[Interview-조세금융신문] “정보보안은 필수…디지털 컴플라이언스 시대 온다” 성현회계법인 전산감사팀 인터뷰
[Interview-조세금융신문] “정보보안은 필수…디지털 컴플라이언스 시대 온다” 성현회계법인 전산감사팀 인터뷰
[전체 기사보기] “정보보안은 필수…디지털 컴플라이언스 시대 온다” -송광혁 성현회계 파트너-
[고승주 기자]
오늘날 디지털 세상의 새로운 화두는 ‘안전’이다. 거래, 자금 흐름, 직원 활동…. 종이 서류로 오가던 일들은 컴퓨터와 네트워크로 자리를 옮겼다. 디지털은 극도의 효율성이란 이점을 줬지만, 곧 치명적 약점을 드러냈다.
직원 한 명의 배신은 오스템 임플란트 매각을, 하나의 방심은 카카오 데이터센터 화재‧지마켓 고객정보 유출을 낳았다. 이제 기업계에서 ‘안전’은 ‘성과’ 이상의 요구이며, 정부도 2022년부터 정보보호인증 제도를 가동하고 있다.
성현회계법인 전산감사팀은 이러한 변화에 대응하기 위해 한국공인회계사, 미국회계사, 국제공인 정보보안감사사(CISA), 국제공인내부감사사(CIA)로 추가 편대를 구성했다. 성현회계법인의 새로운 장기는 디지털 컴플라이언스(Digital Compliance)다.
◇ ‘내부통제’ 기업경쟁력으로 떠올랐다
(송광혁 파트너) “어떤 기업도 디지털 컴플라이언스에서 자유롭지 않습니다. 회사의 모든 자료는 디지털 데이터로 저장됩니다. 자료들은 생성, 보관, 전송, 운영되는 과정에서 많은 위험에 노출되고 거래가 복잡할수록 전사적인 내부통제 관리가 필요합니다. 법규나 규제도 강화되고 있습니다. 재무와 정보보호 등 기업 경영 안전에 대한 모든 것을 아우르는 디지털 컴플라이언스. 이것이 저희 성현회계 전산감사팀의 새로운 비즈니스입니다.”
투자자들은 호경기엔 돈 잘 버는 기업을 찾지만, 어려울 땐 안전한 기업을 더욱 찾는다. 계절 따라 바구니 속 과일은 달라질 수 있지만, 안전한 기업은 항상 바구니에서 빠지지 않는다.
투자자가 기업 경영 안전을 판단하는 기준은 기업 위험관리 능력에 달렸다.
회계 운영 능력을 살피는 내부회계관리제도, 회사 내부 보안에 대한 정보보호인증, SOC 1‧SOC 2, ISAE3402 리포트 등 서비스조직 인증 보고서(Third Party Assurance Report), 자금세탁방지(AML : Anti-money laundering) 등.
이들이 대표적인 기업 위험관리 도구들이며, 이를 통합 관리하는 디지털 컴플라이언스는 기업 신용을 평가하는 또 하나의 이름이다. 조용 이사가 한마디 덧붙였다. 그는 자금세탁방지(AML) 전문가다.
“기업회계내부통제, 정보기술통제, 정보보안, 정보보호인증 등 영역과 이름은 각각 다르지만, 이 업무들이 독립적이고 개별적인 것은 아닙니다. 회사를 얼마나 안전하게 관리하는지, 모두 회사의 위험관리와 관련된 것입니다. 제가 담당하는 자금세탁방지 시스템은 금융사의 법적 의무입니다만, 회사의 신뢰, 이용자 신용에서 가장 중요하고도 기초적인 영역입니다. 비용도 많이 들지요. 하지만 품질을 결정하는 건 노하우입니다. 가장 합리적인 서비스를 제공하는 건 저희라고 자신합니다.”
2018년 외부감사법 전면 개정은 기업 컴플라이언스에 중대한 변화를 일으켰다. 회사가 건강하게 운영되는지 알아보려면 내부 돈의 흐름을 보면 된다. 이 돈의 흐름을 보는 한 축이 회사의 재무장부, 다른 한 축은 돈이 장부대로 도는지 살펴보는 운영력, 내부통제다.
외감법 개정 전에는 재무제표 작성만 감사(audit) 범위에 들어왔지만, 개정 후엔 내부통제까지 감사의 영역으로 들어왔다. 대우조선 등 대형회계조작 사건이 끊이지 않았기 때문이다. 이는 회계감사의 외곽지대에 불과하던 전산감사에 급변을 가져왔다.
‘더 많은 데이터를, 더 정확하게.’ 효율‧효과성으로 코딩된 최신 전산감사 툴(tool)은 인간이 보는 것보다 더 냉정하게 더 정확하게 회사 내부 재무활동을 빠짐없이 들여다봤다.
전산회계감사의 기술잠재력은 회사 시스템 운영, 정보보안, SOC 보고서 등 기업 안전관리 영역 대부분에까지 뻗어나가 있다.
