GRC 指向 e-감사 에센스(Essence)_ 김려성(소프트꼬레아 저자)

[김려성]

IT 감사 - GRC(Governance Risk management Compliance) 指向

‘e-감사’에센스(Essence)

副題 : 어떤 사항을 고려한‘e-감사’를 선택하여야 할까?

2008. 11. 감사저널에 게재,

김려성 소프트꼬레아 저자

2008년 9월25일 세계 4위의 투자은행 '리먼 브러더스' 는 회생신청을 냈고, 미국 최대 증권사인 '메릴린치'는 미국 최대 은행인 '뱅크 오브 아메리카(BOA)'에 매각되었다. 세계 최대 보험회사인 'AIG'도 미국 연방 준비제도 이사회(FRB)에 850억 달러의 긴급자금을 지원받았다. 최근 세계자본시장을 불안에 몰아넣고 있는 미국의 "서브 프라임 모기지"발 금융위기의 재발방지를 위한 대책에 대해 많은 논란이 일고 있다. 이번 달에는 GRC 지향적 ‘감사지식 정보검색, 상시 모니터링 및 감사실무 집행지원시스템’ (이를 ‘e-감사’라고 한다)의 정수(精髓 Essence)에 대해서 알아보자.

감사환경의 변화

내부감사는 회계(會計)감사에서 생산·영업·노무·금융 등의 업무로 감사영역이 확장되고 있다. 외부적 환경요인인 SOX법, 국제회계기준, 신BIS협약(바젤Ⅱ), 자금세탁방지(AML) 등의 규정을 적용하여야 하며, 내부적으로는 통제자체평가(CSA)를 실시하는 등 점차 기업지배구조를 개선하는 거버넌스(Governance) 실시, 새로운 수법의 금융범죄 증가에 대비한 준거성(Compliance) 보증, 위험요인의 증가와 다양화로 인해 전사적인 리스크(Risk)관리의 범위가 확대되고 있다. 따라서 기업의 투명성 확보를 위한 준거성 보증, 거버넌스(Governance), 리스크 관리비용이 점차 증가되고 있어서 이의 해결책으로 GRC 指向的 (GRC-oriented) ‘e-감사’에 대한 관심이 높아지고 있다.

‘e-감사’란 무엇인가?

감사실에서 현재 사용하고 있는 정보시스템은 보통 감사정보시스템(AIS)이라고 하는데 통상 중앙 집중형 처리방식(mainframe)으로 감사실무처리의 효율성에 초점을 맞추어 개발한 프로그램들이다. 그런데 본고의‘e-감사’는 첫째로 실시간 모니터링으로 지속적인 예방(豫防)감사를 실시하며, 둘째는 이해 당사자에게 자문(consulting)감사의 증적(證迹)을 제공하여 기업의 프로세스 개선을 유도하고, 셋째로는 조직의 정책결정을 위한 정보제공 등으로 전략(戰略)감사를 실현하는 것을 말한다. 그리고 ‘e-감사’는 감사실 직원뿐만 아니라 기업 내외부 이해당사자가 인터넷에서 언제 어디서나 접근이 가능한 유비쿼터스(Ubiquitous)환경을 지향한다.

감사기능은 어떻게 달라지나?

감사기능은 과거와 달리 부정 적발감사 중심에서 비즈니스 중심으로 변화하여 경영진을 견제하는 역할에서 전략적 파트너로 역할이 바뀌고 있으며, 회계처리 후 적발감사에서 업무 프로세스 과정 중 사전 예방, 교정 및 자문 감사로 변화되고 있다. 이는 내부 감사자가 과거의 부패조사 및 처벌감사자에서 미래 지향적 컨설턴트 역할인 윤리경영의 보증(Assurance) 주체로 변화하고 있으며, 거버넌스(Governance) 실시, 신규로 제정된 법규와 제도의 준거성(Compliance) 확보 및 전사적인 리스크관리의 동반자로서 ‘e-감사’ 자체의 가용성과 신뢰성 확보 및 효율성 제고가 필요한 시점(時點)이다.

‘e-감사’ 는 왜 필요한가?

내부감사 프로세스 및 역할 변화에 따라 사전에 위험을 탐색하고 예방하는 ①사전경고 시스템 구축과 상시 모니터링(Monitoring)을 활용한 효율적인 ②위험관리와 ③상시감사체제 그리고 감사절차의 자동화로 ④감사정보의 지식관리(knowledge based-system)가 가능한 내부 통제체계 수립과 새로운 체제에 적합한 ⑤변화관리와 ⑥감사업무의 정형화(定型化)가 필요하다. 이러한 정보시스템 구현은 ⑦내부 감사인력 및 조직의 효율성을 강화하고 기업에는 효과적인 ⑧리스크관리와 ⑨준거성 확보가 가능하며, 그리고 대외적으로는 주주와 이해 관계자 및 외부 감사기관에 대해 ⑩투명성(透明性)을 제고한다.

