불확실의 시대, 내부감사가 길을 제시하라

상장회사감사회에서 발간하는 Auditor Journal 2018년 3월호에 게재된 기고문을 요약해서 블로그에 올립니다. 2018년 3월부터 1년 동안 연재할 예정입니다.

---

The Continuous Evolution of Internal Audit

: 불확실의 시대, 내부감사가 길을 제시하라

안종식 이사(딜로이트 안진회계법인)

jonahn[at]deloitte.com

오늘날 글로벌 경제는 내부감사의 역할에 대해 새로운 사고를 요구한다. 전 산업 및 지역에 걸쳐서 오늘날의 비즈니스 환경은 높은 불확실성에 직면하고 있으며, 이로 인해 산업 내에서 변동성이 확대되고 기존의 시장 지배자가 강력한 비즈니스 모델을 가진 민첩한 경쟁자에 의해 시장의 지위를 잃고 있다. Deloitte의 내부감사 조사에 따르면, 내부감사책임자(Chief Audit Executive)의 79%는 내부감사가 변화해야 한다고 응답했다. 감사위원회의 64%, 경영진의 73%가 내부감사의 변화 필요성에 대해 응답한 것에 비하면 높다고 할 수 있다. 내부감사의 변화 필요성은 이해관계자들이 느끼고 있지만, 정작 조직 내에서 내부감사의 영향력은 다소 부족하다는 인식이 있다. 내부감사책임자의 28% 만이 내부감사가 조직 내에서 미치는 영향력이 크다고 응답했으며, 16%는 영향력이 거의 없다고 응답했다. 비록 아직은 영향력이 미미하지만, 내부감사책임자의 64%는 내부감사가 향후 수 년간 강력한 영향력을 갖는 것이 중요하다고 응답했다. 내부감사의 현재의 영향력과 미래의 영향력 간의 격차를 줄여야 조직 내에서 중요한 역할을 담당함을 시사한다. 이제 내부감사는 변화하는 비즈니스 환경에 능동적으로 적응하고 조직 내에서 영향력을 강화하여, 미래의 불확실에 직면한 경영진 및 이사회에 전략적인 조언자 역할을 담당해야 하는 시점이다.

기업들이 새롭고 혁신적인 기술을 비즈니스에 도입함에 따라 내부감사는 선제적으로 새로운 기술들이 야기하는 리스크를 분석하고 통찰력을 얻어야 한다. 이러한 활동을 통해 내부감사는 경영진들에게 신규 리스크(Emerging Risk)를 예방하고 감지하는 적절한 통제에 대한 확신(Assurance)을 제공하게 된다. 결국, 디지털화와 글로벌화라는 비즈니스 변화에 대응하여 내부감사는 다음의 역할을 담당하도록 요구 받고 있다.

• 비즈니스가 새로운 기술을 수용함에 따라 내부통제에 대한 확신 제공

• 신규 리스크를 예방하여, 리스크 발생 즉시 문제를 해결하도록 지원

• 전략 및 운영 상의 의사결정에 대한 확신 제공

• 디지털과 기술의 위협에 대한 내부통제 강화

• 전사적인 이슈를 보다 신속하게 식별

• 비즈니스 변화를 조직에 정착하도록 지원

대부분의 내부감사 부서는 이러한 혁신적인 변화·대응에 초기단계로 머물러 있으며, 심지어 변화의 필요성에 대해 인지하지 못하고 있다. 그러나 내부감사 부서는 단순히 정부규제 준수나 부정적발이라는 전통적인 업무에서 벗어나, 불확실하고 변화하는 비즈니스 환경에서 파생되는 다양하고 새로운 리스크를 사전적으로 관리하도록 요구 받고 있다. 이와 더불어 내부감사 업무의 효과성을 증대시키기 위해 다양한 기술을 내부감사에 접목시켜야 한다는 요구에 직면하고 있다. 현 시점에서 더 중요한 것은 경영진과 감사위원회를 포함한 이해관계자들이 내부감사에 무엇을 요구하는지 이해하고, 이해관계자의 기대수준을 충족시키기 위해 내부감사 자체를 혁신하거나 진화해야 한다는 점이다

불확실의 시대에 경영진 및 감사위원회를 포함한 이해관계자들이 내부감사에게 기대하는 역할은 무엇일까? 불확실하고 복잡한 비즈니스 환경은 곧 내부감사가 조직에 가치를 제공할 기회가 늘어난다는 것을 의미한다. 전통적으로 내부감사는 비즈니스 영역에 대해 확신(Assurance)을 제공하는 것이 주요 업무 영역이지만, 앞으로는 기업이 수행하는 비즈니스 활동에서 수익을 극대화할 수 있는 통찰력을 제시해야 한다. 더 나아가서 의사결정자들에게 객관적인 시각을 제공해야 하는 역할도 담당해야 한다. CBOK(Global Internal Audit Common Body of Knowledge)연구조사에 따르면, 조직에 가치를 창출하는 내부감사 활동은 다음과 같다.

