2천억 횡령, 자금 모니터링만 했어도…

삼일PwC와 함께하는 내부통제 시리즈 (2) 횡령 막으려면

2년 전 ○사에서 벌어진 2000억원대 내부 횡령 사고는 한국 사회에 큰 파장을 일으켰다. 천문학적인 횡령 액수만큼이나 충격적인 사실은 제조, 서비스업부터 금융업에 이르기까지 다양한 업종과 부서에서 횡령 등 부정 사고가 일어난다는 점이었다. 이제는 내부통제가 잘 이뤄질 것으로 신뢰받는 기업조차 횡령 사건에 휘말리고 있다. 횡령 등 부정을 예방하고 적발하는 기업의 내부통제 제도가 실제로 작동하지 않았기 때문이다.

지난해 말 금융감독원은 자율규정으로 제정, 운영되던 내부회계관리제도를 ‘내부회계관리제도 평가 및 보고 기준’으로 법제화했다. 올해 1월부터 시행된 이 기준에 따르면, 매년 대표이사는 감사(위원회), 이사회, 주주총회에 횡령 등 자금부정 위험에 대응하기 위한 회사의 핵심적인 내부통제 활동을 정해진 양식에 따라 보고해야 한다. 또한 감사(위원회)는 자금 관련 부정 위험과 관련해 매년 경영진과 대면 협의하고 외부 감사인과 소통한 내역을 추가로 평가보고서에 공시해야 한다. 보고받고 끝나는 형식적인 지배기구 활동은 더 이상 하지 말라는 감독당국의 경고인 셈이다.

이 기준은 자산총액 2조원 이상 상장회사의 경우, 국내외 종속회사에도 동일하게 적용된다. 특히 해외 종속회사의 경우, 소수의 주재원 보고에 의존하는 본사의 수동적 관리를 비롯해 자금과 관련한 업무 분장 취약, 아이디와 패스워드를 공유하는 관행, 적절한 승인 없이 전표가 작성되는 업무 구조, 내부감사 기능 부재 등 취약한 내부통제 환경에 대한 개선이 시급하다.

흥미로운 사실은 부정을 막기 위한 내부통제 제도 유무에 따라 부정금액 차이가 컸다는 점이다. 대표적인 예가 순환 보직으로, 순환 보직이 있는 회사의 평균 부정금액과 그렇지 않은 회사의 부정금액 간의 차이는 두 배 이상으로 가장 컸다. 최근 국내 모 은행 직원이 2007년부터 15년간 동일한 부서에서 부동산 프로젝트 파이낸싱 업무를 하면서 약 3000억원을 횡령한 사건은 순환 보직의 중요성을 보여주는 단적인 사례다.

내부통제 5가지 전략

횡령 등 부정을 막기 위한 효과적인 내부통제 전략은 인력, 시스템, 지배구조 등 기업의 특성과 상황에 따라 다르다. 부정에 대한 과거 사례와 이에 대한 분석 등을 토대로 다음과 같은 전략을 제안한다.

첫째, 자금통제를 진단하라.

자금과 관련된 직접적인 통제 영역으로는 계좌 관리, 자금 출금 관리, 잔액 관리, 법인인감 관리 등이 있다. 이런 자금통제가 국내는 물론이고 해외의 종속회사에도 유효하게 구축·운영되고 있는지 진단이 필요하다. 질문서와 인터뷰를 통해 가장 취약한 부문과 영역이 어디인지 빠르게 확인하고 프로세스를 개선할 수 있다.

자금 출금과 관련해 펌뱅킹(기업 인터넷뱅킹) 시스템을 도입하거나, 인터넷뱅킹을 사용하는 경우에는 보안카드(OTP) 다단계 승인을 설정하는 것이 대표적인 예다. 잔액 관리의 경우, 자금일보(일일 자금 현황)를 자금팀이 아닌 독립적인 부서에서 검토하고 모니터링을 수행하도록 해야 한다.

둘째, 자금 거래 모니터링(Cash Proofing)을 활용하라.

자금 거래 모니터링은 특정 기간 기업의 은행 자금 거래 내역과 회계처리원장을 전수로 조사하는 것이다. 이를 통해 정형화된 회계감사 절차에서 발견하지 못하는, 회계 처리 없는 자금 입출금 거래를 추출해 자금 횡령을 적발할 수 있다. 이 방식은 횡령이 일어나지 않았더라도 잠재적인 리스크가 있는 영역을 파악해 프로세스를 개선할 수 있다.

자금 거래 모니터링은 주로 횡령 적발을 위해 사용하지만, 이를 주기적으로 수행하면 횡령을 예방하는 데 탁월한 효과가 있다.

셋째, 데이터를 통제하라.

