내부위기 상시평가 툴 ‘CSA’
# 1. 미국의 대규모 군수기업인 록히드(Lock-heed·1995년 마틴마리에타와의 합병 이전)는 1993년 3대의 항공기 계약을 확보하기 위해 이집트 고위 관리에게 금품을 지급한 혐의(FCPA,Foreign Corrupt Practices Act 위반)로 미국 법원에 기소됐다. 록히드는 이로 인해 1995년에 무려 2500만 달러의 벌금을 부과받았다.
# 2. IT업계의 ‘거인’ IBM은 1996년 고성능 컴퓨터 16대를 러시아에 판매했다가 미국 상무부 산업안전국에 850만 달러의 벌금을 물었다. 이 제품의 최종 사용자가 러시아의 핵무기연구소였으며, IBM의 컴퓨터가 핵무기 기폭장치의 설계에 사용될 가능성이 있었기 때문이다.
두 기업의 규모를 고려하면 금전적인 벌과금 부담은 ‘한순간의 아쉬움’에 지나지 않을 수 있다. 하지만 당시 두 회사가 겪은 평판의 손상과 이를 회복하기 위한 비용은 부과된 벌금에 비교할 수 없을 정도로 컸다. 록히드 스캔들이 발생한지 5년 후 FCPA 전문 변호사 한 명은 언론과의 인터뷰에서 “스캔들은 사라지지 않고 있으며, 사람들은 아직도 이에 대해 얘기하고 있다”고 말했다.
록히드와 IBM이 이런 상황에 직면한 이유는 ‘내부통제의 부재 및 미준수 때문’이라고 할 수 있다. 만약 문제가 될 만한 상황이 무엇인지를 파악하고, 이에 대한 내부 기준과 통제수단을 갖춰놓았으면 세계적인 대기업이 체면을 구기는 일은 일어나지 않았을 것이다.
체계적인 내부통제 시스템 CSA
보통 사람들은 기업의 내부통제 하면 입조심과 정신교육과 같은 ‘조직원 단속’을 떠올리기 쉽다. 하지만 선진 기업에서는 오래 전부터 체계적인 내부 통제 시스템을 운영해 왔다. 그중 가장 대표적인 예가 CSA(Control Self Assessment)라고 불리는 방법론이다.
CSA는 기업이 수행하는 주요 업무 프로세스별로 위험요소를 파악하고, 관련 위험을 최소화할 수 있도록 통제절차를 수립하며, 절차 준수를 기업 스스로 모니터링하기 위한 프로세스 툴(process tool)이다. ‘OO업무의 절차는 이러이러하고, 절차가 제대로 지켜지지 않을 때는 어떤 위험이 있으며, 이를 예방하기 위한 통제절차에는 이러저러한 것이 있다’는 것이 주요 내용이다.
CSA를 운영함으로써 얻는 이점은 다양하다. 기업은 우선 발생 가능한 위기와 손실이 무엇인지를 파악하고 정기적인 통제절차 평가를 통해 이를 사전에 예방할 수 있다. 또 CSA의 평가과정에서 통제상의 결함을 발견할 수 있고, 이를 내부적으로 신속하게 보완할 수 있다. 하지만 무엇보다 중요한 장점은 조직 내의 위기 발생 가능성에 대해 전 조직원이 커뮤니케이션하고 위기의식을 공유할 수 있다는 것이다.
CSA의 적용은 각각의 업무 프로세스 별로 작성한 체크리스트에 따라 하게 된다. 체크리스트는 회사가 달성하고자 하는 통제 목적(예: 자원의 효율적인 활용, 신뢰성 있는 재무보고 및 법규정 준수)과 각각의 통제목적이 달성되지 않았을 때 회사가 처할 수 있는 위험을 제시한다.
CSA의 취지와 방법론은 내부 감사인의 감사절차와 유사하다. 그러나 내부감사는 감사인이 대략 2∼3년에 한 번씩 정기적으로 독립적인 위치에서 수행하는데 비해, CSA는 업무 담당자가 자신의 수행 업무를 1년에 수차례 자체 평가하고 이 과정에 파악된 결함에 대한 개선계획을 수립해 이행하는 상시적인 자체 감사라는 점에서 다르다.
CSA의 실제 적용
그러면 실제로 CSA를 어떻게 적용 하는지를 살펴보자.
CSA를 처음 추진하는 기업이라면 먼저 기업의 운영 프로세스 중 어떤 것을 통제 대상으로 삼을 것인지와 CSA의 운영을 담당할 운영자(리더)를 누구로 할 것인지를 결정해야 한다. CSA 운영자는 내부통제와 관련한 계획, 교육, 평가, 평가결과에 대한 검토, 보고 등을 전담한다. 여기서 중요한 점은 CSA는 운영자의 부가적인 업무가 아니라, 핵심 업무 중 하나가 되어야 한다는 점이다.(① CSA 통제 대상과 리더 선정)
A사는 해외에서 상품을 구입해 국내 시장에 일정 마진을 붙여 판매하는 유통 전문회사다. 이 회사는 CSA 도입을 결정하고 운영 프로세스를 분석했다. 그 결과 회사의 업무를 크게 상품 구매와 판매, 지원(마케팅, 고객관리, 기술지원), 운영(품질관리, 배송, 재고관리), 재무, 인사 등의 프로세스로 구분할 수 있었다.
A사는 이런 메가(mega) 프로세스를 다시 한층 세밀한 메이저(major) 프로세스로 구분했다. 판매의 경우 신용분석(고객의 신용도 판단), 주문, 매출채권 관리 등으로 나눌 수 있었다.
CSA는 일반적으로 이런 세부 메이저 프로세스 단위로 구분된다. A사는 구매를 담당하는 김OO 이사를 CSA 리더로 지명해 관련한 모든 업무를 담당하게 했다.
인기기사
회원 가입만 해도, DBR 월정액 서비스 첫 달 무료!
15,000여 건의 DBR 콘텐츠를 무제한으로 이용하세요.