기업의 내부통제 시스템에 대한 감사 제도가 유명무실한 것 아니냐는 목소리가 높다. 시행 4년차를 맞지만, 오스템임플란트(2215억원)와 우리은행(614억원), 계양전기(245억원), 아모레퍼시픽(30억원) 등 횡령사고는 끊이지 않는다.

금융감독원은 기업 회계 감독을 위해 지난 2019년부터 상장사를 대상으로 내부통제 시스템을 들여다보는 내부회계관리제도(IT감사)를 운영하고 있다. 하지만 정작 현장에선 "별 효과없는 옥상옥 규제일 뿐"이라는 반응이다.

내부통제 감사하는 외부감사…업계 시스템 구축에 가욋일 소모

18일 금융 및 보안업계에 따르면 우리은행과 신한은행의 횡령 사고를 막았어야 할 내부통제 시스템이 제대로 작동하지 않은데에는 허울뿐인 감사제도도 한 몫했다는 지적이 나오고 있다. 제도만 있을 뿐, 현장에서는 정작 수박 겉핥기 식으로 이뤄졌다는 것이다.

상장기업은 개정된 ‘외부감사에 관한 법률(외감법)’에 따라 외부감사인으로부터 내부통제 시스템을 감사 받는다. 금감원 주도 하에 IT감사 혹은 내부회계관리제도라 불리는 제도로, 내부통제 시스템이 기업의 재무정보를 올바르게 검토하고 회계부정 사례를 걸러내는지를 감독, 검사한다.

감사 대상은 상장기업 자산 총액을 기준으로 2019년부터 순차 적용되고 있다. 올해는 자산 1000억원 이상 5000억원 미만 기업이 포함된다. 내년에는 1000억원 미만까지 포함돼 사실상 거의 모든 상장 기업이 IT감사 대상이 된다.

은행들은 비상장이므로 IT감사에 직접 해당되지는 않지만, 지주사가 대상이라 피해 갈 수는 없다. 2023년부터는 연결 기준까지 포함돼 IT감사를 구축, 준비해야 한다. 원래 2022년 시행 예정이었으나 코로나19로 국내 해외 출장이 제한돼 자회사와 전산시스템 연결이 필수적인 IT감사 구축에 어려움이 컸다는 이유로 1년 유예됐다.

신한은행은 "2002년부터 내부통제 시스템을 도입, 지속적으로 고도화를 진행 중"이라고 밝혔다. 하지만 최근 부산 지점의 2억원 횡령 사고로 이러한 설명도 다소 무색해졌다.


IT감사는 아무나 하나…준비할 수 있게 지원 부터

IT감사 도입 이후 현장에서는 제도로 인한 효과는 찾아보기 어렵다는 게 관계자들의 다수 의견이다. 금융권의 대다수 핵심업무가 전산화 돼있고, 거래도 IT로 이뤄져 실질적인 내부통제도 IT로 진행돼야 하지만, 늘 뒷북이다. 대형 회계법인 관계자는 "금융사 만큼 IT가 중요한 곳이 없지만, 허점이 많은 것도 사실"이라고 꼬집었다.

우리은행 사태는 이 와중에 빚어진 일이다. 우리은행은 IT감사에 대비하기 위해 2019년 무렵부터 각 본부 부서와 영업점에 내부회계관리 담당 직원을 한명씩 배치, 본부 부서에는 그룹 내도 한명씩 총괄 담당자를 뒀다. 이들은 1년에 2번씩 우리은행의 내부통제 시스템을 평가하고, 회계부에 취합해 외부 감사인에게 넘긴다.

하지만 감사를 진행한 할 안진회계법인은 우리은행 횡령 사건이 발생했던 2004년부터 2019년 사이에 외부 감사를 시행했지만 내역을 잡지 못했고, IT감사에도 ‘합격’을 줬다. 우리은행 관계자는 "이번 횡령 사건은 문서 조작을 못잡아 낸 경우"라며 "(내부통제가 작동함에도) 해당 직원이 어떤 식으로 조작을 했는지에 대해서는 지금 수사 중"이라고 전했다.

IT감사가 회계부정을 잡아내지 못하는 배경에는 감사 준비 시스템 구축이 속도를 내지 못하기 때문이다. 대상이 되는 기업들은 프로그램 구축에 상당한 자금이 필요하고, 관련 업무를 수행할 인력이 부족해 제대로 대응하고 있지 못한다고 호소한다. 이로 인해 우리은행 상황처럼 회계법인의 감사가 완벽하지 않더라도, 우선 4대 회계법인이 알아서 해주기만 바라는 상황이다.

감독 기관인 금감원은 자신들은 책임이 아니라는 입장이다. 최근 연달아 발생한 횡령 사건이 기본적으로 ‘회사가 내부통제 시스템을 제대로 갖추지 않아서 발생한 사건’이라는 인식 탓이다. 금감원 관계자는 "시장에서 일어나는 상황에 대해 항상 관심을 가지고 대책을 고민하고 있는 것은 맞으나, 사실은 1차적으로 내부통제를 갖춰서 운영할 책임은 기업 자체에 있는게 맞다"고 했다.

그나마 인력과 자금이 충분한 대기업과 달리, 모든 것이 부족해 회계법인에만 의존하는 중소기업은 다른 해결책이 필요한 상황이다. 이에 전문가들은 "감독당국이 기업의 회계부정을 실시간으로 잡는 제대로된 내부통제 시스템을 구축을 지원하는 게 먼저"라고 입을 모은다.

IT감사 대응 자동화 솔루션을 공급하는 스타트업 ‘로그스택’의 한정규 대표(CEO)는 "직원들이 내부통제 시스템을 작동시킬 때 각 기업의 특성에 맞춰 실시간으로 그 행위에 대한 알림이 뜨고 기업이 통제할 수 있어야 한다"며 "그래야 기업의 수고가 덜고, 회계부정 등 사건사건 사고도 줄어들 것"이라고 전했다.

박소영 기자 sozero@chosunbiz.com