ESG : 기후금융 시대의 기업 전략
ESG 내부통제 규준, 어디까지 왔나
Article at a Glance
ESG 정보 공시 의무화를 앞두고 공시 정보에 대한 확신을 제공하는 ESG 내부통제 시스템 구축의 필요성이 커진다. 우선 기업은 ESG 가치를 성실히 수행하고 그에 대한 이사회 감독을 받는 통제 환경을 구축해야 한다. 다음으로 ESG 목적 달성에 부정적 영향을 미치는 위험을 식별, 분석, 평가해야 한다. 그리고 이런 위험을 경감하기 위한 통제 활동을 설계, 실행한다. 다양한 채널을 통해 내부 구성원과 외부 이해관계자들에게 ESG 정책을 전파하며, 마지막으로 내부감사를 통해 내부통제가 효과적으로 작동하는지를 상시 점검해야 한다.
왜 ESG 내부통제인가?
ESG 관련 법률, 평판 리스크가 증가하면서 ESG 내부통제의 중요성이 커지고 있다. 국제재무보고기준(IFRS) 재단 산하 국제지속가능성기준위원회(ISSB S1, S2), 미국(SEC 기후공시), 유럽(ESRS) 등 주요 경제 권역에서 공시 기준(표 1)을 잇달아 발표하면서 ESG 정보 공시가 자발적 공시에서 규제를 통한 의무 공시로 전환되고 있다. 특히 이른바 ESG 3대 공시 기준은 모두 온실가스 배출량 정보의 정확성 및 신뢰성에 대한 제3자 인증을 의무화하고 있다. 외부 인증에 앞선 준비 단계로서 공시 정보에 대한 내부적인 확신을 제공하는 내부통제가 필요한 배경이다.
또 글로벌 곳곳에서 ESG 관련 제재 또는 소송 건수가 증가하면서 기업이 직면하는 법적 리스크가 커지고 있다.1 특히 규제당국 및 사법당국이 횡령, 보고 부정뿐만 아니라 내부통제상의 문제를 제재 대상으로 삼기 시작했다는 점에 유의할 필요가 있다. 미국 증권거래위원회(SEC)는 2021년 3월 제재국 내에 ‘기후 및 ESG 태스크포스(Climate and ESG Task Force)’를 설치하고 ESG 관련 위반 행위 및 허위 공시 등에 대한 조사 및 제재를 실시하고 있다. 이 중에는 내부통제 또는 공시 통제(disclosure control)의 실패에 대한 책임을 묻는 제재 건2 이 여럿 포함돼 있다. 현재 SEC가 도입을 추진 중인 기후공시 규칙은 기후 관련 위험, 온실가스 배출량, 기후 관련 재무지표 등에 대한 방대하고도 상세한 정보의 공시를 요구하고 있어 ESG 내부통제에 대한 SEC의 엄밀한 조사와 제재가 강화될 것이다. 우리나라도 최근 금융당국에서 금융회사지배구조법상 내부통제 기준 마련 의무를 위반했다는 이유로 금융회사 임직원을 제재한 사례3 가 등장했으며 앞으로 책무구조도 도입을 주요 내용으로 하는 지배구조법 개정안이 시행(2024년 6월)되면 내부통제 실패에 대한 책임을 묻는 금융당국의 제재가 증가할 것으로 예상된다.
규제 대응에서 더 나아가 경영진은 ESG가 기업 무형자산의 가치 평가에 위협 요인이 아닌 기회 요인이 될 수 있도록 이를 통제 관리할 방안을 강구할 필요가 있다. S&P 500 기업의 시장가치에서 인적 자본, 고객 충성도, 브랜드 인지도 등과 같은 무형자산이 차지하는 비중이 90%에 이를 정도로 커졌으며, 이에 영향을 미치는 ESG 태도의 중요성도 커지고 있다.
ESG 내부통제는 ESG 보고 정보의 신뢰성과 정확성을 확보하기 위한 핵심적 수단이다. 하지만 글로벌 기업들도 ESG 목표 및 전략 수립, 보고 공시 등 ESG 활동이 증가하고 있는 반면 ESG 관련 내부통제의 구축 및 실행에는 아직까지 미흡한 것으로 나타나고 있다. 감사·ESG·준법 관련 플랫폼 제공 업체인 오딧보드(AuditBoard)가 글로벌 200여 개 기업을 대상으로 실시한 온라인 서베이에서 조사 대상의 3분의 2가 2023년 중 ESG 내부통제를 실시하지 않고 있는 것으로 나타났다.5
한국 기업도 마찬가지다. 국내 기업들은 지난 몇 년간의 노력을 통해 ESG 경영 전략에 있어 상당한 진전을 이루고 있으나 ESG 정보 공시의 성숙도 측면에서는 글로벌 기업에 비해 상대적으로 뒤처진 것으로 평가되고 있다.6 시총 상위 200대 기업 중 지속가능성보고서 발간 기업 비중도 2022년 75.5%로 전년(55.5%)에 비해 크게 늘었지만 아직 미국에 비해 다소 미흡한 수준이다.7 많은 국내 기업에 ESG 정보 공시에 대한 전사적 관심이 부족한 가운데 데이터의 수집-분석-처리가 수작업에 의존하고 있으며 책임과 권한의 배분도 불명확한 실정이다.
이에 2023년 3월 COSO가 발표한 기업 조직의 ESG 내부통제의 구축 및 운영을 지원하기 위한 가이드라인(Achieving Effective Internal Control over Sustainability Reporting, 이하 ICSR)8 을 바탕으로 바람직한 ESG 내부통제 활동에 필요한 핵심 사항들을 소개하고자 한다. (DBR mini box ‘COSO의 ICSR이란?’ 참고.)
