[IB토마토 김태호 기자] 신외감법 시행으로 엄격해진 회계감사에 코스닥 상장기업들이 비적정 의견을 받을 가능성이 내년부터 높아진다. 업계 전문가들은 준비 기간 등을 고려하면 감사가 당장은 박하지 않을 수도 있지만, 갈수록 엄격하고 깐깐해져 코스닥 기업들의 대응이 무엇보다 중요할 것이라고 입을 모은다.
5일 정부에 따르면 올해 별도/개별기준 자산총액이 5000억원을 넘는 상장사는 내년 감사보고서에 대한 내부회계관리제도 검증수준이 ‘검토’에서 ‘감사’로 대폭 강화된다. 내부회계관리제도는 기업이 자사의 매출·구매·생산·재고·자금 등 재무 관련 프로세스가 합리적이고 신뢰 가능한지를 스스로 평가하는 제도다.
검토 단계에서 외부감사인은 회사가 프로세스를 자체 점검하고 대표이사 명의로 제출한 ‘운영실태보고서’를 참고해 질문 위주의 검증을 하고 의견을 준다. 그러나 감사 단계에서는 감사인이 관찰·분석 등의 방법으로 프로세스를 직접 검증한다. 즉, 내부회계관리제도 적정 의견을 받기는 더욱 어려워진 셈이다.
코스닥 상장사들은 발등에 불이 떨어졌다. 오너 중심의 소규모 조직구조에 공인회계사(CPA) 등 전문 회계 인력이 없는 등 내부 자원이 풍부하지 못한 탓이다. EY한영이 올해 10월 말 중견기업 회계담당자 187명을 대상으로 실시한 설문조사에 따르면, 약 90%가 내부회계관리제도 구축 준비를 마치지 못했다고 응답했다.
특히 코스닥 기업은 내부회계관리제도 비적정 의견을 받을 경우 상장요건에 따라 ‘투자주의환기종목’으로 지정된다. 당장의 불이익은 크지 않다. 지정 기간 내 경영정상화 사유 외 경영권 변동에 따른 불이익 등만 발생하며 주식매매 관련 제약도 없다.
그러나 2년 연속 내부회계관리제도 비적정 의견을 받으면 상장폐지실질심사로 직행하게 된다. 실제로 코스닥 상장사
엘앤케이바이오(156100)는 해외 판매 매출 인식 시점 오류로 2017년~2018년 내부회계관리제도 비적정 의견을 받아 실질 심사 대상에 올랐다. 현재 엘앤케이바이오는 거래정지 상태로 내년 3월 말까지 개선 기간을 부여받았다.
한국거래소 시황판. 사진/뉴스토마토DB
전문가들은 일단 내년 내부회계관리제도 감사는 비교적 유연하게 진행될 가능성이 있다고 말한다. 중견기업에게 적용되는 시행 첫해이기 때문이다.
한 회계사는 “결국 외부감사인 입장에서는 모든 계정에 대한 프로세스를 볼 것인지 아니면 핵심리스크 관련 사항만 볼 것인지를 선택하게 될 것”이라며 “기업과 회계법인 모두 관련 경험과 지식이 부족한 측면이 있기 때문에 일단은 핵심리스크 위주로 체크하며 기업들에게 천천히 요구하고 준비시킬 수는 있을 것”이라고 말했다.
다른 회계사는 “이번 강화는 단적으로 말해 미국이 10년 이상 발전시켜온 제도를 단번에 따라가는 측면이 있으므로 완벽한 준비가 쉽지 않은 것은 사실”이라고 말했다.
동시에 전문가들은 일찌감치 준비할 필요가 있다고도 역설한다. 2022년에는 감사 대상이 자산총액 1000억원 이상으로, 2023년에는 상장사 전체로 강화되는데 규모가 상대적으로 작은 기업은 내부회계관리제도를 갖추려면 보다 오랜 시간이 걸리기 때문이다.
