기업의 컴플라이언스, 늘어나는 가이드라인…어떻게 관리해야 할까?

by

기업의 컴플라이언스 늘어나는 가이드라인...어떻게 관리해야 할까?

7월 11일, 2022 by  이 서정

    최근 국민권익위원회에서는 공기업을 대상으로 “청렴윤리경영 컴플라이언스 가이드라인(K-CP)”을 발표했다. 국민권익위는 이전부터 공기업들의 청렴 및 반부패 활동을 지원해왔다면서 K-CP를 통해 보다 기업들의 적극적인 청렴윤리경영 실천을 지원할 것이라고 전했다. 일각에서는 아직 우리나라 같이 CP운영에 대한 개념이 자리잡지 못한 국가에서는 어느정도 정부의 개입 또는 제도화가 필요하다는 의견이 있다. 그러나, 이런 상황에서 계속해서 한 분야에만 집중한 CP가이드라인이 개발되는 것은, 기업들이 전사적인 리스크 대응 수단으로서의 CP를 효율적으로 운영하는데 있어서 혼란을 가져올 수 있다고 생각한다. 

    이미, 우리나라에서는 공정거래위원회가 기업들이 공정거래 리스크 관리를 위해 “공정거래 자율준수 프로그램(CP)”을 도입하도록 권장하고 있다 . 그러나 이 역시 공정거래 리스크에만 초점을 맞추고 있어 이미 어느정도 리스크 대응을 한다고 생각하는 기업들은 CP 도입의 필요성을 느끼지 못하거나 CP 운영의 효과성에 대해 부정적인 경우가 많다. 결국, 기업들이 스스로 현재 자사의 리스크 대응 수단의 문제점을 찾지 못하면 적극적으로 CP 도입을 고려하지 않을 것이며 CP 가이드라인들운 그저 실효성 없는 문서로 치부될 우려가 있다.

    그렇다면 기업들은 스스로 질문을 해야한다. 우리는 어떻게 리스크 대응을 하고 있는가? 그것이 얼마나 효율적인가? 다음은 가이드라인에서 밝히는 추진배경의 내용의 일부다.

“청렴윤리경영은 지속가능한 경영활동의 필수 개념으로서 그 중요성이 더욱 커질 것으로 예상되며, 특히 공기업 등의 사업영역이 국내에서 국외로 확장됨에 따라 해외 준법 리스크 대응은 필수 요소로서, 부패의 발생을 사전에 효과적으로 예방할 수 있는 대응체계 마련이 필요함.”

이는 컴플라이언스 프로그램의 핵심이 효과적인 리스크 관리라는 점을 잘 드러내고 있다. 이미 기업이 자사의 CP가 효과적이라고 생각하지 않는다면 CP를 잘못 운영하고 있거나 적어도 자사에 맞는 프로그램이 아니라는 점을 인지해야 한다. 

1. 다양한 리스크? 다양한 가이드라인?
    이러한 상황일수록 리스크 식별이 중요하다. 세계적으로 준법경영 및 윤리경영에 대한 규제가 늘어나면서, 우리기업이 의무적으로 관리 해야하만하는 리스크(준법리스크)와 전략적으로 관리하고자 하는 리스크를 명확히 하는 것이 필요하다. 이를 위해 기업에서는 현재 본사의 리스크 관리 수준을 객관적으로 진단하는 절차가 선행되어야 하며 이러한 활동은 이후 CP구축 및 운영계획을 세우는데 방향성을 제시해줄 것이다. 가장 안타까운 사례 중 하나는 기업이 자사의 전략과는 무관 또는 미비한 리스크 관리에 과도한 시간 및 비용을 쓰는 것이다.

2. CP관리체계는 효율이다
    CP 운영을 위해서는 전사리스크를 한눈에 볼 수 있어야 한다. 다시 말해, 기업 내에 별도의 컨트롤타워 역할을 하는 부서가 존재하지 않는다면 효율적인 리스크 관리가 어렵다는 뜻이다. 그게 협의회든 독립된 부서가 됐든, 컨트롤타워 역할을 하는 부서는 CP를 운영하는데 있어 CP의 필수적인 요소들이 효율적으로 실행될 수 있도록 해야한다. 그렇다면, CP관리체계는 그 기업이 어떻게 전사 리스크를 보여주는지를 한눈에 보여주는 이라고 할 수 있다. 다만, 기업의 규모가 클수록 효율적으로 CP를 운영하는 것은 더욱 복잡한데, 이는 리스크의 종류 및 관리대상의 수가 소규모 기업에 비해 훨씬 많을뿐더러 여러개의 부서가 리스크를 분담해서 관리 하고 있는 경우가 대다수이기 때문이다. 결과적으로, 규모가 큰 기업일 수록 독립된 CP전담 부서를 가지고 있는 것이 효율적이라는 것을 알 수 있을 것이다. 

