제 1 장 내부통제의 개념과 역사

II. 전문기관들의 내부통제 정의
2.1 COSO(Committee of Sponsoring Organization)의 정의

COSO는 2013년 “내부통제는 세 가지 범주에서 조직의 목표달성을 합리적으로 보장하기 위하여 설계된, 조직의 최고경영자, 관리자, 기타 구성원들에 의하여 영향을 받는 처리과정(process)이다“고 정의하고 있다. 여기서 세 가지 범주는 (1) 운영의 효율성과 효과성, (2) 보고의 신뢰성, (3) 적용받는 모든 법규와 규정의 준수이다.
COSO의 정의는 세부적으로 다음과 같은 내용을 내포하고 있다.
∎ 내부통제는 구조(strucrture)가 아니라 처리과정(process)이다. 경영진과 모든 계층의 관리자에 의하여 계획되고, 시행되고, 모니터링 되는 시간적으로 연속되는 일련의 임무(tasks)와 활동(activities)들 이다. 이 처리과정은 그 자체가 목표가 아니라 목표를 향한 수단(means)이다.
∎ 내부통제에 영향을 미치는 것에는 정책매뉴얼, 시스템, 양식(forms) 뿐만 아니라 조직 내에서 업무를 수행하는 모든 계층의 사람들도 포함된다.
∎ 조직의 경영진과 관리자에게 운영, 보고, 준법 등의 목표 달성에 대하여 절대적인 확신이 아니라 합리적인 확신을 제공해 줄 수 있어야 한다. COSO의 개념에 Brown University의 Office of Internal Audit Services의 내부통제 개념을 보완한 것이다.
∎ 내부통제는 각기 별개이면서 서로 중복되는 범주 내에서 목표 달성에 기여하는 것이다. 내부통제의 목표는 보고의 신뢰성, 준법성, 운영의 효율성과 효과성 확보에 있다.
∎ 조직 전체에 적용되어야 한다.

미국의 대부분 대학과 기관, 기업들은 자체 내부통제제도에 COSO의 개념 정의를 그대로 수용하고 있다. COSO의 내부통제에 대한 정의를 보다 쉽게 풀이하면 내부통제는 조직의 효율성과 효과성, 보고의 신뢰성, 법규정의 준수 등의 수준을 높이기 위하여 조직의 모든 구성원이 이행하도록 설정된 절차라고 할 수 있다. COSO의 정의 중 효율성과 효과성은 사전적인 의미 보다는 사후적인 의미가 더 크다고 보아야 한다.
Michigan Tech. Univ., Brown Univ., Syracuse Univ. 등 대부분의 미국대학들은 내부통제에 대한 정의로 COSO를 응용하여 다음과 같이 정의를 하고 있다.
Internal Control is a process effected by a college or university's governing board, administration, faculty, and staff designed to provide reasonable assurance regarding the achievement of objectives in the following categories:
• Effectiveness and efficiency of operations.
• Reliability of financial reporting.
[4] COSO의 1997년 보고서에는 reporting을 financial accounting에 한정하였다. 2013년 보고서는 모든 reporting으로 확대하였으나 아직 각 대학이 이를 수정하지 못한 것으로 판단된다.

• Compliance with applicable laws and regulations.

2.2 국제최고감사기구(INTOSAI)의 정의
국제최고감사기구(International Organization of Supreme Audit Institutions , INTOSAI)는 내부통제를 "경영진과 구성원들에 의하여 영향을 받는 통합된 절차(integral process)로서 실체의 위험을 인식하고 실체의 임무를 수행하는 데 합리적 확신을 제공할 수 있도록 설계되어 다음과 같은 일반적인 목표를 달성하기 위한 것이다."라고 정의하고 있다.
● Executing orderly, ethical, economical, efficient and effective operations;
● Fulfilling accountability obligations;
● Complying with applicable laws and regulations;
● Safeguarding resources against loss, misuse and damage.

