내부통제(internal control)는 공공조직이 조직의 임무를 추구하는 과정에서 직면하는 리스크에 대응하고 내부통제의 목적이 달성될 것이라는 합리적인 확신을 제공하기 위해 설계되고 관리자들과 직원들에 의해 실행되는 통합적 과정이다(INTOSAI GOV 9100). 위 내부통제 정의는 다음과 같은 내부통제의 본질적 특성을 반영한다.
공공조직 내 분리된 별도의 조치가 아니라 일상 업무 프로세스의 내재된 필수적 부분이다. 공공조직 내 모든 수준의 관리자와 직원이 관계한다.
리스크 관리를 통해 공공조직의 임무 달성을 지원한다.
책무성 확보, 법률 및 규정의 준수, 운영의 효율성 및 효과성, 자원의 보호 등 4개 범주의 목적(objectives) 달성에 초점을 둔다.
내부통제 목적 달성에 있어 절대적 보증이 아닌 합리적인 보증(reasonable assurance)을 제공한다.
공공조직의 구조 및 규모에 따라 조정이 가능하다.
내부통제시스템은 일상 업무에 내재화되어 상시적으로 가동되는 요소로서 기관의 목표 달성 여부에 대한 합리적인 보증을 제공하도록 실행되어야 한다. INTOSAI GOV 9100에 따르면 위 공공부문 내부통제 모델에서 보는 바와 같이 공공 내부통제 기본틀(framework)은 내부통제 목적, 구성요소, 조직의 적용범위를 체계화하여 만들어졌다. 내부통제시스템은 공공조직의 임무 및 목표 달성을 저해하는 리스크를 관리하고, 업무수행 과정에서 발생하는 내부통제 취약점들을 통제하며, 관련 법규를 준수하고, 추진사업을 효율적・효과적으로 운영하며, 자원을 보호하고, 임무 및 목표 달성 관련 재무적・비재무적 성과를 정확하고 적시성 있게 보고하고 있다는데 대한 합리적인 확신을 제공할 수 있어야 한다.
나. 내부통제의 기대효과
공공조직을 둘러싼 정치, 경제, 사회, 기술, 물리적 환경은 이전에 경험하지 못했던 규모와 속도로 변화하고 있다. 공공조직은 새로운 공공서비스 수요에 대응해야 할 뿐 아니라 공공서비스를 전달하는 방식에 있어서도 지속적인 혁신을 요구받고 있다. 이에 반해 공공조직의 법적 임무, 조직, 인력, 예산, 절차 등은 예측가능하고 안정적인 틀 속에서 운영되어왔다. 전통적으로 공공부문에 있어 불확실성에 대비한 리스크 관리에 대한 관심 또한 제한적이었다. 이러한 배경 하에서 공공조직이 기관의 임무 달성을 저해하는 조직 내외의 리스크 요인을 식별・평가하고 대응책을 강구할 수 있는 조직 내부 환경 및 역량을 조성하고, 관련 정책과 절차를 마련하여 조직 전체가 지속적이고 체계적으로 수행하는 내부통제시스템의 도입은 매우 시의적절하다고 하겠다. 또한 내부통제 기본 틀에 근거해, 기존의 대처 방식을 보다 체계화하고 지속적인 개선을 도모하게 된다. 이를 통해 공공조직의 주어진 임무를 보다 책임 있게 달성하는 것이 가능해진다.
내부통제시스템의 도입에 따른 기대효과는 매우 다양하며 다음을 포함한다.
