9년 동안 신뢰받던 경리 직원이 아무도 눈치채지 못하게 3년에 걸쳐 487,000달러를 횡령합니다. 파트타임 사무장이 외상매입금 계정을 통해 62,000달러의 허위 공급업체 송장을 처리합니다. 계산원이 금고에서 하루에 40달러씩, 연간 거의 15,000달러를 빼돌리다 고객의 불만 제기로 사건이 드러납니다.
이것들은 실화 범죄 팟캐스트의 헤드라인이 아닙니다. 내부 부정에 관한 가장 포괄적인 글로벌 연구인 공인부정조사사협회(ACFE)의 격년 보고서 *국가 보고서(Report to the Nations)*에 기록된 직무 부정의 대표적인 사례들입니다. 직원 수 100명 미만의 소규모 기업 피해자는 부정 행위당 중앙값 약 141,000달러의 손실을 입습니다. 부정 행위는 발견되기까지 보통 약 12개월 동안 지속됩니다. 그리고 많은 경우, 가해자는 소유주가 가장 신뢰했던 사람입니다.
5명, 15명 또는 50명의 직원을 둔 비즈니스를 운영하고 있다면 계산은 잔인할 정도로 간단합니다. 여러분은 이러한 부정 행위를 감당할 여력이 없으며, 이를 포착할 기업 감사위원회도 거의 확실히 없습니다. 여러분이 할 수 있는 일은 부정을 저지르기 어렵게 만들고, 탐지하기 쉽게 하며, 합리화하기 불가능하게 만드는 저비용의 효율적인 통제 장치를 구축하는 것입니다. 이 가이드는 포렌식 회계사들이 실제로 사용하는 프레임워크인 '부정의 삼각형', 효과적인 통제 장치, 그리고 회계사가 아닌 소유주가 이번 분기에 채택할 수 있는 구체적인 루틴을 살펴봅니다.
"직무 부정"의 실제 의미
직무 부정(Occupational fraud)이란 고용주의 자원이나 자산을 오용하여 개인의 이익을 취하기 위해 자신의 직무를 이용하는 행위를 말합니다. ACFE는 이를 세 가지 범주로 분류하며, 이는 각기 다른 통제 장치와 직결되므로 기억해 두는 것이 유용합니다.
- 자산 유용(Asset misappropriation) — 자산을 훔치거나 오용하는 행위입니다. 현금 유탈(skimming), 청구 부정, 유령 급여, 지출 증빙 과다 청구, 재고 도난 등이 여기에 해당합니다. 이는 전체 보고된 사례의 약 89%를 차지하는 압도적으로 흔한 유형입니다.
- 부패(Corruption) — 리베이트, 이해 상충, 입찰 담합 등 개인적인 이익을 위해 영향력을 행사하는 행위입니다. 전체 사례의 약 절반에 부패 요소가 포함되어 있습니다.
- 재무제표 부정(Financial statement fraud) — 회사를 더 좋게(또는 때로는 더 나쁘게) 보이게 하기 위해 수익, 비용 또는 자산을 의도적으로 허위 기재하는 행위입니다. 가장 드문 유형이지만 발생 시 손실액 중앙값이 수백만 달러에 달할 정도로 가장 치명적입니다.
소규모 기업은 자산 유용, 특히 청구 부정(billing schemes), 수표 변조(check tampering), 지출 증빙 부정(expense reimbursement fraud), **현금 유탈(cash skimming)**에 집중되는 경향이 있습니다. 이러한 수법들은 총계정원장에서 일반적인 거래처럼 보이기 때문에 발견되지 않고 지나치기 쉽습니다.
부정의 삼각형: 정직한 사람이 도둑이 되는 이유
1950년대 초, 사회학자 도널드 크레시(Donald Cressey)는 수감된 횡령범 200여 명을 인터뷰했습니다. 그는 전형적인 직무 부정 가해자가 흉악범이 아니라, 시간이 지나면서 절도에 빠져든 평범한 직원이라는 사실을 발견했습니다. 그의 연구에서 현재 부정 위험의 표준 모델인 '부정의 삼각형(fraud triangle)'이 탄생했습니다. 이는 압박, 기회, 합리화로 구성됩니다.
압박 (또는 동기)
직원을 "생각만 하던 단계"에서 "실행하는 단계"로 밀어붙이는 요소입니다. 일반적인 압박은 다음과 같습니다.
