제1장 내부통제의 개념과 역사

IV. 내부통제의 역사
4.1 COSO 이전의 내부통제

내부통제라는 개념이 처음 등장한 것은 1949년으로 미국의 공인회계사회인 AICPA(당시에는 American Institute of Accountants: AAA)가 외부감사인이 감사계약을 체결하거나 실시 전에 반드시 감사대상기업의 내부통제 수준을 검토하도록 요구하면서 부터이다. 미국공인회계사회는 1958년 내부통제를 회계통제(accounting controls)와 관리통제(administrative controls)로 구분하였다. 회계통제는 자산의 보호(safeguarding assets), 재무정보의 신뢰성(reliability of financial records)과 관계된 통제이고 관리통제는 운영의 효율성(operational efficiency)과 준법성( adherence to managerial policies)에 관한 통제이었다. 이와 같이 내부통제를 회계통제와 관리통제로 구분한 내용은 국제최고감사기구(INTOSAI)의 규정에도 그대로 반영되어 2000년대 초반까지 사용되었다.

미국공인회계사회는 1972년 내부통제의 책임한계를 명확히 하기 위한 내용을 발표하였다. 회계통제는 승인받은 거래, 회계기준에 따른 가래의 기록, 자산에 대한 책임성 유지, 자산에 대한 접근권한, 실제 자산과 기록의 정기 대조 등에 합리적 확신(reasonable assurance)을 제공한다고 역할과 책임을 한정하였다. 미국의회는 1972년 AICPA의 자문을 받아 Foreign Corrupt Practices Act를 발효시켰다. 이 법에서는 1977년부터 모든 공개기업은 반드시 다음과 같이 내부통제를 강화하도록 의무화하였다.
∎ 회계장부는 자산의 처분과 거래를 공정하고 정확하게 기록 유지할 것
∎ 거래가 관리자에 의하여 결재된 것이라는 합리적 확신을 줄 수 있도록 내부회계통제 시스템을 구축하여 유지하고 있을 것
∎ 거래는 회계기준에 맞추어 자산의 관리책임에 대하여 기록할 것
∎ 자산에 대한 접근은 관리자의 승인(결재)을 받아야 함
∎ 재고자산은 정기적으로 장부와 실물이 대조 확인되어야 함.

AICPA는 1984년 8월부터 발효되는 SAS No. 48(Statement on Auditing Standards No. 48)을 통해 “관리적 통제는 최소한 관리자의 거래 승인(결재) 과정과 관련한 절차와 기록, 조직의 계획 등을 포함하고 있어야 한다.”고 하였다. SAS No. 48은 이어서 그러한 승인은 조직의 목표를 달성할 책임과 직접 관련된 경영기능(management function)이고 거래에 관한 회계통제의 시작점이다“고 하고 있다(AU320.27). 경영 조직에서 기능(function)이란 인사, 재무, 회계, 생산, 영업 등과 같은 것을 의미한다.

SAS No.48은 회계통제(accounting control)가 자산의 보호 및 재무보고의 신뢰성과 관련된 조직의 계획, 절차, 기록으로 구성되며 다음과 같은 내용에 합리적 확신을 갖기 위하여 설계된 것이라고 설명하고 있다.
∎ Transactions are executed in accordance with management's general or specific authorization.
∎ Transactions are recorded as necessary
1. to permit preparation of financial statements in conformity with generally accepted accounting principles or any other criteria applicable to such statements and
2. to maintain accountability for assets.
∎ Access to assets is permitted only in accordance with management's authorization.
∎ The recorded accountability for assets is compared with the existing asset at reasonable intervals and appropriate action is taken with respect to any differences." (AU320.27)

4.2 COSO와 내부통제
COSO는 1985년 회계부정에 의한 재무보고의 원인을 연구하고 SEC 등 관계당국과 상장기업, 외부감사인, 교육기관 등에게 제공할 권고안을 작성하기 위한 National Commission on Fraudulent Financial Reporting의 전문지원조직으로 출범하였다. 이 국가위원회는 산업계, 회계법인, 투자자문회사, 뉴욕증권시장 등의 대표가 참여하였고, 미국회계학회, 공인회계사회, Financial Executives International (FEI), The Institute of Internal Auditors (IIA), and the National Association of Accountants (현재 the Institute of Management Accountants [IMA]) 등이 공동으로 지원하였다. 초대 위원장이 James C. Treadway, Jr. 로 이 위원회를 Treadway Commission이라고 불렀다.
COSO의 목표는 enterprise risk management (ERM), internal control, and fraud deterrence 등 세 가지 상호 연관된 주제에 대하여 선도적인 리더 역할을 갖는 것이었다. 지금까지 COSO가 내부통제와 관련하여 발표한 보고서는 다음과 같다.