<공공부문 내부통제의 목적>조직의 미션, 목표 달성
변화하는 환경, 공공서비스 수요, 우선순위에의 대응
부정・비리 예방
공적 자금 또는 자원의 낭비 또는 손실 예방
업무수행의 기준 확립
법규, 정책, 절차의 준수
윤리문화 조성 및 청렴성 유지
직원의 보호
이해관계자의 공공조직에 대한 신뢰 제고
다. 내부통제의 목적(objectives)
공공조직은 내부통제시스템의 운영을 통해 관리자 및 수탁자로서의 책임(stewardship)을 완수하고 있음에 대한 합리적인 확신을 제공한다. 따라서 내부통제의 목적은 공공조직과 그 구성원의 관리자로서 책임과 일치하며 이는 아래 그림에서 보는 바와 같이 책무성의 확보(accountability), 법과 규정의 준수(compliance), 운영의 효율성과 효과성(operation), 그리고 자원의 보호(safeguarding resources) 등 4가지 유형으로 구분할 수 있다. 내부통제의 4가지 목적은 내부통제의 서로 다른 측면에 초점을 두게 되지만 상호 밀접하게 연관되어 있다. 내부통제 목적은 하위 목표, 기능, 절차, 활동 등을 통해 구현된다(INTOSAI GOV 9100). 공공조직은 이러한 내부통제 목적 달성을 통해 궁극적으로 기관의 목표 달성에 기여하게 된다.
1) 책무성의 확보
책무성(accountability)은 공공조직에 있어 가장 근본적인 의무사항에 해당되는 것으로 공공자원 수탁 책임, 업무 추진 및 성과 등을 포함한 제반 의사결정과 행동을 설명하고 결과에 책임을 지는 과정이다. 따라서 책무성의 확보는 기관의 운영과 관련된 신뢰할 수 있고 관련성 있는 재무 및 비재무 정보를 생산하고 법률 규정에 의하거나 내부 및 외부 이해관계자의 요구에 대응하여 적시에 보고함으로써 실현된다. 즉, 책무성의 목적은 주로 신뢰성, 적시성, 투명성 등에 초점을 둔다.
2) 법과 규정의 준수
공공조직에 있어 법과 규정의 준수(compliance)는 기관의 임무, 임무 달성을 위한 방법, 성과의 보고 등을 포함해 거의 모든 업무와 관련을 갖는다. 따라서 컴플라이언스 관련 목적을 구체화할 때는 어떤 법규가 관련되는지를 정확히 파악하고 목표 수립 시 이러한 요건들을 빠뜨리지 않고 포함해야 한다. 컴플라이언스 유형의 목적을 보다 효과적으로 달성하기 위해서는 기관 전체 입장에서 필요한 통제를 설계, 실행, 운영하는 것을 고려할 수 있다.
3) 운영의 효율성과 효과성
운영(operation) 관련 목적은 공공조직의 임무를 달성하기 위한 사업의 운영과 관계되는 것으로 효율적이고 효과적인 운영이 이루어져야 한다. 효과적 운영은 운영 절차로부터 의도한 결과를 만들어내는 것이며, 효율적인 운영은 자원의 낭비를 최소화하는 방식으로 이를 달성하는 것을 각각 의미한다. 기관의 운영 목표로부터 조직구조 내 부서별 하위 목표를 수립함으로써 모든 부서 목표를 기관의 임무와 연계할 수 있게 되어 공공조직은 임무를 달성함에 있어 사업 운영의 효율성과 효과성을 높일 수 있다.
4) 자원의 보호
공공조직이 사용 또는 관리하는 공공자원은 국민의 세금으로부터 비롯되거나 국민과 기업의 개인 정보 또는 사회기반시설에 해당하는 경우가 대부분이다. 따라서 자원의 보호(safeguarding resources)는 공공조직의 임무를 달성하기 위한 수단에 그치지 않고 중요한 목적으로 통제의 대상이 된다. 공공조직은 승인받지 않은 자산의 취득, 사용 또는 처분을 방지하는 것과 관련하여 국민을 비롯한 주요 이해관계자에게 필요한 내부통제시스템의 설계 및 운영을 통해 합리적 수준의 확신을 제공할 수 있어야 한다.
