박용수 삼정KPMG 부대표
"주가나 자산가치가 폭락하는 시점에 흔히들 ‘물린다'는 표현을 쓰지 않습니까. 요즘 개인들의 투자손실이 크게 늘어나고 있는데 횡령은 이럴 때 위험합니다. 각 기업에서 자금 관리를 담당하는 개인이 유혹에 빠질 수 있는 환경에 노출돼 있습니다."
박용수 부대표는 "처음에는 소액을 짧은 기간 전용했다가, 다시 채워 넣는 행위를 반복하는 식"이라며 "이때 아무도 견제하거나 모니터링하는 사람이 없을 경우, 점점 금액도 커지고 대범한 횡령으로 발전하는 것이 일반적인 사례"라고 전했다.
박 부대표는 "통상적인 금융사고는 영업을 잘하려고, 비즈니스를 잘하려고 하는 마음에서, 고객 돈을 수익률로 돌려줘야 한다는 부담감에 편법을 사용하는 데서 시작한다"며 "그러다가 다른 자금을 끌어오고, 편법으로 낸 수익이 실적이 되고, 그런 점을 악용하다가 회사 시스템을 조작하는 순서로 진행된다"고 했다. 이에 주기적인 견제 장치가 제대로 작동해야 한다는 점을 강조했다.
횡령사건이 기업 내부에서 중대한 범죄 행위로 인식되지 않는 데 대해, 박 부대표는 "회사의 대표(CEO)나 주요 고위 경영진 대부분이 영업이나 실적 중심의 비즈니스 전문가이기 때문"이라고 했다.
그는 "경영진들도 내부통제가 중요한 걸 알지만, 업무처리를 빠르게 하기 위해서 경영전략을 짜다 보면 5년, 10년 뒤 그 회사의 비즈니스가 결국 내부통제를 압도하게 된다"며 "거버넌스 측면에서 견제와 균형이 이뤄져야 하는데 내부통제가 후순위로 밀리는 상황이 발생한다"고 설명했다.
금융사의 내부통제를 진단해주고 개선책을 알려주는 업무를 17년 정도 이어왔다는 박 부대표. 그에게 국내 금융사를 비롯, 기업에 횡령이 만연한 이유와 내부통제 수준, 회계 부정을 막을 수단의 필요성 등을 들어봤다. 다음은 일문일답.
"지금도 종종 벌어지는 일이기는 하지만, 과거에는 영업점에서 직원이 돈을 들고 집에 가거나, 금고에서 빼내는 등 단순 횡령 사건이 많았다. 단순 횡령은 다음 날이나 단기간에 적발 가능한 시스템이다. 그러나 최근에는 일상적 금융거래에 내부거래와 횡령이 결합한 형태를 보인다. 허위거래를 만들어 횡령을 장기간 은폐하면서 더 많은 액수를 횡령하는 것이다. 더구나 본점같이 비정형적인 업무를 수행하는 곳에서는 적발도 쉽지 않다."
― 횡령 패턴이 갈수록 지능화·고도화되고 있다는 뜻으로 해석된다. 이에 대응하는 국내 금융사의 내부통제 수준은 어느 정도인가.
"국내 금융사들이 내부통제 투자를 나름대로 해왔지만, 감독기관으로부터 비난받지 않을 수준, 즉 최소한의 통제 체계 정도를 갖추어 오지 않았나 생각된다. 각종 규제에서 요구되는 사항이 발생할 때 이를 내규(금융사 내 통제)에 반영하고 있다. 이때 가장 크게 고려되는 점은 ‘영업활동에 제약을 주지 않는 선’이라는 전제다. 즉 통제의 효과성 보다 비즈니스의 효율성에 더 집중하다 보니 근본적인 내부통제 효과를 달성하는 데 늘 한계가 따른다."
― 내부통제 시스템을 고도화하는 데 한계가 있다는 뜻인가.
"규제 대응을 우선하다 보니 선제적인 내부통제 활동이 부족하다. 규제보다 상품, 서비스와 프로세스들이 더 빠르게 변화한다. 업무 담당자들이 새로운 업무 처리 방식에 적용하는 환경에서 능동적이고 선제적으로 위험 요인을 발견하거나 관련 통제 활동을 업그레이드해 가는 노력이 부족하다.
또한 내부통제를 위해 사람이 별도로 점검하는 절차가 계속되면 상당히 피곤하다. 검사자 입장에서 6개월 동안의 모든 통제 기록을 볼 수 없다. 현장에서 규정이 완벽하게 다 지켜지고 있는지, 거래가 제대로 이뤄지고 있는지를 실시간으로 파악하는 것은 불가능하다. 사후에 볼 때도 샘플 위주로 파악하곤 한다."
