본문으로 이동

내부감사

위키백과, 우리 모두의 백과사전.

내부감사는 조직의 운영을 개선하고 가치를 더하도록 고안된 독립적이고 객관적인 보증자문 활동이다. 이는 위험관리, 내부통제, 기업지배구조 프로세스의 효과성을 평가하고 개선하는 체계적이고 규율적인 접근 방식을 제공함으로써 조직이 목표를 달성하도록 돕는다.[1] 내부감사는 데이터 및 비즈니스 프로세스에 대한 분석 및 평가를 기반으로 통찰력과 권고 사항을 제공하여 이 목표를 달성할 수 있다.[2] 인티그리티설명책임에 대한 약속을 통해 내부감사는 독립적인 조언의 객관적인 원천으로서 이사회고위 관리직에 가치를 제공한다. 내부 감사원이라고 불리는 전문가들은 조직에 고용되어 내부감사 활동을 수행한다.

조직 내 내부감사의 범위는 광범위할 수 있으며, 조직의 지배구조, 위험 관리 및 경영 통제에 대한 주제를 포함할 수 있다. 이는 운영의 효율성/효과성(자산 보호 포함), 재무 및 경영 보고의 신뢰성[3][4], 법률 및 규정 준수(컴플라이언스)를 포함한다. 내부감사는 또한 잠재적인 사기 행위를 식별하기 위한 사전 예방적 사기 감사를 수행하거나, 사기 조사 전문가의 지시에 따라 사기 조사에 참여하거나, 조사 후 사기 감사를 수행하여 통제 실패를 식별하고 재정적 손실을 확정하는 것을 포함할 수 있다.

내부감사원은 회사 활동의 실행에 책임이 없다. 그들은 경영진과 이사회 (또는 유사한 감독 기구)에게 그들의 책임을 더 잘 수행하는 방법에 대해 조언한다. 광범위한 참여 범위의 결과로, 내부감사원은 다양한 고등 교육 및 전문 배경을 가질 수 있다.

내부감사협회 (IIA)는 내부감사 전문가를 위한 공인된 국제 표준 설정 기관이며, 엄격한 필기시험을 통해 국제적으로 공인 내부감사원 자격을 부여한다. 다른 자격증은 특정 국가에서 취득할 수 있다.[5] 미국에서는 내부감사협회의 전문 표준이 정부의 내부감사 업무와 관련된 여러 주의 법령(뉴욕주, 텍사스, 플로리다 등)에 성문화되어 있다. 다른 여러 국제 표준 설정 기관도 존재한다.

내부감사원은 (연방, 주, 지방) 정부 기관, 상장 회사 및 모든 산업 분야의 비영리 회사에서 일한다. 내부감사 부서는 일반적으로 이사회감사위원회에 보고하고, 최고경영자에게 행정 보고를 하는 최고감사책임자 (CAE)가 이끈다 (미국에서는 상장 회사의 경우 이러한 보고 관계가 법적으로 요구된다).

내부감사의 역사

[편집]

내부감사 전문직은 제2차 세계 대전 이후 경영학의 발전과 함께 꾸준히 발전했다. 이는 여러 면에서 공인 회계 법인의 재무 감사, 품질 보증 및 은행 규정 준수 활동과 개념적으로 유사하다. 내부감사의 기반이 되는 일부 감사 기법은 경영 컨설팅 및 공인 회계 전문직에서 파생되었지만, 내부감사의 이론은 주로 "현대 내부감사의 아버지"라고 불리는 로렌스 소여 (1911–2002)에 의해 고안되었다.[6] 내부감사협회의 국제전문실무프레임워크(IPPF)에 의해 정의된 현대 내부감사의 현재 철학, 이론 및 실무는 소여의 비전에 많은 부분을 빚지고 있다.