SOX 법률에 의한 내부통제 강화

2001년 엔론(Enron)을 비롯한 미국의 대기업의 잇단 회계 부정과 스캔들이 발생하여, 이러한 부정재발을 방지하기 위해 미국의 사베인-옥슬리(Sarbanes-Oxley)가 제안하여 2002년 7월에 제정된 기업회계 개혁법이 SOX법률이다. 미국의 '사베인-옥슬리법' 은 내부통제시스템이 제대로 작동하는지 외부감사인의 평가서를 제출토록 한다. 상장기업들이 투명한 회계처리를 위해 회계관리시스템을 스스로 점검토록 하며, 외부감사인은 재무제표는 물론 회계관리시스템 감사결과도 공시토록 했다. 아울러 기업의 이사회가 기업지배구조와 자산 활용현황도 세세하게 명시토록 하며, 미승인 자산 취득・사용・처분・예방 및 적발 체계 등을 갖추도록 제정되었다.

우리나라는 외감법과 증권거래법을 개정하여 내부회계관리제도 및 공시제도를 강화하고, 공인회계사법을 개정하여 외부감사인의 비(非)감사 서비스를 금지하는 등 독립성을 강화하고, 내부회계관리제도의 모범규준을 도입하였다. 아울러 실질 지배력 기준에 의하여 관계회사 및 투자 대상의 성과를 지배회사의 성과에 반영하도록 회계기준을 강화한 바 있다. 내부회계관리제도의 모범규준은 설계/운영/평가/보고의 기본원칙을 제시하고, 회사의 규모, 관련비용 및 편익을 고려하여 합리적인 수준에서 규준 내용을 조정이 가능토록 하였다.

국제재무보고기준 (IFRS International Financial Reporting Standards)

기업의 회계 처리와 재무제표에 대한 국제적 통일성을 높이기 위해 국제회계기준위원회(IASC International Accounting Standards Committee)에서 마련해 공표하는 회계기준이며, 국제회계기준 또는 국제재무보고기준이라고도 한다. 재무제표의 작성 절차, 공시 시스템, 재무 정보 시스템, 경영성과 지표, 경영 의사결정 등 기업의 전반적인 재무 보고 시스템과 회계 및 자본 시장의 감독 법규, 실무 등에 대한 국제적 기준을 규정한 IFRS는 IASC가 마련한 국제회계기준(IAS International Accounting Standards)을 2003년부터 확대한 것으로 세계 증권시장과 투자자들이 일반적으로 사용하는 회계기준이 되었다.

국제회계기준위원회(IASC)는 세계 각국의 회계 전문가들이 1973년 런던에서 설립한 민간단체로 상임위원 12명과 비상임위원 2명으로 구성된 국제회계기준이사회(IASB International Accounting Standards Board)에서 관장한다. 2000년 5월 국제증권감독위원회(IOSCO)가 IASC에서 규정한 회계기준을 전 세계적인 단일 기준으로 채택할 것을 만장일치로 의결한 뒤, 이 기준을 도입하는 것이 세계적인 추세다. 한국에서도 2007년 3월 15일 국제회계기준 도입 로드맵을 발표하고, 2009년부터 2011년까지 순차적으로 국내 상장기업에 도입하기로 하였다.

신BIS협약(바젤Ⅱ)

기존의 은행건전성 기준인 BIS비율을 강화한 새로운 BIS협약이다. 국제결제은행(BIS Bank for International Settlement) 바젤위원회가 2006년 말부터 시행한 금융기관 자산건전성 규제기준을 담은 자기자본규제협약이다. 국제결제은행의 바젤위원회는 지난 80년대 선진은행들의 중남미에 대한 부실채권이 늘어나면서 국제금융의 안정성이 문제시 되자 1988년 은행의 자기자본비율(BIS)기준을 설정했다. 그러나 금융환경의 급격한 변화로 기존 BIS비율로는 금융기관 재무상태의 적정성을 평가하는데 한계가 드러남에 따라 BIS 바젤은행감독위원회가 1999년부터 새로운 협약 마련을 추진하여 2004년 6월 최종안을 확정지었으며, 2006년 말부터 시행하고, 우리나라에서는 국내에서 영업하는 모든 은행을 대상으로 2007년 말부터 시행하고 있다.

