Risk AssuranceService

www.samil.com

Contents

1. Business Controls Advisory 2

Treasury Improvement 4 자금 프로세스 개선

Cost Effectiveness 7 비용 효과성 개선

Internal Controls Optimization 10 내부통제 최적화

Closing Excellence 13 결산 고도화

Data Analytics & Assurance 16 데이터 분석 및 검증

2. Performance Governance, Risk & Compliance 18

Regulatory Compliance 19규제 준수 자문

Third Party Assurance 21제3자 인증 업무

Project Assurance 24프로젝트 자문

Fraud Risk Diagnosis & Prevention 26부정위험진단 및 예방

3. Internal Audit 28

Internal Audit Services 29내부 감사 서비스

4. IT Risk Assurance 34

IT Risk Governance 34IT 리스크 거버넌스

IT Cost & Value Management 38IT 비용관리 개선

Cyber Security 39사이버 보안

ERP System 40ERP 시스템 진단 및 개선

2 Samil PwC

Business Controls Advisory

3Risk Assurance Service

Good Risk & Control Management doesn’t slow an organization down

→ it helps it go faster

회사의 주요 사업에 대한 Key Risk를 이해하고 이러한 Risk들이 비즈니스 환경 속에서 어떻게

관리되고 있는지를 검토하여, 최적의 Business Controls에 대한 조언과 분석을 제공합니다.

2. Cost Effectiveness회사 총 경비 유형 및 내역 분석을 통한 경비 집행 효과성 분석

1. Treasury Improvement자금 통제 프로세스 진단, 고객에게 최적화된 자금관리 솔루션 제시

4. Closing Excellence효율적 Financial Reporting을 통해 연결 재무정보를 활용한

경영의사결정 지원 가능

5. Data Analytics & Assurance다양한 데이터에 대한 시각화된 분석과 체계적인 검증을 통해

경영의사결정에 통찰력 제공

3. Internal Controls Optimization회사 내부통제 진단 및 최적화 서비스

4 Samil PwC

1. Treasury Improvement 자금 프로세스 개선

투명한 자금집행과 선제적이고 효율적인 자금관리 체계 구축을 위해, 자금 통제

진단을 통한 투명성 제고와 경영의사결정을 위한 자금 수지 검토가 필요합니다.

● 자금 통제 진단 ● 자금 수지 관리 ● 재무추정 모델링

Overview

자금 통제 진단

다양한 경험을 통하여 축적된 통찰력을 바탕으로, 내부적인 자원만으로는 해결하기 어려운

효과적인 자금 통제 진단 업무를 효율적으로 지원할 수 있습니다.

1. 위험평가

• 현행 자금의

집행·조달 프로세스

및 시스템의 문제점

및 원인 도출

2. 진단 계획

• 문제점 및 원인에 따른

진단 필요영역 선정

• 시스템 데이터 분석을

통한 위험도 분석 및

집중 분석대상 선정

• 진단 체크리스트 작성

4. 관리방안 수립

• 문제점 및 원인 관리를

위한 방안 도출

• 상시 모니터링을 위한

기능 정의

• 사후관리를 위한 진단

체크리스트 정의

3. 진단 수행

• 체크리스트 점검

• 발견된 예외,

특이사항에 대한

추가적인 점검

5. Reporting

• 점검결과에 따른 최종

진단 보고서 작성

• 취약점 관리를 위한

관리방안 설계

• 자금관리 통제절차의 취약점 및 이에 대한 해결방안 도출

• 정형화된 진단 체크리스트를 통한 진단 결과의 품질 확보자금집행의 투명성 향상, 자금 관련 Fraud Risk 감소

자금 통제

진단

Case - 자금 출납 및 자금 운용 통제 진단

Global Technology 기업, 사업부 및 자회사의 자금 출납 및 운용 프로세스에 대한 본사측면의 관리 어려움

→ 실질적인 관리 실태에 대한 파악 필요

• 출납 및 운용 프로세스에 대한 검토를 통한 통제적

취약점 파악

• 내부적인 진단을 위한 체크리스트 작성 지원

• 시스템 측면의 통제 취약점과 관련 체크리스트

작성 지원

• 해외법인 진단 시 현지 PwC와 연계 지원

5Risk Assurance Service

자금 수지 관리

입출금관리 및 자금 결산관리와 같은 기본적인 자금관리에서부터, 자금수지의 예측 및 실적 분석, 환율, 이자율 등

자금관련 위험 관리까지, 고객에게 최적화된 자금관리 솔루션을 제시합니다.

1. 자금관리

• 계좌관리, 입출금관리,

자금결산

• 자금 내부통제 설계

• 회계처리 자문

2. 자금 수지

• 자금 수지 예실 분석

• 자금 수지 관리 시스템 설계

• 시스템 업체 선정 및 평가

• 직접법 및 간접법 수지 예측

4. 정책 및 절차

• 자금운용, 조달,

계좌관리, 지급규정

• 환위험관리,

부실채권관리, 신용관리

3. 자금관리 고도화

• 환위험관리, 이자

• 지역별, 글로벌 자금 통합

• 실시간 자금관리

선제적이고 효율적인 자금관리 체계

• Global 금융 Governance 강화 및 리스크 관리 향상 • 자금 Visibility 및 Control 확보를 통한 경영의사결정 지원

• 현금흐름 중심 기업가치 극대화

실적 및 계획 집계 표준화 계획 대비 실적 분석을 통한 Monitoring 자금 수지 관리 시스템 구축

Case - 미래 구간에 대한 자금 수지 예측 로직 설계

제조업을 영위하는 Global 대기업, 기존 추정손익을 근거로 한 미래구간의 자금 수지 로직을 보완

→ 실적과의 차이를 좁히고, 차이가 발생한 경우 이에 대한 분석이 용이한 시스템 설계

• 기존에 설계된 추정 로직을 분석하여 오류사항 확인

• 현재 자금 흐름을 분석하여 추정 로직에 반영

• 예실 분석을 위한 리포트 설계

• 구축 후 테스트 절차 지원

6 Samil PwC

재무 분석 (과거)

자산/부채규모 증감검토

(기간별, 타기관, 해외사례)

자산/부채 증감 원인 분석

(사업, 투자)

Quality of Debt

(부채 질적 검토)

재무 분석 자체평가

• 과거 손익, 자산/부채 증감

원인 분석

• 기관 재무 성과에 대한

자체 평가

재무추정시스템 설계

기업고유변수확정

재무추정 모델링

재무추정 모델링 (미래)

• 미래 추정을 위한 변수

확정 및 모델링

• 경영환경 변화에 따른

민감도 분석

민감도 분석

재무관리계획

재무목표설정

재무목표 (Target)

• 재무 추정, 기업

특이상황을 고려한 재무

목표 설정 및 사후관리

방안 설계

기업목표지표 결정

(부채비율, 이자배율 등)

개선방안수립

부채증가원인

기타

부채 전망치 (2011~2015)

현금흐름 추정치 (2011~2015)

영업적자 국내투자

해외투자

재무추정 모델링

회사의 합리적인 중장기재무관리 계획 작성을 위해서 재무분석을 기반으로 재무추정 모델링을

수행하고, 기업 비전과 일관된 재무목표가 설정되도록 지원합니다.

7Risk Assurance Service

2. Cost Effectiveness 비용 효과성 개선

원가 효율화 및 비용 집행의 적정성을 제고하기 위해, 원가 적정성 검토와 총 경비

관리 시스템 구축을 통한 체계적인 관리가 필요합니다.

● Cost Management System 구축 ● 원가결산 검증 및 제조원가 고도화

● Marketing Cost 효과성 검증

Overview

Cost Management System 구축

예산/경비 관리 현황진단을 통하여 개선사항을 도출하고, 체계화된 예산관리 프로세스 정립 및

시스템 구축을 통해 예산관리 업무 수준 향상을 지원합니다.

• 경비 지출 정보의 가시성 低

• 경영지원 예산 심의 역량 부족

• 사업부/부서間 관리 수준 편차 高

• 산재된 예산정보 통합관리

• 경영지원 의사결정 지원체계 구축

• 낭비 사전 제거, 이상징후 모니터링 가능

• 경비관리 현황검토

• 개선사항 검토

• 예산관리 Manual 정비

• 예산담당자 역량강화를

위한 예산관리 기본 교육

예산관리 현황 이슈 및 배경

예산관리 시스템 구축 업무 수행

예산관리

업무 수준

향상 필요

예산관리

업무 체계화

예산관리

역량 강화

통합예산관리 시스템 구현

• 경비의 체계적인 통합 관리

• 부적격 경비의 事前 및 事後 통제 기능

• 경비 효율화를 위한 분석정보 제공

Case - 통합예산관리 시스템 구축

• 부적격 경비의 事前·事後 통제 지원 기능 제공 • 품의/심의/정산/분석에 이르는 통합 관리체계

→ Rule & Process 개선을 통한 예산관리 시스템 구축

1. 예산관리 : 경영계획관리, 실행계획관리, 품목예상관리

2. 품의관리 : 실행/정산품의, 현장시스템품의, 품의 템플릿, 결재경로

3. Reporting : 총경비표, 예산/실적 현황, 잔여예산 조회

8 Samil PwC

예상 Issue 중심의 기존 원가결산 결과 검증

원가 시스템/모듈의 논리적 문제 중심으로 원가에 미치는 영향도 분석

• 재공품 중요도 및 변동성 고려 + 재공금액 계산방식 분석 • 원재료 가격차이 발생 현황 및 결산 로직 분석

• 제품별 원가구성요소 분석 및 활용가능성 검토 등

예상 Issue 도출 데이터 분석 및 검증 원가계산 로직개선방안 제시

원가계산 로직 재설계

원가결산 검증 및 제조원가 설계 고도화

주어진 원가 체계하에서 원가계산의 정확도 향상, 검증 및 분석이 용이하도록 원가체계의

개선방향을 제시하고, 상세 요건을 정의합니다.