3. 언제나 소통 소통 소통
    CP는 전략적 계획을 세우는 일이다. 그리고 그 계획을 다른 부서가 이행하도록 돕는 일이다. 기업의 CP는 대부분 법무실 또는 감사실에서 운영되고 있다. 회사에서 직원들에게 두 부서에 대해 물어보면 하나같이 자신들을 “통제” 하거나 “지적”하는 부서로 인식되어 그다지 긍정적이지 못한 피드백을 얻는 경우가 많다. 따라서, CP를 운영하고자 한다면 일반 직원들에게도 CP의 개념을 명확히 전달하고 자신들의 계획과 전략을 알리는 것이 좋다. 나아가,  CP전담부서는 회사가 경영을 안전하게 할 수 있도록 지원하는 부서라는 인식을 바탕으로 다른 부서와의 소통이 이루어진다면 CP 운영의 효율성을 더욱 체감할 수 있을것이다. 

    한가지 희소식은 컴플라이언스 프로그램(CP)과 관련해서는 이미 참고할 수 있는 수많은 가이드라인이 존재하고 있고, 각각의 핵심내용과 목적이 크게 상이하지 않은점으로 미루어 볼 때, 기업들이 CP를 운영함에 있어서 모든 가이드라인을 참고할 필요는 없다는 것이다. 또한, 기업은 CP운영이 결코 경영과 무관한 것이 아니라는 점을 명심해야 한다. 이미 많은 기업들은 각자 나름대로의 다양한 리스크를 관리하고 있기에 CP운영은 결국 그것들을 얼마나 효율적으로 관리하냐의 문제인 것이다. 

    따라서, CP 가이드라인이 늘어난다고 스트레스를 받을 필요는 전혀 없다. 아직 영미권 나라들에 비해 우리나라는 실무전문가들이 많지 않을 실정이기에 기업 스스로 외부 전문가의 도움 없이 CP를 구축하는 것은 어려울 것이다. 하지만, CP의 기본 개념을 정확히 알고 각 기업에게 맞는 효율적인 리스크 관리 방법을 도모한다면 내부적으로도 충분히 효과적인 CP를 구축하고 운영할 수 있다는 점을 명심하자. 

ISO 37301:2021 국내 활용의 한계 및 우려

by

ISO 37301:2021 국내 활용의 한계 및 우려

 

12월 06일, 2021 by  이준길 

ISO 37301:2021의 공식 명칭은 Compliance Management Systems 다. 이는 흔히 알려진 Compliance & Ethics Program 보다는 컴플라이언스 프로그램을 설명하는데 있어 더 정확하다고 할 수 있으며, ISO가 ‘경영시스템 (management system)’에 대한 표준 (standard)을 제정 하고 있다는 점에서 일관성 있는 명칭이라고 할 수 있다. 사실 Compliance & Ethics Program 은 그 역사적 배경을 어느정도 알아야 사람들이 현재의 명칭을 납득 할 수 있다는 문제점이 있다.  결국, (이론적으로만 접근하면) 컴플라이언스 프로그램은 조직과 규정, 업무 프로세스, 리더십과 기업문화 등을 모두 아우르는 내용을 담고 있다는 점에서 ‘프로그램’이라는 용어보다는 ‘경영시스템이라는 용어가 더 적절 하다고 볼 수 있다. 

ISO 37301 서문(Introduction)에서는 컴플라이언스 경영시스템의 구성요소들을 PDCA 라는 기법과 연결하여 표로 잘 정리하고 있다. 1 장은 적용범위, 2장은 규범적 특징, 3장은 용어와 정의, 등. 2012 년 이후, ISO 에서는 HLS(Hight Level Structure)를 기반으로 한 표준체제를 가지고 있는데 이로써 ISO 37301이 반뇌물경영시스템(ABMS)에 대한 표준인 ISO 37001 과 구성이 동일하다는 것을 쉽게 추측할 수 있고, 실제로도 그렇다. 

