新외부감사법 개정에 따른 내부회계관리제도의 변화

BY 채수완   2019-01-21
조회 8283 6
음성으로 듣기


베어링스 은행의 몰락

1995년 232년 전통의 영국 베어링스 은행이 파산했다. 견고한 조직과 오랜 전통에 빛나던 영국의 명문은행이 파국을 맞은 것은 영국 내의 대형사건/사고로 인한 것도 아니고, 글로벌 대형은행과의 경쟁에서 진 것도 아니었다. 영국 런던 출신의 닉 리슨은 동물적 감각으로 고위험 파생상품에 투자해 연이어 고수익을 올렸고 이를 통해 그의 능력을 인정받고 있었다. 그러던 중 싱가포르 지점에서 일하게 되었고, 싱가포르지점 수익의 약 20%를 그가 책임 질정도로 소위 잘 나가던 투자 전문가였다. 닉 리슨은 계속 된 투자 성공에 취한 나머지 리스크가 높은 선물 옵션인 니케이 225 지수 상품에 손을 대기 시작했다. 투자 초기 꽤나 큰 수익을 올리던 차라, 닉 리슨은 투자 규모를 늘리기 시작했다.

그러나 얼마 지나지 않아 일본 고베 대지진이 일어났고, 이로 인해 니케이 지수가 1,000 포인트 가까이 하락하면서 막대한 손실을 입게 됐다. 닉 리슨은 손실을 메우기 위해 ‘88888’ 이라는 비밀구좌를 만들어 고객 돈을 빼돌려 운용하기 시작했다. 최종적으로 닉 리슨에 의한 손실은 베어링스 은행의 자기자본을 넘어서는 8.6억 파운드에 달했다. 결국, 깊은 역사를 자랑하던 베어링스 은행은 막대한 손실로 인해 네덜란드의 금융그룹인 ING에 단돈 1파운드에 매각되었다.

베어링스 은행의 몰락과정을 보면 내부통제의 중요성을 다시금 깨닫게 된다. 물론 국제 금융환경이 매우 불확실하고 리스크를 고려하지 않은 투자에 의한 손실로 이해할 수도 있다. 그러나 기본적으로 금융기관 내부의 감사체계와 내부통제 수준이 미비할 때 얼마나 큰 파급효과가 나타날 수 있는지 여실히 보여준 사례다. 본사도 아닌 싱가포르 지점에서 책임과 권한 범위를 벗어난 과도한 투자가 가능했던 것도 문제였고, 일반적이지 않은 비정상 계좌가 개설된 것을 본사에서 전혀 눈치 채지 못했던 것도 문제였다. 고객의 증거금을 빼돌려 비밀구좌에 이체하고 이자금을 운용하기까지 내부통제는 전혀 작동하지 않았다. 뒤늦게 알게 되었을 때는 이미 손실이 눈덩이처럼 불어났고 베어링스 은행은 무너질 수밖에 없었다.


내부회계관리제도 도입

2002년 미국 역사상 최악의 회계부정으로 인한 파산스캔들이 터졌다. 엔론은 통신, 천연가스, 전기, 제지, 플라스틱, 석유화학, 철강 등 다양한 분야의 사업을 펼치던 에너지 기업이었다. 엔론의 주가는 한 때 90달러를 상회했다. 포춘지에 일하기 좋은 100대 기업으로 선정되기도 했고, 휴스턴에 호화로운 사옥과 2만여 명의 직원들을 거느린 명실상부한 글로벌기업이었다. 그러나, 이러한 엔론의 자산과 이익은 과대계상 되었고, 모두가 가짜였다. 부채와 손실은 교묘하게 가려졌고, 이익은 부풀리는 방식으로 주주를 기만한 것이 밝혀진 것이다. 엔론의 탐욕과 부패가 세상에 드러나면서 일부 경영진은 개인적으로도 소송을 당했고, 천문학적 금액의 피해 보상을 해야 했다.

