Embed Size (px)
Citation preview
1
세계내부감사인협회 (IIA) 공개문서
3선방어 (Three Lines of
Defense)
2019년 6월
목차
02 개요
03 실무그룹의서한
04 A.배경
06 B. 거버넌스: 조직의성공을좌우하는열쇠
07 C.조직의성공과가치창출에대한기여
11 D.확장가능성, 성숙도, 구조선택및 “흐릿한경계선 (Blurring the lines)”
2
개요
3 선방어 (Three Lines of Defense) 모델은조직의리스크관리및통제에서중요한부분이며, 비판과지지를
함께받고있다. 조직에대한신뢰가공격을받고있는시기이자상시적인변화와격변의시대를맞아
세계내부감사인협회 (The IIA)는 3 선모델의가치와유용성을판단하기위해대대적인리뷰를실시하고있다.
본공개문서는리뷰프로세스의일부로세계각국의이해당사자들로부터다양한의견을구하고자
고안되었다.
현행모델의장점은간결하고이해하기쉬우며,커뮤니케이션이용이하다는것이다. 이사회나지배기구
(Governing Body), 고위경영진및운영관리조직, 리스크및준법감시부서, 내부감사가각각수행하는
역할을설명하고있다. 이모델은리스크관리및통제활동의책임을배분할때혼란, 이해의차이, 업무의
중복을피할수있도록도와주며외부감사및규제당국의영향도강조하고있다.
3 선방어 (Three Lines of Defense) 모델은전세계에서여러국가정부와조직에의해널리채택되었지만,
한편으로는지나치게제한적이며한정적이라는비판의소리를듣고있다. 비판자들은이모델이기회와
위협을함께식별하고분석하여대비하는적극적인방법대신,방어에만초점을맞추고있다고지적한다.
경직된구조와운영의사일로 (Silo)현상으로인해효율성및실효성이저해될수있다. 즉, 현재조직이처한
현실을반영하지못하고있는것이다.
본문서에서는 3 선방어 (Three Lines of Defense)모델을분석하고,이모델을강화하고개선할수있는
방법을제안하고자한다. 그핵심은모델의적용범위를가치의보호로부터가치의창출로확대하는것이다.
조직을리스크로부터보호하기위해존재하는구조와프로세스는효과적인거버넌스및조직의성공에있어
중요하다. 이해당사자의니즈와이익은조직의목적을결정한다. 조직이이해당사자와연계되어있음을
보장하기위해거버넌스메커니즘이존재한다.
이러한맥락에서본문서는조직의성공과가치창출에기여하는모든핵심관계자 (지배기구 (Governing
Body),경영진,리스크,품질,통제및준법감시,독립적인내부감사)에대해설명하고있다. 주로조직의
내부에대해설명하고있지만외부감사,규제당국및기타관련자들의역할도다루었다.
기본모델의유연성과선택의폭은넓다. 역할을어떻게분배,분리,조합할것인가는규제당국의기대와
법적요건은물론이고이해당사자의바람과방향을충분히고려하는가운데각조직의지배기구 (Governing
Body)가내려야할결정이다.또한사일로 (Silo)화를피하기위해참여자들간에긴밀한조율이필요하다.
서로다른역할간의긴밀한협력과함께역할을자유롭게분배할수있는재량으로인해소위 “흐릿한
경계선 (Blurring of the Lines)”이라부르는현상이발생할수있다. 현행 3 선방어 (Three Lines of Defense)
모델로는이를설명할수없고지침을제공할수도없다. 따라서상충하는역할을조합하여부여하지않도록
신중하게고려해야한다. 특히, 독립성유지의중요성을감안하면거버넌스, 리스크관리, 통제장치의실효성
및적절성에대해신뢰할수있는객관적보장의제공이상으로내부감사의책임이확대될경우각별히
주의해야한다. 내부감사가그소임을다할수있도록,보호장치 (Safeguard)가적용될수도있다.
3
3 선방어 (Three Lines of Defense) 모델은지난 20 년간지속적으로그가치를입증해왔다. 본개정안은
신뢰받는이거버넌스툴을현대적으로해석하고강화하여그유용성과가치를확대시키고자한다.
본문서는세계내부감사인협회 (The IIA)가임명하고 Jenitha John 이의장을맡고있는실무그룹의의견과
분석을반영하였다.
4
실무그룹의서한
“3 선방어 (Three Lines of Defense)”는다양한산업분야에서거버넌스, 리스크관리및통제를
둘러싼많은이슈를해결하며봉사해왔습니다. 20여년간, 조직의성공과지속가능한가치창출을
향한여정에서조직들은이모델을기반으로끊임없이변화하는운영환경을헤쳐왔습니다.
