감사위원회및감사의역할 _(3) 리스크감독 김유경상무삼정KPMG 감사위원회지원센터리더 youkyoungkim@kr.kpmg.com 1. 리스크감독의중요성및감사기구의역할 (1) 리스크감독의중요성기업리스크관리의중요성이대두된결정적계기는 2008년글로벌금융위기라볼수있다. 2000년대중반부터서브프라임모기지론 1) 원리금을상환하지못하는저소득자들이점증하였고, 이러한모기지론을기초자산으로하는금융상품을구매한금융기관들이막대한손실을입게된다. 뉴욕월가의 5대투자은행이었던베어스턴스 (Bear Stearns) 및리먼브라더스 (Lehman Brothers) 가파산하였고, 메릴린치 (Merrill Lynch) 는뱅크오브아메리카 (Bank of America) 에매각되었다. 미국발금융위기는비단미국뿐아니라전세계적인장기경기침체의원인이되었다. 금융위기이후비로소많은기업들이상시적리스크관리의중요성을인식하기시작하였고, OECD 기업지배구조위원회는 2009년에 기업지배구조와금융위기 (Corporate Governance and the Financial Crisis) 라는제목의연구보고서를공표하기도하였다. 기업이연루될수있는각종리스크중가장대표적인것은아마분식회계로인한리스크일것이다. 분식회계는선량한투자자들의금전적손실및기업명성추락을넘어극단적으로는기업을파산에이르게까지할수있다. 2000년대초미국엔론과월드컴, 2011년일본올림푸스, 2015년일본도시바, 2016년우리나라대우조선해양등최근십수년간대규모부정회계사건이잇따라발생하였다. 자본주의의선구자인미국, 성실 정직한경제의표상이었던일본은물론개발도상국단계를지나자본주의가정착되었다고여겨졌던우리나라까지, 여러경제대국들에서경영활동에대한체계적 공식적보고로서 기업의언어 라고불리는재무제표에대한리스크관리, 즉재무감독조차제대로이루어지지않고있었다는사실은많은사람들에게충격을안겨주었다. 한편, 올 9월 S사의배터리충전시화재발생위험으로인한스마트폰대량리콜사태, 사망 반영구적폐손상등약 1,500명의피해자를낳은 O사의가습기살균제사건은제품안전에관한리스크관리의실패사례이다. 해외사례로는미국내세번째로큰자산규모를지닌웰스파고 (Wells Fargo) 은행이 2011년부터고객의동의없이고객의개인정보를이용해 2백만개이상의허위계정을생성하여왔던것이 9월초에발각되었는데, 이는적절한내부통제및리스크관리의부재가재앙적인결과를초래할수있음을보여준다. 그외국내대기업집단의총수가횡령 배임 탈세등혐의로기소및처벌된다수의사건들은리더십의갑작스러운부재로인한혼란은물론기업이미지를심각하게훼손시키는오너리스크이다. 또한최근에는해킹 개인정 1) Subprime mortgage loan( 비우량주택담보대출 ): 신용등급이낮은저소득층에게주택을담보로주택구입자금을대출해주는금융상품 - 1 -
보유출과같은사이버리스크를대비해야한다는목소리가높아지고있다. 국내에서는 2014년초은행 카드사등금융회사에서대량의고객정보가유출되어사회적으로큰파장이있었다. 이와같이기업의명성훼손뿐아니라심한경우기업의존폐에까지영향을미칠수있는리스크요소는회계투명성, 소비자안전, 지배주주및임원의도덕성, 사이버보안등매우광범위하다. (2) 감사기구의리스크감독역할리스크감독은해당업무를전담하는리스크관리위원회만이수행하여야하는가? 감사품질센터 2), 유럽회계사연합 3), 호주공인회계사협회 4) 는 2013년에발간한보고서 5) 에서리스크감독및관리는감사위원회의중대하고어려운임무중하나이며, 리스크 ( 관리 ) 위원회가존재할경우동일한이사를두위원회에동시에배치하는등감사위원회와리스크 ( 관리 ) 위원회간긴밀한협력이필요하다고하였다. 국내실태를보더라도별도의리스크관리위원회설치를의무화하기보다는감사기구가리스크감독역할까지담당하는것이현실적일것으로보인다. 한국기업지배구조원의조사에따르면, 2013년사업연도말기준국내유가증권시장상장사 694사중리스크관리위원회를설치한회사는 49사로, 비율로는 7.06% 에불과하였다 6). 이중대부분이금융지주사, 보험사, 증권사, 은행등금융회사였다 7). 