ESG 내부통제의 구성 요소와 실천 방안
(1) 통제환경(Control Environment)
통제환경은 조직의 기풍이나 문화를 결정하는 모든 제도, 기준, 경영자의 의사결정과 행동의 일체를 말한다. 이는 조직 구성원의 의식과 행동 양식에 영향을 줌으로써 내부통제 실행의 기초가 된다. ESG 통제환경의 첫째 요소는 ESG 가치를 성실히 지키겠다는 경영진의 약속과 헌신이다. COSO는 ESG 공시의 신뢰와 책임성을 확보하고 그린워싱을 방지하기 위해서는 ESG 가치에 대한 성실성과 도덕성이 매우 중요하다고 봤다. 최근 몇 년간 이해관계자 자본주의로의 패러다임 전환이 확산되고 목적 선언문(mission statement)에 ESG 가치를 통합하는 기업들이 크게 늘어나고 있는 것은 ESG 통제환경에 긍정적 요소다. 예컨대 비콥(B Corporation) 인증을 받은 기업의 수가 2021년 4427개에서 2023년 8월 현재 93개국 7300여 개로 증가했다.
ESG 내부통제에 대한 이사회의 독립적 감독도 중요한 환경적 요인이다. 이를 위해 이사회 내 하부 위원회별로 ESG 활동에 대한 감독 책무를 부여하거나 ESG 전문가를 이사회 위원으로 포함하는 방안을 고려할 수 있다. 예컨대, 지속가능위원회에는 ESG 관련 전략 수립, 위험과 기회 요인 평가, 감사위원회에는 ESG 공시 및 법규 준수의 적정성 점검, 이사후보추천위원회에는 ESG 전문성을 보유한 이사 후보의 추천 및 임명, 보상위원회에는 ESG 목표 달성과 경영진 보상의 적정성 평가 등으로 책무를 부여하는 것이다. 이와 관련해 올해 중으로 최종안이 나올 것으로 예상되는 SEC 기후공시규칙은 기후 위험 감독을 담당하는 경영진 또는 이사회 구성원의 기후 위험에 대한 ‘전문성을 충분히 상세하게’ 공시할 것을 요구하고 있다.
ESG 목표 달성을 위한 조직 구조를 마련하고, 권한과 책임, 보고 라인을 분명히 할 필요가 있다. 일부 기업은 ESG 관련 위험관리, 정보의 생산, 공시보고서 작성 등의 업무를 전담하기 위한 별도의 부서(TF) 또는 직책(sustainability CFO, ESG controller 등)을 신설하기도 한다. 그러나 ESG가 아직 새로운 분야인 데다 다양한 분야에 대한 전문적인 지식을 요구하기 때문에 적합한 인력을 구하기가 어려운 것이 현실이다. ESG 전담 부서의 인력 부족은 ESG 목표의 달성을 어렵게 하고, 불충분한 직무의 분장을 초래해 효과적인 내부통제를 곤란하게 한다. 따라서 기존 직원의 재교육을 실시하는 등을 통해 ESG 담당 인력을 확충해야 한다. COSO는 아울러 ESG 목표 달성 상황과 연동된 보상 체계의 수립 등으로 담당 직원의 책임(accountability)을 제고할 것을 권고하고 있다.
(2) 위험평가(Risk Assessment)
ESG 위험평가란 조직의 ESG 목적 달성에 부정적 영향을 미치는 위험을 식별, 분석, 평가하는 활동을 말한다. ESG 위험평가를 위해서는 선행 단계로서 운영, 보고, 준법 등의 ESG 목적을 설정해야 한다. ESG 운영 목적은 조직의 ESG 가치를 실제 업무 현장에서 실현할 수 있는 방식으로 설정해야 한다. 즉, 운영 목적은 모호하고 추상적인 슬로건이 아니라 데이터에 기초(data-driven)해 측정 가능하고, 실행 가능하며, 구체적인 목표로 설정해야 한다.9 오늘날 기업들이 공통적으로 설정하는 ESG 운영 목적으로는 온실가스 감축 목표, 재생에너지 사용 목표, 조직 구성원의 다양성 목표 등이 있다.
ESG 보고 목적과 관련한 주요 이슈로 일관성(consistency)과 중대성(materiality)의 문제가 있다. 재무보고와 지속가능보고(비재무보고)는 작성을 담당하는 부서가 다르며, 지속가능보고의 경우 다양한 보고 기준(온실가스 프로토콜, GRI, SDGs, ISSB 등)이 존재하기 때문에 보고서 간 일관성을 확보하는 데 유의해야 한다.
특히 EU와 국제보고기준(GRI, CDP 등)은 환경·사회가 기업에 미치는 영향뿐만 아니라 기업이 환경·사회에 미치는 영향도 고려해야 한다는 ‘이중의 중대성(double materiality)’10 또는 과거 중요성이 높지 않았던 환경·사회적 이슈가 시간이 지남에 따라 기업의 재무 상태에 중요한 영향을 미친다는 ‘동태적 중대성(dynamic materiality)’의 관점에서 ESG 정보의 공시를 요구하고 있다.11 이 같은 중대성 기준은 재무보고의 관점에서는 중요하지 않은 항목이 기업의 ESG 평가 등급에는 유의미한 영향을 미칠 수 있다는 점과 함께 궁극적으로 기업의 ESG 경영 활동을 재무정보로 연계하는 공시를 요구하고 있다는 점에 유의해야 한다.
