위험 식별·통제 설계·모니터링 세 단계로 풀고 경험 사례로 닫는 결
내부통제체계를 설계할 때 저는 위험 식별, 통제 설계, 모니터링 세 단계를 순서대로 보는 것이 중요하다고 생각합니다.
먼저 위험 식별 단계에서는 어떤 프로세스에서 오류나 부정이 발생할 수 있는지를 구체적으로 열거합니다. 추상적으로 '위험이 있다'는 수준이 아니라, 어느 단계에서 누가 어떤 권한으로 무엇을 할 수 있는지를 그려봐야 실질적인 통제 포인트가 보입니다.
통제 설계는 식별된 위험에 맞게 예방 통제와 탐지 통제를 조합합니다. 예방 통제만 있으면 오류가 발생하지 않을 거라고 가정하는 셈인데, 실제로는 누락이 생기기 때문에 사후 탐지 체계도 같이 설계해야 합니다.
인턴 기간에 내부 규정 정비 보조 업무를 한 경험이 있습니다. 비용 집행 프로세스를 검토할 때, 승인 단계가 형식적으로만 남아 있고 실제로는 사후에 일괄 처리되는 경우가 있었습니다. 저는 승인 전 집행 한도 기준을 명시하고, 한도 초과 건은 별도 결재 라인을 타도록 정비 안을 작성했습니다.
마지막 모니터링 단계는 통제가 실제로 작동하는지 주기적으로 점검하는 과정입니다. 설계만 해두고 점검이 없으면 시간이 지나면서 형해화되는 경향이 있어서, 정기 샘플 검증을 루틴으로 두는 것이 중요하다고 봅니다.