ESG 공시 의무화, 내부통제는 생존 공식이다: COSO ICSR 5대 요소를 중심으로
발행일: 2024년 3월 2일
Ⅰ. 서론: ESG 의무 공시 시대의 핵심 기반, 내부통제
ESG 정보 공시 의무화가 임박하면서, 기업 경영의 새로운 핵심 과제로 ESG 내부통제 시스템 구축이 부상하고 있습니다. 단순한 ESG 활동을 넘어, 공시 정보의 정확성과 신뢰성을 확보하는 것이 기업의 법적 리스크와 무형자산 가치를 좌우하는 시대가 된 것입니다.
KB저축은행 상근감사위원이신 정신동 감사위원은 DBR(동아비즈니스리뷰) 387호 (2024년 2월 Issue 2)에 기고하신 「ESG 내부통제 규준, 어디까지 왔나」 아티클을 통해, 글로벌 규제 동향과 함께 COSO(The Committee of Sponsoring Organization of the Treadway Commission)가 제시한 ICSR(Internal Control over Sustainability Reporting) 가이드라인을 중심으로, 기업이 나아가야 할 ESG 내부통제의 구체적인 청사진을 제시했습니다.
저자 프로필: 정신동 감사위원은 서울대 경제학과 학·석사, 미국 미시간주립대 경제학 박사로, 금융감독원에서 27년간 재직하며 거시건전성감독국장 등을 역임한 금융 및 규제 전문가입니다.
Ⅱ. 왜 ESG 내부통제인가? (Why ESG Internal Control?)
ESG 내부통제가 시급한 이유는 크게 두 가지입니다.
1. 의무 공시와 제3자 검증의 강화
국제지속가능성기준위원회(ISSB S1/S2), 미국 SEC, 유럽 ESRS 등 주요 경제 권역에서 ESG 정보 공시가 자발적 공시에서 규제를 통한 의무 공시로 전환되고 있습니다. 특히, 이들 기준은 온실가스 배출량 정보 등에 대한 제3자 인증을 의무화하고 있습니다.
[명구 인용]
"외부 인증에 앞선 준비 단계로서 공시 정보에 대한 내부적인 확신을 제공하는 내부통제가 필요한 배경이다."
2. 법적 리스크 및 무형자산 보호
규제 당국과 사법 당국이 횡령, 보고 부정뿐만 아니라 내부통제상의 문제를 제재 대상으로 삼기 시작했습니다. 미국 SEC는 내부통제 또는 공시 통제의 실패에 책임을 묻는 제재를 실시하고 있으며, 국내에서도 금융당국에서 금융회사지배구조법상 내부통제 기준 위반에 대한 제재 사례가 등장했습니다. 내부통제는 이러한 법적 리스크를 줄이고, S&P 500 기업 시장 가치의 90%에 이르는 무형자산의 가치를 훼손하지 않기 위한 핵심적 수단입니다.
Ⅲ. COSO ICSR 기반, ESG 내부통제의 5가지 구성 요소
아티클은 COSO의 ICSR을 바탕으로 ESG 내부통제가 효과적으로 작동하기 위한 5가지 필수적 구성 요소를 제시합니다.
1. 통제 환경 (Control Environment)
조직의 기풍과 문화를 결정하며 내부통제 실행의 기초를 제공합니다. 핵심은 ESG 가치를 지키겠다는 경영진의 약속과 헌신 및 이사회의 독립적 감독입니다. 이사회 내 지속가능위원회, 감사위원회 등 하부 위원회별로 ESG 감독 책무를 부여하고, ESG 목표 달성 상황과 연동된 보상 체계를 수립해 담당 직원의 책임을 제고해야 합니다.
2. 위험 평가 (Risk Assessment)
ESG 목적 달성에 부정적 영향을 미치는 위험을 식별, 분석, 평가하는 활동입니다.
운영 목적: 모호한 슬로건이 아닌, 데이터에 기초한 측정 가능하고 구체적인 목표(예: 온실가스 감축 목표)로 설정해야 합니다.
보고 목적: 기업이 환경·사회에 미치는 영향까지 고려하는 '이중의 중대성(double materiality)' 관점에서 정보 공시를 요구하고 있다는 점에 유의해야 합니다.
