Internal Audit Services내부감사 개선을 위한 서비스

www.samil.com

변화가 요구되는 내부감사의 역할

급변하는 환경에서 기업이 직면한 리스크는 점점 다양해지고 있으며, 이에 따라

내부감사의 역할 또한 이해관계자들의 기대 및 요구사항을 충족시키기 위해

변화가 요구되고 있습니다.

더욱이 불확실한 경제 전망은 기업의 다양한 영역에서 비용 절감을 요구하고

있으며, 내부감사 부서 역시 다양해진 요구사항을 충족하면서도 비용 효과적인

내부감사를 수행할 수 있도록 새로운 시각에 따라 역할을 재정립해야 할

것입니다.

내부감사 역할 변화의 필요성

• 현재 수행하는 감사활동이 기업가치를 실질적으로 증대시키고 있습니까?

• 내부감사활동이 지엽적인 영역에 국한되거나 외부 감사기능과 중복되지

않습니까?

• 예산의 부족 혹은 감사자원의 한계에 따른 어려움을 겪고 있지 않습니까?

• 내부감사의 정보기술 활용 수준은 어느 정도 입니까?

• 현재의 지배구조가 내부감사 결과물을 충분히 활용하는 구조입니까?

• 다양한 지역에 흩어져 있는 개별 사업장의 위험을 얼마나 효과적으로

통제하고 있습니까?

• 프로세스 개선을 유도하지 못하는 지적 위주의 감사권고사항에 머무르고

있지 않습니까?

미래 가치 경영을 위한 내부감사 역할로의 변화

많은 내부감사 기능이 아직도 부정적발 및 준법관리 등에 집중되어 있습니다.

하지만 상황은 분명히 달라지고 있습니다. 전략, 경영, 운영 리스크 부문은 이제

내부감사 대상업무로 가장 빠르게 그 영역을 넓혀가고 있습니다. 이러한 상황에

발맞추어 내부감사역할도 기업의 미래 가치를 창출할 수 있는 객관적인 컨설팅

활동으로 변화되어야 합니다.

날로 진화하는 주요 이해관계자들의 니즈 및 기대에 부응하도록

내부감사부서는 기업의 Risk를 지속적으로 관리하여야 하며, 이는 내부감사인의

역할이 단순한 부정적발 및 규정준수 등 사후통제 중심에서 주주가치에 해를

끼치는 리스크를 관리하고, 윤리경영환경을 조성하여 사전적인 통제환경으로

변화되어야 함을 의미합니다.

역할 재정립을 위해 고려해야 할 두 가지 측면

내부감사 역할의 재정립을 위해 다음의 두 가지 측면을 제시합니다.

기업가치 제고와 연계된 위험기반 감사(Risk-based Audit)

내부감사가 기업가치 증대에 기여하기 위해서는 기업가치 제고와 연관된 실질적인 위험평가가

선행되어야 할 것이며, 위험평가 결과에 따른 우선순위 결정과 기존의 감사영역에서 탈피한

위험기반감사(Risk-based Audit)가 수행되어야 합니다.

프로세스의 개선과 정보기술의 활용

우선순위로 선정된 영역에 감사역량을 집중하기 위해서는, 부족한 감사 자원을 보완할 수 있는

프로세스의 개선과 정보기술의 활용이 필요합니다.

우선적으로 내부감사의 역량평가에 근거한 감사자원 활용 계획을 작성하고, 현업 관리자의

자가 통제 평가 결과를 활용하거나, 정보기술을 활용하여 자동화된 데이터 분석 및 예외사항

파악, 감사정보의 체계적인 축적 및 활용 등 감사활동의 생산성 및 효율성 증진 방안을

고려해야 합니다. 또한 부족한 역량과 인력을 보완하기 위해, 외부 전문가에 의한 내부감사

지원 등을 고려할 수 있습니다.

Risk managementcontinuum

Supportingmanagementassessments

Transactionoriented

Internalconsulting

Traditionalauditing

Enterprise riskmanagement

Financial riskmanagement

"Controls-focussed" "Value-add"

Stand-alonefunction

Detectionoriented

Managementparticipation

Preventionoriented

BusinessProcessoriented

Businessefficiency

Contents

내부감사 서비스 Overview 4

내부감사 품질평가 및 선진화 6

경영감사 10

내부통제 체계 구축 12

해외법인 내부감사 진단 14

IT응용시스템 위험 진단 16

부정 위험 관리 진단 22

조사 및 Forensic Service 24

정보보호 진단 25

지식기반 감사정보시스템 26

내부감사 자원관리 28

4 Samil PwC

Internal Audit Services 내부감사서비스 Overview

전통적으로 내부감사는 회계 및 Compliance Audit 영역을 중심으로 사후 적발 활동에

집중되어 왔습니다. 그러나 최근 미국 내부감사인 협회(IIA: The Institute of Internal Auditors)

의 내부감사 정의에 따르면 “내부감사직무란 한 조직의 업무수행의 가치를 증대시키고

개선시키기 위해 설계된 독립적이고 객관적인 검증과 컨설팅활동이다. 이것은 체계적이고

훈련된 접근방법을 이용하여 리스크관리, 통제 그리고 지배구조 프로세스의 효과성을 평가하고

개선시켜 조직이 그 목표를 완수하는 데 도움을 준다” 라고 내부감사의 역할을 정의하고

있습니다.

이와 같이, 변화하는 내부감사 역할 요구에 대응하기 위하여, 내부감사의 전략적 방향 수립 및

감사기법의 진보화가 수행되어야 할 것입니다.

삼일의 내부감사 서비스

삼일은 다양한 이해관계자들의 요구사항을 반영하여 내부감사의 목표 및 계획을 수립하고

분야별 내부감사를 수행하며, 관련 성과를 측정하는 내부감사 프레임워크를 보유하고

있습니다. 또한 삼일은 고객사의 성공적인 내부감사 선진화 체계를 구축하기 위해 최적화된

서비스를 제공하고 있습니다.