그다음 단계로서 ESG 목적 달성에 대한 다양한 시나리오하에서 위험 요소를 식별·평가해야 한다. ESG 위험평가는 질적 평가와 함께 그 재무적 영향을 측정하는 양적 평가를 병행하는 것이 바람직하다. 위험을 평가한 이후에는 위험의 수용, 회피, 감축, 공유 등 위험의 관리 방법을 결정한다. ESG 관련 부정위험도 중요한 평가 항목이다. 이와 관련해 2022년 국제회계법인인 그랜드 손턴(Grant Thornton)은 공인부정조사협회(ACFE)가 개발한 ‘부정사고 분류체계(Fraud Tree)’를 확장해 ‘ESG 부정위험 분류체계(ESG Fraud Taxonomy)’를 제시했다.12 즉, 기존의 부패, 횡령, 회계부정의 3개 범주에 더해 4번째 범주로서 ‘비재무보고 부정’을 신설하고, 이의 구체적인 유형으로 허위 광고, 허위 공시, 허위 서약, 공시 누락 등을 열거했다.
마지막으로 ESG에 대한 사회적 요구와 규제 수준이 지속적으로 높아지는 등 외부의 환경 변화에 따른 위험을 고려해야 한다. 과거에는 중요하지 않았던 이슈(온실가스 배출, 작업장 안전도 등)가 NGO 등 이해관계자 그룹의 문제 제기나 규제당국의 규제 강화로 영업상 중요한 고려 사항으로 등장할 수 있다. 사업 모델에 영향을 미칠 수 있는 이러한 ESG 위험 요인들이 표면화되기 이전에 조기에 대응하는 것이 중요하다.
![GettyImages-1486999419_[변환됨]](/upload_dir/source/2024 387/GettyImages-1486999419_[변환됨].png)
(3) 통제 활동(Control Activities)
조직의 ESG 목표를 설정하고 이 목적을 달성하는 데 방해가 되는 위험을 파악했다면 위험을 경감하기 위한 통제 활동을 설계하고 실행해야 한다. 직무의 분장이 통제 활동의 기본적 요소이듯이 전문 지식으로 무장한 담당자를 임명하고 권한과 책임을 명확히 하는 것은 ESG 통제 활동에 있어 기본적이고도 중요한 요소다. ICSR은 통제 활동을 설계하기에 앞서 내부감사 또는 외부 전문가에 의해 내부통제 시스템의 유효성 등을 진단하는 ‘ESG 준비도 평가(readiness assessment)’를 실시할 것을 권고하고 있다.
ESG 정보의 수집-처리-보고에 있어 다수의 기업이 아직까지 엑셀, e메일 등 단순한 정보기술에 의존하고 있어 정보의 소스와 경로 관리가 어려운 문제가 발생한다. 따라서 기존 정보 시스템의 유효성을 재평가하고, 재무정보 통제 시스템에 상응하는 수준의 정교한 ESG 정보시스템을 구축하는 것이 시급한 과제다. 특히 ESG 정보의 수집, 처리 등을 위해 외부 서비스 제공 기관을 이용하는 경우 그 정보의 정확성과 신뢰성을 보증할 최종 책임은 해당 기업에 있다는 점을 인식해야 한다. ESG 정보 수집-처리의 방법과 기준을 이해하고, 이렇게 수집-처리된 정보가 회사의 목표와 정책에 부합하는지 확인하는 것은 ESG 통제 활동의 필수 요소다.
ESG 통제 활동을 위해 기존의 정책과 절차를 재검토하고, ESG 목표 달성과 위험 경감에 도움이 되도록 이들을 수정하거나 새로운 정책과 절차를 개발해야 한다. 환경 변화 등으로 ESG 목표와 위험에 변동이 발생한다면 그에 맞춰 정책과 절차를 주기적으로 업데이트해야 한다. 글로벌 주요 기업들은 지속가능보고서 또는 ‘환경·사회 위험 정책 보고서(Environmental and Social Risk Policy Framework)’ 등을 통해 자사의 ESG 정책과 절차를 공개하고 있다.
(4) 정보와 의사소통(Information and Communication)
ESG 목표의 달성을 위해서는 신뢰성 높은 무결성의 데이터를 획득하는 것이 중요하다. 이를 위해 COSO는 ESG 정보에 대한 검토 및 승인 과정을 추적할 수 있도록 디지털 솔루션을 이용한 감사추적(audit trail)13 을 설정할 것을 권고하고 있다. 또 ESG 정보는 원천이 다양할 뿐만 아니라 비정형적 특성을 갖기 때문에 이를 종합하고 분석하는 등의 처리 과정 없이는 의사결정에 유용한 정보가 되기 어렵다. 따라서 COSO는 자동적인 데이터 피드(data feed)와 대시보드를 통한 요약 정보의 제공 등이 가능한 데이터 시각화 도구(Tableau, Power BI 등)14 를 이용할 필요성을 강조하고 있다.
기업은 ESG 목표, 성과, 각 구성원의 역할과 책임 등에 대한 내부 의사소통을 원활히 하기 위해 다양한 채널을 마련해야 한다. 이러한 채널로 경영진의 ESG 정책을 전파하기 위한 위에서 아래로의 소통 수단(인트라넷 플랫폼, 타운홀 미팅 등)뿐만 아니라 구성원들의 ESG 관련 의견 청취와 부정 신고를 위한 아래에서 위로의 소통 수단(직원과 경영진의 일대일 면담, 내부 제보 핫라인)이 포함될 수 있다.