- 개인적인 재정적 스트레스: 의료비, 이혼, 담보 대출 과다, 도박 빚 등.
- 생활 방식의 압박: 분수에 넘치는 생활, 중독, 숨겨진 두 번째 가계.
- 직장 내 압박: 비현실적인 영업 할당량, 해고에 대한 두려움, 정당한 방법으로는 달성할 수 없는 숫자에 연계된 보너스.
압박 자체를 제거할 수는 없지만, 행동의 이상 징후(red flags)에는 주의를 기울일 수 있습니다. ACFE 데이터에 따르면, 분수에 넘치는 화려한 생활을 하거나, 휴가를 거부하거나, 특정 공급업체 관계에 대해 비정상적인 통제력을 행사하는 직원은 부정 손실과 매우 높은 상관관계를 보입니다. 휴가를 거부하는 직원이 단순히 근면한 경우도 있지만, 동료가 자신의 업무를 대신하면서 부정이 탄로 날까 봐 두려워하는 경우도 많습니다.
기회
이것은 소유주가 실제로 통제할 수 있는 삼각형의 한 축입니다. 기회는 직원이 다음과 같은 상황일 때 발생합니다.
- 자산(현금, 수표, 결제 권한, 은행 로그인 등)에 접근할 수 있습니다.
- 해당 자산과 관련된 거래를 기록하거나 숨길 수 있습니다.
- 적발될 가능성이 낮다고 믿습니다.
이 세 가지 중 하나만 제거해도 기회는 무너집니다. 이것이 바로 내부 통제의 전적인 목적입니다.
합리화
마지막 축은 부정 가해자가 스스로에게 들려주는 이야기입니다. "회사가 나에게 빚을 졌어. 3년 동안 월급이 안 올랐잖아." "잠시 빌리는 것뿐이야. 다음 달에 갚을게." "누구나 경비 처리를 조금씩은 부풀려." 소유주의 가시적인 참여, 명확한 정책, 사소한 위반에 대한 신속한 조치 등 상부의 확고한 윤리 경영 방침(tone at the top)은 합리화를 어렵게 만듭니다.
새로운 모델들('부정의 사각형'은 역량을 추가하고, '부정의 오각형'은 오만과 능력을 추가함)이 크레시의 아이디어를 정교화했지만, 운영상의 시사점은 변하지 않습니다. 단순히 착한 사람을 고용한다고 해서 부정을 막을 수는 없습니다. 착한 사람이 유혹에 빠지지 않고, 나쁜 사람이 빨리 적발될 수 있도록 업무를 구조화함으로써 부정을 예방해야 합니다.
소규모 기업이 가장 큰 타격을 입는 이유
세 가지 구조적 약점이 소규모 조직을 부정의 위험에 가장 취약하게 만듭니다:
- 직무의 집중. 5인 규모의 사업장에서는 한 사람이 송장 발행, 입금, 지급, 장부 기록을 모두 처리하는 경우가 많습니다. 이는 '부정의 삼각형(Fraud Triangle)'의 세 축이 한 의자에 몰려 있는 것과 같습니다.
- 신뢰 기반의 문화. 소유주는 지인을 고용합니다. 경리 담당자는 가족의 친구이고, 사무장은 오랜 시간 함께한 충성스러운 직원인 식입니다. 하지만 신뢰는 규모에 따라 적절히 작동하지 않습니다. 두 사람 사이에서는 가능할지 몰라도, 매달 20만 달러에 달하는 지출액을 관리할 때는 이야기가 다릅니다.
- 제한적인 부정 방지 비용. ACFE(공인부정조사관협회)의 조사에 따르면 소규모 조직은 대기업보다 통제 장치를 적게 구현하는 것으로 나타났습니다. 이들은 서면 윤리 강령, 부정 신고 핫라인, 불시 감사 프로그램 또는 선제적인 데이터 모니터링 시스템을 갖추고 있을 가능성이 낮습니다.
그 결과, 소규모 조직이 겪는 부정 손실액은 절대적인 금액 면에서 글로벌 중앙값과 거의 비슷하지만, 매출에서 차지하는 비중은 훨씬 크며 종종 기업의 존립을 위협하기도 합니다. 마진율이 6%인 50인 규모 기업에서 발생한 141,000달러의 손실은 200만 달러 이상의 매출이 증발한 것과 같은 타격을 줍니다.
