2024년 12월 「내부회계관리제도 평가 및 보고 가이드라인」이 개정되면서,
운영실태보고서에 횡령 등 자금 부정을 예방·적발하기 위한 통제활동을 공시하도록 의무화되었습니다.

자산 1천억원 이상 상장회사는 2025 사업연도부터 이미 적용하여 올해 3월 사업보고서에 공시를 완료하였습니다.
자산 1천억원 미만 상장회사와 대형 비상장회사(비금융)는 2026 사업연도부터 적용됩니다.

이 글에서는 새롭게 공시 대상이 되는 회사의 실무자를 위해, 가이드라인과 금감원 참고자료(작성사례, FAQ)를 기반으로 공시 서식의 구조와 작성 원칙을 정리하고, 실무 준비 시 참고할 수 있는 사항을 안내합니다.

■ 공시 서식의 구조
운영실태보고서 붙임 서식은 통제활동을 3가지로 구분하여 기재합니다.
— 전사적 수준 통제 (의무): 자금 관련 부정위험을 예방 또는 적발하는 데 관련된 전사적 수준의 통제
— 자금통제 (의무, 직접 관련된 핵심통제에 한함): 입출금 계좌관리, 입출금 관리, 수표관리, 법인카드관리 등
— 기타 업무 수준 통제 (선택): 자금통제 외 자금 부정 예방·적발에 직접 관련된 핵심통제

각 구분별로 회사가 수행한 통제활동과 설계·운영 실태 점검 결과(수행부서, 수행 시기 등)를 기재합니다. 통제수행자와 통제항목은 반드시 명시적으로 기술해야 합니다.

■ 어떤 통제를 포함하고, 어떤 통제를 제외하는가
금감원 FAQ에서는 공시 대상 통제를 선별하기 위한 판단기준을 다음과 같이 제시하고 있습니다.

① 자금 관련 부정위험을 예방하거나 적발하기 위한 통제인가?
자금 부정이 아닌 단순 오류를 방지하는 통제(예: 지급이자 재계산)나 재무보고 부정을 방지하는 통제(예: 차입금 유동성대체 승인)는 제외를 고려합니다. 반면, 차입 시 승인 통제처럼 자금 부정과 직접 관련된 통제는 포함을 고려합니다.

② 해당 통제가 없을 때, 어떤 자금 부정이 발생할 수 있는지 구체적으로 식별되는가?
통제가 없더라도 자금 부정이 발생하지 않을 수 있다면 제외를 고려합니다(예: 자금조달 시 담보제공내역 승인 통제). 반면, 일별 통장 잔고와 시스템 내 잔액 간 대사를 수행하지 않으면 자금 부정이 발생할 가능성이 있으므로 포함을 고려합니다.

③ 해당 통제가 없을 때, 자금 부정의 발생 가능성이 실질적으로 존재하는가?
②에서 부정 유형이 식별되더라도, 거래가 소액이고 다른 보완통제가 존재하여 실질적인 부정 발생 가능성이 낮다면 제외를 고려합니다.

■ 구분별 통제활동 예시
금감원 작성사례에서 제시한 주요 통제활동을 구분별로 정리하면 다음과 같습니다.

전사적 수준 통제
— 부정 방지 제도 운영: 내부고발자제도(익명제보채널), 부정 방지 및 모니터링 프로그램 운영
— 부정위험 평가: 잠재적 부정위험에 대한 식별 및 평가를 최신화하고 통제에 반영
— 업무분장 현황 관리: 통제활동 설계 시 업무분장 및 접근권한(제한)을 고려
— 이상거래 모니터링: 정상거래로 보기 어려운 거래를 자동적으로 검토하는 시스템 운영
※ 윤리강령 등 선언적 통제는 제외합니다(금감원 FAQ).

자금통제
— 계좌 등록/변경 승인, 계좌 현황 관리, 계좌 완전성 검토
— 인감 사용통제, 자금 집행 제한(펌뱅킹)
— 자금 집행 검토 및 전표 승인 업무분장
— 일일자금 입출금내역 관리(일마감 대사)
— 자금 조달 검토, 채권·채무조정 검토
— Vendor Master 생성·변경 검토

기타 업무 수준 통제
— 거래처 Master 생성·변경 검토 (가공 거래처 등록을 통한 횡령 방지)
— 실사를 통한 재고수량 확정
— 판매 재고 출고 제한 (등록 거래처로만 출고)

■ 작성 시 유의사항
통합·요약 기재가 원칙입니다. 공시대상 통제들을 단순 열거하는 것이 아니라, 정보이용자가 핵심 내용을 파악할 수 있도록 유사한 성격의 통제는 통합 기재하고 차이항목을 구분 기재합니다.