외부 의사소통과 관련해서는 규제 당국, 투자자, 기타 이해관계자를 대상으로 ESG 내부통제 시스템과 그 유효성을 알리는 것이 중요하다. 이러한 외부 소통에 있어 경영자에게 법상 의무와 책임이 부과될 수 있는 점에 유의해야 한다. 예컨대 미국의 경우 사베인스-옥슬리법(SOX, 제404조)은 상장기업에 대해 재무보고 내부통제의 유효성에 대한 경영자 평가 보고서를 연차보고서 등에 포함해 제출토록 의무화하고, 보고 내용의 정확성과 신뢰성에 대해 경영자에게 책임을 묻고 있다. 따라서 연차보고서 또는 사업보고서에 ESG 관련 내용이 포함되는 경우 그 내용의 정확성과 신뢰성에 대한 경영자의 책임이 부과될 수 있는 것이다. 우리나라는 외부감사법(제8조)에서 상장법인 및 자산총액 1000억 원 이상 비상장법인의 대표이사에게 내부회계관리제도 운영실태 보고서 작성 의무를, 감사(위원회)에게 내부회계관리제도 평가보고서 작성 의무를 각각 부여하고 있다. 따라서 ESG 관련 내용이 재무적 영향을 갖는 경우에는 대표이사와 감사에게 그 내용의 정확성 여부 등에 대한 책임을 물을 수 있을 것이다.
(5) 감시 활동(Monitoring Activities)
감시란 내부통제의 5가지 구성요소가 효율적으로 작동하는지 점검 또는 평가하는 활동을 말한다. 감시는 각 업무 프로세스에 내재돼 정보의 적시 파악을 가능하게 하는 상시적인 감시 활동(ongoing evaluation)과 주로 내부감사 부문이 주기적으로 수행하는 독립적 평가 활동(separate evaluation)으로 구분된다. ESG 내부통제의 유효성에 대한 감시 및 평가 활동과 관련해 경영진은 상시 감시와 독립적 평가의 적절한 조합 내지 균형을 고려해야 한다. 내부통제의 3선 모델(three lines model)15 에서 내부감사는 내부통제 시스템의 적정성 및 효과성에 대해 독립적이고 객관적인 확신과 조언을 제공하는 중요한 기능을 수행한다. COSO는 내부감사의 이러한 기능이 ESG 내부통제에도 동일하게 적용된다고 강조했다. 국제내부감사인협회(IIA)가 북미(미국+캐나다) 소재 기업(562개)을 대상으로 실시한 조사에 따르면 이들 기업의 2022년 내부감사 계획에서 ESG 관련 부문이 차지하는 비중이 2%에 불과한 것으로 나타났다.16 ESG 내부통제에 있어 내부감사의 역할이 앞으로 더욱 확대돼야 함을 시사하는 대목이다.
시사점
그동안 ESG 내부통제가 미흡했던 이유로 대개 공시 기준의 부재와 최고경영진의 인식 부족 등이 주요한 원인으로 꼽혔는데 다른 한편으로 ESG 내부통제를 실행하기 위한 구체적인 실무지침이 없었던 것도 문제였다. 그런 면에서 COSO가 최근 발표한 ICSR은 ESG 내부통제를 강화하려는 기업들에 큰 도움이 될 수 있다. 글로벌 ESG 공시 기준의 시행이 임박하고 있는 점을 감안할 때 기업의 준비 기간이 얼마 남지 않았다. 국내 기업은 COSO의 ICSR을 참고로 공시 통제를 포함해 ESG 내부통제 시스템 구축에 서둘러야 한다.
특히 가이드라인에서 제시하는 모든 내부통제 구성 요소를 동시에 도입하기보다는 기업의 준비도 평가(readiness assessment)를 기반으로 우선순위를 정하고 핵심적 내부통제 요소부터 단계적으로 도입하는 방안을 강구해야 한다. ESG 가치에 대한 최고경영진의 의지와 헌신을 포함한 전사적 통제 환경의 구축과 ESG 정보 공시 시스템 구축을 위한 충분한 예산의 배정과 기술 투자, 그리고 ESG 실무를 담당할 인재의 확충이 우선 추진할 항목에 포함될 필요가 있다.
규제당국 또한 ESG 내부통제 시스템 구축을 위한 환경을 조성하고 기업들이 이를 투명하고 책임감 있게 운영하도록 지원해야 한다. ESG 정보 공시 의무화라는 국제적 흐름에 뒤처지지 않도록 국내 실정에 맞는 ESG 공시 기준을 조속히 마련하고 2026년으로 예정된 시행 시기를 더 이상 늦추지 않고 차질 없이 시행해야 할 것이다. ESG 공시정보의 정확성과 신뢰성은 국내 기업의 국제 경쟁력 확보를 위한 중요한 요소가 될 것이기 때문이다. 또한 국내 기업들이 ESG 내부통제 구축에 실무 지침으로 참고할 수 있도록 ICSR을 참고로 해 ‘ESG 내부통제 모범규준’을 마련할 필요가 있다. 내부회계관리제도 운영위원회에서 마련한 내부회계관리제도 모범 규준에 ESG 관련 내용을 포함하거나 한국ESG기준원이 운용 중인 ESG 모범 규준에 내부통제 관련 부문을 추가하는 방안 등을 고려할 수 있을 것이다.
ESG 정보 공시 의무화를 앞두고 공시 정보에 대한 확신을 제공하는 ESG 내부통제 시스템 구축의 필요성이 커진다. 우선 기업은 ESG 가치를 성실히 수행하고 그에 대한 이사회 감독을 받는 통제 환경을 구축해야 한다. 다음으로 ESG 목적 달성에 부정적 영향을 미치는 위험을 식별, 분석, 평가해야 한다. 그리고 이런 위험을 경감하기 위한 통제 활동을 설계, 실행한다. 다양한 채널을 통해 내부 구성원과 외부 이해관계자들에게 ESG 정책을 전파하며, 마지막으로 내부감사를 통해 내부통제가 효과적으로 작동하는지를 상시 점검해야 한다.
왜 ESG 내부통제인가?
