독일 철학자 아르투어 쇼펜하우어는 "행복의 90%는 건강에 좌우되며 건강을 해치면서까지 부를 축적하지 말라"고 했다. 건강하기 위해서는 늘 명랑한 마음을 가지라고도 했다. 이러한 '건강'과 '명랑한 마음'은 삶의 핵심 가치라 할 수 있다.
이 핵심 가치는 조직에도 그대로 적용된다. 조직이 건강한 체질과 명랑한 윤리준법 문화를 외면한 채 무리한 단기 실적과 눈앞의 특별 보너스에만 매달리면, 조직 내에 큰 병이 생겨 언제 무너질지 모를 모래성처럼 지속가능성을 유지하기 어려울 수 있다.
조직이 건강하기 위해서는 이사회와 내부감사기능의 역할이 무엇보다 중요하다. 이사회와 내부감사기능은 조직의 전사적(全社的)인 방향타와 최종 안전판 역할을 담당하기 때문이다.
특히 내부감사기능이 제대로 작동하면 부정 및 비윤리 문제, 최고경영진의 독주, 무리한 단기 성과 집착, 불투명한 의사결정, 방관 문화 등으로부터 강력한 자정력을 발휘할 수 있다. 그렇게 되면 조직은 안정적 기반 위에서 지속적인 성장을 도모할 수 있게 된다.
건강한 조직이 갖춰야 할 '내부감사기능의 거버넌스(지배구조) 요건'은 지난 1월 9일 세계내부감사인협회(IIA)에서 시행한 New 국제내부감사표준(GIAS)의 '영역 Ⅲ'에 종전보다 더욱 체계적이고 구체적으로 제시되어 있다.
영역 Ⅲ의 '내부감사기능의 거버넌스'(Governing the Internal Audit Function)는 3개 원칙(원칙6~원칙8)으로 구성되어 있다. △내부감사기능에 대한 이사회의 권한 부여(Authorized by the Board) △내부감사기능의 독립성(Organizational Independence) △내부감사기능에 대한 이사회의 감독(Overseen by the Board) 등이 그것이다.
원칙6. '내부감사기능에 대한 이사회의 권한 부여'는 내부감사부서, 최고감사책임자(CAE), 감사인력, 감사활동 등으로 이루어진 내부감사기능이 조직의 리스크 상황 등에 대해 이사회 및 최고경영진에게 거침없이 검증, 조언, 통찰, 예측을 제공할 수 있도록, 이사회가 직접 내부감사기능에 적절한 감사 수행 권한과 책임을 부여해야 한다는 의미이다.
따라서 내부감사기능은 이사회의 승인과 지원을 받아 조직 전체에 걸쳐 내부감사 임무를 완수하는 데 필요한 데이터, 기록, 정보, 인적∙물적 자산에 제한 없이 접근할 수 있어야 한다.
2020년 초 마이크로소프트(MS) 이사회는 창업자 빌 게이츠에 대해 사내 여직원과 수년간 성적 관계를 맺어 윤리적 물의를 일으켰다는 이유로 이사회 퇴진을 결정한 바 있다.
빌 게이츠는 회사 설립자이자 과거 CEO로서 세계적인 유명세를 떨치는 인물인데도 말이다. 이는 조직 문제에 대한 이사회와 내부감사기능의 제한 없는 접근이 실제로 어떻게 구현되는지를 보여주는 사례라 할 수 있다.
원칙7. '내부감사기능의 독립성'은 내부감사기능이 누구의 부당한 간섭도 받지 않고 자유롭고 편향되지 않은 방식으로 감사 업무를 수행할 수 있도록, 이사회가 그 독립성을 확실히 보장하라는 의미이다. 또한 최고감사책임자(CAE)가 이사회, 임원 회의 등 중대하고 민감한 사안을 논의하는 각종 회의에 자유롭게 참여할 수 있도록 보장해야 한다는 것이다.
'불법∙부당한 지시와 간섭에는 예의를 지키지 말라'는 말이 있다. 4.16 세월호 참사 당시 자신은 침몰하는 배에서 탈출하면서 승객에게는 선내에 가만히 대기하라며 부당하게 방송하고 지시하여 많은 사람을 죽음에 빠뜨린 선장을 빗대어 확산된 말이다.
이처럼 누구의 부당한 지시와 간섭에 조건 없이 추종하면 심각한 폐해가 발생하기 때문에, 내부감사기능은 이에 의연한 독립적 의지를 보여야 한다는 것이다.
12.3 내란에서 보듯이 권력자의 불법∙부당한 지시와 간섭에 따르지 않고 자유롭고 편향되지 않은 정신 자세로 소중한 가치를 지켜낸 일부 군인들의 행동은 독립성의 바람직한 사례로 평가받을 수 있다.
원칙8. '내부감사기능에 대한 이사회의 감독'은 내부감사기능이 이사회로부터 부여받은 권한과 독립성에 따라 감사 업무를 제대로 수행하는지 이사회가 직접 내부감사기능 전반을 감독하여, 내부감사기능이 조직의 지속가능성 유지에 늘 이바지할 수 있도록 보장해야 한다는 의미이다.
어떤 비만 환자가 매일 채소를 갈아 먹고 2만 보씩 걸었더니 체중은 빠졌으나 기력 저하 및 근감소증의 부작용이 생겼다는 에피소드가 있다.
이렇듯 과거의 진부한 감사 방식만을 답습하고 '파이썬과 ChatGPT를 이용한 감사기법' 등 신진 감사 방식을 외면하다 보면 새로운 리스크를 제때 식별하지 못하는 등의 부작용이 내재되어 내부감사기능이 현저히 저하될 수 있다.
그래서 외부평가기관을 아웃소싱해서라도 내부감사기능에 대한 '감사품질 평가 및 개선 프로그램(QAIP)'을 통해 감사인력∙예산∙장비∙기술 등 감사자원의 적정성과 내부감사기능의 감사업무 수행 품질을 주기적으로 검증하고 개선할 필요가 있다.
최근 금융기관, 공기업, 중견기업, 지자체 등에서 횡령∙배임∙뇌물공여∙정보유출 등 크고 작은 사고가 잇따르고 있다. 특히 투자자를 속이거나 미공개 정보를 이용한 주식 거래로 거액을 챙긴 H 기업 이사회 의장, M 화재보험 사장 등이 수사당국에 고발당하는 등 기업의 거버넌스 및 내부통제 문제가 사회적 이슈로 부각되고 있다.
내부감사는 객관적인 검증, 조언, 통찰, 예측을 통해 사고를 미연에 예방하고 조기에 적발하는 최후의 방파제 역할을 수행한다. 이와 같은 사고가 발생했다는 것은 해당 기업의 내부감사기능이 미약하거나 제대로 작동하지 않았음을 방증한다.
건강한 내부감사기능은 건강한 조직의 필수 조건이다. 각 조직은 스스로 내부감사기능의 거버넌스에 문제가 없는지 섬세하게 살펴봐야 할 때다.