5Internal Audit Sevices

내부감사 품질평가 및 선진화

• 주요영역 진단 및 평가

• 내부감사 개선 Master Plan 수립

경영감사

• 경영목표 달성을 저해하는 위험요소 진단

• 개선 대안 도출

내부통제체계 구축

• 위험평가기반의 실질적인 내부통제체계

수립

• 상시감사 시스템 구축

해외법인 내부감사 진단

• 해외법인의 내부감사 기능을 조직,

프로세스, 부정위험관점에서 진단

IT 응용시스템 위험진단

• ERP 진단

• 프로그램 및 데이터 진단

• IT Effectiveness 서비스

• 업무분장 체계 진단

부정위험관리 진단

• 부정위험관리 체계 진단

조사 및 Forensic 서비스

• 부정 및 비리 증거 복구 및 추출

• 조사 지원활동

정보보호진단

• 고객 정보보호진단

• 인프라 취약점 진단

지식기반 감사정보 시스템

• 지식기반 감사프로세스 개선

• 지식기반 감사 Framework 설계

내부감사 자원관리

• 내부감사교육

• 내부감사 지원 서비스

(Outsourcing/Co-sourcing)

미래가치 경영

경영성과 개선

미래의 지배구조와 리스크관리 및 내부통제

현재의 지배구조와 리스크관리 및 내부통제

System Development

Investment Decision

Emerging RisksDue

Diligence

Law and Regulation

Business Process &

System

Projects & Major

Contracts

Financial Process &

System

Safeguarding Assets

Corporate Governance

Strategy Implication

EfficiencyGains

Monetary Savings

ProcessImprovement

Organization and Strategy

Human Resources

Working Practices

Communication and Reporting

Knowledge Management

PerformanceMetrics

Technology

6 Samil PwC

Quality Assurance Review 내부감사 품질평가 및 선진화

회사의 비즈니스 전략, 조직구조, 인적자원, 업무프로세스

등을 종합적으로 고려하여 감사품질을 평가하고, 개선사항을

도출하여 내부감사 체계가 효율적이고, 신뢰성 있게 수행될 수

있는 선진 내부감사 체계를 수립합니다.

7Internal Audit Sevices

내부감사 품질평가 및 선진화 필요성

내부감사 품질평가 및 선진화 방법론

01. 내부감사 품질평가* 02. 목표모델 수립 03. 내부감사 선진화

품질 평가 전략 수립

• 회사의 대내외 환경변화 분석

• 경영진 및 이해관계자 기대 및 요구수준

분석

• IIA Standard, 선진사례 벤치마킹

• 영역별 내부감사 목표 모델 수립:조직관리,

인적자원, 감사실무, 기술활용, 의사소통 및

보고, 지식관리, 성과평가 등

• 단기·중장기 개선 방안 도출

• 감사비전 제시 및 감사전략 수립

• 내부감사 기능 및 구조 설계:

내부 통제제도와 연계한 감사팀 역할 등

• 내부감사 방법론 및 매뉴얼 개발:

위험 평가, 감사 계획 및 수행, 보고 및 종료

• 내부감사 성과평가모델 개발

• 내부감사 인력 전문화를 위한 교육 체계

마련

품질 평가 수행

• 조직 및 체계 평가

• 감사업무 현황 분석

• 관련 문서 및 산출물 평가

• 적용법령 및 제도 분석

* 국제내부감사협회(IIA: The Institute of Internal Auditor)는 내부감사 업무 수행에 관하여 독립된 외부전문가의 평가를 적어도 5년 마다 한 번은 받는 것을

권고하고 있습니다.

회사의 일반적인 내부감사 환경 내부감사 달성 목표

내부감사의 역할 증대

• 법규준수 여부의 감시 역할 뿐만 아니라 회사의 가치를

증대하는 역할에 대한 요구 증대

비즈니스 다양화

• 급변하는 시장과 회사의 비즈니스에 맞는 내부감사

제도 필요

• 상시적·능동적 대응체계 미흡

내부감사 자원 이슈

• 감사 인력 부족

• 효율적인 내부감사 체계 필요 (체계, 조직, 프로세스 등)

미래 가치 경영을 위한 내부감사미래 지향적

기능

리스크 관리, 내부통제 측면의

적정성 강화 (Risk-based Audit)

전통적 핵심

감사기능

인력전문화, 감사성과관리,

시스템기반 감사 등 효율적인

감사기반 조성

내부감사

기반구조

내부감사

품질평가

내부감사

선진화

8 Samil PwC

QAR Plus(품질평가 방법론): Profiler통한 내부감사 품질평가 결과를 토대로 회사의 요구사항

(이해관계자의 기대, 회사 환경에 맞는 제도, 효율성), 선진기업 Best Practice 비교분석,

국제기준 분석 등을 수행하고 감사 기능 및 효과성에 대한 종합적인 내부감사 품질평가를

수행합니다.

삼일의 내부감사 품질평가 Framework

Profiler(품질평가 도구): Profiler는 IIA Standard에서 요구하는 품질평가 기본 요구사항에

삼일의 노하우를 결합하여 만든 평가 도구로, 총 7가지 영역에 대하여 관련문서 검토,

현장방문, 인터뷰, 설문 등을 통해 현황분석을 수행하고 현재 회사의 내부감사에 대한 정확한

평가 결과를 도출합니다.

Profiler 평가 절차

조직관리

인적자원

감사실무

기술활용

의사소통 및 보고

지식관리

성과 관리

관련 문서검토

평가Rating

이슈여부?

평가결과도출

인터뷰

설문

현장방문

Profiler 분석 결과

회사의 요구사항

Bestpractices

Professionalstandards

Profiler를 이용한 품질평가 결과

PwC QAR 보고서

Internal audit• Quality

• Effectiveness

• Efficiency

조직관리 인적자원

성과관리 감사실무

지식관리

의사소통및 보고

기술활용

Strategy

Feedback

E

xecu

tio

n

QAR Plus

9Internal Audit Sevices

삼일의 내부감사 선진화 Framework

목표모델 수립 - 내부감사 품질평가 결과로 파악된 사항을 기반으로 영역별 목표모델을

수립하고, 목표달성을 위한 단기, 중장기 개선과제를 도출합니다.

선진감사체계 구축 - 목표모델 수립 후 도출된 개선 과제에 따라, 향후 내부감사 운영, 감사

수행, 교육,성과평가 등의 분야에서 선진화 과정을 지원하여 감사성과 제고를 통한 회사의

경영목표를 달성할 수 있는 환경을 조성합니다.