미국에서 2002년 사베인스 옥슬리법이 시행되면서, 많은 내부감사원들이 기업이 법률 요구 사항을 충족하는 데 필요한 기술을 보유함에 따라 전문직의 노출과 가치가 향상되었다. 그러나 상장 기업의 내부감사 부서가 SOX 관련 재무 정책 및 절차에 집중하면서 20세기 후반에 래리 소여의 내부감사 비전을 향해 이루어진 발전이 지연되었다. 2010년경부터 IIA는 IPPF의 철학에 따라 내부감사가 기업 분야에서 수행해야 할 더 넓은 역할을 다시 한번 옹호하기 시작했다.[7]

조직적 독립성

[편집]

내부감사원은 회사에 직접 고용되지만, 보고 관계를 통해 독립성을 확보할 수 있다. 독립성과 객관성은 IIA 전문 표준의 초석이며, 표준 및 지원 실무 안내서와 실무 자문에서 상세히 논의된다. 전문 내부감사원은 IIA 표준에 따라 감사하는 비즈니스 활동과 독립적이어야 한다. 이러한 독립성과 객관성은 내부감사 부서의 조직적 위치 및 보고 라인을 통해 달성된다. 미국 상장 회사의 내부감사원은 기능적으로 이사회 또는 이사회의 하위 위원회(일반적으로 감사위원회)에 직접 보고해야 하며, 행정적인 목적을 제외하고는 경영진에게 보고하지 않아야 한다.

경영진으로부터의 조직적 독립성은 경영 활동 및 인력에 대한 제한 없는 평가를 가능하게 하고 내부 감사원들이 그들의 역할을 효과적으로 수행하도록 한다. 내부감사원들은 회사 경영진의 일부이고 회사로부터 급여를 받지만, 내부 감사 활동의 주 고객은 경영진 활동을 감독하는 주체이다. 이는 일반적으로 이사회의 위원회인 감사위원회이다. 최고감사책임자가 이사회에 기능적으로 보고할 때 조직적 독립성은 효과적으로 달성된다. 이사회에 대한 기능적 보고의 예시는 이사회가 다음을 포함한다:[8] 내부감사 헌장 승인; 위험 기반 내부감사 계획 승인; 내부감사 예산 및 자원 계획 승인; 내부감사 활동의 계획 대비 성과 및 기타 사항에 대한 최고감사책임자의 보고 수령; 최고감사책임자의 임명 및 해임에 대한 결정 승인; 최고감사책임자의 보수 승인; 부적절한 범위 또는 자원 제한이 있는지 판단하기 위해 경영진 및 최고감사책임자에 대한 적절한 질의 수행.

내부통제에서의 역할

[편집]

내부감사 활동은 주로 내부통제를 평가하는 데 중점을 둔다. COSO 내부통제 프레임워크에 따르면, 내부통제는 모든 기업이 추구하는 다음과 같은 핵심 목표 달성에 대한 합리적인 확신을 제공하기 위해 고안된 이사회, 경영진 및 기타 직원에 의해 영향을 받는 프로세스로 광범위하게 정의된다.

  • 운영의 효과성과 효율성.
  • 재무 및 경영 보고의 신뢰성.
  • 법률 및 규정 준수.
  • 자산 보호

경영진은 내부통제에 책임이 있으며, 이는 통제 환경; 위험 평가; 위험 중심 통제 활동; 정보 및 커뮤니케이션; 모니터링 활동의 다섯 가지 핵심 구성 요소를 포함한다. 경영진은 조직이 위에서 나열된 네 가지 특정 목표를 달성하는 데 도움이 되도록 이러한 다섯 가지 경영 통제 구성 요소에 대한 정책, 프로세스 및 관행을 수립한다. 내부감사원은 경영 통제의 다섯 가지 구성 요소가 존재하고 효과적으로 작동하는지 평가하기 위한 감사를 수행하며, 그렇지 않은 경우 개선을 위한 권고 사항을 제공한다.

미국에서 내부감사 기능은 경영진의 내부통제 시스템을 독립적으로 평가하고 그 결과를 최고 경영진과 이사회의 감사위원회에 보고한다.

위험관리에서의 역할

[편집]

내부감사 전문 표준은 조직의 위험관리 활동의 효과성을 평가하도록 요구한다. 위험 관리는 조직이 임무와 목표를 달성하는 능력에 실제로 또는 잠재적으로 영향을 미칠 수 있는 전략적 위험을 식별, 분석, 대응, 정보 수집 및 모니터링하는 프로세스이다.

