기업의 감사업무(펌)

오늘은 문득 미국식 감사와 한국식 감사를 한번 비교정리해 보고 싶은 마음이 들었다.

국내사에 있다가 외국사에 와서 가장 혼란스러웠던 부분이 이거라서 그렇다.

외국사의 감사부서는 국내사 감사부서와 업무의 내용이 많이 다르다.

 

미국식 감사는 audit으로 표현한다. 미국회사의 감사부서는 IAD (Internal Audit Department)라고 불린다.

그런데 왜 굳이 internal 이란 말을 사용할까? 한국에서는 '내부감사'라고 부른다.

회사 내부를 감사하니까 '내부감사'라고 부른다고 생각하는가?

그럼 '외부감사'는 회사 밖 외부를 감사하는 것인가?

 

 

만약 그렇게 생각한다면 당신은 지금 잘못 생각하고 있다.

(이런 말투를 쓰니까 꼭 무슨 추리소설이나 르뽀기사를 쓰는 것 같다)

물론 당신만 그렇게 잘못 생각하는 것은 아니다... 사실은 많은 사람들이  이렇게 잘못 알고 있다.

 

내부감사라는 말은 회사 내부를 감사한다고 하여 그렇게 부르는 것이 아니라

회사에 소속된 내부인이 (즉, 직원이) 감사를 한다는 의미이다.

그렇다면 당연히 '외부감사'라는 말은 회사에 소속되지 않은 외부인이 회사를 감사한다는 의미이다.

공인회계사들이 수행하는 회계감사가 대표적인 외부감사의 일종이다.

그렇다면 사실 internal audit은 내부감사로 번역하기 보다는

 '자체감사'로 번역하는 것이 사실 더 정확한 표현이 된다.

 

자, 여기서 의문이 생기는 사람이 있을 수 있다.

뭐하러 귀찮게 내부니 외부니 굳이 구별을 해야 하는가?

무슨 대단한 의미라도 있나?

의미가 있다. 미국식 감사를 이해하려면 꼭 필요하다.

 

미국에서 감사라는 것은 어떠한 일이나 사안에 대해 객관적인 제 3자로부터 점검과 검증을 받는 것을 의미한다.

따라서 감사란 독립적이고 객관적인 시각을 가질 수 있는 제3자가 수행하는 것을 기본 원칙으로 하기 때문에

미국은 오래전부터 (정확히는 모르겠으나 아마 100년은 넘었을 것 같다) 공인회계사(CPA)들로 하여금 감사를 수행하도록

여러가지 감사기준(GAAS, SAS 등)을 만들어서 실시해 오고 있다.

미국에서는 감사라고 하면 전통적으로 독립적인 제3자에 의한 회계감사나 인증업무가 주류를 이룬다. 

 

예컨대, 아래와 같은 사유가 감사가 필요한 사례이다.

1. 어떤 회사에 대한 투자를 하고 싶은데 회사에서 발표한 재무제표나 재무보고서가 과연 진실한지 알고 싶을 때

2. 내가 투자한 회사가 경영을 제대로 하고 있는지 알고 싶을 때

3. 은행에서 어떤 회사에 대출을 해 줄려고 하는데 그 회사의 재정상태나 대출 후 경영상태가 어떠할지 알고 싶을 때

4. 내가 어떤 회사를 인수하고 싶은데 얼마 정도의 가격으로 사는 것이 적당하지 알고 싶을 때

5. 정부기관에서 어떤 민간기관에게 보조금을 주었는데 이 보조금을 제대로 사용하고 있는지 알고 싶을 때

 

즉, 미국의 audit제도는 회사 내부적인 필요성보다는 외부에 보여주기 위한 필요성으로 인해 발전해 왔으며

이러한 사항들은 반드시 독립적인 제3자가 수행하지 않으면 공정성을 담보하기 어려운 것들이다.

따라서 미국은 이러한 외부감사 위주로 감사제도가 발전해 왔으며

사실 내부감사에 대해서는 그다지 중요하게 생각하지 않았었다.

 대략 1970-80년대 까지는 그랬던 것 같다.

 

그런데, 기업들의 규모가 커지고 금융업 같은 복잡한 상품구조와 경영제도를 가진 업종이 생겨나고 하면서

재래식 감사기법으로는 도저히 정확하고 효율적인 감사를 하기가 어려워졌다.

