[데이터넷] 민간 기업, 지자체, 금융권을 막론하고 횡령 사고가 빈번하게 발생하면서 허술한 내부통제 현황이 여실히 드러나고 있다. 이를 방지하려면 적발 장치를 마련하는 것보다 예방 장치를 마련해 리스크 발생 가능성을 줄이는 것이 우선시되며, 효과적인 내부통제 체계 구축을 위해 IT 기반 거버넌스·솔루션 도입을 고민할 필요가 있다. 

횡령 등 회계부정 사건이 연일 보도되고 있다. 횡령 사고가 발생한 기업의 규모와 분야도 특정할 수 없을 정도로 다양하다. 내부통제 관련 감시 체계가 가장 촘촘할 것 같았던 금융권조차 횡령의 덫을 피해가지 못했다. 우리은행의 614억원 횡령 사건을 비롯해 KB저축은행, 새마을금고, 신한은행 등의 직원 횡령이 드러났다.

지방자치단체에서도 115억원 상당의 대규모 횡령이 적발됐다. 해당 직원은 공문을 통해 기금 관리용 계좌가 아닌 자신이 관리하는 부서 업무용 계좌로 기금을 입금 받은 후, 15개월간 여러 번에 걸쳐 자신의 개인 계좌로 이체했다.

중견기업과 대기업에서도 잇단 횡령 사건이 발생했다. 자동차 부품 회사인 계양전기에서는 재무팀 직원이 구매 장부 조작, 재무제표 위조 등의 수법으로 6년에 걸쳐 245억원을 횡령했다. 해당 직원이 담당하는 업무와 관련이 없는 권한을 보유했으며, 이를 통제할 수 있는 장치 또한 부재했기 때문에 발생한 것으로 보인다.

화장품 업계 최대 규모 기업인 아모레퍼시픽에서는 3명의 영업 담당 직원이 대금 착복, 허위 견적서 및 세금계산서 발행을 통해 35억원을 가로챘다.

금융감독원에 따르면 2017년부터 올해 5월까지 금융권에서 횡령을 한 임직원은 174명이었으며 총 횡령 규모는 약 1091억원을 기록했다. 2021년의 연간 횡령 금액은 약 152억원이었으나 올해는 5월 중순까지의 횡령 금액만 합쳐도 무려 687억원에 달한다. 더 이상 개인의 일탈로만 치부할 수 없을 만큼 내부통제의 허점이 여실히 드러나고 있는 것이다.

부정행위 동향
국제부정행위조사관협회(ACFE)의 최근 보고서(Occupational Fraud 2022: A Report to the nations)에서는 부정(Fraud)을 ‘사적인 부를 도모하기 위해 자신의 업무를 이용해 조직의 자원 또는 자산을 의도적으로 오용 또는 유용하는 행위’로 정의하며, 매년 부정행위로 인해 기업 매출의 5%에 해당하는 손실이 발생하고 있다고 밝혔다. 또 부정행위 한 건당 평균 손실은 약 22.4억원에 이르렀다. 부정행위자의 소속과 부정행위 은닉 방식, 인지 경로는 다음과 같다.

- 부정행위자 소속

발생한 부정행위 중 거의 절반이 운영, 회계, 경영진 및 상위 관리자, 영업 부서로부터 발생했다.

- 부정행위 은닉 방식

부정행위를 은닉하기 위해 가장 많이 사용하는 방식은 물리적 문서나 전자문서 및 파일을 생성, 조작, 파기하는 형태였다.

- 부정행위 인지 경로

내부 감사(16%)와 외부 감사(4%)를 통해 인지되는 경우보다는 제보, 즉 내부고발(42%)에 의해 적발하는 경우가 더 많았다.

내부고발 제도를 도입 및 활성화해 부정행위 ‘적발’ 중심의 장치를 마련하는 것도 한 가지 방법일 수 있지만, 보다 근본적으로는 부정행위 ‘예방’ 중심의 장치를 마련해 리스크 발생 가능성을 줄이려는 노력이 필요하다. 리스크를 예방하기 위해 내부통제를 설계한 후 이를 운영에 반영하는 것이다.

업무 수준 통제 설계와 IT 일반통제
최근 많은 상장사 및 상장 예정 기업이 외감법(주식회사 등의 외부감사에 관한 법률) 개정에 따라 리스크를 예방하고 내부회계관리제도에 대응하기 위해 기존의 업무 프로세스를 정비하고, 이를 지원하는 IT 시스템과 솔루션을 도입하고 있다. 특히 경영 관리 활동 및 재무 보고와 밀접한 프로세스를 지원하는 IT 시스템인 ERP를 교체하고자 하는 수요가 상당하다.

다만 기존의 업무 프로세스 효율화에만 초점을 맞추는 것은 다소 우려되는 상황이다. 새로운 프로세스 설계 과정에서 내부통제 관련 사항을 적절히 반영하지 못하고 있기 때문이다. 기업의 내부회계 담당자는 업무 프로세스 설계에 적극적으로 참여해 각 통제활동이 어떤 프로세스에 적용돼야 하는지 설계 담당자와 협의해 이를 반영해야 한다.

