내부감사

3. 조직적 독립성

조직적 독립성은 경영진의 활동과 직원을 제한 없이 평가할 수 있게 하고 내부 감사인이 역할을 효과적으로 수행할 수 있도록 한다.^[8] 내부 감사인은 회사에 고용되지만, 감사 대상 활동으로부터 독립적이어야 하며, 객관성을 유지해야 한다.^[8] 비록 내부 감사인이 회사 경영진의 일부이며 회사로부터 급여를 받지만, 내부 감사 활동의 주요 고객은 경영진 활동에 대한 감독을 담당하는 기관이다.^[8] 이는 일반적으로 감사 위원회이며, 이사회의 위원회이다.^[8]

내부 감사 부서는 감사위원회에 직접 보고해야 하며, 경영진으로부터 독립성을 확보해야 한다. 최고 감사 책임자(CAE)는 이사회에 기능적으로 보고함으로써 조직적 독립성을 확보한다. 이사회에 대한 기능적 보고의 예는 다음과 같다:^[8]

4. 역할

내부감사는 조직의 경영 목표 달성을 돕기 위해, 공정하고 독립적인 입장에서 경영 활동을 평가하고 조언 및 권고를 하는 업무이다.^[31] 이사의 직무 집행을 감사하는 감사역 감사, 회계 감사인 감사와 함께 '삼위 감사'라고 불리기도 한다.^[32][33]

최근 기업 경영 환경이 글로벌화되고 부정 사건이 잇따르면서 기업에 대한 감시가 강화되어, 내부감사에도 글로벌 표준을 고려해야 할 필요성이 커지고 있다.^[34] 내부감사 기준으로는 일본내부감사협회의 "내부감사 기준"과 내부감사인 협회(IIA)의 "전문직적 실행의 국제 프레임워크(IPPF)"가 있다.^[35] 일본내부감사협회는 IIA의 일본 지부이지만, 두 기준은 내부감사의 지휘 계통 등에서 차이가 있어, 일본 기준은 국내 로컬 기준으로 적용된다.

일본에서는 내부감사가 최고 경영자에게 직속되어 내부 통제 준수 여부를 점검하는 것이 주된 업무이다. 반면 국제 사회에서는 내부감사 부문이 독립 사외이사 중심의 이사회나 감사 위원회에 직속되어 경영 전반을 감사한다.

일본은 내부감사나 상근 감사역이 경영자로부터 독립적이지 않아, 경영자 부정, 부정 회계, 중대한 부정 사건 발생 시 내부감사 부문이 이를 알고도 감사 보고서에 기재하지 않거나 은폐에 관여하는 경우가 있어, 국제 사회에서 일본 감사·지배구조 제도의 문제점으로 지적된다.

2006년 시행된 신회사법과 금융 상품 거래법(일본판 SOX법)은 대기업과 상장 기업에 내부 통제를 요구하며, 내부감사와 밀접하게 관련되어 있다. 회사법은 이사회에 업무 적정성 확보 체제 정비를 의무화하고, 금융 상품 거래법은 "재무 정보 적정성 확보 체제"를 요구하며 내부감사에 구체적인 역할을 부여한다.

영미권에서는 내부감사 부서가 조직 내부 감독을 수행하고 외부 감사를 수행하는 감사 법인과 협력한다. 일본의 감사역은 주로 사외 이사가 맡으며, 내부 경영진과 독립된 지휘 체계로 감독하여 주주 이익을 보호한다.

4. 1. 내부 통제 평가

4. 2. 위험 관리

4. 3. 감사 계획 수립

5. 감사 수행 절차

일반적인 내부 감사 업무^[13]는 다음 단계를 포함한다.

1. 감사의 범위와 목표를 설정하고 관련 경영진에게 전달한다.

2. 검토 대상 사업 영역에 대한 이해를 발전시킨다. 여기에는 목표, 측정 및 주요 거래 유형이 포함되며, 인터뷰와 문서 검토가 수반된다. 필요하다면 순서도와 설명을 작성할 수 있다.