1988년 제정된 BIS협약은 금융기관 보유자산의 '신용리스크'에 따라 일정수준(8%)의 자기자본 보유를 의무화하는 것이었다. 즉 금융기관의 보유자산을 신용리스크의 정도에 따라 몇 개의 그룹으로 분류하고 그룹별로 각각 다른 가중치를 적용함으로써 리스크의 크기에 따라 조정된 금융기관 전체의 위험가중자산 규모를 산출하는 것이었다. 우리나라에서도 신용리스크에 대해서만 규제하다가 2002년 1월부터 시장리스크를 감안한 새로운 자기자본비율 기준을 적용하고 있다. 그리고 2006년 말부터 시행된 신BIS협약에는 신용리스크 적용 시 국가, 은행 및 기업에 대한 위험가중치를 더욱 세분화하고 여기에 운영리스크에 해당하는 자기자본을 확충토록 하는 내용을 추가했다.

자금세탁방지(AML Anti-Money Laundering)

국제자금세탁방지기구(FATF)는 1989년 G7 정상회의에서 금융기관을 이용한 자금세탁에 대처하기 위해 태스크포스로 출범했으며, 미국, 영국, 중국, 일본 등 32개 국가와 유럽위원회(EC), 걸프지역 주요 6개국(GCC) 등 2개 국제기구가 참여하고 있다. 우리나라는 2006년 10월 총회부터 참여중이며, 2009년 중 정식회원가입 절차를 마무리하는 것을 목표로 활동하고 있다.

이 기구에 가입하기 위해서는 2년 이상의 옵서버 기간을 거쳐 회원국 가입여부가 결정된다. 한국은 2006년 10월에 옵서버로 참여했고, 정회원 가입의 가장 큰 걸림돌 이었던 2007년 12월 공표된 ‘공중협박자금조달 금지법’이 1년의 유예기간을 거쳐 2008년 12월 22일 시행될 예정이다. 따라서 정부가 2009년 정회원 가입을 추진하고 있는 상황이기에 금융기관도 자금세탁방지(AML)시스템 구축이 필요한 시점이다.

국내 자금세탁방지체계는 자금세탁 및 공중협박자금조달방지 관련법은 `특정금융거래정보의 보고 및 이용 등에 관한 법률' `마약류 불법거래방지에 관한 특례법' 등 4종류가 있다. 또 자금세탁 또는 탈세목적 혐의 거래로서 원화 2000만원, 외화 1만 달러이상인 경우 금융기관 등이 금융정보분석원장에게 의무적으로 보고해야 하는 `혐의거래보고제도'를 채택하고 있다. 이 외에 2009년 12월 22일부터 금융기관은 공중 등 협박 목적을 위한 자금조달행위의 의심이 있는 경우에도 금융정보분석원(FIU)에 혐의거래를 의무적으로 보고해야 한다.

내부통제 자체평가(CSA Control Self-Assessment) 연계

전통적인 단위거래 중심의 감사에서 타 업무와 연계된 감사로 감사자가 참여형 변화 촉진자로 변화되고 있다. CSA는 내부감사 분야에 가치를 부가하는 기법으로 주요 사업목표와 그 목표 달성에 내재된 리스크들을 관리하기 위해 고안된 방법론이다. 운영담당직원이 평가의 주체가 됨으로써 통제에 대한 인식을 제고하고, 조직 목표를 달성하는 데 있어서 내부통제에 필요한 정보를 만들어 내는 유용한 프로세스다. 광의로 보면 기회와 위험, 강점과 취약점, 회사의 목표 달성 여부를 검증하는 시스템에 대한 전반적인 효과성 검토를 포함한다.

GRC (Governance Risk management Compliance)

1999년 경제협력개발기구 (OECD Organization for Economic Cooperation and Development)에 의해 출판된 OECD 기업지배구조 원칙에 따르면 기업의 거버넌스(Governance)는 ‘수립된 조직 목표가 달성되도록 조직 목표 수립과 성과 모니터링의 구조를 제공하는 것’이라고 한다. 기업의 지배구조와 IT 거버넌스(Governance)는 밀접한 관계를 갖는다. ITGI(IT Governance Institute)에 따르면 ‘IT 거버넌스란 이사회나 경영진의 책임 아래 수행되는 기업 지배구조의 일부로 IT가 조직의 전략과 목표를 유지하고 확장할 수 있는 리더 쉽, 조직구조, 프로세스’ 라고 정의한다.