2.3 영국 Turnbull 위원회
통상 Turnbull guidance라고 불리우는 Internal Control: Guidance for Directors on the Combined Code는 1999년 Institute of Chartered Accountants of England and Wales(ICAEW)가 London Stock Exchange의 요청으로 내부통제와 관련된 Combined Code의 요구조건을 상장기업의 경영진이 따르도록 하기 위하여 마련한 것이다. [5] 이 문건은 2005년에 개정되었으며 본 내용은 2005년 개정 내용을 중심으로 하였다.
Turnbull guidance는 내부통제를 다음에 열거된 것들을 달성하기 위한 기업의 정책, processes, tasks, 구성원의 행동이나 습성 등을 포함하는 시스템으로 보고 있다.
• Facilitate its effective and efficient operation by enabling it to respond appropriately to significant business, operational, financial, compliance and other risks to achieving the company’ objectives;
• Help ensure the quality of internal and external reporting; and
• Help ensure compliance with applicable laws and regulations, as well as internal policies with respect to the conduct of business.

Turnbull 위원회는 건전한 business practice를 반영하는 원칙기반의 접근을 시도하고, 내부통제는 조직의 업무처리 process에 내장되어 있어야 한다고 본다. 이렇게 하여 직원의 순환보직, 주변환경 변화 등이 있더라도 내부통제 기능이 변함없이 유지되기를 바랐다. 이를 위하여 내부통제 기능이 정상적인 경영 및 거버넌스 process에 내장되어야 한다는 것을 강력히 요구하고 내부통제 제도를 감독기관의 요구에 형식적으로 응하기 위하여 장식품처럼 비치해 놓는 것을 강하게 경계하였다.


[그림 1-9] 예산통제가 형식적인 장식품인 사례

[그림 1-9]는 서울 어느 공립병원의 형식적인 장식품 역할을 하고 있는 예산통제의 사례이다. 지출원인행위(reserve for encumbrance)는 예산통제를 위한 절차로서 지출하고자 하는 거래 금액이 예산으로 편성되어 있고, 아직 잔액으로 남아 집행가능한지를 확인하기 위한 절차(process)이다. 그럼에도 불구하고 그림의 사례에서는 지출원인행위 날짜는 2013년 10월 16일이지만, 문서의 하단에 보면 정작 예산통제 날짜가 2013년 11월 11일로 나타나 있다. 예산의 집행 과정에서 가장 중요한 지출원인행위라는 내부통제 process가 무엇인지 잘 이해하지 못한 것이 원인으로 판단된다.
Turnbull 위원회의 내부통제 가이드라인은 각 기업의 특수한 상황을 반영한 내부통제 제도를 구축하도록 유도하는 역할을 하였다. 그리고 내부통제제도에는 운영통제, 준법, 재무통제 등 생각할 수 있는 모든 통제를 포함해야 한다고 요구하였다. Turnbull은 또한 이사회 차원에서 위험(risk)을 강력하게 관리할 책임이 있다고 하고, 이사회가 위험기반 접근법으로 내부통제 시스템을 구축할 것을 강력히 요구하였다. 그리고 경영진에게는 이사회의 내부통제에 대한 정책과 방침이 시행되도록 할 책임이 있고, 조직을 구성하는 직원들은 주어진 목표의 한도 내에서 내부통제에 책임이 있다고 하였다.

2.4 CICA의 CoCo(Criteria of Control), Board Guidance on Control
캐나다공인회계사회(Canadian Institute of Chartered Accountants, CICA)는 1992년 발표한 CoCo(Criteria of Control Framework)에서 통제를 “those elements of an organization (including its resources, systems, processes, culture and tasks) that, taken together, support people in the achievement of the organization’ objectives.”라고 정의하였다. 그 후 1995년 통제 지침(Guidance of Control)을 발표하였다. 이 지침은 내부통제의 효과성을 평가하는 기준을 제시하고 있다. 통제는 개개 직원, 작은 단위업무에서부터 조직 전체를 아우르는 것으로 보고 있다. CoCo는 20가지 통제 기준을 제시하고 이들을 목적(purpose), 헌신(commitment), 능력(capability), 모니터링과 학습(monitoring & learning) 등 4가지 필수적인 구성요소로 구분하고 있다. 이들 기준과 형식은 COSO가 2013년 기존의 내부통제 보고서를 갱신하는데 기초가 되었다.