이해당사자들의기대치변화와조직의복잡성증가를인정하여, 세계내부감사인협회 (The IIA)는
전세계의거버넌스및리스크관리전문가들과함께 3 선방어 (Three Lines of Defense)모델의
리뷰를시작하였으며시시각각변화하는오늘날의환경에서유관성 (Relevance)을유지하기위해
이모델의강점,응용, 실효성에주목하고있습니다.
저희실무그룹의목표는다양한조직형태와급변하는운영환경에적절하게변용하여적용할수
있는모델을수립하는것입니다. 그를위해서는모델전반에걸쳐거버넌스, 리스크관리, 통제
프로세스간의역동적인연계,조율,협력이필수적입니다.
본리뷰의목적은거버넌스책임자들이 3 선방어 (Three Lines of Defense) 모델로부터시사점을
도출하여조직내에서가치의보존과제고를위해가장적합한구조와자원을구축하고배치하도록
돕는것입니다.
오늘날 3 선방어 (Three Lines of Defense) 모델의효과적인구현방법에대해다양한견해와논리가
등장하고있으며,저희실무그룹은이해하기쉬운토의와방대한협의를통해 3 선방어 (Three
Lines of Defense)를제안하고자합니다.
전세계감사인협회회원들과이해당사자들의집단적인지혜를빌리고자하며, 이중요한주제에
대한세계내부감사인협회 (The IIA)의입장을정의하고모양새를다듬는데도움을얻을수있도록
고견을청하는바입니다. 모쪼록많은분들의참여를부탁드립니다.”
Jenitha John, 실무그룹의장, 세계내부감사인협회글로벌보드 (Global Board)부의장, FirstRand Ltd,
Chief Audit Executive
실무그룹멤버:
Mark Carawan, Chief Compliance Officer, Citigroup
Greg Grocholski, Chief Audit Executive, SABIC
Trygve Sørlie, Independent Service Provider, Trygve Sørlie Services EPF
Shannon Urban, Managing Director, EY
Beili Wong, VP, Audit and Risk, CAE, Liquor Control Board of Ontario
Charlie Wright, Chief Risk Officer, Jack Henry and Associates
본문서에피력된견해는실무그룹멤버의개인적소견으로,해당인물이속한조직의견해를반영하지않음.
5
A. 배경
A.1 3 선방어 (Three Lines of Defense) 모델개정의필요성
3 선방어 (Three Lines of Defense) 모델은 20 여년전처음으로등장한이래, 특히그기원이된금융부문에서
널리인정받아왔다. 세계내부감사인협회 (IIA)는 2013 년발표한입장서 “3 선방어와효과적인리스크관리
및통제 (The Three Lines of Defense in Effective Risk Management and Control)”에서이모델을공식
채택하였으며, 이후거버넌스책임자를위해귀중한툴로써선전해왔다. 이모델의매력은리스크관리및
통제를구성하는다양한역할과활동에대해직접적으로간결하게설명하고있다는점이며 (좀더광의에서
거버넌스를고려하지는못함)그가치는조직이이러한역할과활동에대한책임을분배할때혼란,중복,
이해차이를겪지않도록돕는데있다.
2013 년발표된세계내부감사인협회 (The IIA)입장서 “3 선방어와효과적인리스크관리및통제 (The Three Lines of
Defense in Effective Risk Management and Control)”에수록된그림(번역).제 8 차유럽연합회사법지침 (EU Company Law
Directive) 제 41 조에관한유럽내부감사연구연합 (ECIIA)/유럽리스크평가연합 (FERMA)가이던스활용
이모델이최초로수립된이래조직의성격과조직의운영환경, 3 선각각의역할과그위상,내부감사가
조직의성공에기여하는바등을포함하여많은것이변하였다. 최근몇년간일련의스캔들과위기를겪으며
조직에대한신뢰가크게실추되었다. 그단점을해소할수있다면 3 선방어 (Three Lines of Defense)는
이해당사자들의니즈및이익에가장크게부합하는방식으로, 조직에대한신뢰를재건하고목표를
달성하는데도움이될수있다.
6
A.2 3 선모델의평가
이모델은현대조직의복잡성을해결하는데한계가있다는점때문에수년간비판을받아왔다. 이모델을
예시하기위해도식화된그림도이러한한계를강조하는것으로보인다.이모델을변용한몇가지대안이
제시되어왔으나그중요성을인정받아채택된것은아직없다.