리스크관리를 지향하는 내부감사정보체계는 사고 위험을 미연에 방지할 수 있는 시스템을 고려하여야 한다. 이는 내부 직원의 부정행위 및 오류를 조기에 발견하여 사고동기를 사전에 억제하고 위험을 미연에 방지하여 업무의 투명성을 높인다. 내부통제를 강화하고 기업의 지배구조를 개선하며 지속적으로 업무 프로세스를 개선한다. 그리고 감사업무를 표준화하고 자동화를 통해서 감사업무의 효율성을 증대하고 이해당사자 및 외부 감독기관에게 해당기관의 신뢰성(信賴性)을 제고한다.

기업을 운영하려면 내외부적으로 반드시 지켜야 하는 법적 규제 사항이나 지침이 있다. IT 준거성(Compliance) 강화는 기업의 위험 관리와 투명성 확보를 위해 정부나 관련 기관들이 강제 사항으로 규정하는 각종 규제 법안의 요건들을 만족시킬 수 있도록 준비하고 관련 시스템을 재정비하는 것을 의미한다. 기업과 정부의 환경이 정보화로 변화되면서 최근 부각되는 IT 이슈 중 하나로, 전자 문서를 통한 회계 작성 준칙이나 원본 문서 보관 의무 등 기업 회계와 경영의 투명성을 높이기 위한 IT 관련법, 제도 등이 등장하고 있는데 이것들을 모두 컴플라이언스라고 통칭한다. 단기적으로는 기업의 투명성을 높이고, 투자자의 권리 보호, 금융 시장의 안정화 등을 이룰 수 있으며, 장기적으로는 국제 경쟁력 향상 등의 효과가 예상된다.

IT Governance 중점영역

①전략적인 연계(Strategic alignment)

기업전략과 목표달성에 부합된 IT투자를 통해 비즈니스 가치를 제고시킨다. 우선적으로 최고경영진이 IT의 전략적 중요성에 대해 인식해야 하며, IT가 비즈니스적 관점에 입각하여 추구해야 할 가치를 명확하게 정의해야 한다. 즉 비즈니스 계획과 IT계획의 결합을 말한다.

②가치제공(Value delivery)

IT투자, 아웃소싱 및 시스템에 대한 효율성 제고 검토 및 개선방안을 수립한다. IT의 가치에 대한 서비스 수준을 향상시키기 위하여 아웃소싱 대상 영역을 정의한다. 전략적인 측면에서 기업의 경영전략과 IT전략과 연계된 형태로의 IT 아웃소싱을 검토한다.

③자원관리(Resource management)

IT자원의 최적화된 투자, 사용, 할당을 통해 IT자원의 효율성을 극대화하고 비용을 최적화하고, IT 총비용에 대한 관리체계 및 예산을 기획, 수립, 집행, 사후관리체계 수립과 개별 프로젝트/투자건별 전체적인 관점에서 포트폴리오를 구성하고 관리한다.

④위험관리(Risk management)

내부통제 프레임웍을 정의하고, 리스크를 세분화 및 프로세스/업무별 리스크를 정의한다. 내부감사 자료와 전문가의 의견을 반영한 프로세스별 통제활동 및 평가기준을 수립하고, 전사와 프로세스별 정보시스템 통제 평가 기준을 수립하여 내부통제시스템 평가 및 보고시스템을 설계한다.

⑤성과측정(Performance management)

IT Governance 관점에서의 성과관리는 전략이행, 프로젝트 완수, 비용 확인, 프로세스 성과, 서비스 전달, 품질, 이용 등을 추적하고 감독한다. IT의 가치를 측정함으로써 비즈니스 성과에 IT가 기여하는 정도를 측정하고, 문제점 및 취약점을 파악하여 지속적인 개선활동을 수행함으로써 IT 성과를 극대화 한다는 목적이다.

COSO 의 ERM (Enterprise Risk Management) 구조는?

국제적인 표준모델(COSO)을 적용한 전사적 리스크 관리(ERM)의 구조는 다음과 같다.

①통제환경은 조직구조와 규율을 제공함으로써 다른 모든 내부통제 구성요소의 기반이 된다. 경영진의 철학과 경영스타일, 이사회 및 감사위원회의 내부통제시스템 운영에 관한 관심 정도와 방침에 따라 내부정책과 절차 그리고 권한과 책임이 명확해 진다.

②주어진 목표를 달성하기 위한 자산운용 또는 업무 수행 과정에서 발생하는 모든 리스크를 식별∙평가함으로써 경영 의사결정의 기반을 형성한다. 현재 여러 가지 경제적, 법률적 그리고 산업구조 속에서 지속적으로 변화하는 관련 리스크를 식별∙판단할 수 있는 평가구조도 적용된다.