ESG 관련 법률, 평판 리스크가 증가하면서 ESG 내부통제의 중요성이 커지고 있다. 국제재무보고기준(IFRS) 재단 산하 국제지속가능성기준위원회(ISSB S1, S2), 미국(SEC 기후공시), 유럽(ESRS) 등 주요 경제 권역에서 공시 기준(표 1)을 잇달아 발표하면서 ESG 정보 공시가 자발적 공시에서 규제를 통한 의무 공시로 전환되고 있다. 특히 이른바 ESG 3대 공시 기준은 모두 온실가스 배출량 정보의 정확성 및 신뢰성에 대한 제3자 인증을 의무화하고 있다. 외부 인증에 앞선 준비 단계로서 공시 정보에 대한 내부적인 확신을 제공하는 내부통제가 필요한 배경이다.
또 글로벌 곳곳에서 ESG 관련 제재 또는 소송 건수가 증가하면서 기업이 직면하는 법적 리스크가 커지고 있다.1 특히 규제당국 및 사법당국이 횡령, 보고 부정뿐만 아니라 내부통제상의 문제를 제재 대상으로 삼기 시작했다는 점에 유의할 필요가 있다. 미국 증권거래위원회(SEC)는 2021년 3월 제재국 내에 ‘기후 및 ESG 태스크포스(Climate and ESG Task Force)’를 설치하고 ESG 관련 위반 행위 및 허위 공시 등에 대한 조사 및 제재를 실시하고 있다. 이 중에는 내부통제 또는 공시 통제(disclosure control)의 실패에 대한 책임을 묻는 제재 건2 이 여럿 포함돼 있다. 현재 SEC가 도입을 추진 중인 기후공시 규칙은 기후 관련 위험, 온실가스 배출량, 기후 관련 재무지표 등에 대한 방대하고도 상세한 정보의 공시를 요구하고 있어 ESG 내부통제에 대한 SEC의 엄밀한 조사와 제재가 강화될 것이다. 우리나라도 최근 금융당국에서 금융회사지배구조법상 내부통제 기준 마련 의무를 위반했다는 이유로 금융회사 임직원을 제재한 사례3 가 등장했으며 앞으로 책무구조도 도입을 주요 내용으로 하는 지배구조법 개정안이 시행(2024년 6월)되면 내부통제 실패에 대한 책임을 묻는 금융당국의 제재가 증가할 것으로 예상된다.
닫기규제 대응에서 더 나아가 경영진은 ESG가 기업 무형자산의 가치 평가에 위협 요인이 아닌 기회 요인이 될 수 있도록 이를 통제 관리할 방안을 강구할 필요가 있다. S&P 500 기업의 시장가치에서 인적 자본, 고객 충성도, 브랜드 인지도 등과 같은 무형자산이 차지하는 비중이 90%에 이를 정도로 커졌으며, 이에 영향을 미치는 ESG 태도의 중요성도 커지고 있다.
ESG 내부통제는 ESG 보고 정보의 신뢰성과 정확성을 확보하기 위한 핵심적 수단이다. 하지만 글로벌 기업들도 ESG 목표 및 전략 수립, 보고 공시 등 ESG 활동이 증가하고 있는 반면 ESG 관련 내부통제의 구축 및 실행에는 아직까지 미흡한 것으로 나타나고 있다. 감사·ESG·준법 관련 플랫폼 제공 업체인 오딧보드(AuditBoard)가 글로벌 200여 개 기업을 대상으로 실시한 온라인 서베이에서 조사 대상의 3분의 2가 2023년 중 ESG 내부통제를 실시하지 않고 있는 것으로 나타났다.5
한국 기업도 마찬가지다. 국내 기업들은 지난 몇 년간의 노력을 통해 ESG 경영 전략에 있어 상당한 진전을 이루고 있으나 ESG 정보 공시의 성숙도 측면에서는 글로벌 기업에 비해 상대적으로 뒤처진 것으로 평가되고 있다.6 시총 상위 200대 기업 중 지속가능성보고서 발간 기업 비중도 2022년 75.5%로 전년(55.5%)에 비해 크게 늘었지만 아직 미국에 비해 다소 미흡한 수준이다.7 많은 국내 기업에 ESG 정보 공시에 대한 전사적 관심이 부족한 가운데 데이터의 수집-분석-처리가 수작업에 의존하고 있으며 책임과 권한의 배분도 불명확한 실정이다.
이에 2023년 3월 COSO가 발표한 기업 조직의 ESG 내부통제의 구축 및 운영을 지원하기 위한 가이드라인(Achieving Effective Internal Control over Sustainability Reporting, 이하 ICSR)8 을 바탕으로 바람직한 ESG 내부통제 활동에 필요한 핵심 사항들을 소개하고자 한다. (DBR mini box ‘COSO의 ICSR이란?’ 참고.)
