해외부패방지 및 자회사 내부감사 접근 방안

상장회사감사회에서 매월 발간하는 Auditor Journal 2017년 4월호에 게재한 기고문을 아래에 소개합니다.

 

---

해외부패방지 및 자회사 내부감사 접근 방안

안종식 이사 (딜로이트 안진회계법인)

jonahn[at]deloitte.com

기업들은 글로벌 기업으로 변모할 때 새로운 기회와 위험에 직면한다. 글로벌 시장에서의 성공은 내수시장에서 요구되는 역량과는 사뭇 다른 것을 요구한다. 또한, 조직의 구조와 관리 프로세스, 그리고 내부통제 시스템까지도 변화가 필요하다. 해외 자회사 내부감사 측면에서 전통적인 내부통제를 포함하여 부정부패 방지라는 새로운 과제가 기업들에게 주어지고 있다. ACFE(주1)의 조사에 따르면, 부정부패로 인해 매출의 5% 정도 손실이 발생하며, 가장 빈번하게 발생하는 부정의 유형은 자산유용(자산횡령)이고, 발생 시 손실 규모가 높은 부정의 유형은 재무제표 부정으로 조사되었다. 또한, 회계 및 재무부서를 포함한 핵심적인 부서에서 부정이 빈번하게 발생하고 있다고 한다. 해외 자회사를 효과적으로 내부감사하기 위한 방법으로 내부고발 시스템(Whistle-Blower System)을 운영하여, 리스크 기반의 체크리스트를 통해서 사전적으로 예방하고 사후적발을 용이하게 하는 접근방법이 필요한 시점이다.

1. 들어가며

2006년 11월 15일, 독일 검찰은 뇌물수수 혐의로 지멘스의 뮌헨과 에를랑겐 사무실을 압수수색했다. 광범위하게 문서와 전자 데이터가 수사기관에 의해 압수됐으며, 일부는 체포되었다. 지멘스는 진상 규명을 위해 독일과 미국의 수사당국과 협조하기로 결정했다. 2007년 1월부터 2009년 1월까지 미국계 로펌에서 독립적으로 수행한 내부조사와 병행한 수사당국의 조사를 통해 지난 수년 동안 지멘스의 사업부서와 지역에 있는 자회사에서 부패금지법과 회계규제를 조직적으로 위반한 사실을 밝혔고, 이는 2008년 미국 법원의 최종 판결문에서 명확하게 적시되었다.(주2) 2008년 12월, 지멘스는 미국의 해외부패방지법(FCPA, Foreign Corrupt Practices Act) 위반에 대한 책임을 인정했고, 지멘스의 해외 자회사 3곳이(아르헨티나, 방글라데시, 베네수엘라) FCPA를 위반했다고 인정했다. 지멘스는 미국과 독일 정부에 약 10억 유로의 벌금을 내었는데, 이는 한 기업이 낸 역대 사상 최고의 벌금이었다.

2. ACFE 연구조사 결과

ACFE의 ‘2016 Global Fraud Study’에 따르면, 부정부패로 인해 일반적인 조직은 매출의 5%의 손실이 발생할 것으로 추정했다. 자산유용(자산횡령)이 가장 일반적으로 발생하는 부정의 유형으로 보고된 사례의 83%를 차지했으나, 평균적인 손실 금액(Median Loss(주3))은 크지 않아서 $125,000 수준이었다. 반대로재무제표 부정은 사례의 10%를 차지했고, 평균적인 손실 금액은 $975,000으로 높은 수준이었다. 한가지 재미있는 조사는 부정이 오래 지속될수록 재무적인 손실이 커진다는 점이다. 평균적인 부정을 저지르는 지속 기간은 18개월인데, 지속되는 기간이 길어질수록 손실이 커져서 5년 이상 지속되는 부정은 평균적으로 $850,000의 손실을 야기하는 것으로 조사됐다. 조사된 사례의 94.5%에서 범죄자들은 부정을 숨기기 위해서 무언가 조치를 취하는데, 가장 일반적인 은폐 방식은 문서를 만들어서 조작하는 것이었다.