목표 모델 (개선 과제)

• 내부감사 단기, 중장기 전략

• 전략과제 및 실행방안

• 감사 역량 증대

• 감사 성과 관리

• e-감사시스템 구축 및 운영 방안

내부감사 선진화 지원

• 내부감사 추진 전략 로드맵 수립 및 이에 따른 이행 계획 수립

• 전략과제 및 실행방안 수립

• 감사역량 증대를 위한 실행 방안 수립(전문화를 위한 교육체계 마련)

• 내부감사 성과평가모델 개발

• 내부감사 효과성 증대를 위한 시스템 개발 방안 수립

Client Benefits

• IIA의 국제내부감사기준 준수

• 이해관계자들의 기대를 충족하는 내부감사기능 수립

• 감사계획·실행·보고 업무 단계별 체계화 및 선진 감사기법의 도입

• 감사팀과 감사대상 부서간의 긴밀한 협력체계로 전환 및 감사팀의 위상 제고

• 내부감사 성과평가 체계 개선을 통한 감사품질 향상

수행 가능한

현실적

개선과제 도출

감사 조직

인적 자원

감사 실무

기술 활용

의사 소통 및 보고

지식 관리

성과 관리

목표 수립 시 고려사항

내부감사 자체의 목표

감사실의 미션을 고려한 개선과제 도출 및

우선순위화

회사의 내부통제 수준

회사의 내부통제에 대한 성숙도를 고려한

개선과제 도출 및 우선순위화

회사 내 가용 자원

회사 인력 등 자원을 고려하여 보다 현실적인

개선과제 도출 및 우선순위화

조직 내 기대수준

경영진의 내부감사 부서 위상과 수행 역할에

대한 기대 수준을 고려

목표모델 수립

단기 개선 과제

• 프로젝트 기간 내

과제에 대한 상세 설계

수행

중장기 개선 과제

• 개선방향 수립 및

마스터플랜 수립

• 내부감사 개선의 방향성을

제시하는 로드맵 수립

영역별

목표모델

수립

10 Samil PwC

경영감사의 필요성 및 개념

최근 기업의 내부감사 부서에서는 본부업무 및 개별 사업의 효과성/효율성을 어떻게 감사할

수 있을지에 대해 고민하고 있습니다. 전통적으로 지점 등에서 발생 가능한 사고에 대한 적발

및 예방에 치우친 감사활동을 수행하다 보니 자연적으로 계획/규정/제도 및 전략의 수립, 운영

등에 책임이 있는 사업본부 혹은 그 기능을 담당하는 조직에 대한 감사에 대해서는 제약이

있었습니다.

그럼에도,기업의 내부감사팀은 적극적으로 경영감사 체계를 구축함으로써 기업의 경영진이나

이해관계자가 진정으로 대답을 원하는 ‘경영목표 달성을 위한 문제는 없는 것인가?’에 대한

조언자의 역할을 충분히 수행하기 위한 노력이 필요한 시점입니다.

일반적으로 경영감사와 유사한 정의는 감사원의 성과감사(Performance Audit), 캐나다 등에서

사용하는 VFM감사(Value for Money Audit) 및 효과성감사(Effectiveness Audit) 등에서

찾아볼 수 있습니다. 그러나 기업의 입장에서 전략 및 운영적인 측면 등을 모두 고려할 때는

경영감사를 다음과 같이 좀더 명확히 정의할 수 있습니다.

결국 경영감사는 경영목표 달성을 저해하는 장애요인이나 잠재된 리스크를 찾아 대안을

모색하여, 궁극적으로 조직의 성과목표 달성에 기여하는 부가가치형 감사를 의미하며 이는

기존의 지적, 적발 및 내부통제 위주의 감사와는 다른 차별화된 감사인 것입니다.

경영목표 달성을 지원하는

경영감사체계 확립

Management Audit경영감사

경영 목표 달성과 연관된 주요 사업, 업무들이

경제적·효과적·효율적으로 수행되고 있는지를

전략, 정보보고, 업무운영, 규정준수 측면에서

체계적으로 접근하는 종합 감사

경영 목표 달성에

있어서의 문제는

없는가?

11Internal Audit Sevices

경영감사 프로세스 요약

경영감사는 전략 위험을 고려하여 ‘전통적인 규정 및 절차준수 여부 등을 확인하는 감사의

한계’를 극복함과 동시에 CSA(Control Self Assessment program)등 현업의 자발적 참여 경영

(Participatory Management)의 추세에 부합하는 감사입니다.

이를 위해 감사인은 각 특정 업무에 대한 전문성과 더불어 데이터 분석 능력 및 문제해결능력

(Problem Solving 기법) 향상 등이 필요하게 됩니다.

경영감사는 조직의 가치증대를 위해 경영진 및 감사대상 본부/사업 등으로부터 적극적인

의견수렴 및 지속적인 communication이 필요한 업무 속성을 가지고 있습니다. 이에 따라

프로젝트 관리 방법, PI(Performance Improvement) 방법 및 논리적 사고의 틀을 활용하는

것이 필요합니다. 또한, 감사인은 내부 컨설턴트로서 감사결과에 대해 실질적인 개선이

가능하도록 지속적으로 Follow up 해야 합니다.

예비감사

• 경영 및 내외부 환경 고려

• 이해관계자 의견 수렴

감사실시 및 결과보고

검증

계획보고

이슈 및

가설 정리

기본감사

계획 수립

• 중점감사 영역 선정

• 개선대안 공동 도출

사후관리

감사업무 평가 및

이행 현황 검토

담당 부서와 합의한 개선안

적용 검토

감사

실시

12 Samil PwC

사업목적에 맞는 최적 내부통제 설계

회사의 프로세스 및 조직을 분석하고, 위험영역 및 개선 영역을 선정, 회사의 사업목적에 맞는

최적의 내부통제 체계구축을 지원합니다.

내부통제의 영역은 크게 기업가치 보존을 위한 내부통제 영역과 기업가치 제고를 위한

내부통제 영역으로 나누어 볼 수 있습니다.

