Embed Size (px)
Citation preview
내부통제시스템을 통한기업위험 관리방안
김한종
ERM팀
한국오라클
기업가치극대화 동인으로서의 위험관리
주주가치 이론에 의하면 성장성과 수익성을 극대화 시키고 위험을 최소화 시키면 기업의 가치는 극대화
된다고 합니다. 따라서 기업 가치를 저해할 수 있는 여러 위험들을 인식, 평가, 관리함으로써 궁극적으로
기업의 가치를 증대 시키는 수단으로 위험관리의 중요성이 부각되고 있으며 이를 위한 기반으로서 내부
통제시스템 구축 및 고도화가 필요합니다.
인력/인프라/프로세스
기업가치극대화
위험의 예방과해결을 통한기업가치의
제고
• 위험평가에 기초한 체계적 감사
• 의사결정에 위험평가를 활용
• 미래의 기회와 위험요인 파악
• 원가절감/프로세스개선 등 컨설팅
역할로 현업 기능과 시너지 효과 창출
현재의 상황을중심으로 하는부정 및 오류의
적발
• 비정상적 거래행위의 적발 감사
• 사후적인 감사
• 기존에 알려진 위험을 대상
• 일방적이고 일시적인 감사활동
성장성 수익성 위험
내부통제 방식의 전환
내부통제는 그 역할 및 활동의 범위가 확대되고 전문적인 영역으로 그 기능을 전환하고 있습니다.
"내부감사는 조직 내에서 독립적으로 운영되며 조직 및 업무 개선을 통해 가치를 창출할 수 있는 객관
적인 컨설팅 활동이다. 이는 위험관리, 내부통제, 개선안 도출 등을 통해 기업의 목표 달성을 지원 경영환경 변화에 적응하기 위해 조직 구조, 기능, 프로세스 등을 발전시키는 전문 기능이다.“
미국 내부 감사인 협회(IIA:Institute of Internal Auditors)
프로세스 문서화
Risk & ControlLibrary 구축
감사절차 표준화및 전문화
상시 Monitoring 및 Issue의 공유
감사중심
거래단위 중심
규정준수여부
일회성
정책중심
정책 및 절차 중심
비즈니스 중심
프로세스 중심
위험의 인식프로세스 개선
지속적 위험의 평가
성과개선 결과
위험관리 중심
위험관리 목표 내부통제 수준
Level 1 Level 2 Level 3 Level 4 Level 5
Unreliable Informal Standardized Monitored Optimized
내부통제
평가불가
통제활동이
설계되고
가동중이나
문서화 미흡
대부분
사람에
의한 통제
통제활동이
설계, 가동
중이고
문서화 됨
예외사항이
적절히 식별
보고되지
않음
경영진을
위한 적절한
보고와 함께
내부통제
설계 및 가동의
유효성에 대한
정기적인
테스트가
수행됨
통합 내부통제
프레임워크
전체에 대해
지속적인
개선활동을
추구할 수
있는 실시간
모니터링
시스템을
보유
출처 : 삼일회계법인
위험 관리는 경영전략과 연계되어 경영목표 달성에 장애요인이 무엇인가를 파악하고
주요한 위험별로 주주가치에 영향을 미치는 재무적 영향을 측정하는 기준이 정립되고
성과 측정 시에 반영 되어야 함(Risk Adjusted Performance Measure:RAPM)
COSO Cube
내부감사(internal Audit)
최고 졍영층의 지시사항
정책 및 업무수행 절차
기업 윤리규정
조직의 도덕성
(Tone at the top)기업위험관리(Business Risk)
업무위험관리(Process Risk)
내부감사위험 평가
공시위원회(Disclosure Committee)
권한 위양
승인절차
통상적인 업무절차와 시스템
주요 업무분리
계정대사
정보기술에 의한 통제
기업윤리 규정
문서화된 정책 및 업무절차 기술서
기업문화 평가(성실성, 종업원능력, 경영스타일, 철학 등)
교육훈련
경영분석(Management Analysis)
내부통제가 적절히 디자인되고
효과적으로 수행되고 적용되는지의
여부를 결정하는 절차
관련정보가 적시에 규명되고 제대로
전달되도록 보장하는 절차위험을 관리하기 위한 행동이
수행되고 있으며 적시에 행하여지도록 하는 정책 절차
기업의 성과에 영향을 미치는
내부요인과 외부요인에 대한
평가
내부통제에 대한 정의는 법에서 언급되어 있지않으나 COSO 보고서에 의한 정의가 이미 미 정부 및 산하
기관에서 받아들여진바 있으며 (미 감사규정 AU 319) 전세계적으로 내부 통제 구조의 통합 체계를 제시
하는 표준으로 받아들여지고 있어 조직의 내부통제 체계를 정립해가는데 있어 COSO 보고서가 제시하는
내부통제의 통합 모델이 그 준거기준이 될 수 있습니다.
