--------------------------------------------------------------------------------
사베인스-옥슬리 법(Sarbanes-Oxley Act, SOx, Pub.L. 107-204, 116 Stat. 745, 2002년 7월 30일 발효)은 "상장회사 회계 개선과 투자자 보호법"(상원) 또는 "법인과 회계 감사 책임 법"(하원) 또는 Sarbox or SOX로도 불리는 미국의 회계 개혁에 관한 연방법률로서, 월드컴과 엔론같은 거대 기업들의 잇다른 회계부정으로 인해 막대한 피해가 발생하자 회계제도 개혁의 필요성이 제기되었고, 2002년 7월 30일 법안의 발의자인 상원의원 폴 사베인스(민주당, 메릴랜드)와 하원의원 마이클 옥슬리(공화당, 오하이오)의 이름을 따서 제정되었다.
이 법은 엔론, 타이코 인터내셔널, 아델피아, 페레그린 시스템즈, 월드컴과 같은 거대 기업들의 잇다른 회계부정 사건들에 대한 반응으로 발효되었다. 이 사건들로 인해 관련 회사들의 주가가 폭락하여 투자자들에게 수백만 달러의 손실을 안겨 주었고, 미국 주식 시장의 신용도를 뒤흔들어놓았다. 이 법은 회계제도 개혁의 필요성이 제기됨에 따라 제정되었다.
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
SOX는 사베인즈 옥슬리 법이라고도 합니다.
처음 1929년 세계 대공황 이후 투자자들을 보호하기 위해서 입법된 증권법을 통한 노력에도 불구하고 몇년 동안 재무조직, 회계스캔들이 생기게 되자, 2002년에 사베인즈 옥슬리법(Sarbanes-Oxley Act)이라는 증권법 개정안이 미국의 의회를 통과해서 만든 법입니다.
기업회계 및 재무보고 의 투명성과 정확성을 목적으로 기업의 지배자의 바른 모습과 감사제도를 근본적으로 개혁과 투자자에 대한 기업경영의 책임과 의무, 벌칙등이 규정되어 있죠.
이 법은 기업활동과 문화에 큰 파급효과를 가져다 주었고, 미국을 넘어 전세계적으로 파급효과가 크다고 할 수 있습니다.
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
사베인 옥슬리법 : 미국기업개혁법/SOX법
기업회계 및 재무보고의 투명성/정확성 고양을 목적으로 하여, 기업지배구조(Corporate Governance)의 본연의 모습과 감사제도를 근본적으로 개혁함과 동시에 투자가에 대한 기업경영자의 책임과 의무, 벌칙을 규정한 미국연방법.
Enron사건이나 WorldCom사건 등 190년대 말에서 2000년대 초에 걸쳐서 빈발한 부정회계문제에 대처하기 위하여 제정된 것으로 2002년 7월에 대통령서명에 의해 법률로서 승인되어졌다. 1933년의 연방증권법, 1934년의 증권거래소제정 이래 가장 큰 변경이라고 이야기된다.
정식명칭은 "Public Company Accounting Reform and Investor Protection Act of 2002:상장기업회계개혁 및 투자가보호법" 이며, 법안은 제출한 폴 사베인(Paul Sarbanes) 상원의원, 마이클 G 옥슬리(Michael G.Oxley) 하원의원의 이름에 유래하여 "사베인-옥슬리법」이라 불린다. "기업개혁법"이라 의역되는 경우가 많다.
전 11장 69개 조문으로 구성되며, 상장회사회계감사심의회(PCAOB:Public Company Accounting Oversight Board)의 설치, 감사인의 독립성, 재무 디스클로저(기업정보 공개, disclosure)의 확장, 내부통제의 의무화, 경영자에 의한 부정행위에 대한 벌칙강화, 증권분석가 등에 대한 규제, 내부고발자의 보호 등이 규정되어 있다.
