Samil ACC Briefing

In this issue:삼일 감사위원회센터 see page 1

Key considerations for board and audit committee members see page 2

삼일 Audit Committee School 개설 안내 see page 16

acc.samil.com March 2016 vol.01

Audit Committee Center

In this issue:

01 삼일회계법인 감사위원회센터

02 Key considerations for board and audit committee members

16 삼일 Audit Committee School 개설 안내

Samil ACC Briefing 1

삼일회계법인 감사위원회센터는 업계의 Opinion Leader로서

바람직한 감사위원회의 역할을 정립하고 회사의 장기적인 발전에

기여하고자 합니다.

Audit Committee Center삼일회계법인 감사위원회센터

오늘날 감사위원회는 주주 및 이해관계자의 이익을 보호하기 위해 회사가

투명하고 건전한 지배구조를 갖추는데 더욱더 공헌해야 할 시대적 요청을 안고

있습니다.

이에 삼일회계법인은 수십 년간 외부감사를 중심으로 회사에 일어날 수 있는

수많은 다양한 업무를 경험해 온 국내 최고의 회사 전문가로서 그 역량을

감사위원회에 접목해 보고자 감사위원회센터(ACC)를 출범하였습니다.

본 감사위원회센터는 감사위원회를 구성하는 이사 분은 물론이고 경영진, 학계,

그리고 PwC Global Network와 함께 고민하면서 한국의 향후 기업지배구조의

청사진을 그려 나갈 것입니다.

업무의 첫 순서로 감사위원회센터의 홈페이지를 개설하였습니다. 우선적으로

감사위원회를 둘러싼 관련 법령과 가이드라인 및 해외 사례를 정리하였는바,

곧 "Audit Committee School"을 개설하여 감사위원회 위원 분들의 업무 수행에

필요한 역량개발에 기여하면서 동시에 교류의 장을 마련하여 홈페이지의 내용을

더욱 풍성하게 할 계획입니다.

관련된 질문과 건의사항은 언제든지 삼일회계법인 감사위원회센터로 송부해

주십시오. 성심껏 답변드리겠습니다.

감사합니다.

윤현철 대표

삼일회계법인 Assurance LoS Leader

acc.samil.com acc@samil.com

2 Samil PwC2 Samil PwC

삼일 감사위원회센터에서는 글로벌 감사위원회 동향을 이해·공유하고자

美 PwC 지배구조센터(Governance Insight Center; GIC)의 간행물을

엄선하여 소개할 계획입니다.

그 첫번째는 “이사회 및 감사위원회의 핵심고려사항(Key considerations

for board and audit committee members)”으로, PwC에서 매년 회사의

이사회를 대상으로 하는 설문조사인 “Annual Corporate Directors

Survey”를 기초로 하고 있습니다. 급변하는 사업 환경에서의 기술 진보,

사이버 보안 문제 등 중요한 현안과 기회에 대한 내용을 담고 있으며,

향후 감사위원회와 이사회에서의 논의 수준을 제고하는데 도움이 될

것으로 기대합니다.

Key considerationsfor board and auditcommittee members

Samil ACC Briefing 3

이사회 의제에 대한 새로운 시각

이사회에서 논의해야 하는 의제가 시대상을 반영하면서 진화하고 있습니다. 따라서

이사회 임원들은 기업이 직면하게 될 새로운 이슈들을 사전에 파악해야 합니다.

예를 들면 CEO의 성과 평가와 보상은 물론, 경영 전략, 위험 관리, 기업 윤리,

법규 준수 등이 그것입니다. 이런 의제들에 대해 새로우면서도 비판적인 시각을

견지하는 것은 시대의 요구에 대응하기 위해 반드시 필요합니다. 특히 아래 제시한

항목들이 이사회 안건에 어떤 영향을 미칠지 고려할 필요가 있습니다.

주주 행동주의: 대응을 위한 사전 준비

신기술: 경영 전략에 미칠 영향에 대한 검토

리스크 관리: 리스크 수용도와 제3자 리스크에 대한 관심

사이버 보안: 리스크 감독

위기 관리: 위기 대응 계획에 대한 이해

주목할만한 투자자의 관점: 투자자 시각에 대한 고려

4 Samil PwC

주주 행동주의: 대응을 위한 사전 준비

지난 10년간 해마다 평균 25개의

새로운 행동주의 헤지펀드가

생겨났으며, 그들이 관리하는 자산이

1100억 달러 이상에 이르렀습니다.

2014년에는 S&P 500에 속한 기업들

중 20%에 달하는 수가 주주 행동주의의

목표물이 되었습니다. 따라서 기업의

이사회는 주주행동주의가 날로

증가하는 환경과 이것이 기업에 미치는

영향을 살펴볼 필요가 있습니다.

행동주의자들이 접근하는 기업

주주 행동주의자들이 모두 같은 것은

아닙니다. 다른 펀드들이 현금을

많이 보유한 회사를 좇는 것과 달리

행동주의 헤지펀드는 잘못 관리되거나

예상보다 실적이 좋지 않은 것으로

판단되는 회사를 목표로 합니다. 그들은

성과가 낮은 사업이나 비핵심부문을

분사하도록 압력을 가하고 배당,

자기주식 취득, 경영진 교체 등을 통해

주주들에게 현금을 돌려줍니다.