실제로 효과가 있는 통제 장치
수천 건의 사례를 분석한 결과, 부정 손실액과 부정 적발에 걸리는 시간을 모두 50% 이상 줄여주는 세 가지 통제 장치가 확인되었습니다. 이는 소규모 기업이 할 수 있는 가장 효율적인 투자입니다.
1. 불시 현금 실사 및 불시 감사
불시 감사는 전통적인 "사전 예고 없는 현장 점검"입니다. 소규모 기업의 경우 공인회계사(CPA)까지 필요하지는 않습니다. 소유주(또는 신뢰할 수 있는 제3자)가 장부가 실제 상황과 일치하는지 예고 없이 무작위로 확인하기만 하면 됩니다.
사전 예고 없이 점검해야 할 항목들:
- 금전등록기, 금고, 소액 현금함에 있는 현찰.
- 무작위로 선정한 통로, 보관함 또는 제품 SKU의 재고.
- 최근 분개 항목 샘플: 무작위로 5건의 지급 내역을 추출하여 송장부터 은행 거래 명세서까지 역추적합니다.
- 최근 일주일 동안 결제된 모든 수표 내역: 수취인이 거래처 기록과 일치하는지 확인하고, 수표 번호에 누락된 부분이 있는지 살핍니다.
이 점검의 목적이 모든 방문 때마다 단돈 1원까지 다 찾아내는 것은 아닙니다. 핵심은 부정 행위자에게 "언제든 적발될 수 있다"는 경각심을 주는 것입니다. 부정 행위자들은 예측 가능성을 먹고 살지만, 불시 감사는 그 예측 가능성을 무너뜨립니다. ACFE 데이터에 따르면 불시 감사 프로그램을 운영하는 조직은 손실액 중앙값이 절반 수준이며, 부정 적발 속도는 두 배 가까이 빠릅니다.
2. 경영진의 주요 보고서 검토
대부분의 소규모 기업 부정은 소유주가 한 번도 들여다보지 않은 곳에서 발생합니다. 거래처 마스터 파일, 고객 대손 처리 로그, 급여 변동 보고서 등이 그 예입니다. 매달 30분씩 정기적으로 몇 가지 보고서만 검토해도 엄청난 억제 효과를 거둘 수 있습니다.
다음 항목들을 포함하여 매달 정기적인 검토 절차를 만드십시오:
- 거래처 추가 및 변경. 지난 30일 동안 새로 추가된 거래처, 또는 기존 거래처의 은행 계좌, 주소, 이름 변경 사항을 확인합니다. 이 두 가지는 전형적인 청구 사기(Billing Scheme)의 징후입니다.
- 임계값을 넘는 지출. 예를 들어 1,000달러 이상의 모든 지급 내역을 확인하고, 각각 송장 및 계약서와 대조합니다.
- 은행 계정 조정(Bank Reconciliation). 은행 거래 명세서를 직접 열어보십시오. 이미 출력된 조정 보고서만 믿지 마십시오. 실제 결제된 수표 이미지와 송금 내역을 직접 확인해야 합니다.
- 급여 변동. 신규 채용, 퇴사, 급여율 변경, 계좌 변경 등을 확인하십시오. '유령 직원(Ghost employees)'은 급여 항목에서 발생하는 청구 사기 수법입니다.
- 고객 신용 메모 및 대손 처리. 금액을 가로채는 '스키밍(Skimming)' 수법은 조용히 대손 상각 처리된 "회수 불능" 채권 뒤에 숨는 경우가 많습니다.
3. 선제적 데이터 모니터링
현대적인 회계 소프트웨어를 사용하면 이 작업을 거의 비용 없이 수행할 수 있습니다. 다음과 같은 알림 및 예외 보고서를 설정하십시오:
- 동일한 거래처로부터 유입된 중복 송장 번호.
- 직원의 주소와 일치하는 거래처 주소 (가공의 거래처 사기를 나타내는 확실한 증거).
- 정수 단위의 분개 항목 (실제 거래가 정확히 5,000.00달러와 같이 떨어지는 경우는 드뭅니다).
- 주말이나 퇴근 시간 이후에 집중된 승인 취소 거래.