현행모델은조직의니즈에보다성공적으로부응할수있도록개선및확대시킬수있는강점을지니고있기
때문에, 전면개정해야할필요는없다.
3 선방어 (Three Lines of Defense) 모델의강점 발전기회
간단명료.커뮤니케이션의용이 이러한특성을계속유지
효과적인리스크관리및통제의중요성에주력 리스크관리및통제를거버넌스, 조직의성공,가치
창출의일부로이해
기회와위협에대응하는가운데조직의노력지원 조직의목표를향해전진하는적극적,소극적
방법을모두장려
리스크관리및통제를위한활동과자원의배정시
명료성과효율성의기준제시
전략적우선순위및운영관점의니즈와연계하여
조율과협력의중요성강조
리스크관리및통제와관련하여각주요부서와
외부의이해당사자가수행하는역할을설명
개별부서의역할및책임과거버넌스, 조직의성공,
가치창출을위한공동기여에대해명료성제고
핵심부서를구성하는방법설명 이모델을보다유연하고기민하게채택할수있는
기회강조
특히금융부문의조직및규제당국이널리채택 규모, 부문, 성숙도와관련하여조직간의차이를
고려하여유관성을제시하고어떤조직이건쉽게
채택할수있도록함
리스크관리및통제에서외부감사와규제당국의
역할인정
모델을지나치게복잡하게만들지않는가운데
외부의기타이해당사자및그들이거버넌스,
조직의성공, 가치창출에기여하는바를고려
“제 3 선방어 (Third Line of Defense)”로서내부
감사가하는역할을쉽게설명
전략적파트너이자신뢰받는자문인으로서내부
감사의역할을수임하기위해이러한설명을확산
독립성,객관성,보장에대해유용한논의의토대
제공
“흐릿한경계선 (Blurring of the Lines)”에대해
설명하고적절한보호장치 (Safeguard)를기술
잘알려진단순한그림으로표현 모델그자체의변경을반영하고발전을위해도식
개량
7
B. 거버넌스: 조직의성공을좌우하는열쇠
B.1 조직의존재이유
조직은취지를달성하고,이해당사자들의구체적인니즈와이익에따라정의된바람직한결과를산출하고,
다양한투입을새로운결과물로변형함으로써가치를창출하기위해설립된다1, 2. 이해당사자들은지배기구
(Governing Body)에게권한과자산을위탁함으로써대리인으로서조직에대한책임을갖도록하며, 결과뿐
아니라결과를달성하는과정자체에도관심을갖는다3. 결국이해당사자들은조직이적절한결정,조치,
행위,결과를통해자신들의목적을효과적,효율적,지속적으로실현할것을기대한다.
조직은고립속에운영될수없으며경제적,사회적,정치적,환경적,기술적,물리적및기타많은요인의
영향을받는다. 이러한요인으로불확실성, 변화, 복잡성, 주관성, 편파성, 이기심, 유한한자원을놓고벌이는
경쟁, 생산능력및역량의제한이있으며종종기회와위협의원천이된다. 조직은이러한요인을조절하는
적절하고구체적인수단을채택함으로써결정,조치, 행위, 결과가이해당사자들의니즈및이익과
연계되도록하며그를통해전반적인성과를최적화한다.
B.2 거버넌스가조직의성공및가치창출을촉진하는방법
기회와위협을다루기위해고안된조치의예는다음과같다.
이해당사자의관여 자원의스튜어드십 (Stewardship) 윤리문화
리더십의윤리성 리더십의실효성 방향제시
우선순위의결정 자원의위임 목표설정
책임분장 특화 업무분배
불확실성에대처하는프로세스 변화에대처하는프로세스 성과측정지표
모니터링과보고 전문가의도전 규정의제정과검증
독립적인평가 독립적인보장 독립적인조언
1본문서에서 “조직”은중앙정부부처와지방자치단체는물론규모,부문, 소유주, 통제의형태와무관하게영세가족
기업으로부터다국적대기업에이르기까지형식을갖추어구성된모든개체를지칭한다.2본문서에서 “이해당사자”는조직의활동에이해가직결된모든당사자를지칭한다.3본문서에서 “지배기구 (Governing Body)”는거버넌스책임을부여받은개인이나집단을지칭한다.단일및다층구조의
이사회, 위원회, 유사기관을포함하여구성방식과무관하게조직의전체측면을총괄하여책임진다.감사위원회처럼
지배기구 (Governing Body) 하에속한위원회도이에해당된다.
8
이러한수단은효과적인거버넌스에기여하며조직의성공및가치창출을가능하게한다4. 이해당사자들의
이익과연계된결과를증진시킬뿐아니라결정, 조치, 행위와의연계를유지시킨다.