행동주의자들이 과거에 큰 기업을

목표물로 삼았다면 최근에는 중견기업

이나 소규모 기업을 목표물로 삼는

추세입니다.

행동주의자들의 관심 대상이 되는 기업

• 경쟁사에 비해 시장점유율이

낮은 회사

• 경쟁사에 비해 재무 실적이

안 좋은 회사

• 신상품이나 신기술이 거의 없는

회사(신상품을 출시하기보다는

기존 상품을 보완하는 경향을

보이는 회사)

• 최적화되지 않은 자본구조를

지닌 회사

• 경영진의 잦은 교체

• 투명성과 커뮤니케이션이

결여된 회사

Source: PwC, 2014 Annual Corporate Directors

Survey, October 2014

Base: 210, 104

대응을 위한 사전 준비

일부 기업들은 행동주의자들의

타깃이 될 수 있는, 저평가되고 있는

자산과 원가 절감 방법을 그들보다

앞서서 파악하는 것이 사전 대응에

도움이 된다고 말합니다. 또한 자사의

주주구성과 그 변화를 파악하고

있는 것도 사전 대응을 위해 매우

중요합니다. 그 밖에도 잠재적인

행동주의자들의 개입에 대비해 잘

짜인 위기 관리 계획을 마련하는 것도

의미가 있습니다.

이사회 임원들로부터 들은 바에 따르면,

일부 이사회는 이미 행동주의 주주들과

접촉이 있는 것으로 파악됩니다. 그렇지

않은 경우라 하더라도 이사회에서는

주주 행동주의에 대해 광범위하게

논의하고 있습니다.

이사회와 행동주의

지난 1년간 회사의

이사회가 행동주의

주주들과의 접촉이 있었고

행동주의에 대해 광범위한

논의를 했다고 답한 비율

주주 행동주의자들과의

접촉은 없었지만,

광범위하게 주주

행동주의에 대해

논의해왔다고 답한 비율

29%

14%

Samil ACC Briefing 5

행동주의자가 등장할 때

일단 기업이 행동주의자의 목표물이

되고 나면 행동주의자가 쉽게 물러나지

않는다는 것을 경영진과 이사회는

염두에 둬야 합니다. 기업에서는

행동주의자가 제안하는 변화와 그것을

이뤄내기 위한 전략에 대해서 알고자

하게 됩니다. 이때 객관적으로 듣는

것이 중요합니다. 기업의 경영진은

어떤 기업들이 행동주의자의 목표물이

됐는지, 그리고 행동주의자의 목표를

달성하기 위한 노력이 성공적이었는

지를 알아보게 됩니다. 이때 중요한

것은 기업들이 위기 대응 계획을

실행할지 여부와, 실행한다면 언제

어떻게 실행할지를 고려하는 것입니다.

기업의 주주구성과 의결권 행사 과정에

대한 이해 또한 중요합니다. 최근의

몇몇 사례에서는 기관투자자들이

행동주의자를 지지하고 심지어 그들의

행동에 동참하기도 하는 것을 볼 수

있습니다.

기업 분할: 행동주의자들의 분할 추진 요구

기업 분할은 행동주의자들의 각본에 종종 등장하는 방법이다. 그들은

대기업으로 하여금 저조한 성과를 보이는 자회사 또는 관계없는 사업을

분할하고 떼어내는 기업 분할을 요구한다.

목적: 주주 가치를 강조하고 투명성을 제공하기 위함.

2014년에는 2000년 이래 가장 많은 기업 분할이 관찰되었고, 이후에도

이 추세가 계속될 것으로 보인다.

이사회 임원이 고려해야 할 사항

주주 행동주의에 대응하기 위해 이사회

안건으로 삼아 적극적 논의가 필요한

사항들

행동주의자들의 성향을 확인하고

회사가 행동주의자들의 타깃이 될 만한

요소를 가지고 있는지 파악

회사가 행동주의자의 관점에서 어떻게

보이는지에 대한 평가 여부를 경영진과

논의

행동주의자의 움직임이 포착될 경우,

이에 대한 기업의 위기 대응 계획에

대해 경영진과 논의

6 Samil PwC

신기술: 경영 전략에 미칠 영향에 대한 검토

새로운 기술이 사회에 미치는 영향이

점점 커지면서, 기업의 경영 전략 역시

많은 영향을 받고 있습니다. 이사회

임원들도 기업의 전략을 수립하는데

IT가 상당히 기여하고 있다고 믿고

있습니다.

빅 데이터, 소셜 미디어, 클라우드

기술을 본격적으로 사용하게 되면서

기업 경영 전략의 많은 부분에 변화가

생겼습니다. 음성 인식, 디지털 프린팅,

디지털 미디어, 드론 등 여타 다른

기술의 진보들 또한 기업의 전략적

의사 결정에 큰 영향을 미칠 것입니다.