COSO 기업 위험 관리 (ERM) 프레임워크에 따르면, 조직의 전략, 운영, 보고 및 규정 준수 목표는 모두 관련 전략적 사업 위험을 가지고 있다. 즉, 조직이 목표를 달성하는 능력을 저해하는 내부 및 외부 사건으로 인해 발생하는 부정적인 결과이다. 경영진은 전략 계획, 마케팅 계획, 자본 계획, 예산 책정, 헤징, 인센티브 지급 구조, 신용/대출 관행, 인수 합병, 전략적 파트너십, 입법 변경, 해외 사업 수행 등과 같은 일상적인 사업 활동의 일부로 위험을 평가한다. 사베인스 옥슬리법 규정은 재무 보고 프로세스에 대한 광범위한 위험 평가를 요구한다. 기업 법률 고문은 종종 회사가 직면하는 현재 및 잠재적 소송에 대한 포괄적인 평가를 준비한다. 내부감사원은 이러한 각 활동을 평가하거나 조직 전체의 위험을 관리하는 데 사용되는 포괄적인 프로세스에 중점을 둘 수 있다. 예를 들어, 내부감사원은 이사회에 미래 지향적인 운영 측정 지표 보고와 관련하여 경영진에게 조언하여 새로운 위험을 식별하는 데 도움을 줄 수 있다. 또는 내부감사원은 이사회 및 기타 이해관계자들이 조직의 경영진이 효과적인 기업 위험 관리 프로그램을 구현했는지에 대한 합리적인 확신을 가질 수 있는지 평가하고 보고할 수 있다.

대규모 조직에서는 목표를 달성하고 변화를 추진하기 위해 주요 전략적 이니셔티브가 구현된다. 최고감사책임자(CAE)는 고위 경영진의 일원으로서 이러한 주요 이니셔티브의 진행 상황 업데이트에 참여할 수 있다. 이는 CAE가 조직이 감사위원회에 직면한 주요 위험 중 다수를 보고하거나, 경영진의 보고가 해당 목적에 효과적인지 확인하는 위치에 있게 한다.

내부감사 기능은 사기 억제 원칙을 사용하여 사기 위험 평가를 통해 조직이 사기 위험을 해결하는 데 도움을 줄 수 있다. 내부감사원은 기업이 기업 위험 관리 프로세스를 구축하고 유지하도록 도울 수 있다.[9] 이 프로세스는 효과적인 관리 시스템을 구축하고 구현하며 품질을 유지하고 전문 표준을 충족하도록 하는 많은 기업에 의해 매우 가치 있게 평가된다[10] 내부감사원은 또한 기업이 SOX 404 top-down risk assessment를 실행하는 데 중요한 역할을 한다. 후자의 두 영역에서 내부감사원은 일반적으로 자문 역할을 하는 위험 평가 팀의 일원이다.

기업지배구조에서의 역할

[편집]

기업지배구조와 관련된 내부감사 활동은 과거에는 이사회 구성원과의 회의 및 토론 참여를 통해 주로 비공식적으로 이루어졌다. COSO의 ERM 프레임워크에 따르면, 지배구조는 조직의 리더십이 활동을 지시하고, 목표를 달성하며, 다양한 이해관계자 그룹의 이익을 윤리적 기준에 따라 보호하는 데 사용하는 정책, 프로세스 및 구조를 의미한다. 내부감사원은 종종 이사회, 경영진 및 외부감사원과 함께 기업 지배구조의 "네 가지 기둥" 중 하나로 간주된다.[11]

기업지배구조와 관련하여 내부감사의 주요 초점 영역은 이사회의 감사위원회(또는 이에 상응하는 기관)가 책임을 효과적으로 수행하도록 돕는 것이다. 여기에는 중요한 경영 통제 문제 보고, 감사 위원회 회의 의제에 대한 질문 또는 주제 제안, 위원회가 효과적인 정보를 받을 수 있도록 외부감사원 및 경영진과의 조율이 포함될 수 있다. 최근 몇 년 동안 IIA는 특히 기업 위험, 기업 윤리, 사기에 대한 이사회 감독 영역에서 기업 지배구조에 대한 보다 공식적인 평가를 옹호해 왔다. 아래 § 세 가지 방어선을 참조하라.