적절한거버넌스수단이마련되어있어도, 미래의일들을 100% 정확하게예측하거나성공을보증하기는
어렵다. 대신,의사결정과조치의실효성및책임성을극대화하고윤리적행위를권장하고불확실성을
관리함으로써성과전체의변동가능성을경감하고허용가능한범위내에서결과를달성하게한다.
앞서열거된거버넌스의수단은중첩되며상호보완적인 4 개의역할및활동그룹으로세분된다.
· 리더십과감시 (Oversight)
· 전략의실행
· 지원, 가이던스, 통제
· 객관적인보장과조언
규제및입법요건준수를위해거버넌스의구조와프로세스를정립할때, 조직내에서이러한역할및
활동을수행할책임을적절하게분장하는것은지배기구 (Governing Body)의임무중하나이다. 조직은
다양하며시간의흐름에따라변하지만,거버넌스역할및활동그룹에서공통적으로발견되는구조적
요소가존재한다.
· 리더십과감시 (Oversight)의책임은지배기구 (Governing Body)에게있다.
· 지배기구 (Governing Body)는전략을실행할책임을경영진에게위임한다.
· 경영진의책임하에개별부서를설립하여리스크,품질,통제및준법감시와관련하여지원,
가이던스,통제를제공한다.
· 독립적인내부감사는객관적인보장, 통찰력 (Insight)및조언을제공한다.
이러한일반적인토대위에거버넌스역할및활동그룹중 2 개이상에대해책임을부여받은개인,팀,
부서가있을수도있다. 본문서 D.2 의 “흐릿한경계선 (Blurring of the Lines)”은이러한상황을다루고있다.
C. 조직의성공과가치창출에대한기여
C.1 3 선모델의구축
앞에서기술한공통의요소는 3 선방어 (Three Lines of Defense) 모델의친숙한구성요소와밀접하게
연계되어있지만중복과 “흐릿함 (Blurring)”을허용하고있다.이러한요소들간에는 3 페이지 (역주! 본
파일에서는 5 페이지)의익숙한그림이제시하는것보다훨씬긴밀한관계가존재한다.
4본문서에서 “거버넌스”는세계내부감사인협회 (The IIA)의국제내부감사직무수행기준 (International Professional
Practices Framework® (IPPF®))용어집에정의된 “이사회가조직의목표달성을위한활동을보고받고,지시하고, 관리하고,
모니터링하기위해채택한구조와프로세스의조합”과동일한의미로사용되었다.
9
C.1.1 지배기구 (Governing Body)
이해당사자들은지배기구 (Governing Body)에게조직의관리 (Stewardship), 문화, 자산, 활동, 성과, 다른조직
및개인과의관계, 환경에미치는영향, 보고등의전반적책임을위임한다. 그후에는대개이해당사자들이
전략적,운영관련결정에직접적인의견을제시하기어려워진다.이처럼소유와거버넌스가분리되어있기
때문에지배기구 (Governing Body)가법규요건내에서사회적,문화적기대에부응하는가운데조직을
이해당사자들의니즈및이익에부합하게경영하고있음을보장할수있는수단이필요하다. 이를위해
독립적인감시및보고는물론주기적인이해당사자와의접촉과청렴성, 투명성,책임성이요구된다.
따라서지배기구 (Governing Body)의핵심적역할은다음과같다.
· 솔선수범하여윤리문화를창달하고유지하며 “최고경영진의의지 (Tone at the Top)”결정
· 이해당사자들과접촉하여결정,조치,행위및결과가이들의이익에효율적,효과적,윤리적,
지속적으로연계되어있음을확신시킴
· 조직을위해윤리적전략적리더십을제공하고전략적방향설정
· 중대한프로세스,책임,구조의수립
· 필요시지배기구 (Governing Body)산하위원회설립
· 포괄적성과목표수립및허용가능한차이와오차의범위결정
· 경영진과내부감사에자원및권한위임
· 리스크,품질,통제및준법감시부서가고안한내부규정승인
· 성과모니터링
· 전체부서가제출한보고서및보장내용검토
· 결정,조치,행위및결과를이해당사자들과관계당국에보고
C.1.2 경영진
지배기구 (Governing Body)는보통경영진에게전략을실행할책임을위임하고적절한자원을배정한다.
거버넌스와전략실행의분리는거버넌스모델의유형및경영진의거버넌스참여도에따라불분명해질수
있다.
