기업 운영 과정을 면밀히 살피고, 통제하며, 측정하고 관리하는 것은 지속적인 발전을 촉진하고 재정적인 위험을 줄이는 데 있어 매우 중요한 요소입니다.
조직은 내부 통제라는 메커니즘을 통해 프로세스가 원활하게 진행되는 동시에 사기 행위로부터 안전을 확보합니다. 하지만 이러한 내부 통제가 제대로 작동하지 못할 경우, 기업은 심각한 위기에 직면할 수 있습니다.
보고서에 따르면, 소규모 기업의 43%는 내부 통제 시스템의 미비로 인해 사기 피해를 경험하며, 대규모 조직의 20%는 기존 내부 통제를 무시하여 사기를 겪습니다.
Trendway Organizations의 COSO(Committee of Sponsoring Organizations)는 기업이 사업 과정을 효과적으로 통제하고 관리할 수 있도록 돕는 프레임워크를 만들었습니다. 이 프레임워크는 기업이 비즈니스 프로세스를 조정하고 위험 요소를 식별하고 완화하는 데 지침을 제공합니다.
COSO 프레임워크를 반드시 따라야 하는 법적 의무는 없지만, 이 프레임워크는 기업이 규제 표준을 준수하고 사기 행위를 예방하는 데 크게 기여합니다.
이러한 불행한 사태를 방지하기 위해 계속해서 내용을 살펴보세요. 본 글에서는 COSO 프레임워크의 기본 개념, 장점, 그리고 조직이 이를 활용하여 위험을 줄이는 방법에 대해 자세히 알아보겠습니다.
COSO 프레임워크란 무엇인가?
COSO 프레임워크는 기업이 사업 과정을 효과적으로 관리하고 통제할 수 있도록 고안된 일련의 지침과 원칙을 제공합니다.
1992년, COSO 위원회는 법률 고문이자 부사장이었던 James Treadway, Jr.의 주도하에, 다음과 같은 여러 민간 부문 조직과 협력하여 이 프레임워크를 개발했습니다.
- FEI(Financial Executives International)
- 미국 회계 협회(AAA)
- 미국 공인 회계사 협회(AICPA)
- 내부 감사인 협회(IIA)
- 원가 회계사 협회(Institute of Management Accountants, IMA, 이전에는 전미 원가 회계사 협회로 알려짐)
2013년에 위원회는 COSO 큐브 형태로 표현되는 더욱 현대적인 버전의 프레임워크를 업데이트하여 발표했습니다.
출처: info.knowledgeleader.com
이 3차원 다이어그램은 다양한 내부 통제 시스템 요소들이 어떻게 상호 작용하여 사업 프로세스를 조율하는지 보여줍니다.
2017년에는 COSO 위원회가 COSO 프레임워크에 부속 프레임워크를 추가하여, 기업이 위험을 평가하고 우선순위를 정하여 사업 성과와 위험 관리 전략을 효과적으로 통합할 수 있도록 했습니다.
COSO 프레임워크를 이해하는 것은 조직에 상당한 이점을 제공합니다. 이를 통해 기업은 내부 통제 시스템을 효율적으로 구축하고 관리하여 사업 운영이 윤리적이고 투명하며 산업 표준에 부합하도록 보장할 수 있습니다.
COSO 프레임워크의 이점
끊임없이 변화하는 사이버 보안 환경과 새로운 도전 과제에 적응할 수 있는 위험 완화 전략을 수립하는 것은 모든 기업에게 필수적입니다.
다음은 COSO 프레임워크를 도입함으로써 기업이 악의적인 사기를 방지하고 사업 프로세스와 평판을 어떻게 보호할 수 있는지 보여줍니다.
#1. 위험 평가 능력 향상
대부분의 작업장 사고는 비효율적인 관리 통제 시스템에서 비롯됩니다. 특정 영역에서 발생하는 사고와 위험은 다른 사업 영역에 큰 영향을 미쳐 전체 사업 성과를 저해할 수 있습니다.
COSO 프레임워크와 효과적인 위험 평가 시스템을 미리 구축하면 기업에 영향을 미치는 위험 요소를 식별하고, 관리하며, 사전에 예방할 수 있습니다.