목적에 속하는 기준은 조직이 지향해야 할 방향을 제시한다. 이것은 목적, 위험, 기회, 정책, 계획, 성과목표 등에 관한 것이다. 헌신 기준은 조직의 정체성(identity)을 제시해주고 윤리적 가치, 인적자원정책, 권한, 책임, 상호신뢰 등에 관한 내용을 담고 있다.
능력 기준은 조직의 능숙성(competence)에 관한 것으로 지식, 기술, 도구, 의사소통 과정, 정보, 협력, 통제활동 등에 관한 것들이다. 모니터링과 학습 기준은 조직의 혁신에 관한 것으로 내부 및 외부환경에 대한 검토, 목표 대비 성과의 분석, 필요한 정보와 시스템의 재평가, 상황 판단의 적절성 평가, 통제의 효과를 제고하기 위한 평가와 후속 절차 등이다.
상호 연관되어 있는 이들 기준들은 통제의 관점에서 전체 조직을 바라볼 수 있는 framework을 제공해준다. CICA의 이 지침은 통제의 설계, 평가, 보고에 관한 판단에 유용하게 사용할 수 있도록 한 것으로 최소한의 요구조건으로 이들 기준을 제시한 것은 아니다.

2.5 COSO, CoCo, Turnbull의 내부통제 framework 비교
COSO, Turnbull, CoCo 등의 내부통제 framework은 상호 보완적이다. 이들은 내부통제를 조직의 목표를 달성하는데 이바지하거나 기여하도록 설정된 절차 또는 절차의 집합체라고 보고 있다. 이들의 frameworks은 내부통제를 조직의 운영, 준법, 보고과정에서 당면하는 심각한 위험을 최소화하기 위한 것으로 그 개념을 폭넓게 보고 있다. 여기서 조직의 목표에는 준법, 신뢰할 수 있는 보고 등과 함께 조직 효과성을 개선하는 것도 포함된다. 내부통제의 개념을 좁게 보면 재무보고에 관한 것으로 한정될 수 있다. 이들 세 가지 framework의 바탕에는 모두 효과적인 내부통제는 위험의 최소화에 합리적인 확신을 줄 수 있고, 효과적으로 목표를 달성할 수 있도록 여러 가지 방법으로 조직을 위하여 일하는 구성원들에 의하여 결정되는 절차라는 기본 인식이 깔려 있다.

2.6 ISACA의 Control Objectives for Information and Related Technology(COBIT)
대부분의 조직들이 운영과정에 정보기술의 도입과 활용을 중요한 경영전략의 하나로 보고 있다. 이에 따라 IT governance가 enterprise governance의 핵심적인 부분으로 등장하고 있다. 이러한 관점에서 The Information Systems Audit and Control Association(ISACA)은 1996년 IT governance framework으로 Control Objectives for Information and Related Technology(COBIT)를 발표하였다. 그리고 2012년 5차 개정판을 발표하였다.
COBIT은 IT 개발 운영에 적절한 수준의 보안과 내부통제를 반영하기 위한 reference framework이다. COBIT은 조직이 적절한 IT governance and control을 개발하고, IT 사용에 의한 효익이 극대화될 수 있도록 하기 위한 일반적으로 인정된 IT통제 목표를 제시하고 있다. COBIT은 다음과 같은 점에 확신을 심어줌으로써 IT governance를 지원한다.
• IT is aligned with the business;
• IT enables the business and maximizes benefits;
• IT resources are used responsibly; and
• IT risks are managed appropriately.

COBIT은 내부통제의 개념을 COSO로부터 차용하여 다음과 같이 정의하고 있다.
“the set of policies, procedures, practices and organizational structures designed to provide reasonable assurance that business objectives are achieved and that undesirable events are prevented, detected and corrected.”
COSO와 Turnbull은 전사적 차원에서의 조직의 목표 달성에 초점을 맞추고 있는 반면에 COBIT은 정보기술에 초점을 맞추고 있다. 따라서 조직이 내부통제 제도 및 시스템을 구축하고자 할 때는 반드시 COBIT을 보완적으로 살펴보아야 한다.

