미국 PCAOB등록 회계법인 대표가 설명해주는 내부회계관리제도 감사 인증에 따른 기업의 대응 전략

BY 택스넷   2018-11-26
조회 8429 6
음성으로 듣기
2018년 11월부터 새로운 외부감사법이 시행됨에 따라 내부회계관리제도 적용 대상 기업의 대표자는 내부회계관리제도의 운영실태를 주기적으로 점검해 주총, 이사회 및 감사(또는 감사위원회)에게 직접 보고하도록 책임과 의무가 강화 되었다. 또한, 주권상장회사의 내부회계관리제도에 대한 외부감사인의 인증수준도 현재의 소극적인 ‘검토’에서 적극적인 ‘감사’로 상향 되었다.

회계투명성 강화에 대한 기대와 부실한 제도운영에 대한 우려가 상존하는 가운데 SOX법(Sarbanes–Oxley Act)1)에 따른 내부회계관리제도를 선행적으로 시행한 미국에서 SOX Compliance(내부회계관리제도)에 특화된 회계법인으로 활발히 활동하고 있는 Benjamin & Young 회계법인의 대표 벤자민 정(Benjamin Chung) 회계사에게 내부회계관리제도 시행에 따른 기업과 감사인의 대응방안에 대한 이야기를 들어보았다. 1) "상장회사 회계 개선과 투자자 보호법"(상원) 또는 "법인과 회계 감사 책임 법"(하원) 또는 Sarbox or SOX로도 불리는 미국의 회계개혁에 관한 연방법률로서, 월드컴과 엔론같은 거대 기업들의 잇따른 회계부정으로 인해 막대한 피해가 발생하자 회계제도 개혁의 필요성이 제기되었고, 2002년 7월 30일 법안의 발의자인 상원의원 폴 사베인스(민주당, 메릴랜드)와 하원의원 마이클 옥슬리(공화당, 오하이오)의 이름을 따서 제정됨(출처: 위키백과)

Q. 먼저 Benjamin & Young 회계법인과 본인에 대해 소개한다면.

저는 1998년부터 감사업무를 시작했습니다. PwC와 E&Y에서 8년간 근무하면서 내부회계관리제도 감사인 인증을 포함해 통합감사업무절차를 수행하는 SEC(미증시상장회사)감사업무를 통해 경력을 쌓아왔습니다. 그 후로 20년 동안 BIG 5 Sporting Goods라는 스포츠용품 회사에서 내부감사책임자를 담당하기도 하고, American Apparel에서 글로벌 CEO와 컨트롤러로 일하기도 했습니다. BDO USA 회계법인에서 파트너로 근무하기도 했죠. 그 후, 2012년에 Benjamin&Young, LLP (“B&Y”) 회계법인을 설립하여 지금까지 회계법인 대표로 근무하고 있습니다.

현재 B&Y 회계법인은 SOX Compliance(미국 내부회계관리제도) 도입과 운영에 특화된 프랙티스를 운영하고 있습니다. PCAOB 등록 회계법인인 B&Y 회계법인에서 50명 이상의 전문가들이 IPO와 SEC 감사를 수행하고 있을 뿐만 아니라, 세무 업무 및 내부회계관리제도에 대한 전반적인 업무를 진행하고 있습니다.


Q. 국내에서는 처음 시행되는 제도이다 보니 많은 시행착오가 예상된다. 미국의 경우 도입 시기에 혼란은 없었나.

미국의 회계 개혁에 관한 연방 법률인 사베인스 옥슬리법(Sarbanes-Oxley Act)은 2002년 발효되어 2003년도부터 시작되었습니다. 이 법이 시행되면서 회계법인들의 감사와 비감사 업무를 동시에 제공하는 것에 제한이 생겼으며, 상장기업 감사 회계법인의 감리업무를 관할하는 기관인 PCAOB가 설립되었습니다.