● 원가의 정합성 확보 ● 원가의 발생 및 귀속 주체 명확화

● 원가 산출정보의 활용성 제고

1. 제품기획, 개발·투자

• 양산 단계의 개선,

공정개발 등과의

명확한 구분 필요

2. 원가의 발생 및 집계

• 발생원가의 정확한

기간 귀속

• 발생원가를 단위별로

정확하게 집계

3. 원가배부

• 원가배부의 정확성

확보

• 원가 관련 기준정보의

지속적인 Update

4. 제품 및 매출원가계산

• 원가계산을 위한 의미 있는 공정구분

및 세분화

• 생산 제품별 공정구분

• 제품별 원가정보를 원가요소로 세분화

Case - 제조업 제조원가 검증 및 고도화

Global Trading 기업, 해외 제조 법인의 원가계산 적정성에 대한 의구심 및 원가 지표 활용에 대한 어려움

→ ‘業’에 맞는 원가관리 필요, 적정한 원가계산을 기반으로 한 의사결정 지향

• 공정별 원가 분석 수행

• 원가배부 기준 검토

• 원가계산 로직 재정의

• 경영의사결정 정보 제공 지원

9Risk Assurance Service

비용 집행 적정성 진단

회사의 마케팅 비용 집행 프로세스 진단을 통해, 내부통제를 우회하거나 부적격 (낭비·방만) 집행

내역들에 대한 검토 업무를 수행합니다.

비용 인식 시점 적정성 검토

계획 대비 초과 집행으로 발생할 수 있는 회사의 광고비 인식 시점에 대한 적정성을 검토합니다.

• 當月 계획된 예산 초과로 인해 발생하는 此月 비용 인식 검토

• 광고비 귀속 주체 (Cost Center/Project Code)의 적정성 검토

계약서 관리

프로세스 진단 Area

거래처 관리 마케팅 비용 자금 프로세스내부 거래

Risk별 개선 방안 제시

Marketing Cost 효과성 검증

경쟁적인 비즈니스 환경 속에서, 회사의 마케팅 비용이 적정하게 집행되고 귀속되었는지 그리고

마케팅 비용에 대한 효과성 검증 업무를 수행합니다.

마케팅 비용 효과성 진단

마케팅 비용 분석을 통하여 계획案대로 집행되고 있는지, 마케팅 효과가 극대화되는 방법으로

집행되는지에 대한 정량적 지표를 통하여 개선방안을 제시합니다.

업무 프로세스 개선 + 원가 효율화

마케팅 계획案 제출

(Agency 평가/선정)

마케팅 Event

광고제작 / 매체노출

마케팅 비용 집행

보고서 제출/정산

• 마케팅 계획案 검토

• 비용 산정의 정확성 검토

• 광고주와 대행사 계약 검토

• 광고대행 프로세스 검토

• 대행사 업무 모니터링 검토

• 마케팅 비용 집행내역

정확성 검증

• 대행사와 매체사 계약 검토

• 매체 선정 프로세스 검토

• 광고비 집행내역 검토

• 실제집행 내용과 계획간의

차이분석

• 실 집행 비용 효율성/효과성

분석

• 대행사 선정에 결과 반영

최적의 마케팅

방법 결정전략적 매체운용

마케팅

성과지표 개선매체비용 절감

10 Samil PwC

3. Internal Controls Optimization 내부통제 최적화

Potential Drivers & Needs

Internal Controls Optimization

• M&A/IPO

• Centralization/Outsourcing

• 시스템 개선

• 프로세스 재설계

• 재무제표 수정

• 통제되지 않은 데이터 조정 사항

• 정보의 적시성

• 효과적이지 못한 모니터링

• 복잡하고 다양한 시스템 환경

• 수작업 통제 多

• 중복된 통제 多

• 통제에 대한 낮은 인식과 문화

• 이사회 내부 요구사항

• 부정 징후 및 리스크

• Accountability

• 규제 준수 요구사항

리스크

관리능력 강화

내부통제

효과성 증대

내부통제운영

업무효율성 제고

Organizational Changes

Reliability of Information

Costs and Complexity

Governance and Compliance

다양한 비즈니스 환경 속에서, 기업의 목표와 Risk, 그리고 경영진의

Risk 선호도를 반영하여 회사의 내부통제를 보다 효과적이고 효율적으로 개선하는

최적화 업무가 요구되고 있습니다.

● Risk Based Approach를 적용한 내부통제 진단

● 사업목적에 맞는 최적 내부통제 설계

Overview

11Risk Assurance Service

위험 평가

• 업무 및 프로세스 분석

• 시스템 분석

• Best Practice 적용 및 Walkthrough 절차를 통한 내부통제

취약점 파악

• 발견된 내부통제 취약점과 관련한 데이터 검토 및 예외사항 도출

Risk Based Approach를 적용한 내부통제 진단 (Internal Control Assessment)

위험평가모델을 적용하여 회사의 프로세스 및 관련 조직을 분석하고 高위험 영역을 선정, 관련

통제의 식별 및 잔여위험을 고려한 내부통제를 설계/평가합니다.

● 회사의 사업목적과 연계된 위험 평가 모델 제공 (Top-Down 접근)

● 회사의 주요 프로세스 및 조직에 대한 내부통제 진단

12 Samil PwC

Control Type

• System Embedded

• Workflow Approval

• Interface

• RA* & SoD**

• Monitoring

• Manual Review

Process Level Transaction Type

• Maintenance of Master

Data

• Transaction Level

• Manual

• Automated

주요 Risk 및 프로세스 고려

IT 환경 자원 활용

회사의 관리요소 고려

Risk Based Approach Internal Controls Optimization

Process Level과 Transaction Type을 반영하여 Control Type 도출

회사의

내부통제 진단

사업목적에 맞는 최적 내부통제 설계 (Internal Controls Optimization)

회사의 프로세스 및 조직을 분석하고, 위험영역 및 개선영역을 선정, 회사의 사업목적에 맞는

최적의 내부통제 체계구축을 지원합니다.

* RA : Restricted Accesses

** SoD : Segregation of Duties

13Risk Assurance Service

결산 지연 요소

결산이 지연되고 있는 원인을 분석해 보면 결산 표준화의 부재, 의사소통의 부재, 결산 조직

인력 관리의 어려움 및 IT 인프라의 미흡으로 구분할 수 있습니다.

1. 결산 프로세스 관리 및 표준화의 부재 • Process, Procedure & Internal

Control 표준화

- 수작업 입력 및 오류 조정 최소화

• 결산 Manual 작업

→ Reduce the Risk Associated with

Spreadsheets

2. 업무담당자間 Communication 부재

3. 결산 조직 관리 및 역량 개발의 어려움

4. 지속적인 결산을 위한 IT 인프라의 미흡

결산

프로세스의

지속적인 개선

필요

Focus on Processes & IT

Systems

4. Closing Excellence 결산 고도화

효율적인 Financial Reporting을 위해, 보다 신속하고 정확한 결산 프로세스가 요구되며

이를 통해 연결 재무정보를 활용한 경영의사결정 지원이 가능합니다.

● 결산 프로세스 고도화 ● 연결 시스템 고도화 ● 연결 현금흐름표 개선

Overview

결산 프로세스 고도화

신속하고 안정적인 Financial Reporting은 회사를 관리하는 Management의 주요 Capability이며,

글로벌/디지털化 된 환경에서 High-Performing 회사들은 빠르게 변화에 적응하고 보다 효율적인

Financial Reporting을 위해 지속적으로 결산 프로세스를 고도화하고 있습니다.

결산 프로세스 고도화

개별 결산을 포함한 연결 결산 프로세스 고도화를 통해, 정교화된 재무정보를 제공하고 선진

경영인프라 구축을 지원합니다.

