감사팀은 뭐해요?
3차 방어선 체계 구축
어제와 다른 오늘인가?
지금까지 살면서 많은 명언을 들었지만 기억에 남는 명언은 별로 없다. 그러니까 당연히 실행으로 옮긴 명언은 더 적다. 그나마 실행으로 옮긴 명언이 한가지 있다. “다른 결과를 기대하면서도 같은 행동을 계속 반복하는 것”이라는 명언인데, 이 말은 어떤 단어에 대한 정의 일까? 바로 아인슈타인이 ‘정신병’ 이라는 단어에 대해서 정의한 내용이다. 이 말에 많은 충격을 받았다. 지나온 시절을 뒤돌아보니 어제가 오늘 같고, 작년이 올해 같았다는 생각이 들었다. 그래도 학교를 다닐 때는 학년이라도 바뀌고, 친구라도 바뀌니까 연도별로 무엇을 했는지 기억이 나는데, 직장에 다니면서부터는 그 해에 무엇을 했는지 구분이 안되었다. “아! 이렇게 살면 그러면 내일도 오늘 같고, 내년도 올해 같겠구나?” 하는 생각이 들었다. 그게 꼭 나쁘다는 의미는 아니지만, 매일 똑같이 생각하고 생활하면서, 속으로는 더 나은 미래를 기대하고 있는 내가 참 한심해 보였다. 그래서 “어제와 다른 오늘을 살아 보자.” 라는 생각으로 글을 쓰게 되었다.
사실 대부분의 직장인들은 본인 팀 외에 다른 팀이 무엇을 하는지 잘 모른다.
관심이 없을 수도 있고, 알 필요가 없을 수도 있다.
감사 업무를 하면서 다른 팀 직원들과 점심식사를 많이 한다.
별다른 목적이 있는 것은 아니고, 업무 협조에 대한 고마움의 표시이다.
점심 식사를 하자고 연락하면 반응은 크게 2가지이다.
1) "왜요?"
난감하다. "아... 자료 잘 챙겨주시고, 설명도 잘해주셔서 감사해서요."
막상 만나서 식사를 하면, "감사팀한테 연락받으면 괜히 겁부터 나요."라고 말한다.
이해한다. 나 역시도 타 팀에서 연락이 오면 무슨 일이 터진 것 같아 덜컥 겁이 난다.
2) "좋아요."
감사에 대한 거부감이 낮은 직원도 많다.
어찌 됐든 감사 업무를 경험한 직원들은 감사팀이 뭐하는지 궁금해한다.
회사에는 3차 방어선이 존재한다.
첫 번째로는 1차 방어선인 현업 부서다. 각 팀장들이 영업팀, 개발팀, 생산팀 등에서 사인을 하며 1차 방어선 역할을 수행한다.
두 번째로는 2차 방어선으로 공통 부서들인 IT, 인사, 재무, 법무 등이 있다.
예를 들어, 현업부서가 계약을 체결할 때는 법무팀의 자문을 받는 것이다.
1차 방어선 만으로는 위험하기 때문에 2차 방어선을 활용하여 리스크를 예방한다.
마지막으로 3차 방어선은 감사팀이다.
감사팀은 1차 방어선과 2차 방어선의 검증과 확신을 제공한다.
3차 방어선 개념
감사팀은 회사의 경영 활동 전반에 대한 내부감사를 수행하여
경영진의 의사결정을 지원한다.
감사팀의 주요 업무는 내부감사다. 내부감사도 경영전략과 마찬가지로 다른 부서들의 나아갈 방향을 조언해 주는 역할을 한다.
하지만, 경영전략은 기업의 성장과 성과에 초점을 두는 반면
내부감사는 리스크 관리 측면에서 접근한다는 차이점이 있다.
“멀티플레이어”
감사인을 한 마디로 표현한다면 ‘멀티플레이어’라고 할 수 있다.
다양한 사업영역에 대한 감사를 하려면 구매, 제조, 인사, 총무, 디자인, 개발, IT, 물류, 최근에는 AI 등에 대한 업무적인 지식을 습득해야 하기 때문에 감사는 멀티플레이어가 되어야만 한다.
