직원이 세 명뿐일 때의 직무 분리: 소규모 비즈니스를 위한 실무적 내부 통제 플레이북

약 11분Mike ThriftMike Thrift
직원이 세 명뿐일 때의 직무 분리: 소규모 비즈니스를 위한 실무적 내부 통제 플레이북

16년 동안 일한 신뢰받는 장부 담당자. 책상 서랍에 남겨진 서명 도장. 10년 동안 자신에게 발행한 154장의 수표. 사장이 이를 알아챘을 때는 이미 20만 달러 이상이 사라진 후였고, 회수할 수 있는 현실적인 기회도 사라진 뒤였습니다.

이 이야기는 예외적인 사례가 아닙니다. 공인부정검사사 협회(ACFE)의 2024년 보고서(Report to the Nations)에 따르면, 직원 수가 100명 미만인 조직은 부정 사건당 평균 141,000달러의 손실을 입으며, 이는 모든 기업 규모 카테고리 중 가장 높은 수치입니다. 전형적인 부정 수법은 발견되기까지 12개월 동안 지속되며, 매달 약 9,900달러의 손실을 입힙니다. 소규모 기업이 대기업보다 더 큰 타격을 입는 가장 흔한 이유는 무엇일까요? 바로 내부 통제의 부재입니다. 특히 "규모가 너무 작아서 나눌 수 없다"는 이유로 한 사람이 모든 재무 업무를 처리하는 것이 가장 큰 원인입니다.

규모가 작다고 해서 불가능한 것은 아닙니다. 그저 포춘 500대 기업의 컨트롤러가 설계하는 방식과는 다른 청사진이 필요할 뿐입니다. 이것이 바로 그 청사진입니다.

직무 분리의 실제 의미

감사 용어를 걷어내면 직무 분리(SoD)는 단순하고 명확한 아이디어입니다. 어느 누구도 재무적 부정을 저지르고 이를 숨길 수 없어야 한다는 것입니다. 이것이 핵심입니다. 다른 모든 규칙, 통제, 절차는 이 원칙에서 비롯됩니다.

감사인은 모든 기업의 재무 업무를 네 가지 기능으로 나눕니다. 부정과 중대한 오류를 방지하기 위해, 가능한 한 이 네 가지 기능을 서로 다른 사람에게 분산해야 합니다.

기능범위예시
승인(Authorization)거래 발생 여부 승인공급업체 송장 승인, 급여 승인, 환불 승인
보관(Custody)자산 자체에 대한 물리적 또는 디지털 관리수표책 보유, 서명 권한 보유, 법인 카드 소지
기록(Recording)장부에 거래 입력회계 시스템에 청구서 기입, 입금 기록, 급여 실행
대조(Reconciliation)기록이 독립적인 증거와 일치하는지 확인은행 명세서와 총계정원장 대조, 신용카드 명세서와 영수증 대조

거래를 기록한 장부 담당자가 이를 대조해서는 안 됩니다. 수표책을 보관하는 사람이 청구서를 승인해서는 안 됩니다. 수표에 서명하는 사장이 외부와 차단된 상태에서 은행 계좌를 대조해서도 안 됩니다. 각 기능에는 서로 다른 사람의 눈이 필요합니다.

직원 50명 규모의 회사에서는 이 네 가지 기능을 분리하는 것이 간단합니다. 하지만 직원 3명 규모의 회사에서는 이것이 불가능하게 느껴집니다. 그래서 대부분의 사장은 포기하고 "신뢰하는 장부 담당자"에게 모든 것을 맡깁니다. 그리고 이것이 거의 모든 횡령 사례 연구의 시작점입니다.

왜 "신뢰한다"는 것이 통제가 될 수 없는가

보고된 거의 모든 장부 담당자 횡령 사건은 동일한 서두로 시작됩니다. 바로 사장이 가해자를 전적으로 신뢰했다는 점입니다. 오하이오의 한 계약업체는 데보라 홀(Deborah Hall)을 16년 동안 신뢰했습니다. 어느 건설 회사는 총 44,000달러가 넘는 18장의 허위 수표가 발행되는 동안 장부 담당자를 신뢰했습니다. 냉난방 설비 사무장인 안젤라 쿠퍼(Angela Cooper)는 사장의 서명 도장을 맡길 정도로 신뢰를 얻었으나, 그녀는 이를 이용해 100장 이상의 수표를 위조하여 158,658달러를 가로챘습니다.