ACFE의 조사에서 부정적발에 대해 살펴보자. 우선, 가장 일반적인 적발 방법은 귀띔(Tips)을 받는 것으로 사례의 39.1%를 차지했으며, 부정을 보고하기 위한 핫라인이 있는 조직이 핫라인이 없는 조직보다 귀띔을 통해 부정을 적발하는 비중이 높았다. 감사, 모니터링, 계정잔액 대사 등 능동적인 방식으로 부정이 밝혀질 때가 수동적인 방식(경찰의 통보, 우연한 발견 등)보다 평균 손실 및 지속 기간은 낮은 것으로 나타났다. 부정을 보고하는 채널은 전화(39.5%), 이메일(34.1%), 온라인(23.5%)으로 전화보다는 인터넷을 통해서 보고하는 것이 일반적으로 나타났다.

조직의 크기에 따라 상이한 부정 리스크(Fraud Risk)에 노출되어 있다. 부정부패는 상대적으로 규모가 큰 회사에서 횡행하고 있으며, 반면에 수표조작, 개인정보 도용, 급여, 현금절도는 소규모 회사에서 대규모 회사보다 2배 정도 발생하고 있다. 또한, 소규모 회사에서 부정행위 방지 통제(Anti-Fraud Control)가 제대로 구현되지 않아서 심각한 피해를 야기하는 부정이 발생할 가능성이 높다. 부정행위 방지 통제의 존재는 부정으로 인한 손실을 낮추고 신속하게 발견하는데 도움을 주는 것으로 조사됐으며, 해당 통제가 있는 조직이 통제가 없는 조직보다 부정으로 인한 손실은 14.3~54% 낮으며, 부정은 33.3~50% 정도 더 빠르게 적발되는 것으로 조사됐다.

부정행위는 주로 회계부서에서 발생하며, 분석 대상 부정행위 중의 2/3가 7개 핵심부서에서 근무하는 개인들에 의해 발생하는 것으로 조사됐다. 7개 핵심부서는 회계, 운영, 영업, 경영진, 고객서비스, 구매 그리고 재무부서로 나타났다. 부정행위자들은 범죄에 가담하는 때에 행동적으로 경고의 징후를 보이고 있다. 가장 일반적인 징후는 분수에 넘치게 살기, 재무적인 어려움, 업체 또는 고객과의 특이하게 긴밀한 관계, 지나친 자제력, 부도덕한 행위와 관련된 권모술수에 능함, 최근에 이혼하거나 가정사의 문제 등이다. 이러한 징후는 조사된 사례의 78.9%를 차지했다. 또한, 부정 행위자들은 대부분 초범이며, 오직 5.2% 정도가 과거 전력이 있었다

3. 내부고발 시스템 운영 및 리스크 기반의 체크리스트

ACFE의 조사 결과를 요약하면, 1) 부정을 보고하기 위한 핫라인을 마련, 2) 부정부패 방지를 위해서 능동적인 적발 방식을 고안, 3) 핵심부서를 대상으로 발생 가능성과 영향도가 높은 리스크에 집중, 4) 효과적이고 효율적인 내부통제의 구현이 부정부패 방지를 위해 중요하다고 하겠다. 이를 해외 자회사에 적용해서 내부감사를 수행하는 방안은 다양하게 존재할 수 있으나, 내부고발 시스템을 운영하고 리스크 기반의 체크리스트를 활용하는 방안에 대해 살펴보도록 하자

우선 부정부패 방지를 위해서 익명의 제보가 가능한 내부고발(Whistle-Blow) 시스템을 운영하는 것이 중요하다. 내부고발 시스템에 입력된 제보는 감사 착수에 필요한 사전 자료로 활용될 수 있으며, 글로벌하게 운영되는 경우에 부정부패 방지를 위한 데이터베이스로서의 역할을 담당한다. 예를 들어, 지멘스는 ‘Tell Us’라는 내부고발 시스템을 운영하고 있다. ‘Tell Us’는 전 세계 모든 언어를 지원하고 지멘스의 임직원뿐만 아니라 외부인들까지 제보가 가능하며, 제보자의 익명성을 유지하고 보호하기 위해 외부의 독립적인 서비스 업체를 통해 운영되고 있다. 또한, 부정부패 사례(주4)를 기록하고 관리하기 위해 ‘TRACI’라는 웹기반의 관리시스템을 도입해서 부정부패의 사후관리를 통해 재발방지가 가능한 체계를 마련했다.

