기사
컴플라이언스 감사의 업무 가이드 : 정의, 유형, 프로세스
컴플라이언스 요건은 거의 모든 조직에 적용됩니다. 컴플라이언스 감사는 조직이 해당하는 표준, 규칙, 규정을 준수하는지를 검증합니다. 또한 규정 위반으로 이어질 수 있는 미비점을 식별하는 데도 도움을 줍니다.
컴플라이언스 감사는 각종 규정에 따라 세부적으로 달라지지만, 기본 원칙은 대부분의 조직에 적용됩니다. 이 문서에서는 컴플라이언스 감사에 해당하는 것과 해당하지 않는 것을 살펴보고, 컴플라이언스 감사의 유형과 프로세스도 함께 알아봅니다. 구체적인 규정에 관해서는 요약된 내용을 참고할 수 있으며, 더욱 심층적인 정보가 나와 있는 기타 문서는 연결 링크를 통해 확인할 수 있습니다.
컴플라이언스 감사란?
컴플라이언스 감사란 조직이 관련 법률, 규칙, 규정, 표준을 준수하는지 평가하는 것입니다.
컴플라이언스 감사는 조직을 과실로부터 보호하는 일종의 안전장치로서 책임, 준수한 거버넌스, 투명성을 증진합니다.
또한 약점과 미흡점을 사전에 파악할 뿐만 아니라 규정에 대한 적합성을 확인하거나 비적합성을 밝혀내기도 합니다.
컴플라이언스 감사는 해당하는 감사 유형에서 지정하는 접근 방식과 프로세스에 따라 진행됩니다. 또한 감사는 컴플라이언스를 올바르게 이행하는 데 필요한 기준과 보고서가 갖춰야 할 요건을 지정합니다.
공식적인 컴플라이언스 감사에 앞서 주어진 지침을 따라 내부 감사를 먼저 수행하는 경우도 있습니다. 그 목적은 미흡점을 파악하고 시정하여 양호한 결과를 사전에 확보하는 것입니다.
감사 보고서에는 컴플라이언스 요건에 따른 조직의 강점과 단점이 명시됩니다. 보고서에서는 보안 정책 및 사용자 액세스 관리에서부터 위험 관리 계획과 인사 활동에 이르는 모든 주제를 아우릅니다. 컴플라이언스 감사 보고서에는 감사 담당자가 알아낸 모든 사실이 기록되며, 일반적으로 각 감사 유형에 맞게 설계된 프레임워크를 따라 작성됩니다.
컴플라이언스 감사는 독립 또는 제삼자 감사 담당자가 수행합니다. 이들은 감사 프로세스 실무 경험과 감사 기준에 관련된 전문 지식을 제공합니다. 컴플라이언스 감사를 수행하는 감사 담당자는 개인적 신뢰도와 전문성을 바탕으로 조사 결과와 보고서의 정확성을 보장해야 합니다.
컴플라이언스 감사에 관해 주지해야 할 사실은 감사가 모니터링 도구가 아니라는 점입니다. 둘은 혼동되는 경우가 많은데, 컴플라이언스 감사는 고정된 특정 시점의 현황에 초점을 맞추는 반면 모니터링 시스템은 지속적인 평가를 수행하여 문제가 발생하면 실시간으로 이를 식별하며 관리 체계가 변화하는 요건을 계속해서 충족하는지 확인합니다.
정부에 대한 컴플라이언스 감사
리마 선언(1977년 페루 리마에서 개최된 제9회 국제최고감사기구회의에서 채택)은 정부 기구 감사를 위한 최고의 표준으로 평가받고 있습니다. 리마 선언은 감사의 기본적인 구성 요소와 독립적이고 객관적인 컴플라이언스 감사 보고서를 작성하는 데 필요한 사항을 상세히 제시합니다.
유엔 총회는 리마 선언에서 확립된 원칙들이 ‘최고감사기구의 권한을 강화하여 공공 행정의 효율성, 책임성, 효과성, 투명성을 증진’한다고 언급합니다.
컴플라이언스 감사의 목적
컴플라이언스 감사는 각기 다른 목적을 갖고 있지만, 모든 감사에 포함되는 공통 목적은 다음과 같습니다.
- 조직 내부 통제의 효과성 평가
- 규정 위반에 대한 과태료 및 기타 제재 발생 방지
- 감사 기준에 대한 조직의 준수 수준을 상세히 파악
- 조직이 규칙, 규정, 표준을 얼마나 잘 준수하는지 측정
- 감사 프로세스를 통해 발견된 미흡점을 지적하고 컴플라이언스 이행을 위한 시정 조치 촉구
내부 감사와 컴플라이언스 감사
내부 감사 | 컴플라이언스 감사 |
|---|---|
-조직을 대신하여 직원 또는 도급업체가 실시함 | 표준화 기구, 정부에서 제시한 규범, 표준, 규정의 준수 여부 파악에 중점을 둠 |
한편 내부 감사와 컴플라이언스 감사의 공통점은 다음과 같습니다.