데이터의 입력, 수정, 승인의 권한 체계가 정당한지 검토하고, 입력된 데이터가 유효한지 검증하는 데이터 통제 기법이 필요하다. 예를 들어, 전사적자원관리(ERP)에 등록된 거래처를 국세청 휴폐업 조회 자료와 비교하면, 이미 폐업한 거래처가 수없이 존재한다. 또 승인받은 매출단가와 다른 임의의 단가가 기록돼 있거나, 승인 이후 임의로 전표가 수정되는 등 다양한 부정 요인이 있을 수 있다. 하지만 데이터를 분석하지 않으면 이미 예고된 부정도 발견할 수 없다. 최근 거래·데이터의 복잡성이 높아지는 가운데 데이터 통제 기법을 활용해 데이터가 얘기하는 진실을 파악하고 부정 위험을 선제적으로 예방해야 한다.

넷째, 내부통제를 위한 정보기술(IT) 시스템에 투자하라.

최근 디지털화가 진행되면서 회사 대표도 회사 내용을 한눈에 파악하기 어려울 정도로 기업 환경이 비가시적으로 변했다. 동시에 부정행위자의 능력도 고도화됐다. 하지만 부정을 예방하고 적발하기 위한 통제는 아직도 매뉴얼 승인 통제 수준에 머무르는 경우가 많다. 따라서 단순 반복적이고 시간이 많이 소요되며 인간의 실수로 발생 가능한 통제 영역을 자동 통제로 전환할 필요가 있다.

예를 들면, 시스템에서 자동 계산해 주거나 시스템에서 다운로드한 데이터를 다른 시스템에 매뉴얼로 입력하는 대신, 자동으로 업로드하는 인터페이스를 활용하는 것이다. 최근에는 부정 위험이 높은 영역에 대해 검증 로직을 개발해 업무 자동화(RPA·Robotic Process Automation)를 적용하는 사례가 늘고 있다.

다섯째, 전사적인 부정 방지 프로그램을 운영하라.

이는 부정 위험 방지를 위한 근본 요소에 해당하는 것으로, 경영진의 부정 척결에 대한 강력한 의지를 반영한 윤리 기준 수립과 교육이 무엇보다 필요하다. 또 부정을 예방하는 데 효과적인 내외부 고발 제도를 국내외 종속회사를 포함해 운영해야 하며, 이를 위한 신고 채널의 위탁 운영 등 고발자의 보호 조치를 강화해야 한다. 기업 부정의 최종 방어선에 해당하는 독립적인 내부감사 부서를 운영하되, 인력 운영에 제한이 있다면 일시적으로 외부 자문을 받는 것도 고려할 수 있다. 마지막으로 이사회와 감사위원회의 실질적인 감독이 매우 중요하다.

부정 위험 재평가하는 체크 포인트

미국의 유명 범죄학자인 도날드 R. 크레시는 ▲동기 ▲기회 ▲자기합리화 등 세 가지 요인으로 부정이 발생한다는 ‘삼각형 이론’을 제시했다.

동기는 경제적 궁핍, 도박 등 개인 성향, 과중한 업무 또는 회사에 대한 불만 등으로 부정을 할 수 있다는 것이고, 기회는 내부통제 취약, 비윤리적인 조직문화 등이 부정을 저지를 수 있는 환경을 제공한다는 것이다. 자기합리화는 부정을 업무 관행으로 치부하거나, 도덕 불감증으로 인해 횡령금액을 잠시 빌린 것으로 생각하는 등 부정행위를 정당화하는 것이다. ‘동기’와 ‘자기합리화’가 부정의 개인적인 요인이라면, ‘기회’는 조직적인 요인에 해당한다. 기업은 기회 부분에 초점을 맞춰, 내부통제가 취약한 부분은 없는지, 부정을 가능하게 만드는 빈틈이 없는지 꼼꼼히 점검해야 한다. 이를 통해 기업은 부정 위험을 재평가하면서 다음 질문에 ‘노(No)’라고 자신 있게 답해야 한다.

·부정 위험을 남의 일로 치부하고 형식적으로 평가하지 않았는가?

·과거 수행해왔던 업무를 바꾸기 싫어서 조직, 시스템 등 환경 변화에 따라 취약해진 통제를 맹신하고 과대평가하지 않았는가?

·독립적인 내부감사 부서를 통한 모니터링을 경영 간섭과 인력 낭비로 치부하지 않았는가?

·사람에 의해 수행되는 승인 통제를 과신한 나머지, 디지털화에 따른 데이터 분석 툴을 불필요하다고 판단하지 않았는가?

그동안 기업은 재무보고의 신뢰성 개선과 부정 위험 방지를 위해 여러 노력을 해왔다. 소수의 개인적 부정으로 한국 자본 시장의 신뢰성이 떨어지는 것은 안타까운 일이다. 더 이상 부정이 남의 일이라는 근거 없는 믿음을 버려야 하며, 사고가 벌어진 후 수습하는 ‘사후 약방문’ 식 대처는 하지 말아야 한다.

이형민 삼일PwC 내부통제센터 파트너

[본 기사는 매경이코노미 제2249호 (2024.03.06~2024.03.12일자) 기사입니다]