― 허위거래를 막는 시스템이 내부적으로 구축돼 있지 않나.
"카드사는 이상거래탐지시스템(FDS)을 사용한다. 돈이나 고객정보를 빼내려고 하는 등 불법 침해가 발생하면 차단하고 방어하는 기능이다. 그러나 내부 허위거래를 모니터링할 수 있는 데이터는 부족하다.
은행권은 특정 조건이 맞으면 내외부의 허위거래를 적발, 취소하는 시스템을 구축하고 있다. 다만 타 금융권이나 일반 기업에서는 아직 내부 부정거래를 걸러내는 시스템이 부족하다."
― 내부통제 시스템에 대한 투자는 어느 수준인가.
"현실적으로 작은 회사나 코스닥 상장사만 해도 투자할 여력이 크지 않은 게 사실이다. 재무 쪽 거래량이 많지 않기도 하다. 은행이나 금융투자회사 등 금융권 대형사들은 그나마 어느 정도 갖추고 있기는 하지만, 그래도 좀 더 제대로 갖추고 있어야 하지 않을까 싶다."
― 내부통제에 대한 구성원들의 인식은 어떠한가.
"비즈니스가 내부통제를 압도한다는 말이 있다. 각 금융사 대표가 단기 성과 압박을 받다 보니 내부통제를 경영 우선순위에서 밀어내는 경우가 많다. 이는 곧 내부통제에 대한 일선 임직원의 낮은 인식으로 이어진다. 통제의 개선이나, 기존 통제의 준수에도 나쁜 영향을 미치고 있다."
"빅테크 계열의 금융사들은 설립 시점에 IT보안과 통제에 상당한 투자를 진행했기 때문에 당장 큰 금융사고의 예방을 위해 어느 정도의 내부통제 체계를 확보하고 있다고 볼 수 있다. 하지만 인가 시점의 컴플라이언스 체계 구축 이후 별다른 활동이 현재까지 보이지 않는다. 아무리 IT기술을 활용한다고 해도, 사람이 일하는 곳이므로 일반적 개념의 내부통제 개선이 이뤄질 시점이 도래했다고 생각한다."
― 해외 금융사 중 내부통제 시스템을 제대로 갖춘, 우리가 참고할 만한 사례는 없나.
"JP모건이나 HSBC등은 내부통제의 총괄기능을 이사회 산하인 ‘위험관리위원회’에 집중시켜 독립성을 강화함과 동시에 대표의 영향을 최소화한다. 이사회가 직접 내부통제 아젠다를 관리할 수 있는 구조다.
ING의 경우 지주사에서 내부통제에 대한 그룹 전체의 표준(기준)을 수립해 각 계열사에 전파한다. 동일한 시각과 수준의 내부통제 관리 활동을 전(全) 그룹 차원에서 진행하고 있다. 국내에서는 개념을 찾아보기 힘든 비즈니스 라인 컴플라이언스 오피서(Business Line Compliance Officer) 제도를 운영한다. 이곳에서 각 업무별 특성을 감안한 내부통제 활동을 별도로 수행, 업무별 특성과 신규 상품·업무에 대한 선제적 내부통제 대응이 가능하다."
― 국내 금융사의 부족한 내부통제 시스템에 대한 대안으로 ‘레그테크(Reg-tech)’가 거론되고 있다. 정확히 어떤 개념인가.
"레그테크는 매우 다양한 영역에서 다양한 목적으로 적용될 수 있는 디지털 컴플라이언스(Digital compliance) 기술이라고 보면 된다. 예컨대 과거에는 한 사람이 100건의 거래내역만 확인할 수 있었다고 하면, 이제는 머신러닝이나 인공지능 기술에 기반한 레그테크 3.0을 활용해 이상거래를 자동으로 걸러내 업무처리 속도가 높일 수 있다. 기존 검수 건수의 2~3배 정도도 무리 없이 들여다 볼 수 있게 된 것이다."
― 레그테크를 활용한 내부통제 방법이란 어떤 것인가.
"내부통제라는 게 루틴하면서도 피곤한 일이다. 검사자가 모든 거래를 다 볼 수는 없는 일이지 않나. 샘플만 몇 개 골라서 확인할 뿐이다. 레그테크를 활용하면 전수조사가 가능하다. 기계로 읽기 때문에 가능한 것이다.