- 과거 활동이 없던 거래처로의 지급이나 갑작스러운 거래량 급증.
총계정원장을 단순히 세무 신고를 위한 자료가 아니라 하나의 데이터 세트로 취급하면, 이상 징후는 금방 수면 위로 드러납니다.
3인 이하 사무실에서의 직무 분리
교과서적인 규칙은 자산의 승인, 기록, 보관을 분리하는 것입니다. 동일한 사람이 대금 지급을 승인하고, 수표를 작성하거나 계좌 이체를 실행하며, 동시에 은행 계정을 조정해서는 안 됩니다.
소규모 사무실에서는 이것이 불가능해 보일 수 있지만, 목표는 완벽한 분리가 아니라 '최악의 조합'을 제거하는 것입니다. 다음 세 가지 조합은 매우 위험하며 아무리 작은 사업장이라도 반드시 분리해야 합니다:
- 현금 수취 + 현금 수입 기록. 우편물을 개봉하거나 금전등록기를 관리하는 사람이 입금 내역과 장부를 대조하는 유일한 사람이어서는 안 됩니다.
- 거래처 등록 + 송장 승인. 거래처를 새로 추가하고 월 3,500달러의 송장을 직접 승인할 수 있는 경리 직원은 개인 현금 인출기를 가진 것과 다름없습니다.
- 수표 발행/지급 실행 + 은행 거래 명세서 대조. 돈을 밖으로 보내는 사람이 그 돈이 목적지에 제대로 도착했는지 확인하는 유일한 사람이어서는 안 됩니다.
현실적으로 금융 담당 직원이 한 명뿐이라면, 보완 통제(Compensating Control)는 소유주의 참여입니다. 경리 직원이 아닌 소유주가 직접 다음을 수행해야 합니다:
- 누구보다 먼저 은행 거래 명세서를 확인할 것 (읽기 전용 별도 계정을 만들거나 소유주의 집으로 종이 명세서를 우편 발송하도록 설정).
- 임계값을 넘는 모든 수표는 증빙 송장을 검토한 후 직접 수필로 서명할 것.
- 모든 은행, 신용카드, 급여 서비스 제공업체의 알림을 직접 수신할 것.
- 일정 금액 이상의 신규 거래처 등록을 직접 처리할 것.
이 작업들은 일주일에 15분이면 충분하며, 가장 위험한 부정의 조합을 차단해 줍니다.
비밀 신고 채널
제보는 직무상 부정이 적발되는 가장 흔한 경로로, 전체 적발 사례의 약 43%를 차지합니다. 내부 감사(약 14%)와 경영진 검토(13%)는 그 뒤를 잇는 2위와 3위에 불과합니다. 제보의 중요성은 매우 커서, 소유주가 모니터링하는 단순한 이메일 별칭과 같은 비밀 신고 채널이 있는 것만으로도 부정이 우연이 아닌 제보에 의해 적발될 확률이 약 두 배로 높아집니다.
소규모 기업에서 "핫라인"이 반드시 외부 업체가 관리하는 전화 시스템일 필요는 없습니다. 다음과 같은 방식도 가능합니다:
- 소유주만 읽는 전용 이메일 주소 (예:
[email protected]) - 익명 문자를 보낼 수 있는 소유주의 휴대전화 번호가 적힌 휴게실 공지문
- 소유주가 직원들에게 "뭔가 이상해 보이는 것"이 있다면 무엇이든 말해달라고 명시적으로 요청하는 연례 1대1 면담
채널이 무엇이든 두 가지 규칙이 중요합니다. 메시지가 부정 의심자의 손을 거치지 않고 소유주에게 직접 전달되어야 하며, 제보에 따른 조치가 가시적으로 이루어져야 합니다. 그렇지 않으면 아무도 그 채널을 다시 사용하지 않을 것입니다.
주의해야 할 행동상의 적신호
ACFE 데이터에 따르면 부정 행위자는 부정이 발각되기 훨씬 전부터 행동상의 징후를 일관되게 보입니다. 큰 손실과 가장 강력한 상관관계를 보이는 네 가지 징후는 다음과 같습니다:
- 분수에 넘치는 생활. 4,800만 원의 연봉을 받으면서 새 차, 세컨드 하우스, 고가의 취미 생활을 즐기는 경우.
