사베인-옥슬리「골치 덩어리만은 아니다」

톰 아놀드, 그리고 스토리지텍의 IT 부서는 사베인 옥슬리 법(이하 SOX)을 준수하자니 돈이 많이 들고 혼란스러운데다가 끝이 없다고 호소하고 있다.아놀드는 SOX 부정 방지법에 대해 정부나 감사 법인 측에서 명확한 지침을 주지 않고 있어 IT 직원들이 때때로 극도의 압박감을 느끼고 있다고 토로했다. 그는 지난해 발효된 SOX의 핵심 규정을 준수하려는 스토리지텍의 노력을 감독하는 기업 감사역을 맡고 있다.예를 들어 보자. IT 부서에서 SOX를 준수하려면 지금까지 스토리지텍 직원들에게 적용된, 사용해온 암호를 3개까지 회사 업무용 소프트웨어에 보관하는 것 이외에 별도로 이전 10개의 컴퓨터 암호를 기록으로 남겨야 한다. 또한 현재 썬 마이크로시스템즈가 인수중인 스토리지텍 사무실에 전력 문제가 발생하더라도 컴퓨터 시스템은 계속 동작할 수 있도록 발전기가 필요하다는 내용도 있다.하지만 스토리지텍은 결국 세 개의 암호만 저장하는 걸 고수하는 대신 데이터 사본은 다른 곳에 보관하기로 했으며, 발전기는 없었던 걸로 하기로 결정했다. 이렇게 결정했음에도 불고하고 IT 부서에서는 소위 “SOX”라는 법을 지키기 위해 100만달러나 되는 돈을 쓴 건 물론이거니와 많은 시간도 소요됐다.아놀드는 “이마저도 꽤 큰 일”이라며 “IT 부서가 원하는 건 몇 가지 경우에 필요한 SOX보다는 좀더 수준 높은 기준을 잡아 준수하는 것”이라고 말했다.법 해석 따라 투자 비용 '천차만별'스토리지텍의 IT 부서는 미 국회가 엔론 붕괴와 같은 스캔들을 각성하는 의미에서 통과시킨 기업공시법을 준수하는 데 많은 걸림돌이 있다는 것을 실감하고 있다. AMR 리서치의 애널리스트 존 해거티에 따르면 문제는 바로 법을 어떻게 해석하느냐다.법을 집행하는 측에서 새로 지침을 내린다면 CIO들은 물론 SOX 때문에 고민하는 IT 기업들 또한 편해질 것이다. 그렇지만 해거티는 “SOX는 완수해야 할 프로젝트가 아니라 계속 진행중인 과정”이라며 앞으로 법을 준수해나갈 때 조심해야 할 일이 많아질 것이라고 주장했다.SOX는 최근 몇 년 동안 기업들에게 영향을 끼쳐온 새로운 포괄적인 규정으로 이와 유사한 법안으로는 의료업계를 대상으로 하는 HIPPA가 있다. 미 국회는 2002년 “기업 공시의 정확성과 신뢰성을 개선시켜 투자자들을 보호”하기 위해 SOX를 통과시켰다. 이 법의 핵심은 404항으로 상장 법인들은 연차보고서에 재무 보고에 대한 내부 통제 검토 내용과 관련 회계 감사원의 항목별 감사 내용 보고를 포함시켜야 한다.통제란 예를 들어 미지급금 관리 소프트웨어가 변경될 경우 기업이 따라야하는 절차 같은 것이 될 수 있다. 즉 현업에서 돌아가고 있는 관리 시스템의 일부로 적용되기 이전에 책임자의 서면 승인을 받아 변경 내용을 검증해야 한다는 것이다.대형 상장 기업은 오는 11월 15일부터 404항을 준수해야 하며 규모가 작은 상장 기업은 내년 7월부터 요구 사항에 부합해야 한다.IT 부서들은 어음 관리, 회계, 재무 보고 같은 업무를 수행하는 컴퓨터 시스템을 감독하고 있기 때문에 SOX의 간여를 상당히 많이 받는다. 