신뢰는 통제가 아닙니다. 신뢰는 부정이 발생하고 감지되지 않을 수 있는 기회와 조건을 만듭니다. 통제는 바로 그 기회를 제거하는 것입니다. 소규모 기업에서 내부 통제를 구축하는 목적은 직원을 의심하기 위해서가 아닙니다. 완벽하게 정직한 장부 담당자라도 실수할 수 있기에 구조적인 안전망을 마련하는 것이며, 악의적인 행위자가 돈을 훔치려 할 때 공모자 없이는 불가능하게 만드는 것입니다.

달리 말하자면, 수억 원의 손실로부터 자신을 보호할 유일한 수단이 타인의 인성에 대한 판단뿐이라면, 당신은 보호 수단을 가진 것이 아닙니다. 그저 희망 사항을 가지고 있을 뿐입니다.

직원 세 명의 현실

구체적인 상황을 가정해 봅시다. 당신의 회사에 다음과 같은 인원이 있다고 합시다.

  • 귀하 (사장)
  • 장부 담당자 (전임 또는 파트너, 내부 또는 외부)
  • 운영 또는 사무 관리자 (일반 사무직 직원 한 명)

당신은 전문 컨트롤러를 고용할 여유가 없습니다. 외상매입금 담당, 외상매출금 담당, 재무 담당을 따로 둘 수도 없습니다. 하지만 다음과 같은 조치는 가능하며, 이는 부정 위험을 획기적으로 줄이는 데 충분합니다.

1단계: 거래 흐름 파악하기

종이 한 장을 꺼내 주요 자금 흐름의 수명 주기를 적어보세요.

  1. 현금 수입 — 돈이 어떻게 들어오는가? 우편물을 누가 여는가 / 결제를 누가 처리하는가 / 입금을 누가 기록하는가 / 누가 대조하는가?
  2. 지출 — 돈이 어떻게 나가는가? 청구서를 누가 승인하는가 / 수표 서명이나 ACH 이체를 누가 시작하는가 / 결제를 누가 기록하는가 / 누가 대조하는가?
  3. 급여 — 직원을 누가 추가 및 삭제하는가 / 근무 시간을 누가 승인하는가 / 급여를 누가 실행하는가 / 총계정원장과 누가 대조하는가?
  4. 재고 또는 기타 자산 — 물리적 접근 권한이 누구에게 있는가 / 이동을 누가 기록하는가 / 실사 및 대조를 누가 하는가?

각 단계별로 담당자의 이름을 적으십시오. 만약 어떤 행에서 승인, 보관, 기록, 그리고 대조에 동일한 이름이 나타난다면, 그것은 직무 분리(SoD)의 위험 신호(Red flag)입니다.

2단계: 가능한 모든 합리적인 직무 분리 실행

직원이 3명뿐이라도 가장 중요한 직무 분리는 다음과 같이 실행할 수 있습니다.

  • 소유자가 낮은 기준 금액(예: $500) 이상의 모든 수표에 서명합니다. 장부 기록자는 수표를 준비하지만 절대 서명하지 않으며, 서명 권한을 가져서도 안 됩니다. 장부 기록자에게 수표 서명을 허용해서는 절대 안 됩니다. 절대로요.
  • 장부 기록자가 아닌 소유자가 새로운 거래처를 승인한 후에야 해당 거래처에 대금을 지급할 수 있습니다. 유령 거래처 사기는 세상에서 가장 흔한 사기 수법이며, 이 단 하나의 통제 절차만으로도 이를 차단할 수 있습니다.
  • 사무 관리자가 우편물을 개봉하고 모든 입금 수표에 "입금 전용(For Deposit Only)" 도장을 찍은 뒤 전달합니다. 장부 기록자는 수입을 기록하지만, 제한적 배서(restrictive endorsement)가 이루어지기 전에는 수표를 물리적으로 보관하지 않습니다.
  • 장부 기록자는 거래를 기록하고, 소유자는 은행 계좌를 대조합니다. (제대로 하는 방법은 잠시 후에 설명합니다.)
  • 소유자가 매 급여 주기마다 전송 전 급여를 승인합니다. 이름별로, 금액별로 꼼꼼히 확인해야 합니다. 소유자가 급여 명부를 확인하고 모든 직원을 식별할 수 있다면 허위 직원 급여 횡령 수법은 즉시 차단됩니다.

이것이 완벽한 직무 분리는 아닙니다. 하지만 대부분의 사기 수법이 성공하려면 공모가 필요하게 만들기에 충분하며, 두 사람이 공모해야 하는 순간 위험은 급격히 감소합니다.

