SOX 규정 준수는 기업 사기를 방지하기 위한 미국 법률인 사베인즈 옥슬리법(SOX법)의 재무 보고, 정보 보안 및 감사 요건을 준수하는 행위입니다.
SOX를 준수하기 위해 미국에서 사업을 하는 상장 기업은 다음을 수행해야 합니다.
- 재무 데이터가 변조되지 않도록 보호하기 위해 내부 통제를 구현합니다.
- 보안 통제의 효율성과 재무 공개의 정확성을 입증하는 정기적인 보고서를 증권거래위원회(SEC)에 제출합니다.
- 재무 제표 및 통제에 대한 연례 독립 감사를 통과해야 합니다.
SOX 법은 또한 상장 기업을 감사하는 회계 법인과 증권에 대한 연구를 발표하는 애널리스트에 대한 규칙을 설정합니다. 이 법은 사기성 금융 활동 및 특정 형태의 비준수에 대해 상당한 벌금과 형사 처벌을 부과합니다.
SOX는 금융 규정이지만 조직 전체의 이해관계자가 규정 준수에 참여합니다. 복잡한 기업 네트워크에서 금융 정보를 보호하기 위해 기술 솔루션에 의존하는 조직이 늘어나면서 IT 부서와 사이버 보안 팀의 역할이 특히 중요해졌습니다.
컨설팅 회사인 Protiviti의 2023년 보고서(ibm.com 외부 링크)에 따르면, 기업의 절반 이상이 현재 SOX 규정 준수를 달성하는 데 시간이 더 오래 걸린다고 답했습니다. 평균적인 조직은 매년 SOX 규정 준수 노력에 100만 달러 이상을 지출합니다.
IBM X-Force Threat Intelligence Index를 통해 더 빠르고 효과적으로 사이버 공격에 대비하고 대응할 수 있는 인사이트를 확보하세요.
데이터 유출 비용 보고서 등록
2002년 사베인스 옥슬리법(Sarbanes-Oxley Act)은 Paul Sarbanes 상원의원과 Michael Oxley 하원의원이 공동 발의한 미국 연방법입니다. 의회는 21세기 초에 Enron, WorldCom, Tyco의 붕괴를 포함한 여러 금융 스캔들을 계기로 이 법을 제정했습니다.
이러한 사례와 다른 사례에서 상장 기업들은 회계상의 허점과 노골적인 사기를 혼합하여 기업 가치를 부풀려 투자자들에게 수십억 달러의 손실을 입혔습니다. 예를 들어, Enron의 사기 행위가 밝혀졌을 때 Enron의 주가는 주당 미화 90.75센트에서 60센트로 떨어졌습니다.
어떤 경우에는 기업을 감사해야 하는 외부 회계 법인의 도움을 받기도 했습니다. 한때 '빅 5' 회계 회사 중 하나였던 Arthur Andersen은 Enron 및 WorldCom 스캔들에 연루되어 운영을 중단했습니다.
SOX는 조직이 재무 기록을 조작하지 못하도록 보호하는 방법에 대한 엄격한 규제 의무를 설정하고 감사인을 고객으로부터 더욱 독립적으로 만들어 기업 사기를 방지하는 것을 목표로 합니다.
이 법안은 총 11개의 제목으로 구성된 포괄적인 법안입니다. 가장 중요한 영향 중 일부는 다음과 같습니다.
- 상장기업회계감독위원회(PCAOB) 창설
- 재무 보고 요건 강화
- 기업 경영진에게 재무 정보 공개 및 통제에 대한 개인적 책임 부여
- 외부 감사인 및 애널리스트의 독립성 향상
- 내부 고발자 보호
SOX는 재무 감사 기준을 설정하고 상장 기업을 감사하는 회계 법인을 규제하는 비영리 법인인 PCAOB를 설립했습니다.
PCAOB는 규정 위반이 의심되는 기업을 조사하고 개인의 경우 최대 미화 10만 달러, 조직의 경우 최대 미화 200만 달러의 벌금을 부과하여 징계할 수 있습니다.