ISO 370301을 자세히 들여다 보면 상당히 충실한 내용을 담고 있다는 것을 알 수 있다.  이는 표준이 새롭게 만들어진것이 아니라 이전에 이미 ISO 19600 으로 제정되었던 것을 제 3 자 인증을 가능하게 하면서 리뉴얼 된것이기 때문이다. 더 이전으로 거슬러 올라가면, 호주의 컴플라이언스 프로그램 표준인 AS3806 까지 관련이 있다.  따라서, 그 내용의 완결성이나 포괄성 등은 면밀한 분석 없이도 믿을 만한 근거가 있는것이다. 

다만, ISO 37301이 “인증”이라는 점에서는 인증기구의 역량이나 기업윤리가 담보되지 않으면 그저 홍보용으로만 활용될 우려가 있다. 특히 ISO 가 제정하는 경영시스템 국제표준은 우리나라 현실에서 보면 그대로 적용하기 어려운 점이 꽤 있고 (기업거버넌스가 상당히 다르다는 현실적 문제가 있다) 중소기업들도 표준의 요구사항들을 어떻게 충족해야 할 지 몰라 막막할 것이다. 

만약 어떤 조직이 이미 컴플라이언스 프로그램을 구축해서 운영중인 경우, 그 수준을 높이기 위해서는 참조할 가치가 있다는 생각이다. 그러나, ISO 37301의 우리나라에서의 활용의 한계와 문제점으로 인해 국내 컴플라이언스 문화를 확산하는데에 ISO 37301이 오히려 방해가 되지 않을까 염려가 된다. 

ESG 경영의 허점: 컴플라이언스 프로그램의 부재?

by

ESG경영의 허점: 컴플라이언스 프로그램의 부재?

9월 28일, 2021 by  이 서정

    현재 ESG경영은 기업들에게 있어 필수과제로 자리잡았다. 이미 수많은 컨설팅 회사, 국제조직, 기업들이 ESG 보고서를 쏟아냈고, 국내외로 ESG 관련 세미나와 포럼들이 개최되고 있다. 처음 개념이 떠오른지 어느 정도 시간이 지난 지금, 우리는 ESG가 무엇인지, 관련규제는 무엇인지, 또 평가지표에는 뭐가 있는지에 대한 정보들은 손쉽게 얻을 수 있다. 이렇게 다양한 자료들은 왜 기업이 ESG경영을 중요시 해야하는지 충분히 논리적으로 설명하고 있으며, 기업들은 이를 어느정도 이해하거나 적어도 살아남기 위해서라도 일단 움직이고 본다.

다만, 그 방법을 묻는’ 어떻게?’ 라는 질문은 끊이질 않고 있다. 실무자들은 ESG라는 다소 포괄적인 범위 안에서 당장 무엇부터 시작을 해야하는지, 어디에서부터 손을 대야 하는지 모른채 (만약 있다면) ESG 위워회가 시키는 일들을 하거나, 외부 컨설팅 업체에 자문을 구하거나, 아니면 ‘왠지 이건 해야할 것 같은데…’ 싶은걸 하고 있다.

앞서 말한 ESG에 대한 자료들은 대부분 우리에게 ESG가 새로운 개념이 아니라는 것을 꾸준히 상기키고 있다. 그러나 ESG라는 통칭적인 개념이 나오기 이전의 경영관리체계에 대해서는 말을 아낀다. 이는 어쩌면 우리나라 기업들이 기존 E, S, G가 따로 관리의 대상이 되었던 시절에 그것들을 통합적으로 관리하는 시스템 체계의 부재에서 나온 것일지도 모른다.

그렇다면 기존에는 E, S, G를 어떻게 관리했는가? 그 대답은 컴플라이언스 프로그램(CP)다. 흔히 우리나라에서는 컴플라이언스를 법을 지키는 것 그리고 컴플라이언스 프로그램을 준법시스템 정도로 알고 있다. 그러나 이는 매우 좁은 의미의 컴플라이언스 이며 이는 기업에서 CP를 전혀 적극적으로 또는 전략적으로 운용하고 있지 않다는 것을 뜻한다. (CP의 개념에 대해서는 http://koreacompliance.org/cp/ 참조)