반면, 2013년말기준유가증권시장상장사 694사의감사기구설치현황을살펴보면, 감사위원회를설치한기업은 261사 (37.6%), 감사를두고있는기업은 433사 (62.4%) 로, 유가증권시장상장사는모두감사기구를보유하고있었다 8). 이러한제도적현실과감사기구에게상법상업무감독권한을부여한법적환경을감안할때, 리스크관리위원회가별도로존재하지않는경우, 일반적으로리스크감독의역할을감사기구가담당한다는것에동의하는것으로보인다. 아래의표에서보듯이, 해외의경우에도리스크관리위원회가별도로설치된금융기관을제외하고는리스크감독의역할을감사위원회가가져가는것이일반적인것으로나타나고있다. 노스캐롤라이나주립대학교가 2014년가을에미국기업 CFO 등재무담당임원 1,093명을대상으로수행한조사 9) 에따르면, 이사회가리스크감독에대한공식적인책임을산하위원회에위임한다면어느위원회가가장적합한가? 라는질문에, 상장회사및매출액 10억달러이상의대규모기업들의경우감사위원회라고답한비율이리스크 ( 관리 ) 위원회라고답한비율보다높게나타났다. 2) Center for Audit Quality, CAQ 3) Federation of European Accountants, FEE 4) Institute of Chartered Accountants in Australia, ICAA 5) CAQ FEE ICAA, Global Observations on the Role of the Audit Committee, 2013. 6) 한국기업지배구조원, 김선민 엄수진연구원, 리스크관리에관한규준및국내유가증권시장상장사의리스크관리위원회도입현황, CG Review Vol.75, 2014.08. 7) 리스크관리위원회를설치한비금융회사는케이티앤지, 사조산업, 남해화학이었음 8) 오덕교, 2014 년지배구조평가및실태분석 - 유가증권시장상장기업을중심으로, 선진상사법률연구통권제 67 호, 2014.07. 9) North Carolina State University, 2015 Report on the Current State of Enterprise Risk Oversight, 2015.02. - 2 -
[ 표 1] 미국기업의리스크감독업무이관현황 대규모기업표본그룹전체표본 ( 매출액답변 $10억이상 ) 상장회사 금융기관 비영리법인 감사위원회 50% 56% 53% 38% 58% 리스크위원회 24% 29% 31% 41% 7% 집행위원회 ( 주1) 14% 4% 4% 9% 15% ( 주 1) Executive Committee 2015 년 KPMG ACI(Audit Committee Institute) 에서발간한자료에의하면, 해외선진국에서는일 상적이고정형화된프로세스로정착된 회계감독 (Integrity of financial statement) 을넘어감 사위원회의역할이 리스크감독 (Risk Oversight) 로이행하고있다고언급하고있다. Audit committees today deal with a broad range of issues, and accompanying risks, that go beyond financial statements, reporting and internal controls over financial reporting their traditional areas of responsibility. (Audit committee trends What s changing and how audit committees are responding, KPMG ACI 2015) 본고에서는감사기구의리스크감독의무를다룬법규를살펴보고, 최근선진국감사위원회가 리스크감독업무에할애하는시간이증가하고있는실태를소개할예정이다. 2. 감사기구의리스크감독역할관련법규 OECD 의 Risk Management and Corporate Governance (2014), ISO 10) 의 ISO 31000: Risk management Principles and guidelines (2009), COSO의 Enterprise Risk Management Integrated Framework (2004) 등리스크관리와관련해기업들이일반적으로참고할수있는글로벌지침들은이미다수존재한다. 