삼정KPMG “독립 내부감사부서 운영 기업, 10곳 중 1곳도 안 돼”

내부감사부서 독립성 위한 최우선 과제는 ’법제화’

사이버보안 중점검사영역 우선순위 미국의 6분의 1

자료 제공=삼정KPMG

국내 기업 중 독립적인 내부감사부서를 운영하고 있는 기업이 10곳 중 1곳에 못 미치는 것으로 나타났다.

삼정KPMG는 2일 “삼정KPMG 감사위원회지원센터와 한국감사협회(IIA Korea)가 국내 기업 171개사를 대상으로 설문 조사한 ‘2024 내부감사기능 서베이’ 결과 응답 기업 중 8.2% 만이 세계내부감사인협회(IIA)가 요구하는 ‘3차 방어선 모델’에 부합하는 독립적 내부감사부서를 둔 것으로 조사됐다”고 밝혔다. 이번 보고서는 세계내부감사인협회의 ‘3차 방어선 모델’을 기반으로 실질적인 독립성 요건 충촉 여부를 조사했다.

3차 방어선 모델에서 내부감사부서의 독립성 요건은 ▲감사(위원회) 직속 편제 ▲내부감사기능에 관한 사안은 감사(위원회)에 보고 ▲내부감사기능 수행에 관한 행정적 보고는 경영진에게 실시 등을 포함한다. 이 세 요건에 모두 충족한 기업이 8.2%에 그쳤다.

자료 제공=삼정KPMG

응답자들은 내부감사부서 독립성을 위한 개선 과제로 독립적 내부감사부서 설치의 법제화(59.1%)를 꼽았다. 기업지배구조 모범규준의 ‘감사위원회 또는 감사를 보좌하고 실무업무를 수행하는 내부감사부서를 설치’ 규정이 강제성이 없다는 것을 한계라는 설명이다.

내부감사부서의 역량 측면에서 IT 감사와 데이터분석 감사(Data Analytics Audit)를 실시한다고 응답한 기업은 각각 34.5%, 21.6%로 낮게 나타났다. 내부감사부서 내 IT 전문가, 데이터 분석가, 시스템 전문가 보유 비율도 각각 21.1%, 10.5%, 9.9% 수준에 머물렀다.

또 응답기업이 사이버보안을 중점감사영역으로 고려하는 비중은 북미(10%)의 6분의 1 수준인 1.6%에 그친 것으로 조사됐다. 2024년 세계내부감사인협회 조사 결과에서 사이버보안은 해외 내부감사실무책임자가 주목하고 있는 리스크 분야 1위(73%)로 꼽힌 바 있다.

김유경 삼정KPMG 내부감사컨설팅 조직 리더 전무는 “내부감사부서의 독립성은 실효성 있는 경영진 감독의 중요한 요소로 내부감사부서가 경영진의 직속부서일 경우에는 감독 주체가 감독 대상이 되는 모순이 발생한다”고 지적했다. 이어 “감사위원회는 3분의 2 이상이 비상근 사외이사로 구성돼 활동성에 한계가 있다”며 “점차 증대되는 감사위원회의 경영감독 책무를 효과적이고 효율적으로 수행하기 위해서는 독립적인 내부감사부서의 감사위원회 지원업무가 필수적”이라고 강조했다.