질문
회계법인에게 내부회계 컨설팅 중인데, 회계법인과 자사 전산팀과 이견이 있어 문의드리니, 조속히 답변부탁드립니다...
회사에서 자체 개발한 프로그램의 자동통제 설계평가/운영평가 테스트 방법에는 다음 세가지 중 무엇이 맞는지요?
- 정보기술 일반통제(ITGC: 프로그램 개발, 프로그램 변경, 접근보안, 운영)만 테스트 (전산을 이용하는 세부 자동통제는 별도 테스트 X)
- 정보기술 일반통제 테스트(해당 자동통제를 사용하는 시스템을 포함하여 테스트)하고,
추가로 해당 자동통제가 잘 돌아가는지 샘플 1개만 확인 (샘플은 해당 자동통제 관련 스크린샷 등으로 확인) - 정보기술 일반통제 테스트, 추가로 해당 자동통제의 로직 확인 + 해당 자동통제가 잘 운영되는지 샘플 1개 확인
로직을 확인하자고 하는 이유는 해당 자동통제가 어떠한 논리로 프로그램되었는지를 확인,
해당 로직데로 프로그램이 돌아가는지를 보기 위해 샘플 1개를 추가 확인
--> 내부회계관리제도 첫해로 과거 해당 자동통제에서 오류가 발생한 사례가 있으므로, 실제 로직이 어떻게 되어 있는지 확인 필요하다....
첫해 이후부터는 변경사항이 있는지 여부 확인 후 해당 자동통제 운영 테스트하면 될 것이다...
상당히 오래전에 시스템이 설계되어, 정확히 어떤 로직으로 설계되었는지는 현재 알 수는 없는 상황...
추가로 IT 연관항목과 관련된 시스템 정의는 어느 수준으로 해야 하는지 문의드립니다.
하기와 같이 D까지 포함하는 것이 맞는지?
최종 재무제표 작성에 사용되는 GL에 숫자가 들어오기 위해서는 수 많은 서브 시스템이 있습니다 예를 들면, A 시스템 - B 시스템 - C 시스템 - D 시스템.... D 시스템에 원천 데이터를 입력하면 C -> B -> A로 인터페이스하는데... A만 외부 재무보고와 관련된 시스템으로 정할 수 있나요? 자문회계법인은 중요도에 따라 D까지는 범위에 포함하라고 하고 있습니다. 요약하면, D 시스템에 원천데이터를 입력하면 시스템상 자동으로 일부 계산 등이 발생하고 해당 데이터가 각 시스템 C, B 등에서 일부 자동화계산 등 수행 후 최종 A 시스템상 장부에 들어오게 됩니다..
(B, C, D 시스템에도 자동통제, 리포트가 있으며, 해당 시스템에서도 수작업으로 일부 숫자 기입 등은 가능합니다.)
적용기법11.1 통제기술서를 이용한 IT 연관 항목(IT dependency) 문서화
105 회사는 통제기술서, 업무흐름도 또는 업무기술서를 통해 통제활동 적용에 사용되는 시스템과 관련 기능을 문서화한다. 이는 단순히 자동통제뿐 아니라, IT 연관성을 가진 모든 통제활동을 포함한다. 이러한 IT 연관 항목 문서는 IT와 외부 재무보고와 연관된 통제활동 간의 연관성을 명확하게 한다. IT 연관 항목은 자동통제, 리포트, 보안, 계산, 인터페이스 등으로 구분할 수 있다. 경영진은 문서화된 IT 연관 항목과 관련된 시스템을 외부 재무보고와 관련된 시스템으로 정하고 IT 연관 항목이 적정하게 작동하기 위해 필요한 정보기술 일반통제의 각 항목(개발, 변경, 보안, 운영)과의 연관관계를 이해한다. 또한 다양해지는 애플리케이션을 포함한 여러 기술간의 연관관계에 대해서도 이해한다. 이러한 이해를 기반으로 최종적으로 정보기술일반통제를 수립할 대상 시스템을 정한다.