- 감사 유형과 관계없이 감사 담당자와 감사팀은 감사 대상 분야와 직접적 연관이 없어야 함
- 내부 감사와 컴플라이언스 감사 모두 미흡점을 파악하고 이를 해결하기 위한 권장 조치를 제시함
컴플라이언스 감사의 유형
내부 감사 및 컴플라이언스 감사의 필요성을 명시하는 표준, 규칙, 지침, 법률의 예시는 다음과 같습니다.
불필요한 음란 및 광고물 발송 관리법(CAN-SPAM 법)
미국 연방거래위원회(FTC)가 시행한 연방법으로, 상업용 이메일에 대한 규칙을 정하고 있습니다. 이메일 메시지의 내용 및 수신자의 향후 이메일 메시지 수신 거부권에 대한 요건을 정의합니다.
미국 메디케어 및 메디케이드 서비스 센터(CMS, 이전의 보건의료재정청)
미국 보건복지부(HHS) 산하인 CMS는 메디케어 및 메디케이드 기금을 감독하며 자금이 올바르게 사용되고 추적되는지 확인하는 컴플라이언스 감사를 통해 규정을 집행합니다.
미국 환경보호청(EPA)
EPA는 주, 부족, 기타 연방 당국과 협력하여 청정수법(CWA), 청정대기법(CAA), 독성물질관리법(TSCA)과 같은 환경법을 준수하도록 합니다. 이를 위한 컴플라이언스 감사에서는 검사 및 테스트가 수행됩니다.
미국 금융산업규제기구(FINRA)
FINRA는 정부 기관은 아니지만 미국 증권거래위원회(SEC)와 긴밀히 협력하여 자금 세탁 방지(AML) 및 사이버 보안 거버넌스와 관련된 규칙을 비롯해 다양한 규칙을 집행합니다. FINRA는 라이선스, 광고, 일상 업무와 같은 분야를 검토하는 연간 단위의 컴플라이언스 감사를 수행할 권한이 있습니다.
연방정보보안현대화법(FISMA)
FISMA 컴플라이언스는 연방 시스템과 상호작용하는 모든 연방 기관, 주 정부 기관 또는 계약을 맺은 협력 조직에 요구됩니다. 이는 민감한 정보를 보호하는 보안 표준 준수 여부를 평가합니다.
일반데이터보호규정(GDPR)
GDPR 컴플라이언스는 개인 데이터의 수집, 저장, 액세스, 처리 방식을 포함하여 개인의 데이터와 개인 정보를 규제하고 보호하기 위해 법률에 명시된 규칙을 조직이 준수하는지 평가합니다.
건강보험양도책임법(HIPAA)
의료 기관은 HIPPA 컴플라이언스 감사를 통해 전자 기록, 물리적 문서, 절차 등의 보호 대상 건강 정보(PHI)를 무단 액세스나 사용으로부터 충분히 보호하고 있음을 확인받아야 합니다.
인사(HR)
인사 컴플라이언스 감사의 목적은 내부적인 업무 평가 및 외부 규칙과 규정의 준수 여부를 확인하는 것입니다. 예컨대 시간 외 수당 지급 대상 근로자, 인사 기록의 미흡성, 보상과 같은 다양한 영역에서의 연방, 주, 지방 고용법과 규정 준수 여부를 확인합니다.
미국 국세청(IRS)
IRS는 컴플라이언스 감사를 통해 법인 및 비영리 단체가 규칙을 준수하며 법규에 맞는 세금을 기한 내에 납부하는지 확인합니다.
산업안전보건법(OSHA)
OSHA 컴플라이언스 감사는 조직이 모든 근로자(사무실, 제조 시설, 건설 현장의 근로자 등)를 보호하는 데 필요한 보건 및 안전 표준을 준수하는지 평가합니다.
지불 카드 산업 데이터 보안 표준(PCI DSS)
PCI DSS 컴플라이언스는 정부 기관이 아닌 산업 표준 기구에서 시행합니다. PCI 위원회는 업계의 유수 기업들(American Express, Discover, JCB International, MasterCard, Visa 등)로 구성되어 있습니다.
주 및 지방세(SALT)
주 및 지방 감사 담당자는 SALT 감사를 실시하여 기업과 개인이 소득세, 판매세와 같은 주 및 지방세를 정확히 납부했는지 확인합니다.
사베인스 옥슬리법(SOX)
SOX 컴플라이언스 감사는 재무 기록과 운영 통제를 중점적으로 살피며 경영진에게 조직의 재무제표에 기재된 내용에 대한 책임을 부과합니다.
사회 규범 컴플라이언스
사회 규범 컴플라이언스 감사는 조직의 전반적인 운영, 행동 강령, 사회적 책임 수행 수준을 평가합니다.
지속 가능성 컴플라이언스
지속 가능성 컴플라이언스 감사는 조직이 지속 가능한 운영을 뒷받침하는 관행과 절차를 도입하기 위해 어떤 노력을 하는지 검토합니다.
