Q. "이전의 내부회계 관리제도가 솔직히 좀 형식적이고 구색 맞추기식의 제도지 않나 생각되는데요. 신외감법의 시행에 따라 내부회계제도가 강화된다고 하셨는데요. 가장 크게 변경된 부분에 대해 좀 알려주세요."

A. 무엇보다 검토에서 감사로 상향됨에 따라 별도의 감사의견을 받아야 된다는 점입니다. 즉 외부 감사인으로부터 재무재표 감사의견과 더불어 내부회계 관리제도(K-SOX)상 적정/ 부적정 등 감사 후 의견을 받습니다. 또한 대표이사(CEO)의 책임 및 보고 의무가 강화되고, 내부회계 관리제도 부실 이행시 제재 역시 강화되었습니다.

Q. 내부회계 관리제도 외부 감사를 받을 때 경영진의 프로세스 참여 검토 여부 및 IT환경에 대한 전반적인 통제 환경을 갖추기 위한 중소기업의 운용 인력 부족 방안 궁금합니다.

A. 중소기업의 경우 전반적으로 인력이 부족한 상황에서 내부회계 관리제도 운영을 위한 충분한 자원과 IT 인프라 등을 갖추기가 쉽지는 않을 수 있습니다. 전사 수준/ 거래 수준/ IT 통제 등에 대해 재무정보 산출과 관련되고 영향을 줄 수 있는 핵심 통제(Key Control)에 외부감사인과 상의하셔서 적절한 수준으로 관리가 필요할 것입니다. 또한 관련하여 외부 전문기관에 운영 및 평가 업무를 대행하는 PA(Private Accountant) 제도를 이용하는 것도 방안이나 비용이 따르긴 합니다.

Q. 중소기업의 경우 100명 이상 매출100억 이상 부채총액 70억 자산총액 120억 중 2개 이상인 경우 해당되는데 대부분 회계제도가 미비할 것인데 너무 광범위한 것이 아니지 의견이 궁금합니다.

A. 중소기업의 경우 전반적으로 인력이 부족한 상황에서 내부회계 관리제도 운영을 위한 충분한 자원과 IT 인프라 등을 갖추기가 쉽지는 않을 수 있습니다. 전사 수준/ 거래 수준/ IT 통제 등에 대해 재무정보 산출과 관련되고 영향을 줄 수 있는 핵심 통제(Key Control)에 외부감사인과 상의하셔서 적절한 수준으로 관리가 필요할 것입니다. 또한 관련하여 외부 전문기관에 운영 및 평가 업무를 대행하는 PA(Private Accountant) 제도를 이용하는 것도 방안이나 비용이 따르긴 합니다.

Q. 4대 회계법인 감사인들조차 가지고 있는 감사 기준과 접근법이 차이가 발생하던데요. 그래서 사전 컨설팅을 통한 결과물에 입각해 준비한 내용이 본감사 시 부실하다고 Ineffective 당하기도 하고요. 표준화된 누구나 쉽게 이해하고 따를 수 있는 표준화된 가이드라인은 나오지 않는 건가요?

A. 내부회계 관리제도 모범규준(2013 New COSO Framework과 유사)이 표준화된 가이드라인으로 이해하시면 될 듯합니다. 이를 근거로 실제 감사를 수행하는 법인들은 내부회계 관리제도 감사기준 및 방법론 등을 가집니다. 이 부분을 사전 공유는 현실적으로 어려울 것이고요, 실제 감사 수행 시 각 통제활동 관련 개선 권고 및 수용 가능한 수준에 대해 논의하시면서 의사소통 하시면 될 듯합니다.

Q. 4대 회계법인의 감사 매뉴얼을 사전에 공유 받을 방법은 없을까요? 매해 바뀌는 감사기준을 따라가기가 버거운데... 작년에 괜찮았던 부분이 올해 감사엔 문제가 될 수 있고... 뭔가 기준이 있는가 하는 의문이 항상 들더군요.

A. 내부회계 관리제도 모범규준(2013 New COSO Framework과 유사)이 표준화된 가이드라인으로 이해하시면 될 듯합니다. 이를 근거로 실제 감사를 수행하는 법인들은 내부회계 관리제도 감사기준 및 방법론 등을 가집니다. 이 부분을 사전 공유는 현실적으로 어려울 것이고요, 실제 감사 수행 시 각 통제활동 관련 개선 권고 및 수용 가능한 수준에 대해 논의하시면서 의사소통 하시면 될 듯합니다.

