늘어나는 ESG 보고서…제3자 검증 ‘발등의 불’
입력
수정
ESG 정보를 담은 지속가능 경영 보고서의 신뢰성을 높이기 위해 전문기관의 인증을 받는 기업이 늘어나고 있다. 물론 의무 사항은 아니다. 그러나 2025년 지속가능 정보 공시가 의무화되는 것을 고려하면 제3자 인증에 대한 기준 마련과 인증기관 적격성 관리가 필요하다는 지적이 나온다[한경ESG] 이슈 브리핑기업의 ESG(환경·사회·지배구조) 정보를 알 수 있는 지속가능경영 보고서의 마지막 페이지에는 보통 ‘제3자 검증의견서’가 들어가 있다. 보고서가 자의적으로 쓰인 것이 아니라 일정한 검증 기준에 맞춰 적확한 정보를 제공한다는 제3자의 인증이다. 예를 들어, 삼성전자의 2021년 지속가능경영 보고서는 국제 인증 기준인 ISAE3000, AA1000AS Type 2에 의거해 검증기관인 삼정KPMG가 이를 검증했다. SK(주)의 2021년 지속가능경영 보고서는 AA1000AS v3 type 2 moderate 및 SRV1000을 적용해 한국경영인증원이 검증했다. SK(주)는 한국생산성본부로부터 온실가스 배출량 명세서가 검증 기준에 따라 정확하게 작성됐다는 인증을 별도로 받기도 했다.
이처럼 기업들은 ESG 보고서를 내면서 작성 내용의 검증을 통해 정보의 신뢰성과 품질을 높이기 위해 자발적으로 검증 조치를 하고 있다. 검증 표준과 방법, 범위 및 검증기관도 명시한다. 2025년부터 자산 2조원 이상 상장사부터 지속 가능 정보 공시가 의무화됨을 고려하면 ESG 정보의 검증과 신뢰성은 매우 중요한 이슈다.
국내는 AA1000AS 기준 활용 많아주요 ESG 정보 검증 표준으로는 영국의 비영리단체 어카운터빌리티(AccountAbility)가 제정한 AA1000AS, AA1000AP와 국제회계사연맹(IFAC) 산하 국제감사인증기준위원회(IAASB)가 만든 ISAE3000이 있다. 국내에서는 AA1000AS가 많이 쓰인다. IFAC가 2015년부터 2020년까지 인증을 받은 보고서 541건(92%)을 조사한 결과 회계법인이 인증한 30건 중 96%가 ISAE3000과 AA1000AS를 혼용했고, 회계법인 외 기관에서 인증한 511건 중 74%는 AA1000AS를 단독 적용한 것으로 나타났다.
AA1000AS 기준은 포괄성, 중대성, 대응성, 임팩트 등 4대 원칙으로 구성되어 있다. 즉 이해관계자를 포함하는지, 주요 이슈를 포함하는지, 이해관계자의 관심에 대응하고 있는지, 기업경영 활동을 스스로 모니터링·측정하는지를 중점적으로 확인한다. 자료 수집의 범위에 따라 ‘높음(high)’과 ‘보통(moderate)’으로 나뉜다. type 1과 2는 인증 업무에 대한 구분이다. type2의 경우 특정 성과 보고나 공시된 정보에 대한 신뢰성 및 품질까지 평가하고 입증한다. 비용을 내고 라이선스 등록을 한 사업자 모두 이 기준으로 인증 업무를 할 수 있다.
ISAE3000의 경우 ISAE의 여러 기준 준수, 윤리적 요구 사항, 품질관리, 전문가적 판단과 의심, 업무 계획과 수행, 증거 수집, 정보의 획득과 활용 및 적용 기준에 대한 설명 등을 포괄적으로 고려한다. 전문 회계사에 준하는 윤리적 사항 준수를 요구해 사실상 회계법인만이 기준에 따른 검증을 수행할 수 있는 것이 특징이다. 인증 기준 사용자 요건을 마련해 인증 품질을 간접적으로 통제하는 방식이다. 인증 기준 사용에 대한 라이선스 이용료는 없지만, 주로 회계법인이 이 기준을 사용하므로 기업 입장에서는 비용이 발생한다.상당수 기업은 제3자 인증 비용에 부담을 느낀다. 정우용 상장회사협의회 정책부회장은 ”회원사를 상대로 설문조사를 한 결과 지속가능경영 보고서를 만드는 데 평균 2억원 정도 컨설팅비가 들어간다”며 ”기업 입장에서는 큰 부담일 수밖에 없다”고 밝혔다.