• 주요 회계처리 기준 통일화

• 주요 결산절차의 프로세스 개선

• 결산 KPI 수립 : 결산목표에 대한 성과관리 도입

• 시스템 통합 및 시스템간 Integration 강화

• 결산 프로세스 상 시스템 지원 영역의 확대

- 관련 업무 자동화를 위한 프로그램 개발

- 결산 관련 내부통제 시스템化 (System Embedded Controls)

• 결산인력의 확충 및 교육 훈련의 강화

• 결산 오류/일정 지연 시 이에 대한 책임 부여

지속적으로

최적화될 수 있는

결산 프로세스

체계 확립

Policy & Process

System

People & Organization

14 Samil PwC

연결 회계 정책 (연결결산) 검토

연결 프로세스 및 내부거래 관리 체계 설계

연결기준정보 및 관리 데이터 변경 요건 정의

시스템 기획 및 화면 설계

시스템 구축 후 통합 테스트

Manual 작업 및 Training

최적화된 연결 시스템 설계 및 테스트

• 연결 재무 정보의 관리 및 연결 결산 기능

• 단계별 검증 기능 및 연결 재무제표 보고서

담당자 교육 및 사용 설명서 작성

연결 회계 정책 및

연결 재무제표 작성

프로세스 검토

연결

인프라

정비

연결

시스템

구축

연결 시스템 고도화를 통해 주석정보 자동 생성 가능

• 상세 수준의 법인 재무정보 자동 집계 및 검증

• 일부 예외적인 경우를 제외한 전체 연결절차의 자동화

→ 주석정보 집계/현금흐름표 집계

• 연결정보에 의한 경영관리

• 사업부문 연결

• 내부거래 인식의 자동화

연결

프로세스

자동화

연결

고도화

• 주석정보의 자동집계 및

연결 주석정보 생성

• 현금흐름표 자동생성 및

연결 현금흐름표 생성

연결 시스템 고도화

최적화된 연결 시스템 구축을 통하여 연결 재무제표의 신뢰성 및 적시성을 제고하고, 연결대상

법인에 대한 회계적 관리 및 통제를 강화합니다.

● 연결 재무제표의 신뢰성 및 적시성 제고

● 연결 대상 법인에 대한 회계적 관리 및 통제 강화

연결 고도화를 위해서는 프로세스/기준정보 표준화, 개별 시스템의 거래수준 통제 기능 구축 필요

Case - 연결 프로세스 정비 및 연결 결산 시스템 구축

연결대상회사 40여 개를 보유한 인터넷 포털 기업, 연결 결산을 수작업으로 수행함에 따라 정확한 결산을

적시에 완료하지 못하여 변화한 공시 요건에 대응하는데 어려움

→ 연결 프로세스 정비 및 연결 결산 시스템 구축

• 연결 결산 현황 진단 및 이력 데이터 정비 지원

• 연결 결산 프로세스 확립 및 R&R 설계

• 연결 결산 시스템 설계, 테스트 및 기초

데이터 Migration 지원

15Risk Assurance Service

Drivers & Needs

• 현금흐름 정보의 중요성 증대

- 투자자 등 이해관계자의 현금흐름정보 요구 증가

- 기업 가치 평가의 주요 지표로 현금흐름을 활용

• IFRS 도입 이후 국내 주요 회사들의 현금흐름 정보 산출 및 모니터링 체계 강화 (현금흐름 정보 산출시스템)

• 개별사의 현금흐름표 산출 체계 부재, 사후 수작업 작성

• 연결 대상법인의 급증

- 법인별 산출 능력/방법 차이 심화

- 결산 및 공시 일정 지연의 중요한 변수로 작용

• 내부경영관리 목적의 현금흐름 산출이 필요함

외부

요인

내부

요인

연결 대상 종속법인 및

사업부 단위의 신속하고

정확한 현금흐름 산출 필요

연결 현금흐름표 시스템化 강화

• 시스템上 현금흐름표에서 수작업 조정

• 항목별 상이한 Source → 수작업 조정

• 시스템에서 상세 현금흐름표 산출

• 별도 → 종속회사 → 연결조정 →

사업부 현금흐름표 산출

현금흐름표

시스템化 강화

본사 개별 현금흐름표 개선

• CFS* Code Mapping 검토

및 오류사항 수정

• 상이한 산출 로직의 일원화

• 현금흐름표 결산 오류 내역

집계 및 조정

주요 종속회사 현금흐름표 개선

• 오류 유형별 분석 및 해결 방안

모색

• 지속적인 피드백 (Feedback)

강화

연결 조정 항목 개선

• 연결 조정 분개의 완전성 및

적정성 검토 및 개선

• 연결명세서 차이 및 오류 수정

• 연결 주석과의 Cross Reference

Check 기능 강화

연결 현금흐름표 개선

내/외부로부터 현금흐름 정보의 요구가 강하게 대두되고 있으며, 보다 신속하고 정확한 현금흐름

정보의 산출을 위해서는 현행 현금흐름 산출 체계의 개선이 필요합니다.

별도 및 연결 현금흐름표 개선 작업 완료 후, 개선된 시스템을 바탕으로 사업부별 현금흐름표 산출

Case - 연결 현금흐름 시스템 개선

연결대상회사 150여 개를 보유한 글로벌 제조 대기업, 연결 결산 시스템이 안정화 단계에 있으나

연결현금흐름표 및 주석의 시스템 활용도는 낮아 수작업 비중이 높음

→ 연결 기준 재무정보 분석 체계 구축

• 연결 시스템 안정화 지원 및 검증 체계 강화

• 연결 기준 재무정보 분석을 위한 리포트 구현

• 연결 현금흐름표, 연결 주석 산출 시스템 설계

및 테스트

* CFS : Cash Flow System

16 Samil PwC

Data Visualization, Business Insight

기업의 다양한 데이터에 대한 시각화된

분석을 통해 각종 경영의사결정에

통찰력을 제공합니다.

아시아 지역 응답자의

76%는 중요한 의사결정 시

자신의 경험과 직감, 그리고

주변의 경험 및 조언을

따르는 것으로 파악됨

Source : Economist Intelligence Unit Survey,

May 2014

Journal Analyser Performance Analyser

5. Data Analytics & Assurance 데이터 분석 및 검증

빠르게 변화하는 비즈니스 환경, 글로벌화 등에 따라, 기업의 보다 빠르고 정확한

의사결정이 그 어느 때보다 중요해지고 있으며, 많은 기업들이 데이터를 통한

비즈니스 통찰력과 의사결정을 추구하고 있습니다.

뿐만 아니라, 기업의 데이터에 대한 규제기관 또는 계약관계에 의한 거래 상대방 등

외부 조직의 요구 역시 증가하고 있어, 기업 내 데이터 신뢰성 확보 및 관리 강화가

그 어느 때보다 중요해지고 있습니다.

반면, 점점 복잡해지는 시스템 환경, 과거에는 관리되지 않던 다양한 정보의

데이터化 및 폭발적으로 증가하는 데이터의 양은 기업의 데이터 분석 및 관리의

어려움을 가중시키고 있습니다.

삼일회계법인은 Data Analytics 및 Data Assurance 서비스를 통해,

분석 대상 데이터의 신뢰성을 확보하고 데이터로부터 비즈니스 통찰력을 도출할 수

있도록 지원하고 있습니다.

Overview

17Risk Assurance Service

데이터 대사 프로젝트 수행 사례

프로세스/시스템 진단

오류유형 정의

유형별 시스템/데이터 식별

프로그램 개선

Data Assurance

많은 기업들이 방대한 데이터의 잠재적인 불완전성, 부정확성에 따라 발생하는 문제를 보완하기

위해 비효율적인 추가 작업을 수행하고 있습니다.

삼일회계법인은 체계적인 데이터 검증을 통해 데이터 불완전성, 부정확성의 원인을 분석하고,

프로세스 개선 및 시스템 개선 등 근본적인 데이터 관리 방안을 제시합니다.

삼일회계법인이 다양한 업종에서 방대한 데이터의 검증 업무를 수행하였으며, 데이터의 분석을

통해 데이터 처리 프로세스와 관련 시스템의 개선 및 데이터 정합성 관리를 위한 별도 시스템

구축 업무를 수행하고 있습니다.

18 Samil PwC

Performance Governance, Risk & Compliance

19Risk Assurance Service

1. Regulatory Compliance 규제 준수 자문

기업의 대내외적 환경 변화에 따라 준수되어야 할 내·외부 법규 또한 증가되고 있습니다.

기업이 이러한 변화에 효과적으로 대응하고 법규 미준수에 따른 Risk를 효율적으로

관리하기 위해서는, 가변적인 규제환경하에서 현재 그리고 미래의 규제와 관련된 위험의

명확한 파악과 보다 적극적인 위험관리가 필요합니다.

Overview

삼일회계법인의 Regulatory Compliance 자문 서비스

삼일회계법인은 감독당국의 준법감시를 받는 기업에 대하여 Basel 등의 규제와 관련된 위험을

관리하고 대응하기 위한 지원과 조언을 제공하고 있습니다.

삼일회계법인의 Regulatory Compliance 자문 업무를 제공하는 전문팀은 관련 규제에 대해

명확하게 이해하고 있으며, 최신의 금융감독경향을 반영한 감독당국 시각의 진단, 개선 및

대응으로 실효성 있는 서비스를 시의 적절하게 제공합니다.

