직무 분할(SoD)은 조직의 위험 관리 체계에서 핵심적인 역할을 수행합니다.
공인 사기 심사관 협회(ACFE)의 2022년 보고서는 직원 사기로 인해 기업들이 건당 평균 약 178만 3천 달러의 손실을 본다는 점을 분명히 보여줍니다.
이는 오늘날 기업들이 증가하는 사기, 속임수 및 오류 발생에 대처하기 위해 견고한 위험 관리 전략이 필요한 이유를 설명합니다.
SoD는 이러한 위험을 효과적으로 제어, 관리 및 완화하여 조직의 안전성을 높이고 인식을 개선함으로써 더 나은 조직 통제를 가능하게 합니다.
본 글에서는 직무 분할(SoD)이 무엇인지, 그 중요성 및 관련된 주요 개념들을 자세히 살펴보겠습니다.
이제 시작하여 어떻게 통제력을 회복할 수 있는지 알아봅시다!
직무 분할이란 무엇인가?
직무 분할(Segregation of Duties, SoD)은 조직의 위험 관리 및 내부 통제의 중요한 원칙으로, 한 명 이상의 개인이 업무의 각기 다른 부분을 책임지는 것을 의미합니다. 이는 정보 오용, 사기, 절도 및 기타 보안 관련 위험을 예방하기 위해 도입됩니다.
본질적으로, 하나의 업무를 한 사람이 수행할 수 있지만 여러 부분으로 나누어집니다. 이렇게 함으로써 단일 개인이 업무를 단독으로 통제하거나 권한을 남용하여 승인되지 않은 목적이나 사기 행위를 저지르지 못하도록 방지합니다. 대신, 최소한 두 명 이상의 인원이 업무를 분담하여 책임을 공유합니다.
현재 SoD는 회계, 재무, 급여, 인사 등 다양한 분야에서 실행되고 있습니다. 정치 분야에서는 정부가 사법부, 행정부, 입법부로 분리된 민주주의 체제에서 삼권 분립이라는 형태로 나타납니다.
위험 관리에서의 SoD
SoD는 책임 공유의 원칙을 기반으로 합니다. 이는 조직이나 사업 운영이 단일 개인의 책임이 되어서는 안 된다는 것을 의미합니다. 특정인이 완전한 통제권을 갖게 되면 사기, 오류 또는 회사의 명성에 손상을 입힐 수 있는 행동을 할 수 있다고 간주해서는 안 됩니다.
실제로, SoD는 위험 관리와 2002년 제정된 Sarbanes-Oxley 법(SOX)과 같은 규정 준수를 위한 핵심 요소입니다.
여러 직원이 책임을 분담하면 직원이나 제3자가 다음과 같은 기회를 줄일 수 있습니다:
- 조직의 기밀 정보 오용
- 자금 횡령
- 이해 관계자를 속이거나 주가를 부풀리기 위한 기록(예: 재무) 조작
- 학대 주장을 받고 보복적인 조치 실행
- 기업 스파이 행위에 관여
SoD와 같은 안전한 전략을 활용하지 않으면 재정적 손실, 규정 위반에 따른 처벌, 브랜드 이미지 손상 등 조직에 심각한 피해가 발생할 수 있습니다. 따라서 회계 및 급여 부서부터 정보 기술(IT) 및 사이버 보안 부서에 이르기까지 조직 전체에 SoD를 적용하는 것이 매우 중요합니다.
SoD의 예시
SoD가 실제로 어떻게 적용될 수 있는지 몇 가지 예를 살펴보겠습니다.
회계
회계 분야에서 조직은 한 개인이 자산과 재무 오류를 은폐할 수 있는 과도한 권한을 갖지 않도록 방지해야 합니다.
SoD는 조직 내 모든 회계 역할을 철저히 분석하고, 동일한 사람이 특정 기능을 완전히 제어할 수 없도록 업무를 분리해야 합니다. 예를 들어, 동일한 사람이 수표를 받고 수표 수령을 기록하는 것을 허용해서는 안 됩니다.
IT 및 사이버 보안
SoD 정책은 IT 부서의 접근 권한 위험을 줄이는 데 도움이 됩니다. 업무 흐름을 분리하여 동일한 그룹이나 개인에게 여러 접근 권한을 부여하지 않도록 합니다.
한 사람이 직무 범위를 넘어서는 권한을 가지게 되면, 이를 남용하여 외부인에게 정보를 노출하거나 접근 권한을 제공할 수 있습니다. 동시에, 다른 사람들은 이러한 사실을 인지하지 못할 수 있습니다.