3단계: 그 외 모든 부분에 보완 통제 적용

**보완 통제(Compensating control)**란 완전한 직무 분리가 현실적으로 불가능할 때 감사인들이 추가하는 검토 단계를 말합니다. 진정한 직무 분리만큼 강력하지는 않지만, 여러 겹으로 쌓이면 놀라울 정도로 효과적입니다. 소규모 기업을 위한 주요 보완 통제는 다음과 같습니다.

  • 계정 조정이 완료되기 소유자가 은행 거래 내역서를 검토합니다. 이는 이 목록 전체에서 가장 효과적인 단일 통제 수단입니다. 은행에서 매달 소유자에게 직접 우편물을 보내거나 PDF를 이메일로 보내도록 하세요. 소유자가 이를 열어 낯선 수취인, 비정상적인 이체, 또는 패턴에 맞지 않는 금액이 있는지 살핀 다음 조정을 위해 전달합니다. 내역서에 서명과 날짜를 기입하면 완료됩니다.
  • 소유자가 검토하고 서명한 월간 은행 계정 조정. 장부 기록자가 조정을 수행하더라도 소유자가 완료된 조정 보고서를 검토하고 하단에 서명해야 합니다. 미결제 수표(outstanding checks) 중 오래된 것이 있는지, 미기입 예금(deposits in transit)이 다음 달에 실제로 입금 처리되는지 확인하세요.
  • 장부를 다루는 모든 직원에 대해 최소 1주일 이상의 연속적인 연례 강제 휴가 실시. 이 기간 동안에는 다른 사람이 해당 업무를 대신합니다. 장기간 이어지는 횡령 수법의 대다수는 제3자가 장부를 열어보는 순간 들통납니다. 많은 장부 기록자 사기는 가해자가 강제로 휴가를 가게 되었을 때 적발되었습니다.
  • 불시 점검 실시. 주기적으로 임의의 주간 지출 내역을 추출하여 각 내역이 송장, 승인 서류 및 기록된 전표와 일치하는지 추적합니다. 자주 할 필요는 없으며 분기별로도 충분합니다. 하지만 이런 점검이 일어날 수 있다는 사실 자체가 억제력을 갖습니다.
  • 내부 고발 / 신고 채널. 기업적인 느낌이 들 수 있지만, 거창할 필요는 없습니다. 직원들에게 우려 사항이 있다면 보복 없이 소유자(또는 담당 회계사)에게 직접 보고할 수 있음을 서면으로 알리세요. 모든 직무 관련 부정의 43%는 내부 신고를 통해 적발됩니다. 이는 다른 어떤 감지 방법보다 3배 이상 높은 수치입니다. 직원들은 사장이 보지 못하는 것을 봅니다.

4단계: 사람뿐만 아니라 시스템 통제

직원이 제한적이더라도 회계 소프트웨어, 뱅킹 포털, 급여 시스템을 잘 설정하면 큰 효과를 볼 수 있습니다.

  • 모든 인원에 대해 개별 사용자 로그인 사용. 계정 공유는 절대 금지입니다. 문제가 발생했을 때 어떤 사용자가 수행했는지 알아야 합니다.
  • 회계 시스템 내 역할 기반 권한 설정. 장부 기록자에게 거래 삭제, 결제 완료된 수표 무효화, 거래처 은행 계좌 정보 변경, 또는 계정 과목표 수정 권한은 필요하지 않습니다. 대부분의 현대적인 시스템에서는 이러한 기능을 끌 수 있습니다.
  • 감사 로그(Audit logs) 활성화 및 검토. 소프트웨어에 변경 로그 기능이 있다면 읽는 법을 익히세요. 주기적으로 삭제 내역, 과거 기간의 편집 내역, 거래처 마스터 데이터 변경 사항을 훑어보세요.
  • 기준 금액 이상의 ACH 및 전신 송금에 대한 은행 수준의 이중 승인. 대부분의 기업 금융 포털은 이를 지원합니다. 이를 활용하세요. 장부 기록자가 상신하고 소유자가 승인(방출)합니다.
  • 당좌 예금 계좌에 대한 포지티브 페이(Positive pay) 설정. 발행한 수표 목록을 은행에 업로드하면, 은행은 목록에 없는 수표의 지급을 거절합니다. 이는 수표 위조 사기를 거의 완벽하게 차단하며, 기업 계좌의 경우 무료로 제공되는 경우가 많습니다.