“한 번의 내부감사를 마치기까지”
먼저 감사대상 선정을 위해서는 리스크 평가를 해야 한다. 해당 업무에 대한 고유리스크를 식별하고 통제 수준을 고려하여 리스크의 높고 낮음을 평가해야 한다. 리스크를 평가할 때는 영향도와 빈도를 고려한다. 감기처럼 리스크 빈도는 높은데 영향도가 낮은 것이 있을 수 있고, 반대로 암처럼 빈도는 낮은데 영향도가 큰 것도 있다. 문제가 발생할 수 있다 하더라도 대응방안이 잘 갖춰져 있으면 괜찮지만 통제가 미흡하다면 감사대상으로 선정한다. 즉 고유리스크가 높다고 무조건 감사 대상이 되는 것이 아니다. 통제 수준이 적절하다면 감사 대상이 되지 않을 수 있는 것이다. (리스크의 개념에 대해서는 추후 알아보려고 한다.)
이처럼 리스크를 고려하여 감사대상 별로 목적, 범위, 기간 등에 대한 계획을 수립하게 된다.
리스크가 높으면 감사 기간도 길게 잡고 인력도 숙달된 사람들로 구성한다.
한 팀의 업무 전반을 대상으로 하기도 하고, 일부 업무에 대해서만 감사하기도 한다.
감사를 하게 되는 원인에 따라서는 정기감사와 확인감사로 분류한다. 정기감사는 리스크 평가 결과에 따라 순차적으로 하는 감사이고, 확인감사는 제보나 리스크 발생 시 전후 상황을 파악하는 감사다.
내부감사에 들어가면 기본적으로 인터뷰를 하면서 통제 수준을 검증한다.
예를 들어 실제 리스크가 발생했을 때 현업팀이 규정이나 매뉴얼에 명시된 내용대로 대처했는지 내역을 확인하고, 업체들과 계약한 내용을 보면서 계약이 불리하지는 않은지, 위험요인은 없는지 검증한다. 이렇게 감사를 수행하면서 증빙의 충분성, 신뢰성, 유용성, 합목적성을 확보하여 감사 결론을 도출한다. 그리고 피감사부서와 면담을 하면서 감사 결론에 이견이 없는지 확인하고 모니터링 계획을 수립한다. 이후 3~6개월 뒤 모니터링까지 마치면 공식적인 감사가 끝난다.
“몸 담았던 현장을 개선해 나가는 일”
감사팀에 오기 전에는 ‘감사’하면 지적, 적발의 느낌이 강했는데 실제 감사는 그렇지 않았다. 오히려 현업이 문제점을 개선할 수 있도록 촉진자(facilitator) 역할을 한다.
‘왜 이렇게 했어요?’가 아니라 ‘어떻게 해야 할까요?’라고 질문을 던지는 거다.
“감사 직무를 수행하기 위한 준비”
‘사람’이 하는 ‘경영활동’에 대한 감사이므로 두 가지 요인에 대한 관심이 많다면 감사 업무에 많은 도움이 된다. 기본적인 경영 관련 서적과 심리학 관련 서적을 읽어두면 좋다. 경영학 서적을 읽으면 다른 팀의 업무를 이해하는 데 도움이 되고, 심리학 서적은 사람의 마음을 읽는 데 도움이 된다.
감사 분야를 공부하다 보면 ‘부정((不正)의 3요소’가 나온다. 부정의 3요소는 1. 압박, 2. 기회, 3. 자기 합리화이다.
예를 들면 매출을 올리라고 지나치게 압박을 가하면 실제로는 매출이 아닌데 제품을 출고시켜서 매출로 보이도록 부정을 저지르자는 생각이 들 수 있다. 그런데 그러려고 했더니 법무팀, 재무팀을 거쳐야 하는 등 절차가 복잡하다면 기회가 없어서 부정이 발생하기 어렵다. 하지만 그런 절차가 허술하다면 기회가 생기는 것이다. 마지막으로 자기 합리화는 ‘내가 이 회사를 위해서 얼마나 열심히 했는데’. ‘털어서 먼지 안 나는 사람이 어디 있어’라고 생각하는 것이다. 이 세 가지 요소 중 ‘압박’과 ‘자기 합리화’는 심리적인 요소이므로 감사 직무를 잘 수행하기 위해서는 사람의 심리에 대해서도 관심을 가질 필요가 있다. 그 밖에 압박이 가해지는 상황에서 사람이 어떤 결정을 내리는지는 심리학 책에도 많은 사례가 나와 있다. ‘스마트한 생각들’, ‘스마트한 선택들’이라는 책을 추천하고 싶다.
감사업무에 적합한 성격이나 능력은 따로 있다고 생각되지 않는다. 어떠한 직무든 기본적인 근면, 성실함과 업무에 대한 열정이 있어야 직무를 잘 수행할 수 있듯이, 감사도 동일하다고 생각한다. 다만 공인내부감사사(CIA)나 공인정보시스템감사사(CISA) 자격증이 있다면 직무 수행에 많은 도움이 된다.
