상시감사 번역(한국어 원본) 본 연구는 상시모니터링에 기반한 상시감사 시스템의 내용 및 구축 방법론을 소개하고 금융업과 제조업의 실무 분야에서 이루어진 실제 상시감사 체계 구축 내용을 체계적인 사례연구로 정리하는 데 목적이 있다.
최근 내부감사 업무는 법규 및 규정에 대한 사후 적발 중심에서 업무 효율성의 진단과 사전적인 리스크 관리 중심으로 변화하고 있다. 즉, 이전 내부감사 기능은 제 규정 및 지침에 대한 지속적인 준수에 대한 보증을 하는 Policeman의 위치에서는 회사 자산에 대한 감사, 제반 규정 등의 준수 여부에 대한 감사, 내부직원에 의한 사고 적발/조사 등의 사후 적발 위주의 업무를 수행했다. 그러나 현재는 목표 달성을 저해하는 핵심이슈 및 리스크를 사전에 파악해서 개선하는 내부 컨설턴트로서 위험도 높은 감사 대상 및 영역을 선별하여 감사를 효율적/효과적으로 수행하고, 위험 징후를 파악하여 사전에 대응하는 리스크 관리 등의 업무를 확장하여 수행하고 있다.
기업에서 상기와 같은 업그레이드된 내부감사 기능을 수행하기 위해서는 내부감사 기능 전반에 있어서 첫째, 정기 감사에서 상시감사 체제로의 변화, 둘째, 개인이 수집한 정보에 의존하는 감사에서 시스템을 활용한 감사로의 전환, 셋째, 리스크 기반 감사 지원 체계로의 전환이 불가피하다.
내부감사 인력이 충분하지 않은 대부분의 기업에서 제한된 자원으로 상기 세가지 변화의 모습을 달성하기 위해서는 필수적인 감사 infra로서 상시감사 체계의 구축이 필수적이라고 할 수 있다.
2000년대 이후 기업의 내부통제 및 회계정보시스템은 전사적자원관리시스템 (Enterprise Resorce Planning; ERP)으로 통합되어 전산화된 환경 하에서 운영되고 있다. 이러한 변화는 기업이 상시감사 체계를 ERP시스템 내에 구축(embedded audit module)할 경우 기업의 관리 및 통제를 가장 효율적이고 효과적으로 할 수 있는 환경이 되었음을 의미한다(Kuhn and Sutton 2010, 2006, Alles et al 2008, 2006). 따라서 기업들이 ERP 환경하에서 상시감사 체계를 어떻게 구축하는지 그 사례를 구체적으로 살펴보는 것은 의미 있는 작업이다.
본 연구에서는 ERP 환경 하에서 상시감사 체계의 구축 방법론에 대해 살펴보고 상시감사 체계를 성공적으로 도입한 금융권 도입 사례와 제조업 도입 사례를 통해 상시감사 체계가 성공적으로 정착하기 위한 방안을 제시한다.
본 연구를 통해 우선 각종 부정이나 내부통제 우회사례를 접하고 있는 많은 기업들에게 상시 감사시스템을 활용한 내부통제의 강화방안을 제시함으로써 내부감사 실무에 도움이 될 수 있을 것으로 기대된다. 또한 외부감사인의 경우 피감기업의 상시모니터링 체계에 대한 이해도를 높임으로써 효율적이고 효과적인 감사에 상기 infra를 활용할 수 있도록 하는데 도움이 될 것으로 기대된다. 그리고 성공적인 상시감사 체계의 구축 사례를 통해 상시모니터링 구축 과정상의 위험과 이슈를 제공하여 체계적으로 분석․소개함으로써 향후 도입예정 기업에게는 도입비용의 절감과 프로세스 정비에 도움이 될 수 있을 것으로 기대된다.
본 연구의 구성은 다음과 같다. Ⅱ장에서는 상시감사의 개념적인 측면과 상시감사 체계의 구축 방법론을 포함한 개요를 정리하고, Ⅲ장에서는 금융업의 A 보험사의 실제 상시감사 체계 구축 사례를 소개하고, Ⅳ장에서는 제조업의 B사의 실제 상시감사 체계 구축 사례를 소개한다. 마지막으로 Ⅴ장에서는 결론을 기술한다.
2.1 상시감사의 개념
상시감사(continuous auditing) 는 사업 및 업무 관련 정보를 실시간으로 계속적인 검토 및 분석이 가능하도록 해주는 기술 및 프로세스로 정의할 수 있다. 상시감사 수행을 위해서는 시스템으로 처리된 정보를 모니터링 하기 위한 전문화된 감사인력이 필요하며, 감사 인력이 활용하기 위한 감사 infrastructure로서 상시감사 시스템과 같은 프로그램이 필요한 것이다.