설계·운영 점검 결과의 수행 시기는 각 단계 평가를 완료한 시점이 속한 월을 기재합니다.

중요한 취약점 판단 시, 특정 통제에서 미비점이 발견되더라도 보완통제의 효과를 고려하여 유의한 미비점으로 평가된 경우에는 '중요한 취약점이 발견되지 않음'으로 기재합니다. 다만, 공시대상 자금통제의 미비점이 다른 통제 미비점과 결합하여 중요한 취약점으로 평가된 경우에는 그 사실과 시정조치 계획을 기재해야 합니다.

감사(위원회) 평가보고서 붙임에도 자금 관련 부정위험에 대한 감사인과의 의사소통 내역(대면 협의 일자, 참석자, 주요 논의내용)을 기재해야 합니다.

■ 실무 준비 시 참고사항
2026 사업연도 공시를 앞두고 실무적으로 참고할 수 있는 사항을 정리하면 다음과 같습니다.

1. 자금 관련 통제의 현황 파악 및 문서화: 계좌 승인, 인감 관리, 자금 집행 검토 등의 통제는 대부분의 회사에서 이미 운영되고 있으나, 통제기술서에 통제수행자·수행빈도·통제방법이 명시적으로 기재되어 있지 않은 경우가 있습니다. 공시 서식에는 통제수행자와 통제항목을 명시적으로 기술해야 하므로(가이드라인 주기*2), 현재 운영 중인 자금 관련 통제를 빠짐없이 파악하고 통제기술서에 반영하는 것이 선행되어야 합니다.

2. 공시 대상 통제의 선별 및 판단 근거의 문서화: 위 판단기준 3가지에 따라 자금 관련 부정위험과 직접 관련된 핵심통제만 포함하고, 오류위험이나 재무보고 부정 목적의 통제는 제외합니다. 이때 각 통제를 포함하거나 제외한 판단 근거를 문서화해 두면, 외부감사인과의 협의 시에도 논의의 출발점이 됩니다. 금감원 FAQ(Q2)에서 제시한 포함·제외 예시를 참고하여 자사의 상황에 맞게 적용할 수 있습니다.

3. 선별된 통제에 대한 설계·운영 효과성 테스트: 공시 서식에 설계·운영 실태 점검 결과를 기재해야 하므로(가이드라인 주기*3), 해당 통제에 대한 테스트를 실시하지 않으면 점검 결과를 기재할 수 없습니다. 통제의 수행빈도에 따른 테스트 표본 수는 가이드라인 문단 45의 모집단별 테스트 표본 수 예시를 참고할 수 있습니다.

4. 외부감사인과의 사전 협의: 공시 대상 통제의 범위, 핵심통제 선정 기준, 테스트 방법 등에 대해 감사인과 사전에 논의하면 공시 과정에서의 이견을 줄일 수 있습니다. 감사(위원회) 평가보고서 붙임에도 자금 관련 부정위험에 대한 감사인과의 의사소통 내역을 기재하도록 되어 있으므로(가이드라인 별첨2), 이 협의 과정 자체가 공시에 반영되는 사항입니다.

5. 기존 적용 대상 회사의 공시 사례 확인: 자산 1천억원 이상 상장회사는 2025 사업연도부터 이미 동일한 서식으로 공시하고 있으며, 해당 사업보고서는 DART에서 확인할 수 있습니다. 동종 업종 회사가 어떤 통제를 어떤 수준으로 기재했는지 참고하면 작성 방향을 잡는 데 도움이 됩니다.

개별 기업의 상황에 따라 적용 방법이 상이할 수 있으므로, 구체적인 대응 방안은 전문 회계사와 협의하시기 바랍니다.

출처:
— 금융감독원, 「내부회계관리제도 평가 및 보고 가이드라인」(2024.12.23. 개정)
— 금융감독원 회계감독국, 「횡령 등 자금 부정을 예방·적발하기 위한 통제활동의 공시 서식 예시 개정본 및 참고자료(작성 사례, FAQ)」(2024.11.4.)

작성: 차승렬 (미국공인회계사)
srcha@hanseo.co.kr