3년차 수습회계사 이야기(EP.4)

EP 4. 왜 전산감사본부를 떠났나요?

이전 에피소드에서는 전산감사본부에 대한 정보 검 특징들을 풀어내보는 시간을 가졌는데, 전반적으로 장점에만 치중한 글이 되었더라구요. 뭔가 약파는 글이 되어버린 것 같아 좀 부끄럽기도 합니다. 읽는 사람입장에서는 그럼 그렇게 좋다는 본부에서 당신은 왜 나왔어요?라는 질문이 충분히 들법 하죠.

글은 공평해야하니, 이번 에피소드는 전산감사본부의 단점에 대해서 써보려고 합니다. 보다 정확히는 제가 왜 전산감사본부를 떠날려고 했는지를 쓸건데, 자연스럽게 전산감사본부의 단점에 대해서도 고찰해볼 수 있지 않을까 합니다.

저는 전산감사에서 시즌 두 바퀴를 구르고 퇴사하였습니다. 이유를 요약드리면 제한적인 성장 기회, 빠르게 루틴해지는 업무 때문입니다.

---

첫 번째는 회계사로서 성장할 수 있는 기회가 정말 제한적입니다. 

우선, 전산감사본부는 재무제표 감사 및 내부회계관리제도 감사 둘 모두 제대로 알고 있다고 말할 수 없습니다. 일부로 단언하는 투로 썼는데 실제로 그렇습니다. 

재무제표 감사를 하다보면 내부회계관리제도 감사를 같이 하게 됩니다. 내부회계관리제도란 재무제표가 산출되는 과정에서 재무제표에 중요한 왜곡표시를 초래할 수 있는 위험이 있는 프로세스를 식별하고, 회사가 위험을 적절한 수준으로 낮추기 위해 설계 및 이행하고 있는 '통제'들의 집합을 말합니다.

원래는 내부회계관리제도 감사는 없었는데, 그 유명한 '엔론 사태'로 엔론 사와 아서 앤더슨 회계법인이 공중분해되면서 미국에서 SOX법이 통과되었고, 그게 한국에 들어오면서 범위가 확대되게 되었습니다.

전산감사본부는 내부회계관리제도 감사에 해당하는 업무를 수행하므로 재무제표 감사와 전혀 관련이 없습니다. 거기에 더해서 내부회계관리제도는 IT통제만 있을까요? 아니죠. 내부회계관리제도는 매출, 매입, 인사, 자금 등등 IT통제가 아닌 통제가 훨씬 많겠죠? 따라서 전산감사본부는 내부회계관리제도 감사에서도 일부분에 해당하는 일만을 수행하는 특수한 본부입겁니다. 

결론적으로 전산감사본부는 재무제표 감사를 안다고 말할 수 없으며, 내부회계관리제도 감사조차 제대로 알고 있다고 말할 수 없습니다. ITGC가 감사에서 차지하는 비중을 생각해본다면, 전 과정을 놓고보면 차지하는 비중이 한 10%? 그 쯤 되나 싶습니다.

공인회계사 자격증을 취득한 사람은 회계감사를 염두에 뒀을 것입니다. 하지만 전산감사본부에서만 있으면 회계감사 자체에서 굉장히 일부분만 경험하게 되는 셈입니다. 당연히 본업 생각이 날 수 밖에 없죠.

물론 요새는 시스템 안 쓰는 회사가 없으며, 내부회계관리제도는 '연결기준으로 자산 총액 1,000억원 미만인 비상장' 이 아니면 무조건 구비해야되는 의무가 있기 떄문에 갈수록 IT통제에 대한 비중이 커질 수 밖에 없다고 생각합니다. 실제로 많은 회계감사본부 선배님들이 처음에는 ITGC에 관심이 없다가, 인차지 레벨에 와서 ITGC에 대한 지식의 필요성을 상당히 많이 느끼신다고 합니다. 그래서 파견이나 트랜스퍼로 일을 배우러 오시는 경우가 많으세요.