우리나라 CP의 효용성에 대해서는 아직까지도 부정적인 의견들이 많아보인다. 그러나 이는 아직 CP의 개별성에 대한 개념이 충분히 받아들여지지 않고 있기 때문이라고 생각한다. CP는 하나의 정형화된 프로그램이 아니다. 각 기업마다 다르며 무엇을 관리할지 그 범위를 정하는 것이 곧 기업의 선택이며 전략이다. 기업의 철학, 비전, 전략 은 곧 기업의 규범, 행동강령, 업무체계에서 나타나야 하며 이러한 일관성이 지켜지고 있다는것을 기업은 보여주어야 한다. 이를 위해 기업이 무엇에 가치를 두며 무엇을 “어떻게 관리하고 있는지” 를 보여주는것은 CP의 법을 지키는것을 넘어서 전략적으로 CP를 운용하는 것이다.

결국, ESG 관리 체계와 CP는 프로세스 적인 측면에서는 비슷한 점이 많다. 두 가지 모두 리스크를 분석하고 행동전략을 수립하고, 관리체계를 구축하고, 대내외적으로 공표한다. 앞서 말한 기업 CP의 범위의 최소요건으로 E, S, G 가 정립되었다고 생각해도 되지 않을까 싶다. 이는 기업마다 각 분야의 리스크가 천차만별일 뿐더러 ESG 관리체계 또한 CP와 같이 각 기업의 개별성을 토대로 구축되어야 하기 때문이다.

그 중, 환경은 분명 기존에는 크게 부각 되지 않았던 부분임에는 틀림없다. 그러나 모든 기업이 똑같은 수준의 환경리스크를 갖고 있지 않으며 오히려 마케팅 적인 측면으로 이용하는데 그친다면 그뿐일 뿐이다.

이러한 의미에서 현재 ESG위원회에 대한 비판은 합리적일지도 모른다. 외부위원들은 전략적인 방법을 제시하고 감시자로서의 역할에는 더할나위 없을지 모르나 궁극적으로 회사의 경영과 관리에 입장에서 봤을때 과연 독립된 내부조직보다 효과적일지는 기업 스스로 고찰해 볼 필요가 있다. 분명 별도의 위원회가 없는 기업이 ESG경영을 잘 할 수도, 위원회가 있는 기업이 못 할 수 도 있다. 이론적으로는 충분히 가능하며 ESG 도 결국 CP의 일환이라고 생각하면 더더욱 그렇다.

물론 앞으로도 대외적으로 “우리는 ESG 경영을 합니다” 또는 “우리는 ESG 위원회가 있습니다” 라는 표현이 기업의 이미지 제고와 이해관계자들을 이해시키는데 더 좋다는 점에서 전략적으로는 더 유용할 것이다. 모든 것은 기업의 선택일 뿐이지만 ESG경영의 부족한 부분이 CP의 부재에서 온다는 점을 알고 있는 것이 앞으로 ESG경영을 하는데 도움이 될 수 있다.

공정거래 자율준수 프로그램과 유사제도의 구별

by

공정거래 자율준수 프로그램과 유사제도와의 구별

준법감시인제도와의 구별

금융관련법률에서 규정하고 있는 준법감시인제도는 고객의 자산을 위탁받아 운용하는 금융산업의 특성상 상시적인 엄격한 내부통제의 필요성때문에 도입된 제도로서, 내부통제기준의 준수 여부를 점검하는 업무가 주요 업무라는 점에서 비록 임직원에 대한 법규준수교육실시, 내부통제기준 준수를 위한 매뉴얼 작성 및 배포 등의 자율준수업무와 중복되는 점은 있지만 엄격한 내부통제에 초점이 맞추어져 있다는 점이 특색이다 .


자율준수관리자는 준법을 감시하는 소극적인 역할이 강조되는 금융권의 준법감시인과는 달리 자율준수프로그램의 운영은 준법이 경영현장에서 이루어지도록 적극적인 활동이 요구되는 것이다.

이런 견해와는 달리 금융관련 법률에서 규정하고 있는 준법감시인의 개념이 넓은 의미로서 가장 좁은 의미인 법규준수 외에 리스크관리를 포함하는 내부통제체제 전반을 의미하는 것으로 보는 견해가 있다 . 물론 법규준수는 자율준수개념 중에 가장 좁은 의미로 사용되는 것으로 보는 것은 일반적인 것이지만, 내부통제와 자율준수는 실행방법에서 중복되는 점이 있더라도 서로 다른 배경을 가지고 발전해 온 제도이므로 내부통제가 법규준수를 포함하는 넓은 의미로 사용된다고 보기는 어렵다.