◇ “정보보안인증, 회계‧IT 통합솔루션이 베스트죠”
(기자) “정보보안이나 SOC 보고서까지 회계법인이 꼭 해야 하는 이유가 있습니까.”
(조용 이사) “정보보호나 보안인증을 예로 들면, 맞습니다. IT나 정보보안 전문가들도 이 영역에서 활동합니다. 아까 말씀드린 것처럼 전산감사, 정보보호인증, SOC 보고서 등 디지털 컴플라이언스의 각 영역은 서로 동떨어진 것이 아니라 하나로 연결돼 있습니다. 경영진이나 투자자들은 하나하나 나뉜 보고서가 아니라 통합적인 인사이트를 원하죠. 저희는 회계사와 정보기술 전문가 등 인력을 다양하게 구성하고 있고, 실제 업무를 할 때 각 분야 전문가들이 팀을 짜서 들어갑니다. 결론을 말씀드린다면, 정보 전문가와 회계 전문가가 함께 업무를 하는 게 가장 베스트입니다.”
김욱 이사가 다음 설명을 자처했다. 그는 성현회계와 함께 한 가장 오래된 멤버 중 한 명이자 전산감사, 정보보호인증 전문가다.
(김욱 이사) “정보보호란 정보보안의 다른 말입니다. 지난해 정부는 많은 제도적 변화를 이뤄냈습니다. 회사 내부 보안활동을 좀 더 활발하게 움직일 수 있게 보안 실무자가 정보보호책임자가 될 수 있도록 했고요. 정보보호공시제도를 자율공시에서 의무공시로 바꾸었습니다. 매출 3000억원 이상 기업들은 정보보호 투자현황, 정보보호 전문인력 현황, 이용자 정보보호 활동내역 등에 대해 매년 6월 30일까지 의무적으로 공시해야 합니다.”
(김욱 이사) “정보보호에 대한 수요는 점차 증가하는 추세입니다. 고객정보유출 사건이 계속 터지고 있고, 소비자 입장에서 이런 사고가 계속 터지면 이미지가 안 좋아지고, 소비자 대상 기업들은 이미지가 가장 중요합니다. 저희의 업무영역도 3년 전보다 늘어났습니다. 좋으신 분들이 들어와 주셨고, 덕분에 시장에서도 신뢰를 받고 있습니다.”
(기자) “회사들이 성현회계 전산감사팀에 대해 만족하는 이유는 무엇인가요.”
(김욱 이사) “노하우가 쌓이기 때문입니다. 저희는 합당한 대우로 팀원들, 전문가들을 대우하며, 그들이 회사와 함께 감으로써 노하우를 축적해가고 있습니다. 고객사들도 저희 인력들의 노하우에 만족해 하고 있습니다. 더 다양한 서비스, 더 늘어나는 인력, 그것이 저희 조직이 성장하는 방식입니다.”
성현회계 전산감사팀에 대한 기업계의 시선은 호의적이다. 성현회계는 최근 국내 굴지의 통신사와 계약을 맺고, 서비스를 공급 중이다. 여러 대기업들도 성현회계와 계약을 맺었다. 탄탄한 조직력과 고품질의 서비스, 합리적인 가격이 바탕되지 않는다면 얻을 수 없는 성과다.
(송광혁 파트너) “디지털 컴플라이언스는 기업에 많은 이익을 줍니다. 공시 대상 기업이 회계법인 사전점검 확인서를 받아 제출할 경우, 사후 검증 대상에서 제외됩니다. 저희 회계법인에 맡기면 비즈니스 걱정을 하나 덜게 되는 셈이죠. 회사의 안정적 서비스 공급 체계를 보려면 저희의 SOC 보고서를 이용하시면 됩니다.”
횡령위험에 대한 전수조사는 성현회계 디지털 컴플라이언스의 놀라운 장점 중 하나다.
(서주표 이사) “최근 기업 부정‧횡령 사건에서 공통적인 문제점이 있습니다. 샘플테스트에 기반된 내부통제죠. 표본으로 살펴보는 건 사전 방지나 조기 적발에 한계가 있을 수밖에 없습니다. 저희 팀은 영업, 구매, 자금 등의 주요 프로세스에서 발생한 데이터를 모두 분석해 특이 현상을 도출, 추가분석을 통해 부정 및 오류를 적발할 수 있습니다. 내부통제 개선 관점에서 인사이트도 함께 제공합니다.”
(기자) “이론적으로 전수조사가 최고이긴 합니다만, 그 많은 데이터 분석이 가능합니까.”
(송광혁 파트너) “부정리스크 진단 및 모니터링 컨설팅 관련해서는 실제 구매, 영업 및 자금에 대한 데이터를 받아서 앞의 앞단의 로우데이터 그 앞단의 데이터를 봅니다. 일반적인 회계감사에서는 못 볼 수 있는 부정이라든지 횡령과 관련된 데이터들을 관련된 시나리오 적용해서 돌려보고 감사에서 볼 수 없는 징후들을 살필 수 있습니다.”