이러한 상황은 매우 위험할 수 있습니다. 예를 들어, 동일한 사람이 보안 시스템에서 경고를 받고 해당 시스템에 대한 접근 권한을 관리하는 것을 허용해서는 안 됩니다.
규정 준수 및 통제
견고한 SoD 전략을 구현하면 고의적이든 비고의적이든 직원 오류를 제거하는 데 도움이 될 수 있습니다. 또한 사기 행위가 발생한 경우 이를 감지할 수도 있습니다. 이를 통해 조직을 규정 위반으로부터 보호할 수 있습니다. 예를 들어, 재무 정보 제출과 감사를 모두 담당하는 동일한 사람을 지정해서는 안 됩니다.
기타 예시
다음과 같은 작업들은 동일한 개인이 담당해서는 안 됩니다.
- 요청 생성 및 승인
- 공급업체 송장 생성 및 승인
- 송장 생성 및 원장에 판매 거래 입력
- 급여 지급 및 직원 채용
- 현금 수령 기록 및 대변 메모 생성
- 주식 거래 및 인수 합병 관리
- 구매자 설정 및 요청 또는 구매 발주 승인
SoD의 장점
조직에 SoD를 적용하면 다음과 같은 여러 이점을 얻을 수 있습니다.
#1. 사기 예방 및 탐지
조직들은 이전보다 더 많은 사기의 피해자가 되고 있습니다. 여기에는 수표 위조, 현금 스키밍, 자산 횡령, 문서 위조, 허위 영수증 및 송장, 회계 기록 오류와 같은 사기 행위가 포함됩니다.
SoD를 사용하면 특정 작업의 모든 기능을 담당하는 개인 또는 그룹이 없도록 할 수 있습니다. 이는 사기 행위를 저지르고 숨길 기회를 차단합니다. 여러 사람이 업무를 확인한다는 것은 누구나 외부 또는 내부 사기를 발견, 보고 및 예방할 수 있음을 의미합니다.
#2. 인적 오류 감소
조직에서 SoD가 적절하게 구현되면 중요한 재무 프로세스에서 발생하는 인적 오류와 관련 위험이 크게 줄어듭니다. 여기에는 거래 문서화 부족, 회계 담당자 부족, 데이터 입력 오류, 부주의한 감사 등의 오류가 포함될 수 있습니다.
중요한 거래에 여러 사람을 참여시키면, 본질적으로 개인이 발생한 오류를 알아차리고 해결할 가능성이 높아집니다.
#3. 향상된 감사
위험과 오류 가능성이 감소하면 재무, 급여, 회계, IT 또는 사이버 보안 부서의 기록 관리가 향상됩니다. SoD는 기록이 적절하게 정리되도록 보장하여 중복, 연체료, 규정 준수 위험과 같은 문제를 제거하는 데 도움이 됩니다.
이를 통해 조직은 연간, 반기별 또는 분기별 감사를 더 잘 준비할 수 있으며, 규정 준수 전에 더 큰 확신을 갖고 처벌을 피할 수 있습니다.
#4. 효율성 증가
일부 사람들은 더 많은 역할을 추가하면 비효율성과 비용 증가로 이어질 수 있다고 생각할 수 있습니다. 그러나 SoD를 잘 계획하면 실제로 효율성이 향상될 수 있습니다. 작업이 여러 하위 작업으로 나누어지고, 각 하위 작업은 더 나은 정확도와 속도로 적합하고 전문화된 개인이 수행하기 때문입니다.
이는 위험을 줄일 뿐만 아니라, 한 사람이 전체 작업을 수행해야 하는 경우보다 더 높은 효율성을 제공합니다. 또한, SoD가 없을 때 회사가 입게 되는 손해 비용은 더 많은 인력을 고용하는 데 투자하는 것보다 훨씬 클 수 있습니다.
SoD 관련 용어
SoD를 더 잘 이해하려면 다음 용어를 알아야 합니다.
#1. SoD 충돌
SoD 충돌은 개인이 조직의 이익에 반하는 행동을 할 수 있는 상황을 의미합니다. 이는 프로세스에서 여러 중요한 기능을 수행하기 위해 여러 역할을 획득했음을 나타냅니다. 이는 프로세스의 무결성을 훼손하고 회사에 잠재적으로 영향을 미칠 수 있습니다.
SoD 충돌은 O2C(Order to Cash) 또는 P2P(Purchase to Pay)와 같은 조직의 다양한 영역에서 발생할 수 있습니다. SoD 충돌을 완화하려면 이러한 사고를 분석하고 평가해야 합니다. 또한 조직은 강력한 내부 통제를 구현하고 불법 활동에 관여하는 직원으로부터 스스로를 보호해야 합니다.
