내부 부정은 모든 조직이 직면하는 운영 위험의 큰 부분을 차지합니다. 특히 전 세계 여러 국가에 사업 지분을 두고 있는 다국적 기업의 경우 더욱 그렇습니다. 회사를 대신하여 사업 결정을 내리는 중요한 직책에 수천 명의 직원이 있기 때문입니다. 따라서 모든 직원이 항상 회사의 원칙에 따라 행동하도록 보장하는 것은 어려운 일입니다.

이 문제는 세기의 전환기에 부각되었습니다. 2000년대 초 전 세계 경제를 뒤흔든 엔론 스캔들 또한 모든 조직에 적절한 내부 통제가 필요하다는 것을 강조했습니다. 엔론 스캔들에 대응하여 미국 정부는 사베인스-옥슬리법(SOX)이라는 획기적인 법안을 통과시켰습니다. 이 법의 조항에 따라, 기업의 경영진과 감사인은 내부 통제 절차를 명확하게 문서화하고 인증을 받을 공동 책임이 있습니다.

연구에 따르면 전 세계 내부 부정의 50% 이상이 제대로 정의된 내부 통제의 부재로 인해 발생한다고 합니다. 이제 각 기업은 이러한 프로세스를 문서화해야 하므로, 후원 기관 위원회(COSO)는 모든 조직이 내부 통제를 개발하고 문서화하기 위해 따를 수 있는 프레임워크를 마련했습니다. 이 시스템은 전문가들이 설계했으며, 모든 조직이 위험 관리 노력을 강화하는 데 사용할 수 있습니다. COSO는 5개 주요 협회로 구성된 위원회입니다.

COSO 프레임워크란 무엇입니까?

COSO 프레임워크는 1992년에 처음 개발되었습니다. 오랜 세월에 걸쳐 여러 차례 수정과 보완을 거쳤습니다. 이 모델은 3차원으로 구성되어 있어 종종 정육면체 형태로 표시됩니다.

첫 번째 차원: 함수

COSO 프레임워크는 세 가지 기능 부문에서 취해야 할 조치를 언급합니다. 해당 조치는 다음과 같습니다.

1. 운영 : COSO 프레임워크는 내부 통제를 개발하기 위해 조직의 운영을 철저히 연구해야 한다고 제안합니다.

2. 보고 : COSO 프레임워크는 또한 내부 또는 외부 보고에 포함되는 모든 정보 출처에 대해 정확성을 위한 감사를 실시해야 한다고 제안합니다. 이러한 감사는 주기적으로 실시되어야 하며, 회사의 정보 시스템이 시의적절하고, 신뢰성 있고, 투명한 방식으로 작동하도록 보장해야 합니다.

3. 규제준수: 마지막으로, 내부 통제 목표는 회사가 따라야 할 다양한 법률 및 규정과 일치해야 합니다.

두 번째 차원: 레벨

COSO 프레임워크는 내부 통제 관리를 위해 조직을 여러 계층으로 구분해야 한다고 제안합니다. 내부 통제는 자회사, 사업부, 사업부, 그리고 사업체 등 다양한 계층에서 지속적으로 모니터링되어야 합니다.

세 번째 차원: 환경

1. 내부 환경: 회사의 내부 환경은 최고 경영진이 전파하는 문화를 의미합니다. 엔론 사태의 원인 중 하나는 최고 경영진이 전파한 비윤리적 가치가 하위 경영진까지 스며들었기 때문입니다. 이러한 이유로 이사회와 외부 이해관계자들은 최고 경영진이 회사 내에서 부정행위 없는 내부 환경을 유지하려는 의지를 가지고 있는지 예의주시해야 합니다.

2. 위험 평가 : 이는 다양한 유형의 위험을 정기적으로 식별하고 분류하는 시스템을 의미합니다. 조직은 향후 실패로 이어질 수 있는 잠재적 원인을 파악하기 위해 환경을 스캐닝하는 시스템을 갖추어야 합니다.

3. 제어 활동: 통제 절차는 발생할 수 있는 위협을 완화하기 위해 경영진이 수립한 활동입니다. 승인, 조정, 검증과 같은 활동은 누락된 위험이 있는지 확인하기 위해 수행됩니다. 내부 통제는 시스템의 결함을 파악하는 데 도움이 됩니다.

4. 정보 및 커뮤니케이션: 이 단계는 강력한 내부 소통 시스템을 구축하는 것을 포함합니다. 즉, 모든 내부 관계자가 각자의 책임을 명확히 인지해야 합니다. 또한, 외부 관계자에게도 기대하는 바를 명확히 전달해야 합니다. 신속한 문제 해결을 위해 내부 및 외부 관계자 간의 위험 발생 시 이를 단계적으로 보고하는 프로토콜을 마련해야 합니다.

5. 모니터링 : 마지막 단계는 이전 단계에서 취해진 모든 조치를 지속적으로 모니터링하는 것입니다. 내부 통제 시스템을 구축하는 것만큼 내부 통제 시스템을 모니터링하는 것도 중요합니다.

COSO 모델은 다섯 가지 구성 요소가 모두 통합된 시스템으로 함께 작동한다는 점을 강조합니다. 어느 한 구성 요소의 오작동은 다른 모든 구성 요소에도 영향을 미칩니다. 이 프레임워크의 기본 개념은 모든 기업이 사용해야 하는 일련의 도구를 제공하는 것입니다. 이를 통해 특정 조직은 통제 또는 정보 관리를 위해 따르고 싶은 구체적인 방법을 결정할 수 있습니다. 표준화된 모델은 위험 관리 구현을 비교적 쉽게 만듭니다.