그 당시에 많은 SEC Compliance 도입 프로젝트들을 진행하면서 외부감사전문가로 일하던 사람들은 내부회계관리제도를 완전히 이해하고 있다고 생각했는데, 그렇지 않았습니다. 실제로 2007년 AS5 (내부회계관리제도 감사 인증) 규정에 따라서 미증시 상장기업을 대상으로 진행했던 통합감사결과를 보니, 외부감사인과 내부감사인 모두가 내부회계관리제도에 대해서 제대로 이해하지 못했던 것이 여실히 드러났죠. 이러한 시행착오를 겪은 끝에 좀 더 효과적이고 효율적인 내부회계관리제도와 통합감사 수행에 대한 적절한 방법을 찾게 됐습니다.

당시에는 모두가 새로운 내부회계관리제도 통합감사(감사인증 포함)에 대한 문제점들을 테스트하고 관리하는 데에 굉장히 미숙했어요. 대부분의 통제 항목들이 중요통제 항목으로 지정되면서 이에 합당한 통제절차들이 재무제표 항목에 제대로 연결되지 못했죠. 그리고 준비단계에서 통제활동을 효율적으로 수행하는데 가장 중요한 위험분석(Risk Assessment) 절차도 제대로 수행하지 못했는데 이 부분이 혼란을 발생시키는 주된 원인이었던 것으로 기억합니다.

이처럼 제가 겪었던 시행착오들은 한국에서 내부회계관리제도를 도입할 때에도 똑같이 겪을 수 있을 법한 어려움들이라고 생각합니다.


Q. 한국의 경우, 내부회계관리제도 시행에 대한 기대와 우려가 상존하지만 외부감사인들은 대체적으로 반기는 분위기이다. 미국의 경우 SOX법이 시행되었을 때 외부감사인들의 상황은 어땠는지.

SOX에 따른 내부회계관리제도 감사인증절차가 미국에 처음 시행되었을 때 부정적인 반응이 많았지만, 회계법인들에게는 아주 좋은 기회였습니다. 그 당시 강화된 규정으로 인해 업무량이 증가하면서 인력이 40%정도 부족한 상황이 발생했어요. 그래서 실무 경험이 많지 않은 회계사들도 쉽게 SOX Compliance(내부회계관리제도) 프로젝트에 합류할 수 있었죠. 회계법인들은 비감사회사 대상으로 SOX Compliance 프로젝트를 진행하면서 새로운 수익원을 창출했고, 동시에 감사회사 대상으로는 강화된 규정에 따른 추가 감사절차를 수행하면서 감사관련 수익이 급격히 증가했습니다.

SOX Compliance(내부회계관리제도)가 시행되고 초기 2~3년 동안은 BIG 4 회계법인과 BDO/RSM/Grant Thorton같은 세컨드 티어 회계법인이 대부분의 SOX Compliance(내부회계관리제도) 도입용역을 수행했어요. 초기 도입 이후에는 BIG 4 회계법인 또는 세컨드 티어 회계법인에서 경력을 쌓고 이직한 많은 중소형 회계법인들이 내부회계관리제도 관련 운용 및 컨설팅업무를 진행하게 되었죠.

[표 1] Benjamin & Young 회계법인 벤자민 대표가 내부회계관리제도 운용 및 컨설팅 당시 느꼈던 변화에 대한 타임라인
Timeline
(2012년 이후)
Large Accelerated Filers
(시가 총액 $700M 이상인 상장 회사)
Accelerated Filers
(시가 총액 $700M 이하이면서 $75M 이상인 상장 회사)
1-3 years BIG 4회계법인 또는 세컨드 티어 회계법인이 주도적으로 도입 프로젝트 진행 BIG 4회계법인 또는 세컨드 티어 회계법인이 주도적으로 도입 프로젝트 진행
4-7 years 내부적으로 담당하되 ITGC 같은 경우는 SOX 업무에 특화된 중소형 회계법인 및 컨설팅 회사에서 아웃소싱 진행 내부적으로 담당하되 작은 규모의 작업과 주요 ITGC 작업은 아웃소싱 진행
7 + Current 내부적으로 운용 및 ITGC 같은 경우는 SOX 업무에 특화된 중소형 회계법인 및 컨설팅 회사에서 용역 진행 대부분의 회사가 SOX업무에 특화된 중소형 회계법인 및 컨설팅 회사에서 설계 변경 및 운용 용역을 맡기고 내부회계관리 책임자는 내부 인력으로 두고 SOX Compliance를 수행