3. 감사 범위 내에서 사업 활동이 직면한 주요 위험을 설명한다.

4. 각 주요 위험이 적절하게 통제되고 모니터링되도록 하기 위해 사용되는 통제의 다섯 가지 구성 요소에서 경영 관행을 식별한다. 내부 감사 체크리스트^[14]는 감사 대상 특정 프로세스 또는 특정 산업에서 일반적인 위험과 원하는 통제를 식별하는 데 유용한 도구가 될 수 있다.

5. 가장 중요한 경영 통제가 의도한 대로 작동하는지 확인하기 위해 위험 기반 표본 추출 및 테스트 접근 방식을 개발하고 실행한다.

6. 식별된 문제와 과제를 보고하고 이러한 문제를 해결하기 위해 경영진과 실행 계획을 협상한다.

7. 보고된 결과를 적절한 간격으로 후속 조치한다. 내부 감사 부서는 이러한 목적으로 후속 조치 데이터베이스를 유지 관리한다.

감사 업무 기간은 감사 대상 활동의 복잡성과 사용 가능한 내부 감사 자원에 따라 달라진다. 위 단계 중 많은 부분이 반복적이며 표시된 순서대로 모두 발생하지 않을 수 있다.

사업 프로세스 평가 외에도, 정보기술 통제를 검토하는 정보 기술(IT) 감사자라고 불리는 전문가들이 있다.

6. 감사 보고

내부 감사인은 보통 감사 종료 시점에 감사 결과, 권고사항, 경영진의 응답 또는 실행 계획을 요약한 보고서를 발행한다. 감사 보고서는 객관성, 명확성, 정확성, 간결성, 적시성을 갖춰야 한다.

감사 보고서는 다음 내용을 포함할 수 있다.

• 구체적인 문제 또는 발견 사항
• 관련 권고 사항 또는 실행 계획
• 자세한 그래프 및 차트 또는 프로세스 정보와 같은 부록 정보

내부 감사 보고서의 권고 사항은 조직이 운영, 재무 및 경영 보고, 법률/규제 준수 목표와 관련된 효과적이고 효율적인 거버넌스, 위험 및 통제 프로세스를 달성하는 데 도움이 되도록 설계되었다. 감사 결과는 거래의 유효성, 승인 여부, 완전성, 정확성, 적시성, 재무 또는 운영 보고에 적절하게 공시되었는지 여부 등 거래에 대한 특정 주장과 관련될 수 있다.

내부감사인 협회(IIA) 표준에 따르면, 감사 프로세스의 중요한 구성 요소는 임원 및 이사회에 적절한 맥락과 관점에서 보고되는 문제를 평가하고 신중하게 검토할 기회를 제공하는 균형 잡힌 보고서를 작성하는 것이다. 감사인은 중요한 분야에서 관점, 분석 및 실행 가능한 비즈니스 개선 권고 사항을 제공함으로써 조직이 목표를 달성하도록 돕는다.

6. 1. 감사 결과 보고

7. 감사 철학

로렌스 소이어(Lawrence Sawyer, 1911-2002)는 "현대 내부 감사의 아버지"로 불리며, 내부 감사 이론 정립에 크게 기여했다.^[6] 그는 내부 감사의 역할에 대한 철학과 지침을 제시했는데, 이는 현재 내부 감사 정의의 선구자 역할을 했다. 소이어는 조직의 목표 달성을 지원하기 위해 타당한 감사, 평가, 운영 분야 분석을 강조했다.^[22]

소이어는 내부 감사인이 경영진의 조언자 역할을 해야 한다고 강조했다. 그는 감사인을 단순한 비판자가 아니라, 사업에 적극적으로 참여하여 영향을 미치는 사람으로 보았다. 또한 감사 위원회 및 이사회 위원과 더 강력한 관계를 맺고, 최고 재무 책임자에게 직접 보고하는 방식에서 벗어나는 미래를 예견했다.^[22]

