자체 평가 제어

Control self-assessment
다음에 대한 시리즈 일부
회계
Early 19th-century German ledger
주요종류
주요개념
선택한 계정
회계기준
재무제표
경리
감사
사람과 조직
개발
부정행위

통제 자체 평가는 1987년에 개발된 기법으로, 기업, 자선단체, 정부 부서를 포함한 다양한 기관에서 위험 관리와 통제 프로세스의 효과를 평가하기 위해 사용한다.

"제어 프로세스"는 오류의 위험을 줄이거나 제거하기 위해 수행되는 검사 또는 프로세스다. 그것의 도입 이후 이 기술은 미국, 유럽 연합 그리고 다른 나라들에서 널리 채택되어 왔다. 통제 자체 평가가 구현될 수 있는 방법은 여러 가지가 있지만, 그 주요 특징은 전통적인 감사와는 달리 시험과 점검은 평가 대상 사업부 내에서 일상적인 책임이 있는 직원에 의해 수행된다는 것이다.[1] 조직 내에서 더 높은 위험 프로세스를 파악하여 자체 평가를 수행하면 내부 감사인이 보다 효과적으로 업무를 계획할 수 있다.[2] 많은 정부 기관들은 통제력 자체 평가의 사용을 요구한다. 미국에서는 정기적으로 IT 시스템 및 운영 프로세스에서 자기 평가를 제어하는 것이 FFIEC의 요구 사항이다.[3] 통제 자체 평가를 위해 주장되는 이익에는 통제에 대한 명확한 책임 라인을 만들고, 사기 위험을 줄이며, 위험 프로필이 낮은 조직을 만드는 것이 포함된다.[4][5]

어떤 상황에서는 통제 자체 평가가 항상 효과적인 것은 아니다. 예를 들어, 분산된 환경, 직원 이직률이 높은 조직, 빈번한 변경을 거치는 조직, 또는 조직의 고위 경영진이 개방형 커뮤니케이션 문화를 조성하지 않는 조직에서는 구현하기 어려울 수 있다.[6]

개발 및 전 세계 채택

통제 자가평가는 1987년 걸프캐나다가 회사의 총감사관 브루스 맥콰이그가 워터게이트 사건이 모회사인 걸프오일코퍼레이션에 미치는 영향에 따라 사용 중인 표준 감사 기법에 불만을 품고 개발했다. 캐나다 걸프만에서 관리 자체 평가를 완전히 이행하기로 한 결정은 여러 가지 요인에 의해 추진되었다. 여기에는 회사가 내부통제에 대해 보고하도록 요구하는 동의령과 전통적인 감사조치를 사용하여 석유 및 가스 매장량을 추정할 때 직면하고 있는 어려움 등이 포함되었다.[7]

이후 10년 동안 걸프 캐나다는 운영 직원에 의한 제어 프로세스의 분석과 평가를 지원하는 프레임워크를 개발했다. 여기에는 직원들의 견해를 표현하는 데 장애가 없도록 하기 위한 익명의 투표가 포함되었다. 이 접근법은 1990년 12월에 내부 감사관에 처음 발표되었다.[8] 걸프 캐나다는 다른 기법을 사용한 통제 자체 평가를 계속했지만 1997년에 이러한 촉진적인 회의 접근방식을 중단했다.[7]

걸프 캐나다만의 통제 자체 평가 도입 이후 많은 민간 부문 조직들은 유사한 기술을 구현했다. 미국에서는 연방예금보험공사캐나다예금보험공사가 그러했듯이 통제자율평가 관행에 기초하여 검토를 실시하였다.[7]

당초 외부감사인은 내부통제시스템의 효율성에 중요한 '부드러운' 영역(직원 사기 등)을 중심으로 감사증거 제공에 효과적이었음에도 통제 자체평가의 혜택을 무시했다.[9]