결론적으로 앞으로 중요성이 지속적으로 확대될 부분이고, 그에 따라 일거리도 많아질 수 있는 블루오션이라는 이야기에는 동의합니다. 실제로 회계감사와 전산감사를 모두 배워서 규모가 좀 있는 로컬에 반개업이나 풀타임이어도 빅펌 때 보다 좋은 대우를 받고 넘어가시는 분들도 꽤 있다고 들었습니다.

하지만, 저는 회계사에게 전산감사는 '영어'와 같다고 생각합니다. 잘하면 정말 좋고, 잘하면 정말 인정받고 환영받지만 그것만 해서는 먹고 살 수 없는. 

번역 전문가나 통역관이 아닌 이상 영어만 잘한다고 먹고 살 수 있는 세상이 아니듯이, 회계사 역시도 전산감사만 해서는 먹고 살 수가 없습니다. 애초에 업계에 계신 분들도 전산감사가 뭐하는 건지 잘 모르는데 일을 맡겨야 하는 일반인들은 전산감사가 뭔지 알까요? 관심도 없을 겁니다. 

따라서 회계감사를 Base로 하고 전산감사를 추가적으로 익히면 그것은 추가적인 무기가 되어 본업도 잘하고 영어도 잘하는 훌륭한 인재일 것입니다. 그러니까 더 좋은 조건으로 이직도 하고 그러는거겠죠. 근데 본업에 대한 지식도 없이 영어만 주구장창 한다 해봤자 크게 의미있다고 생각하지 않습니다. 이건 비단 제 생각만으로 끝나는 문제가 아닌게, 제 생각만으로 끝나는 문제 였으면 신입회계사들이 전산감사본부에서 지속적으로 탈주하는 현상이 벌어질리가 없을 것입니다.

두 번째로, 업무가 빠르게 루틴해집니다. 전산감사본부가 하는 업무는 크게 3가지입니다. ITGC, ITAC, DA.

이 글에서 각 업무가 어떤 업무인지를 상세하게 설명드릴 건 아니지만, 왜 루틴한지만 말씀드려 보겠습니다.

ITGC는 회사의 자동통제(AC, Automated Control)에서 발생할 수 있는 위험을 커버할 수 있는 통제가 효과적으로 운영되고 있는지 감사인이 검토하는 작업이라고 말씀드렸습니다.

근데 애초에 감사기준에서 AC에서 발생할 수 있는 위험의 종류를 4가지로 딱 정해서 제시해놓고 있습니다. 이 위험에 어떻게 대응하는지는 회사마다 각각 생각이 다를 것이므로 통제의 종류도 천차만별로 다른 것이 이론적으로 맞습니다만, 현실은 그렇지 않습니다.

회계법인은 오랜 감사 경험과 자기네들 나름대로의 기준 해석을 통해, '해당 위험을 커버할 수 있는 통제가 어떤게 적당하고, 또 어떤 통제는 반드시 있어야 할 것 같다'는 식의 뷰(View)가 있습니다. 여기서 회사가 IT관련 통제를 구축하기 위해 회계법인을 용역 서비스로 고용하면 회계법인은 당연히 자기들의 뷰에 맞게 통제를 구축해주겠죠? 또 다른 회사가 구축해달라 하면 그 회사 가서도 같은 방식으로 구축해 줄 것입니다.

회계법인의 뷰(View)는 정도의 차이가 있을지 언정 범위에 있어서는 크게 차이가 나지 않습니다. 그 말은 감사든 용역이든 회계법인들의 지적사항은 비슷했을 것이고, 그에 따라 회사들이 구축한 IT통제도 대부분 동질적일 수 밖에 없습니다. 세부적인 통제는 회사 인력 사정이나 시스템 사정에 따라 다르게 구축하고 있을 지 언정, 대부분은 어느 회사를 가도 통제의 종류가 똑같습니다.

따라서, ITGC는 경험이 쌓이면 쌓일수록 업무가 빠르게 루틴해집니다. 하다보면 진짜 그 놈이 그 놈입니다.

초도감사라 IT관련 통제가 미비한 회사를 가도 어차피 지적사항 비슷할거고, 치유하면 여타 다른 회사들 처럼 거의 동일한 통제를 갖고 있게 되겠죠.