③통제활동은 경영진의 지시 이행을 뒷받침하는 규정과 절차들을 말하며 조직의 목적 달성을 위해 리스크를 통제하는데 필요한 조치들이다. 이러한 통제활동은 조직의 모든 구성요소와 구조단계(Level)와 기능에서 시행되어 진다. 구성요소로서는 승인, 권한부여, 검증, 대사, 운영 성과 검토, 자산보호, 직무분리 등이다.

④정보와 의사소통(Communication)은 주어진 목표를 달성하기 위해서 구성원이 담당직무를 수행하려면 적절한 정보가 필요한 시간에 제공되어야 하며 이러한 정보는 식별, 수집, 분류, 분석되어 보고되어야 한다. 원활한 내부통제의 운용을 위해서는 조직 전체에 걸쳐 상하, 좌우 그리고 적극적으로 참여하는 자세의 의사소통이 필요하다.

⑤모니터링(Monitoring)은 적정한 사람이 내부통제 설계와 운영에 대해 적절한 주기로 평가하고 필요한 조치를 취하는 프로세스가 모니터링이다. 모니터링 방법으로는 상시활동, 독립평가 활동, 자체평가, 외부감사 등이 있다.

CoBIT에서 정의하는 IT자원

IT Governance연구소(ITGI)의 CoBIT(Control Objectives for Information and related Technology)에 따르면 정보서비스를 제공하기 위한 IT 자원을 다음과 분류하고 있다. ①자료(Data)는 외부 및 내부 데이터를 포함한 가장 광범위한 자료로서 구조적 데이터 및 비구조적 데이터, 그래픽, 사운드 등을 포함한다. ②응용(Application)은 수작업 절차와 프로그램된 절차를 모두 포함한다. ③인프라(Infra-structure)는 응용의 처리를 가능하게 해 주는 기술과 하드웨어, 운영체제, 데이터베이스 관리시스템, 네트워킹, 멀티미디어 등을 포함한 시설이다. ④인력(People)은 정보시스템 및 서비스를 계획, 조직화, 도입, 운영, 지원, 모니터, 아웃소싱하거나 계약직 등을 포함한 인력으로 작업 기술, 인식, 생산성 등을 포함한다.

CoBIT의 정보시스템 평가기준

①효과성(Effectiveness) : 정보가 업무 프로세스와 관련된 정도와, 정보가 필요한 시기에 정확하고 일관성 있고 사용 가능한 형태로 제공되는 정도를 나타낸다.

②효율성(Efficiency) : 정보를 제공해 주기 위해서 자원을 가장 생산적이고 경제적으로 사용하는 정도를 의미한다.

③기밀성(Confidentiality) : 기밀을 요하는 정보를 불법 접근 및 유출로부터 보호하는 정도를 나타낸다.

④무결성(Integrity) : 정보의 정확성 및 완전성, 사업 가치와 기대수준에 부합되는 타당성을 말한다.

⑤가용성(Availability) : 현재와 미래에 업무 프로세스를 수행하면서 필요한 때에 정보가 가용한 정도를 의미하며, 필요한 자원과 관련된 기능을 보호하는 것과도 관련이 있다.

⑥준거성(Compliance) : 업무 프로세스를 수행하는 과정에서 준수해야 하는 법률, 규정 및 계약 등과 같은 외부 요구사항을 준수하는 정도를 나타낸다.

⑦신뢰성(Reliability) : 경영자들이 조직을 운영하고 재무 및 준수 보고 의무를 수행하는데 필요한 적절한 정보를 제공하는 정도를 말한다.

GRC 指向的 ‘e-감사’로

국제 금융질서 등 경제사회 환경이 혼란할수록 우리는 기본 원칙에 충실하여야 한다. 과거 적법성 등 적발 위주의 감사가 외부적 환경요인인 SOX법, 국제회계기준, 바젤Ⅱ, 자금세탁방지 등을 적용하여야 하며, 내부적으로는 통제자체평가(CSA)를 실시하는 등 점차 기업지배구조를 개선하는 거버넌스(Governance) 실시, 금융범죄 증가에 대비한 준거성 보증(Assurance), 전사적인 리스크(Risk)관리 지원 등으로 확대되고 있어서 GRC 指向的 감사기능이 절실히 요구되고 있다. 이제 기업의 감사실에서는 내외부적인 환경변화를 적절히 고려한‘e-감사’를 신중히 선택할 때다.<끝>