(송광혁 파트너) “더 자세히 설명드릴 수도 있습니다만, 오늘 하루를 다 써도 부족할 겁니다. 대신 이렇게 말씀드립니다. 가능합니다. 충분히 가능합니다.”
◇ 원펌, 노하우 축적되는 이유 있죠
(기자) “성현회계 서비스 품질이 유지되는 이유를 무엇이라고 생각하십니까.”
성현회계 전산감사팀과 본지와의 인터뷰는 처음이 아니다. 2021년 1월, 본지는 ‘전산감사 빅팀 ‘성현회계법인’, 3년 후를 대비한다’ 기사를 추진한 바 있다.
당시 성현회계팀은 3년 내 팀의 성장을 자신했다. 인터뷰엔 반영하진 않았지만, 당시 멤버들은 성현회계가 원펌으로 운영된다는 점을 강조했다. 원펌 체계가 되면 회계사 개개인이 각자 일하는 게 아니라 하나의 조직원으로서 함께 협력해야 한다.
회계업계는 이직의 용광로라고 할 정도로 인력 변동이 빈번하지만, 성현회계 전산감사팀은 증원된 인력을 제외하고 기존 멤버들이 단 한 차례도 바뀐 적이 없다.
(윤지현 매니저) “저희는 빅4처럼 원펌으로 간다는 부분을 팀이 커질 수 있는 밑거름 자체라고 생각합니다. 회계감사뿐 아니라 내부회계관리제도, 정보보호인증 등 전산감사팀 역량에 맞게 업무량이 많아졌습니다. 그러면서 팀원들이 보강됐습니다. 일할 수 있는 분위기에 맞춰서 팀원들이 모였고, 다양한 팀원들이 모이다 보니까 각각의 무기들을 가지고 있습니다.”
성현회계 전산감사팀이 꾸려진 후 퇴사율은 0%다. 새로 합류한 인사들의 목소리를 들어봤다.
(서주표 이사) “큰 회사일수록 효율성을 중시합니다. 정해진 범위 내에서 빨리 일을 마무리해야 합니다. 좋은 장점이라고 생각합니다. 하지만 저는 피고용인이지만, 제 일의 주인이 되고 싶고 그걸 지원해주는 회사를 원해 성현회계에 합류했습니다.”
(김진솔 매니저) “회계업무는 보수적이고 정형화된 측면이 있습니다. 어떤 일이 들어오면 그 일만 해야 합니다. 요즘에는 새로운 이슈가 계속 발생합니다. 새로운 일에 도전을 하면 더 개방적으로 되고, 어떤 의견을 제시했을 때 수용성과 적응이 빨라집니다. 저희 팀에는 각 분야 전문가들이 있고, 새로운 이슈가 터졌을 때 자기 능력을 발휘해서 해결하는 능력이 뛰어납니다. 그러기 위해서 개방성, 전문성이 필요합니다. 이렇게 인원도 늘어난 거 같고, 인원이 늘어난다는 거 자체가 새로운 비즈니스가 들어오고 해결능력이 커졌다는 것을 말합니다. 성현회계 전산감사팀은 처음에 다섯 분이서 하셨는데 지금은 두 배 넘게 늘어났으니까요. 이걸 해내는 능력이 대단하다고 생각합니다.”
성현회계 전산감사팀의 도전은 어느 회계법인 한 곳의 특이한 시도라고 할 수 없다. 회계와 디지털, 회계와 정보보호, 회계법인의 넓어지는 역할은 부정할 수 없는 현실이다.
한국공인회계사회는 회계사 시험합격자 실무수습 과정에서도 데이터 분석 교육을 대폭 강화하고 있다. 아직 기업들 상당수는 정보보안에 대한 인력 및 투자를 머뭇거리고 있지만, 투자자들과 당국의 시선은 그 이상의 것을 요구하고 있다.
2025년부터 정보기술 관련 교과목을 의무적으로 이수해야 회계사 시험에 응시할 수 있고, 2차 시험과목에도 회계감사 데이터 분석 관련 내용이 출제될 예정이다. 회계사들도 하나의 업무에 고정돼서는 살아남을 수 없고 사회 흐름에 맞춰 꾸준히 도전해야 살아남을 수 있다.
(송광혁 파트너) “앞으로 회계업계에서 전산감사는 필수입니다. 기업들도 마찬가지입니다. 성현회계 전산감사팀은 초기 출범 후 3년 만에 인력은 두 배 더 많아졌고, 업무영역도 정보보호, 디지털 컴플라이언스로 넓어졌습니다. 본격적인 변화는 이제 막 시작입니다. 2025년까지 또다시 두 배 이상 성장해 30명의 전문가를 갖춘 빅팀으로 재차 도약할 것입니다. 최고의 전문인력을 투입해 사품질을 높이고, 다양한 고객사의 디지털 컴플라이언스 이슈에 대해 최고, 최적의 서비스를 제공할 것입니다.”