1934년 증권거래법에 따라 일정 규모 이상의 상장기업은 이미 SEC에 연간 및 분기별 재무 보고서를 제출해야 했습니다. SOX는 이러한 보고서에 오해의 소지가 있는 문구가 없어야 한다고 강조합니다.
보고서는 재무회계기준위원회(FASB)(ibm.com 외부 링크)에서 관리하는 일련의 표준인 GAAP(일반적으로 인정되는 회계 원칙)에 따라 작성해야 합니다.
연결되지 않은 자회사가 보유한 부채와 같이 이전에는 재무 보고서에서 제외할 수 있었던 일부 장외 거래는 이제 회사의 재무 상태에 중대한 영향을 미칠 수 있는 경우 보고해야 합니다. 합리적인 투자자가 투자 결정을 재고하게 만드는 정보는 "중요한" 정보입니다.
또한 기업은 재무 정보에 중대한 변화를 초래하는 모든 사항을 거의 실시간으로 대중에게 보고해야 합니다.
마지막으로, 기업은 내부 또는 외부 행위자에 의한 금융 데이터의 변조 및 부정 사용으로부터 보호하기 위해 내부 통제를 구현해야 합니다. 여기에는 특정 기간 동안 재무 기록을 보관하는 것이 포함됩니다.
SOX에 따라 최고 경영자(CEO), 최고 재무 책임자(CFO) 및 이와 유사한 역할을 수행하는 모든 기업 임원은 재무제표의 진실성과 내부 통제 구조의 효과성을 보장할 책임이 있습니다.
의도적으로 투자자를 오도하지 않았더라도 재무 보고서가 부정확한 경우 경영진은 벌금 및 형사 처벌을 받을 수 있습니다.
이해 상충은 SOX의 통과를 촉진한 스캔들에 기여했습니다. 상장 기업의 재무제표를 감사하는 회계 법인은 종종 해당 기업에 수익성 있는 컨설팅 서비스를 제공했습니다.
회계사들은 고객이 만족할 만한 감사 보고서를 작성해야만 인센티브를 받을 수 있다고 생각했고, 그렇지 않으면 이러한 수익성 있는 계약을 잃을 위험이 있었습니다.
마찬가지로 주식 가치에 대해 보고하는 애널리스트는 상장 기업에 투자 은행이나 기타 서비스를 제공하는 조직에서 일하는 경우가 많습니다.
SOX는 몇 가지 방법으로 이러한 이해 상충을 제거하는 것을 목표로 합니다. 첫째, 상장 기업이 경영진으로부터 독립된 감사위원회를 구성하도록 의무화하고 있다.
이 위원회는 독립 감사인을 고용하고 조정할 책임이 있습니다. SOX는 또한 조직이 감사 결과에 영향을 미치려고 시도하는 것을 불법으로 규정합니다.
회계법인은 SOX 감사를 수행하는 동일한 회사에 컨설팅이나 기타 서비스를 제공할 수 없으며, 조직은 5년마다 외부 감사인을 교체해야 합니다.
증권 애널리스트는 해당 기관의 투자 은행 부분과 독립적으로 운영되어야 합니다. 또한 증권에 대해 보고할 때 잠재적인 이해 상충을 공개해야 합니다.
SOX는 잠재적 사기를 신고한 직원에게 강등, 해고, 정직, 괴롭힘 또는 기타 해를 끼치는 방식으로 보복하는 것을 불법으로 규정하고 있습니다.
SOX는 미국에서 사업을 수행하는 모든 상장 기업과 해당 기업이 전액 출자한 자회사에 적용됩니다. 또한 증권 분석가와 상장 기업을 감사하는 회계 법인에도 적용됩니다.
민간 기업과 비영리 단체는 일반적으로 SOX에 구속되지 않지만 몇 가지 예외가 있습니다. 기업공개(IPO)를 통해 상장을 준비하는 민간 기업은 SEC에 등록 신고서를 제출할 때 SOX의 적용을 받습니다. 상장 기업에 서비스를 제공하는 민간 기업의 내부 고발자는 공공 고객의 위법 행위를 신고할 때 SOX의 보호를 받습니다.