5단계: 파트타임 외부 전문가 활용

사내에서 직무를 완전히 분리할 수 없다면, 회사 외부에서 분리된 기능을 빌려오세요. 소규모 기업에서도 감당할 수 있는 옵션은 다음과 같습니다.

  • 업무를 처리하는 파트타임 경리 대행 업체(Bookkeeping firm)를 두고, 소유자는 승인과 계정 조정 검토를 담당합니다.
  • 월간 재무 상태를 검토하고 거래를 샘플 테스트하며 조용히 제2의 시각 역할을 하는 프랙셔널 CFO(Fractional CFO) 또는 외부 회계사.
  • 공인회계사(CPA)를 통한 연례 검토(Review, 감사보다 한 단계 낮은 수준). 이는 통제 약점이 손실로 이어지기 훨씬 전에 이를 드러내 줍니다.

네 가지 기능 중 하나를 아웃소싱하는 것은 다른 직원을 고용하는 것보다 비용이 저렴한 경우가 많으며, 세 명의 내부 인력으로 구축할 수 있는 그 어떤 것보다 훨씬 강력한 통제 수단을 제공합니다.

실무 예시: 현금 지출 통제 강화

세 명 규모의 사업체에서 고지서 지불이라는 전체 과정을 통해 이를 구체화해 보겠습니다.

통제 강화 전:

장부 담당자가 송장을 수령하고, 회계 시스템에 입력하고, 수표를 발행하고, 대표의 서명 직인을 찍어 우편으로 발송한 뒤, 월말에 은행 계좌를 대조합니다.

이는 네 가지 기능이 한 사람의 손에 집중되어 있을 뿐만 아니라, 서명 직인의 관리권까지 가지고 있는 상태입니다. 이는 교과서적인 부정행위 발생 환경입니다.

통제 강화 후:

  1. 사무국장(또는 장부 담당자)이 송장을 수령하고 시스템에 미지불 고지서로 입력하지만, 지불은 할 수 없습니다.
  2. 대표가 매주 미지불 고지서 내역을 불러와 증빙 서류와 대조하여 각 항목을 검토하고 지불 승인 표시를 합니다.
  3. 장부 담당자는 승인된 고지서에 대해서만 지불 실행(수표 및/또는 ACH)을 생성합니다.
  4. 대표가 모든 수표에 직접 서명합니다. 서명 직인은 폐기합니다.
  5. ACH 지불의 경우 대표가 직접 은행 포털에 로그인하여 장부 담당자가 준비한 파일을 **승인(release)**해야 합니다.
  6. 은행 거래 명세서는 대표에게 직접 우편(또는 이메일)으로 발송됩니다. 대표는 이를 열람, 검토하고 서명한 후에 대조 작업을 위해 장부 담당자에게 전달합니다.
  7. 완료된 대조표는 대표에게 다시 전달되며, 대표는 요약표를 검토하고 서명합니다.

한 사람이 모든 단계를 통제하던 방식에서, 1달러를 횡령하기 위해 (a) 수표에 대표의 서명을 위조하거나(Positive Pay 서비스로 적발 가능), (b) 허위 송장을 대표가 직접 승인하도록 만들거나(증빙 서류 검토로 적발 가능), (c) 공모자를 포섭해야 하는 프로세스로 바뀌었습니다. 부정행위 위험이 0이 되지는 않지만 — 그 어떤 것도 0이 될 수는 없습니다 — "매우 쉬움"에서 "실제로 어렵고 적발될 가능성이 높음"으로 바뀝니다.

철저한 장부 관리가 이 모든 것을 가능하게 하는 이유

위의 모든 통제 장치는 한 가지 조용한 전제 조건에 달려 있습니다. 바로 이상이 눈에 띌 정도로 장부가 깨끗해야 한다는 것입니다. 총계정원장이 잘못 코딩된 거래, 뭉뚱그려진 카테고리, 분류되지 않은 "회계사 확인 필요(Ask My Accountant)" 항목들로 엉망이라면, 은행 명세서를 검토하는 대표는 비교할 기준점이 없게 됩니다. 이상한 지불 건이 소음 속에 숨어버리는 것이죠.

단단하고 잘 조직된 장부 관리는 이러한 통제 장치를 형식적인 절차에서 실질적인 보호 수단으로 바꿉니다. 대조 작업은 1원 단위까지 실제로 일치할 때만 부정행위를 잡아낼 수 있습니다. 거래처 검토는 거래처가 일관되게 입력될 때만 작동합니다. 패턴 파악은 데이터에 실제 패턴이 존재할 때만 가능합니다.