엔론 사태와 더불어 월드콤의 대형 회계부정 스캔들이 연이어 터지면서 걷잡을 수 없이 여론이 악화되었고, 기업의 내부통제에 대한 개선을 주문하는 요구가 쏟아졌다. 기업의 회계투명성 확보와 재무보고에 대한 투자자 신뢰회복을 위해 그해, 일명 SOX 법이라 불리는 Sarbanes-Oxley Act (사베인즈-옥슬리법)이 제정되었다. 이 법의 명칭은 법안을 처음 발의한 메릴랜드주 민주당 상원의원 폴사베인즈와 오하이오주 공화당 하원의원 마이클옥슬리, 두 사람의 이름에서 따왔다. SOX 법은 미국 법률제정 이래 가장 강력하다는 평가를 받는다.

국내에 내부회계관리제도가 처음 도입된 시기는 2002년 한시법인 ‘기업구조조정 촉진법’에 있다가 2003년에 주식회사의 외부감사에 관한 법률로 이관되면서 영구적 법제화가 되었다. 국내에 처음 도입되었던 내부회계관리제도는 미국의 SOX 법에 기초해 재무제표작성 및 공시를 위한 회계정보의 투명성과 신뢰성을 확보하기 위한 기업의 내부통제운영을 경영진이 인증하는 제도였다. 경영진에게 내부통제의 책임을 부여하는 당시로써는 매우 강력한 규제가 신설된 것 이었다. 분식회계는 주주나 이해관계자들에게 잘못된 시그널을 보내 자본주의 시장을 교란할 수 있다. 따라서 회계투명성 확보를 위한 경영진의 의지를 제도화하여 기업 내부에 정착시키기 위한 것이 내부회계관리제도다. 그러나 이 제도가 그동안 유명무실하게 운영되어 왔다는 지적을 피할 수 없었다. 내부통제운영 실태를 검토하는 수준에 그치다보니 형식적인 수준에서 운영되었고, 문제가 발생하기 전까지는 이를 적시에 걸러내기위한 장치로서 그 기능을 제대로 하지 못한다는 의견이 많았다. 이러한 이유로 내부통제의 설계와 운영에 대한 보다 높은수준의 변화가 필요하다는 지적이 제기되었고 회계투명성과 신뢰를 높이기 위한 방안으로 내부회계관리제도의 실질적 운영을 위한 제도개선이 이루어졌다.





회계투명성을 높이기위한 제도개선

2017년 1월 회계제도 개선을 위한 태스크포스팀이 구성되었다. 논의가 지속된 가운데 ‘회계투명성 및 신뢰성제고 종합대책이 건의 되었고, 4월 국회 공청회 의견을 반영하여 최종안이 확정되었다. 회계투명성을 위한 제도개선은 다음 3가지 관점에서 추진되었다.

첫째, 기업 관점에서는 감사위원회에 의한 감사 및 통제기능이 강화된다. 회계부정에 대한 조사 및 감사가 실질적으로 이루어질 수 있도록 하고, 감사위원회와 외부감사인 간의 커뮤니케이션이 공시된다. 감사기능강화와 더불어 사건을 인지할 수 있는 채널 중 하나인 내부고발제도가 활성화 된다. 내부고발포상금이 10억 원까지 상향조정되고, 내부 고발자에 대해 불이익을 가할 시 형사처벌 대상이 된다. 기업 관점에서 가장 큰 변화는 내부회계관리제도의 실효성을 높이기 위한 방안으로 인증수준이 기존 ‘검토’에서 ‘감사’로 전환된다는 점이다. 대표이사는 직접 주주총회에서 내부통제운영 실태를 보고해야 한다. 기업의 내부통제 수준을 실질적으로 높이기 위한 조치로 외부감사와 연계하고, 운영책임을 높임으로써 분식회계 소지를 사전예방 하겠다는 의지가 담겨있다.