2.7 The Basel Committee on Banking Supervision(BCOBS)의 Framework for Internal Control Systems
The Basel Committee on Banking Supervision(BCOBS)은 1998년 Framework for Internal Control Systems을 발표하였다. 이 framework에서 가장 중요하게 요구하고 있는 것은 규정의 준수에 관한 것이다. BCOBS가 제시한 다섯 가지 내부통제 구성요소는 경영진의 감시와 통제문화(management oversight and control culture), 위험의 인식과 평가(risk recognition and assessment), 통제활동과 업무분장(control activities and segregation of duties), 정보와 소통(information and communication), 그리고 모니터링 활동과 취약점의 보완(monitoring activities and correcting deficiencies) 등이다. BCOBS는 이들 다섯 가지 구성요들이 효과를 발휘해야만 조직의 성과, 정보, 준법 목표들이 달성될 수 있다고 보고 있다.

2.8 International Organization for Standardization (ISO)
ISO는 산업 및 무역관련 협회, 과학, 학술, 소비자, 소비자단체, 정부, 그밖에 사회단체들을 위한 16,000여 가지 국제표준을 개발하여 적용하고 있다. ISO 9000 시리즈는 품질관리 시스템에 초점을 맞추고 있는데, 여기에는 통제가 관련 규정에 따라 적절히 효력을 발휘하는지에 관한 내용도 포함되어 있다. ISO 4000 시리즈는 환경관리시스템에 관한 것으로 여기에는 환경관련 규정의 준수에 관한 내용이 포함되어 있다. 2000년에 도입된 ISO 9001과 1996년에 도입된 ISO 14001은 160여 개국에서 적용되고 있다. ISO 27000은 정보보안관리시스템에 초점을 두고 있으며, 관련 규정이나 계약이 요구조건을 준수하고 있는지에 대한 확신을 심어줄 수 있도록 정보보안기준을 설정하도록 지원하고 있다.

<<토의 1-3>> 잘못 이해되고 있는 내부통제 개념의 사례

다음은 어느 공기업이 발주한 내부통제 진단 용역의 과업지시서 일부이다. 나. 과업범위 ①【내부통제시스템 진단】 ○ 내부통제시스템 관리체계(Governance) 진단 및 수준 평가 - 관련 제도, 규정, 조직, 프로세스, 시스템 현황 등 검토 - 타 조직과의 비교분석을 통한 내부통제 개선점 도출 ○ 관리체계 진단을 통한 점검계획, 방법등 매뉴얼화, 내부감사 역할 정립 ○ 회계(내부회계관리제도 포함) 및 계약분야 관리체계 진단, High Risk 도출 및 진단 - 도출된 High Risk에 대해 내부통제 프로세스 점검, 개선과제 이행방안 수립 - 내부회계관리제도에 대한 내부감사 측면의 점검 및 관리방안 수립 [질문 1] 이 과업지시서로 미루어볼 때 용역 발주자는 내부통제가 무엇인지 어느 정도 이해하고 있다고 생각하는가? [질문 2] 이 과업지시서의 문제점을 제시하고 설명하라.

2.9 IFAC의 내부통제 개념
IFAC은 내부통제에 대하여 가급적 전세계 주요 국가, 주요 기관들이 설정한 개념들을 수집하고 종합화하려는 경향을 보이고 있다. 그러한 과정을 통하여 IFAC이 도출한 내부통제의 개념은 위험의 최소화에 초점을 두고 다음과 같이 정의되고 있다.
Internal control is an integrated part of an entity‟.s management system, effected, understood, and actively followed by the entity‟.s board of directors, management, and other personnel, to mitigate the entity‟.s risks in achieving the entity‟.s objectives through:
■ effective and efficient strategic and operational processes;
■ providing reliable information to internal and external users for timely and effective decision making;
■ ensuring conformance with applicable laws and regulations, and also with the entity‟s own policies, procedures, and guidelines;
■ safeguarding the entity‟s resources against loss, fraud, misuse, and damage; and
■ safeguarding the availability, confidentiality, and integrity of the entity‟s IT systems.