라. 하위 목표의 수립
공공조직은 내부통제 관련 4가지 목적으로부터 보다 구체적인 하위 목표를 조직구조 전체에 걸쳐 개발할 수 있다. 하위 목표를 구체적이고 측정가능하게 규정하고 이를 해당 부서와 직원과 효과적으로 소통함으로써 조직 전체를 통해 책무성을 확립할 수 있다. 공공조직의 기관장과 직원은 내부통제시스템의 책무성 책임을 위해 내부통제의 목적과 그 하위 목표, 그리고 관련된 성과 수준에 대해 이해하고 실행할 책임이 있다.
2. 효과적인 내부통제시스템의 실행
가. 내부통제 가이드라인의 구조
<공공부문 내부통제 가이드라인의 구조>
내부통제 가이드라인은 공공조직의 효과적인 내부통제시스템 실행을 지원하기 위해 개발되었다. 즉, 내부통제를 구축함에 있어 공공조직은 기관의 내부통제시스템이 효과적인지 여부를 결정하기 위하여 내부통제의 설계와 운영 효과성을 평가할 때 본 가이드라인을 판단기준으로 사용할 수 있다. 또한 책무성 확보, 법과 규정의 준수, 운영의 효율성과 효과성, 자원 보호 등 기관의 내부통제 목적달성을 통한 조직목표 달성에도 본 가이드라인을 적용할 수 있다. 본 내부통제 가이드라인은 위 그림에서 보는 바와 같이 국내외 공공 및 민간부문의 내부통제기준을 토대로 5개 구성요소, 17개 원칙, 그리고 원칙 구현을 위한 중점 고려사항에 해당하는 56개 세부원칙으로 구성되어 있다. 공공조직이 본 가이드라인을 토대로 식별된 리스크에 대응하기 위해 개발, 운용하는 구체적인 통제활동에 해당하는 통제항목(controls)은 세부원칙과 함께 각 기관의 규모, 업무의 복잡성, 허용 리스크 수준 등 기관 특성에 따라 유연하게 적용할 수 있다.
나. 내부통제 구성요소와 원칙
1) 구성요소
공공조직이 효과적인 내부통제시스템을 구축, 지속적으로 운영하기 위해서는 통제환경, 리스크 평가, 통제활동, 정보 및 의사소통, 모니터링 등 5가지 구성요소가 필수적이다. 이들 5가지 구성요소는 본 가이드라인을 토대로 효과적으로 설계, 실행, 운영되어야 하며 서로 분리되지 않고 통합적인 방식으로 운영되어야 한다.
통제환경: 효과적인 내부통제 작동의 기초가 되며. 공직윤리를 실천하는 건전한 조직문화를 조성하고 기관의 임무 및 목표 달성을 지원하는 규율과 구조를 제공한다.
리스크 평가: 공공조직이 임무 및 목적 달성을 추진함에 있어 직면하는 리스크를 식별・평가하고 적절한 대응조치로 연결될 수 있도록 한다.
통제활동: 식별된 리스크를 수용 가능한 수준 이내로 경감할 수 있도록 공공조직이 정책과 절차를 통해 내부통제시스템 내에 설치하는 제반 활동을 말하며, 정보시스템에 대한 통제활동을 포함한다.
정보 및 의사소통: 효과적인 내부통제시스템을 개발, 운영, 평가, 개선하는데 필요한 양질의 정보를 생산, 관리, 소통한다.
모니터링: 최고관리자가 성과의 질적 수준을 시계열적으로 측정하고 감사 및 다른 검토 결과 발견된 문제점을 신속하게 해결할 목적으로 구축, 운영하는 활동이다.