대외적인 재무정보의 투명성 요구에 대응,

대내적으로 업무 상 부정 및 오류 방지

“내부감사가 기업가치제고를 위한 내부통제 영역에 보다 집중할 수

있도록 하기 위해서는 기업가치 보존을 위한 내부통제 영역에 대한

보다 효과적이고 효율적인 내부통제 구축이 선행되어야 하며, 이를

위해 위험평가 모델을 적용한 내부통제의 설계와 내부통제의 실질적인

운영을 보장하는 정보기술의 활용이 필요합니다.”

Internal Control System Implementation내부통제 체계 구축

내부 통제 진단 및 구축 서비스

기업 가치 제고를 위한 내부 통제 영역

기업 가치 보존을 위한 내부 통제 영역

법규 및

규제준수

업무

프로세스

프로젝트 및

주요계약자산의 보호

전략

투자 결정 원가 절감프로세스

개선

13Internal Audit Sevices

위험평가 모델을 적용한 내부통제 진단 및 설계

위험평가모델을 적용하여 회사의 프로세스 및 관련 조직을 분석하고, 고 위험 영역을 선정,

관련 통제의 식별 및 잔여위험을 고려한 내부통제를 설계 합니다.

• 회사의 사업목적과 연계된 위험 평가 모델 제공 (Top-Down 접근)

• 회사의 주요 프로세스 및 조직에 대한 내부통제 진단

• 시스템적 지원과 관리요소를 동시에 고려한 최적 내부통제 설계

내부통제를 실질적으로 지원하는 상시 감사 시스템

상시 감사 시스템은 조직의 업무 처리 각 단계에서 발생하는 거래 데이터를 활용하여, 사전에

미리 정의된 위험 시나리오에 근거한 이상 징후를 상시적으로 모니터링 하도록 지원하는

시스템입니다.

• 현업 관리자의 자가 통제평가의 툴로 사용하거나 내부감사를 위한 중점감사 영역을

선정하는데 활용하는 등 감사프로세스 개선

• 자동화된 데이터 분석 및 예외사항 파악 등 감사활동의 생산성 및 효율성 제고

• 부정적발 징후에 대한 예방적 관리 (Red-Flag)

상시 감사 시스템의 구성 및 기능

• 고위험 영역 식별: 프로세스별, 조직별 위험평가모델을 통한 위험시나리오 정의 및 관리

• 예외항목 자동추출: Rule에 기반한 데이터 분석을 통해 예외사항 및 이상 데이터 자동 추출

• 지속적인 모니터링: 부실 징후에 대한 지속적인 모니터링 지원

• 감사정보 DB화: 감사정보 DB화를 통한 지식 축적, 패턴 분석 및 Dashboard 기능 제공

즉각통지

처리결과입력

Rule과 System에 의한 상시적 위험 모니터링 체계

상시 감사 시스템 구성도

각 프로세스별 위험 시나리오 정의 Dashboard를 통한 모니터링

구매프로세스(예)

구입단가 추이분석

원자재수불부 이상항목

리베이트 및 매입할인

가공 구매 및 대금지급

Vendor 마스터 분석

예외사항 조기발견

핵심 위험 시나리오별 예외사항 도출

예외사항패턴 분석

예외사항 패턴에 대한 검토 및 개선사항 도출

오류에 대한 조기 수정

해당 예외사항에 대한 업무 담당자 처리

14 Samil PwC

Internal Audit Quality Assurance Review for Overseas Locations해외법인 내부감사 진단

해외법인의 발전과정을 고려한 내부감사 진단

해외법인의 일련의 발전과정에 맞추어 해외법인의 경영관리체제를 안정 및 발전시키는 방안에

대한 고민합니다. 해외법인의 발전은 정착단계, 안정화단계, 발전단계의 3단계로 진행되며, 이

과정에서 관리주체는 본사에서 해외법인으로 이동하게 됩니다. 본사중심의 관리가 어려워짐에

따라, 아래와 같은 문제에 대한 적절한 대응이 없을 경우 해외법인의 부실화 또는 그룹목표

달성에 문제가 발생할 수 있습니다.

• 제한적인 통제범위

• 본사대비 취약한 시스템 및 제반 재무 인프라

• 현지의 문화적 특성

해외법인 진단 서비스

삼일은 해외법인 내부감사 진단을 위해 Fraud Audit, Compliance Audit, Global Internal Audit

Improvement 서비스를 제공합니다.

내부감사

진단서비스

Fraud

Audit

Compliance

Audit

Global

Internal Audit

Improvement

Fraud Audit 해외법인에서 발생할 수 있는 개인 및 조직 수준에서의 부정발생 가능 요인을 검토 및 적발하는 서비스▹ 선진화된 감사기법을 활용한 데이터 검증에 기반한 부정적발 수행

Compliance Audit 해외법인에 대한 본사규정의 준수 여부와 현지 법규 준수 현황을 검토하는 서비스▹ 현지 PwC Global과 협업을 통해 검토서비스 제공

Global Internal Audit Improvement 내부통제 현황 및 경영진의 기대수준 등을 고려하여 내부감사 주요 영역을 선정하고 진단하는 서비스▹ PwC의 분석 Tool을 통해 내부감사 수준 진단▹ 내부감사 선진화를 위한 개선과제 도출

국내와는 다른 현지 규정 적용의 문제점, 현지 법규 준수 미비로

인한 잠재적 위험 발생 가능성이 상존

해외법인의 내부감사 인원 부족 및 본사 대비 취약한 재무 및

시스템 인프라 취약으로 내부감사 기능이 제대로 수행되기 어려움

15Internal Audit Sevices

Fraud Audit

부정 위험 관리 진단을 통해 해외법인 조직의 특성을 고려한

부정의 유형을 정의 하고, 이를 근거로 부정 방지를 위한

실질적인 관리 체계를 구축·운영할 수 있습니다.

해외법인 Fraud Audit 고려사항

• 해외법인의 내부감사 인원 부족, 본사 대비 취약한 재무 및

시스템 인프라 취약으로 내부감사 기능이 제대로 수행되기

어려움

• 소수의 인원이 업무분장상 위배되는 업무를 수행하는

경우가 많음

Compliance Audit

현지 제도 및 규정에 근거하여 해당 감독기관의 요구사항에

부합하는 내부 규정 및 프로세스 수립을 지원합니다.

Global Internal Audit Improvement

본사와 해외법인 간의 내부감사 Governance 체계를

수립하고, 해외법인의 주요 영역에 대한 해외법인의 내부통제

운영수준 진단을 통해 해외법인 내부감사의 체계 및 품질을

선진화하며 법인 인력의 내부감사 전문성을 강화합니다.

