내부회계관리제도 (K-SOX) 용어정리

728x90

아래는 내부회계관리제도 (K-SOX) 용어를 정리하고 설명한 내용이다. 

 

1. RCM: Risk Control Matrix

2. ELC: Entity Level Control

3. PLC : Process Level Control

- RCM은 회사의 위험과 그 위험을 통제하는 통제로 구성되어 있다. 

- 전사차원의 위험을 통제하는 ELC와 회사의 프로세스차원의 위험을 통제하는 PLC 두 가지로 구성되어 있다. 

4. Flowchart: Activity와 Risk & Control을 업무 Flow-Chart로 도식화 한 자료

5. Understanding and Walkthrough: 설계평가

- 통제를 추적해서 따라가보는 절차로, 통제가 잘 설계되었는지를 확인해보는 평가하는 것이다. 

6. TOC: Test of Controls: 운영평가

- RCM에 적혀 있는 대로 Risk에 대해 Control이 제대로 수행되고 있는지 평가하는 것이다. 어떤 문서를 참조해서 어떤 항목들을 검토하는지를 RCM을 통해서 파악하고, 그대로 잘 수행했는지를 평가하는 것이다. 

- 설계가 잘 되었는지의 여부 확인이 아닌 실제로 운영이 잘 되고 있는지를 확인한다는 점에서 설계평가와 차이가 있다. 

7. MRC: Management Review Control 

- 경영진 검토 통제로, 특별히 경영진이 주의를 기울여서 검토해야 하는 통제를 별도로 MRC 라고 부른다.

- 일반적으로, 종속기업관계기업 투자주식 손상평가나 영업권 손상평가와 같은 추정의 항목이 많이 들어가는 주요 계정 항목들에 대해서 MRC 항목을 식별한다. 

8. IPE: 아래 설명 참조

9. EUC: End User Computing 컴퓨터 환경 (엑셀, 엑세스) - IPE 항목안에 EUC항목이 포함된다. 

10. ITGC 는 IT 일반통제 (Information Technology General Controls)의 약자로 회사의 시스템이 의도한대로 운영되고, 시스템을 통한 정보 및 결과값 (Output)을 신뢰할 수 있다는 주장을 뒷받침하기 위한 통제들이다. 

11. IPE: information produced by entity

- IPE의 정확한 정의는 회사에서 produce한 모든 정보를 의미한다. 기본적으로는 시스템에서 내려받은 정보를 포함한 모든 정보를 의미한다. (시스템과 무관한 하드카피로 관리되거나, 구두로 제공되는 정보도 포함된다.)  

- 그러나, 내부회계관리제도 목적 상의 IPE는 통제활동을 수행할 때 사용하는 정보로 한정하고, 회사에서 제공한 정보는 시스템에서 내려서 받은 정보로 한정한다. 

- 따라서, K-SOX 목적에서, IPE test를 진행하는 대상은 회사의 시스템에서 내려받은 정보만을 대상으로 한다. 예를 들면, 그냥 바로 내리기만 하면 되는 정보도 있고, IT의 도움을 받아 내리는 정보도 있고, 우리가 parameter를 입력해서 입맛에 맞게 내리는 정보도 있고, 내린 다음 엑셀이나 엑세스로 가공(EUC)하는 정보들도 있다.

- 어찌됐든 이 모든 정보들을 IPE라고 하는데, 이 모든 IPE에는 위험이 존재한다. 데이터 자체가 정확하지 않을 수도 있고, 불완전한 데이터를 잘못 활용할 위험도 있고, parameter를 잘못 입력할 수도 있고, 등등 다양한 위험이 있는데. 이런 위험들 중에 ITGC 라는 IT영역의 일반 통제로 cover가 되는 부분들을 제외하고, EUC 통제활동을 통해 cover 가능한 부분을 제외하고, IPE 테스트(위험이 있는지)가 필요한 IPE 항목들을 그냥 IPE 항목이라고 부른다.

댓글()