(1) 확신 제공 활동

• 내부통제 시스템의 적절성 및 효과성에 대한 확신

• 조직의 리스크 관리 프로세스에 대한 확신

• 준법감시(컴플라이언스)에 대한 확신

(2) 통찰력 제공 활동

• 업무 개선을 위한 권고

• 신규 리스크(Emerging Risk)에 대한 식별

(3) 객관적인 조언 활동

• 경영진에 조언 제공

• 부정행위 조사 또는 예방

• 감사위원회에 조언 제공

내부감사가 미래로 나아가기 위해 어떻게 변화해야 하는가? 우선 내부감사는 내외부의 이해관계자에게 내부감사가 제공하는 가치를 명확하게 전달하고, 경영진 및 감사위원회에 내부감사의 변화 필요성에 대해 이해시켜야 한다. 내부감사가 전통적인 확신(Assurance)을 제공하는 것을 가치로 삼는다면, 이해관계자들은 내부감사의 가치를 낮게 평가할지도 모른다. 내부감사가 통찰력과 객관적인 조언의 제공으로 가치를 확대한다면, 이해관계자들은 내부감사의 영향력에 대해 재인식하게 될 것이다. 감사위원회나 경영진은 내부감사가 내부통제를 개선하고 전사의 리스크를 사전에 예방하면서 확신을 제공하기를 기대하고 있다. 내부감사는 회사의 전략적인 비즈니스 이슈와 리스크에 대해 통찰력을 제공해야 하며, 감사계획 수립시 리스크 기반의 감사(Risk-Based Audit)로 전환하도록 노력해야 한다. 그러나 내부감사가 자문기능을 확대하는 것이 내부감사 고유의 역할과 동떨어진 것으로 비쳐질 수 있으므로, 전통적인 확신 제공과 자문기능 간의 균형이 필요하다.

내부감사는 2차 방어선의 평가를 포함한 전사의 리스크 관리 기능에 대해 감사를 해야 하며, 미래지향적인 시각으로 신규 리스크를 감지하고 예방해야 한다. 내부감사는 리스크 관리의 3차 방어선 역할을 담당하여, 1차 방어선과 2차 방어선이 수행하는 리스크 관리 활동이 효과적으로 수행되고 있는지 검토해야 한다. 내부감사는 1차 방어선을 포함한 리스크 관리 기능의 전반에 대해 감사해야 하며, 리스크 관리를 위해 충분한 자원(인력, 프로세스, 시스템 등)이 확보되어 있는지 확인해야 한다. 이사회와 감사위원회의 회의 안건으로 언급되는 주요 리스크에 대해 효과적으로 관리되고 있는지 확신을 제공해야 하며, 신규 리스크(Emerging Risk)를 식별하고 관리하는지 검토해야 한다.

이제 내부감사가 조직을 미래로 인도하기 위해 길을 제시해야 하는 시점이다. 내부감사는 끊임없이 진화해야 하며, 과거와는 다른 새로운 시각으로 내부감사 영역을 변화시켜야 한다. 앞으로의 연재에서는 불확실하고 변화하는 비즈니스 환경 하에서 내부감사가 제시하는 미래에 대해 살펴보도록 하겠다

---

경영컨설턴트이자 국제공인관리회계사인 안종식입니다. 주로 유통, 소비재(화장품, 식음료 등), 인터넷/모바일, 신용카드 산업에 이르는 다양한 B2C 분야에서 신사업 전략, 경영전략, 해외사업, 리스크 관리 등의 컨설팅 경력을 보유하고 있습니다. 유통 대기업에서 인터넷/모바일 커머스 분야의 신사업 기획 업무를 비롯하여 사업기회 탐색, 신사업 전략 및 비즈니스 모델 수립, 사업화 추진 등 다양한 업무 경험이 있습니다. 현재는 딜로이트에서 컨설팅 업무를 담당하며, 다양한 기업체와 협회에서 강의 활동을 하고 있습니다.

blog: http://aliahn.tistory.com

mail: jongsikahn.cma[at]gmail.com

※ 모든 글은 제가 직접 작성했습니다. 제 허락 없이 무단으로 재배포할 수 없습니다.