Part16. 사전/사후 리스크 관리 : 실상은 어려워
IIA의 3차 방어선(3rd Line of Defense) 모델이 있다.
1. 1차 방어선(1st line of defense) : 현업을 수행하는 사업부문
2. 2차 방어선(2nd line of defense) : 리스크 관리, 컴플라이언스(준법), 내부회계 관리, 재무, 인사 등의 업무를 담당하는 감독조직
3. 3차 방어선(3rd line of defense) : 독립적·객관적으로 이사회, 감사위원회 등 지배기구에 보고를 행하는 내부감사 기능
국제적인 내부통제 및 리스크 관리 Flamework에서 정의된 개념으로,
간단히 말하자면 1차는 업무 담당 부서가 스스로 수행하는 내부통제 활동이고, 2차는 리스크 및 준법 부서의 감독, 지원 기능 역할을 하며, 3차는 내부감사부서의 독립적 검증 기능으로 구성된다. 이렇듯 어느 한 곳에서 제대로 된 역할 수행이 되지 않으면, 내부통제는 견고하지 않다고 말할 수 있게 된다. (이하 운영, 기능, 역할 등 깊은 내용은 생략)
대학 졸업 후, 취업하고서부터 가계부를 계속해서 써오고 있다. 나름 관리를 해보겠다는 의지의 표현으로 DB분석, 그래프 가시화와 같이 작업도 하고 있는데, 그럼에도 어떠한 소비 지출을 막지 못하기도 하고 흐트러지기도 한다. 나 자신에 대한 통제도 어려운데, 작은 지구인 기업 안에서 일어나는 전사적 통제는 상당히라는 단어를 넘어서는 정도로 어렵다. 그 와중에 이미 벌어진 사후 리스크를 관리할 때면 그야말로 한숨이 땅으로 꺼지기도 한다.
한 번은 '00 프로젝트' 감사를 수행했다. 이미 수년이라는 시간의 경과가 지났고, 몇 백억이라는 투자가 일어난 프로젝트가 있는데 다 완료되는 시점에서 감사를 하려니 막막하고 힘든 게 사실이었다. 관련 기업체 파산, 담당자 부재, 서면 누락, 금액 불분명 등 고위급 특정 누군가는 어쩌면 결과는 이미 알고 있을지도 모르지만 결국 더 나은 방안, 해결책, 확인하지 못한 수익성 사안을 위해 주문이 내려왔을 거라 지레 짐작해 보았다.
깊이 있는 세세한 정보들을 알게 되었고 보전성 여지 가능성이 있는 일부 항목도 확인되었으나, 결과적으로는 지금 즉, 현재가 아닌 앞으로의 예방조치로써만 도움이 되었다.
결과가 어떠하던 분명 누군가는 해야만 하고, 필요한 일이다.
결과를 얻기 위한 소용돌이 과정의 역경은 오롯이 '나'만이 알 수도 있다.
하지만 그럼에도 이 모든 건 언젠가 자신의 자산이 되어 돌아올 경험이라 생각하기에, 고수하고 싶다.