회계감사 – Understanding of Internal Control (AICPA, USCPA)

지난 포스팅에서 감사계약 수임후의 과정 중 팀 미팅과 Audit Plan을 진행하는 과정에 대해서 알아봤다. 이번에는 그 단계 중 CR (Control Risk) 와 관련된 개념으로 Internal Control (내부통제)에 대해 알아보고자 한다.

---

Definition and Objectives of Internal Control

Internal Control (IC) 란 무엇인가?

Internal Control (IC) 이라는 것은 간단히 말해 각각의 회사가 가지고 있는 프로세스라고 생각하면 된다. Internal Control(IC)의 Objectives로는 Financial Reporting 에 있어 얼마나 믿을만한 요소를 제공해 주는지 (Reliability of Financial Reporting), 회사운영에 있어 얼마나 효율적인지 (Effectiveness and efficiency of operations), 법규준수가 제대로 이루어지는지 (Compliance with laws and regulations) 알아보는 것이다.

 

이 내부통제가 잘 이루어지고 있다면, 회사는 F/S에 기재하게되는 숫자들이 중요성 관점에 있어 좀 덜 보수적으로 잡힐 수가 있다. (그만큼 오류가 덜 할 것이다 라는 의미)

참고문헌 : PCAOB Definition

AS 2201: An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements

---

Components of Internal Control (COSO Internal Control Integrated Framework)

내부통제를 좀더 규격화해서 지정해 놓은 것이 COSO Framework 이며, 이는 미국에서 주로 사용되는 규정이다. (하지만 IFRS와 같이 전세계적으로 많이 쓰이는 규정이다) COSO Framework는 “CRIME” 이라는 앞 다섯가지 글자로 설명을 해볼 수가 있는데, Control Activities, Risk Assessment, Information & Communication, Monitoring and Control Environment 이렇게 나눠볼 수 있다. 하나씩 차차 설명해보도록 하겠다.

참고문헌 : COSO

Guidance

---

 

Control Activities

직역하면 행동의 조절 이라는 확실히 머릿속에는 박히지 않는 표현이긴한데, 이 말은 즉슨 회사 오퍼레이션에 있어서 각각의 개인의 임무들이 정해져 있고 어떠한 task가 본인의 R&R (Roles & Responsibility)를 넘어가거나, intercompany 상으로 왔다갔다 해야할 때 어떻게 rule들이 정해져 있는지에 대한 내용이라고 보면 된다. 더 자세하게 나눠보자면 이하와 같다. 

 

• Authorization : 회사 안 프로세스에서 적절한 approval matrix 가 존재하는지 알아봐야 한다 (여기에 미흡한 점이 없는지 또한 확인해야한다.
• Segregation of Duties : 각자의 R&R 을 제대로 나누어 필요 이상의 일을 하지 않고, 권한이 집중되는 것을 막는 걸 의미한다.
• Documentation : 모든 서류는 numbering 혹은 날짜를 통하여 기록되어야 한다.
• Physical Control : Safeguarding 을 수행하는 것.  자산의 통제에 있어 물리적으로 분리를 시킨다던지, 어떠한 예방 조치를 만든다던지, Trustee 가 주식을 관리 하는 것들이 여기에 해당한다. 
• Independent Check : 각자 체크하는 것이라는 전에 이행해왔던 업무에 대해서 다른 사람이 그 절차를 문제가 없는지 다시 확인하는 것이다. 

---

Risk Assessment

감사 전반 전략에 나오는 단어이면서 동시에 Internal Control에서도 나오는 단어이니 문제에서 어떤걸 의미하는지 파악하고 들어가야함을 잊지말자. Internal Control 에서의 Risk Assessment 란 회사가 처할 수 있는 Risk 요소들에 대해 판단하는 것을 말한다. 이는 회사 자체가 본인들이 이러한 상황에 처 있음을 판단하는 것이지, 감사인이 판단하는 것이 절대 아니다. (감사인은 감사계획을 수립할 때 Risk Assessment를 하는 것임) 그 내용들은 예를 들어 회사의 급성장, 회사의 Restructuring, Applying new accounting policies 와 같은 것들이 있다.