Q. 미국에서의 선행적인 경험에 비추어 볼 때 한국의 기업들과 외부감사인들이 어떻게 대응해야 할 것으로 보시는지.

첫 도입은 결코 쉬운 일이 아닙니다. BIG 4 회계법인과 용역 업무를 진행하거나 다른 CPA 또는 컨설팅 회사와 용역을 진행한다고 해도 순조롭게 진행되기는 어려워요.

한국의 현 상황이 미국에서의 내부회계관리제도 시스템 도입과 다를 수 있다고 생각하는 부분은, 한국의 내부회계관리제도는 미국의 시행 착오를 경험으로 삼아 모범 사례들로 내부회계관리제도 시스템을 구축할 수 있다는 거예요. 그러나, 저 또한 한국의 중견 회계법인에서 미국 공인회계사로 근무한 경험을 비추어볼 때, 한국 기업들의 경우 프로젝트를 진행하는 컨설턴트 또는 외부감사인에게 전적으로 의존하고 검증은 소홀히 하는 경향이 있기 때문에 과연 효율적인 내부회계관리제도 시스템 구축할 수 있을지 솔직히 우려되는 부분도 있어요.

내부회계관리제도는 회사가 준수해야 하는 통제 사항이기 때문에 회사가 주도적으로 진행해야 하는 작업이지, 외부감사인이나 외부 컨설턴트에 지나치게 의존해서는 효율적인 시스템을 구축할 수 없다는 사실을 잊어선 안됩니다. 기업 스스로 경험이 풍부한 내부회계관리제도 전문가를 찾아야 하고, 그 부분이 힘들다면 회사의 내부회계관리제도 구축 및 운용을 하는데 있어서 회사 경영진의 편에서 지속적으로 조언해줄 수 있는 내부회계전문 컨설턴트를 활용하는 것이 좋습니다.

예를 들어, 기업 A(대기업)가 내부회계관리제도 프로젝트를 위해 대형 회계법인과 용역을 진행 한 경우라도, 기업 A는 대형 회계법인의 업무 결과에 맹목적으로 의존해선 안됩니다. 즉, 기업 A는 내부회계관리제도프로젝트를 전반적으로 감독할 수 있을 만큼의 경험이 풍부한 팀 구성원을 기업내부에 두면서 용역 결과에 대한 객관적이고 효율적인 시스템 구축을 이어나가야 한다는 것이죠.

만약 내부회계관리제도프로젝트에 풍부한 경험을 가진 인력이 내부 팀에 존재하지 않는다면, 기업은 이러한 업무를 도와줄 수 있는 컨설팅 회사를 고용해서라도 내부회계관리제도 용역의 산출물을 검증하고 추가적으로 산출물을 바탕으로 한 내부회계관리제도 운용업무를 효과적으로 관리해야 합니다.

내부회계관리제도 도입 시기에는 보통 도입을 담당하는 회계법인들이 장시간의 업무와 통제활동들을 위해서 상당한 자원을 투입합니다. 회계법인 입장에서도 이익의 극대화를 위해서 비용을 최소화하면서 효율적인 시스템을 구축하려는 회사의 목표와 상충되는 가치가 발생하게 됩니다.

이러한 경우 경험이 풍부한 전문가는 회사의 입장에서 내부회계관리제도 도입 프로젝트를 진행하는 회계법인이 결정한 Key Control 범위의 효율성 및 필요성에 대해서 질문할 수 있고, 더 효율적이고 효과적으로 내부회계관리제도의 도입을 이끌어 낼 수 있습니다.

또한 내부회계관리제도 도입 첫 해에는 많은 미비점들이 발생할 수 밖에 없어요. 이때 대부분을 통제활동 보완을 위한 업무들이 주를 이루게 되는데 기업에서 효과적인 통제활동 구축과정에 능숙한 전문가를 활용한다면 통제 미비점에 따른 추가 요구 사항들을 맞춰나가는 동시에 꾸준히 통제활동의 상태를 모니터링 해나가면서 미비점을 보완할 수 있을 것입니다.