Q. 중견기업에서 신외감법에 따른 회계 운영시 경영진의 인식 부족에 대한 설득 방안도 궁금합니다.

A. 경영진에 대한 책임과 보고 의무, 이를 위반 시 제재사항 등을 잘 설명하시고, 향후 부적정 시 회사가 받아야 할 여러 이슈 및 위험 등을 통해 설득하시면 가능하리라 봅니다.

Q. "내부회계 관리제도라는게 재무제표상의 금액보다는 절차서, SOP 등이 제대로 구현되어 있는지 그리고 절차대로 수행했는지 통제하는건인데. 담당자가 그렇게 했다고 작성하는 것과 시스템에서 그렇게 안된 것을 크로스체크할 수 있을까요?"

A. 전사 수준 통제외 프로세스/거래 수준의 통제와 IT 관련 IT 일반통제와 자동통제 항목 등을 통해 구분하여 확인을 해 보아야 합니다.

Q. 내부감사를 외부감사의 수준만큼 신뢰도를 높이고 외부에서도 인정할 수 있을 SAP GRC 솔루션 구현 방안이 궁금합니다.

A. SAP GRC Suite가 가지고 있는 AC(Access Control), PC(Process Control) 등 모듈을 통해 자동/ 실시간 관리가 가능하리라 봅니다. 다만, 전체 내부회계 관리제도 대상 범위를 커버하기 위해서는 별도의 K-SOX solution이 필요합니다.

Q. 내부통제를 위한 RCM 양식 및 일부 내용이 4대 법인 별로 차이가 있던데요. 회사에 맞게 RCM 및 설계평가서 등의 양식을 제공하나요?

A. 만약 자문/컨설팅을 받아보시면 각종 양식 및 template 등을 제공받으실 겁니다.

Q. 이후 연결기준으로 운영해야 하는 이슈가 있는데, 종속법인을 연계하여 관리할 수 있는 방안은 있나요?

A. 올해부터 대형 상장사 중심으로 연결기준 내부회계 관리제도 구축 업무를 수행하고 있습니다. 더불어 내부회계 관리제도(K-SOX) 관리 시스템을 도입/구축하여 관리합니다.

Q. "유의한 계정과목(In-Scope)에 대해 Rule-Set을 연결할 수 있는 방법 또는 제공되는 Report는 있나요? 관련하여, 예외사항들에 대한 예외등급 및 개선사항 등을 관리하고, 운영 실태보고서 등의 집계 및 출력 기능이 있나요?"