SOX는 공공, 민간, 비영리 단체를 막론하고 모든 조직이 연방 조사를 방해하기 위해 재무 기록을 파기하거나 위조하는 것을 불법으로 규정하고 있습니다.
SOX는 미국 규정이지만 미국 외부의 조직에 영향을 미칩니다. 예를 들어, Enron의 사기 행위가 밝혀졌을 때 Enron의 주가는 주당 미화 90.75센트에서 60센트로 떨어졌습니다.
SOX의 통과로 다른 국가에서도 캐나다의 '강한 경제를 위한 약속 지키기 법'('C-SOX'라고도 함), 일본의 '금융상품거래법'('J-SOX'라고도 함)과 같은 금융 사기에 대응하는 자체 법률을 채택하게 되었습니다.
유럽에서는 많은 사람들이 SOX 규정 준수와 일반 데이터 보호 규정(GDPR) 규정 준수 간에 상당한 중복이 있음을 지적했습니다. 특히 SOX 규정 준수를 가능하게 하는 동일한 보안 제어 및 데이터 보호 프로세스 중 다수는 GDPR 규정 준수도 지원합니다. 유럽연합은 재무 감사인의 독립성과 관련하여 SOX와 유사한 자체 규칙을 시행했습니다.
SOX 규정 준수의 핵심은 조직의 모든 재무 공시가 완전히 정확하고 조직이 재무제표를 뒷받침할 수 있는 통제와 문서를 보유하고 있음을 의미합니다.
그러나 SOX 규정 준수를 달성하는 과정은 복잡할 수 있습니다. SOX는 회사가 필요로 하는 모든 통제 또는 감사인이 취해야 하는 모든 단계를 철저하게 설명하지 않습니다. 조직마다 다양한 방식으로 SOX 규정 준수를 달성합니다.
크게 보면 SOX에는 세 가지 요구 사항이 있습니다.
- 기업 경영진이 인증한 정확한 재무 보고서 작성
- 적절한 내부 통제 구현
- 정기 감사 통과
SOX 섹션 302, "재무 보고서에 대한 기업의 책임"에 따라 회사의 CEO, CFO 또는 이에 상응하는 리더는 SEC에 제출하는 모든 연례 및 분기 재무 보고서에 서명해야 합니다.
보고서에 서명할 때 CEO와 CFO는 재무제표가 완전히 정확하다는 것을 증명해야 합니다. 또한 적절한 내부 통제가 마련되어 있고 지난 90일 이내에 검증되었는지도 확인해야 합니다.
SOX 섹션 404, "내부 통제 관리 평가"에 따라 SEC에 제출되는 모든 연간 재무 보고서에는 심층적인 내부 통제 보고서가 포함되어야 합니다. 내부 통제 보고서에는 경영진이 내부 통제에 대한 책임이 있으며 가장 최근 회계연도 말 기준으로 회사의 내부 통제의 효율성을 평가한다고 명시되어 있습니다.
조직은 재무 상태에 중대한 변화가 있을 경우 이를 즉시 보고해야 합니다. 사이버 보안 인시던트는 SOX에 따라 중대한 변경 사항으로 간주될 수 있지만, 2023년 7월에 SEC가 이러한 인시던트에 대한 보고 요건을 더욱 엄격하게 하는 새로운 규정을 채택했다는 점에 주목할 필요가 있습니다(ibm.com 외부 링크).
특히 조직은 사이버 보안 사고가 중대한 영향을 미쳤거나 미칠 수 있다고 판단한 날로부터 4일 이내에 사이버 보안 사고를 보고해야 합니다. 기업은 클라우드 서비스와 같은 타사에서 발생한 사고가 조직에 중대한 영향을 미칠 수 있는 경우 이를 보고해야 합니다.
기업은 내부 및 외부 행위자가 금융 데이터를 부정하게 변경하거나 불법적인 목적으로 사용하는 것을 방지하기 위해 SOX 내부 통제를 시행합니다.
SOX는 기업이 이행해야 하는 모든 통제 사항을 명시적으로 나열하지는 않습니다. 조직은 정보 시스템 감사 및 제어 협회에 속한 '정보 및 관련 기술에 대한 통제 목표' 프레임워크와 같은 기업 거버넌스 프레임워크에 의존하는 경우가 많습니다.