또한 IT 운영 부문은 꽤 큰 예산을 집행하고 있고 사업비용 지출 면에서도 상당 부분을 차지하고 있다.하지만 AMR의 해거티는 CIO들이 SEC의 법조문과 관련 집행 내용에 부합하기 위해 뭘 해야 하는지 뚜렷이 분간해내긴 어려운 상황이라며 지난해 CIO들이 불만을 표출한 이후 법의 해석이 변했다고 말했다. 그는 “대다수 IT 조직들은 SOX를 준수하기가 혼란스러웠다고 얘기할 것”이라며 “사람들은 404항 때문에 고심하고 있다”라고 말했다.스토리지텍의 아놀드는 지난해 SOX를 준수하기 위해 했던 노력들을 살펴볼 때 집행 측과 감사원을 포함해 여러 격분했다며 “모두들 조급했었고 오해도 많았고 오역도 많았다”라고 말했다.예를 들어보면 독립 감사원들은 스토리지텍 직원이 자판을 두들기면서 구매를 확인할 때 화면에 나타난 내용을 출력해야 한다고 주장했다. 하지만 아놀드는 그렇게 해봤자 SOX와 관련성이 거의 없는 문서 업무만 잔뜩 만든다고 말한다. 그는 “‘이건 정말 아니다’라고 말했다”라며 따라서 감사원들은 그렇게 해야 한다는 주장을 철회했다고 밝혔다.몇몇 IT 부서들은 명백히 사소한 것 뿐 아니라 다양한 범위의 활동도 문서화해야만 SOX를 준수하는 걸로 여기는 것으로 보인다. 최근 CNET News.com 컬럼에 대해 자신의 생각을 밝힌 발터 로빈슨은 “SOX를 준수하고자 품질 보증(QA) 문서를 곧이곧대로 만드는 회사들이 있는가?”라고 반문했다.로빈슨은 글에서 “코드 한 줄 바꿨다고 변경 관련 문서를 만들어내는 데 거의 하루가 꼬박 소요되고 있다”라며 “또한 QA 부서에서는 제삼자인 감사원에 SOX를 준수하려면 이처럼 비효율적인 일을 해야만 한다는 소리를 듣고 있다고 한다. 게다가 이 규칙은 회사의 재무 데이터를 관리하는 시스템에만 적용되지 않고 회사 전반에 걸쳐 적용된다. 신발 한 켤레를 나타내는 스타일명을 다섯 자로 늘리려고 제품 테이블에서 설명 필드를 넓히는데 왜 SOX에 신경써야 하나?”라고 목소리를 높였다.그러나 전문 서비스 업체인 테이텀 파트너스에서 아웃소싱을 주로 담당하는 컨설턴트 스티브 델라카스트로는 IT 부서들이 SOX와 관련된 일을 얼마나 해왔는지에 대해 다른 견해를 보였다. 그는 “사실 IT 부서들이 해야 할 것보다 덜 하도록 이야기해왔다”고 말했다. 델라카스트로는 몇몇 IT 업체들의 경우 통제가 적절하고 효율적이라는 타당한 증거를 모으지 않고 있다고 주장했다.또한 델라카스트로는 하청업체를 부리는 기업들은 통제 내용에 대해 감사받지 않기 때문에 SOX의 준수와 일부분 상관없을 수 있다고 이야기했다. 그는 “회사들이 아웃소싱 관계와 아웃소싱 관계가 의미하는 것에 대해 생각하지 않는다”라고 지적했다.IT 투자의 골드 러시?델라카스트로가 속한 곳은 기업들이 SOX를 준수하도록 단계적으로 도와주는 기술 서비스나 제품을 공급하는 수많은 업체 중 하나다. SOX로 업체들이 돈을 벌고 있다는 건 놀라운 일이 아니다.AMR은 SOX를 준수하기 위해 들어가는 비용이 57억달러에서 올해 61억달러로 증가할 것으로 추정하고 있다. 