위험 관리: 질적 평가와 함께 재무적 영향을 측정하는 양적 평가를 병행하며, 허위 광고, 허위 공시 등의 '비재무보고 부정' 을 포함하는 ESG 부정위험도 중요한 평가 항목입니다.
3. 통제 활동 (Control Activities)
위험을 경감하기 위한 활동의 설계 및 실행 단계입니다.
준비도 평가: 통제 활동 설계에 앞서 내부감사 또는 외부 전문가를 통한 'ESG 준비도 평가(readiness assessment)' 를 실시할 것을 권고합니다.
시스템 구축의 시급성: 다수의 기업이 엑셀, 이메일 등 단순한 정보기술에 의존하고 있어 정보 관리가 어려운 문제를 겪고 있습니다.
[명구 인용]
"기존 정보 시스템의 유효성을 재평가하고, 재무정보 통제 시스템에 상응하는 수준의 정교한 ESG 정보시스템을 구축하는 것이 시급한 과제다."
정책과 절차: ESG 목표 달성과 위험 경감에 도움이 되도록 기존 정책을 수정하거나 새로운 정책과 절차를 개발하고 주기적으로 업데이트해야 합니다.
4. 정보와 의사소통 (Information and Communication)
신뢰성 높은 무결성의 데이터 확보와 원활한 내·외부 소통이 중요합니다.
데이터 관리: 검토 및 승인 과정을 추적할 수 있도록 디지털 솔루션을 이용한 감사추적(audit trail) 을 설정하고, 비정형 데이터를 분석하기 위해 데이터 시각화 도구를 활용할 필요성을 강조합니다.
내부 소통: 경영진의 정책 전파(위에서 아래로)와 구성원의 의견 청취 및 부정 신고(아래에서 위로)를 위한 다양한 채널을 마련해야 합니다.
외부 소통과 책임: 연차보고서 등에 ESG 내용이 포함될 경우, 그 내용의 정확성과 신뢰성에 대한 경영자의 책임이 부과될 수 있다는 점에 유의해야 합니다.
5. 감시 활동 (Monitoring Activities)
내부통제 구성 요소가 효율적으로 작동하는지 점검하고 평가하는 활동입니다. 경영진은 상시적인 감시 활동과 내부감사 부문이 수행하는 독립적 평가 활동의 적절한 조합을 고려해야 합니다. 특히, 내부감사는 내부통제 시스템의 적정성 및 효과성에 대한 독립적이고 객관적인 확신과 조언을 제공하는 중요한 기능을 수행하므로, 그 역할을 더욱 확대해야 합니다.
Ⅳ. 인사이트: 한국 기업과 규제 당국에 대한 제언
아티클은 ESG 내부통제가 미흡했던 이유로 구체적인 실무 지침의 부재와 최고경영진의 인식 부족을 꼽으며, COSO의 ICSR이 기업들에게 큰 도움이 될 수 있다고 평가합니다.
👉 한국 기업을 위한 제언:
기업은 ICSR을 참고로 'ESG 준비도 평가' 를 기반으로 우선순위를 정하고 핵심적 요소부터 단계적으로 도입해야 합니다. 특히, 전사적 통제 환경 구축 (최고경영진의 의지와 헌신 포함), 충분한 예산 배정과 기술 투자, 그리고 ESG 실무 인재 확충이 우선 추진할 항목에 포함될 필요가 있습니다.
👉 규제 당국을 위한 제언:
ESG 정보 공시 의무화라는 국제적 흐름에 뒤처지지 않도록 국내 실정에 맞는 ESG 공시 기준을 조속히 마련하고 2026년으로 예정된 시행 시기를 차질 없이 시행해야 합니다. 나아가, 국내 기업들이 참고할 수 있도록 ICSR을 참고한 'ESG 내부통제 모범규준' 을 마련할 필요가 있습니다.
ESG 정보의 정확성과 신뢰성은 국내 기업의 국제 경쟁력 확보를 위한 중요한 요소가 될 것입니다. ESG 내부통제는 더 이상 선택이 아닌 생존을 위한 필수 요건입니다.
댓글 없음:
댓글 쓰기