국내에서는금융회사지배구조모범규준이마련되기전까지는금융감독원, 금융투자협회, 전국은행연합회등에서금융회사들을대상으로한리스크관리모범규준을공시하고있었다. 본고는그러나보편적인기업리스크관리보다는기업내에서 감사기구 가리스크관리 감독과관련해기여할수있는역할을다룬법규들에초점을맞추고자한다. 10) International Organization for Standardization( 국제표준화기구 ): 각국 163 개의표준제정 연구기관을회원으로보유한독립적인비정부기구로서, 과학 기술 시장경제등분야에서지식협력을위해 1946 년설립됨 - 3 -
(1) 국내법규우선, 우리나라법률이나모범규준상에서는감사 ( 위원회 ) 의리스크관리의무를명시하고있지는않다. 올해 8월 1일부터시행된금융회사의지배구조에관한법률 ( 이하 금융사지배구조법 ) 은금융회사의위험관리위원회설치 11), 위험관리기준마련 12), 위험관리책임자의임면 13) 의무를명시하고있다. 금융회사지배구조모범규준에서도보상위원회에위험관리위원회소속이사를 1인이상참여하게하여보상체계에위험관리측면이충분히다루어질수있도록하여야한다 14) 고정하였지만감사 ( 위원회 ) 의리스크감독책임을직접적으로명시한조항은없다. (2) 해외법규 이와달리미국, 영국등선진국에서는감사위원회에리스크관리또는감독의책임이있다고 표명하고있다. 미국뉴욕증권거래소 ( 이하 NYSE ) 상장규정섹션 303A.07 에서는감사위원회 의부가적인의무를나열하고있는데, 비록리스크평가및관리의주된혹은유일한담당자가 감사위원회는아니지만리스크평가 관리프로세스및해당프로세스를규정한지침을검토하 는업무등은감사위원회가담당하는것이바람직하다고적시하고있다. 영국의기업지배구조 모범규준에서도이사회또는이사회내리스크 ( 관리 ) 위원회가존재하지않거나리스크관리업무 책임자에대해특별히따로정하지않은경우, 회사의내부통제및리스크관리시스템을검토 해야할책임은감사위원회에있다고하였다. [ 표 1] 감사위원회및감사의리스크감독역할관련해외법규 미국 NYSE 상장규정 Section 303A.07 감사위원회의추가의무 (b) 감사위원회는다음사항을명문화된헌장에포함하여야함 : (iii) 감사위원회의의무와책임 증권거래법 10A-3(b)(2), (3), (4), (5) 항및다음사항을포함하여야함 : (D) 리스크평가및리스크관리관련정책에대해논의 ; 논평 : 상장회사의리스크노출수준에대해평가및관리하는것은 CEO 및임원들의임무이지만, 이것이다루어지는프로세스를명시한지침및정책에대해서는감사위원회가논의하여야한다. 감사위원회는상장회사의주요한재무리스크노출, 경영진이그러한리스크노출에대한감시및통제를위해행한조치에대해논의해야한다. 감사위원회는리스크평가및관리를책임지는유일한기구일필요는없으나, 앞서언급했듯이리스크평가및관리를이행하는프로세스를명시한지침및정책에대해논의하여야한다. 다수의회사들, 그중특히금융회사들이, 감사위원회가아닌다른기구나절차를통해그들의리스크를평가및관리하고있다. 이러한회사들이활용하는프로세스는감사위원회에의해보편적인방식으로검토되어야하지만, 감사위원회가해당프로세스를완전히대체할필요는없다. 영국기업지배구조모범규준 C.3.2. 감사위원회의주요역할및책임은명문화된위임사항 (terms of reference) 에명시되 11) 금융사지배구조법제 16 조 ( 이사회내위원회의설치및구성 ) 제 1 항, 제 21 조 ( 위험관리위원회 ) 12) 금융사지배구조법제 27 조 ( 위험관리기준 ) 13) 금융사지배구조법제 28 조 ( 위험관리책임자의임면등 ) 14) 금융회사지배구조모범규준제 11 조제 2 항 - 4 -