경영진을보좌하는다양한지원부서가존재하는데이러한부문은아웃소싱되더라도경영진의일부로
여겨진다. 예를들어재무및회계, 인사 (HR), 전산 (IT) 부서는보통경영을지원하는업무를수행한다.
경영진에게는리스크,품질,준법감시및내부감사의지원이제공된다.그러나리스크의책임주체는
경영진이며경영진은통제장치를설계및구축하고,합의된성과변동폭내에서전략실행에수반되는
불확실성을관리할책임이있다.이를 100% 정확하게보장하는것은불가능하지만경영진은성공의
가능성을극대화하기위해필요한조치를취해야한다.
10
경영진의주요책임은다음과같다.
· 조직의목표달성
· 지배기구 (Governing Body)가승인한차이및오차범위내에서효율적,효과적,윤리적,지속적
방법으로이해당사자들의니즈및이익과연계된의사결정을내리고,조치를실행하고, 개인의
행동강령을준수하고, 결과를도출
· 결정,조치,행위및결과에 (긍정적또는부정적)영향을미칠수있는내외부요소의평가
· 허용가능한차이및오차범위내에서성과를유지하기위해고안된견제와균형제도를설립하고
운영
· 현재와가까운미래의운영환경에맞게견제와균형의최신성을유지하고,실효성이없거나결함이
발견될경우개비하거나,더이상필요가없을경우완화또는제거
· 결정,조치,행위및결과가기대에못미칠때시정조치
· 리스크,품질,통제및준법감시부서와함께내부규정의고안및수립에기여.이러한규정의이행
책임
· 지배기구 (Governing Body)의지시사항을조직전체에걸쳐커뮤니케이션
· 정책및성과측정지표설정
· 모니터링및분석활동
· 지배기구 (Governing Body)에성과및예측을보고하고보장
C.1.3 리스크,품질,통제및준법감시부서
광의의경영지원부서인리스크,품질,통제,준법감시부서는경영진과협력하여실질적감시 (Oversight),
가이던스, 지원, 반론제기, 통제를제공하며특정분야의지식과스킬을활용할수있는전문성을갖추고
있다. 이들은내부규정을수립하고, 지배기구 (Governing Body)가정한허용가능한차이및오차범위내에서
성과를유지할수있도록설계되었음을검증한다.내부규정의수립, 모니터링,지속적인개선에는내부
감사는물론경영진도관여할수있다. 측정된성과의변동및오차는피할수없으며, 이를파악하여
신중하고신속하게대처할때가치를인정받는다. 때로특정조치를승인하는주체는리스크,품질,통제
또는준법감시부서가될수있기때문에통제장치로도기능한다.
이러한부서의책임은일반적으로경영진의정책을지원하고, 역할과책임을파악하고,이행의목표를
수립하는것이다. 다음은구체적인업무의예이다.
· 결정,조치,행위,결과에영향을미칠수있는알려진이슈를분석하고새롭게등장하는이슈를식별
· 조직의성과변동및오차수용에발생하는변화를파악
11
· 전략적목표와성과를연계시키기위해경영진이리스크프레임워크,프로세스,통제장치를
수립하는것을돕고,통제장치가더이상필요하지않은시점과통제장치를완화하거나폐지해야할
시점을파악
· 거버넌스, 리스크관리,통제프로세스에대한가이던스및교육제공
· 경영진이리스크관리를효과적으로실천에옮기도록촉진하고모니터링
· 경영진에게새롭게등장하는이슈와규제환경변화에대해알림
· 내부통제의적절성과실효성,보고의정확성과완결성, 법규준수, 미비사항의신속한조처
모니터링
C.1.4 독립적인내부감사
내부감사의소임은 “리스크기반의객관적인보장, 조언, 통찰력 (Insight)을제공함으로써조직의가치를
증진시키고보호”하는것이며,조직이그목적 (예:가치창출)을달성할수있도록직접적으로기여한다5.
조직의일부이면서도내부감사는건전한거버넌스를지원하도록설계된통제장치, 프로세스, 구조의
적절성과실효성에대해신뢰할수있는객관적보장을제공할수있다. 지배기구 (Governing Body)가
효과적으로감시 (Oversight)를수행하려면객관적인보장이필요하다. 구조적인독립성외에도내부감사의
객관성은,내부감사인이객관적인자세로엄격하고체계적인프로세스를준수하고전문가로서의기준에
부합하는행동을할수있도록해준다. 내부감사의역할이성과를모니터링하고지배기구 (Governing
Body)에게보고해야하는경영진의의무를대체하는것은아니지만,이를보완하는필수적인장치이다. 내부
감사가업무를수행하려면독립성확보를위해지배기구 (Governing Body)에직접보고할수있어야함은
물론자원,인원,기록에대한액세스가필요한데이를보장하기위해서는지원및보고체계가있어야한다.
