(한국전산감사협회 부회장)
”부정의 삼각형“
조직 내의 부정 발생을 설명하는 이론적 모형인 ’부정의 삼각형(Fraud Triangle)‘ 이론은 세 가지의 요소가 부정이 발생할 가능성을 높인다는 것인데, 그 세 가지 요소는 동기(Motivation), 기회(Opportunity) 그리고 자기합리화(Rationalization)이다. 동기는 부정을 저지르는 사람의 본성이나 형편과 관련있는 요소로서 개인의 급박한 경제적 필요나 압력, 수단을 초월하는 소비적 생활습관, 또는 시스템을 뚫고자 하는 병리적 심리 성향 같은 것들이다. 둘째로 동기를 가졌다고 다 일탈을 하는 것은 아니며 업무의 시스템 어딘가에 허점이 있을 때 이것을 기회로 여기고 부정을 시도하게 된다. 셋째로 보수나 승진에서의 불만, 조직 내에서 인정받지 못하는 처지 등을 변명삼아 자신의 부정행위를 정당화하는 정신적 과정을 거치면서 자신의 부정행위를 합리화한다는 것이다.
조직의 입장에서는 각각의 세 가지 지점에 대해서 대응방안을 생각할 수 있는데, 동기나 자기정당화에 대해서는 평상시 경영관리층의 윤리경영에 대한 확고한 강조, 전 구성원에 대한 지속적인 반부패 청렴교육, 인식제고를 위한 다양한 활동을 통해서 동기 자체를 유발하지 않도록 노력을 할 수 있을 것이다. 내부통제의 핵심은 위의 세 가지 요소 중 무엇보다 기회를 원천 봉쇄하는 데에 그 방점이 있다. 위험부담이 대단히 크다고 판단되는 업무는 반드시 한 사람 이상의 담당자가 일을 분리하여 업무를 처리하도록 해서 한 사람이 업무의 시작부터 종결까지 담당하지 않도록 한다는 것이 ”직무 분리의 원칙(segregation of duties)“인데 논리적으로 단순한 개념이지만 사실상 가장 강력한 통제장치 중 하나이다.
근래에 조직의 관리통제기법과 디지털 업무처리 방식의 활용에서 괄목할만한 발전이 있었지만 내부통제의 방법 측면에서는 큰 변화가 있지는 않았다. 역설적으로 회계업무 처리의 전산화가 이루어진 이후에 전산처리 과정을 독점적으로 담당하는 소수의 회계업무 담당자에게는 오히려 회계부정을 저지르기 좋은 기회가 되기도 했다.
내부통제 인프라의 구축
내부통제는 일차적으로 일선 관리자의 책임이다. 그러나 통상 관리자들의 접근은 주먹구구식이거나 문제가 발생하지만 않으면 된다는 안일한 인식을 갖고 있는데 이것이 견고한 내부통제의 작동을 가로막는 요인이라고 보여진다. 내부통제의 획기적 강화 방안은 거버넌스의 구조 및 운용의 개선과 밀접한 관련이 있다.
근래에도 계속 발생하고 있는 지자체 등 공공부문이나 금융부문에서의 회계부정을 비롯한 통제실패를 조기 적발하고 예방 효과를 올릴 수 있는 통제인프라의 구축이 시급하다. 내부통제가 제대로 효과를 발휘하도록 하기 위해서는 구조적으로 거버넌스 체제를 변혁해야 한다. 먼저 자체감사와 별개로 내부통제 관리와 모니터링을 책임지는 내부통제 부서를 설치하여야 한다. 일부 선진국에서는 이미 정부 조직 구조 내에 내부통제국과 같은 내부통제 전담조직을 설치해서 위와 같은 역할을 수행하고 있다.
크게는 범정부적으로 적용되는 내부통제기준을 최고감사기구가 법규로 제정하고 모든 공공부문이 이에 적용대상이 되도록 해야 한다. 각급 기관에서는 내부통제기준의 준수를 책임지는 전담부서를 설치하여 내부통제 시스템을 설계, 운용하고, 모니터링을 통해 일탈행위를 적발하고, 또한 예방적으로 점검, 확인하고 조직 구성원들에게 내부통제와 관련한 자기 역할과 책임에 대해서 정확히 인지할 수 있도록 필요한 교육이나 훈련을 실시해야 한다.
우리는 통상 감사를 통해서 몇 가지의 주요한 효과를 기대한다. 억제효과, 환류효과 및 예방효과가 그것이다. 예방효과(prevention effect)는 국가인프라와 같은 대규모 사업의 실패나 대형 공공시설물의 안전사고를 사전에 예방하고, 유사한 사건·사례의 재발을 방지하는 등의 효과, 또한 기관 내부에서 일어나는 회계부정을 비롯한 부정사건의 발생을 사전에 탐지, 적발해서 조직의 청렴성, 투명성을 높이는 것이다.
내부통제 거버넌스의 선진화 필요
예방효과는 과거에 수행한 감사경험과 결과를 통해 조직 차원에서 축적되고, 학습되고, 정리된 국정 운영 전반에 대한 통찰을 토대로 이루어지는 미래지향적인 리스크관리 활동에 의해서 얻어지는 효과라고 할 수 있다. 감사기구의 역할에 대한 기대를 크게 세 가지 시각(sight)으로 정의해 보면 감시(oversight), 통찰(insight) 그리고 예견(foresight)이라고 할 수 있다. 감시는 업무가 합법적, 합규적, 능률적, 효과적으로 운영되고 있는지에 대해 감시·감독하는 역할이고, 통찰은 사업 운영에 대한 전문적 식견과 지혜를 통해 사업효과 개선이나 사업운영 방식 변경 등과 관련한 개선대안을 제시하는 역할을 말한다. 예견은 시대와 상황의 변화에 따라서 공공부문 운영의 부문별, 업무영역별 리스크를 사전에 파악·분석하여, 이에 대해 특별한 관심과 주의를 기울이고 실행가능한 대책·대안을 수립하여 국가적 피해나 국민들에게 돌아가는 손실을 회피 또는 최소화할 수 있게 하는 예견·예측의 역할을 기대한다는 것이다.
자체감사는 전통적으로 수행하는 위법 부당한 업무처리의 적발과 사실 규명과 책임소재 확인을 위한 사후감사 역할을 맡고 내부통제는 사전적 통제의 준수 여부와 제도 미비 등을 찾아내서 개선하는 역할을 수행할 수 있도록 법규적 권한을 부여하면 된다. 뿐만 아니라 기관장의 성과평가 시에는 내부통제의 효과적 운영 및 실패 사항들을 큰 비중으로 반영하도록 평가지표를 구성하면 확실한 내부통제 절차의 준수와 상시적 점검이 조직 내에서 자리를 잡게될 것이다. 물론 비리 당사자에 대한 엄정한 처벌과 고위험업무 담당 직원에 대한 상시적인 교육과 같은 통제효과 강화방안들이 병행되어야 함은 말할 것도 없다.
공공부문의 내부통제 거버넌스 구조를 개선하고 그에 필요한 인프라를 구축함으로써, 효율적인 리스크 및 통제관리 시스템이 작동하도록 한다면 횡령사고와 같은 부정, 비리가 발생할 수 있는 가능성을 최소한도로 억제할 수 있을 것이다. 현재진행형을 발생하고 있는 금융기관이나 지방자치단체 등에서의 부정과 일탈행위가 더 이상 발생하지 않도록 하기 위해서 범정부적 관심과 혁신적 조치들이 시급히 필요한 때이다.