트레드웨이 위원회 프레임워크의 후원 조직 위원회도 많이 활용됩니다. 이러한 프레임워크가 SOX를 위해 특별히 개발된 것은 아니지만, 이러한 프레임워크가 제시하는 제어 체계는 일반적으로 SOX 규정 준수 요건을 충족합니다.
조직은 비즈니스 프로세스와 정보 기술 인프라 수준에서 제어를 구현합니다.
비즈니스 프로세스 제어에는 직원에게 SOX 요건을 교육하고 내부고발자를 위한 안전한 보고 채널을 구축하는 등의 작업이 포함됩니다.
또한 많은 회사들이 워크플로를 여러 부분으로 나누고 각 단계를 서로 다른 직원이 담당하는 원칙인 직무 분리를 적용합니다.
한 명의 직원이 전체 워크플로를 제어하지 않고 관련된 각 사람이 다른 직원을 점검하는 역할을 한다는 개념입니다. 전형적인 예로는 결제를 승인하는 사람이 회사 계좌에서 수표를 쓰는 사람과 동일하지 않도록 하는 것입니다.
기업은 문서 보존에 대한 SOX 요구 사항을 준수하기 위해 기록을 저장하고 보존하는 프로세스를 만들 수도 있습니다. 예를 들어, 감사자는 감사와 관련된 모든 작업 서류를 7년 동안 보관해야 합니다.
기업 네트워크가 더욱 복잡해짐에 따라 SOX 규정 준수 노력에서 자동화가 점점 더 중요해지고 있습니다. Protiviti에 따르면, 평균적으로 기업들은 SOX 요건에 해당하는 36개의 비즈니스 애플리케이션을 보유하고 있습니다(ibm.com 외부 링크). IT 보안 제어는 이러한 모든 앱에서 SOX 규칙을 적용하는 데 도움이 될 수 있습니다.
일부 조직에서는 SOX 관련 데이터와 문서를 안전하게 저장하고, 관련 활동을 추적하며, 내부 통제의 허점을 파악하기 위해 특수한 SOX 규정 준수 소프트웨어를 사용합니다. 그러나 기업은 SOX 규정 준수 목적으로 보다 일반적인 사이버 보안 도구를 사용할 수도 있습니다.
데이터 손실 방지(DLP) 솔루션과 같은 데이터 보호 도구는 민감한 데이터가 저장된 위치, 액세스하는 사람, 데이터로 수행하는 작업을 추적할 수 있습니다. 일부 DLP 도구는 사용자가 재무 데이터를 무단으로 변경하거나 승인되지 않은 위치로 이동하는 것을 차단할 수도 있습니다. 조직은 또한 데이터가 파괴되거나 변조된 경우 복구할 수 있도록 자동 백업을 사용할 수 있습니다.
ID 및 액세스 관리(IAM) 솔루션을 통해 조직은 최소 권한 원칙에 따라 세분화된 액세스 제어 정책을 설정할 수 있습니다. 직원에게는 업무를 수행하는 데 필요한 최소한의 권한만 부여됩니다.
또한 IAM 플랫폼은 변경 관리를 간소화하여 사람들이 입사, 역할 변경 또는 퇴사할 때 조직에서 액세스 권한을 신속하게 업데이트하고 제거할 수 있습니다.
기업은 보안 정보 및 이벤트 관리(SIEM) 솔루션을 사용하여 네트워크 활동을 모니터링하고 보안 침해를 감지하며 인시던트에 더 빠르게 대응할 수 있습니다. SIEM 솔루션은 또한 조직이 SOX 감사 중에 규정 준수를 입증하는 데 도움이 되는 보안 로그를 보존합니다.
일부 SIEM 도구에는 SOX 관련 기능이 내장되어 있거나 해당 기능이 있는 도구와 통합되어 있어 관련 정보를 자동으로 기록하고 규정 준수 보고서를 생성할 수 있습니다.
SOX의 정보 보안 의무는 조직이 재무 정보를 저장하거나 처리하는 클라우드 데이터 센터까지 확대됩니다. 기업은 이러한 데이터 소스에 대한 제어도 고려해야 합니다.