이 법은 미국의 공개기업과 그 연결대상 자회사가 적용대상이 될 뿐 아니라, 외국기업이라도 미국의 각 증권시장에서 주식을 공개한 경우에는 원칙적으로 적용된다.
특히, 주목되는 것이 제404조. 이것은 CEO와 CFO에 대하여 SEC(미국증권거래위원)에 제출하는 서류에 "허위나 기재 누락이 없을 것", "내부통제의 유효성 평가의 開示" 등을 보증하는 증명서와 서명을 첨부하도록 요구하고 있다. 허위가 있을 경우에는 개인적인 책임을 묻게 되며, 벌칙으로 벌금이나 5~20년의 금고형이라는 엄한 형사벌이 마련되어져 있다.
또한 재무보고의 투명성 확보를 위하여 그 기초가 되는 기업 내의 각종 데이터, 업무 프로세스를 포함하여 명확화, 문서화할 것을 의무짓고 있다.
이는 ERP나 회계시스템 등의 정보시스템이나 시스템 개발/보수/운용이라는 업무 프로세스에까지 미쳐 시스템에 대한 접근권한 룰 및 관리, 외부IT벤더에의 위탁계약방법을 포함하여, 공정하고 명확한 절차에 따라 수행되고 그것을 증명할 수 있어야 한다.
2005년 10월 현재, 일본에서도 일본판 SOX법의 제도화가 금융청에서 진행되고 있다.
2002년7월30일, 미국의 부시 대통령이 상원과 하원에서 통과시킨Sarbanes-Oxley기업개혁법에 서명함으로써, 미국의 금융시스템을 개혁하기 위한 제도적 차원의 기틀이 마련되었다. 법률안을 제출한 민주당 상원의원 Paul Sarbanes와 공화당 하원의원 Michael Oxley의 이름을 따서Sarbanes-Oxley법이라고 명명된 새로운 기업개혁법의 주요 골자는 다음과 같다.
●최고경영자(CEO)와 최고재무책임자(CFO)에 의한 확인서(Certification) 제출 및
●내부통제에 대한 경영자 보고서(Assertion)과 외부감사인의 감사(Attestation)
●상장기업과 경영진에 대한 공시기준의 강화,
●감사위원회(Audit Committee)의 책임확대,
● 감사인의 독립성 강화,
●회계법인을 감독하기 위해 SEC산하에 독립기구인 회계감독위원회(Public
●Company Accounting Oversight Board)의 신설,
●내부자 거래의 제한과 증권사기의 방지,
● 기업부정에 대한 처벌강화 등.
Sarbanes-Oxley 법의 대응과제(효과적인 내부통제 구축 및 지배구조 개선)
Sarbanes-Oxley법을 둘러싼 많은 논의의 중점은 내부통제와 관련된 Section 302 와 404가 되고 있다.
Section 302에 의하면, 최고경영자(CEO)와 최고재무책임자(CFO)는 공시 통제 및 절차(disclosure controls and procedures)에 대한 책임에 대하여 개인적으로 인증서명을(certify) 하여야 하며, 분기별로 공시통제의 기능 및 효과에 대한 평가를 수행하였다는 동 경영진의 인증서명(certification)을 포함하여야 한다. 서약한 경영진은 또한 감사위원회(Audit Committee) 및 외부감사인에게 중요한 통제 결함(significant control deficiencies), 중대한 취약점(material weaknesses), 및 부정행위를 공시하였다는 서약을 하여야 한다. SEC는 또한 공시 통제 및 절차 관련 요구사항 뿐만 아니라 재무보고에 대한 내부통제 및 절차(internal controls and procedures for financial reporting)에 서약까지 확대할 것을 권고하고 있다.
Section 404에 의하면, 재무보고에 대한 내부통제 및 절차에 대한 연도별 평가를 규정하고 있다. 또한, 회사의 외부감사인은 재무보고에 대한 내부통제 및 절차의 효과성에 관한 경영진의 주장에 대하여 입증(attest)하는 별도의 보고서를 작성하여야 한다.
