질문
안녕하십니까 수고가 많으십니다...
연결내부회계 ITGC관련해서 문의 드립니다.
<연결 내부회계 ITGC In-Scope판단문의>Q&A 488번글 답변에서
IT연관된(자동통제/리포트/보안 등) 핵심통제활동이 소수이고,
해당시스템 산출되는 정보 적정성 검증대안(수동통제) 존재, 동 대안이
핵심통제일경우 범위제외 할수 있다고 답변주셨습니다.
저희회사의 경우 해외법인(5개법인)들 의 경우
-IT시스템 운영현황-
(1) ERP의 특정 모듈만(FI)사용하며, 외부연계시스템 전무 합니다.
(2) 모두 외부 유지보수업체(3rd party)를 통해 운영중이며
(3) 권한/프로그램/데이터 변경 등 사용자계정으로는 불가하고,
외부 유지보수업체를 통해서만 가능합니다.(권한조정 완료)
(4) 서버/데이터베이스는 외부클라우드서비스(MS/ AWS등) 사용중이며
정기적으로 데이터 백업수행
(5) 기본 파견기간 3년이여서 권한관련 통제 발생이 극히 낮음
*ITGC통제도 구축은 해놨지만, 해외법인별 IT인력이 없어 운영에 어려움
<통제설계결과(PLC)>
(1)IT연관통제가 5개 부근 이며, (2)결정적으로 모두 "비핵심"통제로 분류됐습니다.
-통제구축은 용역을 통해 Big4중 한 군데서 했습니다.
***이런경우 Q&A 488번글 답변 제외조건에
"IT연관된 핵심통제활동이 소수이며", 라고 선제조건을 적어주셨는데
저희회사의 경우 IT연관 핵심통제가 전혀 없으니
ITGC 구축조건 자체가 부정되는게 아닌가 생각이 듭니다.
Q. 연결 내부회계 ITGC In-Scope에서 제외가 가능한지 문의 드립니다???
감사합니다.
답변
재무보고 위험과 관련된 핵심통제가 자동통제 또는 전산에 기반한 수동통제인 경우, 해당 통제의 효과성에 영향을 미치는 정보시스템의 정보기술 일반통제를 평가합니다(평가 ·보고 적용기법 문단32). 따라서 연관 핵심통제가 전혀 없다면 ITGC 평가대상에서 제외할 수 있습니다.
단, 수동통제가 충분한지 정교한 판단이 필요합니다. 특히 회계시스템의 경우 임의의 전표가 생성되어도 모두 적발이 되어야 하므로 IT DEPENDENCY 없이 수동통제만 존재하여도 충분한 통제활동이 된다고 하기에는 많은 무리가 따르는 것이 일반적입니다.
출처
https://www.k-icfr.org/sub/menu/qna.asp?rWork=TblRead&rNo=572&rGotoPage=38&rSchText=&rType=1
게시글 번호: 362