비즈니스시스템
• 업무를 보다 효율적으로 통합 운영하고,
결과를 이용자별로 신속하게 전달하여야 하며,
산출 과정을 투명하고 신뢰할 수 있게 함.
Increase Operational Efficiency
Provide Enterprise-Wide Visibility
Enhance Internal Control
ERP
CPM
ERM
내부통제는 부가적(added-on)장치가 아니라 업무 처리 프로세스에 내재화(built-in)되어야 합니다.
비즈니스시스템
프로세스 문서화
Risk & ControlLibrary 구축
감사절차 표준화및 전문화
상시 Monitoring 및 Issue의 공유
비즈니스 중심
프로세스 중심
위험의 인식프로세스 개선
지속적 위험의 평가
성과개선 결과
위험관리 중심
ERMEnhance Internal Control
Oracle
Internal
Control
Manager
Oracle Internal Control Manager
• Workflow Management Tools Workflow• Document Management Tools Files• System Configuration Tools iSetup• Survey Tools iSurvey• Procedure Documentation Tools Tutor• Process Control Limits DBI• Project Management Framework Projects• Issues Management Framework PLM• Financial Statement Certification GL• Organization Classification HRMS
•• Workflow Management Tools Workflow Management Tools WorkflowWorkflow•• Document Management Tools Document Management Tools FilesFiles•• System Configuration Tools System Configuration Tools iSetupiSetup•• Survey Tools Survey Tools iSurveyiSurvey•• Procedure Documentation Tools Procedure Documentation Tools TutorTutor•• Process Control Limits Process Control Limits DBIDBI•• Project Management Framework Project Management Framework ProjectsProjects•• Issues Management Framework Issues Management Framework PLMPLM•• Financial Statement Certification Financial Statement Certification GLGL•• Organization Classification Organization Classification HRMSHRMS
내부통제 솔루션으로서 Oracle Internal Controls Manager(OICM)는 COSO의 Framework을 그대로
따라 내부통제 및 규정준수 여부를 모니터, 테스트하고 문서화 할 수 있는 기능들을 하나로 묶어 다음
의 활동들을 포함한 내부통제 업무의 조직, 실행 및 관리에 편의성 및 유용성을 제공합니다.
Oracle Internal Control Manager
내부통제
Oracle Projects
Oracle Files
Oracle General Ledger
Human ResourcesApproval Manager
Oracle ScriptingDiscoverer
Oracle Tutor Audit Project & TaskAudit Management
FSG & COAXBRL Reporting
Org & UserApproval Management
Survey & Whistle Blower,Report
Process Documentation &Auto Diagram
Version control, check in, check out, & storage
Oracle Process for Internal Control
내부통제프레임워크
설계
비즈니스프로세스문서화
조직구조 설계
Risk & Controls
Library 구축
평가(Assessment)IC Structure &Compliance
감사범위 설정(Project/Scoping)
내부통재테스트
(Evaluation)
발견사항문서화
평가결과보고서
작성 및 보고
개선 권고사항반영
Business Process 분석/문서화
업무 프로세스 정의(업무범위, 정책, 책임범위, 담당자 별 업무절차)
Sample Procedure Document(Oracle Tutor)
Assess Risk
위험이미치는영향 결정
위험이미치는영향 결정
회사의위험요소확인
회사의위험요소확인
현재의비즈니스프로세스분석
현재의비즈니스프로세스분석
통제의 결함/중요한 약점이무엇인지를결정
통제의 결함/중요한 약점이무엇인지를결정
위험요소가많은 프로세스구분
위험요소가많은 프로세스구분
• 위험에 노출되어 있는 특정 프로세스를 확인 (프로세스는다음과 같은 유형의 위험에 노출되는 경향이 있음)
•누락/오류(Omissions and mistakes)•권한 밖의 행위(Unauthorized actions)•인증되지 않은 거래(Unauthenticated transactions)•무심코한 행위(Unintentional activities)
위험의발생가능성평가
위험의발생가능성평가
통제를 위험요소와맵핑
통제를 위험요소와맵핑
내부통제분석
내부통제분석
• 회사의 모든 비즈니스프로세스를 분석하고조직(부서)의 특정한프로세스 확인
• 위험을 평가하기 위해서 회사의특정 자산이나 프로세스에 대하여우선순위를 정하고 재무, 운영, 공시와 관련된 위험요소 들을확인
• 발생빈도와 주기를고려하여 위험의 발생가능성을 추정
• 위험요소가 재무, 운영, 공시등 회사에 부정적 영향을미치는 정도를 결정
• 현재 재무,운영, 공시상의위험을 감소시키기 위하여수행되고 있는 통제 활동들을분석