그렇다면 기업들은 어떻게 변화의

흐름에 발을 맞추며 지속적으로

혁신에 집중할 수 있을까요? 일부

기업들은 전통적·기능적·조직적

한계를 넘어 협업과 창의를 내부 업무

문화로 조성하기 위해 혁신 연구소를

신설했습니다. 그 외에도 산업 안팎의

파트너 업체들과 협력하거나, 전문

경영인이나 산업 전문가를 영입하여

혁신을 촉진·성장시키려 하는 기업들도

있습니다.

신기술을 충분히 활용하기 위해

알아야 할 것들

기업은 수익창출과 기업 성장을 위해

신기술을 사용하고, 책임자들은 소셜

미디어와 직원들의 모바일 기술 사용과

같은 IT 분야에 집중하고 있습니다. 이와

더불어 이사회 임원들은 빅 데이터,

클라우드 기술이 더욱 주목해야 할

분야라고 인식하고 있습니다.

다음에 기술하는 내용은 신기술을

충분히 사용하기 위해 알아야 할

사항들입니다.

1. 빅 데이터

빅 데이터 시장은 2015년에 $321억,

2017년에는 $534억까지 성장할

것으로 예상됩니다. 몇몇 기업들은 빅

데이터를 활용해 더 집중된 시장을

노리고, 고객 경험 관리를 강화하고,

그들의 장점을 더 효율적으로 관리하며,

경영 성과를 향상시키고, 리스크를

최소화하고 있습니다. 예를 들어, 많은

기업들이 방대한 양의 과거 데이터와 제

3자에게서 제공받은 데이터를 가공해

고객 반응 예측과 같은 정보를 추출해

냅니다. 이러한 예측분석의 과정을

빅 데이터 이용하기

소매상들은 소비자들의 쇼핑 목록과 구매 이력 등을 조사하여 맞춤형

제안을 하거나 소비자들이 관심 있는 제품을 선보이는데 빅 데이터를 이용한다.

제조업체들은 생산성을 높이기 위해 제조공정을 관찰하고, 제조한 상품의 품질 검사를

효과적으로 진행하며, 제품의 낭비를 줄이는데 빅 데이터를 이용한다.

미국증권거래위원회(SEC)는 막대한 양의 거래 데이터를 분석하여 시장행태를 이해하고

잠재적인 불법거래나 다른 불법행위들을 추적하는 등 다양한 방식으로 빅 데이터를 사용한다.

Samil ACC Briefing 7

거치는데 있어 어려운 점은 빅 데이터를

실제로 사용할 수 있는 “스마트 데이터”

로 변환시키는 것입니다.

2. 모바일 컴퓨팅

모바일 상거래 시장 규모는 2018년이면

$6260억에 도달할 것으로 예상됩니다.

또한 미국의 경우 전자상거래 규모에서

모바일 상거래가 차지하는 비율이 2014

년 19%에서 2017년이면 26%을 차지할

것으로 보입니다. 비단 밀레니엄 세대

(1978년 이후 출생한 세대)만이 모바일

상거래를 이용하는 것은 아닙니다.

미국에서 모바일 쇼퍼 중 25%는 55세

이상입니다. 따라서 많은 기업들이 자체

브랜드의 모바일 앱 개발을 고려하거나

모바일 광고에 집중 투자를 하는 등,

모바일 관련 전략을 세우는데 노력을

기울이고 있습니다.

모바일 컴퓨팅을 사용하는데 있어

염두에 두어야 할 것은 모바일 전략을

유지하고, 민감한 정보의 보호, 특히

개인 정보를 보호하는데 들어가는

비용과 유지 관리 노력입니다.

3. 클라우드 컴퓨팅

클라우드 기술에 사용되는 비용이

2017년이면 $2350억을 넘어설 것으로

예상되며, 이는 2011년에 비해 세 배가

넘는 숫자입니다. 많은 기업들은 이

기술을 도입해 업무를 더 빠르게,

유연하게, 효율적으로 하면서 동시에

비용 또한 줄이고자 합니다. 클라우드

기술로 인해 사내 서버와 데이터

센터의 필요성이 점차 줄어들 수

있고, 이는 곧 기업들이 소프트웨어와

하드웨어를 사는 비용이 줄고 더불어

직원 관리 비용 역시 줄어드는 것을

의미합니다. 대신 기업들은 인적자원

관리, 재무 정보 관리, 물품 조달과

공급망 관리를 위해 클라우드

소프트웨어에 투자해왔습니다. 그러나

중요한 정보를 제3자에게 위탁해야

하는 클라우드 기술은 데이터 보안과

사생활 노출이라는 위험 부담을 늘 안고

있습니다.

4. 소셜미디어

성인 인터넷 사용자 중 75% 이상은

SNS를 이용합니다. 소셜 미디어를

활용하는 이들 중 다수는 상품과

서비스의 판촉 활동, 할인 행사, 신제품

정보와 고객 서비스를 받고 피드백을

제공하기 위해 기업 브랜드 계정에

접속합니다. 구매를 고려할 때 소셜

미디어를 활용하는 인터넷 사용자는 약

46% 정도로 추산됩니다.