금융감독당국의 각종 규제 및 의무사항 관련 대응체계 수립 자문

자금세탁방지 (AML*), 이상금융거래 탐지시스템 (FDS**) 등

금융회사 검사기능 강화를 위한 검사지원서비스

금융감독당국의 금융기관 내부통제강화 요구에 따른 검사기능의 강화 등

준법 리스크 관리 및 체계 구축

금융회사 업무수행 중 발생하는 다양한 감독관련 이슈에 대한 수시자문서비스

주식회사 외부감사에 관한 법률에 의한 내부회계관리제도의 구축 운영 평가 서비스

내부회계관리제도 모범규준에 의한 내부통제의 구축자문 및 운영 평가 서비스

금융기관 등의 관계 법규의 준수여부 검토

* AML : Anti-Money Laundering

** FDS : Fraud Detection System

20 Samil PwC

• 이상금융거래 탐지 시스템: 전자금융거래에 사용되는 거래내역 등 다양한 정보를 종합적으로 분석하여

의심거래를 탐지하고 부정거래를 차단하는 시스템

보이스피싱, SMS·문자 스미싱 등 전기통신금융사기 범죄로 인한 피해 증가에 따라, 금융당국은 2014년 1월

“전기통신금융사기 피해방지 및 피해금 환급에 관한 특별법” 개정 및 시행을 통해 은행, 증권사 등 금융회사로

확대, 구축할 것을 요구

기업의 대내외적 환경 변화에 따라 준수되어야 할 내·외부 법규 또한 증가되고 있습니다. 이러한 변화에

효과적으로 대응하고 법규 미준수에 따른 Risk를 효율적으로 관리하기 위해, 회사의 준법체계 정비 필요성이

대두되고 있습니다.

준법 리스크 관리 및 체계 정비를 위해 ① 관련 법규의 검토를 통한 준법 체크리스트 정비, ② 그 결과에 따른 준법

수준 진단 및 개선점 도출과 ③ 지속적인 모니터링을 위한 방안을 마련하게 됩니다.

서비스 영역 (전기통신금융사기 방지 및 대응체계 구축)

Compliance Risk 관리

• 조직/인력 운영방안 정립 : 이상금융거래 탐지 및 대응을 위한 조직 및 인력운용 방안 수립, 수행주체별 역할

및 책임 정의 등을 통해 체계적 업무 수행이 가능하도록 지원

• 업무 프로세스 수립 : 시스템 구축과 병행하여 효과적인 운영 및 정부·감독기관의 법, 지침을 충족 할 수

있도록, 조직 현황과 특성에 맞는 업무 프로세스 수립 지원

• 이상금융거래 탐지 시나리오 및 모델 개발 : 이상거래의 「사전 분석 및 탐지」를 위한 ① 시나리오/Rule

② 이상거래 스코어 모델 ③ 사기 고객·계좌 프로파일과, 「사후 분석 및 탐지」를 위한 ④ 이상 고객/계좌별

현황 기능 설계 등을 지원

외부 관련

법규 검토

내부 관련

규정 검토

준법 체크리스트 정비

공정거래 관련 법률

계약/통상 관련 법률

회계/세무 관련 법률

환경/안전 관련 법률 등

준수대상 법률, 규정 정비

준법 수준 진단 및 개선영역 식별

지속적인 준법 모니터링 기반 마련

Case 1 - 이상금융거래 탐지 시스템 (Fraud Detection System) 구축

Case 2 - 준법 리스크 관리 및 체계 구축

1. 준법 체크리스트 정비 2. 준법 수준 진단 및 체계 개선

• 산업, 조직, 사업분야 및 업무 관련 법규 식별

• 관련 법규 내에 준수 요구사항 식별

• 준법 체크리스트 정비 및 DB化를 통한

지속적인 유지/개선 체계 마련

• 준법 체크리스트를 통한 준법 수준 진단

• 진단 결과 GAP 도출 및 주요 미비점에 대한 개선안 마련

• 지속적인 준법 수준 점검이 가능하도록 준법감시

모니터링 기반 마련

21Risk Assurance Service

2. Third Party Assurance 제3자 인증 업무

비즈니스의 글로벌화, 새로운 비즈니스 모델의 개발, 아웃소싱 범위 확대 및 전자상거래의

활성화 등 오늘날의 거래는 더욱 복잡해지고 이해관계자는 다양해진 반면, 정보에

대한 가시성은 낮아졌습니다. 이에 따라 거래 상대방, 의사 결정자 및 투자자 등

이해관계자들을 대상으로 “기업의 프로세스와 정보의 품질”을 입증하는 것이 기업의 또

다른 비즈니스 경쟁력이 되고 있습니다.

삼일회계법인은 독립적이고 전문적인 제3자로서, 기업의 프로세스와 정보의 품질을

검토하고 확신을 제공하여 대외적인 신뢰를 확보할 수 있도록 지원합니다.

Overview

서비스 대상 기업

● 자사 서비스의 신뢰성을 공식적으로 인증 받고 대외적으로 알리고자 하는 기업

● 거래 상대방의 신뢰성을 공식적으로 검증하고자 하는 기업

● 구매, IT, 회계 등 주요 기능을 외부기관에 위탁한 기업

● 다양한 국가의 해외법인, 관계사 또는 외주사를 관리해야 하는 글로벌 기업

● 복잡한 IT 및 외부기관 정보에 의지하여 수익이 창출되는 인터넷 기업

22 Samil PwC

Operational Trust

• 정산/결제 등 거래 데이터의

신뢰성 검증

• Cloud Service Assurance

Operational Trust

Financial Benchmarks

Rental Indices

FX markets

Commodities

Clearing & Settlement

BPO

Cloud Assurance

Service Providers

Digital trust

Prot

ect the opportunity

IT risk resilience

Digital environmen

t

Cyber security

Business systems control Transaction conf dence

Data assura

nce

IT Governance

Technology mega trends

Compliance with

regulations

IT processes and assets

Global IT

Data insight and quality

Cyber security

Project delivery

risk

Business systems

Sourcing risk

IT resilience and continuity

서비스 영역

프로세스 및 정보 품질 신뢰도 증진 기업 경쟁력 강화

Trusted Information Building Advantage

Reliable Processes

• 목적 적합한 정보의 적시 산출

→ 개선된 통제, 프로세스 및 Governance 구조

• 개선된 정보와 지표를 통한 통찰력

(Informed Insight)

→ 경쟁력 강화, 규제 준수, Governance 강화를

위해 진정으로 중요한 것이 무엇인가?

• Business Resilience

→ 정보활용을 통해 리스크에 선제적 대응

Improved Confidence

• 효과적 의사결정

→ 신뢰성 있는 정보를 통해 비즈니스

전략 방향, 목표 선정 및 우선순위

결정

• 신뢰를 통한 비즈니스 차별화

→ 기업 명성 제고 및 고객 관계 개선

→ 정보관리, 통제 및 프로세스 개선

• 주기적인 평가를 통한 지속적인 개선

→ 정보산출 프로세스 및 정보 품질에

대한 주기적인 평가

→ 선진사례 벤치마킹을 통한 지속적

개선

Improved Competitiveness

• 투명성·신뢰성 있는 정보 공유 체계

→ 필요한 보안을 유지하면서, 대내외적으로 쉽게

접근 가능하고 활용가능한 정보 공유 체계

• 객관적인 전문가 의견

→ 정보의 품질에 대한 정확하고 체계적인 검증

Improved Operations

프로젝트 수행방안 및 기대효과

23Risk Assurance Service

Supply Chain Risks

Social, ethical and

environment

Strategic

TaxationContinuity

Operational

Financial

Supply Chain Trust

• 공급처, 계약자 등에 대한 ‘관련 프로세스

및 정보의 품질’ 평가체계 구축 및 평가

• 재무/세무 리스크 등 검토

Digital Trust

• IT 서비스, 데이터, 내부통제, 보안 등

신뢰성 검증

• 시스템으로부터의 정보산출 프로세스

및 정보의 품질 검토

Environmental impact고객 환경을 고려한 최적의 KPI와 보고체계 도출 및 평가

Corporate promises made to the market독립적인 제3자에 의한, 시장에 대한 고객사의 약속 이행 검증

Data privacy and security관련 규정에 따른 데이터 보안성 검토 및 규제준수 검토

Data quality and accuracy대내외적으로 활용되는 데이터의 신뢰성 검토, 경영의사결정 시 자신감 제고 및

부정확한 정보 공시로 인한 대외적 평판 리스크 관리

Cloud IT services독립적 제3자의 인증을 통해, 거래처 대상 Cloud IT 환경의 신뢰성 증명

Confdence in industry performance벤치마킹을 통한 사업부, 법인, 관계사 등 고객의 사업성과(Business Performance)

객관적 검토

Supply chain and contractor assessment and management고객사 공급망에 대한 투명성 제고, 공급사 원가 및 낭비에 대한 관리 수준 향상

24 Samil PwC

3. Project Assurance 프로젝트 자문

기업의 비즈니스 수행에 대한 시스템 의존도가 커져가면서, 과거 안정적이고

오류 없는 시스템 구축에서 비즈니스에 Value를 더 할 수 있는 시스템 구축으로,

시스템 구축 성공여부에 대한 판단이 변화하고 있습니다.

