🔎
한눈에 보기
2025년 개정된 K-SOX(내부회계관리제도)에 따라 자산 1,000억 원 이상 상장사는 횡령 등 자금부정통제 활동을 별도 공시해야 합니다. 그런데 같은 해 K-SOX 평가에서 "미비점 없음"으로 보고한 회사가 약 89%에 달합니다. 규제는 강해졌는데 미비점이 줄지 않은 이유는 평가 기준이 아니라, 결제·정산 데이터가 엑셀과 수기 장부로 흩어져 있어 통제가 형식에 머무를 가능성이 높기 때문입니다. 데이터 소스를 단일 표준으로 통합하지 못하면, 공시 의무는 통과해도 자금사고 리스크는 점점 높아집니다.
K-SOX, 무엇이 달라졌나요?
K-SOX(내부회계관리제도)는 상장사·자산 1,000억 원 이상 회사가 매년 운영실태와 평가 결과를 공시해야 하는 제도지만, 2025년부터 압력이 한 단계 더 강해졌습니다. 외감법 개정으로 평가·보고 기준이 법제화되고, 자금부정통제 활동까지 별도로 공시해야 하기 때문입니다.
💡
K-SOX란?
K-SOX(Korea-SOX, 내부회계관리제도)는 회사가 작성한 재무보고를 신뢰할 수 있도록, 회계 처리에 영향을 미치는 업무 전반의 내부통제를 회사 스스로 점검·공시하게 만든 제도입니다. 2001년 미국 엔론 사태 이후 만들어진 Sarbanes-Oxley Act(SOX)를 모태로 하며, 한국에서는 외감법에 근거해 상장사와 자산 1,000억 원 이상 외감 대상 회사를 의무 적용 대상으로 운영하고 있습니다.
삼일 PwC의 <내부통제 미래전략 보고서>에 따르면 가장 큰 변화는 아래와 같습니다.
첫 번째는 자금부정통제 공시 의무화입니다. 자산 1,000억 원 이상 상장사와 금융회사는 횡령 등 자금부정을 예방·적발하기 위한 통제활동을 운영실태보고서에 별도 기재해야 하며, 감사인과 의사소통한 내역까지 포함해야 합니다.
두 번째는 평가·보고 기준의 법제화입니다. 상장회사협의회 자율 규정으로 운영되던 "내부회계관리제도 평가 및 보고 모범규준"이 외부감사규정 안으로 옮겨가면서, 모든 외감 대상 회사가 동일 기준을 의무 적용받게 됐습니다.
세 번째는 중소기업 적용기법 폐지입니다. 그동안 중소기업이 사용할 수 있었던 간소화된 평가기법이 사라졌기 때문에, 상장 중소기업도 사실상 대기업과 동일한 강도의 평가·문서화 부담을 지게 됩니다.
K-SOX를 위반하면 회사와 경영진은 어떤 제재를 받나요?
회사 측에서 가장 먼저 문제가 되는 것은 ‘감사의견 비적정 처리’입니다. 내부회계관리제도에 '중대한 취약점'이 발견되거나 관련 보고가 누락·허위로 작성되면 외부감사인이 비적정 의견을 낼 수 있고, 비적정 의견이 공시되면 코스피·코스닥 시장 규정에 따라 관리종목 지정이나 매매거래 정지로 이어질 수 있습니다.
이 단계를 지나면 시장 신뢰의 회복은 단기간에 이뤄지기 어렵습니다. 내부통제 부실이 시장에 알려지면 자금 조달 조건이 불리해지고, 투자자의 신뢰가 흔들려 기업 가치에 직접 영향을 주는 경우가 많기 때문입니다.
경영진과 실무자 차원의 제재는 법적 책임으로 곧장 연결됩니다. 외감법(주식회사 등의 외부감사에 관한 법률)에 따라 인증되지 않은 내부회계관리제도를 운영하거나 허위 공시를 한 경우 경영진은 징역 또는 벌금형에 처해질 수 있고, 횡령·부정행위가 동반되면 법인과 개인 모두에게 막대한 벌금이 부과될 수 있습니다.
여기에 더해 금융위원회 산하 증권선물위원회로부터 감사인 지정 조치나 과징금 같은 행정처분이 이어질 수 있어, 위반의 비용이 회사와 개인 양쪽에서 동시에 발생하는 구조입니다.
왜 89%가 "미비점 없음"으로 보고했을까요?
평가 기준이 느슨해서가 아니라, 평가 대상 데이터가 평가자에게 충분히 보이지 않기 때문입니다.