#2. 내부 통제 강화
COSO 프레임워크는 기업에 위험을 줄이기 위한 효과적인 내부 통제 시스템을 제공하고, 사업 프로세스가 기존의 내부 통제 체계에 따라 일관되게 운영되도록 보장하며, 건전한 의사 결정에 필요한 데이터를 활용하도록 돕습니다.
#3. 사기 탐지 능력 향상
COSO 프레임워크는 해커, 사이버 범죄자, 신뢰할 수 있는 직원 또는 고객 등 누가 사기 행위를 시도하든 사기 탐지 및 위험 관리 효율성을 향상시킵니다.
이 프레임워크를 사용하면 사기 행위를 감지하고 사고 발생 즉시 대응하여 피해가 발생하기 전에 완화할 수 있도록 내부 통제 시스템을 구축할 수 있습니다. 따라서 조직이 사기 행위를 쉽게 예방할 수 있습니다.
#4. 더 나은 기업 지배 구조
사업 성과에 대한 감독 부실과 취약한 기업 지배 구조는 많은 기업 실패와 이익 손실로 이어집니다. COSO 프레임워크의 핵심 목표는 정책, 법률 및 목표 준수를 보장하기 위해 위험을 지속적으로 감시하는 기업의 기업 지배 구조 기능을 강화하는 데 있습니다.
#5. 애플리케이션 보안 강화
사기 및 사이버 보안 위험 외에도 조직은 사업용 애플리케이션에 대한 지속적인 보안 공격 위협에 직면해 있습니다. COSO 프레임워크는 기업이 사이버 보안 탐지 및 방어를 강화하기 위해 애플리케이션 제어 환경을 평가하고 개선할 수 있는 지침을 제공합니다.
#6. 유연성 향상
COSO 프레임워크는 산업 분야나 기업 규모에 관계없이 조직의 필요와 요구사항에 맞게 손쉽게 조정할 수 있습니다. 따라서 광범위한 사업 프로세스에 이상적이고 효율적입니다.
#7. 안정적인 사업 성과
COSO 프레임워크를 활용하면 위험을 보다 쉽게 예측하고, 사업 계획을 차질 없이 수행할 수 있으며, 사업 성과의 변동성을 최소화할 수 있습니다. 결과적으로 조직은 수익을 극대화하고 운영 중단을 최소화하여 사업의 탄력성을 향상시키는 데 도움이 됩니다.
#8. 비용 효율성
COSO 프레임워크를 올바르게 적용하면 조직은 사업 과정을 간소화하고 효율적인 내부 통제 시스템을 구축 및 구현하며, 위험을 효과적으로 줄이고 규정 준수 비용을 관리할 수 있습니다.
COSO 프레임워크 활용 방법
주로 조직은 COSO 프레임워크를 활용하여 효과적인 내부 통제 시스템을 설계, 개발 및 구축하고 전반적인 운영 효율성을 개선합니다.
COSO 프레임워크는 위험을 감지하고 완화하며, 명확한 통제 목표를 설정하고, 효과적인 의사 결정을 내릴 수 있도록 조직에 지침을 제공하여 위험 관리와 평가에 초점을 맞춘 윤리적 및 법적 요구 사항을 준수하도록 합니다.
이 프레임워크는 회계 및 금융 회사와 공개 거래 조직에서 광범위하게 활용됩니다.
COSO 프레임워크는 다음과 같은 실제 활용 사례와 비즈니스 적용 사례를 제공합니다.
#1. 사업 확장
조직이 새로운 도시나 국가로 사업을 확장할 계획이며, 사업 과정을 위협할 수 있는 모든 위험 요소를 고려하고 완화해야 한다고 가정해 봅시다. 이러한 경우 COSO 프레임워크가 큰 도움이 될 수 있습니다.
COSO 프레임워크는 위험을 식별하고, 관리하고, 평가하며, 이러한 위험을 줄이기 위한 전략을 개발하는 체계적인 방법을 제공합니다.
#2. 전략 변경
조직이 새로운 제품이나 서비스 출시 또는 비즈니스 전략 변경과 같이 사업 프로세스 및 운영에 중대한 변화를 도입할 계획이라고 가정해 보겠습니다. 이 경우 COSO 프레임워크를 활용하면 사업에 도움이 될 수 있습니다.
이는 중요한 사업 변화를 계획하고 효율적으로 관리하는 데 도움을 주며, 변화와 관련된 잠재적 위험을 파악하고 해결 방안을 마련하는 데 유용한 프레임워크를 제공합니다.
