샤베인 옥슬리 법

사베인즈-옥슬리 법이란 무엇을 말하나? 
2002년 제정돼 전 세계적으로 영향을 미치고 있는 미국 법안이다. 이 법안의 핵심은 지난 11월 15일 발효된 404 조항(Section 404)에 담겨 있다. ‘엔론 사태’와 같은 재무 조작과 회계 스캔들을 방지하기 위해 제정됐으며 SOX, 사브옥스, SOA라고도 불린다. 

‘사베인즈-옥슬리 법’이라는 명칭은 사실 쉽게 이해되는 것은 아니다 
맞는 말이다. ‘사베인즈-옥슬리 법’은 다소 어렵게 들리는 측면이 있으며 기업회계개혁 및 투자보호법으로 알려져 있기도 하다. 이 명칭은 법안을 처음 발의한 메릴랜드주 민주당 상원의원인 폴 사베인즈와 오하이오주 공화당 하원의원 마이클 옥슬리 두사람의 이름에서 따왔다. 

적용 시점은 언제인가? 
간단히 답한다면 2004년 11월 15일이다. 11월 15일이 사베인즈 옥슬리 법의 핵심 조항이 발효된 날이기 때문이다. 하지만 현실적인 측면을 고려할 때 기업들이 이 법안을 준수하기까지는 상당한 시간이 필요할 것이다. 이 법은 정확히 11월 14일 자정 10분전부터 준비해 15일이 되면 모든 상황이 바뀌는 그런 종류는 아니다. 

그렇다면 현재는 기업들이 이 법안을 지켜보고만 있어야 하나? 
얼마 전까지만 해도 기업들은 SOX와 관련된 이슈를 그저 지켜보는 정도였다. 그러나 대다수 기업들이 이제 법안으로 인해 발생할 문제에 눈을 뜨기 시작했다. CA의 SOX 전문가이자 전략사업개발 부문 이사인 마가렛 브룩스는 재무부서가 이 법안을 “이해”하고 있긴 하지만 “CIO들 대부분은 어떤 문제가 발생할지는 모르고 있다”라고 설명했다. 

이 법안이 다소 엄격한 것은 아닌가? 
익명을 요구한 한 미국인 CIO는 이 의견에 동감한다고 밝혔다. 그는 최근 관련 업계 행사에 참석해 “엄청난 폭풍이 몰려오고 있는 것 같다. 하지만 그것이 무엇인지, 그리고 언제가 될지는 아직 오리무중인 상황”이라고 언급했다. 

이 법안이 IT에 과도하게 의존하고 있다는 점과 이 CIO가 느끼는 혼란이 혼자만의 문제가 아니라는 점만은 확실하다. 많은 기업들은 이 법안이 무엇이고, 또 이 법안을 준수하려면 어떻게 해야 하는지 대응방안을 갖고 있지 않은 상태에서 SOX 망령에 시달리고 있다는 점을 이제야 깨닫고 있다. 

이 법안의 골자를 한마디로 정의한다면? 
기업 이사회에서 다루는 사안 이상의 모든 문제에 중점을 두면서 기업 내에서 허용되는 거래 유형 등 관리에 관한 모든 문제가 포함돼 있다. 예를 들어 이 법안은 임원들과 이사들에 대한 개인 대출을 금지하고 있다. 월드콤의 前 사장 버니 에버스는 이 회사의 스캔들이 표면으로 떠오르기 바로 직전에 거액의 기업 자금을 대출받았다. 

이 법안의 핵심조항 이외의 다른 조항들은 법안 준수여부를 조사하기 위해 파견되는 감사위원회의 책임을 규정하고 있다. 또한 내부 고발자에 대한 보호 장치도 갖고 있다. 

이러한 조항의 대부분은 상식적이고 실현가능하지만 SOX의 실제 위력은 기업에 대한 감시를 강화했다는 점에 있다. 바로 법안 준수 여부가 정확히 모니터링되고 보고된다는 것이다. 가장 중점적인 부분은 기업 내 모든 커뮤니케이션 저장과 업무, 거래, 기타 모든 종류의 비즈니스 거래문서를 기록하기 위해 투명한 감시 시스템이 만들어졌다는 사실이다. 

즉 거래 당사자들이 상대방 또는 애널리스트들과 은밀히 접촉할 수 없으며 이를 통해 거래 자체가 혼탁해질 수 있는 소지가 없어졌다는 말이다. 인스턴트 메신저와 같은 애플리케이션도 보안과 분명한 책임소재를 필요로 하는 부문에 포함된다. 