• 통제활동을 재무, 운영, 공시위험으로 구분하여매트릭스 작성
업무메뉴얼검토
업무메뉴얼검토
• 문서화된 회사의업무절차서 검토
리스크라이브러리관리
리스크라이브러리관리
• 프로세스와 연관 지을수 있고 반복 발생이가능한 모든 위험에대하여 라이브러리 생성
• 통제의 결함은 내부통제의 운영, 실행, 디자인 상의 결함을 의미
• 중요한 약점은 통제 자체가 위험을감소시키지 못하는 것을 의미
프로세스와관련된재무제표항목 맵핑
프로세스와관련된재무제표항목 맵핑
Assess Risk
위험요소 정의
내부통제 확인
통제방법의운영상의효율성 검토
통제방법의운영상의효율성 검토
새로운통제방법의제안
( 필요 시)
새로운통제방법의제안
( 필요 시)
통제방법의검토 대상정의
통제방법의검토 대상정의
예외감지검토
예외감지검토
부정적발검토
부정적발검토
검토절차의정의 및설계 검토
검토절차의정의 및설계 검토
새로운통제 방법의적용
새로운통제 방법의적용
설계된통제방법검토
설계된통제방법검토
내부통제검토과정의문서화
내부통제검토과정의문서화
새로운통제 절차의구축
새로운통제 절차의구축
공시 및보고를위하여내부통제인증
공시 및보고를위하여내부통제인증
• 설계된 통제 방법이의도대로 작동하는지검토
• 내부통제가 효과적인지검토
불법정도의측정
불법정도의측정
통제방법의조정
통제방법의조정
• 위험을 감소시키기위하여 설계된통제방법의 수정이나새로운 통제방법의제안
• 내부통제 검토를 위한절차의 정의 및 설계
• 통제방법의 유효성을 검토하기위한 제한된 범위에서의 초기의제안된 통제절차 구축
• 특정 범위에서 벗어나는것을 감지할 수 있는 능력이있는지를 검토
• 권한 밖의 행동인나 거래와같이 부정행위를 방지할 수있는지 검토
• 통제방법에 대한검토가 모집단을대표할 수 있는표본에 의해서수행되었다는 것을보증
• 규정을 준수하기 위하여내부통제가 어느 정도로비효율적인지 검토
• 통제의 효율성을 높이기위하여 필요한 경우 내부 통제방법을 조정(수정)
• 모든 검토결과 및검토 절차를 문서화
• 모든 검토가 끝난 후 통제 절차를전사 통제의 표준으로 구축
• 내부보고 및 외부 감사 인증을위하여 내부 통제 절차 사용
Identify/Implement Internal Controls
내부통제의 설계/검토/개정
Risks & Controls Library
프로세스(Process)
조직(Organization)
재무항목(Financial Item)
위험요소(Risks)
통제방법(Controls)
감사절차(Audit
Procedure)
위험유형(Risk Type)
발생빈도(Likelihood)
영향정도(Business Impact)
수단(Automation)
범위(Location)
방법(Type)
보증(Assertions)
목적(Objectives)
프로세스범주(Category)
프로세스의 중요도(Significance)
표준 프로세스 여부(Standard)
설명(Description)
프로세스 책임자(Process Owner)
재무책임자(Finance Owner)
애플리케이션 책임자(Application Owner)
프로세스의 승인상태(Approval Status)
Design EffectivenessOperating Effectiveness
애플리케이션(Application)
직무명(Job Title)
증빙자료(Physical Evidence)
통제원천(Control Source)
종료일자(End Date)
Risks & Controls Library
Risks & Controls Library
Continuous Monitoring of Internal Controls
자료를근거로위험상태평가
자료를근거로위험상태평가
• Financial, Operational Compliance Risk
• Evaluation reports, Automatic Alerts for out of bound parameters
공시 및 보고에미치는 영향도측정
공시 및 보고에미치는 영향도측정
내부통제의유효성결정
내부통제의유효성결정
감사결과의공유
감사결과의공유
• Communicate results to the Audit Committee & Independent Auditor
•Control Deficiencies• Fraud• Material Weaknesses
내부통제의개선
내부통제의개선
Analyze and Monitor Internal Controls
규정준수에대한자료 수집
규정준수에대한자료 수집
• 다음과 같은 주요위험에 대한 자료
•Supplier Invoices & Payments•Payments from Customers•Production & Inventory Data•Sales & Pricing Information•Employee Expense Reports •Asset & Depreciation Data •Investment Portfolio Data
Workflow를통한 개선요구
Workflow를통한 개선요구
• Workflow to Determine Authorizations & Procedures
내부고발자의규정준수문제제기에대한 모니터
내부고발자의규정준수문제제기에대한 모니터
• Alert to critical concerns, risks or breaches of internal Controls from suppliers, customers and employees
공시주기의개정/통합
공시주기의개정/통합
Communicate and Integrate Results
감사주기의개정/통합
감사주기의개정/통합
내부통제의 분석 및 모니터링
결과의 공유 및 통합
Evaluation of Controls
업무 프로세스(업무범위, 정책, 책임범위,
담당자 별 업무절차)
조직(Organization)
재무항목(Financial Item)
위험요소(Risks)
통제방법(Controls)
감사절차(Audit
Procedure)
Projects
Findings
Assessment
EvaluationScoping
감사수행 (Audit)
Risk & ControlLibrary
Monitoring
Communication
Segregation of Duties(Violation)
직무분리가 적절히 이루어 졌는지확인합니다.