감사 프로젝트 선정 또는 "연간 감사 계획"

[편집]

조직의 위험 평가를 기반으로 내부감사원, 경영진 및 감독 위원회는 내부감사 노력을 어디에 집중할지 결정한다. 이러한 집중 또는 우선순위는 연간/다년 연간 감사 계획의 일부이다. 감사 계획은 일반적으로 CAE가 감사 위원회 또는 이사회의 검토 및 승인을 위해 (때로는 여러 옵션 또는 대안과 함께) 제안한다. 내부감사 활동은 일반적으로 하나 이상의 개별적인 과제로 수행된다.

감사의 특정 목적에 맞게 조정되어야 하며, 감사 방법의 선택도 특정 목적에 맞게 조정되어야 한다. 그렇지 않으면 감사의 목적에서 벗어나게 된다.[12]

내부감사 실행

[편집]

일반적인 내부감사 과제[13]에는 다음 단계가 포함된다.

  1. 감사의 범위와 목표를 적절한 경영진에게 설정하고 전달한다.
  2. 검토 대상 사업 영역에 대한 이해를 개발한다. 여기에는 목표, 측정 및 주요 거래 유형이 포함되며, 인터뷰 및 문서 검토가 필요하며, 필요한 경우 플로우차트와 서술을 작성할 수 있다.
  3. 감사 범위 내에서 사업 활동이 직면하는 주요 위험을 설명한다.
  4. 각 주요 위험이 적절하게 통제되고 모니터링되도록 보장하는 데 사용되는 통제 5가지 구성 요소에서 경영 관행을 식별한다. 내부감사 체크리스트[14]는 감사 대상 특정 프로세스 또는 특정 산업에서 일반적인 위험과 원하는 통제를 식별하는 데 유용한 도구가 될 수 있다.
  5. 가장 중요한 경영 통제가 의도한 대로 작동하는지 여부를 결정하기 위한 위험 기반 샘플링 및 테스트 접근 방식을 개발하고 실행한다.
  6. 식별된 문제와 과제를 보고하고 이러한 문제를 해결하기 위한 조치 계획을 경영진과 협상한다.
  7. 보고된 감사 결과에 대해 적절한 간격으로 후속 조치를 취한다. 내부감사 부서는 이 목적을 위해 후속 조치 데이터베이스를 유지 관리한다.

감사 과제의 기간은 감사 대상 활동의 복잡성과 사용 가능한 내부감사 자원에 따라 달라진다. 위 단계 중 많은 부분은 반복적이며 표시된 순서대로 모두 발생하지 않을 수 있다.

비즈니스 프로세스를 평가하는 것 외에도, 정보 기술(IT) 감사원이라고 불리는 전문가들은 정보 기술 통제를 검토한다.

내부감사 보고서

[편집]

내부감사원은 일반적으로 각 감사 종료 시 감사 결과, 권고 사항, 그리고 경영진의 답변이나 조치 계획을 요약한 보고서를 발행한다. 감사 보고서에는 요약 - 식별된 특정 문제 또는 감사 결과와 관련 권고 사항 또는 조치 계획을 포함하는 본문, 그리고 상세한 그래프, 차트 또는 프로세스 정보와 같은 부록 정보가 포함될 수 있다. 보고서 본문 내의 각 감사 결과는 "5 C"라고 불리는 다섯 가지 요소를 포함할 수 있다.

  1. 상태 (Condition): 식별된 특정 문제는 무엇인가?
  2. 기준 (Criteria): 충족되지 않은 표준은 무엇인가? 표준은 회사 정책 또는 기타 기준이 될 수 있다.
  3. 원인 (Cause): 문제가 발생한 원인은 무엇인가?
  4. 결과 (Consequence): 감사 결과로 인한 위험/부정적인 결과(또는 놓친 기회)는 무엇인가?
  5. 시정 조치 (Corrective action): 경영진은 감사 결과에 대해 무엇을 해야 하는가? 그들은 무엇을 언제까지 하기로 동의했는가?

내부감사 보고서의 권고 사항은 조직이 운영 목표, 재무 및 경영 보고 목표, 법적/규제 준수 목표와 관련된 효과적이고 효율적인 거버넌스, 위험 및 통제 프로세스를 달성하는 데 도움이 되도록 고안되었다.

