KIFRSGuide.
내부회계관리제도운영위원회645

ITGC 외부감사 특정 회계법인 만의 특정 Risk _ 통제 활동 강요 관련

질문

내부회계 운영위원회 및 협회의 무궁한 발전을 기원 합니다.
최근 외부감사 특정 회계법인으로부터, Global 점검 사항이라고 하며 데이터베이스의 구조 생성/변경 언어(Data Definition Language, DDL)의 실행에 대해, 올해 회사가 반드시 통제 기능을 준비 하고, 기한 내 그들의 요구사항 수준에 맞는 통제 설계를 준비 하지 않으면 이를 문제시 할 것으로 챌린지 받고 있습니다.
관련된 주요 계정과목 및 업무 프로세스 현황, 그리고 핵심 ITAC(IT응용통제), MRC나 IPE가 해당 DDL 작업 만을 의존해 통제설계 및 운영되고 있는 현황이 없음에도 제기된 요구사항이며
특히 해당 회계법인이 당 사에 제기한 동 안건과 진행 현황을 토대로 그룹 관계사에 감사 요구사항을 전파할 목적 또한 가지고 있는 것으로 확인 되고 있습니다.
애초에 내부회계 통제활동은 회사의 범위선정 및 위험평가 결과에 따라, 그리고 회사가 수행할 수 있는 수준에 맞게 통제하고
외부감사인은 해당 현황에 맞게 적절하게 통제 되어 왔는지를 최선을 다해 살펴보는 것이 필요한데
상기 DDL 협의 과정에서는 감사인의 '주의의무' 보다는 잘 나오지도 않는 예외사항을 억지로 발굴하고
이를 관계사들에게 모범 사례로 다루려는, 다소 부적절한 접근법이 확인 되고 있습니다.
다년간 여러 Big 4 회계법인들을 대응 해오며 이러한 챌린지는 예고된 바 없었고,
있었다고 하더라도 위험 발생/임팩트 수준이 낮거나, 당 사가 기존 수행하고 있는 관련 통제 환경/활동이 적절한 수준으로 해당 위험을 완화 할 수 있는 것으로 사료 됩니다만
회계법인 측에서 (특히 몇몇의 감사인 개인에 의해) 매년 IT 감사 체계를 '글로벌 기준' 으로 새롭게 제시하고 이에 무작정 따라가야 하는 현실에 어려움을 느낍니다.
이에 운영위원회에 문의 및 검토 요청 드리고자 하는 것은 다음의 2가지 이며, 이는 저의 소속 회사만의 이익/편의를 위해 남기는 의견이 아닙니다.

