내부회계관리제도 감사제도 도입에 따른

기업 및 감사인 대응방안

연구자

삼일회계법인·한영회계법인
 CONTENTS

Ⅰ. 연구용역 개요 ······················································································5

1. 연구 목적 ································································································ 5

2. 기대 효과 ································································································ 5
1) 해외 감사적용 사례 및 감사기준에 대한 분석 ··············································
5

2) 감사인과 회사에 발생하는 변화 및 대응 방안 제시 ·····································

5

3. 주요 수행 업무 계획 ···············································································5
1) 내부회계관리제도 준거 기준 및 실무 현황 분석 ··········································
5

2) 주요 이슈 파악 및 대응 방안 제시 ······························································
5

Ⅱ. 연구용역 주요 내용 ··············································································7

1. 감사 기준 관련 주요 이슈 종합 ····························································
7
1) 감사 대상 ······································································································7

2) 모범규준 개정에 따른 변경 사항 ································································

2 1

3) 기존 검토 기준 및 외국 기준의 고려 ·························································
3 1

4) 통합 감사 문구 ··························································································· 31

5) 추적조사의 고려 ·························································································· 31

6) 감사 기준 기술 시 고려 사항 ···································································3 1

2. AS5 기반 내부회계관리제도 감사 기준 제정 시 고려 사항 ···················

4 1
1) 내부회계관리검토기준과 Auditing Standard 5의 주요 차이점 ···················
4 1
 3. 일본 내부회계관리제도와 내부회계관리제도 비교 분석 ·························
4 2
1) 차이내역 리스트 ·························································································· 42

2) 주요 차이 내역 ··························································································· 82

3) 일본 내부회계관리제도 검토 결론 ·······························································
2 3

4) 일본감사기준 번역 및 세부 검토 기반 추가 차이 분석 참고 ·····················
2 3

4. SOX 적용법인의 내부회계관리제도 운영실무에 대한 사례조사 ············

7 3
1) MRC (Management Review Control) ··················································· 93

2) IPE (Information Produced by Entity) ·················································04

5. 현행 내부회계관리제도 운영실무에 미칠 영향 및 대응방안 ··················

2 4
1) 기업의 운영실무에 미칠 영향 ·····································································
2 4

2) 기업의 대응방안 ·························································································· 44

별첨 1. 미국 내부회계관리제도(US SOX) 감사기준 ················· 47

별첨 2. 내부회계관리제도 검토기준 및 AS5 비교 ····················· 95

별첨 3. 내부회계관리제도 검토기준 및
내부회계관리제도 검토기준 적용지침 비교 ·················· 145

별첨 4. 일본 내부회계관리제도 감사기준 ·································· 153

별첨 5. 내부회계관리제도 감사기준 기술 방향 ························ 269

 Ⅰ. 연구용역 개요

Ⅰ 연구용역 개요

1. 연구 목적

내부회계관리제도가 검토에서 감사으로 변경되는 회계제도개혁방안* 시행이 실무에 미

치는 영향과 그에 대한 대응방안을 기업 및 감사인 측면에서 연구하기 위함.
* 회계 투명성 및 신뢰성 제고를 위한 종합 대책 2017년 1월 23일 금융위원회 보도자료

2. 기대 효과

1) 해외 감사적용 사례 및 감사기준에 대한 분석
∙ 미국 및 일본의 감사 적용 사례 분석
∙ AS 5 기반 내부회계관리제도 감사 기준 초안 제시

2) 감사인과 회사에 발생하는 변화 및 대응 방안 제시

∙ 내부회계관리제도의 실질적인 운영을 위한 제반 요구 사항 도출
∙ 제도 변화에 따른 대응 방안 제시

3. 주요 수행 업무 계획

1) 내부회계관리제도 준거 기준 및 실무 현황 분석

 감사 준거 기준 분석
∙ 미국 PCAOB 내부회계관리제도 감사기준(AS5) 번역 및 동 기준의 주요내용 정리
∙ 일본의 내부회계관리제도 감사기준 주요 내용 정리

 기업의 내부회계관리제도 운영 현황 분석
∙ 현행 내부회계관리제도의 운영 현황 검토
∙ SoX 적용 기업의 운영 실무에 대한 사례 조사

2) 주요 이슈 파악 및 대응 방안 제시

 감사인 측면

5
내부회계관리제도 감사제도 도입에 따른 기업 및 감사인 대응방안

∙ PCAOB 감사기준의 국내 도입에 따른 주요이슈 파악 및 대응방안 제시

- 내부회계관리제도 감사의 대상,
- 통합보고 방식,
- 국내 법제도와의 상충문제
- 현 감사 실무 환경하에서 예상되는 기타 문제점 등
∙ 논의된 대응방안에 기반하여, 국내 내부회계관리제도 감사기준 제정 시 고려사항
제시
∙ 회계감사실무지침의 필요성과 관련 내용 제시

 기업 측면
∙ 인증수준 강화에 따른 이슈 파악 및 대응 방안 제시
- 요구되는 기업의 변화 사항 (통제기술서 문서 등 포함)
- 각 이슈별 실무에 미치는 영향
∙ 내부회계관리제도의 실질적 적용을 위한 제안 사항

6
 Ⅱ. 연구용역 주요 내용

Ⅱ 연구용역 주요 내용

1. 감사 기준 관련 주요 이슈 종합

1) 감사 대상

가. 현황

(1) 외감법 등(개정기준)

∙ 감사 대상: 제8조 제6항 - “감사인은 회계감사를 실시할 때 해당 회사가 이 조

에서 정한 사항을 준수했는지 여부 및 제4항에 따른 내부회계관리제도의 운영
실태에 관한 보고내용”

∙ 외감법 시행령: 제2조의3 제4항 - “법 제2조의3제1항(구 외감법)에 따라 주식

회사의 내부회계관리제도의 운영실태에 관한 보고내용을 검토하는 감사인은 해
당 임직원에 대한 질문, 관련 문서의 확인, 내부회계관리제도 운영실태에 대한
점검 등을 통하여 내부회계관리제도가 적정하게 설계·운영되고 있는지를 검토
하고 그 의견을 감사보고서에 첨부하여야 한다.”

∙ 금감원 최근 보도자료: “내부회계관리제도 관련 법규위반 유의하세요”에 내부

회계관리제도 개요를 “붙임”으로 제시함.
- 내부회계관리제도 정의: 내부회계관리제도는 내부회계관리규정과 이를 관
리･운영 하는 조직을 지칭(구 외감법 제2조의2)
- 내부회계관리제도 목적: 회사는 구비한 내부회계관리제도를 자체적으로 검
증하고, 감사인이 내부회계관리제도에 관한 법규 준수 여부와 내부회계관리
제도의 운영실태에 관한 보고내용을 검토
- 추가로 외감법 등의 주요 규정 제시함.

∙ 내부회계관리 규정에는 회계정보(거래정보 포함)의 식별･측정･분류･기록 및 보

고방법, 관련 오류 통제 방법 및 검증 방안을 모두 포함함. 추가적으로 회계정
보의 위조･변조･훼손 및 파기를 방지하기 위한 통제 절차, 업무 분장, 경영진
의 통제 무시에 대한 대처방안 및 내부회계 규정 위반 시 징계 등에 관한 사항
을 포함할 것을 명시함.

∙ 이는 내부회계관리제도의 설계 및 운영의 효과성에 운영실태 보고내용을 추가

로 검토(감사)할 것을 요구하는 것으로 판단됨.

7
내부회계관리제도 감사제도 도입에 따른 기업 및 감사인 대응방안

(2) 검토기준

∙ 내부회계관리제도의 운영에 대한 경영자의 주장(이하 “내부회계관제도 운영실

태보고”)을 검토 대상으로 기술

∙ 외감법에서 요구하는 내부회계관리제도에 대해 모범규준 등에 따라 운영하고

실태를 보고하였는지를 검토 대상으로 기술하고, 감사인의 검토는 해당 운영
실태 보고에 외감법의 요구사항 및 모범규준에 따른 내용의 반영에 대한 소극
적 확신을 제공하고 있음.

∙ 회사의 책임은 내부회계관리제의 설계, 운영, 평가 및 보고로 반복적으로 명확

히 제시함.

∙ 감사인의 검토 절차에는 내부회계관리제도 설계와 운영의 효과성 평가 절차가

포함되어 실시할 것을 명시함(9.5 & 9.6).

∙ 검토기준 적용지침에서도 보론2 “외감법 등 법규 요구사항의 충족여부 검토절

차 예시”에 외감법 제8조의 개별 항목에 대한 검토를 수행할 것을 요구

(3) 감사기준

∙ 현행 감사 기준은 위험기반 및 하향식 접근방법을 제시하며, 내부통제에 테스

트를 명확히 요구하고 있으며, 내부통제에 의존한 감사 범위는 지속적으로 확
대되고 있는 추세임.

∙ 이는 필요한 부분의 내부회계관리제도 자체를 감사하는 것이나, 현재 감사 환

경상 실무상 적용이 용이하지 않은 부분이 존재하여 적극적인 활용이 부족한
측면이 존재함 – 감사인의 감사 효율화에 대한 회사의 관심 부족 등

∙ 또한, 내부통제의 문제점을 발견하는 경우에는 입증감사 확대 절차를 수행하고

있음에도 불구하고 내부회계관리제도 검토 의견에 미치는 영향에 대한 고려가
부족한 경우가 존재함.

∙ 감사기준서 315: 기업과 기업환경에 대한 이해를 통한 중요한 왜곡표시 위험의

식별과 평가
- 해당 기준은 위험평가절차를 수행하고 COSO 관점(5가지 통제구성요소)에
서 회사의 내부통제를 이해하고 중요한 왜곡표시 위험을 식별하고 평가할
것을 요구하고 있음.

∙ 감사기준서 330: 평가된 위험에 대한 감사인의 대응

8
 Ⅱ. 연구용역 주요 내용

- 내부통제가 적정한 경우나 입증절차만으로 충분한 증거획득이 어려운 경우

에는 내부통제 시사 수행 요구
- 실질적으로 입증절차만으로 충분하지 않은 경우에는 내부통제 시사가 필수적임.

∙ 감사기준서 265: 내부통제 미비점에 대한 지배기구와 경영진과의 커뮤니케이션

- 파악된 유의한 미비점은 지배기구 커뮤니케이션 요구

∙ 감사기준서 402: 서비스조직을 이용하는 기업에 관한 감사 고려사항

∙ 기타 회계추정치, 특수관계자, 그룹F/S감사와 관련된 내부통제 기술됨.

(4) 검토 의견을 고려한 감사 대상

 검토 기준

∙ 검토 보고서 사례 3-1: 경영자보고에 중요한 취약점이 보고되고, 감사인이 동

일한 결과를 얻은 경우의 검토 결과 표시 문단의 기술:
“경영자의 내부회계관리제도 운영실태보고서에 대한 우리의 검토결과, 경영자
의 운영실태보고서에 기술된 상기 내부회계관리제도의 중요한 취약점 이외에
다른 중요한 취약점이 발견되지 아니하였습니다.”

∙ 보론의 사례 정리 표에 해당 사례의 “경영자 보고에 대한 검토보고”에는 “경영

자가 중요한 취약점을 적절하게 보고함”이라고 기술됨. 이는 최초 SoX에서 2
개의 의견 표명 시, 경영진의 평가보고에 대한 의견 제시 방식을 그대로 기술
한 것으로, 상기 사례에 대한 의견은 적정의견을 제시하고 것으로 기술되었다
고 판단됨.

∙ 이는 운영실태보고 이외의 외감법 제8조 요구 사항에 대한 의견 표명을 포함하

지 않는 것으로 해석됨.

 금감원 및 금융위의 관련 정보

∙ Dart 파일의 문서헤더정보에 기입하는 내부회계관리제도 의견 기술 시, 사례3-1

은 “비적정”으로 구분하여 입력하고 있음. 또한, 감사계약 체결보고서 양식에 기재
시에도 내부회계관리제도에 대한 감사인의 의견을 기술하도록 되어 있음.

∙ 이 때, 기재시 유의사항으로 검토의견은 “적정”, “비적정”, “미제출”, “제출대상

아님”으로 구분표시. “적정”은 감사인의 내부회계관리제도의 검토결과 중요한
취약점이 발견되지 않고 중요한 범위제한도 없는 경우이며, 그 이외의 의견은
“비적정”으로 표시. “미제출”은 의무적용 대상임에도 제출하지 않은 경우라고
제시됨.

9
내부회계관리제도 감사제도 도입에 따른 기업 및 감사인 대응방안

∙ 그리고, 외부감사법 시행령 제4조 제9항 제5호에서 “감사인의 의견이 회사의

내부회계관리제도가 적정하게 설계·운영되고 있다고 표명되지 아니한 경우의
해당 회사”, 행정규칙 “외부감사 및 회계 등에 관한 규정 제10조 제1항 제15
호에서 “내부회계관리제도에 대한 감사인의 의견이 적정하게 설계·운영되고 있
다고 표명되지 아니한 경우의 해당 회사”를 지정 대상 회사로 표시하고 있음.

∙ 상기 사항은 내부회계관리제도에 대한 감사인의 의견이 내부회계관리제도의 설

계·운영에 대한 것으로 기술되었다고 판단됨.

(5) 해외 사례

∙ 미국의 경우 경영자의 내부회계관리제도에 대한 의견을 표명하지 않고 내부회

계관리제도 자체에 대한 의견을 제시하되, 경영진의 평가절차를 기반으로 한
의견을 표명하는 방식의 감사 보고서를 기재함. 또한, 경영진의 평가 절차에 문
제가 존재하는 경우에는 설명문단에 이를 기술하고 중요한 경우에는 의견 변형
할 있도록 기술함.

∙ 일본은 한국의 기준을 준용하여 “내부 통제 보고서상 내부회계관리제도에 대한

경영진의 평가가 중요성의 관점에서 일반적으로 인정된 내부 통제 평가 기준에
따라 공정하게 표시되었다고 판단할 경우, 외부 감사인은 “적정의견”을 표명해
야 한다”라고 기술하고

∙ “내부 통제 보고서에 경영진이 내부회계관리제도의 중요한 취약점과 교정되지 않

은 이유를 포함하고, 외부 감사인이 동 사항이 공정하게 명시되어 있으므로 적정
의견을 표명”한다라고 기술함. 즉 사례3-1에 대한 의견은 적정의견임. From
J-SoX Standards III.4. 감사인의 보고서의 “(3)적정의견서 설명”에 기술됨.