따라서 많은 기업들이 고객 서비스를

개선할 뿐 아니라, 브랜드 충성도와

인지도를 높이기 위해서도 소셜

미디어를 활용하고 있습니다. 그러나

소셜 미디어의 잘못된 사용과 기업

평판에 악영향을 끼칠 수 있는 부정적

여론과 같은 위험들 또한 간과해서는

안됩니다.

이사회 임원이 고려해야 할 사항

회사가 기술 변화에 뒤처지지 않고

기존 경쟁자들의 움직임과 잠재적

제약에 대응할 수 있는 방안을

경영진과 논의한다.

회사가 어떻게 신기술을 이용해서

성장을 이끌어 내고 관련 위험을

관리하는지 이해해야 한다.

회사가 도입한 특정 신기술의 용도에

대한 이사회의 감독 역할에 동의한다.

빅 데이터

빅 데이터 시장은

2015년 $321억에서

2017년에는 $543억

으로 성장할 것으로

예상된다.

모바일 기기

모바일은 2014년

19%에서 2017년

미국의 전자상거래

매출의 26%을

차지하게 될 것이다.

클라우드 컴퓨팅

클라우드 기술에

지출 하는 비용은

2017년에 2011년

보다 3배인

$2350억을 넘을

것으로 추정된다.

소셜 미디어

인터넷 사용자들

중 약 46%는

구매 시 소셜

미디어를 참고한다.

BIG

Data$53.4 billion

by 2017

26%

$235 billionby 2017

46%

8 Samil PwC

리스크 관리는 언제나 이사회 임원들의

최우선 현안입니다. 이사회는, 회사에게

치명적인 리스크를 관리 감독할 방식과

회사가 전반적으로 수용할 수 있는

리스크의 범위에 대해 합의할 필요가

있습니다. 또한 이사회는 제3자

리스크가 어떻게 관리되는지 질문을

던져보아야 합니다.

우리의 리스크 수용도(Risk

Appetite)는 어떠한가?

우선 회사의 리스크 수용도가 어떻게

정의되는지 이해하는 것이 중요합니다.

리스크 수용도에 대해서 이해하는

것도 어렵지만, 어디서부터 논의를

시작해야 하는 지에 대해서도 의견이

분분합니다. 2014년 진행된 설문조사에

따르면 이사회 임원들은 기업의

리스크 수용도를 이해하는 것에 대해

그다지 확신을 갖지 못하는 것으로

나타났습니다. 응답자 중 51%만이

리스크 관리: 리스크 수용도와 제3자 리스크에 대한 관심

이사회가 기업의 리스크 수용도를

“매우 잘 이해”하고 있다고 답했습니다.

이는 2년 전 64%에 비해 13% 낮아진

수치입니다.

리스크 수용도란, 조직이 전략적 목표를

달성하기 위해 기꺼이 받아들일 수

있는 리스크의 수용 범위를 의미합니다.

이것은 기업에 발생 가능한 다양한

리스크에 대해 정량적이고 정성적인

요인을 모두 고려하여 정리하는

“리스크 프로파일”에서 시작합니다.

그 후 회사는 그들의 재무상태, 운영

역량에 따라 실제 수용할 수 있는

위험의 양과 종류를 고려하게 됩니다.

이때 범위는 회사의 전반적인 리스크

용량을 넘어서는 안됩니다. 리스크

용량이란 리스크 수용도보다 더 높은

한계점이며, 회사가 자신의 역량에

따라 견딜 수 있는 실제 위험 수준을

의미합니다.

리스크 수용도 이해하기

당신은 회사의 이사회가 얼마나 회사의 리스크 수용 범위를 이해하고 있다고

생각하십니까?

Source: PwC, 2014 연간 기업 이사회 설문조사 (2014년 10월)

Base: 725, 790, 839

51%

54%

62%

2014

2013

2012

Samil ACC Briefing 9

리스크 수용도는 단순한 규정이

아닙니다. 리스크 수용도는 충분한

논의 과정을 통해 정의되고, 대화를

통해 기업 운영과 사업 기회를 최대한

활용하는데 필요한 예산 범위를

설정하는 행위를 통해 이뤄집니다.

리스크 수용도를 정의하지 않은 기업은

리스크를 너무 많이 안고 있거나, 또는

리스크가 거의 없는 기업으로 볼 수

있습니다.

제3자 리스크

기업은 종종 비즈니스 목적을 달성하기

위해 공급망과 유통경로 확장에 필요한

일부 기능을 아웃소싱하는 등 제3자를

활용합니다. 하지만 제3자로 인해

회사의 당기순이익이 중대하게

악화되거나 평판에 문제가 생기는 등의

리스크가 발생할 수 있습니다. 미국의

경우는 “Federal Sentencing Guideline”

(관련법규-역주)에 의거하여 기업이

중개상, 재판매업자, 배급업자, 파트너의

행위에 대해 법적 책임을 지게 될 수도

있습니다.