<공공부문 내부통제 PDCA 사이클>
내부통제의 5개 구성요소는 독립적이지 않고 밀접히 관련되며 상호 영향을 미친다. 내부통제 활동은 일회성이 아닌 지속적으로 반복되는 일련의 프로세스로서 실행되어야 한다. 아래 그림에서 보는 바와 같이 내부통제 구성요소의 상호 작용을 지속적인 경영관리의 가장 일반적인 프로세스라 할 수 있는 PDCA 사이클 내에서 설명할 수 있다. 먼저 계획단계(plan)에서는 조직을 구성하고 조직 목표를 구체화하며 환경변화와 부정위험을 고려한 리스크를 식별・평가하고 적절한 대응방안을 수립한다. 실행단계(do)에서는 통제활동 및 IT 통제활동을 개발하고 업무수행 과정과 통합하여 통제활동을 실행한다. 점검단계(check)에서는 IT를 활용한 자동화된 모니터링 시스템을 활용하는 등 상시모니터링과 독립적 평가를 조합하여 통제활동의 설계 및 운영이 타당한지 계속해서 모니터링한다. 모니터링 결과 드러난 미비점을 분류 및 평가하고 대응책을 검토한다. 이때 감사부서는 기관의 내부통제시스템이 효과적인지 평가 및 검증을 하고 필요시 개선방안을 권고한다. 지속개선단계(action)에서는 수립된 개선방안을 실행하고 이행상황을 정기적으로 보고 또는 공개한다. 아울러 미비점에 대한 개선방안 실행이 기관의 내부통제 기본계획에 환류 되도록 조치하여 PDCA 사이클을 완성한다.
2) 원칙
원칙(principles)은 공공조직이 내부통제시스템을 구축함에 있어 각 구성요소의 효과적인 설계, 운영, 평가에 필수적인 요건에 해당하며 총 17개로 이루어진다. 17개 원칙은 해당 구성요소의 효과적인 설계, 운영, 평가를 지원하게 되며 모든 공공조직에 공통적으로 적용된다. 본 가이드라인에서는 내부통제의 이해와 숙달에 도움을 주기 위하여 내부통제 원칙별로 원칙의 요건이 어떻게 충족될 수 있는지 도식화하여 제시하였다.
3) 세부 원칙
세부 원칙은 5개 구성요소별 17개 원칙을 공공조직에 적용하는데 있어 동 원칙이 효과적으로 충족될 수 있도록 하기 위해 도출된 보다 구체적인 수준의 원칙이다. 즉 17개 원칙을 구현하기 위한 중점 고려사항에 해당하며, 공공조직은 기관의 규모, 업무의 복잡성, 인력 구조, 정보시스템 수준, 업무 프로세스에 요구되는 정밀도 등 공공조직의 운영 상황에 따라 세부 원칙을 적절히 적용할 수 있다.
4) 참고 자료
공공조직의 효과적인 내부통제시스템의 구축 및 실행을 지원하기 위하여 세계감사원장회의(INTOSAI)가 COSO의 내부통제 통합 프레임워크(1992)를 토대로 개발하여 2004년 채택한 “공공부문 내부통제 가이드라인”(INTOSAI GOV 9100)과 미국 감사원의 “미국 연방정부 내부통제기준”(2014, 일명 그린북) 모델을 기초로 국내외 민간 및 공공부문의 내부통제 가이드라인을 다수 참고하여 구성하였다.
다. 내부통제시스템 운영을 위한 주요 역할
내부통제는 공공조직의 기관장을 비롯한 최고관리자(Top management)의 전반적인 관리책임의 일부분으로 최고관리자는 내부통제에 대한 총괄적이고 궁극적인 책임을 진다. 그러나 앞의 내부통제 개념에서 강조했듯이 효과적인 내부통제는 공공조직 내 각 조직구조의 수준에서 모든 소속 직원이 각자의 역할을 충실히 수행할 때 비로소 가능하다. 즉, 공공조직의 기관장을 비롯한 모든 조직 구성원이 내부통제에 일정한 책임을 갖게 되며. 내부통제 관련 적절한 책임 및 책임 완수를 위한 권한의 규정 및 위임은 효과적인 내부통제 실행의 전제조건이 된다. 관리감독기구, 최고관리자, 직원, 내부감사인의 내부통제 관련 일반적 역할은 다음과 같다.
