내부위기 상시평가 툴 ‘CSA’

9호 (2008년 5월 Issue 2)

# 1. 미국의 대규모 군수기업인 록히드(Lock-heed·1995년 마틴마리에타와의 합병 이전)는 1993년 3대의 항공기 계약을 확보하기 위해 이집트 고위 관리에게 금품을 지급한 혐의(FCPA,Foreign Corrupt Practices Act 위반)로 미국 법원에 기소됐다. 록히드는 이로 인해 1995년에 무려 2500만 달러의 벌금을 부과받았다.
 
# 2. IT업계의 ‘거인’ IBM은 1996년 고성능 컴퓨터 16대를 러시아에 판매했다가 미국 상무부 산업안전국에 850만 달러의 벌금을 물었다. 이 제품의 최종 사용자가 러시아의 핵무기연구소였으며, IBM의 컴퓨터가 핵무기 기폭장치의 설계에 사용될 가능성이 있었기 때문이다.
 
두 기업의 규모를 고려하면 금전적인 벌과금 부담은 ‘한순간의 아쉬움’에 지나지 않을 수 있다. 하지만 당시 두 회사가 겪은 평판의 손상과 이를 회복하기 위한 비용은 부과된 벌금에 비교할 수 없을 정도로 컸다. 록히드 스캔들이 발생한지 5년 후 FCPA 전문 변호사 한 명은 언론과의 인터뷰에서 “스캔들은 사라지지 않고 있으며, 사람들은 아직도 이에 대해 얘기하고 있다”고 말했다.
록히드와 IBM이 이런 상황에 직면한 이유는 ‘내부통제의 부재 및 미준수 때문’이라고 할 수 있다. 만약 문제가 될 만한 상황이 무엇인지를 파악하고, 이에 대한 내부 기준과 통제수단을 갖춰놓았으면 세계적인 대기업이 체면을 구기는 일은 일어나지 않았을 것이다.
 
체계적인 내부통제 시스템 CSA
보통 사람들은 기업의 내부통제 하면 입조심과 정신교육과 같은 ‘조직원 단속’을 떠올리기 쉽다. 하지만 선진 기업에서는 오래 전부터 체계적인 내부 통제 시스템을 운영해 왔다. 그중 가장 대표적인 예가 CSA(Control Self Assessment)라고 불리는 방법론이다.
 
CSA는 기업이 수행하는 주요 업무 프로세스별로 위험요소를 파악하고, 관련 위험을 최소화할 수 있도록 통제절차를 수립하며, 절차 준수를 기업 스스로 모니터링하기 위한 프로세스 툴(process tool)이다. ‘OO업무의 절차는 이러이러하고, 절차가 제대로 지켜지지 않을 때는 어떤 위험이 있으며, 이를 예방하기 위한 통제절차에는 이러저러한 것이 있다’는 것이 주요 내용이다.
 
CSA를 운영함으로써 얻는 이점은 다양하다. 기업은 우선 발생 가능한 위기와 손실이 무엇인지를 파악하고 정기적인 통제절차 평가를 통해 이를 사전에 예방할 수 있다. 또 CSA의 평가과정에서 통제상의 결함을 발견할 수 있고, 이를 내부적으로 신속하게 보완할 수 있다. 하지만 무엇보다 중요한 장점은 조직 내의 위기 발생 가능성에 대해 전 조직원이 커뮤니케이션하고 위기의식을 공유할 수 있다는 것이다.
 
CSA의 적용은 각각의 업무 프로세스 별로 작성한 체크리스트에 따라 하게 된다. 체크리스트는 회사가 달성하고자 하는 통제 목적(예: 자원의 효율적인 활용, 신뢰성 있는 재무보고 및 법규정 준수)과 각각의 통제목적이 달성되지 않았을 때 회사가 처할 수 있는 위험을 제시한다.
 
CSA의 취지와 방법론은 내부 감사인의 감사절차와 유사하다. 그러나 내부감사는 감사인이 대략 23년에 한 번씩 정기적으로 독립적인 위치에서 수행하는데 비해, CSA는 업무 담당자가 자신의 수행 업무를 1년에 수차례 자체 평가하고 이 과정에 파악된 결함에 대한 개선계획을 수립해 이행하는 상시적인 자체 감사라는 점에서 다르다.
 
CSA의 실제 적용
그러면 실제로 CSA를 어떻게 적용 하는지를 살펴보자.
CSA를 처음 추진하는 기업이라면 먼저 기업의 운영 프로세스 중 어떤 것을 통제 대상으로 삼을 것인지와 CSA의 운영을 담당할 운영자(리더)를 누구로 할 것인지를 결정해야 한다. CSA 운영자는 내부통제와 관련한 계획, 교육, 평가, 평가결과에 대한 검토, 보고 등을 전담한다. 여기서 중요한 점은 CSA는 운영자의 부가적인 업무가 아니라, 핵심 업무 중 하나가 되어야 한다는 점이다.( CSA 통제 대상과 리더 선정)
 
A사는 해외에서 상품을 구입해 국내 시장에 일정 마진을 붙여 판매하는 유통 전문회사다. 이 회사는 CSA 도입을 결정하고 운영 프로세스를 분석했다. 그 결과 회사의 업무를 크게 상품 구매와 판매, 지원(마케팅, 고객관리, 기술지원), 운영(품질관리, 배송, 재고관리), 재무, 인사 등의 프로세스로 구분할 수 있었다.
 
