내부회계관리제도 운영 및 지원 Solution
.png)
1. 미국 및 Global 동향
1. Compliance Cost 부담 가중
2000년대 초반 Enron및 Worldcom 등의 대형 회계부정으로 美 Sarbanes Oxley 법이 통과가 된 후 미국기업들은 강화된 내부통제 요건을 준수하느라 상당히 많은 재정적 부담(Compliance Cost)을 호소하게 된다. 특히 Sarbanes Oxley 404조에 근거하면 경영진 및 회계감사인이 재무보고 내부통제에 대한 적정성에 대한 보고서(결론)와 이를 뒷받침하는 수작업, 자동통제에 대한 Testing 결과 및 관련 문서화를 갖추기 위해 기업은 하여금 상당한 관리 비용 및 인건비를 초래하게 되었다. 특히 사람의 관여가 많이 필요한 수작업 통제의 숫자가 많을수록, 재무보고 시스템이 분산화되어 있을 수록, SOX 대응을 위한 Compliance 비용부담이 가파르게 증가하게 되는데, 2000년대 중반 한 조사에 따르며 미국 기업의 경우(규모 불문) SOX 404 준수를 위한 평균 비용은 재무보고 시스템이 중앙집중화(Centralized) 된 경우가 $1.3 Million, 분산화(Decentralized) 된 경우 $1.9Million로 밝혀진바 있다. 여기에 자동통제의 규모의 효과까지 부가할 경우 같은 규모, 유사 기업의 경우 관련 비용의 2배 이상 차이가 나기도 한다. 중소 기업을 중심으로 SOX 요건 충족에 대한 비용 증가에 대한 불만이 커지자 美 회계감독위원회(PCAOB : the Public Company Accounting Oversight Board)는 회계감사기준 (AS : Auditing Standard) No.5 조항을 통해 기업들이 집중해야 하는 통제의 업무범위를 보다 명확하게 한정할 수 있게 하여 이를 계기로 미국 기업들이 관리 대상 통제의 숫자를 대폭 줄일 수 있게 되었다. 한편, 기업들은 SOX 관련 통제문서(예 : Control Matrix)의 통합관리, Testing 취합 및 Reporting Tool을 지원하는 S/W를 도입하여 업무 중복이나 업무의 비효율을 제거하는데 도움을 받았다.
2. Reporting 지원 및 통합 문서관리의 한정적인 기능
내부통제강화를 위한 법안 통과 후 초기에는 어떻게 하면 가장 효율적으로(가장 적용 비용 부담 및 기존 프로세스, 비지니스 영향 최소화) 규제를 충족할 수 있는가에 목적이 있었으므로, 1세대 내부통제 솔루션에 대한 고객의 Needs 또한 이에 맞춰져 있었다. 즉 분산화된 재무/회계 인프라 환경에서 다수의 사업부, 지역 담당자가 입력, 수집, 테스팅한 결과를 중앙으로의 취합/평가하는 것을 지원하는 간단한 Work-Flow 기능과 함께 문서관리 기능을 위주로 제공한다. 그 밖에 추가적인 기능으로 고위험 계정이나 업무를 판단하기 위한 Risk Assessment 또는 Scoping 기능도 추가 되기도 하나 이러한 기능은 이미 내부감사, 리스크관리, IT 통제 부서 등에서 널리 사용되고 있는 기능이라서 SOX가 계기가 된 새로운 기능이라 할 수는 없다. Reporting 지원 및 통합 문서 관리 기능에 한정된 1세대 SOX 솔루션은 그 기능의 한계 때문에 SOX 법안의 중요도나 파급력에도 불구하고 널리 보급되지 못했다. SOX Tool을 도입한 기업들 또한 규제 대응을 위한 절차적인 측면에서의 효율화의 혜택을 보긴 했으나 솔루션 도입으로 인한 보다 근본적인 효익(예 : 통제 개선, 통제/리스크 모니터링, 예방 효과, 원인 분석 등)을 가져다 주지도 못했고 최고 경영진의 정보 요구에도 부흥하기에도 부족하여 결국에는 몇몇 User만 사용하는 폐쇄적이고 Silo화된 솔루션으로 인식되는 경우가 많았다. 솔루션에 대한 기대효과가 검증되지 않으니 이후 유지관리, 업데이트에 대한 투자가 중단되거나 최소화 되어 현행화마저 어렵게 되면 그야말로 언제 버려도 아깝지 않은 그런 상태의 시스템이 되는 경우도 있게 된다. 실제로 Global 유수의 Global 기업들은 아직까지도 SOX 솔루션을 도입하지 않고 기존 Legacy 시스템의 기능의 변형/재활용하거나 Spreadsheet 기반의 Light Version을 계속 사용하는 경우도 흔히 찾을 수 있다.
