세 명의 직원을 둔 업무 분장: 소규모 사업장의 횡령 방지

약 8분Mike ThriftMike Thrift
세 명의 직원을 둔 업무 분장: 소규모 사업장의 횡령 방지

모든 소규모 사업체 소유주가 경각심을 가져야 할 숫자가 하나 있습니다. 바로 직원 수 100명 미만 기업에서 발생하는 전형적인 사기 사건의 피해액 중앙값이 141,000달러에 달한다는 사실입니다. 이는 최악의 상황을 가정한 예외적인 수치가 아닙니다. 바로 중앙값입니다. 즉, 소규모 사업장 사기 사건의 절반은 이보다 더 큰 비용을 초래합니다. 더욱이 가해자는 낯선 사람이 아닌 경우가 많습니다. 수년간 함께해 온 신뢰받는 장부 담당자, "모든 실무를 도맡아 하는" 사무장, 혹은 회사 내 모든 자산의 흐름을 꿰뚫고 있는 단 한 명의 직원이 그 주인공이 되곤 합니다.

이 위험에 대한 교과서적인 해답은 직무 분리(Segregation of Duties)입니다. 즉, 한 사람이 거래의 시작부터 끝까지 전 과정을 통제하게 해서는 안 된다는 원칙입니다. 하지만 교과서는 여러분의 회사에 재무 부서가 있다는 것을 전제로 합니다. 현실에서의 여러분은 직원이 세 명뿐일 수 있습니다. 어쩌면 두 명일 수도 있죠. 사장인 본인과 파트타임 장부 담당자, 그리고 전화를 받는 아르바이트생 한 명뿐일지도 모릅니다.

그렇다면 여기서 진짜 질문이 생깁니다. 모든 업무를 각기 다른 사람에게 맡길 수 없는 현실적인 상황에서, 어떻게 하면 횡령을 실질적으로 방지할 수 있는 내부 통제 시스템을 구축할 수 있을까요? 해답은 "포기하는 것"이 아니라 "치밀해지는 것"입니다. 이 가이드에서 그 방법을 설명합니다.

소규모 사업장이 사기의 가장 쉬운 표적이 되는 이유

사기 관련 연구자들은 규모가 작은 조직일수록 불균형적으로 큰 피해를 입는다는 사실을 일관되게 발견합니다. 피해액의 중앙값은 대기업과 비슷하지만, 소규모 기업은 이를 감당할 수 있는 수익 규모가 턱없이 부족합니다. 141,000달러의 손실은 대기업에는 수치 반올림 과정에서의 단수 차이 정도일 수 있지만, 연 매출 200만 달러 규모의 사업장에는 직원 급여를 지급하느냐 아니면 폐업하느냐를 가르는 중차대한 문제일 수 있습니다.

그 이유는 소규모 사업장 직원들이 더 부정직하기 때문이 아닙니다. 바로 '기회' 때문입니다. 소규모 기업은 부정 방지 통제 수단이 부족하고, 이를 도입할 예산도 적으며, 감시를 모욕적인 것으로 받아들이는 신뢰 중심의 문화를 가지고 있습니다. 이러한 환경에서 기승을 부리는 수법들은 매우 일상적입니다. 대금 청구 사기(허위 또는 부풀려진 송장 지급), 수표 및 지급 결제 변조, 과다 청구된 비용 정산, 그리고 현금이 장부에 기록되기 전에 가로채는 '현금 스키밍' 등입니다. 이 중 어떤 것도 고도의 기술이 필요하지 않습니다. 그저 한 사람이 업무를 수행하면서 동시에 그 행위를 은폐할 수만 있으면 충분합니다.

이 마지막 문구가 핵심입니다. 사기가 성립하려면 행위와 은폐가 모두 필요합니다. 직무 분리는 부정한 행위를 저지를 수 있는 사람과 그것을 숨길 수 있는 사람이 동일 인물이 되지 않도록 함으로써 작동합니다.

분리가 필요한 네 가지 기능

직무를 나누기 전에 무엇을 나누어야 하는지 알아야 합니다. 회계사들은 모든 금융 거래를 네 가지 기능으로 구분하며, 목표는 이를 각기 다른 사람의 손에 맡기는 것입니다.

**승인(Authorization)**은 구매 요청서 승인, 신규 거래처 등록 승인, 환불 확인 등 거래가 발생해야 함을 확인해 주는 것입니다.

**보관(Custody)**은 현금 취급, 서명된 수표 보관, 은행 계좌 비밀번호 관리, 재고 관리 등 자산 자체에 대한 물리적 또는 디지털적 통제권을 갖는 것입니다.

**기록(Recordkeeping)**은 송장 전기, 지급 기록, 분개장 기입 등 거래 내용을 장부에 입력하는 것입니다.

**조정(Reconciliation)**은 월말에 회계 장부와 은행 거래 내역서를 대조하는 것과 같이, 독립된 소스를 바탕으로 기록을 검증하는 것입니다.

원칙은 간단합니다. 동일한 거래에 대해 한 사람이 위 기능 중 두 가지 이상을 통제해서는 안 됩니다. 기능이 분리되면, 한 기능에서 발생한 오류나 절취가 상호 점검 기능을 수행하는 다른 사람에 의해 발견됩니다. 허위 결제를 기록한 장부 담당자가 은행 거래 내역 조정까지 담당하게 해서는 안 됩니다. 조정 과정에서 해당 결제가 탄로 날 것이기 때문입니다.