대부분의 회사에서 이미 내부통제제도를 구축, 시행 중에 있으나 세부적인 통제절차를 수행하는 직원과 전략적 의사결정을 하는 경영진간의 연결고리가 원활하게 작동하지 않는 경우가 많다. 이 경우 경영목표와 전략방향이 일선 담당자에게까지 효과적으로 전달되지 않을 수 있으며, 마찬가지로 통제활동, 리스크 및 통제상의 결함에 대한 정보가 경영진에 보고되지 않을 수도 있는 것이다. Sarbanes-Oxley 법의 시행으로 CEO와 CFO가 내부통제구조의 적정성에 대하여 공식적으로 인증서명하는 것이 의무화됨에 따라 그 연결고리를 재구축하고 유지하는 것이 핵심적인 과제로 대두되는 것이다.
Section 302 및 404에 대응하기 위해서는 궁극적으로 기업의 통제목적(Control Objectives) 및 통제활동(Control Activity) 의 정의, 효과적인 통제활동수행 , 정기적인 자가진단(Self-Assessment) 절차 및 경영진의 다양한 측면에서의 체계적인 모니터링을 할 수 있는 "내부통제 Program"을 구축하여야 한다.
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
SOX준수와 내부통제 프로그램 구축을 위한 접근 방법
(1) 최종목적을 지향
어떤 회사는 Section 302는 이미 시행되고 있으나 Section 404는 2003년 말까지 시행되지 않을 것이란 명분으로, Section 302 준수를 Section 404보다 우선시키는 전략을 채용하고 있다. 하지만, 두 Section을 별도로 접근하는 것은 비효율적이며. 단순 명료하게 말하자면, 두 Section의 준수는 하나의 동일한 방법론을 통해 접근될 수 있다. 또한, 단순히 Sarbanes-Oxley법 형식적인 준수의 목적뿐만 아니라, 사업부문 및 Process별 내부통제의 효과적인 설계 및 운용으로 실질적인 기업 경쟁력의 제고하기 위한 최종목적을 지향하여야 한다.
(2) 조직구성 및 준수의지 공유
이사회는 회사의 대응을 감독하여야 하며, 최고경영자와 최고재무책임자는 법규준수에 대한 책임을 가져야 하고 핵심 경영진과 사원들과 정보를 교환하여야 한다. 그리고 운영위원회(Steering Committee)는 조직 전반의 Sarbanes-Oxley법 대응의 감독 및 조정 기능을 수행하여야 한다.
● Sarbanes-Oxley 법이 회사에 미치는 영향 이해 (회사 규모, 산업, 조직 구조, 업무
● 복잡성 등을 고려)
● Sarbanes-Oxley 법의 준수는 경영진에서부터 시작:
● -CEO와 CFO: 전반적인 대응수준을 결정하고 필요한 조치를 주도
● -이사회: 내부통제 프로그램의 개발을 지속적으로 감독
● 주요 임직원에 대한 공식적인 Communication
● -S-O Act 준수를 위한 추진방향 및 관련 경영진, 단기 과제에 대한 정의 등
● 전사적인 준수 노력을 감독하고 조정하기 위한 운영위원회 (steering committee)
● 구성 고려
● -이행활동에 대한 감독역할을 이사회로부터 위임 / 진행상황 보고
● -외부 자문역을 포함하여 의사결정 및 자원배분의 권한이 있는 경영진 (경리담당임
●- 원, 감사 등)을 포함
(3) 내부통제 Framework의 선정
법규의 목적을 충족시키기 위해, 많은 회사들은 COSO(the Committee of Sponsoring Organizations of the Treadway Commission)의 권고에 따른 내부통제구조를 수립하고 있다.내부통제에 대한 여러 framework중에, COSO 가 지배적인 모델이 될 것으로 판단되며, 또한 COSO framework을 채용할 것을 권고하고 있다.