#3. 경쟁 우위 확보
경쟁사의 도전 과제에 직면하거나 사업 손실을 경험하는 경우, 경쟁에서 앞서 나갈 수 있는 방법을 찾는 것은 경쟁력 강화에 필수적입니다. 이를 위한 한 가지 방법은 고객의 선호도와 요구 사항을 정확히 파악하는 것입니다.
COSO 프레임워크는 시장 조사 및 고객 분석에 대한 체계적인 접근 방식을 제공함으로써 조직이 이러한 과제를 해결하고 경쟁력을 유지하는 데 도움을 줍니다.
COSO 프레임워크의 5가지 핵심 요소
COSO 프레임워크의 5가지 핵심 요소는 내부 통제 요소라고도 하며, 흔히 ‘CRIME’으로 약칭됩니다.
- 통제 환경
- 위험 평가
- 정보 및 의사소통
- 모니터링 활동
- 기존의 통제 활동
이제 각 요소를 자세히 살펴보겠습니다.
통제 환경
통제 환경은 모든 내부 통제 시스템의 기반이 되며, 조직 전체에 걸쳐 효과적인 내부 통제 시스템을 보장하는 일련의 프로세스, 표준 및 구조를 의미합니다.
이는 조직 구조, 경영진의 윤리적 가치, 위임된 권한과 같은 요소로 구성됩니다.
강력한 통제 환경은 조직 내에 규율을 확립하고, 조직이 규정 준수 정책 및 요구 사항을 준수하도록 보장하며, 직원이 사기 행위에 연루될 가능성을 최소화합니다.
오늘날과 같이 기업 환경에서 사기가 점점 더 빈번하게 발생하는 추세를 고려할 때, 통제 환경은 COSO 프레임워크에서 가장 중요하고 필수적인 요소 중 하나입니다.
위험 평가 및 관리
기업 위험 관리라고도 하는 위험 평가 및 관리는 사업의 안녕을 해치고 핵심 목표에 영향을 미칠 수 있는 위험을 식별하고 평가하는 데 도움을 주는 프로세스를 포함합니다.
위험은 내부적일 수도 있고 외부적일 수도 있습니다. 내부 위험에는 횡령이나 사기 등이 있지만, 외부 위험은 시장 상황의 변화나 자연 재해로 인해 발생할 수 있습니다.
정보 및 의사소통
정보 및 의사소통 시스템은 조직이 효율적으로 운영되고, 내부 및 외부 의사소통이 윤리적 가치, 법적 요구 사항 및 산업 표준을 준수하도록 보장하는 데 매우 중요합니다.
이러한 시스템은 필요한 사람들이 언제든지 관련 정보에 접근할 수 있도록 보장하고, 사업 목표를 달성하기 위해 모범 사례를 따르면서 소통하도록 돕습니다.
의사소통은 조직 내외부 출처로부터 정보를 적시에 반복적으로 수집, 공유 및 전달하는 지속적인 프로세스이며, 고위 경영진이 내부 통제의 중요성을 효과적으로 전달할 수 있도록 합니다.
모니터링 활동
모든 내부 통제 시스템이 올바르게 작동하는지 정기적으로 검토하고 지속적이고 개별적인 평가를 통해 확인하는 것이 중요합니다. 모니터링 활동은 내부 통제 시스템이 설계된 대로 기능하는지 평가하여 조직이 필요할 때마다 시정 조치를 취할 수 있도록 합니다.
내부 통제를 모니터링하면 조직이 시스템 내에서 위험, 문제 및 약점을 지속적으로 식별하고 신속하게 수정할 수 있습니다.
기존의 통제 활동
통제 활동은 조직 전체에 걸쳐 위험을 줄이고 적절하게 통제되도록 하는 데 사용되는 감지 및 예방 프로세스, 정책 및 절차입니다.
통제 활동은 프로세스 내에서 불필요한 위험을 초래하지 않고 조직이 목표를 달성할 수 있도록 사업 프로세스를 수행하는 것을 목표로 하며, 조직의 모든 계층에 존재합니다.
통제 활동의 예로는 보안 카메라와 같은 물리적 통제, 직무 분리 및 권한 부여 요구 사항 등이 있습니다.
COSO 프레임워크 구현 방법
효과적인 내부 통제 시스템을 개발하고 관리 및 유지보수를 개선하기 위해 COSO 프레임워크를 구현하는 단계는 다음과 같습니다.