보안 인스턴트 메신저 업체인 페이스타임 CEO 카일래쉬 앰브와니는 인스턴트 메신저가 시장 선도적인 주요 재무업체들에게 있어 “가장 중요한” 도구라고 확신하고 있다. 그는 “재무관련 업체들은 메신저 측면에서 법 준수에 적절한 보안, 책임의무, 로깅이나 아카이빙 등을 갖추고 있지 못하다”라고 밝혔다. 

그렇다면 기업 내의 모든 파일, 이메일, 메신저 대화 내용과 전화통화가 모두 기록된다는 말인가? 
CA 스토리지 및 정보관리 이사 마크 엘리스에 따르면 이 질문이 바로 모든 사람들이 민감하게 반응하는 사안이다. 하지만 이 법은 그 정도로 극단적이지는 않다. 대다수 기업들은 기업 내 데이터만 기록하면 SOX를 준수하는 것이라고 생각하고 있다. 스토리지와 물류처럼 완벽한 시스템을 염두에 두고 있다면 맞는 말이다. 

엘리스는 이에 대해 “전조등 아래 갇힌 토끼”와 같은 반응이라며 “사람들이 스스로 무엇을 준수해야 하는지 알아야 한다”고 설명했다. 그는 기업들이 이 복잡한 법안을 좀더 정확히 이해할 수 있도록 노력하고 있다며 “법 준수란 무엇을 준수해야 하는지에 대한 것이 아니라 무엇을 삭제할 수 있는지를 알고 있는 것”이라고 밝혔다.

그렇다면 기업들은 어떻게 이 법을 준수할 수 있나? 
대다수 기업들은 회계부문의 정확성을 기하기 위해 공인 회계감사관과 컨설턴트에게 의뢰하고 있다. 미국의 경우 언스트&영과 프라이스워터하우스쿠퍼스(PwC)가 각각 이 시장의 1/5 정도를 점유하고 있으며 KPMG, 딜로이트 & 투치가 각각 13%를 차지하고 있다. 이 업체들을 활용해 성공적인 회계자료를 만든다면 SOX 영향권에 있는 기업들은 그야말로 귀중한 자산을 얻게 될 것이다. 

그렇다면 회계자료는 어떻게 만들 수 있나? 
이 업체들의 목적은 바로 기업들의 법 준수 여부를 테스트하고, SOX 테스트에서 문제될 수 있는 취약점을 찾아내는 것이다. 또한 SOX 법안 준수를 위해 정리된 자료를 통해 주주들의 신뢰도 얻을 수 있다. 현재까지 정리된 5685개의 기업 파일은 곧 이 기업들의 주주들에게도 신뢰를 주는 것이다. 

설령 기업에 아무런 문제가 없더라도 기업들은 법규 준수를 게을리 해서는 안된다. SOX를 준수하지 않으면 아직 확정되진 않았지만 엄청난 벌금을 물 수도 있으며 주주들의 신뢰와 브랜드 가치까지도 잃어버릴 수 있는 심각한 결과가 초래될 수 있다. 어느 누구도 자신이 소유하고 있는 주식이 제 2의 엔론주가 되기를 원치는 않을 것이다. 

대규모 재무 업체들이 약간의 뒷돈을 받고 벌금을 대신 낼 수는 있겠지만 이로 인해 기업의 위신이 실추되고, 브랜드 이미지에 심각한 타격을 받는다면 그에 수반되는 고통은 상상을 초월할 것이다. 

일리 있는 말이다. 그렇다면 이 법을 준수하는 기업들은 이러한 스캔들로부터 100% 안전한가? 
물론 그렇지는 않다. 이 세상에 100% 안전한 것은 아무것도 없다. 그러나 기업들은 이 법을 준수하기 위해 노력했다는 것을 보여줄 필요가 있다. 기업들이 오프라인에서 발생하는 사기꾼들까지도 피할 수 있을 정도로 스스로를 보호하기는 어렵겠지만 최대한 노력했으며 법을 준수하려 했다는 사실만큼은 증명할 수 있을 것이다. 

모든 기업들이 이 법안에 따를 것이라고 생각하나? 
사실 그렇게 해야 한다. 그러나 기업들이 이 법을 준수하도록 할 수 있는 유일한 방법이 이른바 ‘소몰이’식밖에 없다면 그래야 할지도 모른다. @

 

[출처] 11월 15일 발효되는 사베인-옥슬리 법「쟁점 짚어보기」|작성자 mybrainz