질문
귀 협회의 노고와 활동에 늘 감사 드립니다.
당 사는 총자산 2조원 이상 대기업에 속하며
'18년 내부회계관리제도 '감사' 인증 수준에 대응하기 위해 내부회계 통제활동의 정비를 매년 꾸준히 수행해오고 있습니다.
물론 감사위원회의 엄격한 운영실태 평가 역시 함께 이루어져오고 있고, 주지하시는 바와 같이 해당 평가 과정에 외부 회계법인이 참여하는 경우가 적지 않을텐데요
최근 이러한 평가 대리인 입장의 회계법인에서 다음과 같은 발견사항을 지적하고, 그간 외부감사인과의 조율 및 내부회계 통제활동 정비과정에 참여한 여타 회계법인들 간 IT 통제 설계 및 운영에 관련된 합의/조율한 결과가 잘못 되었다는 취지로 정리 되고 있습니다.
이에 협회에서는, 감사위 관리감독 활동의 취지 대비 이러한 수준의 발견사항에 대해 공감하시는지,
그리고 해당 역할을 부여받은 회계법인의 평가 불성실 행위, 자격 미달 수준의 업무/보고 행태에 대해서는 별도의 이의제기 / 제재 방안은 없는지 질의 드리고자 합니다.
<평가 회계법인의 주요 IT통제 발견사항 관련 문의>
- 업무수준 통제 설계 시 Semi-Auto 용어는 모범규준에 등장하지 않으므로 잘못된 용어이다, 라는 의견 제시됨. (당 사에서는 IT Dependent Manual, 즉 ITDM 통제 유형을 Maj회계법인이 사용하는 Semi-Auto 단어를 활용, 수년간 Big 4 감사 및 컨설팅 과정/결과에서 문제점 지적된 바 없음)
평가 법인의 주장은, 반드시 모범규준에 나오는 용어를 사용 해야 하며 통제 설계 또한 Manual 및 Automated 통제로만 엄격하게 분리해야 하는 것으로 발견사항을 감사위원회에 보고하려 함. 정작 ITDM 용어는 모범규준에서 나온다며 인정하고 있음. - 업무수준 통제 중 Auto 유형은 당사가 연간 설계/운영평가 1회 테스팅(거래 샘플 1건 포함), 기말시점에 해당 auto 통제기능이 구현된 로직 변경 이력 모집단을 확인, ITGC 프로그램 변경 통제를 잘 이행 했는지 여부를 점검 하도록 하고 있으나
평가 법인은 해당 방식이 잘못 되었으며, 매 운영평가마다 해당 로직의 변경이력 전수 점검(UAT 결과가 적합 했다는 내용을 조서화 포함) 및 거래 샘플 1건씩을 검증 수행해야 하는 것으로 의견 제시됨.
회사는 Auto 통제 관련된 IPE는 별도 인벤토리 및 parameter 검증 등을 외부감사인과 점검 및 수행 하고 있으므로 내부통제 운영 효과/효율을 따져 봤을 때 중복 활동이며 부당한 발견사항으로 이해하고 있음.
- 이외 운영실태 전반에 대한 발견사항 없음
<평가 회계법인의 업무/보고 수준 관련>
- 회사는 운영평가 과정에 감사행정시스템을 이용하고 있고, 전반적인 운영은 해당 시스템 뿐만 아닌 회사 문서관리시스템/전자결재/소통채널 등 관련 data room이 상호 보완적으로 존재하고 있으나,
평가 법인은 오로지 감사행정시스템 자료만 점검하고 이외의 이력을 병행 점검하지 않아 이를 대응하는 과정에 반복적인 감사대응 수준의 리소스가 소요됨. - 평가 수개월 간 발견사항 세부 내역에 대해 정확한 자료기반 설명이 제시되지 않았으며, 오히려 전체 세부 발견사항 내역 중 20% 가까이 평가인 실수(증빙자료 해석 실수, 시스템 내 첨부된 자료 미확인 등) 발생
- 발견사항 세부 내역에 대해 실제 자료 및 설명 기반 적시 소명으로 성실 대응 하였으나, 평가인 후속 점검 결과는 기말 평가 시작 시점까지 단 한차례도 제시되지 않았고, 평가 마무리 과정에서 갑자기 일방적으로 전달되고 있음.
- 내부회계 주요 담당자 인터뷰 및 보완적 자료(내부보고자료, 외부감사인 소통 이력 등) 전혀 확인하지 않은 채 상기 발견사항을 일반화 및 보고서 기록 하여 감사위원회 및 이사회에 보고하려 함. 협의되지 않았고 보고서에 담기지 않은 일부 주제는 평가인이 감사위원들에게 구두로 전달하려는 것으로도 파악됨.
표면적으로는 이렇게, 감사위원회 평가 업무/보고라는 것이
기존의 외부감사인 수준과는 달리 이루어지고 있어 문제의식을 가지고 질의를 드리는 바 입니다.
회사는 그간 성실히 내부회계관리제도의 취지를 이해하고 경영 투명성 확보를 위해 약 3년간 적지 않은 예산을 투입, 내부회계 관련 임직원들이 합심하여 컴플라이언스의 필요성과 중요성을 인지해왔으며 이제 성숙도를 높여가는 과정에 있습니다.
동 질의에 의견을 주시면 내부적으로도 개선하고 받아 들여야 할 점은 성실히 이행해가고자 합니다.
감사합니다.
답변
<평가 회계법인의 주요 IT통제 발견사항 관련 문의>
① 용어 사용에 대한 의견
모범규준은 말 그대로 내부통제에 있어 BEST PRACTICE를 제공하기 위해 제정된 준거기준으로서 회사 내부적으로 모범규준과 다른 용어를 사용하더라도, 일괄적으로 충분한 설명이 있다면 문제가 없을 것으로 생각됩니다. 또한 실제로 회계법인마다 용어를 다르게 사용하는 예(ITGC & GITC)도 있습니다. ‘SEMI-AUTO’라는 용어 및 그에 따른 통제 구분이 ‘신뢰할 수 있는 재무제표의 작성을 담보하는 통제활동의 설계/운영에 반하는지’는 통제 전반의 설계와 운영의 효과성을 고려하여 판단한 사항일 것입니다.
② ITGC 평가에 대한 의견
자동통제의 경우 해당 통제가 시스템에 반영된 기간, 과거에 효과적으로 작동하였는지 여부, 관련 수동통제에서의 미비점 여부 등에 따라 테스트 방법이 달라질 수 있습니다. 또한 자동통제의 경우 정보기술 일반통제 평가 결과가 효과적이라고 검증되었다면 하나 또는 적은 양의 표본에 대한 테스트를 통하여 운영의 효과성을 확인할 수 있습니다(평가 보고 적용기법 문단110).
<평가 회계법인의 업무/보고 수준 관련>
외부감사인의 문제점인 경우 한공회 외부감사인 신고센터 등의 공식적인 채널이 존재하나, 평가 법인의 경우 법규에 의한 요구가 아닌 회사의 필요에 의한 계약이기 때문에 회사와 해당 법인간의 협의를 통하여 문제점을 해결해야 할 것으로 판단됩니다.
출처
https://www.k-icfr.org/sub/menu/qna.asp?rWork=TblRead&rNo=482&rGotoPage=47&rSchText=&rType=1
게시글 번호: 273