내부통제 운영 (ICFR: Internal Control over Financial Reporting)

📌 내부통제 운영 (ICFR)

내부통제(ICFR: Internal Control over Financial Reporting)는 회계정보의 신뢰성을 확보하고, 외부감사 및 내부감사 대응을 위한 핵심 통제 프레임워크입니다. 다음은 ICFR 운영을 위해 실무자가 수행해야 할 50개의 단위 업무를 다섯 개 카테고리로 정리한 가이드입니다.

---

🔹 준비 (Planning)

• ICFR 운영 연간계획 수립
• ICFR 대상 법인(회사) 및 관리범위 확정
• ICFR 대상 부서 및 프로세스 선정
• 계정과목별 위험(Risk) 식별
• 위험평가 매트릭스(Risk Matrix) 작성
• 주요 통제활동(Key Control) 리스트 작성
• 프로세스별 흐름도(Process Flow Chart) 작성
• 통제활동 매뉴얼(Control Activity Manual) 작성
• 시스템 통제(ITGC) 범위 및 항목 정의
• 외부 감사 요구사항(기준, 가이드라인) 검토

---

🔹 통제설계 (Design)

• 계정별 통제설계(Control Design) 작성
• 계정과목별 프로세스 흐름도(Process Flowchart) 문서화
• Key Control / Non-Key Control 구분
• 계정별 재무보고위험(Financial Reporting Risk) 정의
• 신규사업, 신제품 발생 시 통제활동 재설계
• 재무보고 경로(Financial Reporting Process) 설계
• 전표승인, 매출, 매입, 자산 등 주요 프로세스 통제 설계
• 내부거래(Intercompany) 통제 포인트 설계
• 시스템 접근권한 통제설계(SOD, Role Based Access)
• SOD(업무분장 상충) 점검 및 권한매트릭스 정리
• 주요 승인권자(Level of Authorization) 기준 수립
• 오류 및 부정거래(Fraud) 방지 통제포인트 식별
• 정책 및 절차(Policy & Procedures) 문서화
• 감사로그(Audit Log) 추적 가능성 검토
• 중요성 기준(Materiality Threshold) 설정
• ITGC(IT General Control) 설계 범위 및 책임자 지정
• 시스템 통제/수작업 통제 분리 설정

---

🔹 수행 및 점검 (Operation & Testing)

• 통제활동 수행 증빙(Evidence) 수집지침 배포
• 통제활동 수행 주기(월별/분기별/연간) 정의
• 수행된 통제증빙 자체 점검(Self-Assessment)
• 샘플링 기법(Sampling Methodology) 적용하여 점검
• 통제테스트 방법론(Methodology) 수립
• 통제포인트별 증빙(Evidence Type) 명시
• 설계적합성(Design Effectiveness) 검토
• 운영적합성(Operating Effectiveness) 테스트
• 운영중인 IT시스템(ERP, Groupware 등) 통제테스트
• 부정위험관리(Fraud Risk Management) 테스트
• 통제실패(Deficiency) 발견 및 사유 기록
• 전사 통제활동 수행주기(일/월/분기) 스케줄 수립
• 부서별 통제담당자 지정 및 운영교육 실시
• 수행된 통제활동 증빙 수집 및 점검
• 통제활동 수행결과 내부 점검(Self Check)
• 샘플링 기준에 따른 통제 테스트(Operating Test) 실시
• 이상내역(Deviations) 발생 시 원인조사 및 재수행
• 자동통제 기능(예: ERP 전표승인, 알림기능 등) 확인
• 통제 수행현황 내부보고(운영책임자 → 평가책임자)
• 외부감사 대응용 운영이력 수집
• 내부통제 모니터링 보고서 정기 작성

---

🔹 검토 및 보고 (Review & Reporting)

• 내부통제 Test Result 집계
• 결함(Deficiency) 평가(중대/비중대 여부 판단)
• 개선조치(Action Plan) 수립 및 이행계획 작성
• 부서별 개선조치 요청 및 피드백 회수
• 잔여리스크(Remaining Risk) 관리방안 수립
• 통제재설계(If Needed) 및 재점검
• ICFR 운영현황 경영진 보고서 작성
• 감사위원회(Audit Committee) 보고자료 작성
• 외부감사 대응용 ICFR 자료 패키지 준비
• 감사 대응 질의응답 자료(Q&A List) 작성
• 통제설계 적정성(Design Effectiveness) 평가
• 통제운영 적정성(Operating Effectiveness) 평가
• 설계/운영 실패 통제 식별 및 내부 이슈 분류
• 미비점(Action Plan) 및 개선계획 수립
• 중대/비중대 평가 기준 적용(정량·정성 판단)
• 내부통제 오류 재수행 및 보완통제 검토
• 자회사 내부회계관리제도 운영실태 점검
• 내부통제 개선이력(Log) 및 전년도 비교 분석
• 감사위원회 대상 내부회계관리 실태보고서 작성
• 외부감사인 대상 연간평가 보고서 제출

---

🔹 사후관리 (Aftercare)

• 연간 내부통제 운영결과 리뷰 미팅 주관
• ICFR 관련 개선이력(History) 관리
• 내부통제 교육(전사 대상) 기획 및 실행
• 신규입사자 대상 내부통제 기본교육 시행
• 통제실패 재발방지 대책 수립 및 교육
• 주요 시스템 변경(ERP 업그레이드 등) 시 통제 영향 검토
• 법령/규제 변경사항 반영(예: 금융위, 공정위 가이드라인)
• ICFR 관련 외부 감사인의 개선권고사항 이행
• ICFR Document(문서화) 주기적 업데이트
• 차기년도 ICFR 개선전략 및 중장기계획 수립
• 내부통제 운영 리스크 사후관리 체크리스트 운영
• 반복 오류에 대한 루트코즈 분석 및 개선 로직 설계
• 통제항목별 IT자동화(RPA, SAP 등) 연계 여부 검토
• ERP/Groupware 통제항목 기능 설정 및 정합성 확인
• 내부회계관리제도 교육 커리큘럼 정비 및 전사 교육
• 내부통제 모범사례/Best Practice 정리 및 사내 공유
• 통제활동 문서 최신화 및 시스템 이관
• 감사위원회 정기 브리핑 및 질문사항 대응 자료 준비
• 외부감사 결과(내부회계 관련 지적) 반영 계획 수립
• 차기년도 ICFR 전략 수립 및 연간 실행계획 확정