본사와 해외법인간의 Governance 체계 수립

• 본사와 해외법인 간의 내부감사 역할 정의

• 본사로의 보고체계 일원화

• 해외법인에 대한 시스템 모니터링 강화

Laws & Regulations

Internal Policies & Procedures

Third Party/Expanded Enterprise

• 현지 법규 준수 검토

- 상법·세법·노동법

• 현지 감독규정 검토

- 감독기관 지침(SEC, IRS 등)

• 회계관리지침

• 자금관리지침

• 예산 집행/관리지침

• 재고관리지침

• Claim관리지침

• 현지업체 계약검토

• Royalty Audit

• Recovery Audit (매입할인 및 지급)

• Investment

성과관리

의사소통 및 보고

감사실무

지식관리

기술활용

인적자원

조직관리

성과관리

의사소통 및 보고

감사실무

지식관리

기술활용

인적자원

조직관리

내부감사 체계수립 및 선진화

내부감사품질 향상

내부감사전문성 강화

Control Environment

Mission

Availability

Expectation

부정유형 정의

중요 부정유형 및

세부 위험 파악

부정탐지·진단 활동 수행*

조직 및 프로세스별

부정 Scheme 파악

부정 활동

모니터링 시스템

부정 위험

취약점 평가

부정 관리

매뉴얼 개발

* 부정탐지/진단 활동 수행 시 증거 확보를 위하여 디지털 증거 분석(Digital Forensic)

방식을 병행하여 수행할 수 있음

16 Samil PwC

IT 응용시스템에 내재된 실질적 위험을

식별해내고 위험의 크기를 정량화하는데

효과적

IT Application Risk AnalysisIT 응용시스템 위험 진단

17Internal Audit Sevices

재무, 영업, 인사 등 회사의 주요 프로세스 및 정보 처리에서의 시스템 의존도가

증가함에 따라 정보의 완전성, 정확성, 무결성을 보장하는 IT응용시스템 위험진단의

중요성이 그 어느 때보다 높아졌습니다.

또한, 업무처리의 자동화 및 전산업무의 증가에 따라 전산사고가 증가하고 있으며,

사고 발생시, 업무에 미치는 유/무형적 영향이 점차 증대되고 있습니다.

IT 응용시스템 위험진단 서비스

IT 응용시스템 위험진단은 응용시스템상의 통제환경 및 프로그램의 무결성을

검토하여 업무의 오류 및 부정을 방지합니다.

• ERP 진단: ERP 시스템의 Upgrade 또는 신규 구축 시, 프로젝트 진행 전 또는

후에 변화된 통제환경이 시스템에 적절히 반영되었는지에 대한 진단

• IT Effectiveness 서비스: 비즈니스 관점에서 IT 방향 및 관리체계 정의, IT ROI

분석, IT 일반 통제 진단 서비스

• 프로그램 분석: 위험분석 결과 도출된 시나리오별로 프로그램 소스 코드 분석을

통하여 프로그램의 무결성 및 취약점을 검토

• 데이터 분석: 인프라 진단 및 프로그램 분석을 통해 발견된 취약점에 대해

거래가 발생했는지 여부를 ACL 등 CAATs를 통해 분석

• 업무분장체계 진단: 회사의 정책,조직,업무프로세스, 시스템 상의 업무분장현황을

진단하고, 회사의 고유위험과 조직구조에 맞춘 효과적인 업무분장체계 제시,

효율적인 업무분장을 위한 시스템 구축 지원

* CAATs(computer assisted audit techniques)

응용프로그램(e.g. ACL 등)을 이용한 자동화 테스트를 의미함.

데이터 분석

CAATs(*)를 사용한

데이터 분석

통제환경 분석

응용시스템상의

통제 점검

업무분장체계 분석

프로그램 분석

집중 감사

영역 선정

코드 무결성 점검

개선안 도출

원인분석 및

TO-BE 도출

개선 방안 확정

18 Samil PwC

ERP 진단

많은 기업들이 ERP 시스템을 구축할 때 조직구조의 변경 및 업무환경의

변화에 따르는 통제환경의 변화를 적절히 반영하지 못하고, 변화된 환경에 따른

효율적이면서 효과적인 통제를 운영하지 못하고 있습니다. 이런 경우 회사의

내부통제관리는 본래의 목적을 충족하지 못하고 형식적으로 운영될 수 있으며,

이는 업무상의 오류 및 부정을 적시에 발견하지 못할 위험을 초래합니다.

따라서, ERP 시스템의 Upgrade 또는 신규 구축 시, 프로젝트 진행 전 또는 후에

변화된 통제환경이 시스템에 적절히 반영되었는지에 대한 진단을 통해 내부통제가

효율적이고 효과적으로 운영될 수 있도록 해야 합니다.

변화된 통제환경이 ERP 시스템에

제대로 반영되었는가에 대한 확신,

효과적이고 효율적인 ERP 시스템상의

통제 관리

ERP 환경하의 통제 설계

• 변경된 업무 프로세스 및 현행 통제를

진단하고 ERP 환경하의 최적화된 통제

설계

GRC Tool의 구축 지원

• ERP 시스템에 내재된 통제(GRC Tool)를

충분히 활용할 수 있도록 지원

ERP 권한 및 업무분장 진단

• ERP 상의 권한 설계 및 업무분장 적정성

진단

• 시스템 상 주요 권한에 대한 사용 현황

점검

ERP Configuration 진단

• ERP 시스템이 통제 목적을 달성하도록

적절히 설정(Configuration)되어 있는지

검토

교육 및 문서화 지원

• ERP 프로세스 및 내부통제 관련 교육지원

• ERP 프로세스의 문서화, 내부통제의

문서화 지원

데이터 무결성 진단 및 개선

• 기존시스템과 신규시스템상의 데이터

이관 검토

• 데이터 흐름 추적을 통한 무결성 검증

데이터의 무결성 진단

교육 및 문서화 지원

ERP Configuration

진단

ERP 환경하의 통제설계

GRC Tool의 구축 지원

권한 및 업무분장 진단

ERP 진단 서비스의 범위

19Internal Audit Sevices

IT Effectiveness Service

기업의 비즈니스에서 IT에 대한 의존도가 높아짐에 따라 IT의 가치와 위험을 보다 체계적으로

관리해야 할 필요성이 더욱 커지고 있습니다. 이에 효과적으로 대응하기 위해서는 IT에 대한

효과성 및 효율성 관점의 관리체계 정립이 절실히 요구되는 바입니다.