삼일회계법인은 기업의 시스템 구축목표가 시스템구현을 통해 실현 될 수 있도록,

업무 요구사항 도출부터 시스템 안정화까지 프로젝트 전 단계에 걸쳐 시스템

구축업체로부터 독립적인 전문가의 프로젝트 자문 서비스를 제공하고 있습니다.

Overview

Project Assurance

프로젝트 성공에 영향을 미치는 주요 고려요소 (Resource, Outputs, Outcomes) 관리를 통해

프로젝트의 목표를 성공적으로 달성 할 수 있도록 지원합니다.

프로젝트

관련 현재

프로세스에

대한 완벽한

이해

프로젝트를

위해 필요한

자원과 현재

가용자원과의

차이 규명

(내부자원)

프로젝트를

위해 필요한

자원과 현재

가용자원과의

차이 규명

(외부자원)

구축 목표

달성을

위해 필요한

산출물에 대한

명확한 정의 및

구현

프로젝트

Outcomes

의 구현목표

달성에 대한

평가

안정적인

시스템 사용,

프로젝트

효율에 대한

수치화 및

평가, 추가

투자 결정

AS-IS

Resources Outputs Outcomes

To-Be프로젝트 진행

Resources

• 비용

- 필요한 비용의 종류

- 예산 산정

• 기간

- 프로젝트 기간 산정

- 종료일 지연 요인

• Team, Third Party

- Key Man

- 참여 부문간 역할과 관계

Outputs

• 범위

- Scope In

- Scope Out

• 품질

- 단계별 Success &

Acceptance 기준

• Management

- 프로젝트 참여자 외

Management의 지속적

관심과 참여 여부

- 부문간 역할과 관계

Outcomes

• 효익

- 프로젝트효익 산정

- 프로젝트효익 평가

• Risk & Issue

- 중요 시스템 이슈 정의

- 이슈에 대한 Mitigation 전략

• Governance & Controls

- 중요한 의사결정과정의

Management 참여

- Management의 의사결정

참여 시기의 적정성

25Risk Assurance Service

프로젝트 단계별 지원 항목

Data 이관

To-Be

설계Project Cycle

Test 개발

오픈 및

안정화

사전준비요구사항

분석

Project Assurance 서비스 종류 및 범위

시스템 구축을 위한 준비 단계부터 시스템 구축 후 Post Implementation Review까지,

프로젝트의 일부 단계 자문 또는 전체 프로젝트 자문 등 고객의 Needs에 따라 자문 필요 영역을

선정합니다.

사전준비 및 요구사항 분석

Test

• 프로세스 업무 상세

요구사항 분석

• 요구사항 분석을 통한 RFP

작성 지원

• 업체 평가 및 협상 지원

• AS-IS 프로세스 분석 지원

• GAP 도출 및 해결 방안

도출 지원

• 사용자 테스트 시나리오

작성 지원

• 사용자 테스트 수행 지원

• 테스트 이슈 사항 관리 및

솔루션 도출 협의 지원

To-Be 설계

Data 이관

• To-Be 프로세스 작성 지원

• 프로젝트 정책, 보고서 작성

지원

• Best Practice 제공

• Benchmark Arrange 지원

• Migration Data 준비 지원

• Migration 결과 검증 지원

• Migration 이슈 관리 지원

개발

오픈 및 안정화

• 개발 일정 점검

• 개발 변경 협의 지원

• 사용자 교육 및 업무 Manual

작성 지원

• 결산검증 지원

• 완료보고 작성 지원

• 프로젝트 평가 지원

• 추가 투자 계획 수립 지원

26 Samil PwC

4. Fraud Risk Diagnosis & Prevention 부정위험진단 및 예방

Economic crime

37%

What you need to know

Economic crime continues to be a major concern for organisations of all sizes, across all regions and in virtually evert sector. One in three organisations reports being hit by economic crime.

50

10

20

30

40

0

Reported global fraud rates

43% 43%37%

30% 34% 37%45%

2001 2003 2005 2007 2009 2011 2014

2014년 PwC글로벌 조사결과에 의하면 셋 중 하나이상의 기업이 부정의 발생을 경험했다고

합니다. 또한, 2009년 이후 부정 발생 기업이 점점 증가하고 있습니다.

부정은 자산횡령, 구매부정, 뇌물, 부패 등 다양한 형태로 나타나며, 이러한 경제적

범죄가 일어난 후 실질적으로 치러야 하는 벌금, 법률비용, 복구비용 등 재무적 비용뿐

아니라 직원의 도덕성, 회사의 브랜드와 명성, 비즈니스 관계의 손상 등 추가적인 피해가

발생합니다.

부정위험 진단 및 예방 서비스를 통해 다양한 조직의 특성을 고려한 부정의 유형을

파악하고, 이를 근거로 부정 방지를 위한 비즈니스 프로세스 개선 등 실질적인 관리체계를

구축, 운영할 수 있습니다.

Overview

27Risk Assurance Service

Impa

ct

제공 서비스

개선사례

1. 부정위험 진단

회사에 대한 이해, 프로세스 분석을 통해 회사의 전사 및 상세 리스크를 식별하여 잠재적 위험을

평가합니다. 오류나 부정발생 가능성이 높은 업무영역에 대해서는 ERP 데이터분석, 외부증빙대사

등의 방법론을 적용하여 부정위험 진단을 수행합니다.

고위험 영역에 대해서는 상시 모니터링체계 구축 또는 부정조사의 추가적인 업무를 수행할 수

있습니다.

2. 부정위험 예방 : 상시 모니터링

추출데이터 파악 및 데이터 수집, 데이터 분석 및 예외사항 추출, 예외사항 확인 및 유효성

검증을 거쳐 확정된 Risk 시나리오를 활용하여 이상징후에 대한 모니터링 및 이에 대한 보고를

위한 서비스를 제공합니다.

3. 부정조사

조직 내부 임직원의 부정 (Fraud) 가능성을 인지하고 사실을 확인하고자 하는 경우 관련 사실을

조사하는 업무로서 횡령 또는 배임, 이해상충, 내부자거래 등에 대한 징후를 인지할 수 있습니다.

부정조사 서비스는 부정위험 진단 서비스와 연계하여 수행할 수 있으며, 필요한 경우 포렌직

기법을 활용할 수 있습니다.

삼일회계법인이 부정의 적발을 통해 회사가 비용을 절감한 대표적 사례는 다음과 같습니다.

발생원인 재무적 효과구체적 사례

적극적 부정

횡령액 전액

회수 및 관련

임차료 절감

직원의 공모 및 자금유용

총무, 회계, IT 직원이 공모하여, 회사의 자금 및 회사 명의의

대출을 이용하여 개인명의로 건물을 구입하고 회사 기숙사를

고액으로 임대하여 이용하도록 함

직권남용

및 이해관계

상충비용 절감

현직 임원의 사적 이익 도모

회사 임원이 개인적인 도움을 받은 업체에 회사의 정보를

유출하고 선정하면서 고가의 계약으로 거래함

관리 부주의복리후생비

절감

퇴사한 직원에 대한 의도치 않은 복리후생비 지출

직원 할인을 퇴사 후에도 적용

도덕적 해이

관련

업무무관

비용 절감

허위 구매

회사 내 매점에서 개인적 소비를 하면서, PR·PO 를 허위로

생성하고, 회사의 MRO 비용으로 처리함

후진적

프로세스수익 증가

전 임직원에 대한 특혜

경쟁 입찰임에도 불구하고 불리한 조건을 제시한 전 임직원이

설립한 업체를 통해 거래함

28 Samil PwC

Internal Audit

29Risk Assurance Service

1. Internal Audit Services 내부 감사 서비스

전통적으로 내부감사는 회계 및 Compliance Audit 영역을 중심으로 사후 적발 활동에

집중되어 왔습니다. 그러나 최근 미국 내부감사인 협회 (IIA : The Institute of Internal

Auditors)의 내부감사 정의에 따르면 “내부감사직무란 한 조직의 업무수행의 가치를

증대시키고 개선시키기 위해 설계된 독립적이고 객관적인 검증과 컨설팅 활동이다.

이것은 체계적이고 훈련된 접근방법을 이용하여 리스크 관리, 통제 그리고 지배구조

프로세스의 효과성을 평가하고 개선시켜 조직이 그 목표를 완수하는 데 도움을 준다”

라고 내부감사의 역할을 정의하고 있습니다.

이와 같이, 변화하는 내부감사 역할 요구에 대응하기 위하여, 내부감사의 전략적 방향

수립 및 감사기법의 진보화가 수행되어야 할 것입니다.

Overview

Risk managementcontinuum

Supportingmanagementassessments

Transactionoriented

Internalconsulting

Traditionalauditing

Enterprise riskmanagement

Financial riskmanagement

"Controls-focussed" "Value-add"

Stand-alonefunction

Detectionoriented

Managementparticipation

Preventionoriented

BusinessProcessoriented

Businessefficiency

삼일회계법인의 내부감사 서비스

삼일회계법인은 다양한 이해관계자들의 요구사항을 반영하여 내부감사의 목표 및 계획을

수립하고 분야별 내부감사를 수행하며, 관련 성과를 측정하는 내부감사 프레임워크를 보유하고

있습니다. 또한 삼일회계법인은 고객사의 성공적인 내부감사 선진화 체계를 구축하기 위해

최적화된 서비스를 제공하고 있습니다.