#1. COSO 프레임워크 이해
COSO 프레임워크를 도입하려는 조직은 프레임워크의 설계를 이해하고 구현을 담당할 전담 팀을 구성해야 합니다.
팀은 효과적인 내부 통제 시스템을 위한 프레임워크의 이점, 활용 방법, 적용 방법 및 원칙을 정확히 이해해야 합니다.
#2. 계획 수립
프레임워크를 올바르게 이해한 후, 팀은 프레임워크 구현 범위, 관련 이해 관계자, 필요한 자원, 조직 구조 및 일정을 관리하기 위한 프로젝트 계획 또는 로드맵을 개발해야 합니다.
#3. 프레임워크 구현 평가
COSO 프레임워크 구현은 회사마다 다르며, 내부 통제 시스템을 평가하면 조직이 해결하고 완화해야 할 위험을 식별하는 데 도움이 됩니다.
구현 팀은 명확한 사업 목표를 설정하고, 현재 내부 통제 시스템을 조사하고 분석하며, 강력한 내부 통제 시스템을 개발하기 위해 다양한 관점을 수집하고자 초급 직원과 고위 경영진을 참여시켜 개선이 필요한 부분을 찾아야 합니다.
#4. 해결 방안 개선
평가 과정에서 확인된 약점과 취약점은 이 단계에서 해결해야 합니다. 또한 이러한 약점을 해결하기 위한 내부 통제 및 개선 솔루션을 개발하는 것도 중요합니다.
가장 큰 피해를 유발할 가능성이 높고 심각한 영향을 미치는 위험 요소에 대한 해결책을 찾는 데 최고의 취약성 관리 소프트웨어를 활용한 후, 하위 위험 요소에 대한 해결 방안을 모색할 수 있습니다.
#5. 솔루션 테스트, 보고 및 최적화
조직은 솔루션을 상세하게 설계하고 검증을 실시하여 효율성과 효과를 테스트하고 보고해야 합니다.
책임 있는 이해 관계자는 테스트 결과에 대한 정보를 유지해야 하며, 비효율적이라고 판단되는 차이점 및 통제 요소가 있는 솔루션에 대한 피드백 및 대체 솔루션을 제공해야 합니다.
이는 지속적인 평가를 통해 조기 경고 신호가 통제 환경의 변화에 신속하게 대처할 수 있도록 하는 지속적이고 반복적인 과정입니다.
COSO 프레임워크의 한계
COSO 프레임워크는 조직에 여러 가지 이점을 제공하지만, 다음과 같은 고유한 문제점과 한계도 함께 가지고 있습니다.
- 구현의 어려움: COSO 프레임워크의 주요 문제점 중 하나는 특히 이전에 COSO 프레임워크를 사용해 본 적이 없는 조직의 경우 구현하기 어렵다는 것입니다. COSO 프레임워크가 성공적으로 작동하려면 직원과 고위 경영진의 헌신적인 노력이 필요합니다.
- 사용의 어려움: COSO 프레임워크는 다양한 기술 용어로 구성되어 있으며, 특히 최신 사업 기술 및 용어에 익숙하지 않은 경우에는 해석하기 어려울 수 있어 사용하고 이해하기 쉽지 않습니다.
- 시간 소모적: COSO 프레임워크는 여러 팀과 부서 간의 긴밀한 계획 및 조정을 필요로 하기 때문에, 특히 대규모 조직과 사업체에서는 이해하고 구현하는 데 상당한 시간이 소요될 수 있습니다.
마지막 말
COSO 프레임워크는 내부 통제 시스템을 강화하기 위한 조직 및 기업 가이드라인을 제공하는 포괄적인 위험 관리 및 완화 프레임워크입니다.
이는 조직의 목표를 달성하고, 사기를 탐지 및 예방하고, 자산을 보호하며, 법률 및 규제 요구 사항을 준수하기 위해 함께 작동하는 5가지 상호 연결되고 중요한 요소를 기반으로 합니다.
따라서 내부 통제 시스템을 구축할 계획이 있거나 기존 시스템을 개선할 방법을 찾고 있다면, 효과적인 COSO 프레임워크를 선택하고 구현하는 것이 현명한 선택입니다.
다음으로, 데이터 품질에 대한 포괄적인 안내서를 확인해 보십시오.