비즈니스 관점에서 IT 관리체계 정의(IT Governance)

삼일은 고객이 IT 의사결정과 관련된 올바른 IT 거버넌스

모델을 정의하고, IT계획을 비즈니스 모델과 동일선상에

배치함으로써 IT 활동에 대한 평가와 의사결정이 비즈니스

관점에서 이루어질 수 있도록 지원합니다.

• 비즈니스 전략에 기반하여 IT의 주요 의사결정 사항을

정의합니다.

• IT 의사결정에 대한 책임부서 및 수행주체를 정의하고,

이를 지원하기 위한 IT조직, 인력, 기술, 프로세스를

정의합니다.

IT 비용 측정 및 가치의 증명(IT ROI)

삼일은 IT 비용/가치 관리를 통해 고객사가 IT 비용에 대해

보다 명확한 이해를 함으로써 적절한 투자 규모를 산정하고,

비즈니스 목적에 부합하지 않거나 불필요한 투자가

발생하지 않도록 사전관리체계를 지원합니다.

• IT 투자와 이를 통해 추구할 수 있는 가치에 대한 명확한

정의

• 적절한 IT 투자 규모 산정, IT 투자 요구사항에 대한

명확한 이해

IT ROI Framework

IT ROI 체계 구축

평가 지표(Measures)

IT성과지표 프로세스 IT성과지표 Pool Biz-IT성과 연계방안

IT투자성과관리 시스템(System)

방법론(Methodology)

사전평가 방법론

(Portfolio, 투자의사결정)

사후평가 방법론

(Chargeback, 사후성가관리)

프로세스(Process)

IT투자성과관리

프로세스

의사결정 협의체

및 R&R운영가이드 라인

IT Governance 방법론

IT 의사결정 및 관리체계

IT 운영체계

Key IT Decisions

Decision Models

IT Gov.Structures

IT Gov.Processes

Policies,Principles & Standards

IT Processes and Procedures

IT Organisation Structure

IT Job Descriptions

IT Skills & Competencies

Com

munication & C

hange Managem

ent

Technology Enablement

Performance M

anagement & Benefits Tracking

20 Samil PwC

데이터 분석 및 검증

기업이 업무처리를 위해 활용하는 시스템이 다양해지고 복잡해지고 있으며, 업무상 시스템에

대한 의존도가 날로 증대되고 있습니다. 특히 수많은 시스템이 복잡하게 연결되어 시스템간의

인터페이스가 빈번하게 발생하는 환경에서 시스템 내 데이터에 대한 신뢰성 확보가 점점 더

중요해지고 있습니다.

주요 업무

• 데이터 검증을 통해 데이터의 정확성 및 완전성에 대한 확신 제공

• 데이터 분석을 통해 비정상적인 거래를 추출하고, 이를 통한 중점 내부 감사 항목 도출

• 응용시스템 진단 및 정보보호 진단 등 타 서비스와 연계한 데이터 검증

주요 분석 대상

• 정책자금 집행의 적정성 검증

• 전표 분석 (Journal analysis)

• 재고수불 검증

• 고정자산 데이터 검증

• 수익인식, 수수료 수익

• 연결 data 및 Interface 검증

• 이자계산, 충당금 계산

• 대금지급/회수 자료 검증 등

• 시스템간 정합성 대사

IT 일반 통제 진단 서비스

IT 일반 통제 진단은 IT 전략 및 기획에서 IT 운영/관리 및 IT서비스에 이르는 주요 IT

프로세스를 대상으로 회사의 특성 및 위험평가 결과를 고려하여 진단의 범위를 결정하게

됩니다.

IT 전략 및 계획 수립

Planning & technology

IT managementQuality, security&

complianceIT administration

IT operations and support

Development and testing

업무 요구사항 관리 IT 정책 및 기준 IT 예산관리 애플리케이션 운영 프로그램 개발

IT 아키텍처 관리 공급업체 관리 준법 관리 데이터 관리IT 인사(조직) 관리 테스트

서비스 수준 관리 품질 관리 인프라 관리IT 자원관리

변경 관리 위험 관리 IT 자산관리/형상관리

보안 관리 보안

서비스 데스크

IT 구매/조달

IT 전략 및 기획 IT 운영 및 관리 IT 서비스

대량의 Data 검증에

최적화된 Tool

CAATs기반 데이터 분석 예시

21Internal Audit Sevices

업무분장 체계 진단

기업의 시스템, 프로세스 및 조직의 복잡성이 증대되고, 이와 관련된 위험이 증가함에 따라

업무분장을 통한 부정과 오류 방지의 중요성이 증대하고 있습니다. 따라서, 인원별, 업무

프로세스별, 시스템별 업무분장을 설계하고 관리하여야 합니다.

업무분장 서비스의 범위

업무분장 체계 진단 업무분장 체계 설계효율적인 업무분장을 위한

시스템 활용

• 회사의 정책, 조직, 업무

프로세스, 그리고 시스템

상 업무분장 현황 진단

• 업무분장 위배 항목에

대한 위험도 평가

• 회사의 고유 위험과 조직

구조에 맞춘 업무분장의

설계

• 적은 인원을 활용하여

효과적인 업무 분장이

가능하도록 하는

프로세스 및 시스템 개선

방안 제시

• 업무분장의 설계를

시스템에 반영하여

효과적인 운영이

가능하도록 지원

• 예방통제 및 적발통제의

적절한 조합으로

효율적인 운영

정확한 업무처리 및 부정 방지,

관련된 법적 요구사항(SOX 404,

내부회계관리제도 등) 충족

22 Samil PwC

부정 위험 관리 진단을 통해 다양한 조직의 특성을 고려한 부정의 유형을 파악하고,

이를 근거로 부정 방지를 위한 실질적인 관리 체계를 구축, 운영할 수 있습니다.