● 내부감사 진단평가 및 개선 ● 위험 기반 감사체계 구축

● 상시 감사시스템 구축 ● 지식 기반 감사정보시스템 구축

● 경영감사 ● 해외법인 내부감사 진단

● 내부감사 교육 및 기타 지원 서비스

30 Samil PwC

내부감사 진단평가 및 개선 방법론

국제내부

감사기준 준수

선진감사기법

도입

감사업무

체계화·효율화

이해관계자

기대 충족

업무 프로세스

분석을 통한

위험관리 Pool 도출

위험 평가

방법론 개발

위험관리 기반

감사계획 수립 및

감사활동

관리 체계 정립

전사 참여 위험관리

기반 조성 방안 수립

내부감사 진단평가 및 개선

위험기반 감사체계 구축 (Risk Based Audit)

회사의 비즈니스 전략, 조직구조, 인적자원, 업무프로세스 등을 종합적으로 고려하여 감사품질을

평가하고, 개선사항을 도출하여 내부감사 체계가 효율적이고, 신뢰성 있게 수행될 수 있는 선진

내부감사 체계를 수립합니다.

회사의 잠재된 위험을 식별, 평가하여 감사계획 수립에 반영함으로써 고위험 영역에 우선적으로

자원을 배분 할 수 있도록 선진 감사체계 구축을 지원하며, 이를 통해 다음과 같이 활용할 수

있습니다.

● 위험 기반 감사계획 수립에 활용 : 업무별 위험평가를 통해 감사대상 선정 및 계획 수립

● 위험 기반 감사활동에 활용 : 위험 Pool 및 시나리오를 감사 체크리스트로 활용

● 현업 위험·통제 자가점검 활동에 활용 : 위험 Pool 및 시나리오 도출 결과를 토대로 현업

점검용 위험항목 선정 및 자가점검 수행

1. 내부감사 품질평가*

• 품질 평가 전략 수립

- 대내외 환경변화 분석

- 경영진 및 이해관계자 기대 및

요구수준 분석

• 품질 평가 수행

- 감사조직 및 업무 현황 분석

- 관련 문서 및 산출물 평가

- 적용법령 및 제도 분석

2. 목표모델 수립

• IIA Standard, 선진사례 벤치마킹

• 영역별 내부감사 목표 모델 수립 : 조직

및 인력관리, 감사절차 및 기술, 지식관리,

성과평가 등

• 단기·중장기 개선과제 및 방안 도출

3. 내부감사 전략 수립

• 감사비전 제시 및 감사전략 수립

• 내부감사 기능 및 구조 설계 : 감사팀 역할,

인력운용 등

• 내부감사 방법론 및 Manual 개발 :

위험평가, 감사계획·수행, 보고

• 내부감사 성과평가모델 개발

• 내부감사 인력 전문화를 위한 교육 체계 마련

* 국제내부감사협회 (IIA : The Institute of Internal Auditor)는 내부감사 업무 수행에 관하여 독립된 외부전문가의 평가를 적어도 5년 마다

한 번은 받는 것을 권고하고 있습니다.

31Risk Assurance Service

상시 감사 시스템 구축 지식기반 감사정보 시스템 (e-감사시스템) 구축

내부통제를 실질적으로 지원하는 상시 감사 시스템

상시 감사 시스템은 조직의 업무 처리 각 단계에서

발생하는 거래 데이터를 활용하여, 사전에 미리 정의된

위험 시나리오에 근거한 이상 징후를 상시적으로 모니터링

하도록 지원하는 시스템입니다.

• 내부감사를 위한 중점감사 영역을 선정하거나 현업

관리자의 자가 통제평가의 Tool로 활용하는 등

감사프로세스 개선

• 자동화된 데이터 분석 및 예외사항 파악 등 감사활동의

생산성 및 효율성 제고

• 부정적발 징후에 대한 예방적 관리 (Red-Flag)

상시 감사 시스템의 구성 및 기능

• 고위험 영역 식별 : 프로세스, 조직별 위험평가모델을

통한 위험시나리오 정의 및 관리

• 예외항목 자동추출 : Rule에 기반한 데이터 분석을 통해

예외사항 및 이상 데이터 추출

• 지속적인 모니터링 : 부실 징후에 대한 지속적인

모니터링 지원

• 감사정보 DB化 : 감사정보 DB化를 통한 지식 축적,

패턴 분석 및 Dashboard 기능 제공

지식기반 감사정보 시스템을 통하여 감사인은 감사의

생산성과 효율성을 증진시키고, 품질을 향상시키며,

감사조서의 표준화 및 능률적인 감사의 보고와 관리가

가능합니다. 이러한 지식기반 감사정보 시스템은 다음과

같은 특징을 지닙니다.

• 감사계획 수립부터 보고에 이르기까지 일련의

감사절차를 체계적으로 관리

• 감사를 통해 축적한 노하우가 사장되지 않고 감사인 간

지속적인 공유가 가능

• 감사인력의 잦은 변동으로 감사의 전문성을 축적하기

어려운 기업에 효과적임

• 국내외의 강화된 내부통제 관련 법규 (SOX 404,

내부회계관리제도 등) 등에 전략적으로 대응 가능

감사정보 시스템 구성 및 기능

• 위험평가 기능 : Risk Assessment Tool을 활용해 위험

평가 및 시각적 표현 지원

• 감사계획 기능 : 평가된 위험에 대한 장단기 감사계획

수립을 지원

• 감사수행 기능 : 표준감사절차, 조서표준양식, 선진

감사사례 및 과거 감사이슈와 주요통계자료를 제공하는

데이터베이스를 제공함, 또한 감사수행 절차 및 감사

결과 등을 효율적으로 문서화하는 전자감사조서 기능을

제공함

• 보고 및 종료 기능 : 표준보고서 생성 및 감사인력·

시간에 대한 일정관리 기능 지원

32 Samil PwC

경영 목표 달성에

있어서의 문제는

없는가?

경영감사는 경영 목표 달성을 저해하는 장애요인이나 잠재된 리스크를 찾아 대안을

모색하여, 궁극적으로 조직의 성과목표 달성에 기여하는 부가가치형 감사를 의미함.

이는 기존의 지적, 적발 및 내부통제 위주의 감사와는 다른 차별화된 감사

경영감사

내부감사 교육 및 기타 지원 서비스

해외법인 내부감사 진단

최근 기업의 내부감사 부서에서는 본부업무 및 개별 사업의 효과성/효율성을 어떻게 감사할

수 있을지에 대해 고민하고 있습니다. 전통적으로 현업부서에서 발생 가능한 사고에 대한 적발

및 예방에 치우친 감사활동에 치중하고, 계획/규정/제도/전략의 수립, 운영 등에 책임이 있는

사업본부 혹은 담당 조직에 대한 감사에 대해서는 제약이 있었습니다.

그럼에도, 기업의 내부감사팀은 적극적으로 경영감사 체계를 구축함으로써 기업의 경영진이나

이해관계자가 진정으로 대답을 원하는 ‘경영 목표 달성을 위한 문제는 없는 것인가?’에 대한

조언자의 역할을 충분히 수행하기 위한 노력이 필요한 시점입니다.

내부감사 프로세스를 개선하기 위한 다양한 방법론 및 선진 사례, 업무 프로세스 및 원가 절감을

위한 개선사항 도출 등을 위해 다음과 같은 교육 프로그램을 제공합니다.

● 업종·업무 프로세스의 이해와 감사 착안 사항, 감사 기법

● 위험 기반 감사 및 전사 리스크 관리, 내부통제 진단 방법론

● 상시 모니터링 및 감사정보시스템, 부정위험 진단 및 관리

● IT 감사 및 감사프로그램 (CAATs)을 이용한 데이터 분석, 경영감사, 해외투자 감사 등

해외법인의 발전에 따라 관리주체가 본사에서 해외법인으로 이동하게 되고, 본사의 관리가

어려워짐에 따라, 아래와 같은 문제에 대한 적절한 대응이 없을 경우 해외법인의 부실화 또는

그룹목표 달성에 문제가 발생할 수 있습니다.