따라서 기업은 제3자 리스크에 대해

적절한 리스크 관리 방침을 가지고

있어야 하며, 이사회 임원들은 그

방침에 대해 질문을 던질 수 있어야

합니다. 아웃소싱 상대방 및 비즈니스

파트너를 잘 파악하는 것은 리스크

관리 측면에서 중요하며, 특히 민감한

이사회 임원이 고려해야 할 사항

회사에 있어 가장 중요한 리스크를

파악하도록 한다. 또한 경영진이

전략적 방향, 비즈니스 활동, 새로운

위험 등 주요한 변화에 대해 민감하게

대응하고 있으며, 리스크 프로파일을

업데이트하는 절차를 수행하고 있는지

확인해야 한다.

회사의 리스크 수용도에 대한 경영진의

평가에 대해 토론하고, 전략적 목표와

목적이 변화함에 따라 회사의 리스크

수용도가 조절될 필요는 없는지

검토한다. 회사의 제3자 관계에 대해

경영진과 토의하고, 관련 리스크를

어떻게 관리하고 모니터 하는 지에 대해

검토한다.

제3자가 회사의 민감한 데이터에

접근권한이 있는지, 그리고 제3자가

회사의 데이터 프라이버시와 보안

정책에 따르도록 조치를 취하고 있는지

확인한다.

데이터가 공유된다면 더욱 그렇습니다.

제3자 리스크를 관리하는 데 도움이

되는 방법으로 서면상 계약을 체결하는

것과 독립적인 회계 감사 또는 품질

검사 절차를 시행하는 것을 들 수

있습니다.

아웃소싱 벤더에 대한 리스크 평가

2014 - 50%

2013 - 53%

Source: PwC, The Global State of Information

Security Survey 2015, September 30, 2014.

2013년의 53%에

못 미치는 수준인

단지 50% 정도의

경영진들만이

제3자 리스크 평가를

수행했다고 답했다.

10 Samil PwC

사이버 보안: 리스크 감독

데이터 보안은 그 위협 횟수가 증가하고

기하급수적으로 정교해지고 있기

때문에 기업에게는 큰 도전 과제입니다.

아직 공격을 받지 않은 기업도 곧 그

목표물이 될 수 있습니다. 최근 설문

결과에 따르면, 사이버 보안 위협이

증가하면서 많은 이사회 임원들(65%)이

사이버 보안에 대해 적어도 관심을 갖게

된 것으로 나타납니다.

기술적인 이슈가 아닌 경영 이슈

사이버 보안은 경영 이슈이자 동시에

광의의 리스크 관리 이슈에 포함됩니다.

오늘날 기업들은 소비자, 아웃소싱

업체, 유통업자, 공급자, 파트너, 고문

등과 상호 연결되어 있습니다. 이런 제

3자들이 기업 시스템에 접근할 수 있는

다양한 경로가 곧 사이버 공격에 대한

노출 위험을 증가시킬 수 있습니다.

이로 인해 발생할 수 있는 데이터

보안 시스템의 파괴는 기업의 운영과

각종 보고서를 정리하는 프로세스에

영향을 끼치고, 이는 재정적 손실, 법적

소송으로 이어질 수 있습니다. 결국

기업 명성에 상당한 위협을 가하는

심각한 영향을 초래할 수 있습니다.

임직원들로 인한 위험 요소

다른 누구보다 기업의 전·현직 직원들이

많은 보안 사건의 원인으로 지목되고

있습니다. 물론 직원들의 부적절한

행동이 모두 의도된 것은 아닙니다.

임직원들은 모바일 기기의 분실이나

피싱 프로그램에 연루되어 의도치 않게

기업의 데이터 시스템을 위태롭게 할

수도 있습니다. 중요한 것은 직원들이

잠재적 보안 리스크에 노출되지 않고

회사의 방침을 숙지하도록 정기적으로

교육하는 기업 문화의 정착입니다.

또한 직원들뿐 아니라, 회사에 서비스를

제공하고 있거나 제공했던 제3자,

컨설턴트, 계약직원들 역시 회사의 정보

시스템에 접근 권한이 있다면 사이버

보안의 위험 요소가 될 수 있습니다.

이 그래프에 따르면 보안 사건들은 GDP 성장률과 스마트폰 사용자의 증가율을 앞지르고

있다.

보안 사건들

Source: PwC, The Global State of Information Security Survey 2015, September 2014.

48%

22%

21%

글로벌 보안 사건들(GSISS 2015)

글로벌 스마트폰 사용자(eMarketer)

글로벌 GDP(OECD)

Samil ACC Briefing 11

기업의 기술부채는 위험을

증가시킬 수 있다.

오늘날 기업들은 더 크고, 복잡한

디지털 환경을 관리하고 있습니다.

하지만 경우에 따라서 이러한 작업이

대규모 IT 예산 없이 이루어지기도

합니다. 전세계 평균 정보 보안 예산은

전년도에 비해 4% 감소했습니다.

그 결과 기업들은 소프트웨어

업그레이드나 과거 IT 인프라의 교체를

미루고 있습니다. 이러한 “기업의

기술부채”(적정 수준에 미달하는 IT

투자-역주)로 인해 기업은 더 큰 사이버

공격 위협에 노출되고 관련 비용이

오히려 증가할 수 있습니다. 경영진은

IT 예산과 자원의 적정성을 평가하고

기업의 기술부채와 관련된 리스크를

파악하여 이사회에 투명하게 보고해야

합니다.