이러한 상시감사 시스템은 정보 시스템의 일반적인 데이터 처리 흐름에 따라 input 데이터의 생성, 데이터 processing을 통한 output 데이터의 생성 등 크게 두가지 part로 나눌 수 있다.
첫번째 part는 상시 모니터링 대상이 되는 input 데이터를 수집하는 단계이다. 회사의 거래 데이터, 고객 마스터 정보 등 기준 정보 데이터, 내부통제 관련 데이터 중에서 상시 모니터링 시나리오 근거해서 정의된 모니터링 대상 데이터를 집계해서 데이터베이스화 하는 단계를 의미한다.
두번째 part는 상시 모니터링 대상이 되는 input 데이터를 Processing 하여 이상 데이터를 추출하는 단계이다. 상시 모니터링 대상이 되는 input 데이터를 활용하여 상시 모니터링 시나리오별로 이상 데이터를 추출하는 단계인데, 예를 들어 고객 마스터 데이터와 상품 출고 데이터와 같은 input 데이터를 활용하여 “고객마스터에 등록되지 않은 상품 출고 리스트”와 같은 상시 모니터링 시나리오에 근거한 이상데이터를 산출하는 것이다.
2.2 내부통제, 내부회계관리제도, 상시감사시스템 간의 관계
엔론이나 월드콤과 같은 대형 회계 스캔들을 겪으면서 미국은 기업투명성을 제고할 목적으로 2002년 SOX 법안(The Sarbanes Oxley Act)을 제정하였고, 거의 같은 시기에 외환위기를 겪은 한국도 기업 회계 및 경영의 투명성을 제고하기 위하여 기업회계관련 법을 개정하였다. 이들 회계제도규제의 핵심 내용 중의 하나는 내부통제를 강화하기 위하여 경영자의 Financial Reporting 및 Disclosure프로세스 상의 내부통제와 관련된 책임을 강화시키는 것이었다.
이와 같은 회계당국의 규제의 배경을 정확히 이해하려면 내부통제에 대한 정확한 이해는 필수적이라고 볼 수 있다. 내부통제의 일반적인 Standard로 여겨지는COSO REPORT 에 따르면, 내부통제는 (1) 운영의 효과성과 효율성 (Effectiveness and Efficiency of Operations), (2) 재무보고의 신뢰성 (Reliability of Financial Reporting),(3) 법률과 규정의 준수(Compliance with applicable Laws & Regulations) 라는 3가지 목적을 달성하기 위하여 조직의 이사회, 경영자 및 기타 구성원이 수행해야 할 일종의 업무절차(Process)이다 (COSO, 1992)
COSO Framework에서는 내부통제의 요소를 5가지로 규정하고 있으며, 그것은 구체적으로 (1) 통제 환경(Control Environment), (2) 위험 평가 (Risk Assessment), (3) 정보 및 의사소통 (Information & Communications), (4) 통제 활동 (Control Activity) (5) 모니터링 (Monitoring)이다. 5가지 요소는 전사 Level로 구체화되며, 이중 통제활동(Control Activity) 요소는 업무단위 Level로 구체화된다.
상시감사 시스템은 COSO REPORT에 따른 내부통제 5요소 중의 모니터링 영역을 지원하는 시스템이다. 모니터링의 대상은 모니터링을 제외한 나머지 내부통제 요소들인데 특히 통제 활동 (Control Activity)이 적절하게 운영되고 있는지가 주된 모니터링의 관심사가 된다. 예를 들어 “고객마스터에 등록되지 않은 상품 출고 리스트”와 같은 상시 모니터링 시나리오는 다음의 통제활동 예시 중 “예외사항에 대한 보고 및 검토”가 제대로 수행되고 있는지를 모니터링 하기 위한 목적으로 이해할 수 있다.
통제활동 중 상시 모니터링 시나리오를 통해 모니터링을 수행하는 대표적인 항목은 다음과 같다. |
상시감사 번역(영어 번역본) The purpose of this study is to introduce the continuous auditing system based on continuous monitoring and its implementation methodology, and to present a systematic case study of actual continuous auditing systems implemented in the financial industry and the manufacturing industry.
Recently the focus of internal auditing is shifting from uncovering violations of laws and regulations after the fact to diagnosis of business efficiency and proactive risk management. In other words, the internal auditor used to serve as a policeman who guarantees constant compliance with provisions and guidelines, and focused on ex-post-facto exposure, e.g. auditing the assets of the company, compliance with regulations, and exposure/investigation of incidents involving insiders. At present, however, as an internal consultant who detects core issues and risks hindering the accomplishment of goals in advance, and takes actions, the internal auditor extended his duties to include risk management, i.e. selecting auditing targets and areas with a high degree of risk, and conducting audits efficiently and effectively, and detecting an indication of risk and taking a preventive measure.