(6) 현황 결론

∙ 외감법, 금융위 및 금감원 제출 자료: 내부회계관리제도를 포함한 운영실태보

고에 대한 의견

∙ 검토 기준: 운영실태보고에 대한 의견으로 보이나 세부기준에서는 설계/운영

평가를 검토하도록 제시되어 있어 외감법 제8조가 제외된다고 판단하기 어려움.

∙ 현재는 두 가지가 혼재되어 사용되고 있으나, 감사 대상은 외감법 제8조의 정

한 사항인 내부회계관리제도 자체가 포함되는 것으로 판단됨. 따라서, 감사 내

10
 Ⅱ. 연구용역 주요 내용

부회계관리제도 자체를 감사하는 것은 기준상 요구되는 “감사인이 수행하여야

하는 항목”이며, 결국 확대 적용하는 것이 타당한 것으로 판단됨. 단, 현재 검
토기준의 의견 표명 대상이 운영실태보고로 한정되어 감사에 내부회계관리제도
자체가 포함되는 경우 대상의 차이가 발생하게 되나 이는 인증 수준의 차이에서
발생하는 것으로 검토는 현황을 유지하는 것이 가능할 것으로 판단됨.

나. 감사 상향 시 대안

대안 감사 대상 감사 절차 장단점

Ÿ 외감법 요구사항이 반영된 운영실태보고의 적정성을 감사하

는 기준이 기술되는 것이 적절함.
운영실태보고에 대한 의
Ÿ 합리적 확신을 얻기 위해서는 직접적이고 독립적인 Test가
대안 1 운영실태보고서 견 제시로 인한 혼란이
충분히 수행되어야 할 것으로 판단됨.
지속될 위험
Ÿ 결국, 대안 2/3과 다르지 않은 감사절차가 요구됨
Ÿ 일본도 독립적인 Test를 요구하고 있음.

Ÿ 미국의 최초 SoX 도입 시 2가지 의견을 제시하던 것을 하나

2가지 의견의 통합의견
내부회계관리제도 의 통합된 의견을 제시하는 대안
제시 - 운영실태보고를
대안 2 자체와 운영실태보고 Ÿ 2가지를 모두 감사하는 절차의 기술 혹은 내부회계관리제제
포함으로 혼란이 완전
내용 도 자체를 감사하면서 운영실태보고 내용도 확인하는 절차
히 해소되지 않을 위험
도 포함하여 기술하는 방안(후자는 3안과 실질적 차이 없음)

Ÿ 내부회계관리제도에 운영실태보고 내용은 당연히 포함되는

것이므로, 내부회계관리제도에 의견을 표명하는 것은 운영
실태보고를 포함하는 것임.
내부회계관리제도 Ÿ 미국도 2개 의견 표명의 실익이 존재하지 않음을 고려하여
명확한 감사의견 표명
- 내부회계관리제도 내부회계관리제도에 의견 제시로 변경
대안 3 의 대상으로 의견에 대
에 운영실태보고 내 Ÿ 미국의 AS2 ➜ AS5로 변경하는 것과 동일한 방식으로 경영
한 혼란 제거
용이 포함된다 제시 진의 운영실태보고 내용의 부정확하거나 불완전한 사항은
설명문단에 기술하되, 동 사항이 중요한 취약점과 관련되면
부적정 의견 표명. 이는 현재의 AS5 (AS2201)를 기반으로
감사기준을 제정하는 방안임.

다. 연구팀 결론

∙ 검토 기준 사례 3-1 “회사의 중요한 취약점이 존재하고, 회사의 운영실태보고에 해

당 내용이 제시되었고, 감사인이 추가적인 중요한 취약점을 발견하지 않은 경우“의
감사 결론은 부적정 의견 제시가 적절할 것으로 판단되면 다음 사례별로 적절한 감
사의견은 다음과 같음.

11
내부회계관리제도 감사제도 도입에 따른 기업 및 감사인 대응방안

내부회계관리제도 자체
CASE 운영실태보고 감사의견
(회사와 감사인의 결론 )

Case 1 Ÿ 적절한 평가/보고 수행 Ÿ 중요한 취약점이 발견되지 않는 경우 적정 의견

Case 2 Ÿ 적절한 평가/보고 수행 Ÿ 중요한 취약점이 발견되는 경우 부적정 의견

Case 3 Ÿ 적절하지 못한 평가/보고 수행 Ÿ 중요한 취약점이 발견되지 않는 경우 설명문단 기술 or 부적정 의견

Case 4 Ÿ 적절하지 못한 평가/보고 수행 Ÿ 중요한 취약점이 발견되는 경우 부적정 의견 + 설명문단 기술

∙ 현재 검토 보고서는 명확하게 적정의견의 정의를 제시하기 어려움. 이에 비적정의

견이라는 개념까지 사용되어 혼란이 존재함.

∙ 이에 기술된 대안 3이 적절할 것으로 판단됨. 이는 외감법 및 규제기관의 요구사항

에 부합하는 대안이며, 의견에 대한 혼란을 없앨 수 있는 방안으로 판단됨.

∙ 단, 현재 검토 기준의 감사 대상과 검토의견을 제시하는 체계의 일부 변경할 것으

로 고려하는 것이 적절할 것으로 판단됨. – 예> 사례 3-1을 부적정의견으로 변경

2) 모범규준 개정에 따른 변경 사항

가. 모범규준의 변경

∙ 기존 모범규준의 변경

미국의 내부통제 관련 회계제

구분 종전 모범규준 구성 개정 모범규준 등의 구성
도 규정의 구성
Ÿ 모범규준 제2장과 제3장 Ÿ 내부회계관리제도 설계와 운영에
내부통제 개념체계 Ÿ COSO Framework
(적용해설서 포함) 관한 개념체계

Ÿ 내부회계관리제도 평가 및 보고 모
Ÿ Management Guidance 범규준(미국 경영자 지침 수준 의
(원칙적 설명내용) Ÿ 모범규준 제4장 (적용해
원칙적 설명 자료 및 외감법 규정의
내부통제 평가 및 설서 포함), 내부회계관
설명)
보고절차 리제도의 평가 (평가결과
Ÿ PCAOB 감사기준서 제5
보고 규정 포함) Ÿ 내부회계관리제도 평가 및 보고 실
호(AS5), 종전 감사기준서
제2호(AS2) 무사례로 포함

외부재무보고 관련
Ÿ 개정 COSO Framework Ÿ 없음 – 일부 감사 절차 기
내부통제 평가 및 Ÿ 내부회계관리제도 평가 및 보고 실
의 첨부자료 (자율적 참고 반 사례는 모범규준 4장
보고에 대한 무사례에 일부 포함
지침)*** 에 포함
참고자료

12
 Ⅱ. 연구용역 주요 내용

나. 변경된 사항의 고려

∙ 감사기준 기술 시, 일반적으로 인정되는 내부회계관리제도의 개념체계(COSO, COCO,

Tumble report)의 사용이 허용됨.

∙ 과거 검토기준의 기술 방식대로 제시된 “내부회계관리제도 설계와 운영에 관한 개

념체계”를 기반으로 감사 기준을 기술 – 각 개념체계를 모두 고려한 기술 불가

∙ “내부통제 개념체계”가 명확하게 구분 제시 되므로, 감사기준에서 관련 참조 문구

기술 시 명확히 구분하여 기술할 필요가 존재함.

3) 기존 검토 기준 및 외국 기준의 고려
∙ 기존 검토 기준 중 감사기준에 반영이 필요한 항목에 대한 선별 작성 수행 중

∙ 해외 사례(미국과 일본)을 고려한 감사기준 작성

∙ 재무제표 감사 기준과의 상충이 발생하지 않도록 고려가 필요

4) 통합 감사 문구

∙ 기존 검토기준의 “재무제표 감사와의 연계성” 과 AS5의 통합감사 내용이 유사함.

∙ 연결 도입 전에는 F/S감사와의 연계성으로 기술하는 방안 고려

5) 추적조사의 고려
∙ 기존 검토 기준: “유의한 업무 프로세스에 수행할 수 있다”,

∙ AS5: 추적조사의 정의, 방법 및 “설계평가 시 추적조사는 일반적으로 충분한 절차”

등의 문구가 존재함.

∙ 일반적으로 초도 감사, 변경이 발생한 주요 프로세스에서는 추적조사의 중요성이 강

조되고 있으며, 감사인도 추적 조사를 수행하는 것이 효과적인 감사를 수행할 수 있
는 방안임. 단, 추적조사에는 상당한 시간이 소요되는 바 이에 대한 고려가 선행되어
야 할 것으로 판단됨.

6) 감사 기준 기술 시 고려 사항
다음에 기술된 “AS5 기반 내부회계관리제도 감사 기준 제정 시 고려 사항” 참조

13
 내부회계관리제도 감사제도 도입에 따른 기업 및 감사인 대응방안

2. AS5 기반 내부회계관리제도 감사 기준 제정 시 고려 사항

1) 내부회계관리검토기준과 Auditing Standard 5의 주요 차이점

No 구분 중요도 내부회계관리검토기준 AS5 Ref 초안 반영 방식

내부회계관리제도의 운영에
대한 경영자의 주장 [문단1.1] 내부회계관리제도의 효과성 - 내부회계관리제도 + 운영
1 감사[검토] 대상 1 H A
- “내부회계관리제도 운영실 [문단3] 실태보고
태보고”
- 개별/별도로 기술
2 감사[검토] 대상 2 M 개별/별도재무제표 기준 연결재무제표 기준 [문단33] B - AS5의 그룹감사 내용의 삭
제 vs 수정 반영
- 기존 F/S 감사와의 연계성
검토기준 12 내부회계관리 통합감사라는 제목으로 본문
내용과 통합감사 내용 유
3 통합 감사 제도 검토와 재무제표 감사 과 보론에 유사한 내용으로
사. 연결 도입 전에는 F/S감
의 연관성에 해당 내용 기술 기술됨.
사와의 연계성으로 기술
- 외감법의 대표이사 보고의
무로인해범위가다소확대
되었으나, 실무적으로 회사
회사의 실태보고에 운영실태보고에 관련한 사항
4 M 실태보고가 포함됨. 의 보고절차 중 감사보고서
대한 감사 범위 기술되어 있음.
에첨부되는 문서(평가보고
서)까지 확인하되, 주총 보
고는 제외하는 방식 적용
경영자 내부통제개념체계의
감사인의 내부통제 경영진과 동일한 내부통제개
이해만 요구 – 모범규준 이외 - AS5 적용하되 수정된 모범
5 개념체계 (Control H 념체계를 적용할 것을 명시 C
개념체계에 대한 별도의 언 규준을 고려하여 기술
Framework) 함 [문단5] <예: COSO 등>.
급은 없음.
검토의견 [문단9] - AS5 적용하여 합리적 확신
6 의견의 수준 H - 적극적/소극적 확신의 정 감사의견 [문단B1-B3,B5] D 의정의제시하되감사대상
의 및 설명 [문단5.1-5.3] 따라 문구 조정
- 검토기준에서위험평가절차
위험평가절차에 대한 구체적 위험평가절차에 대해 상세 에 대한 간략한기술만 존재
7 위험평가절차 M 언급 없음. 기술함. E 함. AS5와 같이 F/S감사기
[문단3.2] [문단10-12] 준과내부회계관리제도감사
에부합하는기준제시필요
불행행위또는부정 타 법규(AS 및 증권거래법) - 현재재무제표감사기준(240)
8 식별 시 감사인의 L 구체적 언급 없음. refer를 통해 언급하고 있음 과국내법규를고려한기술
책임 [문단84]. 필요
부정과 연관된 통제미비점이
금액적으로 중요한 영향을 식별된 경우, 이를 중요한 재
- 현재재무제표감사기준(240)
부정위험 식별 시 미칠 수 있는 부정위험에 대 무제표 왜곡표시에 대한 위
9 L 과국내법규를고려한기술
대응 방안 처하도록 고안된 내부회계관 험평가 및 대응책 도출에 고
필요
리제도 검토 의무 려하여야 한다고 기술함.
[문단15]

10 전사수준통제의 M 전사수준통제에 대한 이해만 설계평가를 수행할 것을 요 - AS5를 준용하여 설계평가

14
 Ⅱ. 연구용역 주요 내용

No 구분 중요도 내부회계관리검토기준 AS5 Ref 초안 반영 방식

포함되고 설계평가 필요성은
설계평가 구함 [문단22-24] 수행
언급되지 아니함. [문단9.4]
타 규정(AU sec. 319)를 통해
내부회계관리제도 모범규준
관련항목기술함-IT이해, IT
3.3에 정보기술일반통제 언 - 현행 재무제표 감사기준으
11 정보기술 관련 M Risk 고려, 감사인 skillset,
급은 존재하나 검토기준에서 로 refer하는 것을 제시
Test 방법 등
refer되지 않음.
[문단36]
종결절차에 감사기준을 참조 중요사항을기술함(업무범위
타인이 수행한 - 현행 재무제표 감사기준를
12 L 할 것을 기술 및 독립성/적격성 고려)
업무의 활용 고려하여 AS5를 준용
[문단9.7]. [문단16-19]
내부회계관리제도 모범규준
- AS5 준용하는 것이 현행 재
서비스조직이용시, 3.6.3에 서비스 조직과 관련
13 M 상세 기술됨 [문단B17-B27] F 무제표 감사기준 및 인증기
관련 절차 된 내용 존재하나 검토기준
준에 부합한 것으로 판단됨.
에서 refer되지 않음.
“추적조사가 효과적인 절차
이고 일반적으로 설계 평가
“유의한 업무 프로세스에 수 - 부분적으로 필수 절차 도입
14 추적조사 의 충분한 절차이다” 관련 문
행할 수 있다” 여부 고려 필요
구 기술.
필수항목으로 지정하지 않음.
15 잔여기간 Test 방안 L 언급 없음. 상세 기술됨. [문단55-56] - AS5 준용
후속사건에 대한 상세 기술
16 후속사건 L 언급 없음. - AS5 준용
포함 [문단93-98]
유의한미비점과중 '사실상' 유의한 미비점에 대 동사항을중요한취약점으로
17 L -중요한취약점의징후로제시
요한취약점의정의 한 사례 제시 [보론1 A-3] 고려할 것을 제시함. [문단69]
관련 상세 기술 포함 (벤치마
계속감사시 CAKE
18 L 언급 없음. 킹 포함) - AS5 준용
활용
[문단57-60, B28-B33]
한정의견을 하나의 의견으로 의견 거절 혹은 계약 해지 상
19 범위 제한시 의견 L 제시 황으로 정의 (계약해지 추가 - AS5 준용
[문단11.1] 언급) [문단74]
20 감사보고서 일자 L 언급 없음.(암묵적 존재) 상세 기술됨. [문단89] - AS5 준용

