비 미국 기업 옥죄는 샤베인 옥슬리 법안

비 미국기업들이 사베인-옥슬리 법안 중 가장 많이 이야기되고 있는 조항 중 한 가지를 준수해야할 시간이 다가오고 있다.7월 15일은 미국 내 외국 기업들에게 사베인-옥슬리 법안의 섹션 404를 준수하도록 한 중요한 날이었다. 이 회사들은 이제 몇 주에서부터 거의 일 년까지 이 시간 안에 법안 규정을 준수하기 위한 일들을 해야 한다.미 의회는 SOX라고 알려져 있는 사베인-옥슬리 법안을 2002년 통과시켰다. 이 법률안의 규제 조항들은 엔론(Enron)과 같은 금융사기 및 회계 부정을 막기 위함이다. 섹션 404에는 공개 거래 회사들은 이를 위한 내부 정책과 규제 및 재정 보고서를 위한 문서와 정보 처리 절차를 만들어야 한다.관련 회사들은 2006년 7월 15일 이후부터 회사들의 회계 연도가 끝날 때까지 이 법안을 따라야만 한다. 이 날짜는 미 증권 거래 위원회가 원래 정했던 마감일인 2005년 7월 15일을 연장한 것이다. 미국의 공개 회사들은 2004년 11월부터 이 법안을 준수하였다.대부분의 비미국 기업들은 2004년에 이러한 준비를 시작했을 것이라고 딜로이트 앤 투씨 엔터프라이즈 리스크 서비스(Deloitte & Touche Enterprise Risk Services)의 이사인 필립 총이 지적했다. 그는 회사들은 약 12개월 전 이미 평가에 관한 고민하고 내부 규제를 만들기 시작했을 것이라고 덧붙였다.SAP의 사례대형 소프트웨어 업체인 SAP는 이 법안을 준수하기 위한 과정을 수년간 진행했다. SAP 아시아 태평양의 위험 관리 부분 수장인 더크 메츠거는 ZDNet 아시아를 통해 SAP은 2002년부터 SOX 법안을 위한 준비를 시작했다고 말했다.메츠거에 따르면 SAP는 이 프로세스를 만든 사람들을 영입했으며, 유효성 테스트와 같은 SOX 404 관련 작업을 처리하는 SOX의 선두주자가 되기로 했다고 한다. 30개의 부서와 30개의 프로세스 그룹 일부가 각기 다른 프로젝트 단계에 투입됐으며, 각각 300~6000명/일 정도를 투입했다고 그는 덧붙였다.그는 SAP가 SOX가 요구하는 내부 규제 조항을 SAP의 위험 관리 기능에 포함하는 작업도 진행하였으며 이는 코소(COSO) 엔터프라이즈 위험 관리 프레임워크의 기반이 됐다고 지적했다.메츠거는 "SAP는 재정 보고서의 내부 규제를 넘어 SOX 404 위험 평가 프로세스를 전체적인 엔터프라이즈 위험 관리 기능으로 확장했으며 통합 인증과 회사 전체의 통제 프레임워크를 현재 개발 중이다. 이사회에 직접 보고하는 계통을 만들었으며 SOX 404를 테스트하고 심사하는데 발견된 문제점을 처리하는 문제 평가 조직도 구축했다. 그러므로 SOX 관련 내용을 최고 경영자들에게 알리고 관심을 가지도록 한다."고 말했다.메츠거에 따르면, SAP는 현재 반년 동안 외부 감사업체인 KPMG를 통해 SOX 404 심사를 진행해왔으며, 내년 초 최초로 인증서를 받을 것으로 예상된다.나스닥에 등록된 퍼시픽 인터넷(PacNet)에서는 SOX 준수를 위한 준비를 2004년 중반 시작하였다. CEO 페이 텍 모는 회계 연도가 2006년 12월 31일 끝나는 이 회사는 올해 말에 요구사항을 충족시킬 것이라고 전했다.팩넷(PacNet)의 준비싱가포르에 위치한 이 인터넷 서비스 업체는 이 프로세스를 관리하기 위한 리더십 팀을 구성하고 각 지역을 책임지는 지역 관리 담당자와 재정 감독관을 두었다. 몇 지역의 지사에는 이 법안 준비를 위한 전담 팀을 구성했다. 팩넷은 직원의 30% 이상이 직접적으로 혹은 다른 이유로 이 법안 준수와 관계되어 있을 것으로 예상한다.이 프로젝트는 많은 자원과 책임이 따르지만 회사에 도움이 되기도 한다며, 페이는 "인증 절차는 우리에게 우리의 업무 프로세스를 확장하고 개선시켜 재정적 관리능력을 더 향상시킬 수 있는 기회를 주고 있다"고 덧붙였다. 시만텍의 상품 마케팅 부서의 서비스 및 관리 시스템 필드 관리자인 제프레이 후는 SOX 법안에 영향을 받는 회사들은 이미 이를 위한 프로세스를 가지고 있으며 준수 마감일을 지키기 위해 노력하고 있다고 지적했다.후는 다른 업계에서는 마쳐야할 일이 많은 것과는 달리 은행과 금융 업계 회사들은 매일 있는 일처럼 이러한 인증 경험이 많다고 말했다. "기술사용을 조사하고 사람들을 이해시키며 준수를 위해 함께 일을 하기 전, 정책과 프로세스를 정의하는데 많은 시간이 든다"고 후는 덧붙였다.딜로이트 앤 투씨의 총은 그러나 인증을 얻는 마지막까지 함께 기다려야하는 회사들도 있다는 것을 지적했다. 마감 시한을 바꿀 수 없으므로 시작이 늦은 이런 회사들은 더 많은 자원을 투입할 뿐만 아니라 관리팀에서 더 많은 지원이 필요하다.시만텍의 후는 최고 경영자들은 인증을 위한 최대한의 지원을 제공하는 것이 필요하고 있으면 좋은 것이 아니고 꼭 있어야 하는 것으로 봐야한다는데 동의했다.@