단순히 어떤 물건을 제조하여 판매하는 회사인 경우에는 판매량이 얼마인지,

현재 남아 있는 재고는 얼마인지 등을 점검해서 그 회사의 재정상태를 알 수 있는데,

금융업의 경우에는 재고라는 개념이 없을 뿐더러

재보험이라든지, 후순위채권이라든지 혹은 파생상품 등의 복합적 금융상품들은 자산으로 처리해야 할지,

비용으로 처리해야 할지 등  계정과목의 구분부터가 어려워지고

글로벌하게 외국에도 자회사를 두고 있는 회사들의 경우 관계사와의 거래도 복잡하고 해서

단순히 점검위주의 감사 방식으로는 정확성의 검증이 매우 어려워진 것이다.

 

이에 따라 '내부통제(internal control)'의 개념이 중요하게 대두되었다.

내부통제가 회사 내부를 통제한다고 해서 내부통제가 아니라

회사가 자체적으로 통제한다라는 의미라는 걸 이제는 말 안해도 알 것이다.

 

회사가 자체적으로 control(이것도 통제라는 단어 대신 '관리'라는 단어가 어울릴 것 같다)을 잘 하고 있으면

감사를 하더라도 크게 문제될 것이 없다.  

 좀 쉽게 비유를 하자면, 어떤 학생이 시험을 쳐서 평균점수 95점(물론 100점 만점이다)이라는 성적표를 가지고 왔는데

이 성적이 정말 정확한지를 감사한다고 하자.

이걸 내부통제의 관점에서 생각하면, 이 학생이 95점이라는 성적을 받으려고 하면 평소에

수업에도 열심히 참여해야 하고, 예습과 복습도 열심히 해야 하고(수업참여와 예/복습 철저는

이제까지 모든 학력고사/수능시험 수석합격자들의 공통된 답변이다.

예전에도 95점과 비슷한 수준의 성적을 꾸준히 내어 왔으며, 성적표를 위조하지 않을 정도로 착해야 한다

(이거 상당히 중요하다)

 

이런 내부통제가 잘 안되고 있으면 이 학생의 95점이라는 성적은 상당히 신뢰성이 떨어지게 된다.

따라서 평소 학생의 수업태도나 생활태도, 평소 시험점수, 인간성 등의 요소를 평가하면

직접 학교에 시험점수를 조회하지 않아도

시험점수의 적정성을 어느 정도 알 수 있는 것이다.

 

이와 같은 취지에서 도입된 것이 '내부통제'의 개념이며

이것은 90년대 초(정확히 몇년인지는 모르겠다) COSO에 의해서 큐빅모형으로 이론화 되었다.

'통제환경''의사소통''모니터링''위험평가'통제활동' 자주 보는 이 5가지 이야기가 바로 그거다.

그런데 미국은 월드컴이나 엔론 같은 거대기업의 회계부정 사건이 터지면서

이 '내부통제'를 더 이상 감사의 기법이 아닌 기업의 법적 의무사항으로 포함시켜 버렸다.

2002년에 제정된 Sarbanes-Oxley Act (소위 SOX)라는 것이 그것이다.

SOX는 강화된 회계부정방지법이다.

SOX의 404조(사백사조가 아니고 사공사조로 읽는 것이 맞다.

왜냐하면 사백 네번째 조항이라는 뜻이 아니기 때문이다)에 따르면

미국의 상장기업은 의무적으로 내부통제에 대한 점검을 하고

그에 대한 확인서를 CEO와 CFO로 하여금 제출케 하고 이를 외부감사인에게 인증을 받아야 한다.

 (그래서 미국의 회계법인들이 속된 말로 '노난'것이다. 다른 말로 돈벌이할 게 많아졌다)

 

아무튼, 이러한 과정을 거치면서 각 기업들은 외부감사를 대비하여

먼저 스스로 자체적인 감사를 평소에 꾸준히 수행할 필요를 느끼게 된다.

외부감사에 의해 문제가 발견되기 보다 자체감사로 정비해 나가는 것이 좋지 않겠는가.

 

그럼 미국기업들은 이런 것 말고 직원의 금융사고(횡령,유용 등)나

기타 부적절한 사고(성희롱사건, 직원간 폭행사고, 도난사건 등)에 대한

조사, 회사 규정의 준수여부 등 한국의 감사부서들이 가장 중점적으로 수행하는 기능들은 어떻게 하는 것일까?

이러한 것들은 내부감사에 의해서 일부분 수행되기도 하고, 사안에 따라 유동적으로 가장 적절하다고 판단하는 부서에서

직접 조사를 하거나 점검을 하기도 한다. 예컨대, 성희롱 사건의 경우 인사부서에서 직접 조사를 하는 식이다.