로버트 맥스웰의 출판제국이 붕괴되는 등 금융 스캔들이 잇따르자 영국 정부는 애드리안 캐드베리에게 기업지배구조 조사를 맡겼다. 그 위원회는 1992년에 "기업지배구조재무 측면" 보고서를 발표했다. 섹션 4인 Reporting and Controls에서 Cadbury는 영국에서 조정기 자체 평가의 채택을 증가시키는 많은 권고안을 작성했다. 특히 보고서에 포함된 실천강령 4.5절은 회사의 이사들이 각 연차보고서에서 회사의 내부통제 체계의 효과에 대해 보고하도록 요구하였다.[10]

2000년 3월, 유럽 위원회는 위원회 운영 방식에 큰 변화를 가져온 개혁에 관한 백서를 승인했다. 이러한 변경사항에는 효과적인 내부통제 시스템을 구축하기 위한 각 부처에 대한 권고사항이 포함되었다. 내부 통제의 이행을 지원하기 위해 예산 중앙 금융 서비스 국장이 통제 자체 평가 프로세스를 개발했다. 이 첫 번째 통제 자체 평가에서는 위원회 전체의 내부 통제를 개선하기 위한 몇 가지 영역을 확인하였는데, 특히 위험 관리에 대한 보다 체계적인 접근법을 구현할 필요가 가장 두드러졌다. 이 첫 번째 자체 평가의 결과는 모든 국장이 매년 통제 및 위험 자체 평가를 수행할 수 있는 요건의 이행이었다.[11]

2007년에 미국은 사르베인-옥슬리 법을 시행했다. 법 제404조를 준수하기 위해, 회사는 "재무보고를 위한 적절한 내부통제 구조와 절차를 수립하고 유지하는 경영진의 책임"을 확인하는 "내부통제 보고서"를 생산해야 하는 하향위험 평가를 수행해야 했다. 15 미국 § 7262(a)이 보고서에는 재무보고와 관련된 내부통제 및 절차의 효과에 대한 평가가 포함되어야 한다. 이러한 요구사항을 충족하기 위해 조직은 점점 더 공인된 표준 방법론을 사용하여 통제 자체 평가를 수행하기 시작했다. 내부통제보고서에 서명해야 하는 기관의 외부감사인은 일반적으로 내부통제보고서의 추후 검토를 촉진함에 따라 통제자체평가 과정에 더욱 깊이 관여하게 되었다.[12]

2011년 영국에서, 금융 서비스 기관은 운영 위험 관리의 개선을 위한 권고안에서 통제 자체 평가를 통한 위험 평가가 위험을 식별하는 중요한 수단이 될 수 있음을 인식했다. 또한 평가가 완전히 효과적이 되려면 금융기구의 위험관리 프로세스에 완전히 통합되어야 한다는 점에 주목하였다.[13]

컨트롤 자체 평가 수행

연방교통청이 사용하는 통제 자체 평가 양식 제1절

통제 자체 평가의 첫 번째 단계는 각 통제관의 적절한 측정 또는 시험 방법을 식별하기 위한 목적으로 조직의 통제 프로세스를 문서화하는 것이다. 제어장치의 실제 시험은 프로세스의 작동 방식에 대한 가장 큰 지식을 가지고 있기 때문에 검사 대상 기관의 영역 내에 일상적인 역할이 있는 직원이 수행한다.[1][4] 평가를 수행하기 위한 두 가지 일반적인 기법은 다음과 같다.

  • 시험 대상 사업부의 일부 또는 전 직원이 참여하는 워크샵.
  • 직원이 독립적으로 작성한 설문 조사 또는 설문지.

두 방법 모두 사업부 직원이 아닌 감사인이 평가를 수행하는 공식 감사와는 정반대다.[1]

평가를 완료한 후, 고장 확률과 고장이 발생한 경우 영향을 결정하기 위해 받은 응답에 기초하여 각 제어장치의 등급을 매길 수 있다. 이러한 등급은 잠재적인 취약성 영역을 보여주는 열 지도를 생성하도록 매핑될 수 있다.

방법론

제어 자체 평가에서 캡처한 정보로부터 생성된 열 지도. 열 지도에서 빨간색과 황색 부분의 문제 군집은 이 영역이 위험성이 높으며 새로운 제어 프로세스 또는 변경 과정이 필요할 수 있음을 나타낸다.