| DBR mini box COSO의 ICSR이란? COSO는 The Committee of Sponsoring Organization of the Treadway Commission의 약칭으로 트레드웨이 위원회를 지원하기 위해 1988년 5개의 단체(미국공인회계사협회, 회계학회, 내부감사인협회, 관리회계사협회, 재무담당경영자협회)를 구성원으로 설립된 조직이다. 오늘날 COSO는 기업의 내부통제, 위험 관리 및 사기 방지를 위한 시스템 구축 및 평가 지침을 개발하는 기능을 수행하고 있다. 오늘날 내부통제의 설계 및 평가를 위한 전 세계 공통의 규범으로 인정받고 있는 내부통제 체계는 수십 년간의 논의 내용을 종합해 1992년 COSO가 제시했다. 환경 변화 등을 고려해 2013년 전면 개정된 바 있는 COSO의 내부통제 통합 체계(Internal Control-Intergrated Framework, 이하 ICIF)는 내부통제를 다음과 같이 정의했다. 내부통제란 “➀ 기업 운영의 효과성 및 효율성(운영목적), ➁ 정보의 신뢰성(보고목적), ➂ 관련 법규의 준수(준법목적)라는 세 가지 목적 달성에 대한 합리적 확신을 제공하기 위해 기업의 이사회, 경영진 및 여타 구성원에 의해 실행되는 일련의 과정이다”. ICIF(2013)는 이와 같은 개념 정의와 함께 내부통제가 유효하게 작동하기 위한 필수적 구성 요소로서 ➀ 통제환경 ➁ 위험평가 ➂ 통제 활동 ➃ 정보 및 의사소통 ➄ 감시 활동 등 5개를 제시하고 각 구성 요소(5개)를 설계·평가하는 실무 지침 역할을 하는 17개 원칙(Principles)을 개발했다. ICIF는 내부통제 시스템이 효과적으로 작동하기 위해서는 17개 원칙이 모두 존재하고 기능해야 함을 천명했다. COSO는 ESG 활동과 보고 정보에도 이러한 내부통제의 기본 개념과 체계가 동일하게 적용될 수 있다고 주장했다. 다만, 아직까지 ESG 내부통제에 대한 최고경영진의 인식이 낮은 점과 ESG 정보는 그 유형이 다양하고(E 11개, S 12개, G 9개), 비정형화돼 있으며, 공급망과 외부 서비스 제공기관이 관련되는 등의 특성을 가진다는 점을 고려해 17개 원칙을 보완하는 방식으로 ICSR을 마련했다고 밝혔다. |
ESG 내부통제의 구성 요소와 실천 방안
(1) 통제환경(Control Environment)
통제환경은 조직의 기풍이나 문화를 결정하는 모든 제도, 기준, 경영자의 의사결정과 행동의 일체를 말한다. 이는 조직 구성원의 의식과 행동 양식에 영향을 줌으로써 내부통제 실행의 기초가 된다. ESG 통제환경의 첫째 요소는 ESG 가치를 성실히 지키겠다는 경영진의 약속과 헌신이다. COSO는 ESG 공시의 신뢰와 책임성을 확보하고 그린워싱을 방지하기 위해서는 ESG 가치에 대한 성실성과 도덕성이 매우 중요하다고 봤다. 최근 몇 년간 이해관계자 자본주의로의 패러다임 전환이 확산되고 목적 선언문(mission statement)에 ESG 가치를 통합하는 기업들이 크게 늘어나고 있는 것은 ESG 통제환경에 긍정적 요소다. 예컨대 비콥(B Corporation) 인증을 받은 기업의 수가 2021년 4427개에서 2023년 8월 현재 93개국 7300여 개로 증가했다.
ESG 내부통제에 대한 이사회의 독립적 감독도 중요한 환경적 요인이다. 이를 위해 이사회 내 하부 위원회별로 ESG 활동에 대한 감독 책무를 부여하거나 ESG 전문가를 이사회 위원으로 포함하는 방안을 고려할 수 있다. 예컨대, 지속가능위원회에는 ESG 관련 전략 수립, 위험과 기회 요인 평가, 감사위원회에는 ESG 공시 및 법규 준수의 적정성 점검, 이사후보추천위원회에는 ESG 전문성을 보유한 이사 후보의 추천 및 임명, 보상위원회에는 ESG 목표 달성과 경영진 보상의 적정성 평가 등으로 책무를 부여하는 것이다. 이와 관련해 올해 중으로 최종안이 나올 것으로 예상되는 SEC 기후공시규칙은 기후 위험 감독을 담당하는 경영진 또는 이사회 구성원의 기후 위험에 대한 ‘전문성을 충분히 상세하게’ 공시할 것을 요구하고 있다.
ESG 목표 달성을 위한 조직 구조를 마련하고, 권한과 책임, 보고 라인을 분명히 할 필요가 있다. 일부 기업은 ESG 관련 위험관리, 정보의 생산, 공시보고서 작성 등의 업무를 전담하기 위한 별도의 부서(TF) 또는 직책(sustainability CFO, ESG controller 등)을 신설하기도 한다. 그러나 ESG가 아직 새로운 분야인 데다 다양한 분야에 대한 전문적인 지식을 요구하기 때문에 적합한 인력을 구하기가 어려운 것이 현실이다. ESG 전담 부서의 인력 부족은 ESG 목표의 달성을 어렵게 하고, 불충분한 직무의 분장을 초래해 효과적인 내부통제를 곤란하게 한다. 따라서 기존 직원의 재교육을 실시하는 등을 통해 ESG 담당 인력을 확충해야 한다. COSO는 아울러 ESG 목표 달성 상황과 연동된 보상 체계의 수립 등으로 담당 직원의 책임(accountability)을 제고할 것을 권고하고 있다.
(2) 위험평가(Risk Assessment)
ESG 위험평가란 조직의 ESG 목적 달성에 부정적 영향을 미치는 위험을 식별, 분석, 평가하는 활동을 말한다. ESG 위험평가를 위해서는 선행 단계로서 운영, 보고, 준법 등의 ESG 목적을 설정해야 한다. ESG 운영 목적은 조직의 ESG 가치를 실제 업무 현장에서 실현할 수 있는 방식으로 설정해야 한다. 즉, 운영 목적은 모호하고 추상적인 슬로건이 아니라 데이터에 기초(data-driven)해 측정 가능하고, 실행 가능하며, 구체적인 목표로 설정해야 한다.9 오늘날 기업들이 공통적으로 설정하는 ESG 운영 목적으로는 온실가스 감축 목표, 재생에너지 사용 목표, 조직 구성원의 다양성 목표 등이 있다.
ESG 보고 목적과 관련한 주요 이슈로 일관성(consistency)과 중대성(materiality)의 문제가 있다. 재무보고와 지속가능보고(비재무보고)는 작성을 담당하는 부서가 다르며, 지속가능보고의 경우 다양한 보고 기준(온실가스 프로토콜, GRI, SDGs, ISSB 등)이 존재하기 때문에 보고서 간 일관성을 확보하는 데 유의해야 한다.
