질문
현재 당사는 중견기업의 특성상 IT 담당 인원이 1명이며, 해당 직원은 자금부서에 소속되어 있습니다.
자금부서내 권한 및 업무분장은 IT담당자와 자금업무수행하는 인원이 분리 되어있으나, 결재구조상 자금팀장의 승인을 득하게 되어있습니다.
최근 내부회계 외부감사 과정에서시스템 관리(Admin) 권한을 가진 IT 담당자가 자금 집행 부서에 소속되어 있으면, 가상 거래처 생성, 계좌번호 조작 후 송금, 관련 시스템 로그 삭제 등 횡령 및 부정행위의 증거 인멸 위험이 매우 크다는 점으로 감사인에 의해 지적되었습니다.
현실적으로 중소/중견기업에서 저희와 같이 인원 충원이 어려운 경우가 많을 것 같은데, 무조건 조직을 분리해야만 하는 문제인가요?
보완통제를 통해 조직개편 없이 운영 가능한지 문의드립니다.
답변
업무분장은 일반적으로 거래의 기록, 거래 승인 및 관련 자산의 보관에 대한 책임을 분리하는 것을 수반하며, 통제활동을 선택하고 구축할 때, 경영진은 오류 또는 부정과 관련된 행위가 발생할 위험을 줄이기 위하여 담당자별로 업무가 배분되거나 분리되어 있는지 고려합니다. 또한 업무분장은 두 명 이상이 프로세스상 거래를 수행하거나 검토하도록 함으로써 오류를 감소시키고, 오류가 발견될 가능성을 증가시킵니다. 다만, 업무분장이 실용적이지 않거나, 비용 대비 효율이 낮고 실행 가능하지 않는 경우 경영진은 대체적인 통제활동의 설계를 고려하여야 합니다 (내부회계관리제도 설계 및 운영 개념체계 문단 47.6, A57).
귀사의 시스템관리(Admin) 권한이 어느 정도인지 질의만으로는 명확히 판단하기 어려우나, 부서 분리 여부뿐만 아니라 IT 담당자가 보유한 권한의 수준, 그 권한이 실질적인 오류나 부정으로 이어질 수 있는 가능성, 그리고 이를 통제하기 위한 내부통제 절차의 적정성이 내부통제 목적 달성에 있어 핵심적으로 중요합니다.
이런 취지에서, IT 담당자와 자금 담당자(및 자금 부서장)의 업무와 권한이 명확히 분리되어 있고, IT Admin 권한이 제한적이거나, 효과적인 보완통제가 있어 실질적인 오류 및 부정의 위험이 낮다면, 반드시 조직개편을 통한 부서분리를 강제할 필요는 없습니다.
한편, IT 담당자 1인이 Admin 권한으로 시스템 로그 삭제, 가상 거래처 생성, 계좌정보 조작 및 자금 송금등을 단독으로 수행할 수 있다면, 내부통제상 미비점이 될 수 있으므로 시스템적으로 이러한 권한은 제한되어야 하며, 필요 시 데이터 직접변경에 대한 적절한 사전 승인, IT담당자의 소속 부서장과 자금 부서장의 이중 승인, 제3자에 의한 주기적 모니터링 등 보완통제를 강화하는 것이 바람직합니다.
출처
https://www.k-icfr.org/sub/menu/qna.asp?rWork=TblRead&rNo=963&rGotoPage=1&rSchText=&rType=0
게시글 번호: 941