NIST 개념 체계에 따른 효과적인 사이버 보안의 5가지 핵심 기능

식별(Identify): 시스템, 자산, 데이터 그리고 역량과 관련된 사이버

보안 리스크를 어떻게 관리하는지에 대한 이해

보호(Protect): 자산을 보호하고 사이버 보안 리스크를 막기 위해

필요한 통제와 보호장치

감지(Detect): 사이버 보안 관련 사건에 대한 사전 대비와 실시간

알림을 제공하기 위한 계속적인 모니터링

대응(Respond): 사이버 보안 사건에 즉각적으로 대응하는데

필요한 정책과 활동

복구(Recover): 회복력을 유지하고 사이버 공격 이후 역량을

복구하기 위한 업무 연속성 계획

NIST(미국국립표준기술연구소)

개념 체계

2014년 2월, 미국 상무부의 국립표준

기술연구소는 사이버 보안의 개념 체계

(“the Cybersecurity Framework”)를

발표했습니다. 이는 기업들이 그들의

역량을 평가하고 개선된 사이버 보안

실무를 위한 로드맵을 작성하는데

필요한 리스크 기반 가이드라인을

정리한 것입니다. 당초 이것은 주요

기반 시설 관련 기업들을 대상으로

만들어졌으며, 채택 여부는 자발적으로

선택하도록 안내됐습니다. 그러나

일부에서는 이 개념 체계가 보험회사를

비롯해 대부분 기업의 데이터 시스템

공격에 대한 법적 소송 절차에 활용될

수 있다는 의견을 제시했습니다. 이처럼

사이버 보안 개념 체계의 이용범위가

확대됨에 따라 많은 기업들이 이것을

기준으로 자 기업의 사례들을 검토하고

있습니다.

이사회 임원이 고려해야 할 사항

사이버 보안 프로그램이 회사의 가장

귀중한 자산을 보호하고 있는지와

적절한 수준의 관심, 자원, 리더십에

의해 운영되는지에 대해 적극적으로

논의한다.

잠재적인 보안 리스크와 기업 방침에

대해 기업이 직원들과 제3자를 어떻게

교육하고 있는지 이해한다.

IT 보안 예산을 포함한 IT 예산을

경영진과 논의하고 적정수준에

미달하는 IT 투자(“기술부채”)가 있는지

현황을 파악한다.

미국국립표준기술연구소(NIST) 개념

체계에 대해 질문하고, 경영진이

사이버 보안 프로그램을 개선시키는

가이드라인에 대해 고려하고 있는지

확인한다.

12 Samil PwC

위기 관리: 위기 대응 계획에 대한 이해

사이버 공격은 기업이 직면할 수 있는

위기의 한 종류일 뿐입니다. 이 외에

자연 재해, 심각한 제품 하자, 심지어

급작스러운 리더십 변화도 기업이

직면할 수 있는 위기입니다. 이러한

리스크는 한번 발생하면 기업의 명성에

상당한 영향을 줄 수 있기 때문에

이에 대한 기업의 적절한 대처가 매우

중요합니다.

시나리오 테스팅은 실무를 개선시킬

수 있다

대부분의 이사회 임원들은 기업의

위기 대응 커뮤니케이션 계획을

“매우 잘” 또는 “어느 정도” 이해하고

있다고 답했습니다. 이는 2년전, 절반에

못 미치는 응답률에 비해 높아진

수치입니다. 그러나 흥미로운 것은 실제

위기가 닥치면 위기 대응 계획이 종종

혼란 속에 잊혀진다는 사실입니다.

그리고 이것은 비효율과 잠재적 실수를

야기시키곤 합니다.

기업들은 그들의 위기 대응 계획을

평가하고 시험해보고자 합니다. 이

경우 시행되는 시나리오 테스팅은 더욱

효과적인 실무를 가능케 합니다. 또한

시나리오 테스팅은 물론 중요하지만,

충분히 검토된 계획임에도 불구하고

항상 효과가 있는 것은 아니라는 사실을

위기 관리 계획의 일부로 몇몇 회사들은 구체적인

시나리오를 검토하고 사건별 대응 계획을

긴급상황에서도 실행가능한지 테스트하기 위하여

시나리오 테스팅을 수행한다.

인지해야 합니다. 기업들은 위기에

직면하면 상황을 주시하면서 필요에

따라 재빨리 상황에 맞게 계획을

조정해야 할 필요가 있습니다.

최근 위기에서 배운 교훈들

제대로 된 위기 대응 팀을 갖는다:

기업들은 적절한 전문가와 함께 제대로

된 위기 대응 팀을 운영해야 합니다.

팀의 구성은 위기 상황에 따라 다를

수 있습니다. 예를 들어, 보안 공격에

대응하는 팀과 자연재해에 대응하는

팀이 다른 것과 같습니다.

메시지를 관리한다:

경영진은 위기 상황에서 의사 소통을

할 때 상당한 주의를 기울여야 합니다.