둘째, 외부감사인 관점에서 보면 내부통제와 연계하여 감사를 수행함으로써 감사실패의 리스크를 줄일 수 있는 계기가 되었다. 기업의 내부통제설계와 운영현황이 미비 할 경우 감사의견에 영향을 줄 수 있어 기업의 내부통제수준을 감사하는 것 자체가 매우 중요해 졌다.

셋째, 감독기관 관점에서 보면, 금융감독원 감리가 강화된다. 모든 상장사 전수 감리가 10년 주기로 실시되고 미국의 PCAOB 수준으로 감리가 강화된다. 분식회계와 부실감사에 대한 제재 수준도 대폭 강화된다. 또한, 회계처리 기준 위반 시 과징금의 절대금액 상한이 폐지되었고, 기업은 분식금액의 20%까지 과징금이 부과된다. 감사인의 경우 부실감사가 밝혀질 경우감사보수의 5배까지 과징금으로 부과된다. 분식뿐만 아니라 고의로 회계처리를 잘못하거나 오류를 일으킬 경우에도 처벌이 가능하도록 했다. 회계기록의 의도적 조작, 관련문서위변조, 비자금, 횡령, 배임, 특수관계자와 비정상적거래, 감사자료의 허위기재, 누락 등으로 인한 감사인의 감사업무방해, 채무감면 등 계약조건에 직접적인 영향 등과 관련된 경우에도 제재대상이 된다.


내부회계관리제도 강화

외부감사법(주식회사등의 외부감사에 관한 법률) 개정에 따라 내부회계관리제도가 현행 검토에서 감사대상으로 전환된다. 자산규모 2조 원이상 기업은 2019년부터 우선 적용되고, 5,000억 원이상은 2020년, 1,000억 원이상은 2022년부터 적용되며, 2023년부터는 전체 상장기업을 대상으로 적용된다.

정부는 외부감사법을 개정하면서 기업의 내부회계관리제도 운영을 강화하는 것을 골자로 대표이사가 직접 주주총회, 이사회, 감사 또는 감사위원회에 내부회계관리제도 운영실태를 보고 하도록 의무화했다. 그동안 내부회계관리제도는 경영진과 이사회의 무관심으로 유명무실한 제도라는 지적이 끊임없이 제기되어 왔다. 그러나 이번 제도개선으로 인해 내부회계관리제도에 대한 외부감사인의 인증수준이 ‘검토’에서 ‘감사’로 전환됨에 따라 내년부터는 내부통제운영을 설계부터 실질적인 운영까지 강화하지 않으면 감사 기준에 부합하지 않을 가능성이 있어 기업들의 철저한 대비가 필요하다.

내부회계관리제도에 대한 외부감사인의 인증수준이 검토에서 감사로 상향되었다는 의미는 실효성을 높이고 내부통제의 현행화와 이행가능성을 높이겠다는 의지로 해석된다. 과거 내부회계관리제도 운영방식은 주로 문서 확인과 질문이 주를 이루던 ‘검토’ 방식이었다.
그러나 앞으로는 외부감사인이 인증과정에서 더 높은 수준의 확신을 제공하는‘감사’의견을 표명하기위해 보다 더 광범위하고 신뢰성 있는 증거를 수집하도록 요구하게 된다.
즉, 실질적인 증빙을 확보해 검토하고 그 결과를 문서화하기 위해서는 기본적으로 내부통제 설계상의 미비점이 있는지, 운영상의 문제는 없는지 살펴봐야 한다. 그리고, 내부통제 운영테스트를 위해 수집한 증빙에 대한 신뢰성 확보절차도 필요하다.