감사 결과와 권고 사항은 또한 거래에 대한 특정 주장과 관련될 수 있다. 예를 들어, 감사된 거래가 유효했는지 또는 승인되었는지, 완전히 처리되었는지, 정확하게 평가되었는지, 올바른 기간에 처리되었는지, 그리고 재무 또는 운영 보고서에 적절하게 공개되었는지 등이 있다.

다음은 감사 결과를 통해 지속적인 개선을 달성하는 방법에 대한 단계이다.

  • 품질 문제를 해결하기 위한 CAPA(시정 및 예방 조치) 개발.
  • 효과적인 감사 프로세스 또는 절차를 개발하기 위해 사용자 또는 직원을 교육한다.
  • 공급업체, 벤더, 사용자, 감사인 및 감사 기관과 안정적이고 건전한 관계를 유지한다.

IIA 표준에 따라 감사 프로세스의 중요한 구성 요소는 균형 잡힌 보고서를 작성하여 경영진과 이사회에 보고되는 문제를 적절한 맥락과 관점에서 평가하고 고려할 기회를 제공하는 것이다. 중요한 영역에서 비즈니스 개선을 위한 관점, 분석 및 실현 가능한 권고 사항을 제공함으로써 감사원은 조직이 목표를 달성하는 데 도움을 준다.

내부감사 보고서의 품질

[편집]

출처:[15]

  • 객관성 - 보고서에 표현된 의견과 견해는 객관적이고 편향되지 않아야 한다.
  • 명확성 - 사용된 언어는 간단하고 직설적이어야 한다.
  • 정확성 - 보고서에 포함된 정보는 정확해야 한다.
  • 간결성 - 보고서는 간결해야 한다.
  • 적시성 - 보고서는 감사가 종료된 직후 한 달 이내에 즉시 발행되어야 한다.

전략

[편집]

내부감사 기능은 다년 전략 계획에 설명된 기능적 전략을 개발할 수도 있다. 내부감사 전략 계획 수립에 대한 전문 지침은 2012년 7월 내부감사협회에서 '내부감사 전략 계획 개발'이라는 실무 가이드를 통해 발행했다.[16] IA 전략 개발의 핵심 측면은 감사 위원회 및 최고 경영진과 같은 이해 관계자의 기대를 이해하는 것이다. 이는 IA 기능이 조직이 직면한 위험을 해결하는 데 도움이 되는 임무를 수행하는 데 도움이 된다. IA 전략 계획에서 고려되는 특정 주제는 다음과 같다.

  • 범위 및 강조: IA 기능은 재무 보고, 운영, 법률 및 규제 준수, 회사 전략과 관련된 위험을 다루는 데 관여할 수 있다. 이해 관계자에게 매년 크게 변하는 특별한 관심 주제가 있을 수도 있다.
  • 서비스 포트폴리오: IA 기능은 위험 스펙트럼 전반에 걸쳐 전통적인 감사 보증을 제공할 뿐만 아니라 프로젝트 관리, 데이터 분석 및 주요 회사 이니셔티브 모니터링과 같은 다양한 영역에서 컨설팅 프로젝트 지원을 제공할 수 있다. 대규모 감사 기능은 서비스 포트폴리오를 처리하기 위한 전문 분야를 설정할 수 있다.
  • 역량 개발: 범위 및 서비스 포트폴리오에 대한 이해 관계자의 기대는 기능이 필요로 하는 역량을 결정하며, 이는 특정 기술 채용 및 교육 프로그램에 대한 결정을 이끈다. 내부감사 기능은 종종 직원이 관리직으로 전환되기 전에 회사 운영에 대한 더 깊은 지식을 제공하기 위한 "관리 교육장"으로 사용된다.[17]
  • 기술: IA 기능은 감사 프로세스 워크플로우, 통계 분석 및 시스템에서 데이터 획득을 지원하기 위해 다양한 기술 도구/소프트웨어를 사용한다.