● 제한적인 통제범위, 본사대비 취약한 시스템 및 제반 재무 인프라, 현지의 문화적 특성

Compliance Audit

• 해외법인에 대한 본사 규정의

준수 여부와 현지 법규 준수

현황을 검토하는 서비스

- 회계/자금/구매 분야 등

- 현지업체 계약 검토,

Investment 등

Fraud Audit

• 해외법인의 개인 및 조직

수준의 부정발생 가능 요인을

검토 및 적발

• 해외법인 특성을 고려한

부정유형 정의 및 부정 방지

관리체계 구축

Global Internal Audit Improvement

• 본사와 해외법인 간의

Governance 체계 수립

- 본사와 해외법인 간의

내부감사 역할 정의

- 해외법인에 대한 시스템

모니터링 강화

33Risk Assurance Service

은행PEF

SourcingService

보험사

제조사중견기업

외투법인

은행 본부부서 업무 (상품개발, CB

사·예결원 등과의 후선업무, AML,

충당금산정, 바젤보고 등) 감사에 대한

코소싱

M&A 검토 대상 기업에 대한

Operational Due Diligence 수행

보험사 계리업무 (책임준비금

산정, 계리보고서 발행 등)

감사에 대한 코소싱

내부통제 혹은 내부감사 기능에

대한 BPO 수행 후, 본사에

결과보고

해외거점 (연락사무소, 지점, 현지법인

등) 감사에 대한 코소싱

오너 (Owner)의 요구사항에 따른

수명감사 수행

내부감사 Sourcing 서비스

Sourcing 서비스 활용방안 예시

삼일회계법인 Sourcing 서비스의 주요 효익

삼일회계법인은 전문 인력으로 고객사의 내부감사를 지원하는 코소싱 (Co-sourcing) 부터

내부감사 기능 전반에 대한 아웃소싱 (Outsourcing) 까지 고객의 필요에 따라 다양한 수준으로

최적화된 내부감사 소싱 (Sourcing) 서비스를 제공하고 있습니다.

특정분야에 대한 전문성이나 산업고유의 역량을 필요로 하는 경우, 혹은 감사수행이 곤란한

지리적·언어적 제약이 있는 경우 삼일회계법인의 소싱 서비스는 내부감사 조직의 유연한

인력계획·업무계획을 위한 최적의 솔루션이 될 것 입니다.

• 고객사 내부감사 부서에서 자체적으로 수행하기 힘든 영역에 대한 감사 지원

• 특수분야 감사를 위한 Specialist 고용에 따른 인건비의 고정비화 방지

• 삼일회계법인의 축적된 감사역량 활용에 따른 감사품질 제고

34 Samil PwC

IT Risk Assurance

1. IT Risk Governance IT 리스크 거버넌스

국내외를 불문하고 보안·장애 등 IT관련 사고가 지속적으로 발생하고 있으며, 이로

인해 기업의 재무적·비재무적 손실이 증가하고 있습니다.

PwC의 2015 Global Risk Survey에 따르면 사업성과에 가장 큰 영향을 주는 Top10

리스크 중, IT관련 리스크가 다수 포함되었으며, 이 중 Regulatory complexity 및

Data security & Privacy가 각각 1, 2위로 밝혀졌습니다.

국내 기업들의 많은 노력에도 불구하고 다음과 같은 원인으로 서비스 중단, 고객정보

유출 등 IT사고가 지속적으로 증가하고 있습니다.

● IT 부문에 내재된 잠재 리스크 인지 및 대응체계 미흡

● IT Risk Governance 부재 → 책임회피, 업무지연, 내부통제의 불명확, 관행적

업무처리, 사후 모니터링 미흡

● IT 관련 Regulation 未인지로 인한 未준수, 또는 인지하고 있으나 未준수

이러한 다양하고 복잡한 IT 사고를 예방하고 원활히 대처하기 위해, IT 업무

전반에 대한 잠재 리스크 식별 및 대응방안 수립, IT Compliance 대응체계 구축이

시급합니다.

● IT Risk 진단 및 IT Risk Intelligence 구축

● IT Compliance 관리체계 구축

Overview

35Risk Assurance Service

“Proactive & Resilient 역량 강화” 증가하는 IT사고·규제위반

예방 및 발생한 사고로부터 신속한 회복을 위해, 실질적이면서

지속 가능한 IT Risk 대응체계를 갖추는 것이 시급

Incidents are more costly to large organizationsAverage financial losses due to security incidents, 2013-2014

Which of the following external forces will create the biggest risk or threat to business performance or growth plans?

LargeRevenues more than $1 billion

2013

$3.9 million

Regulatory complexity 77%

Data security & privacy 74%

Cost pressures 69%

Gov’t policy changes 69%

Talent availability 66%Global economic shifts

and uncertainty 59%Reputation risk 58%

Emerging technology risk 53%Geopolitical/social unrest 44%

Black swan events 41%

2014

$5.9 million

0 20 40 60 80 100

* Managing cyber risks in an interconnected world, pwc, 2015 * Risk in review, pwc, 2015

36 Samil PwC

IT Risk 진단

IT Risk Intelligence 구축

IT Risk 진단은 고객사의 IT업무 전반에 대한 통합적 접근방식을 통해, 잠재 리스크를 식별·평가하고

통제취약점을 파악합니다. 이를 토대로 위험 감축 (Risk Mitigation)을 위한 효과적인 개선안을 수립하여

IT의 안정성과 신뢰성을 제고합니다.

IT Risk를 선제적으로 대응하고 사고 발생 시 일상 비즈니스 활동으로 신속하게 복귀할 수 있게 하는

지능형 IT Risk 관리시스템으로서, KRI 상시 모니터링을 통해 리스크 영향도와 발생가능성을 줄이고

IT Risk 관리 수준을 향상 시킬 수 있습니다.

IT ControlsOptimisation

Protect the business

PwC Technology Assurance Framework

Reduce compliance cost

Emerging Technology

IT Asset Mgmt.

IT Governance

Data QualityCompliance & Regulation

ProjectBusiness systems

(inc. ERP)

System Change

IT Resilience & Continuity

3rd PartySecurity

& Privacy

• 고객사 IT현황을 반영하여 영역별로 누락없이

고유 리스크 식별

• 이를 위해 COBIT, ITIL 등 다양한 참조모델을

토대로 PwC Global 차원의 지식을 집대성하고

있는 IT Risk Pool 적용 (11개 Domain, 400여

개의 표준 IT Risk 시나리오 보유)

• PwC의 IT Risk 진단 벤치마킹 DB 활용, 산업별

Peer Group과의 상대적 비교를 통해 고객사

IT 통제 수준 진단

• In-Depth Analysis를 통해 세부 통제 취약점을

파악하고, 리스크 평가를 통해 高위험 영역을

식별 후 리스크 감축방안 도출

“단발적” → 일정기간 후 리스크 再 상승

“지속적” → 적정 리스크 수준유지

IT Risk Dashboard & Reporting

일반통제 모니터링

예산/집행

.. ..

IT인력

행정

계약

총무

SLA

관리통제 모니터링

변경관리

.. ..

보안관리

IT계발관리

장애관리

성능관리

S/W관리

응용통제 모니터링

접근권한

.. ..

정합성오류

Log 미관리

미승인거래

임의변경

SoD 미비

IT Risk Management Process

식별 평가 대응방안 모니터링·보고

RIS

KRIS

K

1차 모니터링

KRI를 통한 상시모니터링

2차 모니터링

적정 Risk

적정 Risk

37Risk Assurance Service

IT Compliance 관리체계 구축

정보관리, 개인정보보호, 정보 보안 등 IT와 관련한 Regulation 위반 또는 이해관계자의 기대

미 충족에 따라 기업이 입을 수 있는 다양한 손실 위험이 점차 증가하고 있으며, IT Compliance 실패 시

아래와 같은 치명적 결과를 야기할 수 있습니다.

● 경영진의 직접적인 법적 책임

● 막대한 과징금 및 소송으로 인한 경제적 피해

● 비윤리적 기업으로의 낙인 등 기업 평판 및 주식가치 하락

● 비즈니스 기회 상실 및 기업 돌연사

다양한 IT Compliance 리스크에 효과적으로 대응하기 위해서는 지속적인 대응체계 및 내부통제 구축이

필수적입니다. 이를 위해 삼일회계법인은 아래 사항을 원칙으로 고객사의 IT Compliance 관리체계

구축을 지원합니다.

● No Surprise 원칙 : 선제적 대응체계를 통해 이슈 발생 시 영향 최소화, 신속한 대응 및 회복

● 상향 평준화 유도 : 개별 리스크 유형별로 조직의 역할과 책임을 명확히 하고, IT Compliance 관리

활동을 일상 업무에 내재화 하여 전체 수준을 향상

오늘날 IT환경의 핵심인 IT Compliance에 대한

선제적 대응은 기업의 생존과 경쟁을 위한 선택이 아닌 의무

PwC IT Compliance Framework

Policy

IT Compliance 관리 철학, 규정/지침 및

Manual 정립

Organization

IT Compliance 관리조직 및 업무분장 설계

System

IT Compliance 모니터링·통제 시스템 구축

Process

IT Compliance Directory 구성 및 관리 프로세스

정립 - 식별, 분석, 대응, 모니터링/보고

Culture

IT Compliance 문화 제고방안 수립

IT Compliance Policy

① Tone at the Top

⑦ Governance

⑧ Culture

⑨ IT Infra

② Compliance Charter

③ Identification & Assessment

⑥ Monitoring & Verification

④ Risk Mitigation

⑤ Learning & Development

IT Compliance

Management

IT Compliance

Platform

38 Samil PwC

2. IT Cost & Value Management IT 비용관리 개선

많은 기업에서 IT Cost는 이미 상당한 부분을 차지하고 있으며, 이를 체계적으로 관리하는 것이

경기침체 상황에서 더욱 중요하게 되었습니다.