3. 유사 규제, 시스템으로 인한 업무 중복, 혼선
2000년들어 SOX 이외에도 자금세탁방지, 엄격해진 고객정보 관리 규제, 해당 업종에 부가되는 다양한 형태의 환경, 안정 관련 규제, IT 관련 규제 및 신용리스크, 운영리스크 요건 강화, 전사적 리스크 관리, 기업 지배구조 관련 규제 등 유사한 통제, Risk 관련 규제요건이 지속적으로 나오면서 특정 기능의 한계를 가진 유일 목적의 Solution이 기업 내 너무 많아지면서 업무 혼선 및 현업 업무 가중을 가져 오게 되었다. 이것은 솔루션 중복의 이슈이기 전에 솔루션이 지원하고자 하는 법률/규제간의 상호 중첩, 기업 내 유관 부서간의 역할 과 책임의 모호성 때문에 발생한 문제라고 볼 수 있다.
_1.png)
각 국가별 규제 및 기업이 속한 업종에 따라 중요도, 노출수준이 다를 수 있으나 [그림1]에 제시된 10여가지의 유사 통제/리스크 프로그램은 국내외 모든 기업에 모두 운영되고 있는 프로그램들이다. 이러한 유사한 통제 프로그램의 특징은 관리 대상이 되는 핵심 리스크/통제가 다를 뿐 대상 리스크/통제를 관리하는 절차 및 구성 요소는 크게 다를 수가 없게 된다. 즉 리스크/통제를 확인하고 평가/측정하여 취약점이 확인되면 경감노력을 하고 이후 사후관리, 예방활동을 하는 일련의 과정은 동일할 수 밖에 없게 된다. 이는 곧 솔루션에도 마찬가지 기능으로 나타나게 된다. 즉 강화된 준법감시(금융 기관의 경우 자금세탁방지 등) 요건을 충족하기 위해 도입된 솔루션이 기존에 운영되어온 내부감사 지원시스템이나 내부회계시스템, 운영리스크 관리시스템과 차별화가 어렵거나 오히려 혼돈을 야기하는 경우가 발생한 것이다.
[그림 1] 통제/리스크 관련 유사 규제 및 핵심 활동(기능)의 중복성
각 국가별 규제 및 기업이 속한 업종에 따라 중요도, 노출수준이 다를 수 있으나 [그림1]에 제시된 10여가지의 유사 통제/리스크 프로그램은 국내외 모든 기업에 모두 운영되고 있는 프로그램들이다. 이러한 유사한 통제 프로그램의 특징은 관리 대상이 되는 핵심 리스크/통제가 다를 뿐 대상 리스크/통제를 관리하는 절차 및 구성 요소는 크게 다를 수가 없게 된다. 즉 리스크/통제를 확인하고 평가/측정하여 취약점이 확인되면 경감노력을 하고 이후 사후관리, 예방활동을 하는 일련의 과정은 동일할 수 밖에 없게 된다. 이는 곧 솔루션에도 마찬가지 기능으로 나타나게 된다. 즉 강화된 준법감시(금융 기관의 경우 자금세탁방지 등) 요건을 충족하기 위해 도입된 솔루션이 기존에 운영되어온 내부감사 지원시스템이나 내부회계시스템, 운영리스크 관리시스템과 차별화가 어렵거나 오히려 혼돈을 야기하는 경우가 발생한 것이다.
4. Multi-Purpose의 종합 Risk 관리 솔루션에 대한 기대
앞서 논의한 바와 같이 기존의 SOX Solution에 대한 제한적인 기대효과로 더 이상 SOX 솔루션 자체의 기능확장 및 고도화에 대한 기대는 크지 않지만 SOX + 다양한 리스크를 법인 또는 그룹 차원에서 동시에 관리할 수 있는 통합 솔루션에 대한 기대가 높아지게 되었다. 즉 기존의 개별적, Silo식으로 도입, 운영되었던 다양한 통제 유관 솔루션을 통합하여 관리하기 위한 시도가 다양하게 일어났다. 특히 이러한 시도는 규제의 요건 충족을 위해 시스템 도입에 보다 적극적인 금융기관 중심으로 보다 활발한 움직임 있었다. 이러한 통합의 Trend에서 처음 등장한 용어가 GRC(Governance Risk Compliance)인데 최근에는 특정 Solution 회사의 상품명으로 혼용하는 경우가 있으나 실질적으로 기업의 지배구조(투명성), 다양한 리스크관리 및 컴플라이언스를 최대한 통합하여 관리하기 위한 Risk 분야의 최상위 구조의 Big Picture 개념으로 이해하는게 적절하다. 2010년 전후 등장한 GRC Tool 이라면 대부분 SOX, 내부감사 지원기능, 운영리스크, AML, 준법리스크 등을 포괄한 솔루션이 대부분이다.
