[CISA 이론 정리 - 1장] 3. 통제 모형 (1/2)

1) 내부 통제 모형

(1) COSO

COSO란 Committee of Sponsoring Organizations of the Treadway Commission의 약자로서 1985년 AAA, AICPA, FEI, IMA, IIA가 공동으로 설립하여 운영하는 단체의 이름이다.

• American Accounting Association (AAA)
• American Institute of Certified Public Accountants (AICPA)
• Financial Executives International (FEI)
• Institute of Management Accountants (IMA)
• The Institute of Internal Auditors (IIA)

COSO는 건실한 내부 통제 시스템의 구축 및 운영 방안을 연구한다.

COSO는 1992년에 내부 통제 통합 프레임워크(Internal Control - Integrated Framework)를 발표하였다.

이 모형은 2013년에 전사적 위험 관리 통합 프레임워크(Enterprise Risk Management — Integrated Framework)로 개정되었다.

(2) 내부 통제의 정의

내부 통제란 조직의 이사회, 경영진, 기타 직원들이 운영, 보고, 준법과 관련한 비즈니스 목적이 달성될 것이라는 합리적 보증을 제공하기 위해 구현한 프로세스이다.

Internal Control is a process, effected by an entity’s board of directors, management and other personnel, designed to provide reasonable assurance regarding the achievement of business objectives relating to operations, reporting, and compliance

위의 정의는 다음과 같은 시사점을 준다.

• 내부 통제는 하나 이상의 목적(운영, 보고, 준법)의 달성과 관련된다.
• 내부 통제는 목적 달성의 수단이며 지속적인 태스크 및 활동으로 구성된 프로세스이다.
• 내부 통제의 핵심은 통제 수단들이 아니라 이를 구현하는 사람과 그들이 취하는 조치이다.
• 내부 통제는 고위 경영진과 이사회에 절대적 보증이 아니라 합리적 보증을 제공한다.
• 내부 통제는 기업 전체, 특정 부문, 운영 단위, 개별 프로세스에 유연하게 적용할 수 있다.

(3) 내부 통제의 목적

운영(Operations)

• 조직의 운영의 효과성과 효율성과 관련된다.

• 운영 및 재무 성과 목표, 손실로부터 자산 보호 등을 포함한다.

보고(Reporting)

• 내부 및 외부에 제출하는 재무 및 비재무 보고와 관련된다.

• 신뢰성, 적시성(timeliness), 투명성(transparency) 등을 포함한다.

준법(Compliance)

• 조직에 적용되는 법률 및 규정의 준수와 관련된다.

• 외부 규정은 물론 내부 정책과 절차의 준수도 포함한다.

(4) 내부 통제의 요소

통제 환경(Control Environment)

• 내부 통제 제도 전반에 영향을 주며 실행의 기초가 된다.

• 이사회와 고위 경영진은 조직 전반에 내부 통제를 중시하는 풍토를 조성해야 한다.

• 경영진은 조직의 다양한 수준에서 기대 사항을 강조해야 한다.

• 예) 정직성/윤리적 가치, 이사회의 거버넌스 감독 책임의 이행을 지원하는 요인, 인력 운용, 성과에 대한 책임추적성 확립 방안 등

위험 평가(Risk Assessment)

• 위험: 목적 달성에 부정적 영향을 주는 사건의 발생 가능성이다.

• 위험 평가는 목적과 관련한 위험을 식별하고 평가하는 과정이다.

• 평가된 위험은 조직이 설정한 위험 허용 수준과 비교해야 한다.

• 경영진은 목적을 분명하게 설명하여 위험 평가를 촉진해야 한다.

• 경영진은 외부 및 내부적 변화가 미치는 영향을 평가해야 한다.

통제 활동(Control Activities)

• 통제 활동이란 정책과 절차를 통해 확립된 조치들이다.

• 예방 및 적발, 수작업 및 자동화된 활동들을 포함한다.

• 예) 허가(Authorization) 및 승인(approval), 검증(verification), 조정(reconciliation), 성과 검토, 직무 분리 및 대체 통제 활동 등

정보 및 의사소통(Information & Communication)

• 통제 책임의 이행 및 목적 달성에 필요한 정보를 제공해야 한다.

• 조직 내부의 수직적/수평적 정보 흐름이 원활해야 한다.

• 정보는 유입(inbound)/유출(outbound) 흐름이 원활해야 한다.

감시 활동(Monitoring Activities)

• 다른 내부 통제 요소에 대한 지속적 및 독립적 평가가 필요하다.

• 독립적 평가는 위험 평가 및 지속적 평가 결과 등에 의존한다.

• 발견된 사항은 각종 규정들과 비교하고 미비점은 적절한 책임자 및 직급에 보고해야 한다.

(5) 통제 요소별 관련 원칙

통제 환경

조직은 무결성(integrity)과 도덕적 가치를 옹호해야 한다.

이사회는 경영진으로부터 독립되어 있고, 내부 통제의 개발과 수행을 감독해야 한다.

경영진은 목적에 맞는 구조, 보고 체계, 권한/책임 관계를 확립해야 한다.

조직은 목적에 맞는 역량을 갖춘 구성원을 모집/개발/보유해야 한다.

조직은 구성원들이 목적 추구 과정에서 통제 책임을 이행했는지 해명하게 해야 한다.

위험 평가

조직은 목적을 분명하게 설명하여 관련 위험을 식별/평가할 수 있게 해야 한다.

조직은 목적 달성이 실패할 위험을 식별/분석하고, 이에 대한 관리 방안을 결정해야 한다.

조직은 목적 달성이 실패할 위험을 평가할 때 부정(fraud)의 가능성을 고려해야 한다.

조직은 내부 통제 제도(internal control system)에 심각한 영향을 미칠 수 있는 변화를 식별/평가해야 한다.

통제 활동

조직은 위험을 수용 가능한 수준(acceptable level)으로 완화하기 위한 통제 활동을 선택/개발해야 한다.

조직은 기술(technology)이 목적 달성을 지원하도록 일반 통제(general control) 활동을 선별/개발해야 한다.

조직은 정책과 절차를 통해 통제 활동을 실행해야 한다.

정보 및 의사소통

조직은 다른 통제 요소들의 기능에 필요한 양질의 정보를 획득/생성해야 한다.

조직은 내부 통제가 기능하는 데 필요한 정보를 내부에 전달해야 한다.

조직은 다른 통제 요소들의 기능에 영향을 주는 사안을 외부에 전달해야 한다.

감시 활동

조직은 내부 통제 요소들이 존재/기능하는지 지속적/독립적으로 평가해야 한다.

조직은 시기적절하게 내부 통제의 미비점은 교정 책임자에게 전달해야 한다.

(6) 통제 목적 및 요소 간의 관계

통제 목적, 이를 달성하는 데 필요한 통제 요소, 조직 구조는 서로 직접적인 관련이 있다.

각 요소가 불가분의 관계이므로 내부 통제는 개념상 직육면체로 표현할 수 있다.

내부 통제 제도가 효과적이면 목적 달성이 실패할 위험이 용인 가능 수준으로 낮아진다.

내부 통제가 효과적이려면 5가지 통제 요소들이 존재해야 하고 의도대로 기능해야 한다.

또한, 5가지 통제 요소들이 서로 통합된 형태로 유기적으로 작동해야 한다.