2025년 K-SOX 평가 분석에서 약 89%의 회사가 당기 미비점·취약점이 없다고 보고했지만, 삼일PwC의 <내부통제 미래전략 보고서>에서는 이 결과에 대해 "이슈를 미비점으로 분류하는 과정 자체에 심도가 부족하다"고 판단하고 있습니다.
같은 흐름은 경영진 리뷰 통제(MRC)에서도 드러납니다. MRC는 자금·정산·결산처럼 핵심 프로세스의 리스크를 경영진이 직접 검토해야 하는 통제 항목인데, 대부분의 회사가 9개 미만으로만 운영하고 있고 최근 3년간 그 수가 유의미하게 늘지 않았다는 진단이 삼일PwC의 보고서에 함께 담겨 있습니다.
원인은 평가 의지보다 인프라에 있다고 보는 시각이 많습니다.
결제·정산·자금 데이터가 PG사 계정, 정산 엑셀, 사내 ERP, 은행 거래내역으로 흩어져 있어 평가자가 들여다볼 ‘단일 데이터 원천(Single Source of Truth)’이 부족하기 때문이며, 데이터를 모으는 데만 평가 기간의 상당 부분이 쓰이는 경우가 적지 않습니다.
엑셀·수기 정산이 만드는 K-SOX의 치명적인 공백
엑셀과 수기로 결제·정산을 운영하면 K-SOX가 요구하는 통제활동 가운데 세 곳에서 구체적인 균열이 생기기 쉽습니다. 단순히 효율이 떨어지는 차원이 아니라, 통제가 실제로 작동했다는 증거 자체를 만들지 못하는 문제이기 때문입니다.
- 거래 데이터 단절 : PG사 정산 내역·은행 거래내역·ERP 매출 계정이 서로 다른 형식으로 따로 들어와, 월말에 담당자가 손으로 맞춰 입력합니다. 입력 시점이 어긋나면 거래 단위로 정합성을 점검할 근거가 사라집니다.
- MRC(경영진 리뷰 통제 형식화) : 경영진이 검토해야 할 자료가 부서별 엑셀에 흩어져 있어, 리뷰 시점에는 이미 가공된 요약본만 올라갑니다. 결과적으로 서명·승인만 남고 실제 리스크 검토는 허술하게 이루어집니다.
- 자금흐름 추적 단절 : 결제 → 정산 → 지급 → 회계인식의 사슬이 시스템 사이에서 끊겨 있어, 자금사고가 생겨도 어디서 누가 어떤 거래를 바꿨는지 역추적이 어렵습니다. 2025년 변경된 자금부정통제 공시 의무화가 가장 직접 겨냥하는 지점이기도 합니다.
공백이 발생하는 세 지점은 모두 데이터를 사람이 모은 뒤 정렬·검증해야 하는 구조에서 발생합니다. K-SOX 평가가 요구하는 "통제가 설계대로 작동했다는 증거"가 결국 엑셀 셀에 남은 사람의 흔적이 되기 쉽기 때문에, 평가자 입장에서도 "미비점 없음"으로 정리하는 것이 가장 부담이 적은 선택이 되곤 합니다.
포트원 Finance AX는 이 공백을 어떻게 메우나요?
포트원의 Finance AX는 결제·정산·내부통제를 하나의 데이터 흐름 위에서 다루는 AI 재무 자율 운영 시스템입니다. 흩어진 결제·정산 데이터를 단일 표준으로 모은 뒤 그 위에서 AI 에이전트가 정합성 점검·예외 탐지·승인 결정을 처리하기 때문에, K-SOX가 요구하는 통제 항목과 직접 매칭됩니다.
핵심은 통제가 사람의 사후 점검이 아니라 ‘데이터 흐름 안에서 선행적으로 작동한다는 점’입니다.
K-SOX 평가자 입장에서 보면 "통제가 설계대로 작동했다"는 증거가 엑셀의 셀이 아니라 시스템 로그 형태로 남기 때문에, 미비점·취약점 평가의 객관성이 함께 올라가는 구조입니다.
AI 재무 자율 운영, 상장사 재무팀에 어떤 변화를 가져올까요?
가장 큰 변화는 통제가 사람의 야근이 아니라 ‘시스템 로그’ 기반으로 운영된다는 점입니다.
포트원의 Finance AX는 데이터 기반 정합성 점검·예외 탐지·승인 결정을 24시간 자동 처리해, 재무팀이 결제·정산 통제에 투입하는 리소스를 최대 90%까지 줄이는 구조로 설계됐습니다.