A. 위험평가 모듈을 전산화하여 관리하는 회사도 있습니다. 더불어 각종 예외사항 등 Dashboard 기능을 통해 관리도 가능합니다.

Q. 솔루션이나 구축 업체 선정 시 개발 지원 능력을 가장 우선시하는 것이 무엇인지요?

A. 시스템 안정성과 내부회계 관리제도(K-SOX)는 법적으로 유지되어야 하기 때문에 유지 보수성도 중요하리라 봅니다.

Q. 운영평가 시, 샘플의 완전성/독립성을 담보할 로직 또는 기능이 있나요? 근거를 남길 수 있는 별도 기능은 있나요?

A. 요즘 신기술(예: AI, RPA:Robotic Process Automation 등)을 활용한 테스트 자동화를 시도하거나 구현하는 회사들이 있습니다. 충분이 별도 기능으로 가능합니다.

Q. SAP GRC 수행 자체가 내부회계제도의 법적인 자료가 될 수 있는지요?

A. SAP GRC Suite가 특정 통제활동의 수행 결과물 Evidence로 가능합니다. 다만, 최종적인 Certification을 위해서 별도의 K-SOX solution이 필요하리라 봅니다.

Q. 시나리오 제공시 기초 데이터 추출에 대한 정보는 어떻게 수집이 이루어지나요?

A. 시나리오별 대상 시스템/application, Table/ field 등 정의 및 분석 이후 개발요건에 따라 구성하셔야 합니다.

Q. 내부회계 관리 시스템 구축은 필수인가요? 매뉴얼적인 문서를 가지고 있어도 커버가 가능한지... 향후 방향성에 대한 대비를 어떻게 해야 될지..

A. K-SOX 시스템이 필수라고는 말씀드릴 수 없으나, 매뉴얼로 수 많을 통제 활동을 관리하고 평가/인증한다는 것 자체가 굉장한 비효율입니다. 그래서 대부분의 회사가 구축을 한다고 보시면 됩니다.

Q. 회계법인에서 내부회계 관련하여 컨설팅을 수행하는 것으로 아는데 현 솔루션에서도 그 부분에 대한 방안을 알수 있나요?

A. 사전에 통상 회계법인에 회사 현황에 맞게 내부회계 관리제도 컨설팅을 수행하고, 별도의 K-SOX solution 회사가 구축을 한다고 보시면 됩니다.

Q. 내부 감사를 위한 SAP만의 차별화된 통제 방법이나 프로그램이 있나요? 보안성은 어느정도 되나요?

A. SAP GRC 솔루션과 시중 감사인증을 위한 솔루션의 차이는 자동화 정도 차이라 할 수 있습니다. 시중의 감사인증 솔루션은 RCM(Risk control matrix)을 수작업으로 검증한 결과인 문서를 서장하는 기능이 주가 됩니다. 반면 SAP GRC 솔루션은 기업의 운영 상 발생하는 위험을 실시간 detect하고 리포팅할 수 있습니다.

Q. SAP의 Rule-Set은 4대 회계 법인의 표준 자료를 협업으로 매년 업데이트 되고 관리되는지 문의 드립니다.

A. SAP GRC의 각 솔루션에는 통제 rule-set이나 detection 시나리오가 담겨져 있고 이런 rule-set은 다우존스나 톰슨로이터와 같은 기관으로부터 update 받고 있습니다. 이 rule-set은 library 형태로 제공되기 때문에 국내 4대법인의 표준자료를 제공 받을 수 있다면 답제하는 것은 문제가 아니나 아직까지 협업을 하는 상황은 아닙니다. SAP GRC 구축 시 RCM에 대해 4대 회계법인으로부터 컨설팅을 받는다면 회계법인의 자료를 update 하실 수 있을 것으로 기대됩니다.

Q. 재무제표의 각 계정과목 별로 유의한 계정과목을 판별할 수 있는 Scoping 기능은 지원하나요?

A. [추후 업데이트 예정]

Q. "1. GRC 적용 시 NON-SAP와의 I/F 및 별도 Customizing이 가능한가요? 2. GRC 솔루션의 경우 라이센스 조건이 어떻게 되나요? 3. 유지보수 조건은?"

A. "SAP GRC는 SAP ERP를 비롯한 SAP 솔루션 뿐만아니라 SAP 기반이 아닌 솔루션에도 적용 가능합니다. 통제 시나리오는 특정 table field 값의 변경이나 특정 table field에 대한 권한을 점검하는 방식이기 때문에 Non-SAP 솔루션에도 동일하게 적용할 수 있습니다. License 조건은 아래와 같습니다. Access Control, Process Control은 모니터링하는 사용자 수 기반이고 Business Integrity Screening은 매출 기준이고 Audit Management, Risk Management는 사용자수 기준으로 licensing 됩니다. 유지 보수율은 라이선스 금액의 22%입니다."

Q. SAP GRC는 SAP ERP와 연계만 가능한지요? 아니면 타 ERP 시스템과도 연계가 가능한지요?

A. SAP GRC는 SAP ERP, SFSF, Ariba 등 SAP 솔루션 뿐만아니라 SAP 기반이 아닌 솔루션에도 적용 가능합니다.

Q. 시나리오 및 ruleset 리스트는 제품의 컨피그로 제공하는 건가요??

A. 시나리오와 rule-set은 마스터 데이터 등록하는 것과 유사하다고 보시면 될 것 같습니다 Rule Set 정의를 위해서 Rule Set ID와 description을 입력하면 rule set이 생성됩니다. Rule set은 하나 또는 다수의 risk를 표함하고 있고 각 risk는 하나 또는 다수의 function을 포함하게 됩니다. 예를 들어 거래처 마스터 생성과 송장에 대한 지불처리 두 가지 function을 동일인이 처리할 수 있는 권한이 있다고 가정하면 거래처 마스트 생성이나 변경이 하나의 function이고 지불처리가 또하나의 function이 됩니다. 그리고 risk는 이 두 개의 function이 모두 처리가 된다면 발생될 수 있는 것이고 이 risk는 rule set에 포함되게 됩니다.

Q. SAP 에 DB 암호화 솔류션이 있는데 그거와 GRC 와는 다른건가요?

A. DB 암호화 솔루션은 개인 정보법이나 정보에 대한 security 관련 요건이라 할 수 있습니다. GRC는 배부 통제와 관련된 요건으로 프로세스 통제, 시스템 접근 통제와 업무 분장, 부정방지 솔루션이라 할 수 있습니다.