新외부감사법 대응을 위한 내부통제 고도화

외부감사에 관한 법률 및 내부회계관리제도 모범 규준이 전면 개정됨에 따라 향후 기업들은 내부회계관리제도 운영 전반과 관련제도, 조직개편, 내부통제고도화의 필요성이 대두되고 있다. 내부회계관리제도 변화의 방향은 크게 세 가지로 나눠볼 수 있다.
첫 번째, 준거 기준이 변화함에 따라 이에대한 선제적 대응이 필요해졌다. 내부회계관리제도 관련규정 및 지침을 전면 개정해서 기업 운영에 녹아들 수 있도록 해야한다. 내부회계운영 및 감독을 전담할 수 있는 조직 신설이 필요해졌고, 감사위원회를 지원하는 기능이 필요해졌다. 내부회계운영팀과 감독조직에 대한 권한과 책임을 명확히 하는 것도 필요하다. 새롭게 변화한 모범규준에 기반 한 관리체계로 재정립하는 것이 필요하다.

두 번째, 내부통제인증수준이 ‘검토’에서 ‘감사’로 변경됨에 따라 감사환경에 기반한 관리체계로 재정립이 필요하다. 현행 내부통제설계를 전면 재검토하고 통제활동현황을 파악하여 개선이 필요한 부분을 식별하고 개선해야한다. 내부통제설계와 운영평가 근거가 되는 문서수준의 고도화도 필요하다. 설계평가는 내부통제가 어떻게 운영되어야 한다는 원칙이고, 실제 운영하기 위한 조직, 프로세스, 인프라가 정의 된다. 내부통제설계는 어떤 리스크를 줄여나가기 위해 설계 되었으며, 어떤 프로세스를 운영하고 있는지 검토해야 한다. 운영평가의 경우 해당 내부통제활동을 평가하기 위한 증빙을 어떻게 확보했는지, 평가절차와 결과를 도출하는 과정이 논리적이고 객관적이어야 한다. 따라서, 평가근거 문서 수준이 기존과 대비해 대폭 고도화가 필요하다.

세 번째, 통제활동 관리수준을 강화해야 한다. 내부통제운영 실태를 평가하고 이를 주주총회에 보고해야 하므로 이를 체계적으로 관리할 수 있는 조직과 전사차원의 내부통제운영 관리수준 강화가 필요하다. 특히, 평가자의 자격요건과 역량 수준강화가 필요하기 때문에 내부통제 관련 교육과 훈련이 도입되고 운영되어야 한다.


내부통제설계 및 운영체계

내부통제설계 및 운영체계는 2013년 제정된 ‘NEW COSO Framework’에 기반한다. 내부회계관리제도설계 및 운영·구성체계는 5가지 내부통제구성요소와 17개 원칙, 75개 중점 고려사항으로 구성된다. 5가지 내부통제 구성요소는 ‘통제환경’, ‘위험평가’, ‘통제활동’, ‘정보 및 의사소통’, ‘모니터링’으로 구성된다. 17개 원칙은 각 구성요소 별로 연계된다.

[표1. 내부통제 5개 구성요소 및 17개 원칙]

내부통제와 IT의 중요성

내부회계 관리 제도 개정과 더불어 중요하게 부각되는 이슈 중 하나가 바로 IT 내부통제의 중요성이다. IT가 중요하게 다루어져야 하는 이유는 기업의 주요업무처리와 재무회계 데이터의 생성, 저장이 IT 시스템을 통해 이루어지기 때문이다. 자판기를 예로 들면, 천 원을 투입구에 넣었을 때, 오백 원짜리 음료를 선택하면 해당 음료가 나오게 되고, 나머지 오백 원을 잔돈으로 받을 수 있다는 신뢰가 있어야 누구나 지속적으로 해당 자판기를 사용할 것이다. IT 시스템도 마찬가지로 신뢰성과 효과성이 담보가 되어야 이를 활용할 수 있다. 매출이 발생하고 서비스나 제품이 제공되며, 대금이 청구되고 최종적으로 이익이 장부에 반영되는 모든 흐름이 IT 시스템에서 발생하고 관련 데이터가 저장되는 만큼 IT 환경에 대한 내부통제가 중요하지 않을 수 없다. IT 내부통제 미비점 발견으로 인해 내부통제 수준을 신뢰하지 못할 경우 감사범위 확대 및 감사의견에 영향을 미칠 수 있기 때문에 IT 시스템 일반 환경에 대한 통제 수준을 높이는 것이 필요하다.

