스프레드시트 아카이빙 위험과 SOX 대응 방안

본 논문은 스프레드시트 아카이빙이 내부 통제와 규제 준수에서 중요한 역할을 수행함에도 불구하고, 실제 현장에서는 크게 간과되고 있음을 지적한다. 서두에서 저자는 기업들이 재무 보고와 일상 운영에 스프레드시트를 광범위하게 활용하고 있으며, 이와 관련된 위험 요소는 기존 문헌에서 복잡성, 사용자 수, 입력 오류 등으로 정의되어 왔다고 설명한다. 그러나 이러한 전통적 위험 요소 외에 “아카이빙 부실”이라는 새로운 위험 차원을 제시한다. 두 번째 섹션에서는 자메이카 상업은행 붕괴 사례를 통해 아카이빙 부실이 어떻게 조직 전반의 운영 위험을 증폭시키는지를 구체적으로 보여준다. 은행들은 핵심 재무·위험 관리 프로세스를 스프레드시트에 의존했지만, 파일 명명 규칙이 없고 개인 드라이브에 무분별하게 저장함으로써 문서가 개인의 소유물처럼 취급되었다. 결과적으로 담당자가 퇴사하면 해당 스프레드시트는 사실상 사라졌고, 남아 있더라도 “정보 섬” 형태로 다른 사용자에게 접근이 불가능했다. 또한, 삭제 기준이 명확히 정의되지 않아 저장소 용량이 가득 차면 주기적인 정리 과정에서 중요한 문서가 무작위로 삭제되는 상황이 발생했다. 이러한 상황은 감사인과 규제기관이 필요 시 증거 자료를 확보하려 할 때 심각한 장애물로 작용했으며, 은행이 자체적으로 자산·부채 포지션을 파악하고 위험을 관리하는 데도 큰 제약을 초래했다. 세 번째 섹션에서는 미국의 사베인스-옥슬리법(SOX)이 기록 보존에 대해 명시적으로 요구하는 조항들을 검토한다. 103(a)(2)(A)(i) 조항은 감사 보고서와 작업 문서를 최소 7년 보관하도록 규정하고, 104(e) 조항은 회계법인이 추가적인 기록을 보존할 수 있음을 명시한다. 또한, 802조는 감사와 관련된 전자 기록을 포함한 모든 문서를 7년간 유지해야 한다고 규정한다. 저자는 이러한 법적 요구가 스프레드시트에도 동일하게 적용돼야 함을 강조한다. 현재 많은 기업이 백업을 재해 복구 용도로만 활용하고, 기록 관리 정책을 종이 문서에만 적용하는 경우가 많아 전자 스프레드시트의 보존·관리 체계가 부실하다고 지적한다. 다음으로, 저자는 효과적인 스프레드시트 아카이빙을 위해 국제 표준인 ISO 15489(국제 기록 관리 표준)를 기반으로 기록 관리 프로그램을 구축할 것을 제안한다. 핵심 요소는 다음과 같다. 첫째, 파일 명명 규칙과 메타데이터 표준을 도입해 문서의 내용과 비즈니스 컨텍스트를 명확히 식별한다. 둘째, 중앙 아카이브 시스템 혹은 전사적인 기록 저장소에 대한 접근 권한을 엄격히 관리하고, 개인 드라이브 사용을 제한한다. 셋째, 보존 일정(Records Retention Schedule)을 전사 차원에서 정의하고, 보존 기간이 만료되기 전 자동 알림 및 검증 절차를 도입한다. 넷째, 디지털 서명과 변경 이력 추적을 통해 문서 무결성을 보장한다. 다섯째, 스프레드시트를 비즈니스 프로세스와 연계된 워크플로우에 통합해 “in situ” 보관하거나 전사 아카이브에 인덱싱하여 검색성을 높인다. 저자는 이러한 통합 관리 체계가 단순히 SOX 규정에 맞추기 위한 “체크박스”식 접근이 아니라, 실제 내부 통제 강화와 법적 증거력 확보를 목표로 해야 한다고 강조한다. 특히, 스프레드시트를 별도 SOX 전용 저장소에 모아두는 방식은 비용이 많이 들고, 문서가 비즈니스 컨텍스트와 분리되어 증거력 약화 위험이 있다. 따라서 기존 비즈니스 시스템과 연계된 형태로 보관하고, 필요한 경우에만 별도 복제본을 생성하는 것이 바람직하다. 마지막으로, 저자는 스프레드시트 아카이빙이 재무 투명성, 감사 효율성, 규제 대응 능력과 직결된 핵심 통제 영역임을 재확인한다. 조직이 기록 관리 프로그램을 도입하고, 스프레드시트 보관·보존·삭제 절차를 표준화함으로써 운영 리스크를 크게 감소시키고, SOX 및 기타 규제 요구사항을 충족할 수 있다. 논문은 향후 연구로 아카이빙 자동화 도구와 머신러닝 기반 문서 분류 기술을 활용한 실증 연구를 제안하며 마무리한다.