두 번째, ITAC(IT Application Control, IT 응용통제)는 정말 루틴하지 않은데 전산감사본부에서는 할 일이 잘 없습니다. ITAC는 ITGC의 대상이 되는 통제들로 Process Level에서 식별한 Automated Control을 의미합니다. 윗 부분에서 언급한 AC가 ITAC랑 같은 말입니다.

이 ITAC자체가 어떻게 설계되어 있고, 어떤 구조로 흘러가고, 그래서 결론은 잘 설계 및 이행되었다 이런식으로 통제 하나 하나에 대한 조서를 작성해야 합니다. 근데 이 ITAC야 말로 회사마다 통제가 다 다릅니다. 왜냐면 회사마다 갖추고 있는 시스템이 다 다르기 떄문이죠. 시스템의 종류가 똑같을 지 언정 회사 규모와 사업 종류에 따라 복잡도도 다를 것이며, Test 대상이 되는 통제와 연계된 시스템의 수도 다를 것이기 때문에 ITAC 업무는 루틴함과 거리가 매우 멉니다. 

근데 ITAC Test는 수준은 높지 않을지라도 회계감사본부에서 수행할 수 있는 경우가 대부분입니다. 결국 회계감사본부에서 하기 힘든 복잡한 ITAC들만 전산감사본부가 가져오게 되는데, 이것도 자주 마주할 일은 없습니다.

세 번째로 DA(Data Analysis). DA는 회계감사본부의 기말감사 절차를 도와주기 위해서 실시합니다.

DA(Data Analysis)는 말 그대로 데이터 분석인데, 여기서 분석 대상이 되는 데이터는 회계법인이다보니 '감사대상회사의 데이터'를 말합니다. 즉, 1년 동안 발생한 전체 매출, 비용, 재고, 원가 데이터 등을 뽑아서 분석을 한다는 것이죠.

재무제표 감사 팀에서는 해당 데이터가 생성, 가공, 배분 및 재무제표로 집합되는 과정에서 재무제표에 중요한 왜곡표시를 초래할 수 있는 여러 '위험 시나리오'를 파악 및 작성합니다.

그 후, 전산감사본부에서는 실제 해당 시나리오에 따라 추가적으로 검토해야되는 Outlier 데이터들이 있는지 분석해주는 일을 합니다.

근데 이 시나리오라는 게 통상적으로 잘 안바뀝니다. 그럴 수 밖에 없는게 회사가 무슨 사업 환경이 갑자기 큰 폭으로 변동되거나, 제조업을 하는 회사가 갑자기 다 떄려치고 금융업을 한다거나 하는 어메이징한 상황이 나오지 않는 이상에야 통상적으로 위험의 종류가 달라질 이유가 없기 때문이죠. 그래서 최초로 작성한 시나리오 리스트에서 시나리오 자체가 변경되거나 삭제되는 경우는 많지 않습니다. 분석할 때도 재무제표 감사팀이 '작년과 동일한 시나리오를 작년과 동일한 방법으로 분석해주세요'라고 요구하는 경우가 대부분입니다.

그래서 처음이 힘들지 그 뒤부터는 그냥 적당 적당히 하게 됩니다. 처음에는 엄청 복잡해보이고 방대한 분량의 조서에 깜짝 놀라게 되는데 한 두번 하다보면 적응이 되는 느낌입니다.

물론 루틴하지 않은 DA도 있습니다. 바로 제조간접원가에 대한 DA죠. 제조간접원가는 특성상 원가에 대한 직접 추적이 불가능하여 회사가 정한 기준대로 원가를 집합시킨 후 배부하는 과정을 따르는데, 여기서 발생하는 위험에 대해 시나리오를 작성하고 분석을 진행합니다. 근데 원가를 배부하는 과정은 회사마다 정말 다 다르고, 배부하는 과정도 1차배부, 2차배부로 시작하여 6차배부가 있는 경우도 허다해서 이 부분은 루틴한 업무라고 말하긴 힘들 것 같습니다.

그런데 제조간접원가 DA 같은 경우는 잘 마주할 일이 없습니다. 업무 특성상 ERP 시스템에 대한 전문적인 지식이 있으면 좋기 떄문에 쉽게 아무한테나 시키지도 않으며, 그런 지식이 있는 사람이 수행하는 경우가 일반적입니다.