위에서 언급한 것처럼 CEO와 CFO는 모든 재무 보고서의 정확성과 내부 통제의 효율성을 보증해야 합니다. 정기 감사를 통해 경영진은 이러한 진술을 하는 데 필요한 증거를 확보할 수 있습니다.
재무 보고 관행 및 데이터 제어에 대한 정기적인 내부 감사를 수행함으로써 기업은 시간이 지남에 따라 규정 준수를 모니터링하고 격차를 식별하며 약점을 해결할 수 있습니다.
내부 감사 결과는 연간 SOX 규정 준수 감사를 수행하는 외부 감사자에게도 도움이 될 수 있습니다. 연례 감사에서는 독립적인 회계 법인이 내부 통제 및 재무 보고에 대한 자체 평가를 수행합니다. 이 감사 결과는 회사의 연례 SEC 보고서에 포함되는 경우가 많습니다.
과거에는 감사자가 내부 통제에 대한 경영진의 평가가 정확하다고 생각하는지 여부를 보고해야 했습니다. 이 요건은 2007년 SEC가 감사 기준 5번을 채택하면서 삭제되었습니다(ibm.com 외부 링크).
SOX는 관리자와 회계 법인이 감사를 수행하는 방법을 정확히 지정하지 않습니다. 대신 SEC(ibm.com 외부 링크)는 감사자와 관리자가 하향식 위험 평가(TDRA)를 사용하여 감사 범위를 결정해야 한다고 명시하고 있습니다. TDRA는 중대한 사기 위험이 가장 높은 계정, 공개 및 기타 영역을 식별하고 이러한 위험을 해결하는 주요 통제 수단을 평가하는 데 중점을 둡니다.
SOX를 준수하면 여러 가지 이점이 있습니다. 투자자들은 재무 공개에 대해 더 확신을 가질 수 있으며, 따라서 SOX 준수 기업에 투자할 의향이 더 커질 수 있습니다. SOX는 또한 기업 리더가 재무제표에 대해 개인적으로 책임을 지도록 함으로써 사기를 저지르려는 동기를 감소시킵니다.
SOX 규정 준수는 조직의 전반적인 사이버 보안 태세를 개선하는 데 도움이 될 수 있습니다. 조직이 금융 변조를 방지하기 위해 사용하는 많은 데이터 보안 제어는 사이버 공격에도 대응할 수 있습니다. 예를 들어, IAM 솔루션은 해커가 사용자 계정에 접근하지 못하도록 차단하고, SIEM 툴은 진행 중인 보안 인시던트를 더 빨리 발견하는 데 도움이 됩니다.
SOX를 준수하지 않으면 조직과 개인이 민사 및 형사 처벌을 받을 수도 있습니다.
부정확한 재무 보고서를 인증한 경영진은 최대 100만 달러의 벌금형과 최대 10년의 징역형에 처해질 수 있습니다. 고의로 허위 진술을 입증한 경영진은 최대 500만 달러의 벌금형과 최대 20년의 징역형에 처해질 수 있습니다.
경영진은 조직이 재정 재보고를 해야 하는 경우 인센티브 연계 보상을 회수할 수도 있습니다. 2022년에 채택된 SEC 규정(ibm.com 외부에 있음)에 따라 경영진은 위법 행위를 저질러도 유죄가 되지 않습니다. 재진술을 통해 인센티브 관련 목표가 달성되지 않았음을 보여줄 때마다 환수는 자동으로 실행됩니다.
또한 SOX는 재무 기록을 손상, 변경 또는 기타 방식으로 방해하는 행위를 불법으로 규정하고 있습니다. 직원 개개인이 이를 위반할 경우 최대 20년 징역형에 처할 수 있습니다. 내부 고발자에 대해 보복하는 기업 임원은 벌금과 최대 10년의 징역형을 선고받을 수 있습니다.
SEC는 SOX 규정을 위반하는 사람이 기업 임원, 이사, 브로커, 고문 및 딜러로 활동하는 것을 금지할 수 있습니다. 중대한 규정 위반으로 인해 회사가 증권 거래소에서 상장 폐지될 수도 있습니다.