_2.png)
Global M사의 경우 다양한 Compliance 요건, 법규 대응 및 내부 Needs에 부합하기 위해 Process - Risk - Control을 표준화한 Integrated Risk - Control Register를 사용하여 통합 Solution에 등록하여 각각의 사용자들에 필요에 맞게 활용하게 하였다. 즉, Process - Risk - Control 로 이어지는 전사 통합 Risk - Control Matrix를 모든 유관부서가 함께 관여하여 Common Language화 하고 이후 단계(즉, 개별 규제의 부합하는 모니터링, 리포팅, 정책 관리, 사후 관리 등)부터는 각자의 주관 부서에서 별도로 관리 운영하는 방식이다.
[그림 2] Global M 금융그룹의 통합 GRC
Global M사의 경우 다양한 Compliance 요건, 법규 대응 및 내부 Needs에 부합하기 위해 Process - Risk - Control을 표준화한 Integrated Risk - Control Register를 사용하여 통합 Solution에 등록하여 각각의 사용자들에 필요에 맞게 활용하게 하였다. 즉, Process - Risk - Control 로 이어지는 전사 통합 Risk - Control Matrix를 모든 유관부서가 함께 관여하여 Common Language화 하고 이후 단계(즉, 개별 규제의 부합하는 모니터링, 리포팅, 정책 관리, 사후 관리 등)부터는 각자의 주관 부서에서 별도로 관리 운영하는 방식이다.
2. 국내 현황 및 현안
국내의 내부회계관리제도 솔루션 또한 앞서 기술한 미국 기업의 통합 문서관리 및 Reporting 기능 중심의 가벼운 솔루션이 대부분이었으며 많은 기업들이 상대적으로 적은 부담의 비용으로 활용하고 있다. 그러나 현재의 기능에 만족하는 기업은 거의 없을 것으로 예상이 된다. 마찬가지로 도입 초기에 큰 효과를 본 기억에 없으니 이를 위한 재투자가 일어나지 않아 기존 시스템이 업데이트 되지 않은 상태에서 사용자의 외면을 받는 경우도 많다.
국내에서 개발된 대부분의 솔루션은 기능 [1] Register + 기능 [3] Workflow가 대다수를 차지한다고 볼 수 있으며, 기능 [5] 모니터링은 범용화 되었으나 내부회계가 아닌 별도의 프로그램과 운영주체에 의해 도입된 경우가 대부분이다. 기능 [2] Risk 평가 및 기능 [4] Issue Tracking은 시스템 사용자 스스로 그 필요성을 크게 느끼지 않아 수요가 발생하지 않기 때문인데 업무 근거의 문서화 및 근거 자료 작성에 철저한 미국 등 해외기업에서는 이 두 가지 모듈 역시 널리 보급되어 있으며, 기능 [5]의 모니터링 기능은 상대적으로 도입이 더딘 것이 사실이다.
1. Exception Monitoring(상시모니터링)의 범용화
국내 기업의 내부통제 시스템을 논할 때 Global 기업들과의 가장 확연한 차별점이 있는데 2000년대 초반 이후 확산된 상시모니터링 시스템이다. 상시 모니터링 (Continuous Monitoring)이란 용어를 범용적으로 사용하지만 Real Time, Near Time 모니터링이라기 보단 기업이 관리하고자 하는 핵심 리스크 또는 예외상황에 대해 필요할 때마다 Query를 활용하거나 조건을 입력하기 보다는 상시적으로 운영될 필요한 있는 추출조건을 시스템에 내재화(Embedding)시켜 지속적으로 모니터링을 하는 것을 의미한다. 주로 회계/재무 부서에서는 결산, 회계상의 오류 또는 경비 통제용도로 내부감사 조직에서는 부정 탐지, 구매 관리 등에 대한 통제목적, 기획부서 또는 리스크 통할 부서에서는 전사적 리스크 관리를 위한 지표 관리, 금융기관에서의 신용 조기경보 관리 등 다양한 목적에서 도입 사용되고 있다. 특이한 점은 이러한 상시 모니터링이 대기업, 중견기업, 공기업을 불문하고 일제히 확산 보급된 나라는 전세계 어디서는 찾아보기 힘들다는 것이다. 