내부감사의업무계획은반드시조직의전략적우선순위및운영상의니즈와명확하게연계되어야하며
거버넌스와그에내포된견제와균형의적절성및실효성에대해신뢰할수있는객관적유권해석을
제공하는한편,발생가능한기회와위협을파악해야한다.
5세계내부감사인협회 (The IIA)의국제내부감사직무수행기준 (International Professional Practices Framework® (IPPF®))
12
내부감사의책임은다음과같다.
· 거버넌스, 리스크관리,내부통제의적절성과실효성에대해보장, 의견, 통찰력 (Insight), 조언제공
· 전략적우선순위및운영상의니즈와연계된리스크기반의내부감사와점검수행
· 자산의보호를포함하여운영의효율성및효과성, 보고프로세스의신뢰성및무결성에대해보장,
의견, 통찰력 (Insight), 조언제공
· 조직의준법감시부서와해당부서의법규,내부규정,준칙및계약사항준수상태에대해보장과
의견제공
· 조직문화와행위의영향력평가
· 내부규정수립에기여
· 대두되는기회및위협에대해지배기구 (Governing Body) 및경영진에자문제공
· 지배기구 (Governing Body)와경영진에보고
C.1.5 조직의성공에기여: 기타기구
내부요소외에도조직은가치창출을지원하도록외부기구 (외부감사인, 최고감사기구 (Supreme Audit
Institution), 규제당국및기타)에의지한다. 그를통해이해당사자들은재무보고의정확성과,경영진의
책임성에대한확신을제고할수있다. 외부기구는그역할을수행함으로써거버넌스, 리스크관리, 통제에
한층더기여하고,조직이그목적을향해발전하고있으며조직의결정,조치,행위,결과가이해당사자들의
이익및니즈와실질적으로연계되어있음을확인해준다.
외부감사/최고감사기구 (SAI)
외부감사인은이해당사자들에게조직의재무보고및그를뒷받침하는제도의정확성에대해추가적으로
독립적보장을제공한다. 최고감사기구 (Supreme Audit Institution: SAI)는공공부문에서이역할을수행하고
이행및준수 (Performance and Compliance)감사를실시하며,추가적으로점검 (Inspection)및사법적권한을
부여받기도한다. 지배기구 (Governing Body)는외부감사나최고감사기구 (SAI)의업무를감시하고보고를
받을책임이있다. 호혜적인공유와통합을위해서는외부감사및최고감사기구 (SAI)의기획이내부감사의
기획과조율되는것이중요하다. 조직의초점이재무적,비재무적자본을모두반영하는확대된형태의외부
보고로이동함에따라, 내외부감사모두추가적인보장외에도이해당사자들을위한가치제고에한층더
기여할수있게되었다.
규제당국
규제당국은재무보고,환경보건안전,개인정보, 노동및다수의영역에서투명성과책임성을제고하기
위해설계된규정을적용하고모니터링한다. 경제전반에지니는파급력때문에특히대형금융기관에
주목한다. 일반적으로규제당국은조직이점검 (Inspection), 리뷰, 보고, 과징금의프로세스를통해집행되는
과정을따를것으로기대한다. 많은국가에서금융규제당국은 3 선방어 (Three Lines of Defense)를효과적인
13
거버넌스, 리스크관리, 통제의모델로적극지지해왔는데그이유는이러한활동과자원을구축하고
관리하는데있어이모델이명확하고간결한템플릿을제공하기때문이다.
책임성,점검 (Inspection), 감시 (Oversight), 모니터링및평가
다자간금융기구 (개발은행)와같은일부공공부문에서는 (특히규제기관부재시)책임성, 점검 (Inspection),
감시 (Oversight), 모니터링및평가로다양하게정의하는추가적인역할이존재할수있다. 이역할을리스크,
준법감시또는내부감사의업무에포함시킬수도있고직접또는위원회를통해지배기구 (Governing
Body)에일상적으로보고하는특정부서에위임할수도있다. 보고서는일반대중에공개할수도있다.
이러한업무의포커스는대대적인이니셔티브의외부적 (특히환경및사회적) 영향은물론정책에맞춰지는
경향이있다. 모니터링및평가의전문성은물론보다엄격한독립성에대한갈망으로인해이러한활동을
아웃소싱하거나전담부서를신설하게된다.