경기 침체기 부정 위험이 높아지는

주요 요인

2009년 PwC의 조사 결과에 의하면

경기 침체기에는 부정의 위험이

더욱 높아지는 것으로 드러났으며,

인원 감축으로 인한 종업원의

도덕적 해이 및 업무분장의 약화,

성과 위주 경영방식으로의 전환에

따른 압박감 및 통제환경 변화 등이

부정의 위험을 높이는 주요 요인으로

파악되었습니다.

Fraud Risk Management Consulting부정 위험 관리 진단

출처: PwC Global Crime Survey 2009

0%

10%

20%

30%

40%

50%

60%

70%62%

48%

34%

22%

인원감축 성과 지향으로의 통제환경 변화

내부감사 업무 부담 증가

IT 통제의 약화

% a

bility

to ratio

nalis

e fra

ud

23Internal Audit Sevices

부정 위험 관리 진단 서비스

• 부정 위험 관리 체계 진단

부정관리 조직, 윤리규범, 부정사고

대응절차 등에 대한 진단

• 부정 위험 식별 및 평가

조직 및 프로세스 별 부정 위험의

파악/유형화 및 취약점 평가

• 부정 관리 매뉴얼 개발

부정 위험 평가결과에 따른 고

위험 영역에 대한 사전예방 및

사후적발절차 매뉴얼 개발

• 부정 활동 모니터링 시스템 구축

정보기술을 이용한 부정 예방/

적발의 시스템 구축

부정사고 규모의 증대와 수법의 고도화,

부정위험관리의 필요성 증대

부정관리 조직의역할 정의

윤리/행동규범 및 관련 규정

제보라인/내부 고발자 프로그램

부정사고 대응 및 보고 절차

채용 절차 및주기적인 교육

부정위험 관리체계 진단

위험 식별 및 평가

모니터링부정관리

매뉴얼 개발

부정 유형 정의

부정탐지/진단 활동의 수행

부정 활동 모니터링 시스템

부정 관리 매뉴얼 개발

중요 부정 유형 및세부 위험 파악

조직 및 프로세스 별 부정

Scheme 파악

부정 위험취약점 평가

24 Samil PwC

Investigation & Forensic Service조사 및 Forensic 서비스

부정(Fraud)은 기업이

영위하는 업종이나 규모에

관계없이, 기업 경영의

안정을 위협하는 실질적이며

현존하는 위협임

부정에 대한 효과적인

대응은 기업의 안정적인

성장과 발전을 위한

필수요소임

삼일의 부정조사팀은 전문적인 지식과 경험을 바탕으로 하여 부정

적발에 대한 솔루션을 제공하고 있으며, 부정위험관리 및 완화방법에

대한 자문을 제공하고 있습니다.

• 기업의 부정행위 발생원인 분석과 책임자에 대한 조사업무

• 컴퓨터 관련 부정행위 적발 및 사이버 범죄에 대한 조사 업무

• 효과적인 부정방지프로그램의 구축 및 기업의 부정위험을

완화시켜 줄 수 있는 부정위험관리 자문 업무

부정(Fraud) 적발 전문가조직

CPA, CFE(Certified Fraud Examiner), CIA(Certified Internal Auditor), Forensic

Accountants, 포렌직전문가, 보안전문가 등으로 구성된, 삼일의 부정조사팀 (Forensic

Examination Team)은 부정을 조사하고 부정위험을 관리하기 위한 전문가적 서비스와

솔루션을 제공하고 있습니다.

우리는 재무범죄와 기업부정에 대한 조사 경험과 최신기술을 활용하여 법적 증거의 식별

및 확보를 지원합니다. 각 상황에서 피해 회복이나 부정행위에 대한 수정이 가능하도록

주요사실을 확인하여 발견사항과 법적 증거들을 전달하고, 경영진이 관련 제3자, 규제기관

또는 고객 등의 이익조정을 지원합니다.

조사절차 및 방법론

❹ CAATs(Computer Aided Audit Tools), Digital Forensic, 음성분석 등의 기법 활용

• 경영위험 식별• 분석데이터 수집

부정패턴 식별을 위한

데이터 분석 및

E-Discovery

부정 징후 패턴의 식별

부정조사: 비정상 패턴 조사를 통한

유효성 검증

노출된 부정위험 및

발견사항 보고

25Internal Audit Sevices

최근 고객정보를 포함한 회사의 주요 정보의 대량 유출 사고가 빈번히 일어남에 따라 정보 및

시스템의 안정성과 보안성에 대한 관심이 증가하고 감독기관의 관리가 강화되고 있으며, 회사

자체적으로 보안체계를 관리하고 주기적으로 진단해야 할 필요성이 크게 증가하고 있습니다.

정보보호 진단 서비스

개인정보보호 진단서비스

• Compliance 목적을 고려하여 개발된 통합진단항목을

활용한 중요 개인정보 유출 위험 진단

• 정보처리 Lifecycle 단계별 data 보안현황 점검을 통한

취약점 및 개선안 도출

• 지속적인 보안수준 유지 및 관리를 위한 정책/절차 수립

ISO 27001 인증 대비 진단서비스

• ISO 27001 인증 준비를 위해 실제 인증 시 적용되는

동일한 점검항목 및 권장사항을 고려하여 사전 진단

• 11개 영역 133개 통제항목을 대상으로 진단 및

개선사항 도출

인프라 취약점 진단서비스

Risk, Compliance 및 As-Is Analysis를 고려하여 선정된

영역별 진단대상에 대해 최적화된 진단 방법을 사용하여

취약점 진단

• 대상: OS, Network, DB, Web application

• 중점 영역: 계정 및 패스워드, 세션정책, 권한관리,

정보 유출 가능성 검토, 웹 취약점 등

모의해킹

• 시스템 점검을 통해 발견된 취약점을 기반으로 가능한

접근경로를 분석하고 모의해킹을 시행하여 시스템취약점

진단

• 모의해킹 점검을 통해 실제 내외부 위협에 대한 현행

보안 체계를 진단 및 개선을 도모

- 중점 영역: DDoS 진단, 웹 해킹, DB 해킹 등

Information Security Consulting정보 보호 진단

정보보호 수준 진단을 통한 개선사항 도출

및 대응체계 마련의 토대 제공

정보보호 진단 절차

ChecklistDevelopment Scoping Diagnostics Deep-Dive

AnalysisRemediation

Action Master Plan

Risk Assessment

Compliance Check

As-Is Analysis

26 Samil PwC

Knowledge Based Audit Information System지식기반 감사정보 시스템

지식기반 감사정보시스템으로의 전환

기존의 내부감사에서 사용하던 시스템은 단순히 조회기능에 집중한 시스템으로 이를 통한

체계적 활용 및 지식의 집중에 기여할 수 있는 부분이 부족하였습니다. 감사정보 시스템은

단순 처리시스템과는 달리 감사지식이 체계적으로 축적, 활용되는 관리 Framework이

필요합니다. 삼일은 지식기반 감사정보 관리 솔루션을 통하여 이러한 Framework 구현에

필요한 기능을 완벽하게 지원합니다.