예를 들어 빅데이터 및 인공지능(AI), 머신러닝을 활용해 어디에 에러가 있는지, 텍스트에 잘못된 키워드가 있는지, 불완전 판매 요소는 없는지, 재무제표나 신용평가 데이터를 수집해 부실한 부분은 없는지 찾는다는 것이다."
― 다소 추상적인데, 구체적인 사례로 설명해 달라.
"만약 공장을 가지고 있는 A라는 중소기업이 부실화되고 있지는 않은지 제대로 심사하고 싶다고 하면, 예전엔 분기나 연간으로 재무제표가 나와야 가능했다. 이제는 연간 전기 사용량 같은 데이터도 모니터링 대상이 된다. 갑자기 사용량이 급감했다면 문제가 있다고 볼 수 있지 않나. 또 국민연금이나 건강보험 납부 실적 같은 비정형 데이터를 수집하는 것도 이의 연장선상이다. 신용평가 모델이 훨씬 정교해지는 것이다."
― 그러한 방식이 부정행위가 의심되는 임직원에게도 적용 가능하다는 것인가.
"거래 형태 분석을 통해 위험거래 발생 가능성이 높은 직원들을 확인하는 것이 레그테크를 활용한 사례다. 결국 감사나 준법감시 체계를 레그테크를 통해 자동화하거나 예측해 관리하는 체계를 만드는 것이다. 개인의 업무 방식까지도 영향을 미칠 것으로 생각된다."
― 일각에서는 레그테크를 두고, 기업이 준수해야 할 컴플라이언스를 감독당국과 소통하기 위해 시스템으로 만든 것뿐이라는 이야기도 나온다.
"금융사는 감독당국에서 요구하는 최소한의 규제를 준수하는 것이 가장 시급하다. 레그테크 기술도 감독당국에 제출하는 보고서를 작성하고 소통하는 쪽에 가장 먼저 투자하고 있다. 그러나 이는 금융사의 궁극적인 리스크 관리 영역이라 할 수 없다. 단계적으로 금융사고 예방을 위한 모니터링 시스템이나 여신심사 기법의 디지털 전환, 펀드 불완전판매 방지를 위한 시스템 등으로 눈을 돌리게 된다. 감사나 준법감시 체계를 레그테크로 자동화하거나 예측해 관리하는 체계를 만드는 것이다. 이를 통해 내부직원 개인의 업무 방식까지도 영향을 미칠 수 있다."
― 레그테크뿐만 아니라, 내부통제 구축과 관련해 국내 금융사에 가장 필요한 요소는 무엇이라고 보는가.
"수준 높은 내부통제를 갖추고 유지해 가기 위해 금융사에 가장 필요한 사항은 내부통제에 대한 인식 전환이다. 특히 의사결정을 진행하는 경영진의 인식(Tone at the Top) 전환이 가장 중요하다. 직원들 또한 내부통제가 단순히 업무를 불편하게 하는 것이라는 사고에서 벗어나야 한다. 내부통제가 금융 소비자, 주주 등 이해 관계자들을 보호하고 금융사의 지속가능한 비즈니스를 보장하기 위해 반드시 필요한 제도라는 생각을 갖도록 분위기를 변화시켜야 한다."
― 금융당국이 먼저 가이드 라인을 내놔야겠다.
"규제 당국에서 획일적으로 정하기 어렵다고 생각한다. 레그테크는 지금도 계속 발전하고 있다. 또 기존에는 활용되지 않던 빅데이터를 활용하는 데 이때 당국이 어떤 정보(데이터)를 활용할지에 대해 구체적으로 가이드 라인을 내리기 매우 어렵다. 다만 일선 금융사 입장에서는 예를 들어 대출을 취급할 때 차주 동의서를 받고 이용 가능한 개인정보만을 분석에 활용한다든지 하는 식으로 융통성있게 시스템을 만들 수 있다. 상황에 따라 활용 가능한 데이터를 선별적으로 레그테크에 적용, 내부통제 시스템을 고도화하는 것이다."
☞ 박용수 부대표는 누구?
2003년부터 삼정KPMG에서 일했다. 현재 리스크 관리 컨설팅 부문 부대표를 맡고 있으며, 2018년부터 한국거래소 코스닥 상장위원회 심의위원도 맡고 있다. 이전에는 감사원 제6국 제2과에서 감사관으로 일했다. 산동회계법인과 안진회계법인을 거쳤다. 전공 분야는 금융사 내부통제 진단 및 개선, 금융사 전사 리스크 관리 체계 구축 등이다. 서강대 경영학과 졸업, 공인회계사.
박소영 기자 sozero@chosunbiz.com