준법지원인제도와의 관계

최근 상법개정으로 도입된 준법지원인 제도는 금융관련법률에서 규정된 준법감시인을 상법에 규정함으로써 그 적용범위를 금융보험업을 영위하는 회사 외의 일정한 규모의 상장회사로 넓힌 것으로 보인다. 상법 제542조의13 제1항 및 동법 시행령 제39조에 의하면 “자산규모가 5천억원 이상인 상장회사는 준법통제기준을 작성하여야 하며, 이에 관한 업무를 담당하는 준법지원인을 1인 이상 두어야 한다”고 규정하고 있다. 이 규정에 의하면 준법지원인의 주요 업무 역시 ‘준법통제기준’에 초점을 맞추고 있으며 이는 금융관련법률의 준법감시인 제도와 유사한 것으로 보인다. 다만 금융관련법률이 ‘내부통제기준’이라고 하여 넓은 의미의 컴플라이언스 개념을 사용하는 것과는 달리 ‘준법통제기준’이라고 가장 좁은 의미의 컴플라이언스 개념을 사용한 것이 다르다.

정부 업무의 대행과의 구별

또한 행정부에서 집행하여야 할 활동을 민간 스스로 집행하는 방법으로 행정부의 개입을 최소화하는 것은 자율준수프로그램과는 다르다. 예컨대 환경규제에서 관련 행정부서 혹은 지방자치단체가 실시하여야 할 검사 등의 활동을 협회 혹은 정부에서 승인한 기구에서 검사를 실시하여 보고하는 경우 정부에 의한 검사를 면제하는 행위와 같은 것은 지금 여기서 논의하는 자율준수프로그램과는 성격이 다른 것이다.
자율준수프로그램은 정부에서 해야 할 업무의 전부 혹은 일부를 대행하는 것이 아니라 법규를 위반하는 것을 예방하기 위해 스스로 법을 준수할 수 있는 효과적인 프로그램을 작성하여 실시하는 것으로, 그러한 활동에 의해 국가의 개입을 면제받는 것이 아니라는 점에서 위에서 언급한 활동과는 차이가 있다.

소 결

이러한 자율준수는 한편으로는 법규를 준수하여야 할 회사에게는 당연한 활동이라고 볼 수 있으므로, 이러한 활동에 대해 특별히 취급할 이유는 없다고도 할 수 있다. 하지만 정부에서 민간기업의 법준수활동을 의도적으로 장려하고 이에 대해 인센티브를 주는 방법에 의해 조장한다면 이는 넓은 의미에서 법집행의 영역으로 가져오는 의미가 있다고 보아야 한다. 즉 정부의 한정된 자원으로 법을 집행하는 것에 대한 보완으로 민간 스스로 법을 잘 준수함에 의해 법집행과 같은 효과를 가져와 법규의 제정 목적을 달성하게 한다는 점에서 완전히 공권력과 무관하다고 할 수는 없는 것이다. 이런 점에서 자율준수프로그램은 정부의 법집행 시스템의 일부로서 고찰해야 할 필요가 있다.

다른 한편, 자율준수프로그램은 회사의 리스크관리 혹은 내부통제와도 밀접한 관련을 갖게 된다. 즉 회사는 급변하는 경제환경에서 리스크를 관리하기 위해 각종 기법을 활용하게 되고 그러한 리스크관리 기법은 자율준수프로그램의 내용과 많은 점에서 중복된다. 자율준수프로그램이 원래 규제에 대한 준수를 기업 스스로 한다는 의미이기 때문에 당연한 일이다. 더욱이 지속가능경영이라는 관점에서 많은 대기업들이 윤리경영을 전면에 내세우고 있고 이러한 윤리경영의 최소한이 준법경영이라는 점에서 정부의 법집행수단으로서의 자율준수프로그램과는 상관없이 회사 스스로 높은 수준의 법규 준수활동에 노력하게 되는 것이다. 이런 측면에서 정부의 역할은 경쟁주창자라고 할 수 있다. 즉 기업들의 자율적인 법규준수 활동을 지원하기 위한 각종 프로그램의 개발과 직접적인 법집행(제재)과는 무관한 경쟁문화 창달을 위한 다양한 정책수단의 강구가 필요하다고 하겠다.

연구영역

Copyright 20222 Korea Compliance Institute. All rights reserved.