IA 전략 구축에는 전략 계획, 전략적 사고, SWOT 분석과 같은 다양한 경영전략론 개념 및 프레임워크가 포함될 수 있다.[16]

기타 주제

[편집]

내부감사 기능 측정

[편집]

내부감사 기능의 측정은 균형성과표 접근 방식을 포함할 수 있다.[18] 내부감사 기능은 주로 감사위원회 및 최고 경영진에게 제공되는 조언 및 정보의 품질을 기반으로 평가된다. 그러나 이는 주로 질적이며 따라서 측정하기 어렵다. 각 감사 참여 또는 보고서 후에 핵심 관리자에게 발송되는 "고객 설문 조사"를 사용하여 성과를 측정할 수 있으며, 감사위원회에는 연간 설문 조사를 실시할 수 있다. 전문성, 조언의 품질, 작업 결과물의 적시성, 회의의 유용성, 상태 업데이트의 품질과 같은 차원에서 점수를 매기는 것이 일반적이다. 고위 경영진 및 감사위원회의 기대를 이해하는 것은 성과 측정 프로세스를 개발하는 데 중요한 단계이며, 이러한 측정값이 감사 기능을 조직 우선순위와 어떻게 일치시키는 데 도움이 되는지 이해하는 것도 중요하다.[19][20] 독립적인 동료 검토는 많은 내부감사 그룹의 품질 보증 프로세스의 일부이며 표준에 의해 종종 요구된다.[21] 결과로 나오는 동료 검토 보고서는 감사위원회에 제공된다.

중요한 감사 결과 보고

[편집]

최고감사책임자 (CAE)는 일반적으로 가장 중요한 문제를 분기별로 감사위원회에 보고하며, 경영진의 문제 해결 진행 상황도 함께 보고한다. 중요한 문제는 일반적으로 회사에 상당한 재정적 또는 명예적 손해를 입힐 합리적인 가능성이 있는 경우이다. 특히 복잡한 문제의 경우, 책임 있는 관리자가 토론에 참여할 수 있다. 이러한 보고는 기능이 존중되고, 조직 내에 적절한 "tone at the top"이 존재하며, 이러한 문제의 해결을 신속히 처리하는 데 매우 중요하다. 감사위원회의 주의를 요하는 적절한 문제를 선택하고 이를 적절한 맥락에서 설명하는 것은 상당한 판단을 요하는 문제이다.

감사 철학

[편집]

내부감사의 철학과 접근 방식 중 일부는 로렌스 소여의 작업에서 비롯되었다. 그의 내부감사 역할에 대한 철학과 지침은 현재 내부감사 정의의 선구자였다. 이는 운영 영역에 대한 충분히 근거 있는 감사, 평가 및 분석을 통해 조직의 목표 달성에 경영진과 이사회를 지원하는 것을 강조했다. 그는 현대 내부감사원들이 적대자가 아닌 경영진의 조언자 역할을 하도록 장려했다. 소여는 감사원들이 모든 종류의 오류와 실수를 비판하기보다는 비즈니스 사건에 영향을 미치는 적극적인 참여자라고 보았다. 그는 또한 감사위원회 및 이사회 구성원과의 더욱 강력한 관계와 최고재무책임자에게 직접 보고하는 것에서 벗어나는 것이 바람직한 감사원의 미래라고 예견했다.[22]

소여는 종종 "잘하고 있는 경영진을 발견하고" 인정과 긍정적인 강화를 제공하는 것에 대해 이야기했다. 감사 보고서에 긍정적인 관찰을 작성하는 것은 소여가 그 아이디어를 이야기하기 전까지는 거의 이루어지지 않았다. 그는 보다 균형 잡힌 보고를 제공하면서 동시에 더 나은 관계를 구축하는 것의 이점을 이해하고 예측했다. 소여는 대인 관계 역학의 심리학과 관계가 번성하기 위해 모든 사람이 인정과 확인을 받아야 할 필요성을 이해했다.[22]

소여는 운영 또는 성과 감사에 대한 날카로운 초점을 통해 내부감사를 더욱 관련성 있고 흥미롭게 만드는 데 기여했다. 그는 재무제표 및 재무 관련 감사 외에 구매, 창고 및 유통, 인적 자원, 정보 기술, 시설 관리, 고객 서비스, 현장 운영 및 프로그램 관리와 같은 영역을 살펴보는 것을 강력히 장려했다. 이러한 접근 방식은 최고감사책임자를 합리적이고 객관적이며 조직의 명시된 목표 달성에 관심을 갖는 존경받고 지식 있는 조언자 역할로 이끌었다.[22]