별도 작성하여 첨부 별도 또는 통합보고서 선택 - 연결도입이전에는 기존 방

21 보고서발행 방식 M G
[문단11.3] 가능 [문단86] 식 유지
감사종결단계에서 감사인의
경영진, 감사위원회, 이사회 - AS5와 유사하되 외감법 절
22 감사인의서면보고 L 언급 없음
에의 서면보고 명시 차를 고려하여 기술 필요
[문단78-82,84,C7]

내부회계관리제도 설계/운영
책임 이외에 외감법 규정한
내용에 따라 추가 내용 기술
내부회계관리제도 - 현행 검토기준 방식대로 기
[문단1.3]
23 경영자의 책임 L 설계/운영 책임 술하는 것이 적절할 것으로
- 이사회가 승인한 내부회계
[문단75,85] 판단됨.
관리규정의 시행
- 책임･권한･보고관계의
명확화

15
 내부회계관리제도 감사제도 도입에 따른 기업 및 감사인 대응방안

No 구분 중요도 내부회계관리검토기준 AS5 Ref 초안 반영 방식

향후중소기업적용 시기이전
검토절차보다완화된기준적
복잡하지 않은 회사의 특성 에 대기업 적용을 확인하고,
중소기업등에대한 용 가능 [문단14]
23 M 을 고려하여 감사할 수 있다 관련 기준(혹은 추가 고려사
감사[검토]특례 모범규준에는소극적확신표
는 문구만 기재 항) 필요성을 판단하는 것이
명 가능
적절할 것으로 판단됨.
추가 적용 지침은 존재하지
기존의 적용지침과 staff alerts
않으나, staff alerts를 제시
24 추가적인 적용 지침 필요성 를고려한 적용지침을제시하
하여 내부통제에 대한 추가
는것이적절할것으로판단됨.
적인 적용 지침을 발표함

㈜ AS5 적용 시 고려사항
AS5에서 인용되거나 참조되는 다양한 SEC regulation 및 Auditing standard에 해당하는 국내
규정이 존재하지 않거나 다를 경우의 대응 방안 고려 필요

가. 의견표명 대상

(1) 감사 대상의 정의

 현행기준: 내부회계관리제도 운영실태보고

“내부회계관리제도 운영실태보고”검토[감사]는 운영실태보고에 포함되어야 하는
다음 항목에 대한 검토[감사] 수행으로 판단됨. 따라서 감사 대상은 내부회계관
리제도의 설계/운영(외감법 요구사항)과 관련된 사항과 내부회계관리제도 운영
실태보고가 될 것임.
∙ 평가기준일 및 준거 기준
∙ 내부회계관리제도 설계/운영의 적정성 평가하였다는 사실
∙ 유의한 미비점과 개선 사항
∙ 중요한 취약점 및 시정조치계획
∙ 외감법에서 제시하는 의무사항 (내부회계관리규정 및 보고 절차 등)

 AS5: 내부회계관리제도의 설계 및 운영의 적정성 직접 감사로 경영진의 운영실태보

고서에 대한 의견은 제시하지 않으나, 암묵적으로 동 과정도 내부통제의 일부로 감
사 대상에 포함됨.

(2) 감사인의 수행 업무 차이
∙ 검토의견: “중요한 취약점”을 발견하지 못할 수 있다는 가정하에 업무 수행
∙ 감사의견: 모든 “중요한 취약점”을 발견할 수 있는 충분한 감사절차를 취했음
을 확인할 수 있는 절차 수행 필요

16
 Ⅱ. 연구용역 주요 내용

∙ 감사 대상이 운영실태보고서 혹은 내부회계관리제도 자체로 정해지는 것과 무

관하게 외감법에 따라 회사는 내부회계관리제도의 설계/운영/평가/보고 절차를
수행할 의무가 존재함.
∙ 적극적 감사의견을 제시하여야 하는 감사인은 감사 의견을 표명하는 대상이 내
부회계관리제도 자체 혹은 내부회계관리제도 운영실태보고와 무관하게 내부회
계관리제도는 감사 대상에 포함되는 것으로 판단됨.

(3) 기준 적용 가능성
∙ 현 검토기준에도 검토 대상인 운영실태보고를 검토하기 위한 내부회계관리제도
의 설계와 운영에 대한 구체적인 기준이 제시되고 있으므로, 신규 감사기준에
도 동 항목이 포함되어 기술되어야 할 것으로 판단됨.
∙ AS5는 내부회계관리제도 자체 감사를 위한 구체적인 기준을 제시하므로 전체
적으로 도입이 가능함. 그리고 구 모범규준에는 이미 AS5 내용의 상당 부분이
반영되어 있어, AS5 기준의 감사기준이 적용됨에 이론적인 무리는 존재하지
않는 것으로 판단됨.
∙ 단, 적용 시 항목별로 한국의 실정 및 법규 구조의 고려가 필요한 것으로 판단
됨. 예> 연결 관련 된 부분 제외 등
∙ 일본 기준에 대한 적용 가능성 검토 내용은 다음 문단에서 상세 기술함.

(4) 감사인의 법적 책임
∙ 감사 의견 표명 대상을 운영실태보고서와 내부회계관리제도 자체로 정하는 부
분의 감사인의 법적 책임의 차이가 존재하는 지 확인 필요
* 연구자의 법적 전문지식이 충분하지 않은 바, 법률전문가의 판단이 필요함.

나. 감사 대상 재무제표

(1) 감사[검토] 대상 재무제표 범위의 정의

 내부회계관리제도 운영실태보고 대상 재무제표 범위

∙ 개별재무제표 관점에서 복수의 사업단위 및 복수의 사업장에 대하여 감사인이
수행하여야 할 절차 등을 기술 [문단9와 13]

 AS5 대상 재무제표 범위
∙ 연결재무제표 관점에서 그룹감사 시 감사인이 수행하여야 할 절차 등을 기술

17
내부회계관리제도 감사제도 도입에 따른 기업 및 감사인 대응방안

[문단33, B10-B16]
∙ 대상 피투자회사의 통제는 감사범위에 포함되지 않으며, 해당 계정, 관련 조정
사항 및 공시사항과 관련된 통제를 검토하는 것으로 기술되어 있음.

(2) 감사[검토] 대상 재무제표 범위 차이로 인한 영향

∙ 현재 재무제표 감사는 개별재무제표감사·연결재무제표감사·별도재무제표감사
3가지 형태로 수행되고 있음.
∙ 이 때, 각 재무제표 작성시, 관계기업 및 종속기업 투자주식에 대하여 다음과
같이 회계처리 하고 있음.

K-IFRS 일반기업회계기준
연결 대상 유무
개별재무제표 연결재무제표 개별재무제표 연결재무제표

종속회사가 없는 경우 관계회사: 지분법 N/A O (관계회사: 지분법) N/A

별도재무제표 적용 시
관계회사: 지분법, 관계/종속회사: 관계회사: 지분법,
종속회사가 있는 경우 관계/종속회사:
종속회사: 연결 지분법 종속회사: 연결
원가법 or 공정가치법

구분 개별재무제표 별도재무제표 연결재무제표

관계기업 및 종속기업 - 관계기업: 지분법

원가법 또는 공정가치법 지분법
투자주식 - 종속기업: 연결

∙ 각 재무제표의 관계기업 및 종속기업 투자주식에 대하여 내부회계관리제도 감

사[검토] 범위를 어떻게 규정할지에 대한 논의가 필요함.
∙ 동 논의 과정에서 종속기업의 내부통제에 대해 AS5에서 제시하는 수준(지분법
검토)의 검토가 적절한 것인지, 대상 종속회사의 내부통제를 감사범위에 포함
시킬 것인지가 주요 결정사항이 될 것임.
∙ 회사의 내부통제를 감사범위에 포함시키면 연결기준의 감사의견 제시와 다를
바 없음. 이에 개별(별도) 관점에서 이뤄지는 회계처리인 지분법, 원가법, 공정
가치법 적용과 관련된 부분의 내부통제만 적용되고 대상 회사의 통제활동은 대
상에서 제외되는 것이 적절할 것으로 판단됨.
∙ 동일한 이유로, 연결 재무제표 작성을 위한 재무보고 프로세스와 관련된 통제
활동도 감사 범위에서 제외되는 것이 적절할 것으로 판단됨.

18
 Ⅱ. 연구용역 주요 내용

다. 내부통제Framework vs 모범규준

(1) 내부통제 Framework

∙ 미국은 아래 그림과 같이 내부통제 Framework로 COSO 혹은 유사한 Framework
의 사용을 전제로 SoX와 SEC의 guide를 제시하고 있음.
∙ 한국은 COSO를 인용할 수 있도록 제시하였으나, 대부분의 회사에서 동일한
지위가 부여된 모범규준에 근거하는 것으로 운영실태보고서를 작성하고 있음.
∙ 구 모범규준은 별도의 내부통제Framework가 존재하지 않는 한국의 현실을
고려하여, 다음 내용으로 구성되어 있음.
- 내부회계관리제도의 정의 및 구성요소 - COSO의 요약된 형태
- 내부회계관리제도 평가와 관련된 세부 절차 및 사례 제시 - COSO, SEC
Management guide 및 AS5가 통합된 형태
∙ 현재 상기 사항을 고려하여 구 모범규준을 COSO부분, SEC guide, 사례 및
적용방안 등의 3가지 Part로 구분하고, SEC Guide에 대한 부분을 법적 근거
로 활용될 수 있는 부분으로 판단하여 해당 항목만을 모범규준으로 제정함.
∙ COSO부분은 내부회계관리제도 설계/운영에 관한 개념체계로 제시하며, 2013
update된 내용인 17개 원칙과 중점 고려사항을 반영하여 제시함. 실제 COSO
에서 제시하는 17가지 원칙은 한국 기업 practice상 적용이 어려운 부분이 존
재함. 특히 한국의 지배구조와 현재의 감사위원회 및 이사회 기능 등을 고려할
때, 통제환경과 리스크평가 components 관련 전사수준 통제가 적절하게 설계
되고 운영되기 어려운 측면이 존재한다고 판단됨. 최근 규제기관의 지배구조
개선과 관련된 요구 수준도 상향되고 있음.
∙ 회사의 COSO 관점 혹은 내부회계관리제도 설계 및 운영에 관한 개념체계 관
점에서 발생하는 미비점은 대부분 전사수준통제와 관련된 사항으로, 감사인은
거래수준통제활동의 감사 시 그 테스트 대상과 범위 등이 확대되어 적용하고
내부회계관리제도에 대한 결론을 제시할 때 신중한 고려가 필요할 것임. 물론
회사의 내부회계관리제도에 대한 결론 도출 과정이 적절한지 여부에 대한 감사
도 수행하여야 할 것임.

(2) 준거 기준 구조 (회사측면) –모범규준 변경에서 제시한 내용의 보충 설명임.

∙ 미국은 아래 그림과 같이 내부통제 Framework로 COSO 혹은 유사한 Framework
의 사용을 전제로 SoX와 SEC의 guide를 제시하고 있음.

19
내부회계관리제도 감사제도 도입에 따른 기업 및 감사인 대응방안

라. 검토 vs 감사

(1) 현 내부회계관리제도 검토 현황 – 감사인 측면

∙ 소극적 확신: 운영실태보고서에 소극적 의견을 표명하는 것으로 내부회계관리
제도의 “중요한 취약점”을 발견하지 못하는 것이 용인될 수 있음.
∙ 현재 감사인은 운영실태보고서 검토에 필요한 수준의 업무를 수행하고 있음.
단 ISA에서 언급되는 내부통제의 활용을 통한 입증감사가 축소를 목적으로 내
부통제 테스트(부분적으로 수행)를 수행하고 있는 상황임. 즉 내부회계관리제도
자체에 감사 의견을 제시하기 위한 작업은 수행하고 있지 아니함.
∙ 실제 F/S 감사기준에서 요구되는 위험평가에 기반한 내부통제 테스트가 적절
히 이뤄지지 못하는 경우도 실무적으로 존재함. 이는 내부회계관리제도 검토의
느슨한 테스트 방법이 악 영향을 미치는 경우가 존재하기 때문이기도 함.

(2) 현 내부회계관리제도 검토 현황 – 회사 측면
∙ 현재까지 회사와 관련한 regulation의 변화는 주주 직접보고, 교육 이수 관련
내용만 존재하여, 내부회계관리제도 자체에 대한 변화 사항을 존재하지 아니함.
∙ 많은 기업이 내부회계관리제도에 대한 “적정”의견을 받아 왔고, 자사의 내부회
계관리제도가 적정하다고 판단함. COSO 등 내부통제Framework에 대한 이해
가 부족한 경우는 많은 개선이 필요하다 판단하지 않는 경우가 상당함.

20
 Ⅱ. 연구용역 주요 내용

∙ 또한, COSO등 내부통제Framework에 대한 이해가 충분한 경우는 실질적인

운영을 위해 방대한 개선이 요구되는 바, 실무적으로 이를 적용하는 방안에 대
한 많은 애로 사항이 존재한다고 판단함.
∙ 공통적으로 CEO에 대한 지원 요구나 설득은 용이하지 않은 것으로 판단됨.

(3) 향후 실질적인 내부회계관리제도의 운영이 이뤄지지 않으면, 감사의견 변형 가능

성이 높아질 것으로 예상

(4) 실질적인 내부회계관리제도 운영을 위한 필요 사항

 제도 측면
∙ 회사의 적극적인 대응을 유발하는 추가 규정의 고려: 현재 규정 측면에서 변
화되는 사항이 미미
∙ 공시제도와 내부회계관리제도와의 연관관계를 고려한 제도 개선
∙ 공시 및 내부회계관리제도 감리 방안 명시
∙ 제도 시행 이전에 모범규준, COSO 등을 고려한 명확한 회사의 준거 기준 제시
∙ 제도 시행 이전에 감사기준의 제시
∙ 2가지 기준은 한국의 현황을 반영한 규준이 제시가 이뤄져야 함.

