윤성식 금융윤리인증센터 교수·한국감사협회 이사

최근 사회적으로 금융사고 등 내부통제 부실 사태가 분출하고 있다. 금융기관, 공공기관, 협회, 회사 등 많은 조직에서 다양한 양태의 횡령 사고가 쏟아졌다. 모 시중은행은 재작년에 700억원대의 횡령사고에 이어 얼마 전에는 100억원대의 횡령사고까지 터져 은행장이 국민에게 사과하는 일까지 벌어지기도 했다.

금융권의 ELS(주가연계증권) 관련 대규모 소비자 피해 사고와 저축은행의 PF대출 부실 사고는 현재진행형이다. 대기업의 기밀 유출 및 공공기관의 개인정보 유출 사고도 보도됐다.

이러한 내부통제 부실 사고가 발생하면 고객과 국민의 신뢰를 추락시키고 조직 운영에 치명적인 교란 요인으로 작용하기도 한다.

사고를 예방하여 신뢰 회복과 조직의 지속가능성을 확보할 필요가 있다. 그러기 위해서는 효율적인 내부통제시스템의 구축와 효과적인 내부통제 활동이 절실히 요구된다 할 것이다.

내부통제를 잘하기 위해서는 우선 내부통제가 무엇인지 제대로 알아야 한다. 내부통제에 관한 국제적 전문기구인 COSO(Committee of Sponsoring Organizations)는 ‘내부통제는 조직의 전략 목표 달성, 업무 운영의 효과성과 효율성, 재무 및 일반 업무정보의 신뢰성과 무결성, 자산보호, 법규준수를 위해 모든 임직원이 지속적으로 수행하는 정책, 절차, 활동’이라고 정의하고 있다.

세계내부감사인협회인 IIA(Institute of Internal Auditors)에서는 ‘리스크를 관리하고 조직 목표 달성 가능성을 높이기 위해 경영진, 이사회, 관련자가 취하는 모든 조치와 실행(action)이며, 경영진이 전략과 목표를 달성하기 위해 충분한 조치를 계획, 조직, 지시하는 활동’이라고 정의하고 있다.

기타 INTOSAI(International Organization of Supreme Audit Institutions, 세계최고감사기구)와 ISACA(Information System Audit and Control Association, 국제정보시스템감사통제협회) 등 다양한 국제적 전문기관이 내부통제를 정의하고 있는데, 이 모든 정의를 한마디로 표현하면 내부통제는 ’리스크를 관리하기 위한 조치 및 실행(action)‘이라고 정의할 수 있다.

‘리스크를 관리하기 위한 조치’라는 내부통제의 정의를 음미해 보면, 내부통제를 잘하기 위해서는 우선 관리 대상인 리스크를 정확하고 완전하게 파악해야 한다는 점을 알 수 있다.

‘리스크’(Risk)는 조직 목표 달성에 영향을 미치는 ‘사고 발생가능성’(Likelihood)‘을 의미한다. 따라서 사고가 발생하지 않도록 사고 발생가능성(리스크)을 관리하는 조치 및 실천적 행동이 내부통제인 것이다.

그래서 ‘리스크’와 ‘내부통제’는 떼려야 뗄 수 없는 사랑하는 관계라고 말하기도 한다. 리스크 있는 곳에 꼭 내부통제가 있어야 한다는 말이다.

즉, 화재 발생가능성(리스크)에 대비하여 소화기(내부통제)를 비치하거나, 비가 올 가능성(리스크)에 대비하여 우산(내부통제)을 챙기는 것과 같은 것이다. 또 압사 사고 위험(리스크)이 있는 인구 밀집 현장에 대해 과거 사례 등을 통한 리스크 요인을 면밀히 분석하여, 적절한 수의 질서 유도 경찰을 배치하고 보행 안내 라인을 설치(내부통제)하여 사고가 발생하지 않도록 조치하는 것과 같은 의미이다.

따라서 내부통제를 잘하기 위해서는 리스크를 정확하고 완전하게 평가해야 한다. 예를 들면, 화재 발생가능성을 분석하고 화재 규모의 정도를 평가하여 위험 지역에 금연 경고문을 붙이거나 CCTV와 소화기와 소화전을 설치하는 조치와 실질적 행동을 해야 하는 것이다.

리스크를 평가하지 않고 내부통제 장치만 구사한다면 마치 비가 올 가능성에 대비하여 소화기를 들고 출근하거나, 압사 사고 위험이 있는 인구 밀집 현장에 경찰 몇 명 보내놓고 내부통제 잘했다고 만세 부르는 극단적인 오류를 범할 수가 있다. 또한 화재 위험성이 없는 해수욕장의 모래사장에 비싼 소화기를 비치하는 어리석은 자원의 낭비만 초래할 수 있는 것이다.

사고 위험에 대한 내부통제를 잘하기 위해서는 어떤 부서의 어느 업무 프로세스에 사고 요인이 있는지 프로세스 수준의 리스크 평가가 선행되어야 한다. 조직이 무리한 목표 설정 및 추진 과정에서 어떤 사고 발생가능성이 없는지 전략리스크도 면밀히 고려해야 한다.

또 누가 사고 저지를 위험이 있는지 휴먼리스크(Human Risk)를 평가하여 적절히 인사 관리하고 윤리준법 프로그램도 가동해야 한다. 필요하다면 금융위에 등록된 ‘금융윤리자격인증제도’도 활용할 수 있을 것이다. 그래야 내부통제 사고를 적절히 예방하여 국민들의 신뢰를 얻고 조직의 지속가능성을 확보할 수 있을 것이다.

사고는 적발보다 예방이 우선이다. 중국 위나라의 전설적인 명의 편작(扁鵲)은 “죽어가는 환자를 살리는 의사보다 아예 병이 나지 않도록 처방하는 의사가 최고의 명의”라고 했다. 조직의 전략과 업무 프로세스와 사람과 환경에 대한 리스크를 선제적으로 평가해서, 그 리스크에 대응하는 적절한 내부통제시스템을 설계하고 효과적으로 작동시켜 사고를 예방해야 할 것이다. 그래서 무사고 천국이 됐으면 좋겠다.

©(주) EBN 무단전재 및 재배포 금지