  1. 특정 회계법인의 ITGC 관련 지나친 세부 요구사항은, 금감원이나 운영위원회 등 감독기관에서도 함께 확인 해주시고
    교통정리를 할 수 있는 기회를 공식적으로 마련 해주실 수는 없을지 문의 드립니다.
    (e.g., 당해연도 기말까지 사례 접수 --> 차기연도 ~2Q 까지 운영위원회 및 전문가 그룹 공동 검토 및 조율, 공청회 등 의견 수렴 --> 차기연도 3Q 중 개선/권고 (혹은 거절) 의견 확정 --> 4Q 내 해당 기업들은 개선안 반영 (투자/구축으로 지연 시 사유 제출 下 지연반영 인정) --> 차차기연도 통제 도입/운영 및 감사 대응)
    특정 회계법인 만의 Global Practice가 이처럼 너무 세부적이고 기술적으로 들어가는 경우, 이를 기업 내부에서 협의하고 의사결정 하는데에 정확한 명문과 배경이 부족 하고, 필요시 투자의 규모 산정이 어렵거나 그 주체가 불분명 하므로 기업에서는 상당한 어려움을 겪습니다.
    또한 감사인이 주장하는 위험이 실제로 발생 하지도 않았는데 그 수준을 고위험으로 가정하고 자동화/시스템화 개선권고를 일방적으로 제시 받고, 그러한 과정이 마치 '감사인 의견을 수용' 하는 뉘앙스로 피감사 기업들에게 모범사례로 전파 되고 이것이 또 감사인의 입맛에 맞게 활용될 여지가 있다는 점은 분명 감사 본연의 목적에 어긋 난다고 생각 합니다.
    뿐만 아니라 당해 외부감사 회계법인이 차기에 교체 되는 경우 (혹은 같은 회계법인 내 다른 감사인으로 배정 시) 기존의 위험평가와는 또 다른 사안으로 챌린지 받기도 하고, 이러한 경우 과거로 부터 노력해온 프로세스 개선 및 IT 투자는 그 효과가 빛이 바래집니다.
    따라서 위와 같은 예시의 '공동 검토 및 조율'의 기회나 유사 체계가 자리 잡을 수 있다면, 회계법인별 기준이 달라 혼선/불합리가 줄어들어 기업들의 대응 부담은 한층 완화 될 것이고, 회계법인 또한 이런 사례를 오남용 한다는 오해를 불식 시킬 수 있을 것 같습니다.
    감독당국이나 운영위원회가 이 같은 정식 절차에 따라 'IT 핵심점검사항' 같은 것을 공표 할 수 있다면
    굳이 회계법인 vs. 기업 간 위험 및 통제를 논의하는 과정에서 오해나 갑론을박은 상당히 줄어들 것입니다. (마치 '금감원 중점회계이슈'와 같은 효과)
    한편으론 큰 투자 없이도 효율적으로 해소할 수 있는 노하우나 모범사례 같은 경우도
    회계법인만의 우월성을 대변 하거나 특수한 지식재산 처럼 다뤄질 것이 아닌, 감독당국 혹은 운영위원회의 보도자료 등으로 사례 전파 될 수 있다면 기본적으로 공신력이 뒷받침 되며
    나아가 국내 내부회계 IT 통제 상향 평준화 및 안정화의 계기가 될 수 있지 않을까 하는 기대를 조심스레 해보게 됩니다.
  • 결국 산업군, 기업 간 규모 등 다양한 차이에서 비롯 되는 IT 위험들(고유위험, 부정, 통제실패위험 포함)을 정책 수준에서 이슈 해소 체계를 마련, 상장회사들의 IT Compliance Cost 절감에 효과적으로 기여 할 수 있고, ESG 등 유사 분야에도 적용도 가능할 것입니다.
  1. 회계법인들이 IT 감사 방향성을 '미비점 발견'이 아닌, '기업 현황을 반영한 합리적 점검'으로 잡으실 수 있도록 감독당국에서 회계법인으로 voice를 전달 해주실 필요가 있을 것 같습니다.
    IT 감사 과정에서 충분한 위험 평가를 수행하지 않고서 그들만의 통제 기준, 즉 기업에 통제가 있냐 없냐만 가지고 성급하게 개선 권고/필요 의견을 개진 하는 경우가 상당 합니다. 기말 감사 시즌에는 회계법인의 인력 부족으로 경험이 충분하지 않은 초급 감사인이나 일회성 외주인력 등을 이용해 감사 수행하는 경우나, 미비점 도출이 성급 하거나, 감사고객 간 커뮤니케이션이 부족, 보고 과정에 오류 또한 적지 않습니다.
    그러한 성급한 의견 대비 IT 개선이나 투자가 쉽지 않다는 점에서 현실 갭이 너무 크게 발생 하면 기업 입장에서는, 회계법인들이 지나치게 ITGC 논리를 엄격하게 적용하고 불합리한 개선 권고나 투자 요구를 단편적으로 던져 놓고, 차기 연도에 연속성 있게 감사 하지 못하거나, 심지어 회계법인이 변경 되면 다시 원점 검토로 돌아가 전년도의 개선 노력이나 효과성이 충분하게 점검되지 못하는 악순환이 좀처럼 개선되지 않아 정말 괴롭습니다.
    이 때문에 사실상 업무수준통제 보다 IT 일반통제 및 응용통제에 감사 대응의 효과성에 대해 공감 하기 어려워지고, IT 감사인의 권고사항에 대해 대부분은 긍정적 효과를 기대하지 않으며 소극적, 혹은 강경 대응으로 소통 조차 원만하지 않은 경우도 많아 감사 대응에 따른 긍정적 영향력을 느끼기 어렵습니다.
    이에 기말까지 회사가 외부감사인의 의견을 수용 하고자 적절한 수준의 보완적 절차/통제를 갖추는 과정이거나 이를 위해 소통/노력을 적극적으로 기울이고 있다면,
    회계법인 또한 이것을 적절한 수준으로 인정 하고 유예기간 적용이나 차기연도 추가 점검 등으로 그 수준을 조율할 수 있기를 바랍니다.
    물론 우리 기업들도 감사인의 의견을 무조건 적으로 배척하지 않고 충분한 고민과 노력으로 회사의 주요 IT 위험 수준을 적극적으로 완화 하고 필요 시 개선 노력을 기말까지 이행함으로써 성실의무를 다 하는 것이 전제가 되어야 겠습니다만
    무리한 요구사항에 대해서는 위 1)과 같이 IT 미비점 관련 조율 공식 절차가 절실 하며
    당장에 회사가 선택할 수 밖에 없는 보완적 절차 (e.g., 다소 낮은 빈도이나 회사의 적합 사유에 따른 주기적 일괄/사후 모니터링 등)의 배경과 타당성이 인정 될 수 있도록,  감독당국에서도 회계법인에 적극 협조 요청 해주시기를 간곡하게 청합니다.
    내수경기 침체와 시장 불확실성이라는 큰 파고를 맞딱 뜨린 상장회사 기업들이 IT 통제에 대한 외부감사 대응 어려움이라도 해소하고
    감사인 간 진짜 위험에 대해 건설적으로 논의를 할 수 있도록 배경 마련을 해주시는게 어떨지... 최근 몇가지 상황을 겪으며 Q&A에 의견 남겨보겠습니다.
    늘 적극적인 고민과 의견을 제시 해주시기에, 다시 한 번 위원회에 감사 드립니다.

답변

본 질의는 회계감사와 관련한 사항으로 본 운영위원회에서 답변 드릴 수 없는 점 양해 부탁드립니다. 다만, 상장회사협의회 차원에서 한국공인회계사회 및 금융감독원 등과 적극적으로 논의하도록 조치하겠습니다. 참고로 외부감사와 관련한 기업의 애로사항은 한국공인회계사회 홈페이지 내 “기업 애로사항 신문고” 메뉴를 통해 접수하실 수 있습니다.

출처

https://www.k-icfr.org/sub/menu/qna.asp?rWork=TblRead&rNo=861&rGotoPage=10&rSchText=&rType=1


게시글 번호: 645

이 주제에 대해 더 궁금한 점이 있으신가요?

실무 적용, 회계처리 판단 등 구체적인 사안은 이메일로 문의해 주세요.

이메일로 문의하기

AuditGuide|외부감사가 처음인 회사를 위한 공인회계사 무료 상담

바로가기 →