SoD 충돌을 방지하기 위한 좋은 전략은 조직 전체에 RBAC(역할 기반 접근 제어)를 적용하는 것입니다. RBAC는 조직에서의 역할과 책임을 기반으로 사용자에게 접근 권한과 제어를 부여합니다.
여기에서 승인된 인원을 지정하여 역할 간 및 역할 내 SoD 중복에 대해 할당된 모든 역할과 접근 권한을 분석할 수 있습니다.
그러나 모든 충돌이 손상을 입히거나 불법 행위를 초래하는 것은 아닙니다. 사용자가 부주의로 실수로 저지르거나 더 많은 권한이 필요한 회사에 필요한 기능을 수행할 수 있습니다.
따라서 회사는 사건을 철저히 조사하고 SoD 위반 정책을 평가하여 충돌이 사기 또는 불법 활동으로 이어지지 않도록 해야 합니다.
#2. 잔디 위반
조직의 직원이 할당된 역할을 남용하고, 의도적으로 정보에 접근하거나 금지된 활동을 수행하는 경우 SoD 위반이 발생할 수 있습니다. 이는 그들이 조직의 내부 정책이나 외부 규정을 위반하고 있음을 의미합니다.
직원은 허용된 단계를 넘어서서 여러 프로세스 단계를 제어할 수 있는 경우 SoD 위반을 저지를 수 있습니다. 다음으로, 그들은 자신의 이익을 위해 접근 권한을 남용합니다.
예를 들어, 회사는 직원을 고용하는 사람이 급여를 분배하는 것을 금지하는 정책을 만들 수 있습니다. 두 가지 활동을 모두 수행하면 자신의 이익을 위해 활용하고 사기나 불법 활동을 계획할 수 있기 때문입니다. 따라서 이는 SoD 위반에 해당합니다.
이것이 내부 SoD 위반의 예입니다. 외부 SoD 위반이 어떻게 발생할 수 있는지 알아보겠습니다. 예를 들어, 조직의 CEO와 같은 고위 의사 결정자가 재무 제표 조작에 가담하여 SOX 규정을 위반하는 경우입니다.
이는 조직에 막대한 벌금을 부과할 수 있으며, 직원은 징역형을 선고받을 수도 있습니다. 이는 명성과 비용 측면에서 조직에 해를 끼칩니다.
SoD 위반을 완화하기 위해 조직은 위반 및 각 직원의 활동을 모니터링해야 합니다. 또한 변화하는 기술 환경에 따라 정책을 지속적으로 업데이트해야 합니다.
#3. SoD 매트릭스
SoD 매트릭스는 관리자가 SoD의 복잡성을 줄이기 위해 사용하는 방법입니다. 이를 통해 관리자는 조직의 다양한 책임, 역할 및 위험을 구별할 수 있습니다.
또한, SoD 매트릭스는 조직 전체에서 잠재적인 충돌을 감지하고, 심각한 피해로부터 보안을 유지하면서 시기적절하게 해결하는 데 도움이 될 수 있습니다.
SoD 매트릭스는 ERP 소프트웨어를 사용하는 현대 기업에서 자동으로 생성됩니다. 생성된 SoD 매트릭스는 ERP 소프트웨어에 정의된 사용자의 작업 및 역할을 기반으로 합니다.
여기서 각 작업은 지정된 트랜잭션 워크플로우의 프로세스와 일치해야 합니다. 이는 작업과 역할을 그룹화하고 사용자가 워크플로우에서 두 단계 이상을 수행하지 못하도록 하기 위함입니다.
또한 SoD 매트릭스는 사용자 역할이 SoD 충돌을 나타내는 X축과 Y축으로 구성된 플롯으로 표현할 수 있습니다. 또한 규정 준수 팀이 호환되지 않는 책임을 분리할 수 있도록 업무 및 활동을 워크플로우의 역할에 매핑합니다.
MS Excel과 같은 소프트웨어를 사용하거나 종이 시트에 수동으로 SoD 매트릭스를 생성할 수 있습니다. 또한 ERP 도구를 사용하여 생성할 수도 있습니다.