∎ 1992년 - Internal Control – Integrated Framework
∎ 1996년 - Internal Control Issues in Derivatives Usage
∎ 2006년 - Internal Control over Financial Reporting – Guidance for Smaller Public Companies,
∎ 2009년 - The Guidance on Monitoring Internal Control Systems
∎ 2010년 - COSO announced a project to update its 1992 Internal Control – Integrated Framework.
∎ 2013년 - Internal Control – Integrated Framework 2013

전사적 위험관리와 관련하여 COSO는 2004년 Enterprise Risk Management – Integrated Framework을 발표하였다. COSO의 ERM Framework은 8개의 구성요소로 이루어지는데, 일부 전문가들은 이 8개 구성요소가 1992년의 발표된 내부통제의 5가지 구성요소를 개정한 것이라고 하나 이는 잘못된 지식이다.
COSO는 2009년부터 전사적 위험관리와 관련한 “thought papers”를 계속 발표하고 있다.
부정저지(fraud deterrence)와 관련하여 COSO는 두 개의 연구보고서를 발간하였다. 1999년에 발간된 첫 번째 연구보고서는 “Fraudulent Financial Reporting: 1987-1997” 이고 두 번째 보고서는 “Fraudulent Financial Reporting: 1998-2007”으로 2010년에 발표되었다.

4.3 Sabanes-Oxley Act와 PCAOB
COSO는 1992년 Internal Control-Integrated Framework을 통해 혁신적인 내부통제의 개념적 틀을 제시하였다. 그리고 10년 후 Sarbanes-Oxley Act(SOX)가 발표되었는데, 그 중 section 404는 내부통제의 중요성을 강조하고 있다. 이 법은 상장기업 등 조직이 재무보고에 관한 내부통제제도를 구축하고 운용할 것을 요구하고, 경영자와 외부감사인은 내부통제의 효과성에 대하여 평가하고 보고하도록 요구하고 있다.
비슷한 시기에 SEC도 내부통제의 중요성을 강조하고 내부통제의 평가와 보고에 COSO의 개념적 틀을 적용할 것을 권고하였다. PCAOB는 2004년 Auditing Standard(AS) 2 : An Audit of Internal Control over Financial Reporting Performed in Conjunction with an Audit of Financial Statements에서 내부통제 평가에 COSO의 내부통제 개념적 틀을 사용할 것을 권고하였다.
많은 기관과 연구자들이 각자 내부통제의 개념적 틀을 제시하여 왔지만, 미국의 대부분 회계사들은 내부통제를 설계, 구축, 운용하거나 그 효과성을 평가하는 데 COSO의 개념적 틀을 가장 유용한 것으로 보고 있다. 미국의 대부분 기업 및 공공조직들은 COSO의 Framework을 적용하고 있고 전세계적으로 확산되고 있다.
COSO는 2013년 기존의 보고서를 갱신하였으나 1992년의 틀에서 큰 변화는 없이 설명을 더 자세히 하고, ERM의 개념과 근접시키고, 정보화 환경에 따른 조정 등이 있었다.

4.4 영국의 APB와 Turnbull 위원회
영국의 Turnbull committee는 상장기업들이 통합규범(Combined Code)에 제시되어 있는 내부통제 원칙을 어떻게 시행해야 하는지를 조언하기 위하여 1998년 설립되었다. 최우선적으로 요구되는 내용은 경영진이 다음과 같은 의무를 이행하여야 한다는 것이다.
■ implement a sound system of internal controls
■ and that this system should be checked on a regular basis.

이어서 Turnbull 보고서는 다음과 같은 두 가지를 요구하고 있다.
(a) 내부통제는 위험기반접근법(risk-based approach)를 적용하여 구축하여야 한다. 특히 기업은 조직의 목표를 설정하고, 핵심적인 위험을 식별하고, 제기된 위험에 적합한 통제방법을 결정하고, 정기적인 feedback을 포함하여 필요한 통제방법을 시스템화하여야 한다. 이와 같이 내부통제를 시스템화할 것을 강력히 요구하는 이유는 인사이동, 조직 개편, 환경 변화 등이 발생하더라도 내부통제가 정상적으로 작동되기를 바라기 때문이다.

(b) 시스템화 된 내부통제방법들은 정상 작동되고 있는지를 정기적으로 재검토하여야 한다. 2010년에 공표된 영국의 Corporate Governance Code는 다음과 같은 내용을 포함하고 있다.
“The directors should, at least annually, conduct a review of the effectiveness of the group's system of internal control and should report to shareholders that they have done so. The review should cover all controls, including financial, operational and compliance controls and risk management.”

99