텍스트 기반의 버전 관리 회계(Plain-text, version-controlled accounting)는 여기서 특히 강력합니다. 모든 변경 사항이 기본 파일 이력에 기록되기 때문입니다. 엔터프라이즈 GRC 플랫폼을 구매하지 않고도 정확히 무엇이, 언제, 누구에 의해 변경되었는지 확인할 수 있는 감사 추적(audit trail) 기능이 내장되어 있습니다. 이는 컨트롤러나 감사 부서를 둘 여력이 없는 소규모 기업에게 구조적인 이점이 됩니다.

분기별 내부 통제 체크리스트

이것을 출력해서 서류함 안쪽에 붙여두세요. 3개월마다 한 번씩 점검하십시오.

  • 주요 주기별(수금, 지출, 급여)로 전체 거래를 하나씩 추적하여 문서화된 프로세스를 따랐는지 확인합니다.
  • 가장 최근의 월간 은행 대조표를 확인하고, 은행 명세서 잔액이 총계정원장의 기말 잔액과 일치하는지, 60일 이상 된 미해결 대조 항목이 없는지 확인합니다.
  • 거래처 마스터 리스트를 검토합니다. 지난 분기에 추가된 모르는 거래처가 있는지 조사합니다. 거래처 주소를 직원 주소와 비교해 봅니다.
  • 한 주기의 급여 대장을 검토합니다. 모든 이름을 확인하십시오. 신규 입사자나 급여율 변경 사항을 조사합니다.
  • 회계 시스템의 감사 로그에서 삭제되거나 무효화된 거래를 확인합니다. 마감된 기간의 거래를 조사합니다.
  • 장부에 기록된 모든 인원이 지난 분기에 최소한의 필수 휴가를 사용했는지 확인합니다.
  • 은행 계좌의 서명 권한이 여전히 의도한 대로 유지되고 있는지 확인합니다.
  • 신용카드 명세서를 확인하고 각 청구 건에 문서화된 사업적 목적과 영수증이 있는지 확인합니다.

1년에 네 번, 20~30분이면 충분합니다. Plant Nutrition Services의 장부 담당자는 대표가 사망할 때까지 횡령을 계속했습니다. 적발 시점이 운에 좌우되게 두지 마십시오.

통제를 완화해야 할 때와 강화해야 할 때

내부 통제는 의심증에 관한 것이 아닙니다. 위험 수준에 통제 수준을 맞추는 것입니다. 몇 가지 조정 팁을 드립니다.

  • 강화할 때: 현금 거래량이 늘어날 때, 새로운 장부 담당자를 고용했을 때, 사고가 날 뻔한 직후, 외부 투자자를 유치했을 때, 제3자 신탁 자금(예: 고객 예치금, 착수금)을 다루기 시작할 때, 또는 은행 명세서의 특정 항목을 제대로 설명할 수 없다는 것을 깨달았을 때.
  • 완화할 때 (약간): 통제 장치가 실제 운영상에 고통을 주고 있으며, 다른 곳에 강력한 보완 통제 장치가 있을 때. 모든 통제에는 비용이 따릅니다. 목표는 적절한 범위를 보장하는 최소한의 세트를 구성하는 것입니다.
  • 절대 완화하지 말 것: 수표 서명 권한, 거래처 승인, 은행 명세서 우선 검토. 이 세 가지는 전체 구조를 지탱하는 내력벽과 같습니다.

첫날부터 재무 상태를 체계적으로 관리하세요

강력한 내부 통제는 깨끗하고 잘 정리된 장부 위에서만 작동합니다. 숫자를 믿을 수 없다면 대조 결과도 믿을 수 없으며, 전체 통제 시스템이 무너집니다. Beancount.io는 모든 장부 변경 사항에 대해 완전한 투명성과 전체 버전 이력을 제공하는 텍스트 기반 회계를 지원합니다. 소규모 기업들이 보통 값비싼 소프트웨어를 구매해야 얻을 수 있는 내장된 감사 추적 기능을 제공합니다. 무료로 시작하여 왜 개발자와 재무 전문가들이 텍스트 기반 회계로 전환하고 있는지 확인해 보세요. 또한 호스팅된 Fava 대시보드를 통해 장부 기반의 즉각적인 시각화 기능을 확인해 보십시오.

여러분이 구축하게 될 가장 저렴한 내부 통제는 제3자의 눈으로 검토되는 깨끗한 장부라는 규율입니다. 가장 비싼 통제는 3년 뒤 1달러당 10센트라도 회수하기를 바라며 제기하는 소송입니다.