To perform the aforementioned upgraded internal auditing function, corporations must, first, switch from periodic auditing to continuous auditing, second, from auditing dependent on information collected by individuals to auditing utilizing the system, and third, adopt the risk-based auditing support system.
For most large corporations with insufficient internal auditing manpower to make the above three changes with limited resources, the continuous auditing system must be implemented as an essential infrastructure for auditing.
After year 2000, the internal control and accounting information system was integrated with the ERP system (Enterprise Resource Planning), and has since been running in the computerized environment. This change means that, if companies implement the continuous auditing system within the ERP system (embedded audit module), they have an environment in which they can be managed and controlled most efficiently and effectively (Kuhn and Sutton 2010, 2006, Alles et al 2008, 2006). Accordingly, it will be meaningful to take a close look at how corporations implement the continuous auditing system in the ERP environment.
This study examines the method of implementing the continuous auditing system in the ERP environment, and suggests how the continuous auditing system can take firm root by looking at the successful introduction of the continuous auditing system in the financial sector and the manufacturing industry.
It is also expected that this study will help many corporations, facing various types of corruption or circumvention of internal control, with their internal auditing by showing them how to use the continuous auditing system to reinforce internal control. Also, the independent auditor is expected to raise the audited company’s understanding of the continuous monitoring system to use the aforementioned infrastructure for efficient and effective auditing. It is expected that a case study of successful implementation of the continuous auditing system will expose the risks and issues in the process of implementing the continuous monitoring system, systematically analyzing and introducing the continuous auditing system, and thus help those companies which will introduce this system in the future to reduce costs and improve their processes.
This study has the following composition. Chapter Ⅱ contains the concept of continuous auditing and the outline including the continuous auditing system implementation method. Chapter Ⅲ introduces the case of insurance company A’s implementation of the continuous auditing system with regard to the financial industry, while Chapter Ⅳ introduces the case of company B’s implementation of the continuous auditing system with regard to the manufacturing industry. Lastly, Chapter Ⅴ is the conclusion.
2.1 Concept of continuous auditing
Continuous auditing can be defined as the technology technique and process that make it possible to continuously review and analyze information on business and work in real time. To conduct continuous auditing, professional auditing manpower is necessary for monitoring the information processed by the system, and programs like the continuous auditing system is necessary as an auditing infrastructure to be utilized by the auditing manpower.
This continuous auditing system can be largely divided into two parts: i.e. the generation of input data according to the general data processing flow of the information system, and the generation of output data through data processing.
The first part is the stage in which the input data to be monitored continuously is collected. In this stage, the data to be monitored as defined in the continuous monitoring scenario is selected from among the master data like transaction data and customer master data, and data related to internal control, and databased.
The second part is the stage in which the input data targeted for continuous monitoring is processed and abnormal data is extracted. In this stage the input data targeted for continuous monitoring is utilized and abnormal data is extracted according to each continuous monitoring scenario. For instance, input data, such as customer master data and product delivery, is used to extract abnormal data like the “list of delivered products not registered in the customer master” according to the continuous monitoring scenario.
2.2 Relationship among internal control, the internal accounting management system, and the continuous auditing system
Having experience large-scale accounting scandals involving Enron or WorldCom, the US enacted the SOX Act (Sarbanes Oxley Act) to enhance corporate transparency, and Korea, which underwent the foreign currency crisis at about the same time, amended laws related to business accounting to enhance the transparency of business accounting and management. One of the key points of these accounting system regulations is to reinforce the management’s responsibilities related to internal control mentioned in the Financial Reporting and Disclosure process to tighten internal control.
To correctly understand the background of the accounting authorities’ regulation, a correct understanding of internal control can be said to be essential. According to COSO REPORT , which is regarded as the general standard of internal control, internal control is a sort of process that the Board of Directors, management and other members of the organization must follow to accomplish the following three objectives: (1) Effectiveness and Efficiency of Operations, (2) Reliability of Financial Reporting, and (3) Compliance with applicable Laws & Regulations (COSO, 1992)
The COSO Framework stipulates 5 elements of internal control: (1) Control Environment, (2) Risk Assessment, (3) Information & Communications, (4) Control Activity, and (5) Monitoring. These 5 elements are concretized at the corporate level, and among them the Control Activity element is concretized at the business unit level.
The continuous auditing system supports the monitoring element among the 5 elements of internal control mentioned in the COSO REPORT. The targets of monitoring are the internal control elements except monitoring. In particular, the main interest of monitoring is whether Control Activity is appropriately conducted. For example, the purpose of continuous monitoring scenarios like the “Product Release List Not Registered in the Customer Master” can be said to be monitoring whether “report and review of exceptions” is conducted properly among the following examples of control activities.
Representative control activities monitored according to the continuous monitoring scenario are as follows: |