 

경영진이 리스크에 대하여 인식을 하게 되면, 그 문제가 얼마나 중요한지, 어느정도의 가능성으로 일어날 만 한지, 만약 가능하다면 어떻게 그 가능성을 줄일 수 있을 지에 대해서 생각해보는 것이다. 

 

---

 

Information and Communication 

Information and Communication System에 대해서는 company's assets and accouting records에 대해 계정별 주장 관점 (Assertions at account level) 이 잘 만족되고 있는지에 대해 알아보는 것인데 예를 들면 모든 shipping goods 가 F/S 상에 sales로 제대로 잘 기록이 되어 있는지 (Shipping doc to F/S 이므로 Completeness 주장, 반대였다면 Existenece), 그 기록이 연말이라는 기준에 맞추어 잘 기록이 잘 됬는지 (Cut-off) 등이 있겠다. 

 

---

 

Monitoring

회사 내의 IC Quality 에 대해서 내부감사인이 자체적으로 평가하고 개선점을 발견 및 수정을 취하는 것을 말한다. Internal Control 에 대하여 monitoring 이라는 것은 상시적이거나 주기적으로 그 quality가 잘 유지되고 있는지에 대해 알아보는 것이다. 이런 것을 전담하는 것이 internal control 부서이고 이들은 finance team 안에서 다른 팀과 접점이 없이 독립적으로 수행하며 바로 direct 하게 경영진에게 보고할 수 있는 권한 또한 가지고 있어야 한다. 

 

---

Control Environment

Control Environment 라함은, Setting the tone of organization (조직 자체의 분위기)를 정하는 것인데, 다시말해 회사의 전체 분위기를 조성한다고 생각하면 된다.  여기 영향을 미치는 요소들이 attitude, awareness, and actions of management 이렇게 3가지 (꼭 외워야 한다) 가 있으며 이들이 제대로 갖추어져 있다고 하더라도 회사의 내부통제가 제대로 이루어진다는 보장은 없다. Control Environment 를 이루는 구성 요소들은,

 

• Management Integrity and Ethical Values : 간단히 말해 윤리적 기준에 대한 설명이다. 회사의 행동지침에 대한 내용을 끊임없이 발전해 나가는 것이 매니지먼트가 해야할 일이며 이 기준들이 회사의 분위기 결국엔 (tone at the top)을 구성한다고 생각하면 된다. 
• Management’s Philosophy & Operating Style : 직역하자면 경영진의 철학과 운영 방식이라는 것인데, 이 철학과 운영 방식이라는 것이 결국에는 회사로서는 외부인들에게 판단이 될때 보고서로서 주주들에게 보여지는 방식이 있을수도 있다는 생각을 해야한다. 따라서 재무제표의 숫자가 반영이 되는 것이 매니지먼트의 철학과 운영방식과 일관되게 이루어져야 한다 라는 의미로 이해하면 된다. 
• Organizational Structure : 간단히 얘기해서 R&R에 대한 얘기다. 적절한 보고 체계는 내부통제 및 리포팅에 대해서 좋은 퀄리티를 유지할 수 있고 이는 전적으로 매니지먼트의 역할수행이 중요하다. 
• Board of Directors and Audit Committee : 경영진 위에 있는 BOD는 경영진의 행동에 대해 철처히 감시하고 IC 와 Financial Reporting Process 에 대해서 경영진보다도 더 위의 범위에서 책임을 갖는다 (Ultimate responsiblity). 
• Internal Audit Function, Personnel, and External Influence 또한 존재한다.