답변
[답변1]
내부회계관리제도 설계·운영 개념체계(A)의 A58에는 “자동통제를 포함하여 업무프로세스에 사용되는 정보기술의 신뢰성은 정보기술일반통제(ITGC)에 따라 달라진다”라고 제시되어 있고, 평가·보고 모범규준(B) 문단 42에서도 “적절하고 지속적인 자동통제 또는 IT기능은 효과적인 정보기술일반통제(ITGC)에 의존한다”라고 기술되어 있습니다. 회사가 자동통제나 IT기능을 도입하거나 변경하는 경우 ITGC의 개발절차나 변경관리절차를 거쳐 적절한 자동통제나 IT기능이 적용될 수 있도록 관리합니다. 동 과정에서 회사는 다양한 통제활동, 특히 다양한 Test (단위 test, 통합 test 및 특히 사용자 Test)를 거쳐서 자동통제나 IT기능의 개발 및 변경의 적정성에 대한 검토를 수행합니다. 따라서 회사가 효과적인 ITGC를 유지한다면, 회사의 자동통제나 IT기능은 적정하게 유지될 수 있습니다.
이러한 자동통제에 대한 회사의 설계 및 운영 평가는 효과적인 ITGC 기반에서 해당 자동통제에 대한 다양한 Test가 적절하게 수행되었는지를 확인 하는 평가 방식을 사용할 수 있습니다..
다만, 다음의 경우 ITGC에 의존하는 방식을 적용하는 평가방식이 적절하지 않을 수 있으므로 추가적인 절차(소스코드 검증, 테스트 데이터 입력 확인, 시스템 상 Validation 기능 재확인, 수작업 재계산 등)를 고려하는 것이 바람직합니다.
- ITGC가 효과적이지 않은 경우
자동통제와 관련된 ITGC가 효과적이지 않은 경우에는 ITGC에 의존할 수 없기 때문에 다음과 같은 대체적인 절차를 수행하는 것을 고려합니다.
a) 효과적이지 않은 ITGC 통제활동의 영향을 받는 자동통제와 IT기능을 확인하고, 해당 자동통제 및 IT기능을 보완할 수 있는 수동통제가 존재하는지 확인합니다. 확인된 보완통제에 대한 설계 및 운영 평가를 수행합니다.
b) ITGC의 다양한 측면(개발, 변경, 유지 등)을 종합적으로 고려하여 해당 자동통제 및 IT기능에 대해 정교한 수준의 테스트를 수행합니다. 예를 들어 해당 자동통제의 로직이 적정한지, 부여된 권한은 적절한지, 장애가 발생한 사례가 있는지를 등을 종합적으로 고려하고 더 빈번히 테스트 합니다.
c) 효과적이지 않은 관련 ITGC가 실제로 해당 자동통제에 영향을 미쳤는지를 확인하고 해당 자동통제의 테스트 여부와 테스트 수준을 결정합니다. 예를 들어, 시스템 변경과 관련된 ITGC의 미비점이 발견되었으나 당해 평가기간 동안 해당 자동통제에 실제로 변경이 발생하지 않음을 확인하는 등 ITGC의 미비점이 해당 자동통제에 미치는 영향이 중요하지 않다고 판단되는 경우 일반적인 자동통제의 테스트 절차에 따라 테스트하고, 영향이 중요하다고 판단되는 경우 위 a) 또는 b)의 절차를 수행합니다.
