내부 감사, 정부 및 공공 회계 보증 직위의 감사자는 리스크 전문가로 간주됩니다. 이들 업무의 본질적인 부분은 재무, 규정 준수, 평판, IT, 사기, 기타 다양한 경제적 리스크 등에 상관없이 비즈니스 리스크를 식별하는 것입니다. 그런데 감사자가 올바른 리스크에 초점을 맞추고 있나요?
표준 리스크 모델을 표면적 수준의 브레인스토밍으로 채울 경우 대개 보안에 대해 잘못 인식하고 리스크를 간과하게 됩니다. 그리고 리스크 관리 제어는 설계, 이행 및 실효성 확인을 담당하는 사람만큼만 효과적이라는 것이 현실입니다.
두 부분으로 구성된 이 시리즈의 1부에서는 감사 환경에서 실제로 중요한 리스크로 범위를 좁혀 살펴보면서 감사자가 파악하고 처리해야 하는 정확한 사항을 명확히 다루겠습니다.
질문 및 경청
“auditor”, 즉 “감사자”라는 단어에 대해 생각해 보면 어원이 “auditory”로, 경청하는 것을 의미합니다. 따라서 감사자는 실제로 “경청하는 사람”입니다. 감사자가 업무를 처리하고 정보를 수집하며 경영진이 리스크를 적절하게 처리하는지 여부를 평가하는 주요 방법은 질문을 하고 답변을 경청하는 것입니다. 감사자가 이러한 과정을 수행할 수 있을 때 리스크-감사 관계가 하나로 결합됩니다.
동료인 다나 피어스(Dana Pearce)는 리스크-감사 관계를 다음과 같이 설명합니다. “리스크 관리는 조치를 취하거나 조치를 취하지 않아서, 예측하거나 예측하지 못해서, 계획했거나 계획하지 못해서 무엇을 얻거나 잃을 수 있는지 이해함으로써 가치를 구축하는 기술입니다.” 감사자로서 우리의 업무는 “무슨 문제가 있을 수 있나요? 어떤 기회를 놓치고 있나요?”라고 묻는 것입니다. 관리 관점에서 물었을 때 이러한 두 질문은 리스크 관리 이니셔티브의 출발점입니다.
핵심 규정 준수 및 통제 리스크 외에도 감사자는 “고객을 잃거나 현금 유동성이 낮아지거나 수익률이 악화되기 시작하면 어떻게 될까요? 소유자라면 어떤 초기 경고 신호에 주의를 기울여야 할까요?”라고 질문해야 합니다. 감사자는 리스크-감사 관계에 대해 더 광범위하게 바라봐야 합니다. 비즈니스 환경과 글로벌 팬데믹 이후 지난 몇 년 동안 변화한 상황을 다시 살펴보면 지금이 리스크 감사 관계를 더욱 강화하고 추진할 수 있는 좋은 시기라는 걸 알 수 있습니다.
알려진 리스크와 알려지지 않은 리스크 관리
비즈니스 환경이 더욱 복잡해짐에 따라 감사자는 새로운 수준의 다양한 리스크를 예상해야 합니다. 이러한 리스크를 예측할 수는 없더라도, 경영진이 리스크의 영향을 완화시키도록 모든 감사자가 취할 수 있는 조치가 있습니다.
기존 리스크
오늘날 감사자가 알고 있는 리스크인 기존 리스크는 두 계층으로 나눌 수 있습니다. 첫 번째 계층에는 재무, 규정 준수, 평판, 기술, 사기 리스크가 포함됩니다. 이 계층은 감사자가 일반적으로 매년, 6개월마다 또는 프로젝트별로 리스크 평가를 수행하는 리스크입니다. 그런데 운영, 공급망, 인프라, 지식 및 경쟁과 같은 두 번째 계층의 리스크를 리스크 평가에 포함하면 감사자가 사고의 폭을 확장하고 조금 더 넓게 접근하는 데 도움이 될 수 있습니다.
블랙 스완 리스크
블랙 스완 리스크는 정말 이례적인 사건입니다. 이는 세계적 팬데믹, 테러리즘, 정치적 불안정, 혁신적 기술 또는 자연재해와 같이 중요도와 영향력이 높으며 확률은 낮은 사건입니다. 또한 한두 시간 동안 시스템을 다운시키는 정도가 아니라 오랜 기간 동안 조직이 비즈니스를 운영하지 못하게 되는 기술의 완전한 실패일 수도 있습니다. 감사자가 블랙 스완 사건을 적절하게 고려하고 있나요? 팬데믹 상황에서 벗어났지만 그 시절의 교훈을 바탕으로 하면 비즈니스 리스크에 파악하고, 감사자가 사전에 잠재적인 블랙 스완 사건에 대해 어떻게 계획해야 하는지 파악하는 데 조금 더 많은 시간을 할애하는 것이 합리적입니다.
예상되는 리스크
예상되는 리스크는 기후 변화 및 해수면 상승과 같은 장래의 잠재적 리스크입니다. 이러한 리스크는 지금 당장은 관련이 없을 수 있지만, 리스크가 다가오고 있다는 리스크 신호나 관찰 가능한 징후가 있을 수 있으므로 감사자는 예상되는 리스크에 항상 주의를 기울여야 합니다.
경영진의 성실성
감사자는 감사 역할에서 그 어느 때보다 더 많은 리스크를 고려해야 합니다. 더욱 복잡한 감사 환경에서는 경영진의 성실성을 고려하는 것이 매우 중요합니다. 여기에는 해당 연도의 목표를 달성하기 위해 노력하는 고위 경영진, 중간 관리자, 감독자가 포함됩니다. 사람들이 극심한 압박을 받고 있기 때문에 경영진의 성실성 수준이 떨어질 가능성이 있나요? 이것은 감사자가 파악해야 할 사항입니다.
회계 시스템 및 정보의 신뢰성
회계 시스템이나 정보의 신뢰성이 떨어지면 어떻게 될까요? 경쟁으로 인한 압력, 현금 흐름의 압력 또는 성장 압력으로 인해 시스템을 적절하게 유지 관리할 수 없다면 어떻게 될까요? 감사자가 이러한 상황의 발생 가능성이 낮다고 생각할 수 있지만, 리스크는 여전히 남아 있으며 고려할 가치가 있습니다.
리스크 및 신뢰 서클
이른바 “신뢰 서클”과 관련하여 세 가지 리스크 근원이 있습니다. 신뢰 서클을 조직 전체의 운영으로 시각화해 보세요. 멀리서 보면 서클에 세 위치가 있음을 알 수 있습니다.