해외기업 대비 상대적으로 신뢰적인 데이터와 우수한 인터넷, IT 환경 등의 혜택, 그리고 정성적인 것 보다는 실질적이고 객관적인 것을 확인하고자 하는 통제 책임자들의 요구가 만나서 이뤄진 성과라고 생각해 볼 수 있다. 다만 엄청난 보급에도 불구하고 비지니스 모델, 조직, 프로세스, 시스템 등의 변화에 따른 업데이트 미비, 관련 전문가 부재 등으로 시간이 지날수록 내부회계관리솔루션과 마찬가지로 그 활용가치가 점점 떨어지고 있는 것도 사실이다. 상시모니터링이 내부회계관리 솔루션과 자주 혼돈이 되다 보니 최근에는 내부회계 + 상시모니터링을 동시에 고려, 요구하는 기업들이 많아지고 있다. 국내 기업 및 솔루션 개발자 관점에서 고려할 수 있는 내부회계 관련 필수 기능은 크게 5가지 정도로 구분해 볼 수 있다
2. 4가지 핵심 기능 - 내부회계관리/GRC 고려한 종합 솔루션
[그림 2] Global M 금융그룹의 통합 GRC
| 핵심 기능 | 적용 분야 | |
|---|---|---|
| [1] | Risk-Control Register |
|
| [2] | Risk Assessment |
|
| [3] | Workflow 및 Reporting |
|
| [4] | Issue Tracking |
|
| [5] | Risk/Control Monitoring |
|
3. To-Be 방향성 및 기대 요건
내부회계 또는 확장된 개념의 내부통제 시스템의 To-Be 모습으로 크게 두 가지 측면을 고려할 필요가 있다. 첫째는 과거 10년 이상의 운영으로부터의 확인된 보완사항, 이슈의 해결이다. 즉 미국이나 국내 모두 SOX 솔루션을 도입 운용하면서 인지된 한계점을 명확히 할 필요가 있다. 다음은 국내외 공통의 내부회계 솔루션 사용자의 불만 사항/개선 기회이다.
_3.png)
그림 3은 시스템에 사용자의 권한 관리 통제로서 Terminated User에 대한 통제가 적절히 수행되는지에 대한 통제 및 그 Test를 수작업에 의존하던 것을 Robotics를 활용해 자동화한 사례로 이러한 응용은 대부분의 내부통제 및 Testing 절차에 광범위하게 응용될 수 있다. 10년 이상 운영을 하면서 알게 된 사용자 불편사항을 제거함과 동시에 앞서 제시한 신기술과 궁합이 맞는 영역에 보다 적극적이고 과감한 투자를 통해 국내는 물로 해외기업에 수출도 가능한 고급기능의 내부회계 솔루션이 개발되었다는 소식을 기대해 본다.
- 1. 컨설팅, 또는 기업 내에서 자체 설계한 업무 요건을 충분히 담아내지 못함
- 2. 다양한 이해관계자의 다양한 정보 요구를 충족시키지 못하며 일부 담당자만의 폐쇄적인 시스템임
- 3. 법 개정, 최근 동향을 담아내지 못함
- 4. End User 관점의 Data Visualization 기능 필요
- 6. 회사 내 재무/회계 시스템과의 연동 또는 Transaction Data의 활용
- 7. 다양한 분석 기능(Analytics) 탑재
- 8. 통제 식별부터 최종 평가까지 끊기지 않는 업무 Flow의 지원
- 9. 통제 자동화 또는 Testing 자동화에 기여 필요
- 10. 잠재 Risk, 통제 취약점 사전 Alert 기능 필요
[표2] 신기술의 접목 가능성
| 신 기술 | 접목 가능성/ 기대효과 | 내부통제 응용 분야 |
|---|---|---|
| Robotics (RPA) | 매우 높음 |
|
| Data Analytics(Big Data) | 보통 |
|
| AI / Machin Learning | 낮음 |
|
[그림 3] RPA를 활용한 수작업 통제의 자동화
그림 3은 시스템에 사용자의 권한 관리 통제로서 Terminated User에 대한 통제가 적절히 수행되는지에 대한 통제 및 그 Test를 수작업에 의존하던 것을 Robotics를 활용해 자동화한 사례로 이러한 응용은 대부분의 내부통제 및 Testing 절차에 광범위하게 응용될 수 있다. 10년 이상 운영을 하면서 알게 된 사용자 불편사항을 제거함과 동시에 앞서 제시한 신기술과 궁합이 맞는 영역에 보다 적극적이고 과감한 투자를 통해 국내는 물로 해외기업에 수출도 가능한 고급기능의 내부회계 솔루션이 개발되었다는 소식을 기대해 본다.