 감사인 측면
∙ 내부회계관리제도 감사에 대한 명확한 이해 및 Resource 확충
∙ 감사기준에 의거 감사인으로서 회사와의 협의 (내부회계관리제도 update시
주요 항목)

 회사 측면
∙ 검토와 감사와의 제도 차이에 대한 명확한 이해
∙ “내부회계관리제도 준거기준”에 따라 감사대상년도 이전에 내부회계관리제도
update (ex> 2019년 감사 대상은 2018년 9~10월말까지)
∙ 전문인력 확보 필요

마. 위험평가절차

(1) 현행 검토 기준
∙ 현행 검토 기준은 COSO components의 위험평가절차에 대한 일반 내용만 기
술됨. 이는 모범규준에서도 위험평가절차에 대한 구체적인 사항의 기술은 이뤄
지지 않음.

21
내부회계관리제도 감사제도 도입에 따른 기업 및 감사인 대응방안

∙ 이는 한국의 Practice상 내부통제의 “위험평가” component 관련 업무가 적절

히 이뤄지기 어려운 상황을 반영한 것으로 판단됨. 그러나, 동 Component는
COSO의 5가지 component 중 하나의 항목으로 동 사항이 누락되는 것은 적
절치 않은 것으로 판단됨.
∙ 앞에서 제시한 대로 COSO에서 제시하는 통제환경과 리스크 평가와 관련된 구
체적인 지침은 제공하되, 한국의 현실을 고려하는 방안이 제시되는 것이 바람직
할 것으로 판단됨.

(2) 경영진의 책임
∙ 대응 방안: 차이점이 현재 외감법에 기술되어 있는 “내부회계관리규정의 제정/시
행 및 운영실태 보고 관계”의 추가 내용에 대한 기술이므로 향후 외감법 개정
안을 고려하여 기술 방안 결정하는 것이 적절할 것으로 판단됨.

바. 서비스조직 이용 시, 관련 절차

(1) 현황 및 고려 사항
∙ 현행 검토기준에서는 회사가 서비스 조직을 이용 시, 감사인이 수행할 절차에
대해 기술되지 않음.
∙ 그러나, 모범규준은 일반적으로 감사인의 내부통제 Framework이므로 모범규
준에 포함된 내용을 고려하여 검토를 수행하는 것이 적절함.
∙ 향후 서비스조직 이용과 관련된 사항은 감사기준으로 명시하여 포함하는 것이
적절할 것으로 판단됨.
∙ 현재 이미 “서비스조직의 통제에 대한 인증업무 기준”을 국제기준(ISAE3402)과
동일하게 이미 도입한 상태로 구체적 인증기준은 제도적으로 미비한 부분은 없
는 것으로 판단됨.
∙ 내부회계관리제도가 감사로 전환되는 경우 감사인의 인증보고서 요구가 증가할
것으로 예상되므로, 현재 명확하지 않은 “대상”에 대한 정의를 포함한 기업을
위한 실무적인 guide가 필요한 것으로 판단됨.

사. 통합 보고 방식

(1) 보고 방식의 차이의 정의

 내부회계관리제도 운영실태보고
∙ “내부회계관리제도 운영실태보고”에서는 감사보고서에 별첨 형식으로 의견 표명

22
 Ⅱ. 연구용역 주요 내용

 AS5는 별도보고서 혹은 통합보고서 선택 가능

∙ 2개의 감사는 불가분의 관계를 유지하고 있으므로 의견의 표시 방식과 무관
하게 2개의 감사는 통합된 방식으로 수행할 것을 기술
∙ 이는 ISA에서도 제시하는 방식으로 적절한 것으로 판단됨.

(2) 보고 방식의 차이로 인한 영향

∙ 현재 내부회계관리제도의 범위가 연결을 포함하지 않으므로, 주 재무제표가 연
결인 경우를 고려하면 기존 방식대로 개별 감사보고서에 별첨 형식으로 의견
표명이 타당할 것으로 판단됨.
∙ 이에 연결F/S에 대한 내부회계 도입 이전까지는 통합 보고 방식을 도입하지 않
고 재무제표 감사와 연계하는 방안만을 기술하는 것이 적절할 것으로 판단됨.

23
 내부회계관리제도 감사제도 도입에 따른 기업 및 감사인 대응방안

3. 일본 내부회계관리제도와 내부회계관리제도 비교 분석

1) 차이내역 리스트
No 구분 중요도 한국 내부회계관리제도 J-SOX Ref
1 감사(검토) 대상 1 H 내부회계관리제도의 운영에 대한 경 내부회계관리제도의 운영에 대한 경 A
영자의 주장에 대한 ʻʻ검토ʼʼ (소극적 영자의 주장에 대한 “감사” (적극적
확신) 확신)
(실시기준 III, 1)

2 감사(검토) 대상 2 M 개별 회사 기준 (개별 재무제표) 연결 실체, 지분법 대상 회사, 서비스 A

조직, 주석정보까지 포함
(실시기준 II, 2)

3 내부통제 개념체계 M 미국과 동일한 개념체계를 차용하여
3개의 Objective와 5개의 Component
로 구분
1) 3개의 Objectives: Compliance,
Operation, Financial reporting
2) 5개의 Component: Control
environment, Risk assessment
and response, Control activities,
Monitoring, Information &
communication
미국, 한국과 달리, 4개의 Objective
와 6개의 Component로 구분
1) 4개의 Objectives: Compliance,
Operation, Financial reporting,
“Safeguarding of asset”이 추가
2) 6개의 Component: Control
environment, Risk assessment
and response, Control activities,
Monitoring, Information &
communication + “Response to
IT”가 추가
(실시기준 I, 1)

4 IT부분에 대한 강조 L 관련 구체적 언급 부재 일본의 경우, 5개의 Component 중

통제활동의 일부인 IT통제활동에 대
해 ʻʻRespond to ITʼʼ라는 별도의 항목
을 신설하여 IT부분을 강조함.
1) 시스템의 개발과 유지
2) 시스템의 운영 및 관리
3) 시스템 보안
4) IT 아웃소싱 관련 계약관리 등으로
구체적인 Guidance 제공
(실시기준 I, 2, (6))

5 내부통제제도에 대한 M 외감법 2조의 2 & 증권거래법 186조 1) ʻʻ신회사법ʼʼ상으로는 상장회사의

법률상 위치 의 5에 명문화 경우내부통제를 구축할 것을 원
칙적으로 선언 (362조 제4조 6항
& 416조 제1항 1조)
2) “금융상품 거래법” 제 24조에 상장
기업의 경우 매년 내부통제보고서
를 유가증권보고서와 함께 내각총
리대신에게 제출해야 한다고 규정
6 내부통제 Framework M 내부회계관리제도운영위원회 금융청 (금융회계심의회)
제정주체

24
 Ⅱ. 연구용역 주요 내용

No 구분 중요도 한국 내부회계관리제도 J-SOX Ref

7 내부통제에 H 내부회계관리제도 운영평가보고서에 “내부통제 평가 및 감사에 관한 실시 A
대한경영자의 주장에 대한 검토를 위한 상세한 방법론 부재 기준 상 내부회계관리제도 운영에
대한 감사방법론 대한 경영자의 주장에 대한 감사방
법론” 존재
1) 경영진 내부회계 scoping 방법론
적정성 검토
2) “경영진의 Entity Level Control에
대한 평가”에 대한 평가
3) “경영진의 Process Level Control
에 대한 평가”에 대한 평가
(실시기준 II, 2)
8 Scoping assessment M 검토이므로, CLC(Company Level 기본적으로 CLC평가가 우선적으로
방법론 Control) 평가와 PLC(Process Level 선행되고, 이의 평가 결과를 고려하여
Control) 평가간 연관관계를 명확하 PLC평가시에 고려하라는 식으로 언급.
게 제시하지 않음. 이에 대한 구체적 내용으로 CLC와 결
산 프로세스는 회사 집단 전체 관점
뿐만 아니라, 모든 location에 있는 개
별 회사들 관점에서도 모두 고려하라
고 되어 있고, 중요하지 않은 location
은 스콥에서 제외해도 된다고 표현되
어 있음.
(실시기준 II, 2, (2))
9 기말결산 프로세스에 M 언급 없음. 기말결산 프로세스의 경우, 다른 일반
대한 추가적 고려 프로세스와 달리 더 중요한 측면이 있
기 때문에, 회사 그룹 집단 관점에서
뿐만 아니라 여러 프로세스 중에 하나
의 프로세스라는 프로세스 관점에서
모두 살펴볼 필요가 있다고 강조.
- Company Level Control은 그룹회
사 집단 관점에서, 그리고 개별회사
관점으로 모두 기말 결산 프로세스
검토 필요
- 기말 결산 프로세스는 Process
Level Control 관점에서 개별 프로
세스의 일부로서 적절한지 검토도
필요하다 언급
(실시기준 II, 3, (3))
10 경영진에 의한 H 위험평가결과를 외부감사인과 공유 내부통제에 대한 평가시 Scope B
내부통제에 대한 하는 것이 바람직하다는 문구만 존재 assessment는 경영진이 1차적으로
scoping에 대한 수행하고, 해당 방법론 및 scoping 결
외부감사인과의 과를 외감인과 “사전적으로” 논의하
의견 조율 여 확정하도록 하고 있음.
(실시기준 II, 2, (2))
11 Key Control H 언급 없음. 회사와 경영진이 합의하여 결정한 B

25
 내부회계관리제도 감사제도 도입에 따른 기업 및 감사인 대응방안

No 구분 중요도 한국 내부회계관리제도 J-SOX Ref

확인 Scope내에서 경영진이 1차적으로
(외부감사인) Key control과 Non Key를 구분하고,
외감인이 이를 검토하도록 하고 있음.
(실시기준 III, 4, (2))
12 설계의 효과성에 대한 L 검토이므로 전사수준통제에 대한 이 경영진이 1차적으로 설계 평가를 수
평가 해만 포함되고 설계 평가 필요성은 언 행하고, 외감인은 경영진이 이의 적절
(외부감사인) 급되지 아니함. 성을 판단하기 위해 수립한 내부통제
를 이해해야 한다고 언급
(실시기준 III, 3)
13 운영의 효과성에 대한 H 언급 없음. 경영진이 1차적으로 수행하고, 미비한 B
평가 (모범규준은 기본적으로 회사를 위한 부분은 회사가 추가적으로 테스트를
(외부감사인) 기준으로 외감인에 대한 언급이 기본 수행하게 하거나, 필요시 추가적으로
적으로 부재) 직접 테스트 할 수 있다고 되어 있음.
(실시기준 III, 4, (2)
14 미비점의 분류 H 3가지 카테고리로 분류 (미비점, 유의 미비점, 중요한 취약점 2개만 존재(양 C
한 미비점, 중요한 취약점) 적, 질적 중요성을 모두 고려해서판단)
(실시기준 II, 1)
15 보고서 발행 방식 M 별도 작성하여 첨부 [문단 11.3] “내부통제 평가 및 감사에 관한 실시
기준”에 원칙적으로 재무제표 감사
보고서와 내부통제 보고서가 통합되
어 보고되어야 한다고 기술됨 (별도로
하는 것도 가능한 것으로 이해됨.)
(기준 서문 2, (3))
16 다른 국가에서 H 관련 문구 없음. 내부통제 평가 및 감사에 관한 실시기 C
운영되는 준상 적절한 내부통제의 보고와 관련
내부회계관리제도의 된 Regulation이 있는 국가에서 수행
이용 한 내부통제의 평가를 이용할 수 있다
고 명시
(실시기준 II, 2, (1))
17 다른 감사인이 수행한 H 관련 문구 없음. 내부통제 평가 및 감사에 관한 실시 C
업무의 이용 기준상 원칙적으로 다른 감사인이 수
행한 절차를 통해 나의 절차를 대체할
수는 없음. 하지만 다른 감사인이 (회
사의 내부감사인 등) 수행한 업무의
적정성을 평가하여 적절한 경우 감사
증거로 활용할 수 있다고 되어 있음.
(실시기준 III, 4, (6))
18 중소기업 등에 대한 M 검토절차보다 완화된 기준 적용 가능 / 내부통제 평가 및 감사에 관한 실시기
감사[검토] 특례 모범규준에는 소극적 확신 표명 가능 준에 예시를 들며, 소규모, 복잡성이
낮은 회사 등 회사 상황에 따라 감사
절차를 달리할 수 있다고 언급 존재
(실시기준 I, 1)
19 내부통제 감사인의 M 동일한 인원이 수행함을 외감법에서 내부통제 평가 및 감사에 관한 실시기
지위 제시하고 있음. 준에 외감인과 내부통제감사인은 반

26
 Ⅱ. 연구용역 주요 내용

No 구분 중요도 한국 내부회계관리제도 J-SOX Ref

드시 동일한 자이어야 한다고 규정(동
일한 법인 이어야하고 & 동일한
Engagement Partner이어야한다고
규정)
(실시기준 III, 2)
20 잔여기간 Test 방안 L 내부회계관리제도 모범 규준 상 내부통제 평가 및 감사에 관한 실시기준
3.9.1 테스트 수행시기에 유사한 문 에, Practice Standards II상에 Interim
구가 존재함. date이후에 통제상의 심각한 변화 등이
존재할 경우, 해당 변경을 고려하여
기말기간까지 테스트를 수행할 것을
상세히 기술됨. (실시기준 II, 3, (3))
21 후속사건 L 언급 없음. 내부통제 평가 및 감사에 관한 실시기
준에 Material impact가 있으면 후속
사건에 대하여 감사보고서에 상세기
술 포함 필요
(실시기준 III, 5, (3))
22 계속감사시 CAKE L 언급 없음. 내부통제 평가 및 감사에 관한 실시기
(Cumulative Audit 준에, Practice Standards II상에 과
Knowledge and 거 감사결과 등에서 파악된 위험평가
Experience) 활용 결과 특히 IT의 경우 automated
control등 위험이 낮은 통제에 대해서
는 과거 평가 결과를 활용할 수 있다
고 언급되어 있음.
(실시기준 II, 3, (3))
23 범위제한시 의견 L 언급 없음. (소극적 의견이므로) 테스트를 수행하지 못한 스콥이 재무
(Scope Limitation) 제표에 심각하지 않은 경우, 한정의견
with 예외사항 또는 심각한 영향이 있
다고 판단되는 경우 의견거절
24 감사기간 내 중요한 M 검토결과 표시문단에 기재 부적정 (또는 한정의견)
취약점이 있는 경우 1) 감사기간 내에 중요한 취약점이 기
보고 말 전에 Remediation된 경우: 적정
의견,
2) 감사기간 내 중요한 취약점이 개선
되지 않았으나, 경영진이 제시한 기말
이후 계획 조치사항이 적절하면 한정
의견 with exception / 계획 조치가
부적절하다 판단되면 부적정 의견
(실시기준 III, 5, (2))
25 감사보고서 일자 L 언급 없음. 내부통제 평가 및 감사에 관한 실시기
준에, “재무제표에 대한 감사보고서”
와 “내부통제에 대한 감사보고서”가
함께 제출되어야 한다는 문구가 존재
하여 암묵적으로 감사보고서 일자가
존재하는 것으로 암묵적 가정
(기준 서문 2, (3))