통제 자체 평가를 위한 6가지 기본 방법론이 정의되었다.[14]

  • 내부 제어 질문서(ICQ) 자체 감사
  • 맞춤식 질문지
  • 제어 가이드
  • 인터뷰 기법
  • 제어 모델 워크샵
  • 인터랙티브 워크샵

국립표준기술원 통제 자가 평가 방법론은 맞춤형 설문지를 기반으로 한다. 시스템 기반 제어를 평가하기에 적합한 IT 중점 방법론이다. 정보보안 통제의 현황을 파악하고, 취약점을 파악하며, 필요한 경우 개선계획을 정의할 수 있는 비용 효율적인 기법을 제공한다.[15] 방법론은 시험하고 측정할 수 있는 시스템 또는 시스템 그룹에 대한 구체적인 제어 목표와 기법을 포함하는 설문지를 사용한다. 이 방법론은 미국 연방 기관을 위해 설계되었지만 민간 부문 조직에게도 유용할 수 있다.[15]

COBIT 방법론은 제어 자체 평가에 사용될 수 있다. NIST 방법론과 마찬가지로 IT 중심 평가를 위해 설계되었다. COBIT의 Process Description 구성요소는 조직의 프로세스와 소유권에 대한 참조 모델을 제공한다. 그 통제 목표 구성요소는 조직과 함께 각 IT 프로세스의 효과적인 통제를 위해 필요하다고 간주되는 일련의 요건을 제공한다. 관리지침 구성요소를 이용한 이들 구성요소의 평가와 평가는 조직이 통제목표를 달성하고 있는지를 나타내는 성숙도 모델을 생성하는 평가 메커니즘을 제공한다.[14]

내부 감사 협회는 자체 통제 자체 평가 방법론을 COSO의 프레임워크뿐만 아니라 1990년대의 총 품질 관리 접근법에 기초하였다. 이 방법론은 International Standards for Professional Practice of Internal Auditing의 일부가 되었고 다수의 주요 기관에서 채택되었다.[16]

통제 자체 평가를 표준화하기 위한 많은 다른 방법론이 발표되었다.[17][18] 내부감사원 연구소는 통제 자체 평가 관행에 대한 인증을 제공한다.[19]

소프트웨어 도구

제어 자체 평가 프로세스를 지원하기 위해 많은 소프트웨어 패키지를 이용할 수 있다. 이들은 일반적으로 Deloitte와 같은 감사 및 회계 회사 또는 비즈니스 또는 재무 관리 도구를 전문으로 하는 틈새 판매업체에서 내부적으로 사용하기 위해 개발된 소프트웨어의 변형된 버전이다.

혜택들

통제 자체 평가는 통제에 대한 명확한 책임 라인을 만들고, (거래의 비정상적인 패턴을 나타낼 수 있는 데이터를 조사함으로써) 사기 위험을 줄이며, 위험도가 낮은 조직이 된다.[4][5]

통제 자체 평가를 수행하는 조직에 대해 많은 다른 소프트 편익이 요구되어 왔다. 여기에는 (경영진 및 운영진 모두에 의한) 비즈니스 운영에 대한 더 나은 이해, 리스크 관행에 대한 더 강력한 인식, 강화된 기업 지배구조 체제 및 내부 감사 효율성 개선 등이 포함된다.[4][20]

비판

일부 연구자들은 위험의 정의와 측정 방법이 정교하지 않기 때문에 통제 자체 평가를 결함이 있는 접근법이라고 비판해 왔다. 특히, 통제 자체 평가는 극단적인 하방 위험을 식별하지 않음으로써 위험을 과소평가할 수 있다. 극단적인 하방 위험은 발생한다면 치명적인 결과를 초래할 가능성이 매우 낮은 사건이다. 이러한 위험은 높은 전체 위험 점수를 가져야 한다(일반적으로 위험 발생 확률과 1 ~ 5의 척도로 발생한 경우 영향을 곱한 것으로 계산된다). 통제 자체 평가를 수행하는 개인은 결과적으로 분석에서 배제되거나 덜 심각한 영향을 미치는 다른 개연성(그러나 여전히 가능성이 낮은) 위험과 함께 분류되는 극단적으로 낮은 확률 위험을 야기하는 위험을 유의하게 구별할 수 없다.[21]