IT 시스템을 활용하는 가장 큰 이익은 업무의 효율성도 있지만 내부통제의 효과성도 있다. 과거 80년대 초까지만 해도 버스에는 ‘안내원’이 있었다. 버스 요금의 정차와 출발을 알리는 업무도 수행했지만 요금을 받아 관리하는 업무도 ‘안내원’의 몫이었다. 사람이 관리하다 보니 오류와 부정이 발생하는 경우가 종종 있었다. 수동 통제의 부작용이 바로 인적오류와 부정, 통제 우회다. 1984년부터 차츰 자동 안내 시스템으로 변화하면서 ‘안내원’도 역사 속으로 사라졌다. 지금은 티머니가 사용되면서 버스를 탈 때 카드를 인식하고 내릴 때 또 한 번 인식하면 승/하차 구간에 따른 거리비례로 과금되는 일종의 ‘자동화된 통제’로 변화했다. 물론 아직도 현금으로 버스 요금을 지불할 수 있지만 과거에 비하면 대부분이 시스템에 의한 과금으로 바뀌었다고 볼 수 있다.

IT 내부통제 고도화 영역으로 IT의 일반 환경 통제가 있고, 응용 통제가 있다. 일반 환경에 대한 통제는 프로그램 개발, 프로그램 변경, 접근 보안, 컴퓨터 운영, 권한 관리, 주기적인 모니터링, 정보보호, 배치작업관리, 장애관리, 백업 관리 등이 해당된다. IT 응용통제는 시스템 간의 데이터 인터페이스 시 이를 신뢰할 수 있는지 확인하기 위한 내부통제가 필요하고, 비즈니스 프로세스 상의 IT 시스템에 의한 내부통제가 식별될 경우 자동화된 내부통제를 검토해야 한다. IT 시스템의 경우 권한을 부여할 수 있는 관리자 계정이나 업무 역할에 따른 권한이 적절하게 부여되어 있는지 직무분리(Segregation of Duties) 여부를 검토해야 한다. 또한, IT 시스템운영 관점에서 보면 개발 환경과 운영환경이 분리되어야 한다. 개발자가 운영환경에 접근해서는 안 되고, 마찬가지로 현업 사용자가 개발 환경에 임의로 접근해서는 안 된다.

IT 시스템에 대한 내부통제를 검토하는 이유는 업무처리 과정에서 임의로 데이터를 위조 및 변조하거나, 비인가된 프로그램의 실행을 통해 회계 처리의 오류를 일으키거나 부정한 방법으로 기업 자산의 손실을 끼치는 경우, 부정한 방법으로 사적 이익을 취하는 경우, 책임과 권한에 따라 설계된 업무분장에 따르지 않은 부적절한 권한부여, 임의의 프로그램 수정, 데이터 유실 등의 위험에 노출될 경우 파급효과가 매우 크기 때문이다. 내부통제는 기업의 모든 시스템에 대해 수행되어야 하겠지만 리스크에 따른 선택과 집중을 위해 중요 계정과 관련된 업무 프로세스가 운영되는 애플리케이션 시스템으로 그 범위를 한정한다. 대부분 ERP(전사적 자원관리) 시스템과 이와 관련된 주변 시스템들이 내부통제 대상이 된다. 즉, IT 리스크는 기업에서 운영하고 있는 중요 계정으로부터 출발하고 이와 관련된 업무시스템이 해당된다. IT 시스템을 운영하는 과정에서 내부통제 설계가 어떻게 운영되고 있는지 검토하는 것이 설계평가이다. 그리고 내부통제가 설계된 대로 운영되고 있는지 검토하는 것이 운영평가다. 따라서 기업의 주요 비즈니스 프로세스 상의 위험을 식별하고 이를 운영하는 IT 시스템의 리스크에 대응하여 내부통제가 적절히 설계 및 운영되고 있는지 검토하는 것이 필요하다.






