▲ 채수완 딜로이트 안진회계법인 리스크 애널리틱스(Risk Analytics) 리더

■ 내부회계관리제도 강화

외감법(주식회사 등의 외부감사에 관한 법률) 개정에 따라 내부회계관리제도가 현행 검토에서 감사 대상으로 전환된다. 자산규모 2조원 이상 기업은 2019년부터 우선 적용되고, 5,000억원 이상은 2020년, 1,000억원 이상은 2022년부터 적용되며, 2023년부터는 전체 상장기업을 대상으로 적용된다.

정부는 외감법을 개정하면서 기업의 내부회계관리제도 운영을 강화하는 것을 골자로 대표이사가 직접 주주총회, 이사회, 감사 또는 감사위원회에 내부회계관리제도 운영실태를 보고하도록 의무화했다. 그 동안 내부회계관리제도는 경영진과 이사회의 무관심으로 유명무실한 제도라는 지적이 끊임 없이 제기되어 왔다. 그러나, 이번 제도 개선으로 인해 내부회계관리제도에 대한 외부감사인의 인증 수준이 ‘검토’에서 ‘감사’로 전환됨에 따라 내년부터는 내부통제 운영을 설계부터 실질적인 운영까지 강화하지 않으면 감사기준에 부합하지 않을 가능성이 있어 기업들의 철저한 대비가 필요하다.

2002년 미국의 엔론社와 월드콤社의 대형 회계부정 스캔들이 터지면서 기업의 재무 보고에 대한 투자자 신뢰 회복을 위해 그 해 일명 SOX 법이라 불리는 Sarbanes-Oxley Act (사베인즈-옥슬리 법)이 제정되었다. 이 법의 명칭은 법안을 처음 발의한 메릴랜드 주 민주당 상원 의원 폴 사베인즈와 오하이오 주 공화당 하원 의원 마이클 옥슬리, 두 사람의 이름에서 따왔다.

SOX 법은 미국 법률 제정 이래 가장 강력하다는 평가를 받는다. 국내에 2003년 처음 도입된 내부회계관리제도는 미국의 SOX 법에 기초해 재무제표 작성 및 공시를 위한 회계정보의 투명성과 신뢰성을 확보하기 위한 기업의 내부통제 운영을 경영진이 인증하는 제도다. 분식회계는 주주나 이해관계자들에게 잘못된 시그널을 보내 자본주의 시장을 교란할 수 있다. 따라서 회계 투명성 확보를 위한 경영진의 의지를 제도화하여 기업 내부에 정착시키기 위한 것이 내부회계관리제도다.

■ 내부통제와 IT

내부통제는 경영진의 확고한 의지와 철학이 반영된 정책에서 출발해 각 현업부서별 업무규정과 업무 프로세스에 녹여져야 한다. 내부통제가 적절히 설계되었다면 그 것을 운영하기 위한 인력과 인프라가 갖춰져야 한다. 대부분의 업무가 IT를 통해 처리되기 때문에 효과적인 내부통제 운영을 위해서는 IT의 지원을 받아야 한다. 특히, 이번에 개정되는 내부회계관리제도 설계 및 운영 모범규준에 따르면 전사수준의 통제뿐만 아니라 IT에 대한 통제가 강화되었다.

IT 관점에서 보면 기업 재무제표 작성에 관련된 대부분의 주요 업무가 IT시스템에 의존하기 때문에 IT일반환경에 대한 통제뿐만 아니라 업무 프로세스 관련하여 IT에 의한 자동화된 통제를 적극적으로 식별하고 주기적으로 운영 테스트를 수행해야 한다. 추가로 대량의 데이터를 분석하여 내부통제의 객관성 및 효과성을 확보하기 위한 상시모니터링 체계를 갖추기 위해 IT를 활용하는 것을 권고하고 있다.

IT에 대한 내부통제를 검토하는 이유는 잘못된 데이터 처리, 데이터 위조 및 변조, 비인가된 프로그램의 실행, 업무분장에 따르지 아니한 부적절한 권한부여, 임의의 프로그램 수정, 데이터 유실 등의 위험에 노출될 경우 파급효과가 매우 크기 때문이다. 따라서 이러한 위험에 대응하여 내부통제가 적절히 설계 및 운영되고 있는지 검토하는 것이 필요하다.

■ 스마트한 내부통제를 위한 IT 활용

미국 하버드대학교의 마이클 포터 교수가 제안한 모델로 기업활동에서 부가가치가 생성되는 과정을 의미하는 가치사슬(Value Chain)에서 보면 IT는 주활동(Primary Activities)가 아닌 지원활동(Support Activities)에 해당한다. 그러나 주활동에 해당되는 생산, 물류, 마케팅, 판매, 운송, 서비스 등의 모든 활동이 IT에 의해 처리되고 하루에도 대량의 데이터가 생산되고 이해관계자들은 그 데이터를 기반으로 거래를 하고 업무를 처리한다. 당연히 재무제표 작성에 이르는 과정에 IT의 역할이 클 수 밖에 없다.

최근 중국 알리바바 CEO에서 물러난다고 선언한 ‘마윈’뿐만 아니라 많은 미래학자, 글로벌 컨설팅 기업들이 4차 산업혁명 시대에 기업활동의 근간은 ‘돈’이 아닌 ‘데이터’가 될 것이라는 주장을 하고 있다. 거래의 투명성을 높이기 위한 수단으로 ‘블록체인’ 기술 활용이 적극 논의되고 있고, 이미 도입하고 있는 기업들이 있는 것을 보면 전혀 틀린 말은 아니다.

향후 수년 내에 기업 내부통제에서 IT환경 통제를 넘어 데이터 자체에 대한 통제 환경을 적극 검토하게 될 날이 멀지 않았다. 그러한 준비를 위해서는 데이터 거버넌스 체계 수립부터 데이터 애널리틱스를 총괄하는 ‘CDO(최고 데이터 책임자)’ 또는 ‘CAO(최고 애널리틱스 책임자)’ 도입이 필요하고, 상시적으로 데이터를 분석하여 내부통제에 위배되는 이상징후를 적시에 포착하여 조치할 수 있는 IT를 활용한 스마트한 내부통제 체계 구축이 필요하다.

내부통제의 기본으로는 업무분장, 승인체계, 사후검토, 문서화 등을 들 수 있다. 그러나 비정상적인 거래, 업무처리 등은 적시에 인지하고 조치하는 것이 중요한 만큼 데이터 분석을 통해 내부통제 수준을 향상시킬 수 있다. 종종 공공기관의 부적절한 법인카드 사용 적발에 대한 기사를 언론을 통해 볼 수 있다. 만일 비용지급과 법인카드 모니터링을 위한 시나리오 설계, IT를 활용한 분석 체계를 수립한다면 보다 쉽고 빠르게 확인해 통제할 수 있다.

‘소 잃고 외양간 고친다’는 우리 속담이 있다. 내부통제는 스스로 리스크 대응 활동을 하고, 적극적으로 적시에 인지하여 미비한 부분을 고쳐나가도록 하기 위해 구축하는 것이다. 그런 의미에서 IT는 스마트한 내부통제를 위한 훌륭한 도구가 될 수 있으며, 데이터를 분석 역량은 기업이 내부통제 활동을 해나가는데 없어서는 안될 중요한 요소라 할 수 있다. <채수완 딜로이트 안진회계법인 리스크 애널리틱스(Risk Analytics) 리더>


저작권자 © 일간투데이 무단전재 및 재배포 금지