개정된 외부감사법 적용 대상 순차 확대 중…2023년부터 모든 상장사에 적용
3년 전 시행된 신외부감사법이 여전히 상장사 사이에서 회자되는 이유는 그 적용 대상이 점차 확대되고 있어서다. 자산규모 2조원 이상 기업은 지난 2019년부터, 5000억원 이상 기업은 작년부터 적용대상이 됐다. 내년부터 자산규모 1000억원 이상인 기업, 오는 2023년부터 모든 상장사가 적용대상이 된다. 법은 과거 '검토'였던 외부감사인의 내부회계관리제도 운영실태 검증 수준도 '감사'로 강화했다. 내부회계관리제도와 관련해 '비적정' 의견을 연달아 받을 경우 상장폐지 심사 대상이 될 위험이 커진다.현실적으로 대다수 기업의 주요 회계정보가 전산시스템에서 처리되고 있기 때문에, 내부회계관리제도 평가 과정에서 전산시스템의 통제가 적절한지, 이를 위한 기능이 제공될 수 있는지가 관건이다. 예를 들어 감사인이 "회계전표를 처리할 때 장애가 발생하면 어떻게 처리되나, 어떻게 수령할 수 있나"를 확인하거나 "회계오류를 시스템상 요청으로 조치할 수 있는가"를 검증할 수 있다.
금감원은 모범규준에서 "ITGC만으로 재무보고 위험을 처리할 수는 없지만, 경영진의 내부회계관리제도 운영은 지속적인 자동통제나 전산시스템상의 기능에 의존"할 것이라고 지적하고 있다. 이는 ITGC는 회계관리와 관련된 IT운영환경 전반의 보안관리, 정보기술의 개발과 유지보수에 대한 통제활동도 감사대상이 될 수 있음을 시사한다.
중견중소기업들, 내부회계관리제도 운영 검증에 포함된 ITGC 감사 대응 분주
최근까지 필요성을 인식하지 못하고 있다가 외부감사를 위해 ITGC 대응에 나선 기업들의 사례가 적지 않다. 중견중소기업 시장에서 ERP 솔루션으로 입지를 키워 온 더존비즈온이 이런 기업들의 수요를 지원하기 위해 발빠르게 움직이고 있다.더존비즈온 관계자는 "최근 내부회계 감사를 진행 중이거나 감사를 앞둔 고객사로부터 많은 문의를 받고 있다"라며 "최근 두 분기 사이에 매주 한 곳꼴로 기업 문의를 접수하고 있고 현재 지원 중인 사례만 70여건에 달한다"라고 밝혔다. 이 관계자는 "ITGC 감사 대응을 위한 고객사 요청에 따라 기존 ERP 제품을 ERP 10으로 업그레이드하거나 ITGC 감사 항목을 커스터마이징해 제공하고 있다"라고 설명했다.
더존비즈온의 솔루션을 연결내부회계에 도입한 현대자동차는 현재 더존 ERP 10 플랫폼 기반으로 연결회계시스템을 구축하고 있다. 화학 업계 대기업 A그룹은 ERP 10으로 고도화를 완료했고 제약 업계 B사는 더존 ERP iU를 커스터마이징해 ITGC에 대응했다.
더존비즈온 관계자는 "ITGC는 IT운영환경을 위한 보안관리와 정보기술의 취득, 개발, 유지보수에 대한 통제활동을 의미한다"라며 "사용자 계정과 권한부여 승인을 비롯해 직원의 부서이동에 따른 권한 회수 절차, 퇴사자 시스템 긴급 접근 제한 기록 등의 신뢰성을 증명해야 한다"라고 설명했다. 이어 "이런 ITGC 감사 대응을 위한 초기작업에 많은 시간이 소요된다는 점이 중소중견기업에 부담이 될 수 있다"라며 "구축이 늦으면 재무제표 작성이 어려워지고, 재무정보의 대외 신뢰성도 떨어질 것"이라고 지적했다.
더존비즈온 "차세대 솔루션 ERP 10 활용 시 ITGC 검증 부담 완화 수월"
더존비즈온은 ERP 10이 기업의 모든 정보와 자원을 실시간 관리하며 기준에 맞게 쓰고 있는지, 로그와 변경에 대한 합의 여부, 회계잔고와 관련된 재고실사 등 기록이 납득할 수 있는 방식으로 전산시스템에 기록되고 한 화면에서 직관적으로 볼 수 있게 구현됐다고 강조했다. ERP 10을 도입한 기업은 강화된 내부회계관리제도에 대응 시 ITGC 검증의 부담을 덜 수 있다는 것이다.더존비즈온 관계자는 "ERP 10은 그룹사와 대기업을 중심으로 빠르게 도입이 확산되고 있는 차세대 ERP로, ITGC 감사 대응을 전면 커버할 수 있는 제품이며, 모듈화를 통한 고도화도 쉽다"라며 "인공지능·빅데이터 등 최신 기술을 적용해 구축 효율성과 확장 구현성에서 높은 품질을 보증하는 개별기업 맞춤화 솔루션을 제공한다는 것도 강점"이라고 강조했다.
대기업은 자체 전산시스템 운영과 관리를 위한 부서와 인력을 갖추고 있지만 상대적으로 규모가 작은 중견중소기업에는 그만한 인력과 체계를 갖추지 못한 경우가 많다. 시간적·물리적으로 법규에 대응할 여유가 충분하지 않을 수 있다. 내부회계관리제도 의무 대응이 당장 시급한 곳은 올해 감사보고서를 제출해야 하는 자산규모 5000억원 이상 기업이다. 당장 내년부터 감사를 받아야 하는 자산규모 1000억원 이상 기업도 내년 3월 이전까지는 원활하게 ITGC와 내부회계관리제도 검증을 받기 위해 지금부터 대응할 필요가 있다. 자산규모가 1000억원 미만인 나머지 기업들은 내년도 사업보고서를 제출하기 위해 내후년 3월 이전까지 준비에 나서야 할 전망이다.
외부감사법 개정 이후 첫 내부회계관리제도 감사의견을 받은 자산총액 5000억원 이상 대기업 중에서도 적정 의견을 받지 못한 사례가 있었다. 전산시스템 운영관리 여력이 부족한 중견중소기업 환경에서 이 같은 사례는 더 늘어날 수 있다. 더존비즈온 관계자는 "기업 관점에서 외부감사 대응을 위한 경영자 평가 부담을 줄이고 단일보고서로 서비스 품질의 우수성을 높이는 등 기업의 내부회계관리제도 감사 대응 연착륙을 돕겠다"라고 말했다.