- 재정적 어려움. 임금 압류, 돈에 대한 불평, 가불 요청.
- 공급업체나 고객에 대한 비정상적인 통제권. 특정 직원이 항상 특정 계정을 처리하고, 도움을 거부하며, 개인 전화로 업무 전화를 받는 경우.
- 휴가 사용 거부. 부정 행위는 지속적인 관리가 필요합니다. 2주간의 공백은 오래 지속된 부정이 무너지는 가장 흔한 경로입니다. 항목이 정리되지 않고, 명세서를 다른 사람이 열어보며, 유령 업체에 대해 누군가 의문을 제기하게 되기 때문입니다.
이 중 어느 것도 그 자체로 증거가 되지는 않습니다. 하지만 이 모든 것은 해당 직원의 업무 영역에 대한 월간 검토를 조용히 강화해야 할 충분한 근거가 됩니다.
20인 규모 기업을 위한 90일 부정 방지 계획
여기까지 읽으셨다면 200페이지 분량의 COSO 프레임워크는 필요 없습니다. 이번 분기에 완료할 수 있는 짧은 실행 목록이 필요할 뿐입니다.
1~30일차: 가시성 확보
- 은행, 신용카드, 급여 명세서가 경리 담당자가 아닌 사장님에게 직접 전달되도록 하십시오.
- 공급업체 마스터 리스트를 추출하여 지난 12개월 동안 추가된 모든 업체를 검토하십시오. 웹사이트, 실제 주소 또는 계약서가 없는 업체는 표시해 두십시오.
- 모든 직원의 주소 리스트를 추출하여 공급업체 마스터 리스트와 대조하십시오.
- 한 페이지 분량의 행동 강령을 작성하고 서명하여 모든 직원에게 전달하고 휴게실에 게시하십시오.
31~60일차: 통제 강화
- 장부 기입이나 현금 취급 책임이 있는 모든 직원에게 2주 연속 휴가를 의무화하십시오.
- 비밀 신고 채널을 만들고 공지하십시오.
- 매달 확인해야 할 3~4개의 경영 검토 보고서를 정하고, 매월 첫 번째 월요일에 30분 동안 이를 검토하는 일정을 캘린더에 등록하십시오.
- 사무실 내에서 직무 분리가 가장 취약한 조합을 찾아 불완전하더라도 이를 분리하십시오.
61~90일차: 기습 점검
- 예고 없는 불시 감사를 한 번 실시하십시오. 금전 등록기나 공급업체 하나를 무작위로 선택하여 실제 데이터가 장부와 일치하는지 확인하십시오.
- 선제적인 데이터 점검을 한 번 실행하십시오 (중복 송장 번호, 라운드 넘버 분개, 급여 계좌와 주소 일치 여부 등).
- 다음 90일 이내의 임의의 날짜로 다음 불시 감사 일정을 잡고, 아무에게도 알리지 마십시오.
이 방법으로 모든 부정을 잡을 수는 없겠지만, 쉬운 부정은 잡아낼 수 있으며 나머지의 대부분은 사전에 방지할 수 있습니다.
진실을 말하는 장부 만들기
대부분의 직무상 부정은 장부가 소유주에게 불투명하기 때문에 숨겨질 수 있습니다. 공급업체 이름은 그럴듯해 보이고, 분개 항목은 평범해 보이며, 조정된 은행 잔액은 지난달에 아무도 의심하지 않았던 숫자와 일치합니다. 플레인 텍스트 기반의 버전 관리 회계는 이러한 비대칭성을 뒤집습니다. 모든 항목은 사람이 읽을 수 있고, 모든 변경 사항은 감사 가능한 git 히스토리에 타임스탬프와 함께 기록되며, 예외 보고서는 특별한 작업 없이 단 한 줄의 쿼리로 처리됩니다.
Beancount.io는 플레인 텍스트 기반의 회계, 완전한 버전 관리, AI 활용 가능성, 벤더 종속성 없는 환경을 통해 이러한 투명성을 기본으로 제공합니다. 그 자체로 부정 방지 도구는 아니지만, 불시 감사, 경영진 검토, 데이터 모니터링이 실제로 효과를 발휘할 수 있는 정직한 토대가 됩니다. 무료로 시작하여 부정이 숨을 곳이 없도록 여러분의 장부를 햇빛 아래로 꺼내십시오.