프로세스 설계 단계에서 내부통제 요소를 충분히 반영하지 않으면 ERP 및 내부통제를 위한 시스템에 이를 수정해 반영하거나 이를 보완하기 위한 별도의 프로젝트를 고려해야 하는 등 이중, 삼중의 비용이 발생할 수 있다. 심지어 내부통제가 구현되지 않을 가능성도 있다.

더불어 기존의 IT 일반통제는 검토 수준의 소극적 활동 위주였다면, 이제는 상당수 통제활동에 대해 넓은 영역에 걸쳐 심도 깊은 감사가 이뤄진다. 이에 따라 재무정보 생성을 위한 주요 시스템의 접근 권한 관리와 관련된 ‘정보보안 및 접근통제 영역’부터 프로그램이나 데이터의 생성, 변경 등과 관련된 ‘프로그램 변경관리 영역’, 신규 솔루션 도입이나 시스템 개발 시 검토, 승인 등을 관리하는 ‘프로그램 개발 영역’, 백업이나 장애 관리 등 운영 관리를 포함하는 ‘데이터센터 운영 영역’까지 포괄적이면서도 전문적으로 관리해야 한다. IT 통제 거버넌스 체계 전반과 이를 지원하는 솔루션을 통해 보다 적극적이며 짜임새 있는 IT 통제를 구현해야 하는 것이다.

결국 ERP 측면에서는 내부통제 요소가 적절히 반영된 업무 프로세스를 구축하고, IT 일반통제 측면에서는 IT 거버넌스를 지원하는 인프라를 구현한 후 IT 서비스 관리(ITSM) 솔루션을 도입함으로써 효과적이며 효율적인 내부통제 운영이 가능해진다.

통제 모니터링·평가 도구 ‘내부회계관리시스템’
내부회계관리시스템을 통해 통제의 적정성을 평가하거나 보고하기 위해서는 우선 계획-평가-보고로 이어지는 주요 업무의 흐름을 관리할 수 있어야 한다. 업무흐름도, 업무기술서, 통제기술서, 테스트 절차서 및 조서, 미비점 내역서, 평가 결과서 등 내부회계관리제도와 관련된 주요 문서를 업무별로 관리할 수 있어야 한다.

각 문서의 버전과 변동내역을 관리하고 담당자 지정, 일정 취합, 결과 취합 등 테스트 계획도 반영해야 한다. 단순한 평가 문서 관리 시스템부터 승인·결재 워크플로우를 반영한 시스템까지 다양한 IT 도구를 사용할 수 있다.

최근에는 ERP 및 각종 레거시 업무 시스템을 ITSM과 연계한 모집단 자동 추출 기능을 선호하는 추세다. 기업이 유효성 평가를 진행하는 과정에서 통제 모집단 선정과 샘플링으로 인해 가장 큰 어려움을 겪기 때문이다. 많은 시간을 할애함에도 불구하고 모집단 및 표본의 신뢰성을 확보하기 쉽지 않다는 것이 문제다.

GS ITM의 내부회계관리 솔루션인 ‘유스트라(U.STRA) ICS’와 같은 서비스는 이러한 애로사항을 해소하기 위해 통제 모집단의 자동 인터페이스 및 샘플링 기능을 개발해 제공한다. ERP, ITSM과 같은 시스템상에서 통제 모집단으로부터 필요한 데이터(전표번호, 생성장자 ID, 전표생성일 등)를 추출하면 표본 수에 따라 평가 대상이 무작위로 선정된다.

이렇게 표본이 추출되면 평가 담당자는 더 이상 고민할 필요 없이 테스트를 수행하고 워크플로우를 통해 결과를 승인받은 후 보고하게 된다. 결과적으로 표본 추출 시간을 상당 수준 단축함으로써 신속한 보고와 의사결정이 가능해질 뿐만 아니라, 인위적 요소가 배제된 모집단 선정 및 표본 추출을 통해 평가의 신뢰성까지 확보할 수 있게 되는 것이다.

내부통제 리스크 저감 노력과 효과 극대화
강화된 내부회계관리제도를 준비하고 운영하기 위한 준비가 만만치 않은 것이 사실이다. 하지만 프로세스 재정비, IT 인프라 구축 등 근본적인 방안을 고민하는 대신 임시방편으로 마련한 수동통제에 의존한다면 리스크는 결코 사라지지 않는다. 적절한 IT 도구와 이에 대한 모니터링 장치를 선제적으로 마련해야만 위험 요소를 예방하고 통제해 안정적인 경영 환경을 구축하고 유지할 수 있을 것이다.

분야를 막론하고 이어지는 부정행위 발생 사고에서 볼 수 있듯 회계 리스크는 기업의 규모와 사업 영역을 따지지 않고 어디에나 존재한다. 따라서 적절한 내부통제의 구축과 모니터링은 비단 내부회계관리제도 대응에만 해당되는 조치가 아니라 기업의 시급한 당면 과제이기도 하다. 이 과정에서 리스크 예방과 확산 방지를 위한 내부통제 체계를 충분히 고민하고 효율적으로 구현한다면 영속성 확보의 초석을 마련할 수 있을 것이다.