세 가지 방어선

[편집]

"세 가지 방어선 모델" [23] [24] [25] [26]비즈니스 기능, 위험관리 및 내부감사 간의 관계를 설명하는 프레임워크로, 책임이 어떻게 분할되어야 하는지를 명확히 한다. 이는 책임성을 명확히 함으로써 "위험의 효과적이고 투명한 관리를 보장"하도록 설계되었다. 이 용어는 군사적 "방어선" (및 종심 방어 개념)에서 유추되었다.

  • 첫 번째 방어선 하에서 위험은 일상적으로 관리되고 통제된다. 여기에서 고객 대면 운영 관리직은 "위험을 직접 평가, 통제 및 완화하는 것에 대한 소유권, 책임 및 설명책임"을 갖는다.[24] 그 가치[26]는 "비즈니스, 문화 및 일상적인 어려움을 아는 사람들로부터" 나온다는 점이다(운영 직원의 내부통제도 참조). 동시에, 이 방어선은 독립성이 부족할 수 있다.
  • 두 번째 방어선은 위험 관리, 컴플라이언스, 운영 위험의 독립적인 기능으로 구성된다. 이 방어선은 첫 번째 방어선에 의한 효과적인 위험 관리 관행의 구현을 모니터링하고 촉진하며, "감독 및 도전"을 제공한다.[24] 또한 "위험 소유자"가 위험 관련 보고서를 작성하고 해석하는 데 도움을 준다. 책임자들과는 분리되어 있지만, 경영 체인에서 독립적이지는 않다.[26] (은행업에 관해서는 미들 오피스를 참조하라.)
  • 세 번째 방어선은 이사회에 직접 보고하는 내부감사이다. 내부감사는 위에서 언급한 § 기업지배구조에서의 역할에 따라 객관적이고 독립적인 보증을 제공하면서 첫 번째 및 두 번째 방어선을 모두 검토하고 보고한다.[26]

모델의 후속 반복[26]에 따르면, "외부 독립 기관"의 보증은 네 번째 방어선으로 간주된다. 여기에서 외부감사원기타는 이사회에 보증과 통찰력을 제공하며 "명확하게 독립적"으로 간주된다.

위험에 대한 "최후의 방어선"[27]자본이다. 충분한 자본량은 "상당하고 예상치 못한 손실이 발생하더라도 기업이 계속기업으로 유지될 수 있도록 보장"하기 때문이다.[27] 위험 자본, 규제 자본, 재무 위험 관리계속기업 § 경영진의 계획을 참조하라.

와해성 기술

[편집]

내부감사는 새로운 위험을 완화하는 효과적인 통제를 유지하는 데 중요한 역할을 한다. 감사원이 파괴 관련 위험을 해결하지 않으면 기업은 위험을 증가시키거나 기회를 놓칠 수 있다.[28] 마이클 G. 알레스는 빅 데이터가 감사원들이 실무에 통합해야 할 와해성 기술이라고 논의했다.[29] 2019년 연구인 '내부감사원의 와해성 기술 대응'은 변화에 대응하기 위한 내부감사의 진화를 보고한다. 검토된 와해성 기술에는 데이터 분석, 애자일 프로세스, 클라우드 컴퓨팅, 로봇 프로세스 자동화, 지속 감사, 규제 변화 및 인공지능이 포함된다.[30]