컴플라이언스 감사 프로세스
모든 유형의 컴플라이언스 감사에는 명확한 문서 기록, 소통, 품질 관리가 필요합니다.
어떤 유형의 감사든 기본적으로 적용되는 프로세스가 존재하며, 감사 담당자는 독립성을 바탕으로 모든 관련 자료에 제한 없이 접근할 수 있어야 합니다.
감사 대상 분야, 참여 부서, 보고 요건 등은 컴플라이언스 감사의 유형에 따라 달라집니다.
컴플라이언스 감사 계획 수립
컴플라이언스 감사 계획 수립은 양질의 감사를 효율적, 효과적으로 적시에 수행할 수 있게 해줍니다. 컴플라이언스 감사 계획을 수립할 때 고려해야 할 주요 사항은 다음과 같습니다.
- 참여자에게 사전 통지
- 목표와 범위 정의
- 주요 자료의 위치 파악
- 컴플라이언스 감사의 주요 기준 확립
- 발생 가능한 잠재적 문제 파악
- 주요 감사 영역 식별
컴플라이언스 감사 수행 – 증거 수집
컴플라이언스 감사의 핵심은 문서 기록입니다. 감사 담당자는 감사 기준에 따라 규정을 준수하거나 위반한 증거를 수집하고 기록합니다. 이렇게 작성된 문서는 감사 결론 도출 시 최종 평가에 활용됩니다.
수집되는 증거는 감사 유형과 조직에 따라 달라지지만, 감사 프로세스는 동일합니다. 감사 담당자는 결론 도출에 사용한 증거를 충실하게 기록해야 합니다.
컴플라이언스 감사 시 증거를 수집할 때 고려해야 할 주요 사항은 다음과 같습니다.
- 필요시 증거 수집을 위해 공식 인터뷰 실시 및 기록
- 인프라와 근무 공간을 점검하고 필요시 직원을 직접 관찰
- 감사 결과를 설명하는 데 필요한 증거의 충분성(분량)과 품질에 관한 기준 충족
- 감사 대상 분야와 관련성이 있는 합리적인 증거 확보
- 컴플라이언스 감사 체크리스트를 사용해 모든 관련 자료의 수집 여부 확인
컴플라이언스 감사 수행 – 증거 평가 및 결론 도출
감사 담당자는 수집한 기록과 문서를 검토하여 조직이 컴플라이언스 요건을 충족하는지 확인해야 합니다. 또한 이 단계에서 컴플라이언스 위반을 야기한 미흡점을 파악합니다. 이 단계에서 고려하는 기준으로는 증거의 신뢰성과 타당성이 있습니다.
컴플라이언스 감사 결과 보고
컴플라이언스 감사는 결과 보고와 함께 마무리됩니다. 조직이 감사 기준을 충족하는 경우 해당 증거를 보고서에 참조 자료로 첨부해야 합니다.
조직이 규정을 위반한 부문이 있으면 해당 사안의 성격, 범위, 원인, 중요성, 영향을 보고서에 상세히 밝혀야 합니다. 또한 해당 문제가 단발적인 사안인지 아니면 구조적인 사안인지도 컴플라이언스 감사 보고서에서 밝혀야 합니다.
컴플라이언스 감사 보고서 작성 시 고려할 사항은 다음과 같습니다.
- 컴플라이언스 이행에 필요한 시정 조치를 상세하게 제시
- 보고서에 첨부된 증거를 쉽게 확인할 수 있도록 체계적으로 정리
- 증거를 통해 감사 담당자의 결론을 뒷받침
- 수행된 감사 절차의 전 과정을 상세히 설명
- 충분한 정보를 바탕으로 결론을 도출하게 된 근거를 설명하여, 감사에 관여하지 않은 숙련된 감사 담당자가 결론을 이해할 수 있도록 할 것
- 규정 위반으로 이어진 미흡점이 발생한 원인을 제공한 개인들의 책임 및 관여도 명시
- 컴플라이언스 감사가 관련 표준에 따라 실시되었으며 해당 감사 유형의 기준을 따랐음을 입증
컴플라이언스 감사가 제공하는 기회
컴플라이언스 감사는 번거로운 일일 수 있지만 감사를 수행함으로써 기업은 귀중한 인사이트를 얻게 됩니다. 이를 통해 규칙과 규정을 준수하여 과태료를 비롯한 각종 제재를 피할 수 있습니다.
또한 컴플라이언스 감사는 보안 침해 또는 기타 중대 문제로 이어질 수 있는 미흡점을 파악할 수 있게 해줍니다. 아울러 컴플라이언스 감사의 결과는 시정 조치에 대한 지침이 될 수 있습니다. 컴플라이언스 감사를 긍정적 시각에서 바라본다면 관련 프로세스를 원활하게 진행하여 전반적으로 더 나은 결과를 달성할 수 있을 것입니다.