예를 들어, 다음은 직원의 급여에 대한 SoD 매트릭스를 만드는 방법입니다. 역할과 책임에 대해 예/아니오, 색상 플래그, 화살표, 체크 표시 등과 같은 기호를 사용할 수 있습니다. 아래 표에서는 Y/N을 사용하겠습니다.
| 프로세스 | 직원 1 | 직원 2 | 직원 3 | 직원 4 |
| 직원 온보딩 | Y | N | N | N |
| 급여 생성 | N | Y | Y | N |
| 지불 정산 | N | Y | Y | N |
| 복리후생 관리 | N | N | N | Y |
위의 차트는 직원 2가 급여를 생성하고 결제할 수 있는 권한을 가지고 있음을 보여줍니다. 따라서 혜택을 변경하거나 직원을 고용해서는 안 됩니다. 그렇게 하면 SoD 충돌이 발생할 수 있습니다. 마찬가지로 직원 1은 신입 사원 채용을 담당합니다. 따라서 급여를 생성하거나 혜택을 관리하거나 지불을 처리해서는 안 됩니다. 그렇지 않으면 SoD 충돌이 발생할 수 있습니다.
SoD 구현 방법
SoD 구현을 고려하고 있지만 어디서부터 시작해야 할지 혼란스럽다면 다음 단계를 따르십시오.
조직 프로세스 및 정책 정의
먼저 직원이 담당하는 모든 주요 조직 프로세스를 정의해야 합니다. 조직의 규모와 산업 유형을 기준으로 할 수 있습니다. 모든 프로세스와 작업을 정의한 후에는 정책도 나열하십시오. 내부 직원, 외부 공급업체 및 거래하는 기타 주체에 대한 정책을 정의합니다.
예를 들어, HR 부서에서는 직원 채용 및 온보딩, 복리후생 및 보상 생성, 지불 처리, 기록 보관 등의 작업을 나열할 수 있습니다. 마찬가지로 회계 부서에서는 제품 배송 확인, 송장 검토, 수표 서명, 송장 지불 등과 같은 작업을 나열할 수 있습니다.
또한 부서 및 직원을 위해 만들어진 정책의 개요를 작성해야 합니다. 예를 들어, 지불을 발행하는 직원은 수표에 서명하는 사람이 아니어야 합니다. 정책의 또 다른 예는 다음과 같습니다. 제품 판매를 담당하는 직원은 배송을 확인해서는 안 됩니다.
SoD 매트릭스 생성
작업과 정책을 정의한 후에는 모든 역할과 작업을 나열하는 SoD 매트릭스를 생성해야 합니다. 이를 통해 어떤 직원이 어떤 작업을 담당하는지, SoD 충돌이나 위반 가능성이 있는지 이해하는 데 도움이 됩니다.
위의 차트는 조직의 SoD 매트릭스를 만드는 데 도움이 됩니다. 하지만 때로는 특히 표현이 작업과 정확하게 일치하지 않는 경우 SoD 충돌을 감지하기 어려울 수 있습니다. 이를 위해 SoD 매트릭스를 생성할 때 두 가지 접근 방식을 취할 수 있습니다.
모든 작업을 명확하게 정의하고 각 SoD 충돌에 라벨을 지정합니다. 이는 큰 매트릭스를 생성하지만 작업과 역할을 시각적으로 표현하는 데 더 나은 정확도를 제공합니다.
일부 작업 생략 또는 그룹화: 요약된 매트릭스를 제공하여 SoD 충돌을 집중적으로 분석하기 쉽습니다. 그러나 SoD 결과와 충돌에 영향을 미치는 잘못된 긍정 및 오류로 이어질 수 있습니다.
작업 할당
모든 SoD 충돌을 감지했으면 직무 분리 개념을 활용하여 직원에게 작업 및 하위 작업을 할당하기 시작합니다. SoD를 적용할 수 없는 시나리오에 직면한 경우 위험을 방지하기 위해 작업을 수행하는 직원을 제어하고 모니터링하는 확실한 방법을 찾으십시오.
관리 및 검토
작업과 역할을 모니터링하고 검토하여 SoD가 제대로 구현되고 잠재적인 충돌이나 위반이 없는지 확인하는 것이 중요합니다. 또한 발견된 역할과 작업을 재할당하여 관리하십시오. 위험을 방지하기 위해 지속적으로 모니터링하십시오.
결론
직무 분할(SoD)은 내부 통제를 관리하고 사기 및 오류를 방지하는 데 효과적인 방법을 제공합니다. 데이터 유출, 사기 또는 불법 활동과 관련하여 조직에 피해를 줄 만큼 과도한 통제권을 얻는 사람이 없도록 조직 보안을 보장하는 데 도움이 됩니다. 따라서 조직에 SoD를 구현하여 안전과 경계를 유지하십시오.
온라인 비즈니스를 위한 사기 탐지 및 예방 도구를 살펴보는 것도 유용할 수 있습니다.