IT 일반통제의 고도화와 기대효과

외부감사법 개정에 따른 내부회계관리제도 모범규준상의 IT 관련 요구 사항을 충족시키고, 외부감사의 원활한 대응, 미비점 개선 등을 위해 개선방향을 수립하고 고도화를 진행하는 것이 필요하다. 모범규준상의 IT 일반 통제 관련 요구 사항은 크게 4가지로 구분할 수 있다. 첫 번째, 기업의 IT 시스템별 리스크를 평가해야 한다. 재무회계 관련 시스템을 식별하되 리스크가 높은 계정과 연계된 시스템을 식별해야 한다. 양적 수준의 평가와 질적 수준의 평가를 통해 시스템의 리스크를 평가하는 것이 우선 필요하다. 두 번째는 IT 일반 통제활동의 고도화가 필요하다. IT 내부통제가 현행화되어 있는지 검토해야 하고, 실제 설계되어 있는 것과 현재 운영되고 있는 내부통제가 상이하지 않도록 이를 현행화하는 작업이 필요하다. 이를 위해 IT 내부통제 기술서를 고도화하고 IT 내부통제를 지원하는 각종 사용자 인증, 접근제어, 정보보호, 변경관리 등을 체계적으로 고도화 할 필요가 있다

세 번째는 내부통제 테스트 절차 및 문서 고도화다. 내부통제 테스트 시 설계평가와 운영평가 관련 문서가 객관적이고, 체계적으로 테스트될 수 있도록 구성되어야 한다. 그리고 제3자가 객관적으로 보더라도 내부통제 테스트를 위해 획득한 증빙에 대한 신뢰성이 확보되어야 한다. 즉, 내부통제 테스트를 위해 확보한 증빙이 테스트 목적에 부합하도록 추출된 자료인지를 객관적으로 신뢰할 수 있도록 유효성을 평가하는 것이 필요하다.

마지막으로 네 번째는 자동화된 통제 식별과 테스트다. 내부통제는 자동화된 통제와 수동 통제로 나눌 수 있다. 수동 통제는 시스템에 의한 통제가 아닌 사람에 의한 검토와 승인 등을 통해 진행되는 것을 말하고, 자동화된 통제는 사람의 개입 여지가 없는 프로그램에 의한 자동화된 계산과 업무 진행이 이루어지는 것을 말한다. 기업은 이러한 IT 일반 환경에 대한 내부통제 설계와 운영에 대한 개선과 내부통제 운영 실태를 검토하고 테스트할 수 있는 문서 고도화를 통해 新외부 감사법 개정에 따른 변화된 준거기준을 충족시키고 외부감사에 적극 대응할 수 있을 것이다. 기업의 대부분의 주요업무가 IT 시스템을 통해 운영되는 만큼 IT 내부통제 수준이 업무 프로세스 내부통제 수준에 미치는 영향은 적지 않다고 볼 수 있다.