C.2 조율
이모델을뒷받침하는원칙을성공적으로적용하려면,조직의전략적인우선순위및운영상의니즈와
연계되지못한사일로 (Silo) 사고방식과활동을방지할수있도록각구성요소간의고도화된조율을
추구해야한다. 기획의신속성및일관성, 실행/모니터링/보고의효율성과실효성제고,거버넌스의
적절성과실효성에대한명확한공동의이해, 보고및보장의피로감예방,거버넌스의전반적향상이조율
추구의장점이다.
거버넌스프로세스와구조를설계하고수립함에있어지배기구 (Governing Body)는모든부서가역할과
책임을명확하게이해하였고,주기적으로상호작용하며커뮤니케이션하고있음을확인해야한다.지속적인
업무조율추구가중요하다. 자칫하면연계성이약화되기쉽고조직은혼란, 이해의차이, 업무중복에
노출되어조직의성공과가치창출을위한노력이전반적으로무력화될것이다.
주기적인커뮤니케이션은효과적인조율의관건이될수있다. 다음과같은노력을통해더큰통합을도모할
수있다.
· 개인, 팀, 부서의목표가조직의전략적우선순위및운영상의니즈와연계되어있는지확인
· 조직내각영역의취지와역할에대해공동의이해가도출되었는지확인
· 거버넌스, 리스크관리,통제측면을설명하는공통의용어정립
· 전부서에서공통의평가또는측정시스템사용
· 부서간해당분야전문가 (Subject Matter Expert)를포함하는자원공유
· 통찰력 (Insight)확보, 분석,커뮤니케이션을촉진하기위해데이터와기술활용
내부감사는조직의통합을증진시키는과정에서중요한역할을수행할수있다. 다양한부서와내외부기타
기구가조직전체에대해수행하는보장활동이일관성있고,적절하고, 효율적이고, 신뢰할수있고,
연계성이유지되어있음을확인하는작업이이에해당된다. 서로다른보장제공주체가수행하는업무는
효과의극대화를위해축적및조율되어야한다. 객관적보장의주요제공자인내부감사는조직을위해
14
보장업무의관리를향상시킬수있으며지배기구 (Governing Body)와조직의활동및역량에대해필요한
수준의보장이이루어지고있음을확인해줄 수 있다.
D. 확장가능성, 성숙도, 구조선택및 “흐릿한경계선 (Blurring the Lines)”
D.1 확장가능성
본문서에서새롭게제안하는이해방식인확장가능성은, 3 선모델을뒷받침하는원칙을한층유연하고
순응적으로받아들일수있게해주며광범위한조직에적용시킬수있게해준다.
성숙도가낮으며규부터비교적자유로운소규모조직의경우결정,조치,행위및결과가이해당사자들의
니즈및이익과연계되도록유지하기더쉽다. 일차적이해당사자의수가더적을수있기때문에, 이들의
기대치를추적및이해하기도더쉽고성과변동을보고하기도쉽다. 이해당사자와지배기구 (Governing
Body)구성원의경영활동및거버넌스참여도더높을수있다. 일반적으로조직과운영환경의복잡성이
낮으며타인이제출하는보고서에의존해야할필요성도적고,지배기구 (Governing Body)가직접적으로
감독하기도더쉽다.
따라서작은조직은 3 선모델의거버넌스역할과활동을보다자유롭게혼합하여적용할수있다. 또한경영
여건상리스크,품질,통제및준법감시부서를개별적으로설립하기어려운대신운영부서와통합시키거나
내부감사에포함시킬수도있다.
반면조직이성장함에따라복잡성이증가하여보다엄격한규제대상이되고,같은업종에속한타조직과의
차별화를추구하게되면 3 선모델의개정해석을활용할수있는범위는더욱커진다. 자원이늘어나면
특화의기회와직무의분리가능성도증가한다.리스크,품질,통제및준법감시활동과내부감사에보다
전문적인전담인력을배치할수있다.
어떤경우이건, 3 선모델의특정한형태를채택하려면규제당국의요구사항과이해당사자들의기대를
고려하는가운데지배기구 (Governing Body)의주기적인리뷰를통해결정되어야한다. 가치창출과가치
보호의우선순위조정, 거버넌스역할및활동그룹간의분리와혼합의정도, 여러부서에대한자원분배시
고려사항은변화하는니즈와환경에따라다양하게나타난다.
D.2 “흐릿한경계선 (Blurring of the Lines)”
3 선모델에대한비판중하나는 “흐릿한경계선 (Blurring of the Lines)”을제대로설명하지못한다는것이다.