그는 "관리자가 올바르게 하는 것을 찾아내기"를 강조하며, 긍정적인 강화를 제공하는 것을 중요하게 생각했다. 이전까지 감사 보고서에 긍정적인 내용을 작성하는 것은 드문 일이었지만, 소이어는 균형 잡힌 보고를 통해 더 나은 관계를 구축할 수 있다고 보았다. 그는 대인 관계의 심리학과 인정의 중요성을 이해했다.^[22]

소이어는 운영 감사를 통해 내부 감사의 관련성을 높이는 데 기여했다. 그는 재무 감사를 넘어 구매, 창고 관리, 인적 자원, 정보기술, 고객 서비스 등 다양한 분야를 탐구하도록 장려했다. 이러한 접근 방식은 최고 감사 책임자를 조직의 목표 달성을 돕는 조언자 역할로 끌어올리는 데 도움이 되었다.^[22]

8. 3선 방어 모델

3선 방어 모델(^{[23][24][25][26]})은 사업 기능, 위험 관리, 내부 감사의 관계를 설명하는 프레임워크로, 책임 분담 방식을 명확히 한다. 이는 책임 소재를 명확히 하여 "위험의 효과적이고 투명한 관리를 보장"하도록 설계되었다. 이 용어는 군사 용어인 "방어선"(그리고 종심 방어 개념)에서 유래되었다.

• 제1선 방어: 일상적으로 위험을 관리하고 통제한다. 고객을 대면하는 운영 관리는 "위험을 직접 평가, 통제 및 완화하는 데 대한 소유권, 책임 및 책임을 갖는다".^[24] 이것의 가치는^[26] "비즈니스, 문화 및 일상적인 과제를 아는 사람들"로부터 나온다는 것이다. 그러나 동시에 이 선은 독립성이 부족할 수 있다.

• 제2선 방어: 위험 관리, 규정 준수, 운영 위험의 독립적인 기능으로 구성된다. 이 방어선은 제1선에서 효과적인 위험 관리 관행의 구현을 모니터링하고 촉진하여 "감독 및 이의 제기"를 제공한다.^[24] 또한 "위험 소유자"가 위험 관련 보고를 생성하고 해석하는 데 도움을 준다. 업무 담당자와는 별개이지만, 경영 계통에서 독립적이지는 않다.^[26] (은행업 관련해서는 미들 오피스 참조)

• 제3선 방어: 내부 감사이며, 이사회에 직접 보고한다. 내부 감사는 제1선과 제2선 모두를 검토하고 보고하며, 객관적이고 독립적인 보증을 제공한다.^[26]

9. 내부 감사의 혁신

데이터 분석, 애자일 프로세스, 클라우드 컴퓨팅, 로봇 프로세스 자동화(RPA) 등 새로운 기술을 활용하여 내부 감사는 혁신을 추구해야 한다.^[30] 이러한 혁신은 내부 감사의 효율성과 효과성을 높이고, 조직의 위험 관리 역량을 강화하는 데 기여한다.

10. ISO와 내부 감사

국제표준화기구(ISO)는 내부감사를 통해 PDCA 사이클을 반복하며 지속적인 개선을 이루는 것을 필수적인 조건으로 여긴다. 또한 내부감사가 형식화되는 것을 막기 위해 상호 감사, 개선 제안 등을 실시하여 규격 요구 기준 준수 및 유지뿐만 아니라, 미래의 문제점 예방, 잠재 능력 발굴 등 실효성 있는 내부감사를 수행해야 한다.