27
 내부회계관리제도 감사제도 도입에 따른 기업 및 감사인 대응방안

No 구분 중요도 한국 내부회계관리제도 J-SOX Ref

26 감사인의 서면 보고 L 언급 없음. 명확한 언급 없음. (암묵적으로 감사
종결 단계에서 감사인의 이사회 또는
감사 위원회에 서면 보고하는 것으로
암묵적 가정)
27 경영자의 책임 L 내부회계관리제도 설계/운영 책임 이 내부통제 평가 및 감사에 관한 실시기
외에 외감법 규정한 내용에 따라 추가 준에 내부회계관리제도의 설계/운영
내용 기술 [문단1.3] 책임은 경영진에 있음을 명시함.
- 이사회가 승인한 내부회계관리규 (실시기준 II, 4, (1))
정의 시행
- 책임, 권한, 보고관계의 명확화

2) 주요 차이 내역

가. 의견표명 대상

(1) 현황

∙ 한국의 내부회계관리제도나, 일본의 내부회계관리제도 모두 “내부회계관리제도의

운영에 대한 경영자의 주장”에 의견을 표명하는 것으로 의견을 제시하는 대상은
동일함.

∙ 하지만 한국의 경우 해당 경영자의 주장에 “소극적 의견” 제시, 일본의 경우,

“적극적 의견”을 제시한다는 측면에서 Assurance의 강도에 차이가 존재함.

∙ 한국의 경우, 상법의 영향에 따라 개별 회사의 재무제표를 대상으로 의견을 주는

데 반해, 일본의 경우 연결대상 실체를 기준으로 의견을 표명하는 것을 원칙으로
하고 있음.

∙ 일본의 경우 한국과 달리, 연결 대상뿐만 아니라 지분법 대상인 회사, 회사의 중

요한 프로세스가 외부 아웃소싱 되고 있을 경우 해당 외부 서비스 조직 까지도
모두 감사 대상으로 정의하고 있음. 한국 내부회계관리제도 역시 서비스 조직에
대한 언급은 존재하나 지분법 대상 회사에 대한 별도 언급은 존재하지 않는 상
태임.

∙ 일본의 경우, 외부감사인이 “내부회계관리제도의 운영에 대한 경영자의 주장”에

적극적 의견 표명을 하고 있는 만큼 “내부통제 평가 및 감사에 관한 실시기준”
상에 외부감사인이 이를 어떻게 감사할 것인가에 대한 감사 방안이 존재함. 이
는 한국 내부회계관리제도가 “내부회계관리제도의 운영에 대한 경영자의 주장”
에 외부감사인이 어떤 검토 방식을 취해야 하는지 상세한 언급이 존재하지 않는
것과 대조를 보임.

28
 Ⅱ. 연구용역 주요 내용

∙ 일본의 “내부통제 평가 및 감사에 관한 실시기준”에는 1) 경영진의 내부회계

scoping 방법론 적정성 검토, 2) 경영진의 Entity Level Control에 대한 평가
에 대한 평가 3) 경영진의 Process Level Control에 대한 평가에 대한 평가의
방식으로 구분하여 외부감사인의 방법론을 제시하고 있음.

(2) 비교를 통한 주안점

∙ 일본의 경우와 같이 “내부회계관리제도에 대한 경영자의 주장”에 적극적 확신을

주는 방식으로 변경할 경우, 그 대상 범위를 미국, 일본과 같이 연결 실체, 지분
법 대상 회사, 서비스 조직에 까지 확장하여 주는 방식에 대한 추가적 고려 필요
가 필요한 상황임.

∙ 연결 실체로 감사 대상 범위를 확장하지 않고, 현행대로 개별 재무제표를 대상으

로 “적극적 확신”을 주는 방식으로 개정할 경우 연결 대상 자회사 또는 지분법
대상 자회사의 내부통제 부실은 의견 표명 대상에 포함되지 않아 외부 감사인이
표명한 “적극적 의견 표명”이 그 전체 기업 집단의 내부통제 부실을 대표하지 못
할 위험이 상당히 큼.

∙ 일본과 같은 방식으로 변경하는 것을 고려하였을 경우, 내부회계관리제도 모범규

준 혹은 외부회계감사기준 등에 경영진이 작성한 운영실태보고서의 감사를 위한
구체적인 방안을 추가적으로 제시하는 것이 필요함.

나. 감사절차

(1) 현황

∙ 일본 “내부통제 평가 및 감사에 관한 실시기준”에 경영진은 Scope assessment

를 수행한 뒤에 이를 외부감사인과 사전적으로 논의하여 확정하라고 규정하고
있음. 이때 외부감사인은 경영진에 의한 판단에 따른 감사 대상 스콥이 부적절
한 경우, 경영진에게 추가적인 Scope assessment 절차를 요구하도록 규정 하
고 있음.

∙ Key통제와 Non-Key 통제를 구분함에 있어서도 경영진이 우선 1차적으로 이를

분류하고 외부감사인은 경영진이 수행한 분류 기준, 분류의 적정성 등을 검토하
도록 규정하고 있음. 경영진이 분류한 Key통제와 외부감사인이 판단한 key통제
가 다를 경우, 경영진이 이를 추가적으로 반영하도록 요구할 수 있고, 독립적으
로 추가된 key 통제에 대해 테스트를 수행할 수 있음.

29
내부회계관리제도 감사제도 도입에 따른 기업 및 감사인 대응방안

∙ 운영의 효과성을 평가하기 위해 외부감사인이 내부 통제 운영의 효과성을 독립

적으로 샘플링 테스트를 수행하여 검토할 것을 원칙으로 제시하고 있지만, 경영
진이 수행한 운영 테스트 방법이 합리적일 경우 해당 샘플을 그대로 활용할 수
있다고 언급되어 있음.

(2) 비교를 통한 주안점

∙ 경영진이 Scope assessment를 수행한 뒤에 “내부회계관리제도에 대한 경영자

의 주장”을 표명하기 전에 외부감사인과 이를 사전적으로 논의하여 확정하라는
것은 실제 운용 상에 있어 큰 의미를 가진다고 판단됨. 대상 Entity, 대상 Unit
등 Scope assessment를 수행한 뒤에 외부감사인과 감사 대상 범위를 사전적으
로 확정함으로써, 회사는 감사 대상 스콥에 대해서만 회사의 자원을 집중하여
실제 내부통제 설계 및 운영 테스트 등 관리를 수행할 수 있는 효율성 확보가
가능해짐. 하지만 미국과 같이, 회사의 내부통제에 직접 의견을 표명하는 경우,
원칙적으로 외부감사인은 회사와 독립적으로 회사가 수립한 내부통제를 검토하
는 것이기 때문에 회사 입장에서는 모든 Entity, 모든 Unit을 대상으로 기본적
내부통제를 관리하고 있어야 한다는 측면에서 회사가 관리해야 되는 대상 통제
의 범위에 차이가 원칙적으로 존재함.

∙ 한국 내부회계관리제도에는 Key통제/Non-Key통제에 대한 언급이 부재함. 이에

반해 일본의 내부회계관리제도는 감사대상 Scope내에서 통제의 분류에 있어
Key통제이냐 Non-Key 통제이냐의 구분에 대한 언급이 존재함. 이는 스콥 내
여러 통제 중에서도 재무보고를 위한 내부통제 상 Key통제 분류를 통해 회사의
자원을 Key통제의 관리에 집중하여 감사의 효율성을 확보하기 위한 목적임.
Key통제의 관리에 있어서도 “내부통제 평가 및 감사에 관한 실시기준”에 원칙적
으로 외부감사인은 경영자가 분류한 Key통제의 합리성에 대해 충분한 증거를
확보해야 한다고 명시하여, 회사의 1차적 분류를 기준점으로 제시하고, 이의 분
류의 적정성을 검토하여 경영진에 추가적 Key통제 반영을 통한 관리를 유도하
거나, 독립적으로 해당 통제를 직접 테스트할 수 있도록 할 수 있게 하도록 규정
하여 그 운영에 있어 유연성을 부여하였음.
이는 극단적으로 가정하면, 외부감사인이 분류한 key통제가 회사가 분류한 Key
통제가 일치하는 경우, 추가적으로 취해야 하는 절차가 없으며, 외부감사인이 판
단하여 추가한 Key통제에 대해서만 추가적 절차를 취하면 되어, 회사와 외부감
사인의 업무 부담이 경감된다는 장점이 존재함.

30
 Ⅱ. 연구용역 주요 내용

∙ 운영의 효과성을 위한 샘플 테스트의 경우에도, 회사가 선정한 샘플이 합리적인

경우, 추가적 샘플을 선정하여 증빙을 요청하는 대신, 회사의 샘플을 그대로 활
용할 수 있다고 하여, 회사와 감사인 모두의 부담을 줄여주고 있음.

∙ 상기와 같이, 일본의 내부회계관리제도는 기본적으로 스콥, Key 통제의 구분,

운영의 효과성 테스트 등 전반적인 재무보고를 위한 내부통제의 운영은 회사가
수행하는 것이고, 외부감사인은 해당 부분 중 미비한 점을 확인하여 미비한 부
분에 대해서만 외부감사인이 경영진이 추가적으로 고려하도록 요구하거나 직접
테스트하는 방식을 취하여 “내부회계관리제도에 대한 경영자의 주장”이 적절한
지 의견 표명을 하는 간접 재제 방식임.

다. 감사인 및 회사의 부담에 미치는 요소

(1) 현황

∙ 한국 내부회계관리제도는 미비점을 미비점, 유의한 미비점, 중요한 취약점 3개의

카테고리로 분류하고 있는 반면에 일본은 “내부통제 평가 및 감사에 관한 실시
기준”에 미비점은 미비점과 중요한 취약점으로만 이원화하여 분류하고 있음

∙ 일본의 재무보고를 위한 경우, 감사 대상 회사의 해외 자회사, 지점 등 감사 대상

프로세스가 해외에 존재하는 경우, 적절한 내부통제의 보고와 관련된 Regulation
이 해당 국가에 존재하면 해당 국가에서 수행한 내부통제 평가를 그대로 활용할
수 있다고 언급하고 있음.

∙ 뿐만 아니라, 다른 감사인이 (회사의 내부감사인 포함) 회사의 내부통제에 대해

서 수행한 업무가 기 존재하는 경우, 다른 감사인의 업무 수행 건을 이용할 수
있다고 언급하고 있음 (단 “다른 감사인의 업무의 적정성을 고려하여”라는 단서
조항을 제시).

(2) 비교를 통한 주안점

∙ 미비점을 미국이나 한국과 달리 단순하게 이원화할 경우, 한국, 미국에서는 유의한

미비점으로 분류된 건들에 대해서, 해당 건이 보고 대상이 될만한 중요한 취약점이
나 아니냐를 더 고려하여 판단해야 하기 때문에 회사와 감사인의 부담을 더 주는
측면이 존재함. 애매한 중간 영역이 부재하기 때문에, 유의한 미비점 중 중요한 취
약점으로 분류되어야 하는 건에 대한 판단에 회사와 외감인의 합의된 의견 도출에
시간과 비용이 투입되는 요소가 존재함.

31
내부회계관리제도 감사제도 도입에 따른 기업 및 감사인 대응방안

∙ 반면에 감사 대상 스콥에서 해외 Regulation에 따라 작성된 재무보고를 위한 내부

통제 평가를 그대로 활용할 수 있게 한다거나, 다른 감사인이 수행한 내부통제 평
가를 그대로 활용할 수 있도록 규정함으로써 회사와 외부감사인의 부담을 경감시켜
주는 요소들 또한 존재함.

3) 일본 내부회계관리제도 검토 결론

∙ 일본의 내부회계관리제도는 한국의 내부회계관리제도와 비교하였을 경우, 표면적으

로는 그 의견 표명 대상이 연결 실체로 감사 대상이 넓고 확신의 정도도 적극적 확
신으로 그 강도가 상대적으로 강하다고 할 수 있음.

∙ 하지만 그 실질적 감사 절차에 있어서는 감사 대상 스콥을 경영진과 감사인이 사전

적으로 협의하여 결정하도록 하고, 감사인이 운영 테스트를 수행시 경영진이 테스트
에 활용한 샘플을 그대로 활용할 수 있게 하게 하며, 타 국가에서의 내부통제 평가
를 활용한다거나 다른 감사인이 수행한 것을 활용할 수 있게 함으로써, 절차의 유연
성을 열어둔 측면이 존재함.

∙ 일본의 내부회계관리제도는 외부감사인의 입장에서는 회사가 취한 절차나 방법론에

대한 감사를 원칙으로 하고 경영진이 취한 절차나 방법론에 미비한 부분에 있어서만
외부감사인이 경영진에게 추가적 검토 절차를 취하게 하거나, 아니면 직접 해당 내
부통제를 직접 테스트하는 방식으로 업무의 효율성을 극대화한 제도라 판단됨.

∙ 하지만 내부통제에 대한 직접 테스트를 통한 실질적 내부통제 작동에 대한 확인 없

이, 회사가 외부감사인에게 제시하는 형식적으로 보여지는 수행 절차나 방법론에만
의존하여 부분적으로 직접 테스트가 이루어질 경우, 해당 회사의 내부통제의 설계
및 운영의 효과성을 제대로 확인하지 못한 채, 경영진이 표명한 재무보고를 위한 내
부통제의 주장이 적정하다고 의견을 표명할 위험이 존재함.