어야하며다음사항을포함해야함 : ( 중략 ) Ÿ 회사의내부재무통제를검토하고, 사외이사로구성된별도의이사회내리스크위원회나이사회의의무로명시되지않는한, 회사의내부통제및리스크관리시스템도검토하여야함 ; 3. 감사기구의리스크감독역할강화동향또한 2015년 Global ACI의 2015 KPMG ACI Global Survey 에따르면, 글로벌감사위원회의주요어젠다중최근들어검토및의사결정에투입시간이증가한안건상위 4개가리스크감독과관련된것이었다. [ 그림 1] 2015 년글로벌감사위원회주요어젠다 15) 중투입시간이증가한안건 Top 5 상기그래프가보여주는바와같이최근에는사이버보안의중요성에대한공감대가확산되고있다. 올해 5월, G7 국가들은일본에회동하여금융산업사이버공격에대한보안을강화하는방안을논의하였다. G7 국가간사이버보안에관한협약은금년 10월에초안이나올것으로예상되고있다. 뿐만아니라미국증권거래위원회 (SEC) 위원장메리조화이트 (Mary Jo White) 는 G7 회동과같은달에열린로이터금융규제회담 (Reuters Financial Regulation Summit) 에서 사이버보안이슈는금융시스템이당면한최대리스크다 라는발언을하였다. 아울러, 올들어미국공인회계사협회 (American Institute of Certified Public Accountants) 는재무제표위주인기존의사업보고서외에회사의사이버보안에관한별도의보고서를외부감사인이작성하도록하는방안을추진하고있다. 사이버보안보고서에는회사의사이버리스크관리프로그램실태, 동프로그램의공정성 효과성에대한경영진의확인, 이에대한외부감사인의감사의견등이포함된다. 15) Global ACI, 2015 KPMG ACI Global Survey - 5 -
이러한세계적트렌드를고려할때, 감사위원회가사이버보안이슈를논의하는데할애하는시간이증가하고있는실태는긍정적인현상으로볼수있다. 특히사이버보안보고서를외부감사인이작성하는것이보편화된다면, 다른지배기구보다외부감사인과의커뮤니케이션이잦은감사위원회가사이버리스크감독을상시적으로담당하는것이바람직하다. 감사위원회가이에대한책임의식을보유하고사이버보안정책및프로그램의실효성에대한실태파악이되어있어야외부감사인과의시너지효과를기대할수있을것이기때문이다. 4. 결론 금융기관을제외하고감사위원회와리스크관리위원회를구분해야할필요는없다고생각한다. 내가속한감사위원회에서는리스크관련문제가위원회활동시간의 50% 정도를차지하고있다. 상기내용은영국이동통신업체보다폰 (Vodafone Group Plc) 의사외이사이자감사위원장인닉랜드 (Nick Land) 가 KPMG ACI와의인터뷰에서발언한것이다. 실제로보다폰은이사회내에 감사위원회 가아닌 감사및리스크위원회 (Audit and Risk Committee) 를운영하고있다. 보다폰은동위원회의목적이 충분한공시, 효과적인내 외부감사, 내부통제시스템 경영리스크 컴플라이언스활동에대한감독을포함한재무보고의적절성뿐아니라기업지배구조의건전성을제고하는것 이라고표명하고있다. 빠르게발전하는과학기술, 소비자권리 안전관련소송발생의증가, 날로교묘해지는사이버공격, 지진 화산폭발등자연재해, 최근증가하고있는불특정다수에대한테러위협등기업이맞닥뜨릴수있는리스크는나날이그종류가다양해지고있을뿐아니라심각성도중해지고있다. 독자적인리스크관리위원회를설치하여리스크관리를전담하게하는것이이상적이라볼수있으나, 별도의위원회를신설하는데자원이상당히소요되기때문에기업입장에서는리스크관리위원회운영이현실적으로쉽지않은일이다. 앞서말했듯우리나라유가증권시장은전체상장사가감사기구를보유하고있는데다, 감사및감사위원은대개재무적인전문성까지갖추고있기때문에기업이겪을수있는잠재적리스크를예측하는데있어유의미한역할을할수있을것으로기대된다. 기업이직면할수있는다양한리스크별로대응시나리오를마련하고임직원을대상으로주기적인리스크예방교육을실시하는등리스크감독업무에대해감사기구가전적으로책임을맡거나적극적으로관여한다면, 감사 ( 위원 ) 로서의독립성 전문성과결합되어기업지배구조의건전성과기업의리스크대응능력을제고하는데기여할수있을것이다. 기업의자발적인노력으로이러한목적이달성되는것이가장바람직할것이나, 미국 영국처럼상장규정이나기업지배구조모범규준에감사 ( 위원회 ) 의리스크감독의무를명문화하는것도고려해볼만하다. - 6 -