상기 절차를 거치더라도, ITGC에 미비점이 존재한다는 사실에는 변화가 없습니다. 다만, 상기 결과에 따라 해당 ITGC 미비점의 심각성 평가 결과는 달라질 수 있습니다. 또한, ITGC가 비효과적인 부분이 광범위하여 영향을 받는 부분을 특정할 수 없거나, 그 영향을 확인할 수 없는 경우에는 상기의 대체적인 방안을 적용할 수 없을 수도 있습니다. - 장기간 변화가 없는 자동통제
일부 자동통제는 변화가 존재하지 않음을 확인하는 것으로 해당 자동통제의 평가를 대신하는 Benchmarking approach를 사용할 수 있습니다. 그러나 이러한 기간이 장기간 지속되는 경우에는 해당 자동통제에 대해 추가적인 절차를 수행하는 것이 바람직합니다. 장기간이 어느 정도 기간인지는 자동통제의 복잡도나 중요도 등에 따라 달리질 수 있습니다. 예를 들어 3년 이상을 장기간으로 정의할 수 있습니다. - 중요도가 높은 자동통제
회사의 자동통제 중에서 그 기능이 복잡하고, 개입된 변수가 많아 통제 위험이 매우 높고 관련된 고유위험도 높다고 판단되는 경우에는 ITGC 이외의 추가적인 절차를 수행하는 것이 바람직합니다.
자동통제는 설계 및 운영 평가가 구분되지 않고, 한 번에 수행되는 것이 일반적입니다. 한 번에 수행된다는 의미는 단순히 하나의 Sample을 확인하는 것을 의미하지는 않습니다. 예를 들어, 회사가 ”Sales Order를 입력시에 입력된 표준가격의 수정이 불가하다“라는 자동통제를 평가하는 경우, 단순히 회사의 담당자 컴퓨터에서 수정이 불가함을 확인했다라는 것은 적절한 평가방법이 아닐 수 있습니다. 왜냐하면, 확인한 담당자는 원래 수정 권한이 없는 인원일 수도 있고, 여러 가지 유형의 Sales order가 존재할 수도 있기 때문입니다. 따라서, 입력이 이뤄질 수 있는 다양한 방법을 확인하고, 모든 방법에서 표준가격의 수정이 불가함을 확인하는 것이 필요합니다.
[답변2]
재무보고와 관련이 있는 프로세스를 지원하는 응용시스템은 내부회계관리제도 평가 대상으로 선정되어야 합니다. 다만, 재무보고와 관련이 있는 프로세스를 지원한다 하더라도 단순히 운영 효율성 제고 목적의 응용시스템일 경우, 재무보고와 직접적인 관련이 없으므로 내부회계관리제도 평가 대상에서 제외할 수 있습니다. 또한, 재무제표에 미치는 영향이 중요하지 않거나, 재무제표가 왜곡될 위험이 작은 응용시스템도 내부회계관리제도의 범위에서 제외할 수 있습니다. 예를 들어, 특정 정보가 D 시스템 --> C 시스템 --> B 시스템 --> A 시스템을 거쳐서 중요한 ABC Report에 사용되는 경우에 내부회계관리제도의 범위에 포함될 시스템을 선정하기 위해 다음 사항을 고려할 수 있습니다. - 관련된 ABC report가 재무보고에 중요한지 여부 (재무제표에 중요한 왜곡표시를 발생시킬 정도로 중요한지)
- 특정 정보가 중요한지 여부 (특정 정보의 오류로 재무제표에 중요한 왜곡표시를 발생시킬 정도로 중요한지)
- 해당 정보의 적정성을 확인할 수 있는 다른 통제 활동이 존재하는지 여부(다른 수작업 통제가 합리적으로 오류를 예방 또는 적발할 수 있다면 해당 통제로 대체 가능)
상기 3가지에 해당하여, 즉 ABC report와 특정 정보가 중요하고 IT기능에 의존하지 않고 해당 정보의 적정성을 검증할 수 있는 대안이 존재하지 않는다면, 관련된 시스템은 모두 ITGC 대상 시스템에 포함되는 것이 타당한 것으로 판단됩니다.
출처
https://www.k-icfr.org/sub/menu/qna.asp?rWork=TblRead&rNo=228&rGotoPage=69&rSchText=&rType=1
게시글 번호: 53