KIFRSGuide.
내부회계관리제도운영위원회557

내부회계관리제도 ITGC 위험평가에 관한 질문

질문

첨부드린 사진은 저희 회사 itgc 위험 평가 시트 일부분입니다.
제가 알기로는 ITGC는 재무제표 숫자와 관련이 없는 것으로 알고 있는데요
제가 표시해둔 고유 위험 평가 고려 항목은 숫자와 관련된 항목들로 보이는데 왜 저 항목들이 itgc에 들어가 있는 건지 모르겠습니다.
저 시트가 결국 키냐 논키냐의 영향을 미치는데요...
저 항목들 대신 아래 위험들이 들어가는게 더 맞지 않나요?
-데이터를 잘못 처리하거나, 잘못된 데이터를 처리하는 시스템에 의존할 위험
-데이터에 대한 승인되지 않은 접근으로 데이터가 위조, 변조, 훼손 및 파기될 위험
-IT부서 인원이 과도한 권한을 보유하여 업무분장이 적절하지 않을 위험
-승인되지 않은 마스터 파일의 수정
-승인되지 않은 시스템 및 프로그램의 수정
-시스템이나 프로그램에 필요한 변경이 적절히 이루어지지 못할 위험
-데이터 유실 위험 또는 필요한 데이터를 사용하지 못할 위험

답변

경영진은 내부회계관리제도 평가 시 필요한 증거자료를 결정하기 위하여, 통제가 관련되어 있는 재무보고 요소의 특성(재무보고 요소의 왜곡표시 위험) 및 통제 자체의 특성(통제실패위험)을 고려하여 식별된 통제가 효과적으로 설계 및 운영되지 않을 위험을 평가하여야 합니다(평가 및 보고 모범규준 문단 52 ). 예를 들어, 재무보고 요소의 왜곡표시 위험이나 통제실패위험이 커질수록 통제의 평가를 위해 질적, 양적측면에서 더 많은 증거자료가 필요합니다.
질의에서 언급하신 “고유위험 평가 고려항목(질의의 그림파일)”은 재무제표 왜곡표시 위험을 판단할 때 재무보고 요소 자체의 중요성과 함께 고려하는 항목들(평가 및 보고 모범규준 문단 54)이며, 회사가 내부회계관리제도를 구축할 때 해당 정보시스템과 관련된 계정과목 등의 고유위험에 기초하여 위험을 평가한다는 측면에서 고려한 것으로 판단됩니다.
또한 질의에서 언급하신 “위험들(질의 본문)”은 정보기술이 초래하는 일반적인 위험을 예시(평가 및 보고 적용기법 문단 31)한 것으로, 이는 평가 시 필요한 증거자료를 결정하는데 직접 고려되기보다는 정보기술 일반통제 내에서 이들 위험 각각을 관리하기 위한 통제활동을 식별하는 데 고려되는 항목들입니다.
IT와 관련된 위험과 통제의 식별은 별도로 평가되어서는 안되며, 경영진이 재무보고 위험과 통제를 식별하고 평가에 필요한 증거자료를 결정하는 과정에서 수행되어야 합니다. (평가 및 보고 모범규준 문단 42 ) 실무적으로 “고유위험 평가 고려항목(질의의 그림파일)”은 관련 계정과목 등의 위험평가를 통해 내부회계관리제도의 범위에 포함될 정보시스템을 선정하고 필요한 증거자료의 양을 결정하는 목적으로, “위험들(질의 본문)”은 선정된 정보시스템 내에서 필요한 위험과 통제활동을 식별하는 목적으로 고려하는 항목으로 활용하실 수 있을 것입니다.

출처

https://www.k-icfr.org/sub/menu/qna.asp?rWork=TblRead&rNo=771&rGotoPage=19&rSchText=&rType=1


게시글 번호: 557

이 주제에 대해 더 궁금한 점이 있으신가요?

실무 적용, 회계처리 판단 등 구체적인 사안은 이메일로 문의해 주세요.

이메일로 문의하기

AuditGuide|외부감사가 처음인 회사를 위한 공인회계사 무료 상담

바로가기 →