4) 일본감사기준 번역 및 세부 검토 기반 추가 차이 분석 참고
다음에서 일본 감사 기준 검토(별첨 제시)를 수행하고 미국의 감사기준 및 한국의 검토
기준과 비교하여 발생하는 차이 내역 중 주목할만한 항목을 정리 제시함.

가. 내부 통제 감사의 목적
∙ 감사인의 의견표명: 회사의 내부통제 보고서에 대한 의견을 표명함을 명확히 제시함.
∙ 감사인이 경영진의 주장과 관련된 내부통제의 설계 및 효과성에 대해 직접 감사
증거를 충분히 획득하여야 함을 명시함.

32
 Ⅱ. 연구용역 주요 내용

나. 중요한 취약점 존재 시 F/S 감사

∙ 중요한 취약점으로 인하여 내부통제가 효과적이지 않을 때, 외부 감사인은 감사 기
준에 따라 내부 통제에 의존하는 샘플링 테스트를 적용할 수 없음을 명시함.

다. 내부통제에 대한 개선 관련 감사인 communication

① 감사인은 내부통제 미비점에 대하여 경영진에게 개선 요청하여야 하며, 외부 감사
인이 아닌 회사나 경영진이 개선 업무를 수행한다면, 내부통제 설계와 관련한 의
견교환이나 제안은 금지하지 않음을 명시함.
∙ 감사 과정 중에 발생하는 일반적인 절차로 감사기준에 반영을 고려. 단, 설계관
련 용역과 구분되어야 함.

라. 평가 범위의 적정성 평가

① 감사인은 회사가 평가 대상을 정하는 과정 및 회사의 준거 기준(2장)을 잘 준수하

였는지 여부를 평가하여야 함(ex 사업장, 사업단위, 업무프로세스).
∙ 일본은 회사의 보고서를 기준으로 의견을 제시하므로, 회사의 평가 절차가 부적
절하다고 판단되는 경우 이를 지속적으로 의사 소통하여 적절한 평가가 이뤄질
수 있도록 하고, 해당 과정이 포함된 보고서에 대한 의견을 표명하는 상황. 즉
경영진의 평가와 감사인의 평가 결과가 일치하게 되는 사항을 명시적으로 제시
∙ 미국도 경영진의 평가과정을 검토하나 의견 표명의 직접 대상은 아니므로, 관련
내용이 명시적으로 제시되지 않음(이사 경영진이 수행하는 절차 관련 사항은 동
일함).
∙ 회사가 준수할 기준에 대하여 “Practice Standard II 내부회계관리제도 평가와
보고” 에서 “특정 비율”에 도달할 때까지로 기술됨. 예를 들어 전사수준통제가
효과적으로 작동하는 경우 “특정 비율”은 연결 기준 총 매출액의 3분의 2등의
비율일 수 있음으로 간단한 예시만 제시함.
∙ 기준에 부합하는 한 회사 평가 범위가 감사인의 평가 범위가 반드시 일치할 필
요는 없으나, 관련 내용의 적정성을 감사인이 평가하고 지속적으로 의사소통하
는 것은 필요할 것으로 판단됨.
∙ 한국의 대상 F/S가 개별/별도 F/S를 기반인 것으로 고려하여 사업장/사업부 등
의 업무 프로세스 결정 시 적용 방안을 고려하는 것이 필요하다 판단됨.

② 전사수준통제의 평가 결과에 따라 경영진이 업무 프로세스 평가의 범위, 방법 등

을 조정한 경우, 그 적정성을 평가하고 조정이 적절하지 않다고 판단하면 경영진
에게 추가 절차를 수행하도록 요구

33
내부회계관리제도 감사제도 도입에 따른 기업 및 감사인 대응방안

∙ 앞에서 기술한 평가 범위와 동일한 방식의 approach로 상위 수준의 표현을 통

해 수용하는 안을 고려하는 것이 적절할 것으로 판단됨.

③ 경영자가 범위 재조정 등으로 새로운 범위에 대한 재평가 절차를 수행 시, “경영

진이 제한된 기간으로 인해 재평가 절차가 어려울 경우 경영진이 평가 범위를 결
정한 후, 필요시 외부 감사인은 경영진과 그 범위를 결정한 방법, 근거 등에 관하
여 의사소통해야 한다” 라고 기술됨.
∙ 명확한 기술은 없으나 다소 완화된 평가 범위의 적용이 가능하다는 의미로 해석
됨 – 사전에 철저한 준비를 하는 기업과 배치될 수 있음. ex> 연말에 사업양수
도, 대규모 시스템 open 등 지양
∙ 실무적으로 12월에 갑자기 큰 변화가 생기는 경우에 대한 고려는 일부 필요할
수 있으나, 일반적인 경우는 조기에 의사소통을 통해 해결하는 것이 적절할 것
으로 판단됨.

마. 내부통제 감사의 수행 - 전사수준통제평가에 대한 평가

① 전사수준통제의 적정성 평가를 필수 절차로 명시하고 있으며, 전사수준통제 중 통

제환경의 테스트 시 증빙이 남지 않는 경우, 질문이나 관찰을 통해 평가해야 한
다고 명시함.
∙ AS5와 같이 “경영진의 의지”, “의사소통”등 일부 항목으로 인해 적극적 활용이
아닌 제한적 활용이 적절할 것으로 판단됨.
② 전사수준통제에서의 미비점이 중요한 취약점을 구성하는지 여부를 결정할 때 미비
점 평가 기준은 회사의 기준과 동일함. (“II 내부회계관리제도 평가와 보고” 준용)-
미국과 유사함 참고목적으로 제시
∙ 회사의 미비점 평가 기준
- 미비점 평가: 전사수준통제에서의 미비점은 궁극적으로는 재무보고의 내용에
도 직접 또는 간접적인 영향을 미치므로 전사수준통제에 미비점이 있는 경
우에는 중대한 왜곡표시의 발생가능성에 대한 신중한 고려가 필요함.
- 전사수준통제가 효과적이기 위해 회사가 선택한 개념체계에 따라 설계/운영
하고, 전사수준 통제가 거래수준통제의 효과적인 설계/운영을 지원하여, 내
부통제의 전체 구조를 적절히 구성한다는 조건을 만족해야 함.

바. 내부통제 감사의 수행 - Process-Level 통제평가에 대한 평가

① Process-Level 통제 운영 상태에 대한 평가: 통제 운영의 증빙을 확인하기 어려

34
 Ⅱ. 연구용역 주요 내용

운 경우에는 관찰 절차를 수행하거나, 적절한 관리자 또는 책임자에게 필요한 경

우 평가 절차를 재수행하도록 해야 함. 그러나 sample size(ex. multiple times
a day의 경우 최소 25개)는 준수해야 함.
∙ 실질적으로 적용 가능성이 적은 항목으로 판단되어 반영하지 않는 것이 적절할
것으로 판단됨.

② 일상적인 반복적인 거래 (multiple times a day)의 경우 회사와 동일한 테스트

방법으로 다른 sample을 선택하는 것은 효율적이지 않음. 이 경우 감사인은 회
사가 수행한 결과를 일부 확인하고 적정성을 평가한 후, 이를 이용할 수 있음.
즉, 독립적인 테스트를 권고하지 않음.
∙ 미국에서는 허용하지 않는 방법으로 독립적 test가 완전한 샘플 개수에 부족한
현상과 이용 정도에 대한 혼란을 야기할 가능성이 존재하므로 반영하지 않는 것
이 적절할 것으로 판단됨.

③ 운영 평가의 시기: 기말 재무보고 프로세스에 대한 내부 통제와 관련하여 외부 감

사인은 회계 연도 종료일 이전에 내부 통제에 중대한 변화가 있을 경우, 회사가
적절한 추가 절차를 취할 것이라는 전제 하에, 전년도 운영을 기준으로 조기에 운
영 상태를 평가하는 것이 효과적이고 효율적이라는 점에 유의해야 함.
∙ 회사가 적절한 추가 절차를 취할 것이라고 가정한다는 부분은 과거의 유효한 통
제가 올해도 유효할 것이라고 가정이 개입되므로 적정하지 않음. 또한, 중요한
변화에 이를 적용하는 것은 무리가 있는 것으로 판단됨.
∙ 기말에 일어나는 변화사항은 오히려 risk가 크다고 판단하는 것이 일반적임. 아
마 회사가 관련된 특정 통제를 수립하기에 시간이 부족할 수 있는 상황을 고려
한 것으로 추정되나, 실제 기업은 이러한 부분은 더욱 신중하게 주의 깊게 처리
하고 있으므로, 해당 문구는 반영하지 않는 것이 적절할 것으로 판단됨.

④ 전산일반통제평가의 평가: 전체적으로 전산일반통제는 철저한 사용자 교육과 훈련

등 강한 통제 구축을 강조하고 단순한 시스템의 경우에는 ITGC가 더 중요함.
∙ 단순한 시스템의 경우에는 ITGC가 더 중요하다고 강조하는 것은 오해의 소지
가 존재하므로 반영하지 않는 것이 적절할 것으로 판단됨.

⑤ IT 응용 통제평가의 평가: 자동통제에 대해 다음 항목을 고려할 것을 명시함.

∙ 장부 정보의 완전성, 정확성, 유효성 등을 보장하기 위한 조치 ➜ 다소 과도한
범위로 판단되어 반영하지 않는 것이 적절할 것으로 판단됨.
∙ 잘못된 데이터의 적절한 수정 및 재처리, 마스터 데이터가 적절한 유지 관리,
적절한 접근통제 ➜ 일반적인 항목임.

35
내부회계관리제도 감사제도 도입에 따른 기업 및 감사인 대응방안

사. 내부 통제의 중요한 취약점 보고 및 개선 – 감사 대상 확정 후 고려 필요

하기 사항은 기말시점 기준의 의견 표명으로 보기 어려워, 내부회계관리제도 근본
취지와 배치되므로 반영하지 않는 것이 적절할 것으로 판단됨.

∙ 중요한 취약점이 회계연도 종료일까지 개선된 경우 내부통제가 효과적인 것으로

판단할 수 있다고 기재되어 있으나, “충분한 기간 동안 운영”이라는 언급이 없음.
미국 SoX와 배치되는 부분임.

∙ (감사보고서 발행일 이전에) 회계 연도 종료일 이후의 미비점에 대한 회사의 추가

조치 정보가 회사의 평가보고서에 포함되는 경우, 개선조치에 관한 승인 문서를
확인하고 세부사항에 대한 질문을 수행하여 적정성 평가를 수행해야 함.

∙ 상기 정보의 적정성이 확인되면 감사보고서에 추가 정보로 기재하여야 함. 개선조

치가 적절하지 않으면, 해당사항을 제외한 한정의견이나, 관련 이유와 함께 보고서
에 대한 부적정의견을 표명

아. 감사인의 보고서

① 예외사항
∙ 회사 내부통제 보고서의 부적절한 부분으로 인해, 내부 통제 보고서가 전체적으로
왜곡되었다고 볼만큼 내부 통제 보고서에 미치는 영향이 매우 중요하다고 판단하
지 않는 한, 예외 항목이 있는 한정의견을 표명 (재무제표에 미치는 영향 포함)
∙ 중요한 취약점이 있지만, 기말 이후에 취해진 개선 조치에 대한 경영진의 진술이
적정하지 않으면 한정의견을 표명 - 부적정의견이 아님.

② 적정의견
∙ 내부 통제 보고서에 경영진이 내부회계관리제도의 중요한 취약점과 교정되지 않
은 이유를 포함하고, 외부 감사인이 이러한 사항이 적절함을 확인하는 경우 적
정의견을 표명 (재무제표에 미치는 영향을 추가로 기재)

③ 평가 범위의 제한
∙ 외부 감사인이 중요한 감사 절차를 수행할 수 없어 적정의견을 표명할 수 없는
경우, 그 영향이 너무 커서 내부 통제 보고서에 대한 어떠한 의견도 표명할 수
없다고 판단하지 않는 한, 예외 항목이 있는 한정의견을 표명 – 동일
∙ 불가피한 사유로 감사가 진행될 수 없는 부분을 제외하고 적정하다면 한정의견
을 표명

36
 Ⅱ. 연구용역 주요 내용

4. SOX 적용법인의 내부회계관리제도 운영실무에 대한 사례조사

회사별 서로 다른 성격 & SOX 감사/검토 대상의 차이 등 조금씩 다른 회사 현황의 차

이를 비교하기 위해 4가지 카테고리의 회사 현황을 조사하였음. 일반 비금융 국내 제조
사, 글로벌 외국계 회사, 미국 상장 비금융권 회사, 미국상장 금융권 회사를 상대로 내부
회계관리제도 운영 실태에 대한 조사를 실시하였음.