사실 미국에서도 비용 측면을 고려했을 때, BIG 4 회계법인의 전문가들에게 도움을 받기는 상당히 어렵습니다. 대형 회계법인의 전문가들은 권고사항에 대해서 명확히 해줄 수는 있으나, 기업 고유의 특성을 고려한 맞춤형 서비스를 제공하기란 쉽지 않기 때문이죠.

예를 들어, 재무 결산 프로세스에서 결함을 발견 했다면, 완전성 주장을 위한 재무 결산 프로세스 체크리스트를 고려하여 미비점을 해결 할 수 있어요. 이러한 체크리스트는 회사 상황에 맞게 조정하여 사용되어야 합니다. 이러한 세부 사항 하나하나를 체크하는 과정에서 대형회계법인 전문가들의 접근법과 회사 내부인의 접근법에 차이가 발생할 수 있습니다. 따라서 이러한 두 집단의 중간에서 회사의 SOX Compliance(내부회계관리제도) 관련 주장을 정리하고 외부감사인과 효율적으로 커뮤니케이션을 유지해 주는 전문가의 역할이 중요합니다.

이러한 과정에서 대형 회계법인 한곳에 모든 것을 맡기는 것이 최선의 선택은 아니라는 것을 미국의 많은 회사들이 SOX Compliance(내부회계관리제도) 도입 초반에 경험했습니다.그 결과 도입 후 5년 차에 접어들면서 많은 회사들이 운용(테스팅)을 맡는 회계법인 외에도 추가로 컨설턴트를 고용하여 Risk Assessment와 Key Control Rationalization에 집중적으로 자문을 받으며 SOX Compliance(내부회계관리제도) 초기보다 30%에서 40%정도 Key Control 개수를 줄일 수 있었습니다.


Q. 컨설턴트로서 미국에서 내부회계관리 프로젝트를 진행했던 자세한 과정은 어땠는지.

한국의 상장사 중에서도 자산규모가 큰 기업에 우선 적용되는 것이니 50개 이상의 해외 자회사를 보유한 글로벌 소비재 기업의 SOX 도입 컨설팅 사례를 소개해 드리면 도움이 될 것 같습니다.

[기업의 상태]
• 내부회계관리제도를 위해 재무제표 계정별로 중요성 평가를 수행하지 않음
• 세부 프로세스의 구분 및 연관된 계정을 명확히 매핑하지 않음
• 업무 분장 내용이 구체적이지 않아 정교한 통제활동 설계에 미흡한 상태

우선 컨설팅 대상 기업의 내부회계관리제도와 관련한 기존 업무 상태를 분석한 후 효율적인 위험평가를 위한 절차에 착수했습니다. 저와 제 동료들은 재무제표 수준에서 적절한 위험 평가를 수행 한 다음 회계처리의 복잡성으로 인해 가장 오류에 취약하고 부정이 발생할 수 있는 영역을 세부 프로세스에 연관된 중요 계정으로 세분화해 위험 평가를 진행하기로 결정했죠.

첫 번째 단계는 다양한 위험 요인에 따라 내부회계관리제도 감사인증 테스팅에 필수적으로 포함해야 할 계정을 식별하는 것인데, 이 기업의 경우 전 세계 50개국 이상에 자회사가 있었기 때문에, 세 개의 그룹으로 자회사를 구분해서 자회사의 중요성을 판단했습니다.

첫 번째 그룹은 “전체 범위 감사(Full-Scope)” 대상 자회사로 자회사의 중요성을 기준으로 범위 내에서 자동으로 포함돼야 할 자회사들입니다.

두 번째 그룹은 “제한 범위 감사(Limited-Scope)” 대상 자회사로 재무제표 계정별 (예: 재고 자산, 채권 등) 중요성에 따라 자회사 사업의 영향력을 판단했을 때 자회사가 특정 계정에만 영향력이 큰 경우라면 “제한 범위 감사(Limited-Scope)” 대상으로 분류합니다.