리스크 기반 감사 프로세스는 해외 자회사에서 발생 가능한 리스크를 체계적으로 식별ㆍ평가하고 지속적인 현황화를 통해 감사 사각지대를 최소화하고, 고위험 영역에 집중해서 감사자원을 효율적으로 배분할 수 있는 장점이 있다. 또한, 감사 과정에서 리스크를 추가하거나 삭제하여 지속적으로 업데이트하며, 이를 바탕으로 근본적인 원인분석이나 다양한 감사활동(일상감사, 특별감사, 자체감사 등)과의 연계가 가능하다

그리고 리스크 기반의 체크리스트를 활용하면 해외 자회사 대상 내부감사의 효율을 높이는 효과가 있다. 해외 자회사에 대해 리스크를 평가하여 자회사가 어떤 리스크에 노출되어 있는지 일관성 있고 체계적으로 확인할 수 있으나, 해외 자회사가 진출한 국가, 규모, 소속되어 있는 산업에 따라 점검해야 하는 항목이 달라질 수 있다. 리스크에 체크리스트를 연결하고, 국가의 특징에 따라 공통 체크리스트와 국가별 체크리스트를 마련하면 감사 효율을 높이면서 국가 특성을 반영한 감사가 가능하다.

4. 해외 자회사 내부감사 방안

해외 진출에 따라 지역별 상이한 법률규제, 비즈니스 환경으로 인해 해당 지역의 고유의 리스크 및 운영상의 복잡도가 증가하고 있다. 해외 자회사 측면에서 업무 프로세스와 내부통제가 현지 수준에 맞게 자의적으로 설계되어 통제가 미흡하며, 해외 진출시에 관리체계, 시스템 또는 적합한 인력이 부족하여 관리 공백이 발생하거나 법인별로 이질적인 관리정보가 산출되어 내부감사에 필요한 정보가 부재하여 관리가 어려운 측면이 있다. 따라서, 해외 자회사 대상 내부감사는 감사의 효과성을 높이는 것도 중요하나, 해외 자회사 인력이 손쉽게 관련 정보를 제공할 수 있도록 사용자 편의성을 감안하는 것이 필요하다.

ACFE의 조사 결과에서 가장 재무적인 피해를 크게 발생시 키는 재무제표 부정과 가장 빈번하게 발생하는 7대 부서 중에 회계·재무부서를 바탕으로 해외 자회사 내부감사 방안에 대해 살펴보자. 예를 들어, 해외 자회사에 대해 감사 Item을 도출하고, 모회사 감사부서에서 파악한 해당 Item의 리스크 중요성에 대해 평가할 수 있다. <표 1>

<표1> 해외 자회사에 대한 감사 Item 및 Risk Rating (예시적)

감사 Item			Risk Rating
프로세스	Item	설명	A법인	B법인
Finance & Accounting	B/S Analysis	B/S 계정 증감분석	LOW	MID
	I/S Analysis	I/S 계정 증감분석	LOW	LOW
Sales	Overdue AR	AR Aging 분석	HIGH	MID
	DSO	매출채권 회수일	MID	LOW
Purchase	Overdue AP	AP Aging 분석	MID	MID
	Cash Outgoing Payment	AP 지급 적절성	HIGH	MID
Asset	Tangible Addition	유형자산의 증감	MID	MID
	Third Party Sales of Asset	자산 매각 검토	HIGH	HIGH

만약 특정 법인의 리스크가 높다면, 해당 법인에 대해 재무, 업무, 경영 등 기능별로 전반적으로 감사를 실시하는 종합감사 계획을 수립한다. 해당 법인에 대한 종합감사에서 적발된 문제점과 취약점을 유사한 법인으로 확대하여 추가적인 감사를 수행할 수 있다. 또한, 특정 감사 Item에 대해 대부분의 법인에서 리스크가 높게 나타난다면, 해당 법인들에 추가적으로 상세한 자료를 요청해서 별도의 감사 계획을 수립한다.

