전문가 코칭
횡령위험과 금융산업의 내부통제시스템
이재은 홍익대학교 경영대학 교수
내부회계관리제도운영위원장

Q1. 최근 금융권에서 횡령사건 등 금융사고가 늘어난 이유는 무엇이라고 생각합니까?

최근 횡령사건 등 금융사고가 늘어난 이유를 이해하기 위해서는 ‘업무부정(Occupational Fraud)’의 개념을 먼저 이해할 필요가 있다. 최근 논란이 되는 금융사고는 전형적인 업무부정의 형태이기 때문이다. 미국부정감사인협회(ACFE) 보고서(2021)1)에 따르면, 업무부정은 본인의 사익을 위해서 직업상 지위·정보, 기업의 자원이나 재산을 고의로 잘못 사용하거나 활용하는 행위로서, (i) 자산 횡령·유용, (ii) 재무제표 부정(회계분식), (iii) 부패·배임의 유형으로 분류된다. 최근 논란이 되는 금융사고는 이 중 회사 자산의 도용·횡령·유용 행위를 지칭하는 자산횡령·유용의 형태이며, 일반적으로 금액은 소액이지만 최근 사례에서 볼 수 있듯이 (적발되지 않고 반복되면) 거액의 사고가 발생하기도 한다.

회계감사기준에서는 부정의 발생 원인으로 부정 3요소(부정삼각형, fraud triangle)를 설명하고 있다. 이는 Donald R. Cressey가 최초 제시한 개념으로, '업무 부정은 기회, 압박감, 합리화의 세 가지 요소가 결합하였을 때 발생한다'는 것이다. 기회(opportunity) 요소는 부정행위를 행할 수 있는 기회의 발생 상황을 지칭하며, 부정행위 기회, 은닉 기회, 처벌의 회피 기회를 나타낸다. 압박감(pressure)은 부정을 행하도록 몰린 상황으로, 내외적 강요, 압박, 강박관념, 궁지에 몰린 상황 등 개인적·조직적 압박감을 지칭한다. 합리화(rationalization)는 부정행위를 행하면서 스스로 이를 합리화하는 생각으로서, 예를 들어, ‘잠시 빌리는 것이다’, ‘이번 한 번만 하는 것이다’, ‘선의의 목적이다’, ‘나는 회사로부터 이 정도 보상을 받을 자격이 있다’, ‘내가 아니더라도 이 정도는 분실사고로 일어날 수 있다’, ‘내 성실성에 조금 흠은 되지만 불법은 아니다’ 등의 일종의 변명거리들이다.

일반적으로 부정 3요소는 모든 조직에 상존한다. 즉, 업무부정은 실제로 모든 조직에 널리 퍼져 있으나, 심각하게 인식하지 못할 뿐이다. PwC(2021)2)는 전 세계 5,000명 이상의 경영자 설문조사를 통해 부정 발생과 인식을 조사하였는데, 47%의 응답자가 최근 24개월 동안 부정행위를 직접 경험했다고 답변하였다. 특히 경영자들은 ‘부정이 중요한 문제인가?’ 질문에는 76%가 그렇다고 답하면서도, ‘부정이 당신 회사에서 중요한 문제인가?’ 질문에는 40%만 그렇다고 답하고, 54%는 우리 회사 문제는 아니라고 답하였다. 이는 부정발생 현실을 애써 모른 척하거나, 위험 불감증 때문에 인식을 못 할 뿐이라고 해석할 수 있다.

횡령 등 업무부정 행위는 모든 조직에 늘 존재하고 있으며, 최근 발생한 사례들은 이미 잠재된 사고가 내부조사 과정이나 상황변화 때문에 외부에 노출된 경우로 볼 수 있다. 최근 금융권에서 금융사고가 늘어난 것처럼 보이는 것은, 주식시장의 폭락, 부동산 시장의 경색, 비트코인이나 파생상품 가격의 급격한 변동 등으로 인하여 잠재하고 있던 업무부정 행위들이 적발되거나 자포자기로 더 이상 숨기기를 포기함으로써 노출이 늘어난 것이라고도 볼 수 있다.