Q. GRC는 신외감법 시행처럼 법이 개정될 경우는 새로 rule이 자동으로 업데이트되는지 아니면 재구축을 해야 되는지요?

A. SAP는 GRC의 각 영역별 필요한 rule-set을 제공하고 update 합니다. 컨설팅을 통해 RCM(Risk Control Matrix)이 확정되면 이 항목에 적용 가능한 rule-set을 골라 적용하고 나머지는 생성해야 합니다. 만일 신외감법이 개정돼 RCM이 변경된다면 여기에 맞는 rule-set을 선정하고 나머지는 생성해야 합니다.

Q. GRC의 경우 SAP ECC 버전과 S4 HANA 버전에 따라 버전이 상이한지요?

A. ECC 버전용 GRC와 S/4HANA용 GRC는 다른 제품입니다. ECC와 S/4HANA는 테이블 구조가 다르기 때문에 서로 다른 버전을 제공합니다.

Q. 국내외 공공기관(Public) 사례가 있는지요?

A. 벨기에 Federal Public Services , 프랑스 AIFE, 네덜란드 Ministry of Defense, 벨기에 Brussels-Capital Region, 남아공 Passenger Rail Agency of South Africa, 오스트리아 Department of Defense, 독일 Federal Employment Agency 등 사수의 공공 사례가 있습니다.

Q. 통제활동이 SAP 뿐만 아니라, 회사 내부의 별도 단위시스템들도 해당이 되는데요. 별도 단위시스템 관련하여 Rule-Set 에 등록관리하는 기능은 있는지요?

A. SAP GRC는 SAP ERP, SFSF, Ariba 등 SAP 솔루션 뿐만아니라 SAP 기반이 아닌 솔루션에도 적용 가능합니다.

Q. SAP GRC 솔루션의 도입 시, 국내사와 해외 지사의 회계 법이 다를 경우, 국내와 해외 회계법의 표준화 룰셋을 관리할 수 있는지 궁금합니다.

A. "GRC의 risk 정의에는 function이 포함되고 각 function 정의시 target system을 지정할 수 있습니다. 국내사와 해외 지사의 시스템이 다르다면 target system 지정을 통해 구분할 수 있습니다. 그리고 국내외 법인이 동일한 시스템을 사용하는 경우는 국내에 적용되는 risk와 해외지사에 적용되는 risk를 구분하시면 됩니다. SAP가 Single instance로 국내외 data가 통합되어 있다면 SAP GRC 솔루션으로 표준화된 Rule set으로 관리가 가능하리라 봅니다. 또한 국내외 회계관련 규정 및 법 체계가 상이하다면 각 국별 customizing 작업이 따라야 할 것으로 보입니다. "

Q. GRC 가 기존 ECC6.0* ERP에서도 인터페이스 및 작동이 가능한가요?

A. ECC를 위한 SAP GRC 솔루션도 제공하고 있습니다.

Q. SAP GRC 솔루션으로 실시간 모니터링 통제도 가능한가요?

A. Process control, access control, BIS는 실시가 통제 가능합니다.

Q. 솔루션에 대한 간단한 시현 가능한가요.? 그리고 통제업무별 상시모니터링 부분과 자동으로 연동이 가능한 부분에 대한 부여 설명 부탁드립니다

A. "Youtube에서 SAP GRC로 search 하면 다수의 데모 영상이 있습니다. https://www.youtube.com/results?search_query=sap+grc Video.sap.com에서 GRC로 search 하면 다수의 영상을 보실 수 있습니다. https://video.sap.com/esearch/search?keyword=GRC"

Q. GRC는 클라우드의 형태와 OP 형태로 모두 도입이 가능한가요? 아니면 한가지 형태로만 도입이 가능한가요? 그리고 혹시 ECC에서도 도입이 가능한가요?

A. ECC 버전용 GRC도 제공합니다. 그리고 Cloud, on-prem 모두 제공합니다.

Q. 제공하는 시나리오가 공용으로 모든 회사에 적용이 가능한가요?

A. 탑재된 시나리오는 모든 회사에 적용 가능하나 기본적으로 SAP ERP 기준으로 setting되어 있기 때문에 legacy나 non-SAP의 경우는 시나리오의 setting을 변경해야 됩니다.

Q. 시스템의 데모 또는 시연 영상 있으면 링크라도 공유 부탁드립니다.

A. "Youtube에서 SAP GRC로 search 하면 다수의 데모 영상이 있습니다. https://www.youtube.com/results?search_query=sap+grc Video.sap.com에서 GRC로 search 하면 다수의 영상을 보실 수 있습니다. https://video.sap.com/esearch/search?keyword=GRC"