# 항목 A사 B사 C사 D사 Ref
1 감사/검토 검토 감사 감사 감사
대상여부 (국내 비금융) (외국계 비금융 회사) (국내 비금융/미국 상장) (국내 금융/미국 상장)
2 내부회계 내부회계관리제도 구 미국 PCAOB 가이드 국내 - 국내 내부회계 미국에 상장되어 있고
관리제도에 대한 축 및 운영테스트 절차 라인 수준에 맞추기 위 관리제도 목적으로는감 SOX 감사를 받는 만큼
인식 수립은 하고, 외부감사 해 본사에서 Push가 사위원회 내부회계운영 SOX 요구수준에 맞게
시 관련 내부회계관리 강하고, Local 자회사 실태보고서 작성 목적 통제를 구축/운영 중.
제도 운영을 하고 있다 입장에서도 현업에서 정도로 인식하여 중요 평가는 경영진 측면에
는 증빙 제출 정도로 최고 경영자가까지 지 성 떨어짐. 서 1차 자가평가, 2차임
인식 (기본적으로 감사 대한 관심 존재 (감사 해외 – PCAOB 요구 점평가(전문평가조직-
의견에 영향 안 준다고 의견에 영향 미칠 우려 수준에 Comply하기 위 외부회계법인 포함)로
생각) 가 있어 철저히 관리) 해 중요하게 인식하고 설계/운영 효과성을 점
있음. 검하며, 감사위원회 측
면에서 회사 감사 조직
에서 효과성 평가를 독
립적으로 별도 수행함.
3 조직 전담조직 부재 전담조직 있음 / 가장 상 전담조직 있음 / 4명의 전담조직 있음 / 상위 의
(전담조직) 위에 본사 Headquarter 실무진 인력이 존재하 사결정기구로써 각그룹
조직에 SOX 전담팀이 며, 팀장 포함 5명 조직 경영진으로 구성된 '재
존재하며, 그 하위에 전 임. 해당 조직은 CFO 무보고통제위원회' 운영
Sub-area로 America, 산하 기관이며, 조직도 (금융기관 특성)
Europe, Asia등 4개로 상 팀장은 CFO에게 보 담당 실무진은 3명으로
나누고, Sub-area에서 고하는 위치임. 운영 (2차 임점평가 시
국가별 entity에 전담팀 외부회계법인 활용)
을 두는 방식으로 전 국
가의 entity를 통제
4 자가평가 자가평가가 원칙이나, 조직 내 테스트 수행에 설계평가 및 운영평가 설계평가는 프로세스
현업은 형식적으로 수 독립적인 인원 지정에 모두기본적으로는현업 각 담당자(현업)가 평
행하고 관련 문서를 내 어려움이 있어, 자가평 이 수행하는 것이 원칙 가하며 운영평가는 업
부회계관리제도 시스템 가 하지 않음. 임 (협업이 테스트하고 무 담당자 외 제3자가
에 업로드 하는 정도로 설계평가 및 운영평가 팀장이 검토하는 구조) 평가
관리 를 모두 외부의 독립적 하지만 설계평가에 있
회계법인에 의뢰하여 는 이전 연도와 다른
수행 설계상의 중요한 변화
는 전담조직에서 인식
하고 해당 건에 대한
설계평가를 수행
현업에서 설계평가 및
운영평가를 수행을 하
지만 모집단에서의 샘

37
내부회계관리제도 감사제도 도입에 따른 기업 및 감사인 대응방안

# 항목 A사 B사 C사 D사 Ref
플링은 전담조직에서수
행하여 각 프로세스 담
당자에게 전달하여테스
트 하도록 하는 구조임.
5 독립적 평가 독립적 평가 부재 / 내 전체 통제를 UOO(Use 전담조직에서 일부 수 외부 회계법인 이용하
부회계 Design 및 Of Others)와 Non-UOO 행하는 부분이 존재하 여 독립적 평가를 수행
Operation effective (Non Use Of Others) 나 외부 평가는 부재 하는 부분 존재
testing 절차만 3년에 의 개념으로 구분하고,
한번 정도 회사 변화사 UOO부분에 대해서는
항 (프로세스, 시스템, 외부 회계법인에 의뢰
담당자 등 변동) 위주 하여 독립적 설계, 운영
로 업데이트를 외부 회 평가를 수행 /
계법인에 주기적으로 외부감사인은 회계법인
의뢰하여 업데이트 이 수행한 UOO 테스트
의 적정성 판단 후 활용
6 MRC MRC 개념 없음. MRC 전면 도입 계속 논의가 있었으나, 여러 개의 통제 중 MRC A
(Management MRC라 함은 회사가 - MRC 도입으로 현업 작년 하반기에 구체화 개념의 통제가 존재
Review 일반적으로 수행하는 담당자는 특정 건을 되었음.
Control) 통제 중 중요한 통제로 리뷰할 때 사전적으 현재 해당 MRC개념을
도입여부 판단한 통제에 대해 회 로 무엇을 리뷰할 것 도입한 통제는 약 15
(Staff Audit 사가 별도의 Review 인지 체크리스트를 개에서 20개 사이임.
Practice Alert Control을 별도로 설계 미리 준비해서 문서 가급적이면MRC 통제수
No. 11 / 한 통제를 의미함. 화하고, 실제로 리뷰 준에서가 아니라, MRC
Auditing (예를 들면, 회사는 새로 를 수행할 때 어떤 포 하위 개별통제 수준에
Standards No. 5) 운 벤더의 생성에 대해 인트를 가지고 리뷰 서 각각 확인이 이루어
시스템 등록 시, “벤더마 를 수행했는지 모두 지도록 관리하고 있어
스터 신규 등록 품의서” 문서화해야 함. B사 수준 정도로 관리
를 작성하여 승인 없는 - 현업 리뷰 담당자에 하지는 않음.
부적절한벤더가 등록되 게 상당한 문서화 부
는 것을 방지하는 통제 담감이 존재함.
에 대해, MRC로서 분기
에 한번 시스템상 새로
등록한 벤더리스트 내
역을 확인하여 신규 벤
더가 “벤더마스터 신규
등록 품의서”가 적절히
작성되어 있는지 리뷰
하는 통제를 의미함)
7 IPE 개념 IPE 개념 자체 미 도입 IPE(Information IPE 자체만으로는 테스 설계 및 운영평가에 대
도입여부 Produced by Entity) 트를 수행하지는 않음 한 효과성 증빙자료를
(PCAOB 개념 2017년 2월부터 올해 하반기에 감사인 각 통제별로 전산 보관
AS1105 & 전면 도입 과 논의를 구체적으로 /관리하는수준으로관리
AICPA AU-C - IPE는 통제 내용 상 더 진행할 예정임. (재무보고통제시스템)
500 & COSO 에 존재하는 증빙이 원칙적으로 관련 추출
2013 Principle 13) 어디에서 온 것인지 된 데이터 신뢰성 확보
를 확인하여 (ERP시 를 전반적 Framework
스템 또는 매뉴얼 또 관점에서 신뢰성을 강
는 Add-on된 시스 화하려는 의도 정도로

38
 Ⅱ. 연구용역 주요 내용

# 항목 A사 B사 C사 D사 Ref
템 등등) 관련 증빙을 생각하고 있음.
문서화하도록 규정
- IPE 카테고리에 따라
문서화해야 하는 증
빙의 수준을 규정으
로 정의
- 해당 규정에 따라 현
업 담당자가 문서화
할 것을 강제
- 현업 업무 실무자의
상당한 문서화 부담
감이 존재
8 규정, 매뉴얼 규정 및 매뉴얼이 프로 각 국가별 / Region별 어느 정도 프로세스별 업무 전 영역에 규정/
관리 세스별로 수립되어 있 프로세스별 규정과 매뉴 로 구체적으로 수립되 지침/매뉴얼이 마련되
지 않으며, 개괄적 수 얼이 별도로 모두 존재 어 있으며, 규정이 부 어 있으며, 각 주무부서
준의 규정만 존재 함 (영업, 구매, 자금 등). 재한 부분은 표준 프로 에서 상시 업데이트 및
내부회계관리제도에 SOX 운영 규정이 별도 세스 수립으로 대체하 게시
대한 규정은 부재 로 존재하며, 프로세스 여 관리하고 있음. 재무보고내부통제 규정
별 통제에 대한 통제 지침 별도 존재한다고
Owner, 테스트 주기, 답변
테스트 방법, 샘플 수
등 상세한 규정 존재

US-SOX에 대응하는 회사의 경우, 전반적으로 문서화에 있어 상당한 부담감을 현업이 느끼고 있는
것으로 확인되었음. 문서화의 부담감은 회사가 설계한 통제가 실제로 운영되고 있음을 문서화하지 않을
경우, 이를 인정받지 못하기 때문인 것으로 확인됨.

1) MRC (Management Review Control)

 개념
∙ MRC란 회사가 수립한 리뷰 통제를 의미하는 것으로 회사 프로세스 상의 통제 중
에, 경영진이 해당 통제가 적절히 운영되고 있는지 확인 하는 통제로 “회사의 통
제에 대한 리뷰 통제”라고 정의할 수 있음.

 규정
∙ 미국 AS No.5 상에는 감사인은 경영진이 재무제표의 잠재적 왜곡표시를 확인하기
위해 구축한 통제를 파악하라고 되어 있으며, 또한 경영진이 회사 자산의 취득,
사용, 처분으로 인해 발생할 수 있는 잠재적 왜곡표시 시의 적절하게 예방하거나
적벌할 수 있는 통제를 파악하라고 명시되어 있음.
∙ 이에 대한 내용을 바탕으로 PCAOB에서 2013년 10월에 공표한 Staff Audit
Practice Alert No. 11에는 회사가 MRC를 적절히 구축하여 운영할 것을 강제하
고 있음.

39
내부회계관리제도 감사제도 도입에 따른 기업 및 감사인 대응방안

 현황

∙ 회사는 MRC를 구축할 경우 해당 Reviewer가 어떠한 포인트를 가지고 해당 통제

를 리뷰할 것인지 사전에 해당 포인트를 사전적으로 문서화하고

∙ MRC를 수행할 경우, 관련 증빙에 MRC를 수행한 자가 해당 포인트에 근거하여 어

떠한 리뷰를 수행하였는지 확인할 수 있도록 문서화하라고 되어 있음

∙ 리뷰의 수행 수준도 해당 MRC의 목적을 고려하여, 어느 정도의 Level로 어떠한

Frequency로 해당 리뷰를 수행해야 하는지 사전에 정의를 하라고 되어 있음 (예
를 들면 매출의 검증도 회사 전체 매출 분석 수준이 아니라, 지역별 매출, 제품별
매출 분석 등 그 분석의 수준이 적절하도록 설계하라고 권고).

 주안점
∙ 이와 같이 US SOX의 경우, 경영진으로 하여금 충분한 MRC를 설계하도록 요구하
고 있을 뿐만 아니라, 해당 MRC가 재무제표의 왜곡표시를 충분히 방지할 만큼
그 리뷰 수준의 깊이, 빈도, 절차까지 모두 문서화하고, 이에 리뷰 증거까지 문서
화하도록 요구하고 있는 만큼 회사가 느끼는 문서화의 부담감은 상당함.
이에 반해 US SOX에 대응하지 않는, 국내 상장사의 경우 MRC에 대한 개념 조차 부
재할 뿐만 아니라 해당 개념을 도입할 경우, 문서화에 있어 상당한 거부감을 보였음.

2) IPE (Information Produced by Entity)

 개념
∙ IPE란 회사가 의사결정에 이용하는 모든 정보를 의미하며, SOX 목적으로는 재무
보고를 위한 위한 통제 상에 활용되는 데이터로 국한될 수 있음.
∙ 기본적으로 IPE는 다음의 4가지 카테고리로 구분되며, 해당 카테고리별 회사가 취해야
하는 IPE절차는 아래와 같음.

# Report 카테고리 개념 회사의 절차

1 Standard Reports 회사 ERP에서 도출되는 데이터로 end - 경영진은 해당 리포트 추출 시 이용된 “Parameter”
user가 관련 Parameter(기간, 생성자 를 스크린 캡쳐하는 방식 등으로 문서화
등)만 입력하여 도출하는 리포트를 의 - 해당 Parameter를 실행하여 도출된 결과값도 문서
미 (시스템 Query등을 이용하여 수정 화하여 보관
할 수 없는 데이터를 의미)
2 Non-Standard 대게 회사의 ERP에 Add-on된 시스템 - 경영진은 해당 리포트 추출 시 이용된 “Parameter”
Reports (매장재고관리시스템, POS 등)에서 도 를 스크린 캡쳐하는 방식 등으로 문서화
출되는 데이터로 회사가 추가 개발/변 - 해당 Parameter를 실행하여 도출된 결과값도 문서
경한 report 등의 데이터를 의미 화하여 보관
- Accuracy등 해당 Data의 신뢰성 관련 통제 및 검토
필요 (예: 5개는 시스템에서 데이터 원본으로 / 5개

40
 Ⅱ. 연구용역 주요 내용

# Report 카테고리 개념 회사의 절차

는 데이터 원본에서 시스템으로 검증)
3 Third party report 외부 서비스 조직 또는 벤더 등으로부 경영진은 외부에서 제공된 해당 정보에 대해 완전성과 정
터 취득한 정보 확성을 확인할 수 있는 적절한 통제 절차를마련하여야 함.
4 Spreadsheet 엑셀 등 spreadsheet를 이용하여 작성 경영진은 아래의 IPE 절차를 취할 것을 요구
된 데이터 1. 해당 spreadsheet의 계산 로직 등을 포함하여 개발,
변경, 접근권한, 보관 등에 대한 통제활동을 수행
2. Spreadsheet의 원천 데이터의 이해 및 신뢰성 관
련 통제활동 수행

 규정
∙ PCAOB AS1105 및 AICPA AU-C 500 등에 회사가 사용한 정보에 대해, 감사인은
해당 정보가 신뢰성 있는 정보인지 평가해야 한다고 하면서, 해당 정보의 “정확성과
완전성”을 확인해야 한다고 명시하고 있음. 또한 해당 정보가 감사인의 목적에 맞게
충분하게 정확하고 상세한지 여부를 확인하라고 명시하고 있음.
∙ 이에 따라 회사는 재무보고를 위한 Key통제에 개별 통제들에 사용되는 데이터의 원
천을 확인하여 이를 카테고리별로 구분하고, 해당 카테고리별 IPE절차를 수립하여
문서화하여야 함.
뿐만 아니라, 개별 IPE절차에 따라 수행한 모든 절차를 문서화하고 감사인이 요구
시 제출해야 함.

 현황: US SOX 감사를 받는 회사들 사이에도 이를 세밀하게 규정하여 관리하는 회사가 있는

반면에 이에 대한 절차를 아직 미 수립한 회사도 있는 것으로 확인됨. 하지만 PCAOB가 상장
회사 감사에서 확인된 회사의 관리 미비점 중에 하나로 언급된 만큼, 빠른 시일 내에 보완되어
야 하는 사항으로 판단됨. 글로벌 B사의 경우에도 2017년 3월을 기점으로 Set up을 시작했
으며, 이의 안정화하는데 상당한 기간이 걸릴 것으로 예측하고 있는 상황임. 국내사의 경우,
해당 개념 조차 없는 것으로 확인됨.

 주안점
∙ 이와 같이 US SOX의 경우, 통제의 설계 및 운영의 효과성 테스트 뿐만 아니라,
해당 통제에 이용되고 있는 정보의 정확성 및 완전성의 검증까지 회사가 관리하도
록 강제하고 있어, 검토에서 감사로 바뀌고 미국의 이러한 규정을 그대로 도입한
다고 할 경우, 대부분 국내사에 해당 개념 도입, 절차 구축, 문서화, 현업 교육까
지는 상당한 기간이 필요할 것으로 예측됨.
∙ 실제 해당 개념을 도입한 글로벌 B사 조차도, 회사 본연의 업무 외에도 이러한 정
보들까지 모두 캡쳐해서 보관하고 Accuracy testing까지 수행하는데 있어 상당한
고충을 토로하고 있음을 확인하였음.