각주

[편집]
  1. IIA's definition of audit.
  2. Wood, David A. (May 2012). Corporate Managers' Reliance on Internal Auditor Recommendations. AUDITING: A Journal of Practice & Theory 31. 151–166쪽. doi:10.2308/ajpt-10234.
  3. Wood, David A. (July 2009). Internal Audit Quality and Earnings Management. The Accounting Review 84. 1255–1280쪽. doi:10.2308/accr.2009.84.4.1255. S2CID 154999202.
  4. Wood, David A. (September 2013). A Descriptive Study of Factors Associated with the Internal Audit Function Policies Having an Impact: Comparisons Between Organizations in a Developed and an Emerging Economy. Turkish Studies 14. 581–606쪽. doi:10.1080/14683849.2013.833019. S2CID 145381015.
  5. UK and Ireland Certifications. Eciia.eu. 2013년 6월 25일. 2013년 8월 20일에 원본 문서에서 보존된 문서. 2013년 9월 4일에 확인함.
  6. The IIA-History and Evolution of Internal Auditing (PDF). 2013년 9월 4일에 확인함.
  7. Internal Auditor Magazine. na.theiia.org. 2000년 1월 1일. 2013년 9월 4일에 확인함.
  8. Pages – Standards. theiia.org.
  9. Role of Internal Auditing in ERM. 2013년 9월 5일에 원본 문서에서 보존된 문서. 2013년 9월 4일에 확인함.
  10. ECAAS Certification & Training. 2015년 6월 16일에 확인함.
  11. IIA Article "Getting a Leg Up". Findarticles.com. 2013년 9월 4일에 확인함.
  12. Management of Internal Audit, Internal Audit Handbook (Berlin, Heidelberg: Springer Berlin Heidelberg), 2008, 547–552쪽, doi:10.1007/978-3-540-70887-2_35, ISBN 978-3-540-70886-5, 2020년 11월 14일에 확인함
  13. David Griffiths. Internal audit – Risk based – Introduction. internalaudit.biz.
  14. Internal Audit Checklists of various processes. Internal Audit Expert. internalauditexpert.in. 2013년 12월 13일에 원본 문서에서 보존된 문서. 2013년 12월 12일에 확인함.
  15. Format of Internal Audit Report. internalauditexpert.in. 2013년 12월 7일에 원본 문서에서 보존된 문서. 2013년 12월 3일에 확인함.
  16. 1 2 Pages – Developing the Internal Audit Strategic Plan Practice Plan Practice Guide. theiia.org.
  17. Wood, David A. (November 2011). The Effect of Using the Internal Audit Function as a Management Training Ground on the External Auditor's Reliance Decision. The Accounting Review 86. 2131–2154쪽. doi:10.2308/accr-10136.
  18. Frigo, Mark L. A Balanced Scorecard Framework for Internal Auditing Departments. IIA Research Foundation. Altamonte Springs, FL.: 2002
  19. IIA-GAIN Study-Knowledge Report—Measuring Internal Audit Performance—September 2009. Theiia.org. 2000년 1월 1일. 2012년 3월 8일에 원본 문서에서 보존된 문서. 2013년 9월 4일에 확인함.
  20. PWC-2012 State of the Internal Audit Profession Survey-March 2012. Pwc.com. 2012년 3월 20일. 2013년 9월 4일에 확인함.
  21. Peer Review: IIA, GAGAS and ISSAI. projectauditors.com. 2012년 1월 1일. 2014년 3월 26일에 확인함.
  22. 1 2 3 Sawyer, Lawrence (2003). Sawyer's Internal Auditing 5th Edition. Institute of Internal Auditors. ISBN 978-0894135095.
  23. Position paper: The three lines of defence, Chartered Institute of Internal Auditors
  24. 1 2 3 Three Lines of Defence Model, Association of Corporate Treasurers
  25. Internal audit: three lines of defence model explained, Institute of Chartered Accountants of Scotland
  26. 1 2 3 4 5 The four lines of defence, Institute of Chartered Accountants in England and Wales
  27. 1 2 III.A.3, in Carol Alexander, ed. (January 2005). The Professional Risk Managers' Handbook. PRMIA Publications. ISBN 978-0976609704
  28. Pett, J., Kristall, M., & Mack, D. (2017). Opportunity from disruption. Internal Auditor, 74(3), 57–60.
  29. Michael G. Alles (2015) Drivers of the Use and Facilitators and Obstacles of the Evolution of Big Data by the Audit Profession. Accounting Horizons: June 2015 pp. 439-449
  30. Christ, Margaret H.; Marc Eulerich and David A. Wood, 2019, Internal Auditors' Response to Disruptive Innovation. Internal Audit Foundation. ISBN 978-1-63454-062-9
원본 주소 "https://ko.wikipedia.org/w/index.php?title=내부감사&oldid=40643473"