프랑스·스페인 등 ESG 정보 인증 의무화
지난해 6월 국제회계사회의 조사에 따르면, 각국의 상위 50대 기업 중 약 91%가 지속가능경영 보고서를 공시하고 있다. 이 중 51%가 제3자 인증을 받았으며, 인증 업무의 63%를 회계법인이 수행했다. 회계법인의 인증 비율은 한국과 미국은 낮고, 유럽은 높은 편이다.유럽의 나라 중 프랑스, 스페인, 이탈리아는 ESG 정보 인증이 의무화되어 있다. 이들 국가에서는 ESG 정보 인증을 증권감독원이 감독하며 ESG 정보가 잘못될 경우 처벌을 받기도 한다. 프랑스는 인증 자격을 프랑스인가위원회(COFRAC)로부터 받아야 한다. 이탈리아는 ESG 정보가 잘못되면 경영진과 이사회, 감사인에게 벌금을 부과한다.
다른 EU 국가는 ESG 정보 인증이 의무 사항은 아니다. 다만 올해 확정될 EU의 지속 가능성 보고 지침(CSRD)에서 제3자에 대한 인증이 의무화할 것인지가 관건이다.
미국은 ESG 공시가 의무 사항이 아니기에 한국처럼 ESG에 관심이 높은 기업들이 자율공시를 하고 있다. IFAC 조사에 따르면, 미국의 경우 인증받은 지속가능경영 보고서 중 60%가 ISO14064-3에 의한 인증이었다. 또한 인증 업무를 회계법인이 수행한 곳은 11%에 불과했다. 실제로 미국 주요 기업의 ESG 보고서를 보면 제3자 인증은 주로 온실가스 배출과 관련한 비영리기관의 인증이 대부분이다. 지난해 6월 ESG 정보 공시 및 단순화법이 하원을 통과하고 상원에 계류 중이라 향후 ESG 관련 규제가 더 강해질 수 있다.
국내에서도 2025년 ESG 공시 의무화를 앞두고 인증제도 도입 시 기준 채택을 어떻게 할 것인지, ESG 정보 보고와 인증 업무의 질을 어떻게 관리할 것인지, 인증 업무 제공자인 감사인에 대한 적격성 관리를 어떻게 할 것인지에 대한 기준 마련의 필요성이 커지고 있다.
서정우 한국지속가능성기준위원회(KSSB) 준비위원장은 “기업의 ESG 정보 보고는 자율적 인증으로는 어렵고, 양질의 제3자 인증을 받아야 한다”며 “우리나라는 아직 자율 공시와 자율 인증 단계지만, 앞으로 공시 의무화가 되면 제3자 검증 문제가 중요한 이슈가 될 것”이라고 말했다. [인터뷰] 권세원 이화여대 경영학과 교수
“ESG 인증 감독 필요…인증 인력 육성 체계 만들어야”
- 국내 ESG 보고서 인증의 가장 큰 문제점은 무엇인가.
“가장 큰 문제는 ESG 인증을 강제하고 감독할 기관이 없다는 것이다. 발간한 ESG 보고서의 내용 자체도 어렵기 때문에 투자자들도 인증까지는 신경을 못 쓰고 있다. ESG 정보 이용자들의 ESG 정보 감독에 대한 인식도 부족한 상태다.”
- ESG 인증에서 유럽과 미국의 차이가 있나.
“유럽은 ESG 관련 법과 제도의 정비가 굉장히 빠르게 이루어지고 있다. 미국은 도널드 트럼프 전 대통령 때 기후협약을 탈퇴했다가 조 바이든 정부에서 다시 복귀하는 등 상대적으로 늦은 면이 있다. 다만 미국도 환경과 관련한 인증은 꽤 받고 있다. 환경 전문 단체가 많고, 국제표준화기구(ISO)의 기후 관련 인증 기준으로 많이 활용한다. 하지만 미국도 ESG 공시가 의무화된 상황이 아니기에 여러 기준이 난립하고 있다.”
- 어떤 인증을 쓰는지, 어떤 전문가가 인증하는지도 중요한 것 같다.
“전체적으로 보면 ISAE3000을 많이 쓰고 있다. 국제회계기준인 IFRS와 호환되는 부분이 많기 때문이다. ESG 공시와 공시 인증에 대한 법적 책임이 커지면서 이런 책임을 나눌 수 있는 기관이 필요해졌다. 인증 인력도 중요한데, 회계법인이나 법무법인이 인증한다고 해서 모두 회계사나 변호사가 하는 것은 아니다. 해외에서는 회계법인이 ESG 전문가, 기후 전문가들을 채용하고 있다. 사회와 관련해서는 노무사도 필요하다. 그런 점에서 리스크 관리를 통합해서 하는 것이 중요하다.”
- 국내에서 통합된 인증 자격 기준을 만들 필요가 있다고 보나. “새로운 자격증을 부여하는 게 맞는지, 해당 자격 직렬의 사람들에게 추가 권한을 주는 게 맞는지, 해당 업무를 오래 하면 자격을 줄지 등 논의가 필요한 부분이 많다. 예를 들면 현재 인증업무를 하고 있는 회계사나 변호사 그리고 한국표준협회에서 오래 일한 분들에게 자격증을 부여하는 것도 고려할 수 있다.”
구현화 기자 kuh@hankyung.com