내부감사가 기업가치 증대에 기여하기

위해서는 기업가치 제고와 연관된

실질적인 위험평가, 감사 계획 및 수행,

결과의 체계적인 관리 등 내부감사

프로세스의 개선이 필요함

감사행정의 시스템화를

통한 능률적인 감사의

관리와 보고가 가능

대외환경 변화 감독기관 요구 대내환경 변화

Knowledge Based System 기반의

감사정보 시스템으로 변화

감사 품질의

극대화

기존의

감사관련

시스템

27Internal Audit Sevices

지식기반 감사정보시스템의 특징

지식기반 감사정보 시스템을 통하여 감사인은 감사의 생산성과 효율성을 증진시키고, 품질을

향상시키며, 감사조서의 표준화 및 능률적인 감사의 보고와 관리가 가능합니다. 이러한

지식기반 감사정보 시스템은 다음과 같은 특징을 지닙니다.

• 감사계획의 수립에서부터 보고에 이르기까지 일련의 감사절차를 체계적으로 관리해줍니다.

• 감사를 통해 축적한 노하우가 사장되지 않고 감사인들 사이에서 지속적으로 공유됩니다.

• 직무순환과 같은 감사인력의 잦은 변동으로 감사의 전문성을 축적하기 어려운 기업에게

효과적입니다.

• 국내외의 강화된 내부통제 관련 법규(SOX 404, 내부회계관리제도 등)에 전략적으로 대응할

수 있습니다.

지식기반 감사정보시스템의 구성

지식기반 감사정보 시스템은 감사 과정을 체계적으로 계획, 수행, 보고하기 위하여 다음과

같은 기능을 포함하고 있습니다.

• 위험평가 기능: Risk Assessment Tool을 활용해 위험 평가 및 시각적 표현을 지원함

• 감사계획 기능: 평가된 위험에 대한 장단기 감사계획 수립을 지원함

• 감사수행 기능: 표준감사절차, 조서표준양식, 선진 감사사례 및 과거 감사이슈와

주요통계자료를 제공하는 데이터베이스를 제공함. 또한 감사 수행 절차 및 감사 결과 등을

효율적으로 문서화하는 전자감사조서 기능을 제공함

• 보고 및 종료 기능: 표준 보고서 생성 기능 및 감사인력과 감사시간에 대한 일정관리기능을

지원함

위험평가 감사계획 감사수행보고 및 종료

28 Samil PwC

내부감사인은 기업의 가치 보존을 위한 파수꾼의 역할을

넘어 주요 이해관계자들의 기대에 부응하는 가치를

창출하는 역할을 수행하도록 기대되고 있으며, 부족한

내부감사 자원 및 인력 등으로 어려움을 겪고 있습니다.

지속적인 내부감사 교육을 통한 내부감사 역량 강화,

부족한 자원 및 인력을 보완하기 위한 외부 전문가의

활용을 통해, 내부감사에게 새로이 요구되는 기업가치

창출 역할을 수행할 수 있을 것으로 기대됩니다.

내부감사 교육

내부감사 프로세스를 개선하기 위한 다양한 방법론 및

선진 사례, 업무 프로세스 개선 및 원가 절감을 위한

개선사항 도출 등을 위해 다음과 같은 교육 프로그램을

제공합니다.

내부감사 교육 구성 내역

• 업종·업무 프로세스의 이해와 감사 착안 사항

• 위험평가와 내부통제의 진단 및 설계 방법론

• ERP(SAP, Oralce 등) 시스템 구조 및 내부 통제 이해

• IT 일반 및 응용 통제 감사 방법론

• 데이터 구조의 이해 및 범용감사프로그램(CAATs)을

이용한 데이터 분석

• 해외 투자 감사

내부감사 지원 서비스

내부감사 지원 서비스는 외부의 내부감사 전문가들이

조직의 내부감사부서를 도와 주기적으로 위험평가,

감사계획수립/수행 및 보고 등 모든 내부감사활동을

수행하거나 부정적발 및 IT 등 특정 업무영역에 대해

지원하는 서비스입니다.

내부감사 지원 서비스의 활용 영역

• 부족한 내부감사 인력 보완

• ERP 감사, 데이터 분석 등 전문적 기술이 필요한

영역에 활용

• 내부감사 전문가를 통한 선진사례 도입

• 내부감사 전문가에 의한 보다 효과적인고 효율적인

내부통제 진단 및 설계

• 회사의 필요에 따라서 다양한 업무 범위 조정 가능

• 최신의 전문적인 감사지식의 지속적인 공유와 교육의

기회 제공

Internal Audit Resource Management내부감사 자원관리

변화된 환경에 따른

감사인력의 역량 증대,

지속적이고 실질적인

감사자원 관리

독립적인 외부전문가에 의한

내부감사, 최신의 전문적인

감사지식의 지속적인 공유

박소영 Partner

02 709 4798010 6473 0829sypark2@samil.com

장병한 Director

02 3781 9179010 2439 1506bhanchang@samil.com

김정욱 Director

02 709 8815010 3026 0539jeungwkim@samil.com

나국현 Director

02 3781 9119010 6318 5993ghna@samil.com

박수민 Director

02 3781 9210010 6391 5072smpark@samil.com

김병도 Senior Manager

02 709 0691010 6601 8995bdkim@samil.com

Contacts

S/N: 1507A-BR-010

© 2015 Samil PwC. All rights reserved. PwC refers to the PwC network and/or one or more of its member firms, each of which is a separate legal entity. Please see www.pwc.com/structure for further details.

www.samil.com