“관찰, 통찰, 성찰”
회사 생활을 할 때, ‘관찰’, ‘통찰’, ‘성찰’의 시기가 있다고 생각한다.
입사하자마자 하고 싶은 일만 하겠다고 하면 문제가 될 수 있는데, 처음 입사해서는 관찰을 많이 해야 한다. 회사와 업무에 대해 충분히 관찰하고, 그 일이 왜 그렇게 되고 어떤 의미가 되는지 통찰하는 시간을 가져야 한다. 이후에는 어떤 게 잘못됐고 어떻게 더 나은 방향으로 나아갈 수 있을지 돌아볼 수 있는 성찰이 필요하다.
촉진자
감사인은 촉진자이다.
개선해야 할 프로세스를 찾아내고 유관부서들이 잘 해결해 갈 수 있도록 촉진한다.
감사인의 경력 개발 로드맵은?
처음부터 감사팀 업무를 해야겠다고 생각하는 직장인은 없다.
대부분 마케팅, 전략, 기획, 회계, 인사, 구매 등 전문적인 경력을 쌓을 수 있는 직무를 선호한다.
당연히 나라도 그럴 것이다.
왜 그런것일까?
감사 직무를 잘 모르기 때문이다.
회사 생활하면서 내부감사를 받아 본 경험이 많지 않을 것이고
어쩌면 한번도 접하지 못할 수 있다.
그렇다 보니, 막연하게 내부감사하면, 무엇인가 조사하고, 뒤지고, 캐묻고 할 것 같은 느낌만 든다.
하지만 감사업무는 종합예술이다.
내부감사의 영역은 사내에서 발생하는 모든 업무다.
즉, 마케팅, 전략, 기획, 회계, 인사, 구매 등 각 직무에 대해서 감사를 해야한다.
알아야 면장을 한다는 말이 있듯이,
뭘 알아야 지적을 하던가 훈수를 둘 수 있다.
따라서 감사인은 부단히 공부를 해야한다.
감사팀원이 되는 방법은 크게 2가지이다.
현업에서 직무를 수행하다가, 감사팀으로 전배되는 경우가 있고,
처음부터 감사팀의 신입직원으로 채용되는 경우다.
아무래도 현업에서 담당하던 직무가 있는 것이 더 유리하다.
적어도 내가 담당했던 직무에 대해서는 잘 알고 있으니
해당 직무에 대해서는 시너지를 낼 수 있다.
그렇다면, 감사팀원으로 전배가야 하는 상황이 된다면 어떻게 해야 할까?
당연할 수 있지만, 무조건 가라고 추천한다.
감사업무를 통해 크게 3가지 역량이 향상된다.
1) 회사의 전반적인 업무 흐름을 이해 할 수 있다.
내부감사를 한 건 씩 수행할 때마다 그 업무에 대해 깊이 알 수 있다.
앞, 뒤의 업무가 어떻게 연결되는지 알게 되고, 이는 회사의 큰 그림을 보게 만든다.
쉽게 말해서 숲을 보는 관점이 생긴다.
현업에서는 나무를 가꾸었다면,
감사팀에서는 숲을 가꿀 수 있다.
2) 문제점을 도출하고 해결하는 역량이 강화된다.
지적만하는 감사는 의미가 없다. 지적은 아무나, 누구나, 언제나 가능하다.
근본원인을 도출하는 노력을 하게 되고,
이를 통해 문제해결에 가깝게 다가가는 실마리를 찾게 된다.
사실, 이 부분은 개인마다 편차가 있을 수 있으니, 부단히 공부해야 한다.
앞서서, 회사의 전반적인 업무 흐름을 알 수 있다고 했지만
이를 활용하는 역량은 개인에게 달려있다.
3) 임원진, 대표이사에게 보고하는 역량이 강화된다.
즉, 경영진에게 인사이트를 주기 위한 보고서를 만들고
논리적으로 전달하는 역량이 강화된다.
평생 감사인으로 회사 생황을 할 수 있지만
다시, 현업으로 복귀할 수도 있고
다른 직무로 전환 할 수 도 있다.
여러 직무에 대해서 감사를 해 보았기 때문에 가능한 것이다.
앞서 3가지 역량은
직장인에게 필요한 역량인데, 감사업무를 통해서
자연스럽게 강화되는 역량이다.
내부감사 직무를 고민한다면, 주저없이 선택하라고 추천한다.