위험한 조합은 예측 가능합니다. 보관과 기록 권한을 동시에 가진 사람은 자산을 훔치고 증거를 인멸할 수 있습니다. 승인과 보관 권한을 가진 사람은 자신에게 보내는 대금 지급을 승인하고 직접 수령할 수 있습니다. 승인과 기록 권한을 가진 사람은 허구의 거래를 승인하고 장부 깊숙이 묻어버릴 수 있습니다. 만약 여러분의 장부 담당자가 수표를 작성하고, 이를 입력하며, 계좌 조정까지 한다면 그 사람은 네 가지 기능을 모두 독점하고 있는 것입니다. 이는 통제 시스템의 취약점이 아니라, 통제 시스템이 아예 존재하지 않는 상태입니다.

3인 체제에서 "분리"의 실제 모습

전통적인 교과서적 분리에는 4~5명이 필요합니다. 소규모 사업장에는 그만한 인원이 없습니다. 따라서 가능한 기능을 최대한 분리하고, 나머지는 다른 형태의 통제 수단이 필요함을 인정해야 합니다. 다행인 점은 단 하나의 명확한 분리만으로도 가장 위험한 경로를 차단할 수 있다는 것입니다.

소규모 사업장에서 가장 중요한 단 하나의 분리는 보관 대 기록입니다. 돈을 만지는 사람과 기록하는 사람을 분리하기만 해도, 가장 흔한 형태의 자산 유용 수법을 단번에 제거할 수 있습니다. 실무적으로는 다음과 같습니다:

  • 장부 담당자는 거래를 기록하지만, 은행 계좌에 대한 서명 권한이 없으며 현금 입금을 직접 취급하지 않습니다.
  • 사장(또는 제2의 직원)이 수표에 서명하고, 지급 승인을 내리며, 은행 로그인 권한을 보유합니다.
  • 우편물을 개봉하고 들어오는 수표를 기록하는 사람은 고객 대금을 원장에 기입하는 사람과 달라야 합니다.

두 번째 우선순위는 조정의 독립성을 유지하는 것입니다. 은행 거래 내역 조정은 모든 것을 검증하는 최종 관문입니다. 기록을 작성하지 않은 사람이 정직하게 조정을 수행한다면, 거의 모든 부정 수법은 한 달 이상 지속될 수 없습니다. 따라서 장부 담당자가 아닌 사장이 직접 은행 내역서를 수령하여 조정을 수행하거나, 내역을 항목별로 꼼꼼히 검토해야 합니다. 매달 한 시간 정도 투자하는 이 습관 하나가 수표 변조, 유령 결제, 설명되지 않는 이체 등을 잡아낼 수 있습니다.

실행 가능한 3인 모델은 보통 다음과 같습니다. 사장은 승인(거래처, 대금 지급, 급여 변경 승인)과 조정을 담당합니다. 장부 담당자는 기록을 담당합니다. 제2의 직원(또는 다시 사장)이 현금과 수표의 보관을 담당합니다. 여기서 사장이 두 역할을 맡는 것을 볼 수 있는데, 이는 괜찮습니다. 사장이 승인과 조정을 모두 맡는 것은 장부 담당자가 보관과 기록을 모두 맡는 것보다 훨씬 안전합니다. 승인과 조정 권한만으로는 일반적인 업무 흐름에서 절취와 은폐를 동시에 수행하기 어렵기 때문입니다.

보완 통제: 실제 도구 모음

기능을 분리할 수 없을 때는 보완해야 합니다. 보완 통제는 한 사람이 특정 업무를 수행하는 것을 막지는 못하지만, 부정행위가 적발될 확률을 압도적으로 높여줍니다. 소규모 기업에게 이는 단순한 차선책이 아니라 핵심적인 수단입니다.

개봉되지 않은 상태의 은행 거래 명세서 대표자 검토. 은행 거래 명세서를 집으로 우송받거나, 다른 누구보다 먼저 직접 로그인하여 확인하십시오. 20분 정도 시간을 내어 모든 수표 이미지와 전자 결제 내역을 훑어보십시오. 모르는 지급처, 딱 떨어지는 금액(라운드 넘버), 직원에게 지급된 내역, 그리고 승인 한도 바로 아래의 금액 등을 찾아내야 합니다. 부정행위 실태 조사에 따르면, 대표자 수준의 감독은 소규모 기업의 손실을 지속적으로 줄여주는 몇 안 되는 통제 수단 중 하나입니다.

일정 금액 이상의 이중 승인. 설정된 금액을 초과하는 모든 결제에 대해 두 명의 승인을 요구하십시오. 현금 흐름에 따라 기준 금액을 정하십시오. 많은 소규모 기업은 1,000달러를 기준으로 사용하며, 스타트업은 더 낮게 설정하기도 합니다. 대부분의 회계 및 대금 지불 소프트웨어는 이를 자동화하여 승인 단계를 건너뛸 수 없게 설정할 수 있습니다.