Segregation of Duties(Correction)
직무분리가 제대로 이루어 지지않은 데에 대한 시정 요구를 하고
진행사항을 확인합니다.
Assessment
전사 프로세스에 대한 내부통제가제대로 이루어 지는지에 대한전반적인 평가를 수행합니다.
Scoping – Audit Project
감사대상(조직/프로세스)을선정합니다.
Scoping – Audit Task
선정된 조직 및 프로세스에 대한감사절차가 자동으로 연계되어생성되며 담당자는 감사업무를
시작합니다.
Evaluation - Control
Evaluation - Risk
Evaluation – Organizations and Processes
Findings
Monitoring
전사 프로세스에 대한 내부통제가제대로 이루어 지는지에 대한,
현장의 실시간 정보가주요관리지표로 요약되어
보여집니다
복잡한 규제와 요구에 대한대응이 제대로 이루어 지는지
프로세스 별 문제점이 무엇인지판단합니다
Monitoring
프로세스, 리스크, 통제활동, 감사절차의 제,개정/폐지내역 등을
확인합니다.
Monitoring
재무제표와 관련된 재무보고위험의수준과 특정 재무항목과 관련하여
제거되지 않은 위험요소가 얼마나 되는지
확인합니다
Monitoring
특정 조직에 대한 위험관리 수준을확인합니다.
Monitoring
회사의 프로세스 전반에 대한 위험관리수준을 확인합니다.
Monitoring
회사에서 제거되지 못한 위험요소가무엇인지를 구체적으로 파악합니다.
특정 위험과 연관된 사업부가어디인지 파악하고 재발방지를 위한조치를 시행하여, 재무보고의 위험을
원천적으로 제거합니다
Monitoring
제도적 안전장치와 기업책임에 대한 국내판결 사례
• 법원이 경제판례에서 "사회적 통념" 등을 강조하는 것은
기업에 좀더 엄격한 사회적 책임을 강조하는 추세로 해석
• 제조물 책임 소송의 예
헬기 조종사가 날씨가 흐려 계기만을 보고 비행하던 중 계기
속도 표시가 잘못되어 추락한 사건
법원은 이에 대해 "설계상의 잘못 여부는 사회적 통념을 따라야
한다며, 현재 갖춘 정도의 장치 만으로도 통상적인 안전성은 갖
춘 것이며, <중략> 제조자 책임을 물을 수 없다"
2004년 1월29일 중앙일보, 경제판례 해부 중 발췌
내부통제장치의 효력에 대한 미국의 사례
• 1994년 미국 의료회사 캐어마크(Caremark)의 직원 몇
사람이 회사규정을 무시하고 환자 유치를 위해 병원과
의사들에게 불법적인 커미션을 주다 적발
• 회사는 3천억원의 벌금을 물어 주었고, 주주들은 직원들을
제대로 감독하지 못한 책임을 물어 이사들을 상대로 같은
액수의 소송을 제기
• 1996년 미국 델라웨어 주 법원은 "회사가 임직원의 행위로
처벌될 때, 잘 정비된 내부통제 시스템이 가동되고 있었다
면 벌금의 95%까지 감면해 준다" 고 판결
2003년 11월5일 중앙일보 발췌
Q U E S T I O N SQ U E S T I O N SA N S W E R SA N S W E R S
