립한다.

4-1. 업무 기술서

업무 프로세스 단위별로 거래의 시작, 기록, 승인, 진행 및 보고되는 일련의 과정에 대해 파악하고 그 내용을 업무 기술서에 문서화한다. 이러한 프로세스에 대한 이해는 재무제표의 신뢰성에 대한 위험, 부정 및 자산 보호에 대한 위험을 식별하고 그와 관련된 내부통제를 파악할 수 있도록 하는 기반을 제공한다.
업무 기술서는 일반적으로 현업 담당자와의 심층 인터뷰와 회사의 업무 매뉴얼 등의 관련 자료를 이용하여 작성하게 된다.
업무 수준 통제의 구축은 COSO 프레임워크의 통제활동을 그 대상으로 하므로 업무 기술서 작성 시에는 통제활동 및 그 하위 속성인 통제 범위의 관점에서 기술되어야 한다. 통제활동의 하부 속성인 통제 범위를 확실하게 이해한 후 현업 담당자와 인터뷰를 수행하거나 관련 자료를 검토한다면 목적에 적합한 문서화 작성이 용이할 것이다.

4-2. 업무 흐름도

업무 흐름도는 통일된 일정한 기호를 사용하여 업무 프로세스를 도식적으로 나타낸 도표이다. 회사의 업무흐름도는 상위 프로세스 수준과 하위 프로세스 수준으로 구분하여 작성할 수 있다.
업무흐름도는 프로세스를 직관적으로 이해할 수 있도록 하며 발생 가능한 위험 및 관련 통제활동을 쉽게 파악할 수 있는 장점이 있다. 하지만, 그 자체으로는 통제 목적, 경영자 주장 및 재무제표 계정과목 등과 연계시키기가 어려운 단점이 있기 때문에 일반적으로는 업무 기술서 및 통제 기술서를 보완하는 목적으로 사용된다.