 

사실 한국의 감사부서는 감사라기 보다는 감찰이나 검사 혹은 조사 업무를 주로 하는데

미국은 이런 업무를 전담하는 부서가 별로 없는 편이다. 

감사가 audit이라면 감찰은 inspection, 검사는 examinination, 조사는 investigation 정도로 구분하면 될 것 같은데

굳이 설명을 하자면 이렇다.

1. 감찰 - 암행어사와 같은 업무로 생각하면 제일 빠르겠다.

2. 검사 - 규정에 따라서 업무를 하는지 점검해 보는 것이다.

3. 조사 - 원인이나 행위자를 알 수 없거나 뭔가 숨겨진 사실이 있는 더 있는 사건인 경우 그것을 밝히는 일이다.

 

그럼 왜 미국은 한국의 감찰,검사,조사 전담부서를 잘 설치하지 않는 걸까? 나도 잘 모르겠다 --;

추리컨대, 미국은 관리자(보통 manager라고 부르더라)에게 상당히 많은 권한과 재량을 주는 스타일이다.

부서원의 구조조정과 충원, 연봉 조정의 권한(물론 부서별로 주어진 budget한도 내지만)까지 가지고 있는 경우가 많다.

따라서 부서원들에 대한 감찰이나 검사, 조사의 업무까지 관리자에게 위임을 하는 스타일인 것 같다.

미국식 사고방식으로는 왜 회사가 직접적인 생산성에 도움이 안되는

감찰/검사/조사 전담부서를 별도로 두어야 하는지 그 필요성을 못 느끼는 것 같다.

 

그런데 언젠가부터 Fraud Control Officer(부정행위 관리자), Investigation Specialist(조사 전담자) 등의

전담 부서나 전담 관리자를 설치하는 회사들이 늘어 나고 있다.

내부통제나 회계감사의 개념만으로는 직원들의 횡령사고나 부정사고

그리고 복잡한 사건들의 심도깊은 조사를 하기가 어렵기 때문인데

문제는 점점 이러한 분야들에 대한 중요성이 높아진다는 것이다.

얼마전에도 프랑스에서 약 6조원 상당의 금융사고가 터진 것 많은 사람들이 잘 알거다.

이런 금융사고 한방이면 회사가 날아가기 때문에

회계법인들도 내부통제의 범위에 fraud(부정사고)에 대한 통제장치를 회사가 가지고 있는지

중요하게 보고 있기 때문에 많은 회사들이 이러한 기능을 새롭게 추가하거나 강화하는 추세이다.

 

 

자 이렇게 보면 한국식 기업 내부의 감사업무와 미국식 감사업무가 얼마나 많이 다른지 알 것이다.

한국에서는 사실, 회계감사의 중요성도 미국처럼 그렇게 이슈화된지 얼마 되지 않았다. 최근에야,

내부회계관리제도(이것도 결국 COSO이론 베껴온 거다) 등을 도입하고 있는데...

 

따라서 한국의 기업들은 미국식 내부감사 보다는 감찰이나 검사, 조사 업무의 필요성이 훨씬 크다고 느꼈기 때문에

 이러한 분야에 초점을 맞추어 제도를 운영해 왔으며 일정 부분 회사의 규율과 기강을 확립하는데

많은 기여를 해 온 측면도 있다.

한국 금융기관의 감사팀은 주된 업무가 지점에 대한 정기 검사이며

본사 부서에 대해서는 제한적으로, 금전을 만지는 부서라든지,

회사 자산을 관리하는 부서 등에 한해서 검사를 실시한다.

그러나 내부통제의 개념에 입각한 내부감사에서는 부서 단위가 아니라

특정한 업무프로세스나 상품 등이 우선적인 대상이 되고 거기에 따라

 관련된 부서는 감사대상에 모두 포함이 되는 것이다.

 

최근에는 또한 감사부서에 '컨설팅'기능을 강조하는 회사가 많이 늘었다.

어떤 제도나 업무프로세스에 대해 보다 효율적인 방안이 뭔지 진단과 자문을 해 주는 것을 중요하게 생각하는 것이다.

 

결론적으로 한국과 미국의 감사제도는 워낙 다른 배경과 환경속에서 발전해 왔기 때문에

빠른 시간 내에 비슷해질 것 같지는 않다.

어쩌면 계속 다른 체제 속에서 살아 갈 것 같기도 하다.

누가 더 좋은 건지는 한번 두고 볼 일이다.