2013 년의입장서에수록된그림에따르면 3 개요소는각각명확하게분리되어있다.그러나대부분의경우
3 개방어선간의분리가이처럼뚜렷하지못하며, 이로인해흐릿한경계선이거버넌스의실효성에미치는
영향에대한질문이제기되어왔다.
15
본문서의분석은거버넌스의실효성에미칠수있는잠재적영향이명확하게평가되어있는한,내부감사
부서가보장이외의 (Non-assurance) 역할을수행하여가치를증진할수있으며중복되는상보적역할과
활동을수행할수있다고허용한다. 보호장치 (Safeguard)도반드시고려되어야한다.원칙적으로지배기구
(Governing Body)는아웃소싱업체나조직의개인,팀또는부서에거버넌스역할과활동에대한책임을
위임할수있다. 상호관련된직책을통합시킴으로써중복을최소화하고, 경제성과효율성을제고하고,
커뮤니케이션소요시간을단축시키고, 경영진과지배기구 (Governing Body)가여러경로의보고를받아야
하는부담을축소시키고, 최적화된결과를위해자원을배치할수있다. 동시에,장기적으로거버넌스의
전반적실효성에영향을미칠수도있는잠재적으로상충하는직책의겸임여부를파악하는것이중요하다.
지배기구 (Governing Body)는조직구조를둘러싼여러옵션의장단점을비교함으로써,반드시정보에
입각한결정을내려야한다.
내부감사부서는조직전체에대해신뢰할수있는객관적보장을제공해야하기때문에, 구조적독립성이
중요함을감안할때 “흐릿함”에대해각별히주의해야한다.6내부감사부서는조직의니즈에따라보장과
보장이외의업무를모두수행할수있다.다음은자문및기타보장이외업무의예이다.
· 경영상의결정에합의
· 제안
· 현재의환경과향후의조치에대한컨설팅
· 변화이니셔티브에참여
· 리스크관련주제에대해교육실시
· 경영진의통제자체평가세션리드
· 경영관련직책의수시수행
내부감사가보장이외의업무를수행할때최고감사책임자 (Chief Audit Executive (CAE))는지배기구
(Governing Body)와협의하여이러한업무가신뢰할수있는객관적보장을제공하는내부감사부서의
업무능력과상충하는지여부를평가해야하며, 적절한보호장치 (Safeguard)를고려해야한다.다음은그
예이다.
· 지배기구 (Governing Body)에내부감사가수행요청을받은보장이외업무나경영관련직책에대해
알리고,조직차원에서신뢰할수있는객관적보장을제공하는내부감사의업무능력에미칠수
있는영향에대해커뮤니케이션한다.
· 보장이외의역할이명확하게정의되어있으며, 가능한한시한이정해져있는지확인한다.
· 경영상의결정과그에수반되는리스크및통제장치에대한책임을수락하는것을삼간다.
6 “독립성”과 “객관성”은관련되어있지만서로다른개념이다. 본문서에서는 IPPF용어집의정의를따르고있는데,
독립성은 “내부감사책임을공평하게수행하는내부감사활동의능력을위협하는상태로부터의자유”로정의되며
최고감사책임자 (CAE)가지배기구 (Governing Body)에보고함으로써효과적으로달성된다. 객관성은 “내부감사인이
자신의업무결과에자긍심을가지고품질에대해타협하지않는가운데감사를수행할수있게하는공정한태도로
정의되며,내부감사인은감사사안에대한판단시다른이의의견에영향을받아서는안된다.”
16
· 내부감사가최근에자문이나경영진의자격으로중요하게관여한영역을감사할때 “냉각 (Cooling
off)” 기간을갖도록하거나,아웃소싱인력을기용하는등의방법을도입한다.
일부조직에서는내부감사의직책에리스크, 품질,통제, 준법감시측면을혼합하기도한다. 예를들면
최고감사책임자 (CAE)에게전사리스크관리 (Enterprise Risk Management)책임을부여하거나리스크또는
준법감시부서장이최고감사책임자 (CAE)에게보고하는것이다. 이러한상황에서는효과적인보호장치
(Safeguard)의중요성이극대화된다. 최고감사책임자 (CAE)의보장이외직책수행을지배기구 (Governing
Body)가감시하는것도효과적인보호장치 (Safeguard)가될수있다.
참고문헌
IFAC, 2015, From Bolt-On to Built-In: Managing Risk as an Integral Part of Managing an Organization.
The IIA, 2013, The Three Lines of Defense in Effective Risk Management and Control.
IIA–Netherlands, 2014, Combining Internal Audit and Second Line of Defense Functions?
The IIA Research Foundation, 2015, Combined Assurance: One Language, One Voice, One View.