감사 Item에 대해 재무적인 항목에 대해서는 ERP 시스템 등을 통해 계정과목별 금액을 추출해서 전기 및 당기의 금액을 비교해서 재무정보 관련 이상 징후를 모니터링 한다. 비교 기준 값 대비 계정의 증감(Variance)이 크게 발생한 경우, 사유에 대해 추가적인 자료를 요구하고 이에 따라 감사계획을 수립한다. <표 2>

<표2> 해외 자회사 A법인의 재무제표 모니터링 (예시적)

프로세스	Item	Account Name	Basis (전월 말 금액)	Actual (당기 말 금액)	Variance (당기 - 전기)
Finance & Accounting	B/S Analysis	Cash and Cash Equivalent	OOO	OOO	OOO
		Account Receivable	OOO	OOO	OOO

재무제표에서 추출이 불가능한 정성적인 항목은 체크리스트를 활용할 수 있다. 체크리스트는 해외 자회사 담당자가 1차로 자가진단을 수행하고, 이를 모회사 감사부서에서 검토하여 이상징후를 파악하는 방식이다. 예를 들어, 중국법인에 대해 회계 및 재무영역을 다음의 체크리스트를 활용해서 체크할 수 있다. <표 3>

<표3> 중국 현지 자회사 A법인의 재무항목 체크리스트 (예시적)

프로세스	Item	구분	점검항목	관련 증빙
Finance & Accounting	업무분리	공통	회계담당자와 자금담당자는 별도로 구분되어 있는가?	업무분장표
		중국	은행 Ukey를 2개 발급해서 입력권한, 승인권한으로 구분해서 관리하고 있는가?	은형 Ukey (공인인증서)
	계약관리	공통	인감 관리를 수행하고 있는가?	인감사용대장
	재무인력	중국	회계 및 출납 업무를 수행하는 담당자가 자격증을 갖고 있는지 실물을 확인하고 있는가?	会计业资格证书(회계직업자격증서)
	전표작성	공통	비용전표 작성 시 비용금액이 승인된 예산한도를 넘지 않는지 확인하는가?	비용전표
		중국	전표 작성시 적법한 증빙(发票)을 구비하고 증빙과의 내역이 일치함을 확인하는가?	적격증빙(发票)

체크리스트는 글로벌 전체 자회사에 적용되는 공통 점검항목과 해당 국가 고유의 점검항목으로 구분하여 정의할 수 있다. 자회사 담당자는 점검항목을 자가진단 하면서 업무에 대해 이해도를 높일 수 있으며, 모회사 감사부서는 자회사의 자가진단 결과를 바탕으로 감사계획을 수립할 수 있다. 만약 시스템으로 구현되어 있다면, 감사 효과는 더 커진다. 예를 들어, 자회사 담당자가 상위 결재권자의 승인 전에 점검항목 체크결과를 수정한 경우, 업무에 대한 이해가 부족하거나 다른 부정이 발생할 소지가 있으므로 체크결과가 수정된 항목에 대해서 감사계획을 수립하여 감사 효과를 높일 수 있다.

5. 맺으며

지멘스는 최악의 부정부패 스캔들 이후, 이를 근절하기 위해 사전예방과 발견에 집중한 프로세스를 도입하여 현재까지 운영하고 있다. 결국, 해외 자회사를 효과적으로 내부감사하기 위해서는 사전적인 예방장치인 내부고발 시스템(Whistle-Blower System)을 운영하고, 사전예방과 사후적발이 용이한 내부통제 체계인 리스크 기반의 체크리스트를 도입하는 것이 중요한 시점이다

주1) Association of Certified Fraud Examiners

주2) Responsible Behavior, Siemens, 2016

주3) ACFE의 조사에서는 손실 금액을 중앙값(median) 기준으로 조사했으며, 본 고에서는 편의상 ‘중앙’ 대신에 ‘평균’이라는 용어를 사용함

주4) 지멘스는 부정부패 사례를 Public Corruption, Non-public Corruption, Anti-trust Violation, Fraud, Theft, Human Resources, Other로 구분하여 관리함

---

경영컨설턴트이자 국제공인관리회계사인 안종식입니다. 주로 신사업 기획, 해외진출, 디지털, 스타트업, 커머스 그리고 중국에 대한 주제로 글을 쓰고 있으며, 관련 주제로 기업체와 협회에서 강의하고 있습니다. 현재는 딜로이트에서 컨설팅 업무를 담당하고 있습니다.

blog: http://aliahn.tistory.com

mail: jongsikahn.cma[at]gmail.com

※ 모든 글은 제가 직접 작성했습니다. 제 허락 없이 무단으로 재배포할 수 없습니다.