o 통제환경 (Control Environment): 내부통제의 효율적 운용을 위한 요인으로서 다른 구성요소들의 기본토대를 제공 (경영방침, 윤리규범, 조직구조 등)
o 리스크 평가 (Risk Assessment): 조직의 목표달성을 저해할 수 있는 내·외부 위험 요인의 식별, 분석 및 문서화
o 통제활동 (Control Activities): 식별된 리스크를 감축하기 위한 통제목적 (control objectives)에 대한 구체적인 정책, 기준 및 업무절차 등의 제반 활동
o 정보 및 의사소통 (Information and Communication): 경영진의 전략방향을 전달하고, 실무진의 내부통제 수행결과, 취약점 및 당면 과제 등에 관한 정보를 보고함으로써 효과적인 내부통제를 지원
o모니터링 (Monitoring): 내부통제의 운용상황에 대한 주기적인 평가 및 감독활동
(4) 공시위원회의 구성
공시위원회의 구성은 SEC 보고자료의 적정성, 정확성, 완전성 및 적시성 (FACT: Fairness, Accuracy, Completeness, Timeliness)을 확보하기 위한 가장 중요한 내부통제 중의 하나라고 할 수 있다.
o 구성: 경리책임자 (Controller), SEC 공시 관련 법무책임자, 리스크 관리임원 (CRO), IR 책임자, 감사/내부감사 담당 임원 등
o 주요 업무:
---● -투자자에게 공시되어야 할 정보의 범위 설정
---●-공시사항이 작성 및 승인되는 절차 감독
---●-"중요한" 거래 혹은 사건, 내부통제의 "중대한" 취약점 및 결함에 대한 기준 설정
---●-내부통제의 취약점에 대한 검토 및 CEO와 CFO에 공시여부를 자문
---●-공시내용에 영향을 미치는 중요한 정보 및 관련 프로세스의 유효성을 CEO와
---●CFO가 인지할 수 있도록 지속적으로 보고
---●-공시될 정보의 적정성에 대한 사전 검토
(5) 내부통제 Program의 구축
세부적인 통제절차를 수행하는 직원과 전략적 의사결정을 하는 경영진간의 연결고리가 되는 내부통제 Program을 구축하는 단계로서 많은 인력과 행위가 요구된다.
o 프로젝트 계획 -내부통제 프로그램 관리 팀을 구성.
o 통제환경 평가 - 내부통제의 토대인 통제환경의 구축은 무결성, 윤리가치 및 역량, 경영철학, 권한과 책임의 위임, 그리고 이사회의 방침 등의 요소를 포함.
o 범위(Scope) 정의 -재무보고 및 공시 위험을 식별하고 우선순위 및 집중해야 할 부문을 식별.
o 통제 Repository의 구축 -내부통제와 관련된 모든 정보 및 활동의 정보교환창구의 역할을 수행하며, 통제활동(Control Activities)의 운영 효과성에 대한 test 방법 뿐만 아니라 통제목적(Control Objectives)의 문서화, 설계 및 구축을 포함하는 통제 Repository의 구축.
o Test의 수행 - 통제활동(Control Activities) 운영 효과성에 대한 통제 책임자 및 내부통제 프로그램 관리팀등 다양한 부문에 의한 평가 또는 자가진단.
o 모니터링 - 내부 감사 기능 및 경영진의 전체적인 내부통제 프로그램 및 Infrastructure의 유효성에 대한 모니터링
상기의 내부통제 Program 접근 방법은 Program관리, 조직 및 인력, 구축Process, 기술(Technology)의 4가지 측면을 고려하여 진행되어야 한다. 특히, 내부통제 프로그램 개발을 위하여 다양한 IT 도구를 이용할 수 있다. Database 프로그램 및 기타 S/W를 이용하여 통제 목적, 절차, 및 활동을 문서화 할 수 있으며, gap 식별 및 취약점을 보강하기 위한 활동에 도움을 줄 수 있으며, 자가진단(self-assessment) 및 통제활동 감독을 지원할 수 있다.
--------------------------------------------------------------------------------