세 번째 그룹은 첫 번째와 두 번째 그룹에 포함되지는 않은 자회사들인데 이 경우에 내부회계관리제도 테스팅에서 제외시키는 것이 아니라, 세 번째 그룹으로 분류하여 매년 랜덤 샘플링을 진행합니다. 그 후 5개 정도의 자회사를 선정하고 재무제표의 계정에 미치는 영향을 판단하여 특정 프로세스에 대한 테스팅 절차를 시행하죠. 이러한 절차 진행의 핵심은 본사 차원에서 연결 프로세스를 포함해 자회사를 관리할 수 있는 효과적인 내부통제시스템을 갖출 수 있도록 올바른 가이드를 제공하는 것인데요. 이러한 가이드를 바탕으로 이 회사는 본사 관점에서 위험성 평가(Risk Assessment)를 진행하여, 재무제표의 계정별 위험성 평가를 완료한 후 자회사들과 유기적인 협력을 바탕으로 중요성에 따라서 내부회계관리제도를 운영할 수 있는 기반을 갖출 수 있었습니다.

컨설팅 수행 결과 이 기업은 글로벌 수준에서 통제 수를 거의 40%까지 줄일 수 있었고, 그 당시 이 기업의 외부감사인으로 일하던 PwC의 감사인들은 통합감사절차에서 저희가 선행적으로 수행했던 작업에 의존도가 높았어요. 그 덕분에 이 기업에서는 비용절감의 효과를 얻을 수 있었습니다.


Q. 미국에서 내부회계관리 시스템을 이용 중이신 것으로 아는데, 기업에 별도의 시스템이 반드시 필요하다고 생각하는지. 시스템 활용에 따른 장단점을 객관적으로 말씀해주신다면.

내부회계관리제도의 감사인증은 통제활동의 설계/평가항목/평가절차/보고를 명확하게 문서화해야 하기 때문에 ERP 시스템과 별도로 내부회계관리제도에 특화된 시스템이 필요합니다.

미국에서는 2000년도 후반부터 SOX Compliance 관리 소프트웨어가 사용되기 시작했는데요. 오늘 날의 많은 SOX 소프트웨어가 데이터 저장 및 위험평가에 드롭다운(Drop-down)으로 구성되어 있습니다. 이러한 구조의 시스템은 프로세스를 효율적으로 구축하는데 도움을 주지만 모든 체크박스를 일일이 선택해야 하고 한번 구성하면 수정이 어렵습니다. 따라서, 도입 첫해에는 SOX Compliance 소프트웨어 사용을 추천하지 않습니다.

하지만 장기적으로 볼 때 내부회계관리제도에 특화된 시스템은 반드시 필요하다고 생각합니다. 내부회계관리제도 시스템을 활용하면 보다 명확하게 내부회계관리제도 감사 인증 요구사항을 만족시킬 수 있으며, 외부재무보고와 관련된 일련의 내부통제가 적절하게 설계·운영되었다는 기업의 주장을 외부감사인에게 효과적으로 입증할 수 있습니다. 또한 내부회계관리제도에 소요되는 시간뿐만 아니라 외부감사인의 감사 투입시간도 절약할 수 있습니다.

저희 회계법인은 고객사의 효율적인 내부회계관리제도 도입 및 운용을 위해서 SOXLOBBY 라는 내부회계관리제도 시스템을 사용하고 있습니다. 수정이 어려운 체크리스트 형태의 구조가 아닌 협업에 중점을 둔 프로그램으로 SOX Compliance(내부회계관리제도) 운용 과정에서 프로세스를 여러 팀원들과 항상 공유할 수 있어 고객의 업무 효율성이 크게 향상되었습니다. 기본적으로 작성자와 검토자의 싸인오프 기능이 포함된 내부회계관리제도 요구사항을 충족하는 구글 드라이브 형태라고 생각하시면 좋을 것 같습니다. 기업의 내부회계관리제도의 Change Management(변화관리)가 용이하고 테스팅을 효율적으로 도와주어 기업의 내부회계제도 책임자의 업무 만족도가 높고, 운용을 진행하는 우리 회계법인과 고객사 그리고 외부감사인과의 의사소통이 향상되어 모두에게 윈-윈이 되는 시스템이라고 할 수 있습니다.