관리감독기구(Oversight Body): 내부통제 관련 기관의 전략적 방향과 책무성 관련 의무사항을 감독, 감시하는 역할을 수행한다. 관리감독기구의 형태는 이사회 또는 이사회와 유사 기능을 수행하는 회의체(예: 감사위원회) 또는 감사책임자 등 공공조직의 거버넌스 관련 규정에 따라 다양할 수 있다.
최고관리자(Top Management): 내부통제시스템의 설계, 적용, 운영의 효과성을 포함한 기관의 모든 활동에 대한 직접적인 책임을 지며, 기능수행에 관한 적절한 감독・유지・문서화 책임이 있다. 최고관리자의 책임은 직제 관련 법규와 조직의 특성, 각자가 맡은 직책 등에 따라 달라질 수 있다.
내부통제 총괄부서(Internal Control Department): 내부통제운영위원회 또는 내부통제 실무위원회(working committee)의 운영을 지원, 기관 전체의 내부통제 운영계획의 수립・보고, 진척도 점검, 기관차원 내부통제 평가결과 취합 및 보고, 내부통제 미비점 공유, 내부통제 교육 등 내부통제 총괄업무를 수행한다. 또한 각 현업부서의 자율평가를 모니터링하고 독립적 평가를 실시한다.
직원(Personnel): 내부통제는 모든 구성원의 직무를 명시적 또는 암묵적으로 제시하는 것이다. 모든 직원은 내부통제의 효과성에 영향을 미치며, 행동강령 위반, 정책과 절차 미 준수, 부정의 징후, 운영상 문제점 등을 최고관리자가 적시에 평가, 대응할 수 있도록 신속하게 최고관리자에게 보고할 의무가 있다.
내부감사인(Internal Auditor): 내부감사인은 독립적인 위치에서 내부통제시스템의 일상적 효과성을 감사하고 필요시 개선방안을 제시하는 역할을 수행한다. 감사기능은 내부통제의 설계, 실행, 유지, 문서화에 대한 일차적 책임은 지지 않는다.
공공조직 외부의 외부감사인과 전문가단체, 국회, 지방의회, 분야별 감독기관 등도 효과적인 내부통제시스템을 구축, 유지하는데 긴요한 역할을 수행한다.
외부감사인(External Auditor): 외부감사인은 정기적 결산감사 또는 수시로 수행하는 기관 베이스 감사를 통해 공공조직의 내부통제시스템의 효과성을 평가하고 개선방안을 제시한다. 외부감사의 효과성 평가는 공공조직의 모니터링에 대한 검토 방식으로 수행될 수 있다. 전문가단체 또는 전문가는 내부통제 관련 이슈에 대해 자문을 제공할 수 있다.
국회와 지방의회: 국민과 지역 주민을 각각 대표하여 공공조직의 임무 달성 및 관련성과에 대한 감독, 감시 역할을 수행하면서 필요시 입법조치를 통해 공공조직 내부통제시스템의 향상을 유도한다. 이를 위해 공공조직으로부터 내부통제 운영성과 및 중대 미비점 등에 관한 보고를 정기적으로 받는다.
분야별 감독기구: 공공조직의 통일되고 높은 품질의 행정서비스 수행을 감독, 지원할 목적으로 인사, 재무, 조달, 보안, 성과관리 등 분야별로 주관기관이 법률로 규정되어 있으며, 관련 지침을 제・개정하고 준수 여부를 모니터링 한다. 정부 전체 차원에서 2선의 역할을 수행한다.
3. 내부통제의 구성요소와 기본원칙
효과적인 내부통제시스템 운영을 위해서는 통제환경, 리스크 평가, 통제활동, 정보 및 의사소통 그리고 모니터링 등 5개 구성요소가 통합적인 방식으로 설계・적용・운영되어야 한다. 내부통제 17원칙은 이를 지원하기 위한 기본 요건이다. 구성요소와 원칙간의 관계는 아래 표와 같다.