회계법인은 내부회계관리제도 핵심검토사항으로 경영진 검토통제(MRC), 정보신뢰성(IPE), 정보기술일반통제(ITGC), 운영기간, 미비점 평가 등을 중점적으로 들여다보게 된다.
이 중 MRC와 ITGC 설계에 특히 집중할 필요가 있다. 실제 삼일PwC가 올해 내부회계관리제도 감사대상이 된 자산총액 2조원 규모의 상장사 79개를 대상으로 설문조사한 결과, 전체의 86%가 MRC에서 가장 큰 변화가 있다고 대답했고, 68%는 ITGC에서 변화가 있다고 답했다.
MRC는 실무진 수준이 아닌 경영진의 추정 및 판단이 필요할 만큼 위험이 높은 사항에 대한 통제활동이 제대로 작동하는지를 검토하는 활동을 의미한다. 즉, MRC 검토는 통제에 대한 통제 시스템을 검토 받는 것이다. 중요한 사항인 만큼 외부감사인이 집중적으로 볼 수밖에 없는 요소다.
따라서 기업은 일단 MRC의 항목을 적절한 수준에서 식별할 필요가 있으며, 일단 MRC에 대한 설계를 구축하고 문서화할 필요가 있다고 말한다. 특히 MRC에 대한 자체 설계평가·운영평가도 집중 검토하는데, 이에 대한 적격성을 갖출 필요가 있다고도 조언한다. 즉, MRC에 대한 통제를 수행할 수 있는 능력을 객관적으로 입증할 수 있어야 한다는 의미다.
나국현 삼일PwC 파트너 회계사는 “MRC를 식별하고 설계·적용하는 일은 상당한 문서화가 수반되므로 회계팀의 업무가 과중해질 수 있으므로 현업부서의 적극적인 협조가 필요하다”라며 “MRC를 거래수준통제활동으로 전환하면 좋을 것”이라고 덧붙였다.
예를 들어, 기업이 특수관계자 주석과 관련된 통제활동을 MRC로 분류했을 때, 회계팀이 특수관계자 및 관련 거래 유형별 금액의 정확성과 완전성 등을 한꺼번에 검토하기보다는 기획팀이 대상을 관리하고 각 부서에서 유형별 거래액을 확인하고 이후 회계팀이 이를 취합해 주석을 작성하는 방식이 보다 적절할 수 있다는 의미다.
정근영 삼일PwC 파트너 회계사는 “감사인은 MRC 설계평가에 대해 담당자가 그 항목을 상세히 리뷰할 수 있는지 인터뷰하게 될 것”이라며 “수정사항 등이 발생했을 때 담당자 전문성이 떨어진다고 판단되면 MRC 자체에 대한 적격성이 의심될 수 있으므로 문제가 증폭될 수 있다”라고 말했다.
ITGC 검토는 말 그대로 기업의 재무보고와 관련된 IT기술에 대한 통제 수준을 검토하는 단계다. 원천자료와 프로그램 로직을 이용해 중요한 재무데이터를 산출하는 기초적인 단계이므로, 경우에 따라 재무제표 감사에도 영향을 미칠 수 있는 사항이다.
정근영 회계사는 “일단 ITGC가 제대로 작동해야 통제시스템 전체를 신뢰할 수 있으므로, ITGC에 미비점이 발생할 경우 임팩트가 클 수 있다”라며 “따라서 기업이 내부회계관리에 IT쪽 인원을 참여시키거나 아니면 전담자를 지정하면 리스크를 막을 수 있을 것”이라고 말했다.
나국현 회계사는 “ITGC는 결국 정보의 신뢰성(IPE)에도 영향을 미치기 때문에 매우 중요하다”면서 “일례로 ERP와 다양한 시스템을 동시에 사용하는 경우가 많은데, 이를 통합할 경우 단기간 비용 증가를 유발할 수 있지만 장기적으로는 데이터 관리가 효율적으로 이뤄질 것”이라고 말했다.
김태호 기자 oldcokewaver@etomato.com