재무팀의 업무 무게중심도 함께 옮겨갑니다.
데이터를 모으고 엑셀에서 맞춰보는 일이 줄어드는 대신 AI가 자동으로 표시한 예외 거래를 검토·판단하는 일이 일상이 되기 때문에, 마감 직전의 야근 의존도가 낮아지고 평소의 통제활동이 더 일정한 리듬으로 굴러가는 흐름이 만들어집니다.
K-SOX 관점에서의 의미는 시간 절감 이상입니다.
통제 활동이 시스템 로그 형태로 남아 평가자가 거래 단위로 들여다볼 수 있게 되면, 미비점 평가가 객관적 데이터 위에서 이뤄지는 기반이 마련되며, 이는 향후 추가될 가능성이 있는 자금부정통제 강화 규제에도 대응할 수 있는 인프라가 됩니다.
FAQ - 자주 묻는 질문
Q1. K-SOX 자금부정통제 공시는 언제부터 적용되며, "자산 1,000억 원"은 어떻게 산정되나요?
2025년 사업연도부터 직전 사업연도 말 자산총계가 1,000억 원 이상인 상장사와 금융회사가 의무 적용 대상입니다. 기준이 되는 것은 매출이 아니라 재무상태표의 자산총계이기 때문에, 현금·매출채권·재고자산은 물론 사무실 임대보증금·유형자산·투자자산·영업권까지 모두 합산됩니다. 매출이 기준선 아래여도 임대보증금이나 투자자산이 누적되면 자산총계가 1,000억을 넘는 경우가 적지 않으므로, 매 결산 시점에 자산총계 산정 항목을 미리 확인해두는 것이 안전합니다.
Q2. K-SOX의 "미비점"과 "취약점"은 어떻게 다른가요?
미비점은 통제 설계·운영상 결함이 발견됐지만 재무보고에 중대한 영향을 줄 가능성이 낮은 수준이며, 취약점(중요한 취약점)은 재무제표가 중대하게 왜곡될 합리적 가능성이 있는 결함입니다. 취약점이 보고되면 외부감사인의 내부회계관리제도 감사의견에 직접적인 영향을 줄 수 있기 때문에, 평가 단계에서 어느 등급으로 분류하는지가 핵심 쟁점입니다.
Q3. 포트원 Finance AX는 기존 ERP·회계 시스템과 무엇이 다른가요?
ERP는 사람이 입력한 거래를 사후에 처리·집계하는 구조인 반면, 포트원 Finance AX는 결제·정산 원천 데이터를 단일 표준으로 통합한 뒤 AI 에이전트가 정합성 점검·예외 탐지·승인 결정까지 자동 처리합니다. ERP의 보완재로 작동하며, 결제·정산처럼 거래 단위 추적이 필요한 영역에서 K-SOX 통제 증거를 시스템 로그로 남기는 역할을 합니다.
Q4. Finance AX를 도입하면 K-SOX 평가 인력을 줄일 수 있나요?
평가 인력 자체가 줄어든다기보다, 인력의 업무가 데이터 수집·정렬에서 예외 검토·판단으로 옮겨갑니다. 포트원 Finance AX는 재무팀이 결제·정산 데이터 수집에 투입하는 리소스를 최대 90%까지 줄이는 구조로 설계됐으며, 평가 기간 동안의 부담도 함께 감소하는 흐름이 만들어집니다.
K-SOX, 평가 양식이 아니라 데이터 구조의 문제입니다
2025년 더욱 강화된 K-SOX의 핵심 변화는 새로운 보고 항목 추가가 아니라, 평가의 객관성과 자금흐름 추적 가능성을 동시에 요구하는 구조 전환에 가깝습니다. 데이터가 흩어져 있는 한 평가는 형식에 머물기 쉽고, 자금부정통제 공시도 서명 한 줄에 그칠 수 있습니다.
먼저 점검해야 할 것은 평가 기법이 아니라, 결제·정산·자금 데이터가 하나의 인프라로 연결 되었는지 입니다. 이 연결이 만들어지면 통제활동의 증거는 자연스럽게 시스템 로그로 남고, K-SOX 평가도 거래 단위에서 다시 출발할 수 있습니다.
포트원 Finance AX가 이 데이터 인프라를 어떻게 설계하는지 궁금하다면, 아래 링크를 통해 자세한 내용을 확인하실 수 있습니다.
포트원과 AI 재무 자율 운영 시작하기