Q. 시스템 구축시 유의해야 할 사항이 있다면.

새로운 시스템을 도입하는 것은 정말 어렵습니다. 아이폰이 처음 나왔을 때를 떠올려보세요. 블랙베리나 기존 폴더폰에 익숙한 소비자들은 스마트폰 사용에 반감을 가졌었죠. 그러나 아이폰을 비롯한 다른 스마트폰에 모두들 익숙해졌고, 더 이상 폴더폰을 사용하려고 하지 않습니다. SOX Compliance에서 소프트웨어의 역할도 비슷합니다. SOX 툴에 대한 반감이나 기존의 방식이 아닌 새로운 방식에 많은 분들께서 불편해하실 수도 있지만, 결국에는 SOX 툴의 효율성에 만족하실 거예요.

내부회계관리제도 시스템 구축 시 중요한 것은 최대한 기존 직원들의 업무 흐름에 영향을 주지 않으면서 내부회계절차를 진행할 수 있도록 도와주는 시스템을 도입하는 것입니다. 따라서 시스템 제공 업체에 내부회계제도 시스템에 맞는 고객지원팀이 있는지 확인하는 것이 중요하다고 생각합니다. 내부회계관리제도는 회사의 내부 통제 중 외부 재무보고와 관련된 데이터와 스프레드시트를 효과적으로 관리하고, 이와 관련된 일련의 내부통제가 적절하게 설계·운영되었다는 회사의 주장을 증명할 수 있는 아주 중요한 시스템입니다.

이러한 이유로 내부회계관리제도 시스템을 구축할 때 시스템적인 측면만 강조하는 제품을 도입하는 것은 현명하지 못한 결정입니다. 시스템뿐만 아니라 내부회계관리제도와 기업의 내부 통제의 복잡한 세계를 이해하는 업체와 시스템을 구축하고, 기술적인 부분 그 이상의 질문에 답할 수 있는 고객지원팀이 있는 업체와 진행하는 것을 추천합니다. 반드시 제품을 판매하는 세일즈 팀이 내부회계관리제도 관련 질문에 효과적으로 대답하는지 확인해야 합니다.

이러한 종류의 많은 시스템들은 SI 업체들이 일반적으로 만들던 구성을 내부회계관리제도에 맞게 재조정해서 판매하는 경우가 많기 때문에, 실제 내부회계관리제도 업무에 효율적으로 적용할 수 없는 시스템인 경우가 많습니다. 결론적으로는 내부회계관리제도 요구사항들을 효과적으로 달성할 수 있는 목적으로 개발된 시스템인지 살펴보는 것이 중요합니다.


Q. 마지막으로 한국의 기업 또는 외부감사인 등 관계자들에게 조언을 해주신다면.

내부회계관리제도 시스템의 성공적인 구축을 위해서는 내부전문가 또는 외부전문가의 도움이 매우 중요합니다. 저는 개인적으로 미국에서 SOX Compliance (내부회계관리제도)를 선행적인 경험한 전문가를 추천하고 싶네요.

초기 내부회계관리제도 시스템 구축은 대부분 BIG 4 회계법인들이 용역을 진행하게 될 것인데 이 때 기업의 입장에서 진심으로 회사의 목소리를 대변할 수 있는 제3의 전문가를 참여시켜야 프로젝트의 성공 가능성을 높일 수 있다는 부분도 다시 한번 강조하고 싶어요.

그리고 이와 동시에 효과적이면서도 효율적인 내부회계관리제도 운영에 힘써야 합니다. 내부회계관리제도에 적합한 소프트웨어를 사용하여 회사, 컨설팅업체 그리고 외부감사인과의 효율적인 커뮤니케이션이 가능하도록 시스템을 구축하는 것도 필수적이니 반드시 참고하시기 바랍니다.