이 기관은 기술에 들어가는 돈도 2004년에 11억달러에서 올해 17억달러로 증가할 것으로 예상된다고 밝혔다.HP에서는 기업의 IT 통제를 평가하기 위한 “위기관리” 컨설팅과 같은 SOX 관련 서비스를 제공하고 있다. HP의 재무 서비스 업계 고객들을 대상으로 위기관리·준수를 책임지는 이스메일 피쇼리는 CIO들이 SOX에 관해 불평을 늘어놓을지 모르겠지만 감독을 철저히 하면 효율성이 재고될 수 있으며 문제를 방지하는 더 나은 기회일 수도 있다는 점을 깨닫고 있다고 말했다. 그는 “SOX를 가장 적극적으로 반대하는 사람들조차 이익이 있다는 점을 수용하게 될 것”이라고 설파했다.다행히 지난달 새로운 공식 지침이 나왔으며 이로 인해 CIO들이 SOX에 갖고 있던 불평이 더 줄어들 것으로 보인다. SEC에서는 404항에 관한 기업들의 반응을 접하고 나서 “일반적인 IT 통제”시 검증할 필요가 있는 것이 무엇인지 명확히 하려고 고심했다. 프로그램 개발, 프로그램 변경, 프로그램과 데이터에 대한 접근에 대한 통제가 일반적인 IT 통제에 속한다.SEC는 지난 달 “문서화와 검증 범위에서 판단을 내려야 할 경우, 회사 애플리케이션 시스템이 생성한 재무 정보가 신뢰할 수 있는지 확실히 하도록 애플리케이션 수준의 통제가 적절히 이뤄져야 한다. 이 뿐 아니라 관련된 일반 IT 통제를 문서화하고 검증하는 일을 경영 부문에서 해주길 기대한다”라며 “404항 평가 목적의 경우, SEC측은 재무 보고와 관련이 없는 일반적인 IT 통제를 검증하는 것까지 바라지는 않을 것”이라고 말했다.SEC가 내놓은 IT 통제에 관한 권고에서는 시행 첫 해 동안 “과도하거나 중복되거나 초점이 어긋나” 기업들이 404항을 준수하는 데 필요 이상으로 많은 비용이 소요됐을 수 있다고 말했다.스토리지텍의 아놀드는 SEC의 최근 지침 뿐 아니라 감사 법인을 감독하기 위해 SOX가 만든 새로운 기구인 공개기업회계감독위원회(PCAOB)의 추가 권고안을 환영하고 있다. 그는 최근 지침에 따라 회사 경영에서 재무 정보에 대한 핵심 통제시 자율적인 결정권을 가질 수 있으며 부시 대통령이 임명해 SEC의 차기 권력을 승계받은 자유 시장 옹호론자인 크리스토퍼 콕스가 사안에 도움을 줄 것이 확실하다고 말했다.하지만 아놀드는 아직도 많은 것들이 감사 법인에서 새로운 지시 내용을 어떻게 해석하느냐에 달려 있다고 지적했다.어떤 사건에서든 아놀드는 SOX에 관해 전반적으로 긍정적인 견해를 갖고 있다. 어떻게 보면 스토리지텍, 그리고 썬 입장에서는 기업들이 SOX를 준수할 수 있도록 돕는 제품을 판매해 이득을 얻을 수 있기 때문이기도 하며 법이 엄격하게 집행되면 IT 부서가 안고 있는 비효율성이 무엇인지 찾아내는 데 도움을 주기 때문이기도 하다.아놀드는 IT 기업을 운영할 때 얻는 이득이 또 있다며, 근래까지 긴축 정책을 해야 했던 것과 달리 SOX 시대에는 CIO들이 회사를 경영하는 방법에서 다시금 목표를 향해 나아갈 수 있기 때문이라고 말했다. 그는 SOX가 “무엇보다 IT 조직들에게 시사하는 바가 크다”라고 의미심장하게 말했다. @