효율적 외부 감사와 내부 통제를 위한 SAP GRC

 In Digital Economy, SAP S/4HANA

1020-1-hero-banner

지난 2019년도 회계감사부터 자산 2조 이상의 상장사는 강화된 내부회계관리제도를 적용한 외부감사를 받았습니다. 많은 고객사에서 각기 다른 이슈가 발생했고 공통적으로 “외부감사 대응이 과거에 비해 더욱 어려졌다”라는 목소리가 쏟아졌습니다.

내부회계관리제도 외부감사의 주요 변화사항

왜 이런 현상이 나타났을까요? 바로 외부감사에 관한 법률 제8조(이하 외감법 제8조)가 강화되었기 때문입니다. 과거에 “검토” 수준으로 적용 받던 내부회계관리제도의 인증 수준이 ”감사”로 상향되면서, 외부감사자는 감사 대상 법인이 제출하는 내부회계 운영실태 보고서의 기재된 항목에 대한 사실 여부(통제평가 프로세스 전반)와 개별 프로세스 상 존재하는 통제의 적절성까지 평가해야합니다.

1020-2-what-has-changed

기업, IT, 업무 차원의 준비가 필요해

이렇게 강화된 내부회계관리제도를 위해 우리는 어떤 준비를 해야할까요? 핵심은 바로 3가지 통제에 있습니다.

  • 전사적 수준의 통제 (Entity Level of Control)
  • 정보기술 일반통제 (Information Technology General Control)
  • 업무 프로세스 수준 통제 (Transaction Level of Control)

1020-3-sap-grc

전사 차원의 통제: 내부통제를 위해 오프라인 상에서 수행되는 일련의 과정과 절차

내부회계관리제도라는 비즈니스 동인으로 조직은 이사회가 세운 “재무제표 신뢰성 강화”라는 목표를 위해 내부회계 프로세스를 강화해 운영하게 됩니다. 전사 차원의 일반통제(ELC)는 일반적으로 이 과정을 조직 전체에 적용하기 위한 제도적 수단을 의미합니다. 예를 들어, 내부회계를 위한 부서 또는 담당자를 지정하고, 해당 조직이 업무를 수행할 수 있도록 권한과 책임을 위임하며, 정책과 윤리강령에 이를 반영하는 과정은 모두 전사 차원의 통제에 해당합니다.

정보기술 일반통제: 프로그램의 개발, 변경, 컴퓨터 운영, 시스템에 대한 접근권한 관리

다수의 고객사에서 ITGC 감사 시, 고질적인 이슈로 제기되는 항목은 바로 시스템에 대한 접근권한 관리입니다. 특히, ITGC의 감사 범위에 속하는 시스템 중에서도 전사적자원관리(ERP)는 접근권한 관리가 가장 중요하고 어려운 항목입니다. 이를 위해 SAP는 액세스컨트롤(SAP Access Control)을 통한 안정적인 시스템 권한관리를 제공하며, 이는 4단계를 통해 조직에 적용할 수 있습니다.

  • 1단계. 권한관리 대상 기준 확정 및 시스템 상 기준 등록 (중요한 권한 및 직무분리)
  • 2단계. 중요한 권한 및 직무분리를 반영한 시스템 역할 생성 및 변경
  • 3단계. 사용자 권한 부여 시, [기존 권한 + 신규 부여 권한] 기준 접근 리스크 분석
  • 4단계. 예외적 권한 사용을 위한 긴급 권한 관리

1020-4-access-control

업무 프로세스 수준 통제: 내부회계를 위한 연간 운영평가와 상시 모니터링을 통해 내부통제 프로세스 자동화

내부회계관리제도의 운영은 크게 5가지의 과정으로 업무가 진행됩니다.

1020-5-five-steps

프로세스컨트롤(SAP Process Control)은 5가지 업무 과정을 엔드 투 엔드로 지원하는 동시에, 5가지 업무 과정 중 가장 시간과 공수가 많이 소요되는 통제 평가를 자동화 된 상시모니터링을 통해 지원합니다.

1020-6-continuous-monitoring

반복적인 업무는 시스템이, 조직의 구성원은 부가가치 창출을 위한 업무에 집중

지금까지 강화된 내부회계관리제도를 위한 SAP의 Access Control과 Process Control 두 가지의 솔루션에 대해 간략한 소개를 드렸습니다. 두 가지 솔루션 모두 핵심은 동일합니다. 각 기업이 정의한 시스템 상 중요한 권한과 직무분리 기준을 적용한 접근 리스크 분석은과 내부통제를 위한 비즈니스 프로세스 모니터링은 시스템이 맡고, 내부통제 담당자는 실제로 내부통제가 미비한 영역의 프로세스 개선을 위해 역량을 집중할 수 있는 환경을 SAP GRC를 통해 제공해 드립니다.

1020-7-automate-repetitive-tasks

아래 동영상을 통해 내부통제를 위한 SAP Governance, Risk and Compliance의 자세한 사항을 살펴보실 수 있습니다.

글쓴이 소개

본 글은 에스에이피코리아(SAP Korea) DTO (Digital Transformation Office) 조직에서 SAP Governance, Risk and Compliance (SAP GRC)를 담당하는 문지애 파트너가 작성했습니다.

 

Recommended Posts

댓글 남기기

Start typing and press Enter to search