특히 기업 내·외부로 나가는 메시지를

관리하고, 모든 사실이 명확해지기 전에

지나치게 많은 세부 정보가 흘러나가지

않도록 주의해야 합니다. 종종 이미

알려진 사실이 짧은 시간 내에 엄청난

변화를 불러오는 경우가 있습니다.

이러한 변화로 인해 기존과 다른 위기

대응 계획을 세워야 하고, 그 과정에서

기업이 불완전하거나 부적절하게

대응할 경우 이해관계자들로부터

신뢰를 잃을 수 있습니다. 소셜

미디어는 위기 시 중요한 의사소통

수단이 될 수 있습니다.

독립적인 변호인단의 참여를 검토한다:

상황에 대한 조사가 필요한 경우, 감사

위원회와 이사회는 경영진이 익숙한

기존의 법무법인 대신 독립적인 법률

자문사를 고용할지 결정해야 합니다.

그 이유는 조사의 신뢰성과 객관성을

중시하는 모든 관계자들과 규제

담당자들 - 미국증권거래위원회(SEC),

증권거래소, 외부 감사인 그리고 기업

운영진 - 을 만족시키는데 독립적인

법률자문사의 역할이 필요할 수 있기

때문입니다.

당국과의 네트워크는 조기에 형성한다:

위기 상황에 처한 기업은 규제 담당자나

해당 법률 집행 기관의 도움이 필요할

수 있습니다. 그러므로 위기가 발생하기

전에 경영진들은 위 기관들의 주요

인사들과 네트워크를 형성하는 것을

고려해야 합니다.

이사회 임원이 고려해야 할 사항

실수와 비효율성을 줄이기 위해

경영진들이 위기 관리 계획의 시나리오

테스팅을 실행했는지 확인한다.

회사가 위기 상황에서 메시지를

전달하기 위해 소셜 미디어를

활용하는지 여부와 그 방법에 대해서

이해한다.

최근 위기에서 배운 교훈들을 고려하여

회사의 위기 대처 계획에 어떤

변경이나 실행 사항이 필요한지에 대해

경영진들과 논의한다.

Samil ACC Briefing 13

주목할 만한 투자자의 관점: 투자자 시각에 대한 고려

오늘날에는 자본시장에 투자하는

다양한 규모와 종류의 투자자들이

존재합니다. 이러한 투자자들은

다양한 관점과 투자전략을 지니고

있지만 대부분은 이사회가 효과적으로

운영되기를 기대합니다. 따라서

이사회는 회사 주주들의 구성과 그들의

견해를 파악하는 것이 중요합니다.

이사회 구성원의 다양화 및 개편

이사회 임원들과 기관투자자들 모두

재무관련 전문지식이 가장 중요하다는

것에 동의하고 있습니다. 이와 더불어

산업과 운영 전문성도 그들이 중요하게

여기는 부분입니다.

기관투자자들은 이사회 구성원의

다양성에 대해 민감한 이해관계를

지니고 있으며 이사회 임원들에 비해

성별 다양성을 “매우 중요하다”고

생각합니다. 게다가 많은 개인투자자

집단 역시 투자한 회사의 이사회

구성원들의 다양성을 높이는데

주도적으로 참여하고 있습니다.

이사회 개편은 기관투자자들과 다른

이해관계자들에 의해 점점 더 관심의

대상이 되고 있습니다. S&P 500

기업들의 사외이사 수가 2014년

주총시즌(원문은 ‘Proxy year’: 의결권

위임장 행사 연차-역주)에 증가하기는

했지만 여전히 10년 전보다 현저하게

적은 숫자입니다. 동시에 이사들의

평균 나이와 정년 역시 증가하는

추세를 보이고 있습니다. Institutional

Shareholder Services(세계 최대

의결권 자문사로서 미국금융사인

모건스탠리 캐피털 인터내셔널의

자회사. 세계 주요 기업의 주주총회

안건을 분석해 전 세계 1700여 개

대형 기관투자자에게 찬·반

형식으로 의견을 제시-역주)는

이사의 정년을 2014년 주총시즌에

회사등급평가시스템의 한 기준으로

사용하기 시작했습니다.

이사회는 회사의 미래전략방향을

감독하는데 요구되는 자질을 어떻게

갖출지에 대해, 그리고 이러한 능력이

이사회 구성원이 이미 보유하고 있는

자질과 어떻게 대응되는지에 대해

지속적으로 고려해야 합니다. Source: PwC, 2014 Investor Survey, October 2014,

PwC, 2014 Annual Corporate Directors Survey, October 2014.