통제 자체 평가가 초래할 수 있는 위험 제거에 대한 지속적인 집중도 비판적이었다. 리스크에 대한 지속적인 평가와 이를 완화·제거하는 계획을 세우는 과정은 서로 다른 사업 선택의 리스크-수익률을 무시한 채 리스크가 제거되는 불균형한 기업문화로 이어질 수 있다.[21]

참고 항목

외부 링크

참조

  1. ^ a b c Gilbert W. Joseph; Terry J. Engle (December 2005). "The Use of Control Self-Assessment by Independent Auditors". The CPA Journal. Retrieved 2012-03-10.
  2. ^ "Control Self-assessment: An Introduction". The Institute of Internal Auditors. Archived from the original on 2010-08-23. Retrieved 2012-03-10.
  3. ^ "FFIEC IT Examination Handbook". FFIEC. Archived from the original on 2012-02-27. Retrieved 2012-03-10.
  4. ^ a b c d McNally, J.Stephen (12 November 2007). "Control self-assessment:Everybody pitching in with internal controls". accountingweb.
  5. ^ a b Spencer Pickett, K.H. & Pickett, Jennifer M. (2010). The Internal Auditing Handbook (3rd ed.). John Wiley & Sons Ltd. p. 585.
  6. ^ "Control Self-Assessment:The Future of Store Audits in Retail Stores" (PDF). Protivit Incorporated. 2006. Retrieved 2012-03-30.
  7. ^ a b c Professional Practice Pamphlet 98-2 A Perspective on Control Self-Assessment (PDF). Florida: The Institute of Internal Auditors. 1998. ISBN 089413406X. Retrieved 2012-03-31.
  8. ^ K.H. Spencer Pickett (2011). The Essential Guide to Internal Auditing (Second ed.). John Wiley & Sons Limited. p. 81.
  9. ^ Joseph, Gilbert W (1 August 2001). "Use of control self-assessment in audits". The CPA Journal. Retrieved 2012-03-12.
  10. ^ Financial Aspects of Corporate Governance (PDF) (Report). 1 December 1992. ISBN 0852589131. Retrieved 2012-03-12.
  11. ^ Central Financial Service, European Commission (18 March 2002). "2nd Quality Conference for Public Administration in the EU: Note for the File". Archived from the original on 27 September 2006. Retrieved 2012-03-12.
  12. ^ Engel, Terry J.; Joseph, Gilbert W. (2007). "Improving Internal and External Audit Coordination". 11 (2). CSA Sentinel. The Institute of Internal Auditors. Archived from the original on 2014-03-20. Retrieved 2012-04-02. Cite 저널은 필요로 한다. journal= (도움말)
  13. ^ "Enhancing frameworks in the standardised approach to operational risk – Guidance note" (PDF). Financial Services Authority. January 2011. Retrieved 2012-03-11.
  14. ^ a b Sunil Bakshi (2004). "Control Self-assessment for Information and Related Technology". Journal of the Information Systems Audit and Control Association. 1: 4.
  15. ^ a b Marianne Swanson. "Security Self-assessment Guide for Information Technology Systems". National Institute of Standards and Technology. Retrieved 2012-04-04.
  16. ^ Robert Moeller (2009). Brink's Modern Internal Auditing: A Common Body of Knowledge. John Wiley & Sons Inc., Canada.
  17. ^ Álvarez, Gene (2004). Operational Risk: Practical Approaches to Implementation.
  18. ^ Gene Álvarez; Phil Gledhill (24 November 2010). "A comprehensive risk and control self-assessment methodology". Risk.net. Retrieved 2012-03-10.
  19. ^ "Certification in Control Self Assessment (CCSA)". Institute of Internal Auditors. Archived from the original on 2012-04-02. Retrieved 2012-10-03.
  20. ^ "Control Self Assessment". PriceWaterhouseCoopers. Retrieved 2012-03-10.
  21. ^ a b Lee, Judy; Wee, Lieng-Seng (28 September 2005). "Companies Using Control Self Assessment Don't Really Know their Risk" (PDF). Dragonfly. Retrieved 2012-03-14.