A사는 이런 메가(mega) 프로세스를 다시 한층 세밀한 메이저(major) 프로세스로 구분했다. 판매의 경우 신용분석(고객의 신용도 판단), 주문, 매출채권 관리 등으로 나눌 수 있었다.
 
CSA는 일반적으로 이런 세부 메이저 프로세스 단위로 구분된다. A사는 구매를 담당하는 김OO 이사를 CSA 리더로 지명해 관련한 모든 업무를 담당하게 했다.
    

그 다음에는 <그림 1>처럼 개별 프로세스별로 통제목적과 발생 가능한 위험, 통제절차 등을 포괄하는 체크리스트를 개발하고 문서화하는 것이 필요하다. 이 작업을 위해서는 해당 프로세스를 담당하는 부서 및 직원을 대상으로 설문과 워크숍을 열어 의견을 수렴해야 하며, 외부 전문가의 조언을 구하는 것도 필요하다. 이 단계에서 CSA 운영자와 각 부서의 대표자, 외부 전문가는 태스크포스 형태로 팀을 만들어 함께 활동하는 것이 효과적이다.( CSA 체크리스트 개발)

A
사도 프로세스별 체크리스트를 만들었다. 이를 위해 임직원을 대상으로 위험 요인과 통제절차를 묻는 설문과 워크숍을 열었고 전문가의 의견도 청취했다. 고객관리 프로세스의 경우 최근 문제가 되고 있는 해킹이나 임직원의 고의에 의한 고객정보 유출이 가장 큰 위험 요인이란 점이 지적됐다.
 
다음 단계에서는 개별 프로세스별로 위험도를 판단하고, 위험도에 따른 연간 및 분기별 CSA 수행계획을 마련한다. 손실 또는 위험발생 가능성이 높은 프로세스는 평가 빈도를 다른 프로세스에 비해 높게 잡는 편이 좋다.( CSA 계획 작성)
 
A사의 경우 대부분의 프로세스를 반기별로 평가하기로 했으나, 손실 및 위험발생 가능성이 큰 고객관리, 품질관리 프로세스는 분기마다 평가하기로 결정했다.
 
CSA 계획을 수립한 후에는 체크리스트를 각 프로세스 담당 부서에 배포하고, 부서별 CSA 수행자를 선정해야 한다. CSA 수행자는 해당 프로세스의 중요한 통제지점(control point) 역할을 하고 프로세스를 충분히 이해하는 실무 담당자를 지정해야 한다. 그래야만 통제점의 문제 파악과 책임감 있는 평가가 가능하기 때문이다.( CSA 수행자 선정)
 
평가는 다양한 방법으로 이뤄진다. 통제절차에 따라 거래가 이루어졌는지를 평가하는 방법 중에는 거래 모집단에서 표본을 추출(sampling)해 검토하는 것이 가장 대표적인 방법이다. 경우에 따라서는 관련 직원과 면담(interview)을 할 수도 있으며, 실제 업무 프로세스 수행과정을 직접 관찰(observation)하는 것도 좋다.( 정기적 평가 수행)
 
평가 결과에 따라 결함이 있는 것으로 파악된 프로세스는 별도의 실천계획을 세워 바로잡고, 이를 CSA 체크리스트에 반영한다.( 프로세스 결함 파악과 실천 계획 수립)
 
A사는 고객관리 프로세스에서 한 직원의 실수로 고객자료가 담겨있는 회사 홈페이지의 일부가 인터넷 검색엔진에 노출된 것을 발견했다. 회사는 홈페이지 보안관련 사항을 다시 점검했고, 이 문제를 매달 점검해야 한다는 것을 CSA 체크리스트에 추가했다.
 
한편 평가 결과 발견된 통제결함 및 실천계획은 운영자의 최종 검토에 앞서 해당 프로세스 담당 임원의 검토와 승인을 받는 것이 바람직하다. 담당 임원이 프로세스 통제 현황을 알고 있어야 최선의 해결 방안을 신속하게 도출할 수 있으며, 이런 과정을 거쳐 프로세스 통제에 대한 해당 임원의 책임감도 높일 수 있기 때문이다.
위험도 높은 프로세스에 우선 적용 가능
 
아직까지 자체적인 통제평가를 시행하고 있지 않은 기업이라면 CSA를 그 출발점으로 채택해볼 것을 권한다. 만약 내부 인력자원이 충분하지 못한 상황이라면 일단 위험도가 높다고 판단되는 프로세스에 대한 CSA만을 시행하는 것도 바람직한 대안이 될 수 있다.
 
CSA는 기업 조직 내의 중요 프로세스에 산재한 다양한 위험요소에 대한 효과적인 통제, 직원들의 내부통제에 대한 책임감 증대, 프로세스 효율성 개선 등에 많은 도움이 된다. 단, 경영진의 적극적인 지원과 내부통제에 대한 의중(Tone at the Top)이 조직에 지속적으로 전달됨으로써 건전한 통제환경(Control En-vironment)을 형성하는 것이 성공적인 CSA 시행의 선결요건임은 아무리 강조해도 지나치지 않다.
동아비즈니스리뷰 351호 Diversity in Talent Management 2022년 08월 Issue 2 목차보기