이사회 임원이 갖추어야 할 중요한 자질

응답자들이 “매우 중요하다”고 선택한 자질들의 순위

재무전문성

리스크관리전문성

운영전문성

산업전문성

성별다양성

재무전문성

산업전문성

운영전문성

리스크관리전문성

국제전문성

1

2

3

4

5

기관투자자의 응답 이사회 임원들의 응답

14 Samil PwC

이사회와 주주간 대화와 참여

이사회와 투자자들이 직접 대면해

대화를 나누는 것에 대해서는 논란의

여지가 있습니다. 이사회 임원들의 70%

이상은 최근 12개월 사이에 이사회가

기관투자자들과 직접 커뮤니케이션을

했다고 답했습니다. 그리고 대략 절반

정도의 기관투자자들과 25% 정도의

이사회 임원들이 동일 기간 동안

서로간의 의사소통이 증가했다고

답했습니다. 그러나 이에 대해 다른

의견을 가진 이사회 임원들은 이러한

관행에 대해 매우 조심스러운 태도를

취하고 있습니다. 이사회 임원들 중

25% 정도는 이사들이 어떤 주제에

대해서도 투자자들에 직접적으로 관여

하는 것은 적절치 못하다고 답했습니다.

이사회와 직접적으로 의사소통을 하는

것에 대해 기관투자자들의 의견 역시

매우 다양합니다. 일부 기관투자자들은

이사회와의 교류가 단순히 참여를

위해 이루어지는 것이 아니라 목적이

있어야 한다고 보고 있습니다. 또 다른

기관투자자들은 “주주연락위원회”를

제안하는 것을 포함한 활발한 참여를

고려하고 있습니다. 투자자들과

이사회 임원들 사이의 직접적인 의사

소통은 특정 환경하에서는 유리할

수도 있습니다. 이사회 임원들은 주주

제안 건이나 경영진에 대한 보상과

같은 정책적 이슈는 기관투자자들과의

대화에서 다룰 수 있는 주제라고

답했습니다. 이에 비해 기관투자자들은

이사회 구성이나 경영 성과 등이

의사소통의 주제로 적절하다고

생각하고 있습니다.

의 이사회 임원들이 지난 해 기관투자자들과의 직접적인 커뮤니케이션이

증가했다고 답했다.

48%의 투자자들이 같은 언급을 하였다.

25%

Source: PwC, 2014 Annual Corporate Directors Survey, October 2014,

PwC, 2014 Investor Survey, October 2014.

Samil ACC Briefing 15

이사회 임원들 중 절반에 못 미치는

숫자가 주주들과의 직접적인 소통에

앞서 이에 대한 회사의 관례와 실제

사례에 대해 검토했습니다. 이사회

임원들은 주주들과 직접적으로 소통할

경우 어떤 주제를 다뤄야 하는지 미리

검토하고 결정해야 합니다. 따라서

이사회는 주주들의 참여 요청을

수락하기에 앞서 이에 대한 계획과

사례를 충분히 검토해야 할 필요가

있습니다.

이사회 임원이 고려해야 할 사항

이사회가 최적의 성과와 미래의

성공을 위해 필요한 자질, 경험, 그리고

다양성을 지니고 있는지 평가한다.

이사회가 주총의안설명서(Proxy report)

관련 이사회의 구성원 결정에 대해

투명성을 강화 시켜야 하는지 고려한다.

이사회가 투자자들과 직접적으로

소통을 해야 하는지, 그리고 한다면

언제 이러한 소통을 해야 하는지

결정하고 그에 대한 회사의 관련 절차가

마련돼있다면 사전에 숙지한다.

이사회가 직접적인 의사소통을 하기로

결정했다면, 이사회 임원들 중 누가

중점적으로 그 역할을 담당하는지,

그리고 회사에서는 누가 참여해야

하는지 여부를 검토한다.

이사회와 감사위원회는 이러한 주제들이 어떻게

그들의 회사에 영향을 미치는지 고려할 수 있다.

그들은 특정 사실과 상황하에서 회사에 중요하다고

결정된 다른 주제들을 고려해야 한다.

16 Samil PwC

Upcoming event

삼일 Audit Committee School 개설 안내

감사위원회 업무에 필요한 사항을 비교적 단기간 내에

숙지할 수 있도록 커리큘럼을 구성하였습니다.

자세한 내용은 강좌가 준비되면 다시 안내드리도록 하겠습니다.

대상 감사위원회 위원 혹은 감사 직무를 수행중이거나

수행 예정이신 분, 그리고 이 외에 관심 있으신 분

강좌 개설 시기 2016년 5월 중(예상)

커리큘럼 회계, 재무분석, 내부통제, 리스크, 감사위원회 역할 등

운영 방식 온라인 강좌 5강(계획 중) +

오프라인 강좌 1일(무료 진행 예정)

윤현철 대표

삼일회계법인 Assurance LoS Leader

T. 02 709 0626E. hcyoon@samil.com

박기태 부대표

삼일회계법인 감사위원회센터장, 총괄

T. 02 709 0354E. ktpark@samil.com

황택현 전무

제조 및 일반업종

T. 02 709 0462E. thwhang@samil.com

임성재 상무

금융

T. 02 709 6480E. sjlim@samil.com

감사위원회 활동, 법령, 기타 사례에 대해

질의가 있으실 경우 ACC@samil.com으로

송부해주시기 바랍니다.

Contact us

S/N: 1602W-NL-001

© 2016 Samil PwC. All rights reserved. PwC refers to the PwC network and/or one or more of its member firms, each of which is a separate legal entity. Please see www.pwc.com/structure for further details.

acc.samil.com