지난 2018년 11월 신(新)외부감사법(신외감법)이 시행됨에 따라 기업 IT 시스템이 회계 감사 항목으로 주목받고 있다. 회계 상의 비리를 예방하고 투명성을 강화하기 위해, 해당 법이 회계기록뿐만 아니라 기록이 입력되는 IT시스템의 운영 현황도 꼼꼼히 살피도록 요구하고 있기 때문이다.
구체적으로는 신뢰할 수 있는 회계정보의 작성과 공시를 위한 내부회계관리 규정과, 이를 관리·운영하는 내부회계관리제도에 대해 요구되는 인증 수준이 '검토'에서 '감사'로 상향된다. 기업이 자체적으로 보고하는 데 그치지 않고, 외부 회계법인의 감사를 받고 적정 수준임을 확인 받아야 한다.
이 감사 요건으로 기업의 IT 운영환경 전반에 대한 보안관리와 정보기술의 취득, 개발, 유지보수에 대한 모든 통제활동을 뜻하는 '정보기술일반통제(ITGC)'가 포함됐다. 기업이 IT 인프라 상에서 발생하는 각종 소프트웨어(SW) 개발과 변경, 데이터 접근 권한, 시스템 운영에 대한 통제 역량을 갖출 것을 요구하는 요건이다.
신외감법은 점진적으로 적용 대상이 확대되고 있다. 지난 2019년 자산 2조원 이상 기업을 시작으로 작년 5천억원 이상 기업이 법 적용을 받았다. 내년부터는 1천억원 이상, 2023년부터는 모든 상장사가 적용을 받게 된다.
전사적자원관리(ERP) 전문 기업 더존비즈온은 지난 몇 년간 대기업 고객사의 ITGC 구축을 지원해온 경험을 토대로, 곧 신외감법 적용 대상이 될 중견·중소 기업이 ITGC 구축을 서둘러야 한다고 조언했다. 회계 관련 일부 시스템이 아닌, 전체 IT시스템을 점검해야 하는 만큼 상당한 시간이 소요될 뿐더러 현재 이런 회계감사를 수행할 수 있는 회계법인도 한정적이라는 설명이다.
전충재 더존비즈온 상무는 인터뷰에서 "내부회계 감사를 진행 중이거나 앞둔 고객사로부터 많은 문의를 받고 있다"며 "최근 2개 분기 사이 1주일에 한 회사씩 문의가 오는 등, 80여 건의 문의가 온 상황"이라고 밝혔다.
ERP의 경우 ITGC가 최근에 도입된 규제인 만큼, 이를 지원하는 최신 제품을 도입해야 한다고 조언했다.
ITGC를 갖추기 위해 기업은 회계 장부에 연관을 주는 전체 시스템에 대한 통제 능력을 갖춰야 하는데, 난이도가 상당하다. 이를 위해서는 사용자 계정 및 권한 부여 승인 체계와 직원의 부서 이동에 따른 권한 회수 절차, 퇴사자 시스템 긴급 접근 제한 기록, 전자결재와 포스기 시스템, 재고 실사 시스템, IP 관리, 백업, 보안 체계 등의 신뢰성을 증명해야 한다.
대기업 중에서도 이런 폭넓은 범위에 대해 철저한 관리 체계를 구축해둔 곳은 많지 않았다. 실제로 신외감법에 따라 내부회계관리제도 첫 감사의견을 받아든 자산총액 5천억원 이상 대기업 중 '적정의견'을 받지 못한 사례도 있었다는 게 회사 증언이다.
특히 관행적으로 서면 기반의 기록 체계를 운영해온 경우, ITGC 구축에 따라 이를 전산화하기 위한 시간이 상당히 소요될 수밖에 없다. 전충재 상무는 "그 동안 보관해온 서류를 한 땀 한 땀 복사해야 한다"며 "서면 문서 관리를 꼼꼼히 하는 식으로 대응할 수도 있겠지만, 문서 상의 기록과 수치의 신뢰성을 장기적으로 증명해야 하는 점을 고려하면 전산 시스템으로 변경하는 것이 바람직하다"고 첨언했다.
전 상무는 대기업 고객사 사례를 볼 때, 신외감법에 맞춰 전체 IT시스템을 개선하는 데 약 6개월의 시간이 걸렸다고 밝혔다.
대기업은 일반적으로 자체 전산실에서 ITGC 대응을 담당한다. 그러나 중견·중소기업은 전산실이 없는 곳이 많고, 때문에 보다 오랜 시간이 소요될 것을 예상해 기민하게 ITGC를 준비할 필요가 있다는 지적이다. 중소기업에 대해 전 상무는 “접근 통제나 애플리케이션 통제, 배치 작업 통제 등이 안 돼 있는 경우가 많다”고 설명했다.
더존비즈온은 현대자동차 등 대기업 고객사의 내부회계감사 요건에 맞춰 'ERP 10'과 '아마란스10' 등 최신 ERP 제품을 업그레이드했다. 화학분야 A그룹, 제약그룹 B사 등이 각 제품을 도입해 ITGC에 대응했다.
전 상무는 "대기업 사례를 경험하면서 생소했던 ITGC 감사 항목에 대한 정보를 수집해 ERP를 고도화했다"며 "회계 시스템, 매출과 채권 등의 영업 시스템, 구매 시스템, 자재 시스템에 대한 접근 권한, 백업, 이력(로그) 관리 부분을 보완했다"고 소개했다.
관련기사
- 더존비즈온, 고객사 대상 PLCC 만든다2021.11.29
- 더존비즈온, 연구개발특구 기업 디지털 전환 지원2021.11.25
- 중견기업, 혁신기술에 700억 투자…공공연구기관 지원2021.11.16
- 더존비즈온, ERP 고객 전용 신한 '기업통장' 출시2021.11.08
전 상무는 "내년 3월 감사보고서를 내야 하는 자산 1천억원 이상 회사들이 문의하는 상황"이라며 "2023년에는 ITGC를 구축해야 하는 회사들이 몇 만개인데, 문의가 촉박하게 4분기에 몰리면 저희같은 회사들이 이를 다 소화할 수가 없다"고 강조했다.
이어 "현재 저희 인력 규모로선 두 달에 200곳 정도 소화 가능한 상황"이라고 첨언했다.