특히 EU와 국제보고기준(GRI, CDP 등)은 환경·사회가 기업에 미치는 영향뿐만 아니라 기업이 환경·사회에 미치는 영향도 고려해야 한다는 ‘이중의 중대성(double materiality)’10 또는 과거 중요성이 높지 않았던 환경·사회적 이슈가 시간이 지남에 따라 기업의 재무 상태에 중요한 영향을 미친다는 ‘동태적 중대성(dynamic materiality)’의 관점에서 ESG 정보의 공시를 요구하고 있다.11 이 같은 중대성 기준은 재무보고의 관점에서는 중요하지 않은 항목이 기업의 ESG 평가 등급에는 유의미한 영향을 미칠 수 있다는 점과 함께 궁극적으로 기업의 ESG 경영 활동을 재무정보로 연계하는 공시를 요구하고 있다는 점에 유의해야 한다.
그다음 단계로서 ESG 목적 달성에 대한 다양한 시나리오하에서 위험 요소를 식별·평가해야 한다. ESG 위험평가는 질적 평가와 함께 그 재무적 영향을 측정하는 양적 평가를 병행하는 것이 바람직하다. 위험을 평가한 이후에는 위험의 수용, 회피, 감축, 공유 등 위험의 관리 방법을 결정한다. ESG 관련 부정위험도 중요한 평가 항목이다. 이와 관련해 2022년 국제회계법인인 그랜드 손턴(Grant Thornton)은 공인부정조사협회(ACFE)가 개발한 ‘부정사고 분류체계(Fraud Tree)’를 확장해 ‘ESG 부정위험 분류체계(ESG Fraud Taxonomy)’를 제시했다.12 즉, 기존의 부패, 횡령, 회계부정의 3개 범주에 더해 4번째 범주로서 ‘비재무보고 부정’을 신설하고, 이의 구체적인 유형으로 허위 광고, 허위 공시, 허위 서약, 공시 누락 등을 열거했다.
마지막으로 ESG에 대한 사회적 요구와 규제 수준이 지속적으로 높아지는 등 외부의 환경 변화에 따른 위험을 고려해야 한다. 과거에는 중요하지 않았던 이슈(온실가스 배출, 작업장 안전도 등)가 NGO 등 이해관계자 그룹의 문제 제기나 규제당국의 규제 강화로 영업상 중요한 고려 사항으로 등장할 수 있다. 사업 모델에 영향을 미칠 수 있는 이러한 ESG 위험 요인들이 표면화되기 이전에 조기에 대응하는 것이 중요하다.
(3) 통제 활동(Control Activities)
조직의 ESG 목표를 설정하고 이 목적을 달성하는 데 방해가 되는 위험을 파악했다면 위험을 경감하기 위한 통제 활동을 설계하고 실행해야 한다. 직무의 분장이 통제 활동의 기본적 요소이듯이 전문 지식으로 무장한 담당자를 임명하고 권한과 책임을 명확히 하는 것은 ESG 통제 활동에 있어 기본적이고도 중요한 요소다. ICSR은 통제 활동을 설계하기에 앞서 내부감사 또는 외부 전문가에 의해 내부통제 시스템의 유효성 등을 진단하는 ‘ESG 준비도 평가(readiness assessment)’를 실시할 것을 권고하고 있다.
ESG 정보의 수집-처리-보고에 있어 다수의 기업이 아직까지 엑셀, e메일 등 단순한 정보기술에 의존하고 있어 정보의 소스와 경로 관리가 어려운 문제가 발생한다. 따라서 기존 정보 시스템의 유효성을 재평가하고, 재무정보 통제 시스템에 상응하는 수준의 정교한 ESG 정보시스템을 구축하는 것이 시급한 과제다. 특히 ESG 정보의 수집, 처리 등을 위해 외부 서비스 제공 기관을 이용하는 경우 그 정보의 정확성과 신뢰성을 보증할 최종 책임은 해당 기업에 있다는 점을 인식해야 한다. ESG 정보 수집-처리의 방법과 기준을 이해하고, 이렇게 수집-처리된 정보가 회사의 목표와 정책에 부합하는지 확인하는 것은 ESG 통제 활동의 필수 요소다.
ESG 통제 활동을 위해 기존의 정책과 절차를 재검토하고, ESG 목표 달성과 위험 경감에 도움이 되도록 이들을 수정하거나 새로운 정책과 절차를 개발해야 한다. 환경 변화 등으로 ESG 목표와 위험에 변동이 발생한다면 그에 맞춰 정책과 절차를 주기적으로 업데이트해야 한다. 글로벌 주요 기업들은 지속가능보고서 또는 ‘환경·사회 위험 정책 보고서(Environmental and Social Risk Policy Framework)’ 등을 통해 자사의 ESG 정책과 절차를 공개하고 있다.
(4) 정보와 의사소통(Information and Communication)
ESG 목표의 달성을 위해서는 신뢰성 높은 무결성의 데이터를 획득하는 것이 중요하다. 이를 위해 COSO는 ESG 정보에 대한 검토 및 승인 과정을 추적할 수 있도록 디지털 솔루션을 이용한 감사추적(audit trail)13 을 설정할 것을 권고하고 있다. 또 ESG 정보는 원천이 다양할 뿐만 아니라 비정형적 특성을 갖기 때문에 이를 종합하고 분석하는 등의 처리 과정 없이는 의사결정에 유용한 정보가 되기 어렵다. 따라서 COSO는 자동적인 데이터 피드(data feed)와 대시보드를 통한 요약 정보의 제공 등이 가능한 데이터 시각화 도구(Tableau, Power BI 등)14 를 이용할 필요성을 강조하고 있다.
