대우조선해양 사태가 내 퇴근 시간을 늦춘 이유 (K-SOX 변천사)

"아니, 작년에는 이 정도만 해도 넘어갔는데 올해는 왜 이렇게 깐깐해?"

혹시 이번 매년 내부회계 증빙을 준비하며 이런 생각 들지 않으셨나요? 감사인이 갑자기 성격이 나빠져서 그런 게 아닙니다. 우리가 겪고 있는 이 '증빙 전쟁'과 '야근'에는 나름의 변천사가 있습니다.

오늘은​ 내부회계관리제도가 왜 도입되었고 어떻게 변화했는지 짧게 살펴보겠습니다.

1.내부회계관리제도 도입 배경

기업구조조정촉진법 제4조 (내부회계관리제도의 운영 등) ①기업은 신뢰할 수 있는 회계정보의 작성 및 공시를 위하여 다음 각호의 사항이 포함된 내부회계관리규정과 이를 관리ㆍ운영하는 조직(이하 “내부회계관리제도”라 한다)을 갖추어야 한다.

1997년 말 IMF 외환위기 이후 회계투명성 제고를 위하여 2001년 9월 기업구조조정촉진법에 내부회계관리제도가 한시적으로 의무화 된 것이 우리나라에 내부회계관리제도가 도입된 첫 사례 입니다. 그동안 주먹구구식으로 운영되던 회사의 재무보고 관련 통제절차를 체계적으로 관리하고자 하는 목적으로, 우선적으로 IMF로 인해 어려워져 채권단 관리하에 들어간 회사부터 도입했던 것 같습니다. 아무래도 채권단 입장에서는 이런 시스템화된 제도를 도입해서 회계 투명성을 확보하고자 하는 필요가 있을것이고, 회사에서도 반대하기가 어려웠겠지요.

2.미국 SOX 도입과 한국에서의 내부회계관리제도 의무화

이후 2001년 말 미국에서 엔론(Enron) 사태 이후 2002년 Sarbanes-Oxley Act (SOX)를 제정하여 강력한 내부통제 규제를 시행하게 됩니다. 한국에서도 SOX 법 제정에 영향을 받아 앞서서 기업구조조정촉진법 대상 기업에만 적용되던 내부회계관리제도를 2003년「주식회사의 외부감사에 관한 법률(이하 '구 외감법')을 개정하며 법적 근거를 마련했고 2005년부터 모든 상장회사 및 대형 비상장회사를 대상으로 시행했습니다.

하지만 이때까지만 해도 실무적으로 부담은 크지 않았습니다. 구 모범규준에 따라 '개별재무제표' 기준으로 적용되어 약 70개~100개 정도의 통제가 생겼고 외부감사인의 인증수준도 '검토'에 머물렀기 떄문에 외부감사 부담도 크지 않았습니다. 대부분의 경우 운영의 효과성을 검토할때 외부감사인은 하루정도 투입해서 전체 통제 중 20% 가량의 유의적인 통제를 샘플링하고 회사의 자체 평가 및 문서화 내용을 질문과 분석적절차를 통해 확인하는 정도에 그쳤고 독립적 재수행은 거의 하지 않았습니다.

3.신외감법 도입과 내부회계관리제도 인증 수준 감사 상향

내부회계관리제도 운영실태 등을 회사의 대표자가 직접 주주총회 등에 보고하도록 하고, 상장법인에 한해 내부회계관리제도에 대한 인증수준을 현행 ‘검토’에서 ‘감사’로 상향함. (주식회사 등의 외부감사에 관한 법률, 2017. 10. 31., 전부개정 제개정 이유)

최초 구 외감법에 의해 내부회계관리제도가 도입되었을때는, 외부감사인은 회사의 내부회계관리제도에 대해 '검토(Review)' 의견을 표명했습니다. 그러나 대우조선해양에서 발생한 대규모 회계부정사태 이후 내부회계관리제도가 형식적인 운영에 그친다는 비판이 커졌습니다. 이에 따라 2017년 전면 개정된 「주식회사 등의 외부감사에 관한 법률」(이하 '신 외감법')은 인증 수준을 '감사(Audit)'로 격상시켰습니다.

이에 따라 회사들은 도입시기에 맞추어서 내부회계관리제도 고도화를 진행하고, 신 모범규준에 맞추어서 내부회계관리제도를 재정비 했습니다. 통제 갯수는 대체로 200개 전후로 증가하였고, ITGC(전산일반통제) 와 MRC(경영진검토통제) 같은 복잡한 내용 또한 도입되었습니다.

외부감사인 또한 인증 수준 상향에 맞추어서 재무제표 감사와 내부회계관리제도 감사를 동시에 수행하는 '통합감사'(Integrated Audit)을 수행하게 되었고, 감사기준서 1100에 따라 감사에 유의적인 통제를 식별하고 감사인이 직접 독립적인 테스트(질문, 관찰, 문서검사, 재수행)를 수행하게 되었습니다.

다음 글에서는 내부회계관리제도 적용대상에 대해 좀 더 살펴보겠습니다.