외부 회계사 검토. 외부 회계사나 파트 타임 재무 책임자(fractional controller)에 의한 월별 또는 분기별 검토는 매우 강력한 보완 통제 수단입니다. 외부인은 무언가를 숨길 이해관계가 전혀 없기 때문입니다. 이들은 계정 조정 내역을 검토하고, 추가된 거래처 목록을 살피며, 일부 거래를 표본 추출하여 확인할 수 있습니다. 이는 종종 소규모 기업이 부정 방지를 위해 지출하는 비용 중 가장 가치 있는 투자가 됩니다.

강제 휴가 및 교차 교육. 가해자가 자리를 비우고 다른 사람이 그 업무를 만지게 될 때 많은 부정행위가 드러납니다. 장부 담당자에게 일주일간의 연속 휴가를 가도록 요구하고, 다른 사람이 그 업무를 대신하게 하십시오. 부정행위는 지속적인 통제권 장악에 의존하며, 강제적인 공백은 그 고리를 끊어버립니다.

마스터 데이터 제한. 새 거래처를 추가하거나, 거래처의 은행 정보를 변경하거나, 신규 직원을 등록하는 권한은 그 자체로 하나의 승인 형태입니다. 이를 엄격히 제한하십시오. 놀랍게도 많은 대금 청구 부정은 사기꾼이 생성한 실존하는 것처럼 보이는 가짜 거래처를 통해 발생합니다. 거래처를 추가할 때는 대금을 지급하는 담당자가 아닌 다른 사람의 승인을 받도록 해야 합니다.

시스템 기반의 감사 추적. 모든 거래를 누가 입력, 수정 또는 삭제했는지 기록하고, 그 로그를 변경할 수 없는 소프트웨어를 사용하십시오. 자신의 모든 행동이 자신의 이름으로 영구적으로 기록된다는 사실을 모두가 알게 되면, 부정행위의 득실 계산이 달라집니다. 은폐가 훨씬 어려워지며, 그것이 부정행위 방정식의 절반을 차지하기 때문입니다.

실전 시작 체크리스트

이번 주에 모든 운영 체계를 재설계할 필요는 없습니다. 여기서부터 시작하십시오:

  1. 누가 무엇을 하는지 목록화하십시오. 모든 구성원을 나열하고 4가지 기능(승인, 보관, 기록, 조정) 중 무엇을 맡고 있는지 기록하십시오. 자산 보관과 기록 유지를 동시에 수행하는 사람이 있다면 가장 먼저 해결해야 할 위험 요소입니다.
  2. 장부 담당자의 은행 로그인 권한을 회수하십시오. 거래 내역을 입력하는 사람이기도 하다면 더욱 그렇습니다. 은행 접속 권한은 대표자가 직접 관리해야 합니다.
  3. 은행 거래 명세서를 직접 챙기십시오. 다음 달부터는 다른 사람이 계정 조정을 하기 전에 대표자가 가장 먼저 명세서를 확인하고 검토하십시오.
  4. 이중 승인 한도를 설정하고 소프트웨어에서 해당 기능을 활성화하십시오.
  5. 거래처 및 급여 설정을 대표자 승인 없이는 변경할 수 없도록 잠그십시오.
  6. 외부 검토 일정을 잡으십시오. 분기별 한 번이라도 의미가 큽니다.
  7. 장부를 관리하는 사람을 위해 실제 휴가 일정을 달력에 표시하십시오.

이 중 어느 것도 추가 채용이 필요하지 않습니다. 신뢰와 검증은 반대 개념이 아니라는 점을 명심하십시오. 가장 신뢰하는 직원을 검증하는 것은 그들을 잠재적인 의심으로부터 보호하는 것이기도 하기에, 이는 손실로부터 귀하를 보호하는 것만큼이나 직원에 대한 예우이기도 합니다.

첫날부터 재무 상태를 체계적으로 관리하십시오

강력한 내부 통제는 완전하고, 타임스탬프가 찍혀 있으며, 몰래 변경하기 어려운 기록에 달려 있습니다. 이것이 바로 회계 시스템이 중요한 이유입니다. 장부가 한 사람만 이해할 수 있는 블랙박스라면 어떤 보완 통제도 그 내부를 들여다볼 수 없습니다. Beancount.io는 투명하고 버전 관리가 가능한 평문 회계(plain-text accounting)를 제공합니다. 모든 변경 사항이 추적되고, 모든 항목을 읽을 수 있으며, 전체 이력은 신뢰할 수 있는 사람이라면 누구나 감사할 수 있습니다. 덕분에 소규모 팀에서도 독립적인 검토, 계정 조정, 감사 추적을 훨씬 쉽게 실행할 수 있습니다. 무료로 시작하기를 통해 왜 개발자와 금융 전문가들이 평문 회계로 전환하고 있는지 확인해 보십시오.


출처: ACFE Occupational Fraud 2024: A Report to the Nations; Improving Internal Controls in Departments with Limited Segregation of Duties — Lutz; Segregation of Duties — Hyperproof.