참조

_[1] 문서 IIA's definition of audit Institute of Internal Auditors
_[2] 논문 Corporate Managers' Reliance on Internal Auditor Recommendations 2012-05
_[3] 논문 Internal Audit Quality and Earnings Management 2009-07
_[4] 논문 A Descriptive Study of Factors Associated with the Internal Audit Function Policies Having an Impact: Comparisons Between Organizations in a Developed and an Emerging Economy 2013-09
_[5] 웹사이트 UK and Ireland Certifications http://www.eciia.eu/[...] Eciia.eu 2013-06-25
_[6] 웹사이트 The IIA-History and Evolution of Internal Auditing https://na.theiia.or[...] 2013-09-04
_[7] 웹사이트 Internal Auditor Magazine https://na.theiia.or[...] na.theiia.org 2000-01-01
_[8] 웹사이트 Pages – Standards https://global.theii[...]
_[9] 웹사이트 Role of Internal Auditing in ERM http://www.theiia.or[...]
_[10] 웹사이트 ECAAS Certification & Training http://ecaas.com.au/[...] 2015-06-16
_[11] 웹사이트 IIA Article "Getting a Leg Up" http://findarticles.[...] Findarticles.com 2013-09-04
_[12] 서적 Management of Internal Audit http://dx.doi.org/10[...] Springer Berlin Heidelberg 2020-11-14
_[13] 웹사이트 Internal audit – Risk based – Introduction http://www.internala[...]
_[14] 웹사이트 Internal Audit Checklists of various processes http://www.internala[...] internauditauditexpert.in 2013-12-12
_[15] 웹사이트 Format of Internal Audit Report http://www.internala[...] 2013-12-03
_[16] 웹사이트 Pages – Developing the Internal Audit Strategic Plan Practice Guide https://na.theiia.or[...]
_[17] 논문 The Effect of Using the Internal Audit Function as a Management Training Ground on the External Auditor's Reliance Decision 2011-11
_[18] 간행물 A Balanced Scorecard Framework for Internal Auditing Departments IIA Research Foundation
_[19] 웹사이트 IIA-GAIN Study-Knowledge Report—Measuring Internal Audit Performance—September 2009 http://www.theiia.or[...] Theiia.org 2000-01-01
_[20] 웹사이트 PWC-2012 State of the Internal Audit Profession Survey-March 2012 http://www.pwc.com/u[...] Pwc.com 2012-03-20
_[21] 웹사이트 Peer Review: IIA, GAGAS and ISSAI http://www.projectau[...] projectauditors.com 2012-01-01
_[22] 서적 Sawyer's Internal Auditing 5th Edition Institute of Internal Auditors
_[23] 웹사이트 Position paper: The three lines of defence https://www.iia.org.[...] Chartered Institute of Internal Auditors
_[24] 웹사이트 Three Lines of Defence Model https://wiki.treasur[...] Association of Corporate Treasurers
_[25] 웹사이트 Internal audit: three lines of defence model explained https://www.icas.com[...] Institute of Chartered Accountants of Scotland
_[26] 웹사이트 The four lines of defence https://www.icaew.co[...] Institute of Chartered Accountants in England and Wales
_[27] 간행물 The Professional Risk Managers' Handbook PRMIA Publications 2005-01
_[28] 간행물 Opportunity from disruption
_[29] 간행물 Drivers of the Use and Facilitators and Obstacles of the Evolution of Big Data by the Audit Profession 2015-06
_[30] 간행물 Internal Auditors' Response to Disruptive Innovation Internal Audit Foundation
_[31] 웹사이트 内部監査基準 http://www.iiajapan.[...] 一般社団法人日本内部監査協会 2014-06
_[32] 법률 会社法第381条第1項、第404条第2項第1号
_[33] 법률 会社法第396条第1項
_[34] 간행물 財務報告に係る内部統制の評価及び監査に関する実施基準 III. 4. 他の監査人等の利用 企業会計審議会
_[35] 문서
_[36] 간행물 財務報告に係る内部統制の評価及び監査に関する基準 I. 4. 内部統制に関係を有する者の役割と責任 企業会計審議会