41
내부회계관리제도 감사제도 도입에 따른 기업 및 감사인 대응방안

5. 현행 내부회계관리제도 운영실무에 미칠 영향 및 대응방안

내부회계관리제도의 감사 상향과 모범규준의 개정작업에 따른 회사의 운영실무에 미치

는 주요한 영향 및 이를 바탕으로 거시적 관점에서 회사의 대응방안 다음과 같이 정리
될 수 있음.

1) 기업의 운영실무에 미칠 영향

가. 회사의 규정, 지침, 매뉴얼에 대한 변화

(1) 전사수준의 통제관점

∙ 기본적으로 통제수준향상을 위해 전사적인 리스크 평가 및 이에 기인한 보다

세밀하고 구체적인 회계정책, 행위규범 등의 규정 및 지침, 매뉴얼을 새롭게
수립 또는 업그레이드해야 하는 어려움이 존재할 것으로 보임.

(2) 비전사적 수준의 통제관점

∙ MRC와 IPE를 비롯한 통제수준 향상을 위해 필요한 프로세스 수준의 통제에

대해서는 개별 프로세스별로 구체적인 매뉴얼이 필요할 것으로 판단됨.

∙ 구체적 매뉴얼은 각 상위 프로세스를 정의하고 이를 하위 프로세스로 구분하

는 프로세스 Decomposition이 선행되고, 하위 프로세스에 대한 정의, 통제
절차 정의, 해당 통제 절차에 대한 승인자의 설정, 승인 Matrix의 설정 등 다
양한 통제 내용에 대한 매뉴얼화 작업이 필요함.

∙ 이러한 매뉴얼 작업이 완료되고 안정화 된 이후에나, MRC 통제 수립, MRC

통제에 대한 리뷰 포인트 수립, MRC Reviewer의 절차 구체화, IPE 대상 정
의, 통제별 IPE 카테고리 분류, IPE 테스팅 절차 수립 등 추가 매뉴얼화 작업
이 가능할 것으로 판단됨.

나. 회사의 전반적 문화

∙ 현실적으로 검토의 인증수준이 소극적이므로 그에 따른 강제력이나 적극성이

감사에 비해 약하여 회사 자체의 내부회계관리제도의 운영에 대한 인식도 형
식적인 문서화 수준에서 벗어나지 못하였고, 경영진을 비롯한 조직내부의 내
부회계관리제도에 대한 인식 또한 중요성이 낮은 상태임.

42
 Ⅱ. 연구용역 주요 내용

∙ 하지만 인증수준이 감사로 변경될 경우, 회사의 월등히 향상된 통제수준 및

검토 수준을 요구하게 될 것이며 비효과적인 설계 및 운영통제에 대해서는 엄
격한 판단 및 평가를 통해 감사 의견에 영향을 미칠 것으로 예상됨.

∙ 감사는 회사의 내부회계관리제도에 대해 적극적인 감사인의 의견을 표명하게

되고 이는 감독기관을 비롯한 외부에 공시되어 회사의 내부통제에 대한 보다
투명한 상황정보로 이해관계자에게 전달되고 회사의 평가 및 신용도에 영향을
미칠 것으로 보임.

∙ 이는 자연스럽게 CEO 및 CFO, 감사위원회 등 경영진의 내부회계관리제도에

대한 관심이 월등히 향상될 것이며 효과적인 설계 및 운영에 대한 의지가 향
상되어 각 통제점들을 담당하는 일선 부서 또한 내부회계관리제도에 대한 인
식 및 조직문화가 변경될 것으로 보임.

∙ 이러한 내부회계관리제도의 위상의 변화에 전사 조직의 인식 변화에 속도를

내기 위해서는 회사 입장에서는 상위 경영진 및 전사 조직의 인식 변화를 이
끌어 내는데에 상당한 시간과 비용 초기에 투입해야 할 것으로 판단됨.

다. 조직 변경

(1) 내부회계관리제도 전담조직(내부감사)

∙ 향상된 인증 수준 하에서의 주기적인 내부회계관리제도 설계의 효과성 및 운

영의 효과성 재검토는 상당히 많은 양의 업무이며 해당 규정 및 절차에 대한
전문적인 지식이 필요하므로 이에 대응하기 위한 전담조직이 필요함.

∙ 전사적 통제 및 비전사적 통제 전체에 대한 Walk through(추적조사)와 Test

of Control(통제테스트)을 컨트롤하고 종합, 정리하여 감사위원회에 보고함은
물론, 매년 리스크를 평가하고 설계의 변경 여부를 검토해야 하며 외부감사에
대응하여 내부회계관리제도 검토를 주관해야 하므로 전문성과 독립성을 갖춘
별도 조직뿐만 아니라 인력의 확보가 필요할 것으로 보임.

(2) 일선조직

∙ 인증 수준 향상으로 인해 통제점의 세분화 또는 구체화가 요구되어 질것으로

판단되며 그에 따라 일선조직내부의 분업화가 더욱 요구되며 필요한 경우 추

43
내부회계관리제도 감사제도 도입에 따른 기업 및 감사인 대응방안

가적 인력 충원이 요구되어 질 수도 있을 것으로 판단됨.

(3) 독립적 평가 조직

∙ 회사의 규모가 크고, 자회사 또는 해외법인이 많으면 많을수록, 이를 전담 조

직이 체계적으로 관리하는데 어려움이 있을 수밖에 없고 이는 내부감사인 또
는 외부 회계법인의 이용 등 비용 증가로 귀결될 가능성이 높음. 따라서 회사
는 어떠한 방식으로 해당 리소스를 확보할 것인지 초기에 의사결정이 필요할
것으로 판단됨.

라. 문서화

∙ 현재 US-SOX의 문서화 수준의 적정성의 판단 기준은 회사가 해당 통제를 실

질적으로 구축하고 운영하였는지 여부를 감사인에게 입증하기에 충분한 수준
인가이냐에 기초하고 있음. 따라서 회사가 이를 입증하기 위해 상당한 수준의
문서화를 요구하고 있는 것으로 이해될 수 있음.

∙ 해당 통제에 사용된 데이타의 원천에 대한 입증에 대한 문서화(IPE)부터, 회사

가 자가 감사를 스스로 수행하였는지를 입증하는 문서화(MRC)할 것을 강제하
여 회사가 스스로 한 행위를 입증하도록 하게 하는 것은 회사로서 상당한 문
서화를 필요로 하는 만큼 이에 대한 충분한 대응이 가능하도록 하는 관리 체
계 수립이 필요함.

마. 재무제표 감사 의견에의 영향

∙ 인증수준이 감사로 변경될 경우, 비효과적인 통제의 설계 및 운영은 직접적으

로 재무제표감사의 범위에 영향을 미치며, 반대로 재무제표 감사시 발견한 수
정사항은 직접적으로 내부통제의 미비점으로 연관됨.

2) 기업의 대응방안

가. 내부회계관리제도의 인증 수준 변화에 따른 내부 전사 조직의 내부회계관리제도에

대한 인식 제고

∙ 가장 우선적으로 전사 조직의 내부회계관리제도 인증 수준의 변화에 따른 위

상 변화를 인지하고, 인식 제고가 필요함.

44
 나. 전담 조직의 확보

∙ 해당 변화는 내부회계관리제도의 실질적 운영을 제고하는 만큼, 이를 체계적

이고 통합적으로 관리할 수 있는 전담 조직의 인력 확보가 필요함.

다. 외부 서비스 조직의 이용에 대한 고려

∙ 단기적으로 전담 조직의 구성이 어려운 초기의 경우, 외부 서비스 조직에 대

한 이용을 고려할 수 있으며, 전담 조직만으로 관리할 수 없는 규모의 회사의
경우, 다양한 측면에서의 전략적인 외부 서비스 조직 이용의 고려가 필요함.

라. 규정 및 매뉴얼의 구체화 방안 마련

∙ 전담 조직 혹은 외부 서비스 조직의 활용을 통해 내부회계관리제도 그 자체보

다도 내부회계관리제도의 구축 및 운영의 근간이 되는 회사 규정 및 매뉴얼의
정립 및 구체화가 필요함. 규정의 매뉴얼은 다양한 현업의 의견 및 상위 경영
진, 이사회의 추가적 검토까지 필요한 만큼 상당한 기간이 필요하므로 중장기
적 관점에서의 접근이 필요함.

마. MRC 및 IPE 등 새로운 개념에 대한 기존 내부회계관리제도에의 적용 및 업데이트

∙ 규정 및 매뉴얼의 정립 및 구체화가 안정화에 들어가면 이후, IPE 또는 MRC

등 내부회계관리제도에 필연적으로 요구되는 개념 도입이 필요하고, 이 또한
회사 내 다양한 이해관계자의 협의가 필요할 것으로 기대되므로 이에 수반되
는 조직 변경, 의견 조율 등 사전 준비가 필요할 것으로 판단됨.

No 항목 실무에 미칠 영향 대응방안
1 규정, 지침, Ÿ 내부회계관리제도가 “검토” 수준에서 “감사”로 변경될 경 Ÿ 규정, 지침, 업무 매뉴얼의 수립
매뉴얼 우, 감사 수준의 Assurance를 얻기 위해서는 가장 우선적으 및 구체화
로 전사 프로세스 측면에서 모든 업무에 대해 관련된 규정 및
지침, 업무 매뉴얼 등이 구체화되어야 하는 선행 과제가 도출
된다 할 수 있음. 이러한 변화에 회사의 많은 시간과 노력이
투입될 것으로 판단됨.
Ÿ 또한 Business control 측면(거래수준)에서도 정책 절차와
연계되는 구체적인 통제활동이 기술이 요구될 것으로 예상
내부회계관리제도 감사제도 도입에 따른 기업 및 감사인 대응방안

No 항목 실무에 미칠 영향 대응방안
되므로 이와 관련한 세부적인 매뉴얼 정비가 필요할 것으로
판단됨.
2 조직 문화 Ÿ 내부회계관리제도가 검토 수준의 Limited Assurance를 요 Ÿ 상위 경영진의 내부회계관리제
구하였기 때문에, 내부회계관리제도는 형식적 측면에서 도에 대한 인식 변화
Documentation의 관리에 치중하는 것이라는 기존의 내부 Ÿ 전사 직원들에 대한 인식 재교
회계관리제도에 대한 인식 변화가 선행적으로 필요한 상황 육
임.
3 조직 Ÿ 내부회계관리제도가 감사로 변경되는 경우, 실질적인 운영 Ÿ 내부회계 관리제도 전담조직의
(전담조직) 과 사전적인 이슈 관리를 위해서는 관련 전담 조직이 필요할 구성 및 설계 및 운영 테스팅 인
가능성이 매우 높을 것으로 예상됨. (향후 전사적 수준 통제 력의 확보
테스트가 필수적으로 요구되고 자가 테스트의 활용 가능성
이 줄어드는 상황도 고려 필요)
Ÿ 관련 조직 신설 시, 전문성과 독립성을 확보할 수 있는 조직
의 위치와 명확한 R&R(Roll and Responsibility, 업무분장)
을 수립할 필요가 존재함. R&R 수립 시에는 현업의 책임에
대한 고려가 필요함. 또한, 관련 전문성 있는 인원이 매우 부
족한 상황이므로 이에 대한 대책도 필요한 상황임. 과도기적
으로 외부 인원 활용이 그 대안으로 고려될 수 있을 것으로
판단됨.
Ÿ 또한 미국의 경우, 내부 조직에 불구하고 외부의 주기적인 도
움을 받아 설계 및 운영 평가를 수행하는 추세임.
4 독립적 평가 Ÿ 앞서 논의한대로, 전사적 수준 통제 테스트가 필수적으로 수 Ÿ 외부 내부회계관리제도 독립적
행되어야 하고, 통제 운영자의 자가 테스트의 활용이 제한됨 평가 인력 구성
에 따라, 독립적 평가의 범위가 확대될 예정임.
Ÿ 회계부서 내에 내부회계관리팀이 존재하는 경우 독립성을
보완하는(결산 절차 등 회계팀 내부 통제에 대한 자가 평가는
독립성이 부족하다는 challenge 존재함) 제도가 추가적으로
고려되어야 함.
5 감사위원회 Ÿ 전사적 수준 통제 중 최근 다 방면에서 강조되는 감사위원회 Ÿ 감사위원회 실질적 운영을 위한
(혹은 유사 조직) 관련 요구사항이 내부회계관리제도에 반영 대안 마련
될 예정임(외감법 등의 법규 요구사항과 감사위원회 운영 모
범 규준 등 포함). 이에 따라, 실질적인 감사위원회 운영을 위
한 제반 정책 및 절차가 개선되어야 할 필요가 존재함.
6 문서화 수준 Ÿ 내부회계관리제도에 대해 감사를 수행하고 있는 미국의 경 Ÿ 규정 및 매뉴얼의 정교화뿐만 아
우, PCAOB에서 미국에 상장된 회사에게 요구하는 문서화 니라, 내부회계설계 및 운영 테
부담이 상당함. 따라서 미국과 같이 Assurance의 수준이 감 스팅에 대한 구체적 가이드라인
사로 바뀔 경우 문서화 부담이 회사에 가중될 가능성이 높음. 을 제시한 내부회계관리제도의
현재 미국의 경우 PCAOB에서 MRC, IPE, Spread sheet 통 규정, MRC, IPE 등 도입에 따른
제 등 추가적 요구사항을 계속 요구하고 있으며 이를 증명하 추가적 요구사항에 대한 문서화
기 위한 회사의 문서화 및 관리 부담이 가중되고 있음. 관리 수준 업그레이드 필요
7 전사적 수준 Ÿ 기타 내부고발자, 부정관리 프로그램, 윤리감사(혹은 유사 Ÿ 모범규준과 부록으로 제시되는
통제 관련 정책 조치), 인적 역량 강화 및 내부회계관리 조직과 성과 평가 등 적용기법을 고려한 회사의 정책
과 관련된 회사의 정책과 절차에 대한 보안 및 신설 요구가 과 절차의 고려 필요
예상됨.

46