---

 

Responsibility and Limitation of Internal Control 

Internal Control 에 대한 책임을 매니지먼트와 감사인으로 나눠 보자면, 매니지먼트의 경우 그 시스템 자체의 유지와 설정에 대해서 책임을 가지고 감사인은 내부통제의 취약점에 대해서 적극적으로 찾는 것이 아닌 Control Risk를 판단하는 목적 자체만을 가지고 있다고 생각하면 된다. 다시말해서 내부통제의 유지보수는 경영진이 담당하고 감사인은 재무제표 감사속에서 일어나는 위험성을 판단할때 내부통제를 하나의 요소로서 고려하고 알아본다는 의미이다. 

 

내부통제 자체는 또한 그 자체의 내재적인 한계점 (Inherent Limitation) 또한 존재하는데, 휴먼에러라던지 의도적인 조작 (collusion)이나 권한 무시 (override)들이 그 예시가 될 수 있다. 

---

 

Understanding of Client's Business and Industry (Including Internal Control) 

감사인은 계약수임 당시에는 클라이언트가 어떠한 일을 하는지 그리고 그 업계는 어떠한 현실이 존재하는지에 대해 알고 있을 이유가 없다. 하지만 감사인은 정확한 감사를 위해 이후 충분한 공부를 통해 그 회사의 비지니스와 업계상황에 대해 알아봐야할 의무를 가지게 된다. 
예를 들면, 그 업계가 현재 어떠한 위험성이 있는지에 대해 알아보고 그것이 앞으로의 감사에 있어 재무제표에 어떠한 영향을 미칠지에 대해 생각해봐야한다. 더 자세한 예시를 들자면, 회사가 IPO를 진행하게 되었다고 하면 그 임팩트가 어떻게 나타날지에 대해 생각해보는 것이다. 

 

그렇다면 왜 이 과정을 해야하는 걸까? 당연히 회사를 알아야 그 재무제표 속에 숨어있는 숫자들의 의미를 알아낼 수 있고, 그 숫자들이 진정 제대로 된 숫자인지, 위험한 숫자인지를 판단하게 되는 기준이 되기 떄문이다. 이 과정은 4가지로 알아볼 수 있는데 Inquiry (실제로 경영진에게 물어보고), Insepction (SEC 파일링이나 전년도 감사인의 Working Paper를 통한 확인), Observation (실사) and Analytical Procedure (중간 리뷰 보고서랑 분석적 절차) 가 있다.

 

---

Perform Analytical Procedures as Risk Assessment 

Analytical Procedure (분석적 절차)라 함은 재무제표의 숫자에 대해서 어떠한 관계성에 대해서 알아보는 것인데, 그것이 재무적 데이터와 비교하는 것일 수도 있고, 비재무적인 데이터와 재무적 데이터와 비교하는 것일 수도 있다. Analytical Procedure 감사 전반에 총 3번 나오는데 (Risk Assessment, Substantive Procedure, and Overall Review), 먼저 첫번째인 Risk Assessment 단계에서의 Analytical Procedure란 클라이언트의 비지니스를 이해하기 위한 목적, 작년 재무제표 숫자와 비교하여 어떠한 튀는 숫자가 있는지에 대한 확인, 감사와 관련된 위험성에 대해 알아보려고 하는 과정이라고 생각하면 되며, 이는 추후 substatntive procedures를 진행하는데 있어 큰 도움이 된다. 추후 분석적 절차 포스팅에 대해서 더 자세히 알아보도록 하겠다. 

 

---

 

마무리

오늘은 이렇게 전반 감사전략에서 실질적으로 감사가 들어가기 전까지 Internal Control에 대해 planning 단계에서 어떠한 일이 이루어지는지에 대해 알아보았다. 특히 COSO Framework에 대해 심도 깊은 이해가 필요하며 많은 문제풀이를 통해 Cubic을 거의 암기하다 싶히 알고 있어야 한다. 이 다음에는 Test of Control 및 Substative Procedure에 대해 알아보도록 하겠다.