이에 따라, 대부분 기업에서 IT 운영비용 절감, IT ROI에 대한 불확실성 개선, 더 적은 비용으로

효과적으로 업무를 지원하는 IT 솔루션 및 인프라 도입 등의 방안을 고민하고 있습니다.

Overview

IT 비용·가치관리를 통해 고객사가 IT Cost에 대해 보다 명확하게 이해함으로써

적절한 투자 규모를 산정하고, 불필요한 비용지출이 발생하지 않도록 지원함

How PwC can help you

● 주요 IT Cost 동인에 대한 명확한

이해를 통해 가치창출·감소 활동

식별

● PwC TSA* 방법론을 적용하여

IT 자본·운영비용을 객관적으로

검토하여 IT운영의 재무적

성과 개선

● 지속적 효과를 구현하기 위한

IT Cost management 개선과제 및

Governance 도출

IT Cost Category 분석

Your benefits

총 비용 분석을 통해 IT Cost 구조와 투자의 전략적 변화 방향 제시

Spend

Time

현 상황

Frontier

Enhancement

Utility

Infrastructure

5%10%

40%

25%

25%

35%

60%

목표

[F] Frontier : 비지니스 성과에 주요한 변화를

일으키거나 경쟁적 상황을 반전시키는 투자

[U] Utility : 변별력을 나타내지는 않지만

필수불가결한 투자

[E] Enhancement : 투자가 없을 때와

비교했을 때, 회사의 성과를 향상시키는 투자

[ I ] Infrastructure : 현 네트웍의 운영과

유지보수에 필수적이거나, 어플리케이션의

전개, 실행, 지속을 위해 필수적인 투자

COST REDUCTUIN

Tangible Savings

Governance Measurement

• IT 비용/성과에 대한 가시성 및

투명성 개선

• IT 운영비용 절감 및 낭비요인 제거

• IT 예산에 대한 책임성 강화

• CFO 조직과 비즈니스 부서의

IT 지출에 대한 용이한 이해

• 지속적인 IT Cost 개선기회 식별

역량 확보

SUSTAINABLE

CHANGE

* TSA : Total Spend Analysis

Ownership

COST MANAGEMENT & CONTROL

39Risk Assurance Service

3. Cyber Security 사이버 보안

정보보호 침해사고의 증가로 인해 대내외 요구사항은 점차 강화되고 있으며,

삼일회계법인은 이를 위해 정보보호 관리체계 수립, 개인정보보호 및

정보보호 조직 고도화 컨설팅 서비스를 제공하고 있습니다.

Overview

External Services

Areas

Internal

정보보호

침해사고

ISMS

위험평가를 통한 중장기 정보보호 전략 수립

→ 정보보호 수준 향상

PIPA

개인정보보호 이행 평가를 통한 개선과제 도출

→ 법적 요구사항 준수

Governance

정보보호 관련 R&R 정립 및 방향성 제시

→ 운영리스크 감소

정보보호

관리체계 수립

Biz. 연계

위험관리 방안

수립

법적 요구사항

이행 및 준수

정보보호 관리체계 수립

Org

anizatio

n

Firm

Pro

cess

Infrast

ructu

reVa

lue

Protec

tion

Biz. Alignm

ent

Complian

ce

개인정보보호

정보보호 조직 고도화

서비스

안정성 요구

관련 법률

및 규제 강화

개인정보보호 진단서비스

ISO 27001 인증 대비 진단서비스

인프라 취약점 진단서비스

모의해킹

• Compliance 목적을 고려하여 개발된 통합진단항목을 활용한

중요 개인정보 유출 위험 진단

• 정보처리 Lifecycle 단계별 데이터 보안현황 점검을 통한

취약점 및 개선안 도출

• 지속적인 보안수준 유지 및 관리를 위한 정책/절차 수립

• ISO 27001 인증 준비를 위해 실제 인증 시 적용되는 동일한

점검항목 및 권장사항을 고려하여 사전 진단

• 11개 영역 133개 통제항목을 대상으로 진단 및 개선사항

도출

• Risk, Compliance 및 As-Is Analysis를 고려하여 선정된

영역별 진단대상에 대해 취약점 진단

- 대상 : OS, Network, DB, Web application

- 중점 영역 : 계정 및 패스워드, 세션정책, 권한 관리,

정보유출 가능성 검토, 웹 취약점 등

• 시스템 점검을 통해 발견된 취약점을 기반으로 가능한

접근경로를 분석하고 모의해킹을 시행하여 시스템 취약점 진단

• 모의해킹 점검을 통해 실제 내·외부 위협에 대한 현행

보안체계 개선을 도모

- 중점 영역 : DDoS* 진단, 웹 해킹, DB 해킹 등

* DDoS : Distributed Denial of Service

40 Samil PwC

4. ERP System ERP 시스템 진단 및 개선

정보기술과 경영환경의 변화로 ERP 시스템은 고객사의 비즈니스와

Governance에 핵심요소로 작용하게 되었습니다. 경영진 의사결정의 근거가

되는 정보의 신뢰성 확보 및 보다 효과적인 프로세스를 위해 기업이 운영중인

ERP 시스템의 신뢰성 검증 및 ERP기반 내부통제환경에 대한 점검이

필요합니다.

삼일회계법인은 ERP 시스템 진단 및 개선 자문을 통해 ERP에서 산출되는

정보의 신뢰성을 검증하고, 회사가 ERP를 통해 보다 효과적이고 효율적인

내부통제를 운영할 수 있도록 지원합니다.

Overview

ERP 진단 서비스의 범위

Pre-implementation

Po

st-implem

entationProcess

-impl

emen

tati

on

ERP 환경하의 통제 설계

정보의 신뢰성 진단

GRC Tool 구축지원

교육 및 문서화 지원

권한 및 업무 분장 지원

ERP Config. 진단

ERP 환경하의 통제 설계

• 회사의 통제 현황을 진단하고 ERP

환경하의 최적화된 통제 설계

• 수작업 통제의 자동화 및 프로세스

효율화

ERP 권한 및 업무분장 진단

• ERP 상의 권한 설계 및 업무분장

적정성 진단

• 시스템 상 주요 권한에 대한 사용

현황 점검

GRC* Tool의 구축 지원

• ERP 시스템에 내재된 통제 (GRC Tool)

를 충분히 활용할 수 있도록 지원

ERP Configuration 진단

• 시스템이 통제 목적을 달성하도록

적절히 설정 (Configuration) 되었는지

검토

교육 및 문서화 지원

• ERP 프로세스 및 내부통제 관련

교육지원

• ERP 프로세스의 문서화, 내부통제의

문서화 지원

ERP 시스템 정보의 신뢰성 진단 및 개선

• 데이터 흐름 추적 및 데이터 분석을

통한 정보의 신뢰성 검증

• 기존 시스템과 신규 시스템 데이터이관

정합성 검토

* GRC : Governance, Risk & Compliance

41Risk Assurance Service

통제 환경이 ERP 시스템에 적정하게 반영되어 효율적인

ERP 시스템의 통제 관리가 되고 있는지에 대한 확신 필요

• 내부적으로 파악하지 못한 주요 잠재적 IT 위험 인지 및 전사 공유 → 장애, 변경, 보안,

아웃소싱 등 高 위험군 인지

• IT 위험 감축을 위해 프로세스, 인력, 기술 부분을 통합적으로 고려한 취약통제 개선

• IT Risk 감축 및 통제개선을 위해 단기·중장기적으로 추진해야 할 Mitigation Strategy를 수립

• 지속적·체계적인 IT Risk 관리를 위해 정책, 관리조직 및 프로세스, IT시스템, 조직문화 관점의

IT Risk Governance 수립

PwC 통제 수준진단 Database

10대 개선 과제 & 27개 실행 과제

근본 원인 분석 및 개선 방향 정의

Case 1 - 통합 IT Risk 진단

Case 2 - IT Risk 감축전략 및 Governance 수립

S/N: 1507A-BR-019

© 2015 Samil PricewaterhouseCoopers. All rights reserved. “PricewaterhouseCoopers” refers to Samil PricewaterhouseCoopers or, as the context requires, the PricewaterhouseCoopers global network or other member firms of the network, each of which is a separate and independent legal entity.

www.samil.com

Contact

박소영

Partner

02-709-4798

sypark2@samil.com

장병한

Director

02-3781-9179

bhanchang@samil.com

김정욱

Director

03-709-8815

jeungwkim@samil.com

박종서

Senior Manager

02-3781-9780

jongspark@samil.com

Business Controls Advisory

Internal Audit

Performance Governance, Risk & Compliance

IT Risk Assurance

나국현

Director

02-3781-9119

ghna@samil.com

김병도

Senior Manager

02-709-0691

bdkim@samil.com

박수민

Director

02-3781-9210

smpark@samil.com

이기봉

Senior Manager

02-3781-9841

kblee@samil.com