자동화된 IT 통제

자동화된 통제(Automated Control)란 기업의 각종 애플리케이션 시스템을 통해 수행되는 통제활동으로 데이터의 입력, 처리, 출력이 자동화되어 있고, 프로그램에 의한 계산이나 업무처리를 위한 시스템 접근 등이 모두 자동화되어 있는 것을 의미한다. New COSO 개념이 도입된 모범규준에서는 IT에 의한 자동화된 내부통제를 보다 강조하고 있고, 자동화된 통제는 통상적으로 인위적인 개입이나 임의의 위 변조 가능성이 낮기 때문에 상대적으로 수동 통제에 비해 리스크가 낮다고 판단한다. 미국 상장사의 경우 IT에 의한 자동화된 통제를 수동통 제보다 신뢰할 수 있고, 예방통제적 성격이 강한 것으로 간주하여 이를 보다 많이 식별하는 것을 권고하고 있다. 따라서, 자동화된 통제를 설계하고 이에 대한 운영의 효과성을 주기적으로 테스트하는 것은 내부통제 고도화 시 고려해야 할 요소 중 하나다. 자동화된 통제는 일반적으로 검증(Verification), 위임 및 승인(Authorization & Approvals) 통제활동과 관련된다. 따라서, 자동화된 통제는 예방통제로서 역할을 하게 되고, 모든 거래가 동일한 Logic에 근거하여 동일하게 처리된다는 가정이 가능하여 사람에 의한 오류가 개입할 여지가 없어 신뢰성이 높다. 자동화된 통제의 성격상 IT 일반 환경 통제가 효과적으로 운영되고 있다면, 하나의 샘플만 테스트하더라도 자동화된 통제의 운영 효과성을 확인할 수 있다. 그 이유는 통상적으로 프로그램화되어 있는 경우 특별히 통제를 우회할 목적으로 프로그램을 위 변조하지 않는 한동 일한 방식으로 처리될 것이라는 합리적인 수준에서의 확신을 할 수 있기 때문이다. 자동화된 통제의 예로는 일명 3 Way Match라 불리는 3가지 증적의 상호 대사를 통한 내부통제가 있다. 예를 들어, 매출의 실재성을 검토할 경우, 고객으로부터 받은 오더 내역이 있을 것이고, 제품이 출고된 출고 내역이 있을 것이다.

마지막으로 고객에게 대금을 청구한 내역이 존재할 것이다. 이때 오더 수량, 오더 금액과 출고수량, 출고 제품의 단가를 비교하고, 마지막으로 대금 청구서의 수량과 금액이 일치하는지 비교해보면 매출이 실제로 발생한 것인지 합리적인 수준에서 검토할 수 있다. 이러한 매출 인식의 흐름이 IT 시스템에 의해 자동화되어 있다면 오더, 출고, 대금 청구 세 가지 데이터의 입력, 처리되는 과정을 추적해 보고 그 과정에서 인위적인 개입 없이 자동화된 통제가 적절하게 설계되어 있는지 검토하는 것을 자동화된 통제 테스트라 한다. 따라서, 업무 처리와 데이터 처리로 직이 자동화되어 있을 경우 임의의 데이터 위변조가 이루어질 가능성이 낮기 때문에 이를 효과적으로 통제하고 있는지 검토하기 위한 방법으로 자동화된 통제를 설계, 운영하고 있는지 검토하는 것이 필요하다.






IT 내부통제의 고도화의 중요성

IT 시스템은 기업 운영을 위한 기본적인 인프라이다. 기업의 주요 활동이라 할 수 있는 영업, 구매, 생산, 물류, 재무회계 등의 대부분의 업무가 IT 시스템을 통해 운영된다. 만일 IT 시스템의 운영이 효과적으로 통제되지 않는다면 이에 기반 하여 운영되는 모든 업무는 그 신뢰성을 담보하기 어렵다. 물론, 사람이 직접 통제의 주체가 되어 검토하고 승인하며, 문서화할 수 있겠지만 사람의 개입을 최소화할 수 있도록 하는 것이 내부통제의 신뢰성 확보와 효과성 증대 측면에서 도움이 된다. 업무처리 방식이 수작업이 아닌 자동화된 통제 방식으로 운영될 경우 부정이나 기업의 내부통제 운영규정을 위배하는 행위가 이루어지기 어렵게 된다. 따라서, 내부통제 수준 고도화를 고려할 때 IT 일반 환경에 대한 내부통제와 자동화된 통제의 수준을 고도화하는 것을 함께 고려해야 한다. 또한, 내부통제가 효과적으로 운영되고 있는지 지속적으로 모니터링하여 자체 개선되는 선순환 구조가 만들어질 때 실질적인 내부통제가 강화될 수 있고, 이를 통해 기업의 회계투명성과 신뢰가 높아지는 계기가 될 수 있다.