기업은 ESG 목표, 성과, 각 구성원의 역할과 책임 등에 대한 내부 의사소통을 원활히 하기 위해 다양한 채널을 마련해야 한다. 이러한 채널로 경영진의 ESG 정책을 전파하기 위한 위에서 아래로의 소통 수단(인트라넷 플랫폼, 타운홀 미팅 등)뿐만 아니라 구성원들의 ESG 관련 의견 청취와 부정 신고를 위한 아래에서 위로의 소통 수단(직원과 경영진의 일대일 면담, 내부 제보 핫라인)이 포함될 수 있다.
외부 의사소통과 관련해서는 규제 당국, 투자자, 기타 이해관계자를 대상으로 ESG 내부통제 시스템과 그 유효성을 알리는 것이 중요하다. 이러한 외부 소통에 있어 경영자에게 법상 의무와 책임이 부과될 수 있는 점에 유의해야 한다. 예컨대 미국의 경우 사베인스-옥슬리법(SOX, 제404조)은 상장기업에 대해 재무보고 내부통제의 유효성에 대한 경영자 평가 보고서를 연차보고서 등에 포함해 제출토록 의무화하고, 보고 내용의 정확성과 신뢰성에 대해 경영자에게 책임을 묻고 있다. 따라서 연차보고서 또는 사업보고서에 ESG 관련 내용이 포함되는 경우 그 내용의 정확성과 신뢰성에 대한 경영자의 책임이 부과될 수 있는 것이다. 우리나라는 외부감사법(제8조)에서 상장법인 및 자산총액 1000억 원 이상 비상장법인의 대표이사에게 내부회계관리제도 운영실태 보고서 작성 의무를, 감사(위원회)에게 내부회계관리제도 평가보고서 작성 의무를 각각 부여하고 있다. 따라서 ESG 관련 내용이 재무적 영향을 갖는 경우에는 대표이사와 감사에게 그 내용의 정확성 여부 등에 대한 책임을 물을 수 있을 것이다.
(5) 감시 활동(Monitoring Activities)
감시란 내부통제의 5가지 구성요소가 효율적으로 작동하는지 점검 또는 평가하는 활동을 말한다. 감시는 각 업무 프로세스에 내재돼 정보의 적시 파악을 가능하게 하는 상시적인 감시 활동(ongoing evaluation)과 주로 내부감사 부문이 주기적으로 수행하는 독립적 평가 활동(separate evaluation)으로 구분된다. ESG 내부통제의 유효성에 대한 감시 및 평가 활동과 관련해 경영진은 상시 감시와 독립적 평가의 적절한 조합 내지 균형을 고려해야 한다. 내부통제의 3선 모델(three lines model)15 에서 내부감사는 내부통제 시스템의 적정성 및 효과성에 대해 독립적이고 객관적인 확신과 조언을 제공하는 중요한 기능을 수행한다. COSO는 내부감사의 이러한 기능이 ESG 내부통제에도 동일하게 적용된다고 강조했다. 국제내부감사인협회(IIA)가 북미(미국+캐나다) 소재 기업(562개)을 대상으로 실시한 조사에 따르면 이들 기업의 2022년 내부감사 계획에서 ESG 관련 부문이 차지하는 비중이 2%에 불과한 것으로 나타났다.16 ESG 내부통제에 있어 내부감사의 역할이 앞으로 더욱 확대돼야 함을 시사하는 대목이다.
시사점
그동안 ESG 내부통제가 미흡했던 이유로 대개 공시 기준의 부재와 최고경영진의 인식 부족 등이 주요한 원인으로 꼽혔는데 다른 한편으로 ESG 내부통제를 실행하기 위한 구체적인 실무지침이 없었던 것도 문제였다. 그런 면에서 COSO가 최근 발표한 ICSR은 ESG 내부통제를 강화하려는 기업들에 큰 도움이 될 수 있다. 글로벌 ESG 공시 기준의 시행이 임박하고 있는 점을 감안할 때 기업의 준비 기간이 얼마 남지 않았다. 국내 기업은 COSO의 ICSR을 참고로 공시 통제를 포함해 ESG 내부통제 시스템 구축에 서둘러야 한다.
특히 가이드라인에서 제시하는 모든 내부통제 구성 요소를 동시에 도입하기보다는 기업의 준비도 평가(readiness assessment)를 기반으로 우선순위를 정하고 핵심적 내부통제 요소부터 단계적으로 도입하는 방안을 강구해야 한다. ESG 가치에 대한 최고경영진의 의지와 헌신을 포함한 전사적 통제 환경의 구축과 ESG 정보 공시 시스템 구축을 위한 충분한 예산의 배정과 기술 투자, 그리고 ESG 실무를 담당할 인재의 확충이 우선 추진할 항목에 포함될 필요가 있다.
규제당국 또한 ESG 내부통제 시스템 구축을 위한 환경을 조성하고 기업들이 이를 투명하고 책임감 있게 운영하도록 지원해야 한다. ESG 정보 공시 의무화라는 국제적 흐름에 뒤처지지 않도록 국내 실정에 맞는 ESG 공시 기준을 조속히 마련하고 2026년으로 예정된 시행 시기를 더 이상 늦추지 않고 차질 없이 시행해야 할 것이다. ESG 공시정보의 정확성과 신뢰성은 국내 기업의 국제 경쟁력 확보를 위한 중요한 요소가 될 것이기 때문이다. 또한 국내 기업들이 ESG 내부통제 구축에 실무 지침으로 참고할 수 있도록 ICSR을 참고로 해 ‘ESG 내부통제 모범규준’을 마련할 필요가 있다. 내부회계관리제도 운영위원회에서 마련한 내부회계관리제도 모범 규준에 ESG 관련 내용을 포함하거나 한국ESG기준원이 운용 중인 ESG 모범 규준에 내부통제 관련 부문을 추가하는 방안 등을 고려할 수 있을 것이다.
인기기사