Q2. 금융권에서 위험성이 높은 분야와 이에 대한 금융기관의 대응방안은 무엇입니까?

횡령 등 업무부정 위험성이 높은 분야를 찾으려면 가장 먼저 부정 3요소 중 ‘기회’ 요소의 개념을 고려해야 한다. 일반적으로 부정에 대한 가장 주된 기회는 부정행위를 예방하고 적발하는 내부통제가 취약하거나, 내부통제를 우회·회피 가능한 상황이 원인이 되어 발생하며, 기회 요인은 이러한 측면에 밀접하게 관련되기 때문이다. 금융권에서 업무부정 위험성이 높은 분야를 찾으려면, 어떤 업무나 자산 종류에 초점을 맞출 것이 아니라, 부정행위 기회를 제공하는 요소들에 초점을 맞추어야 한다는 의미이다.

따라서 부정위험에 대한 금융기관의 대응방안은 특정 유형 항목의 부정위험에 관심을 집중할 것이 아니라, 전반적 내부통제시스템을 점검하는 것이 필요하다고 보아야 한다. 부정위험 관련 내부통제시스템은 사전·사후적 개념을 모두 포함한다. 사전적 개념은 예방을 위한 조치이고, 사후적 개념은 부정발생 후 적발을 위한 조치이다. 사전적 조치는 부정 기회요인이 발생하지 않도록 내부통제를 설계·운영하는 것이다. 여기에는 업무분장, 순환근무, 문서화에 대한 승인 및 감독 절차, 불시점검 등 정기적·비정기적 내부감사절차가 포함되며, 이와 같은 가장 기본적인 내부통제절차에 충실하는 것이다. 사후적 절차로는 자료의 위조·변조 행위가 없는지 비판적 시각으로 점검하는 확인 절차가 내부점검절차에 포함되는 것이다.

PwC 보고서(2021)는 부정위험에 대처하기 위하여 3단계의 대응 방안을 제안하였다. (i) 위험을 구체적으로 식별하여, 등급을 정하고, 대응방안을 수립(단계 1), (ii) 타당한 경영감독, 전문성, 모니터링 체계 하에 기술적 방법(예, IT 기술)의 도입(단계 2), (iii) 사람, 절차, 기술 요소를 결합한 적절한 부정대응체계(fraud program)를 수립하고 부정위험 식별 시 즉각적으로 대응(단계 3)의 3단계이다. 이 중 부정대응체계의 대표적 예를 소개하면, 부정적발프로그램인 ‘업무부정 신고제도(Hotline)’와 ‘부정인지교육’을 들 수 있다. ACFE 보고서(2021)에 따르면, 부정적발의 주된 경로는 내부감사보다는 신고, 고발이 압도적으로 많으며, 특히 부정인지교육을 사전에 실시한 조직과 아닌 경우의 부정발생 빈도나 신고고발 빈도에 큰 차이를 보였다. 두 가지 제도 모두 부정적발, 부정에 대한 심각성 인식 및 예방에 중요하다는 의미이다. PwC(2021)는 IT 기술 등 제도적 설계와 함께, 부정대응체계와 같이 내부통제가 실제로 제대로 활용될 수 있도록 점검하고 재확인하고 수정·보완하라고 권고하였다. 부정위험은 완전히 제거할 대상이 될 수 없으며, 그 위험을 최소 수준으로 낮추어 관리하는 대상으로 인식하는 위험관리시스템이 작동되어야 한다.

  • Report to the Nations: 2020 Global Study on Occupational Fraud and Abuse, 2021, Association of Certified Fraud Examiners (ACFE).
  • Fighting Fraud: A Never-Ending Battle: 2020 PwC’s Global Economic Crime and Fraud Survey, 2021, PricewaterhouseCoopers(PwC).