[김수희 법무법인 안심 파트너 변호사] #영국 런던에 본사를 둔 글로벌 금융기업인 스탠다드차타드는 2012년 불법금융거래로 기소돼 내부통제 미흡으로 1억220만 파운드(약 1700억원) 가량의 벌금을 부과받았다. 2019년에도 스탠다드차타드는 영국 금융당국으로부터 자금세탁방지 통제에서 고객 실사 및 모니터링과 관련해 지속적인 결함이 있음을 지적받았고, 미국 당국으로부터도 대규모 벌금을 부과받았다. 스탠다드차타드는 이 사건들을 계기로 내부통제 시스템을 개선·강화하며 최근에는 오히려 청렴 윤리 경영 사례로 주목받고 있다.

위 내용은 국민권익위원회에서 2024년 3월 발표했던 청렴윤리경영의 한 사례다. 스탠다드차타드는 자사 홈페이지에 금융범죄와의 싸움 페이지를 별도로 개설하고 부패방지·자금세탁 방지 등 각종 금융범죄를 방어하겠다는 의지와 노력을 공표하고 있다. 또한 전세계에 진출해 있는 해외 지점도 영국 본사와 동일한 수준의 내부통제 시스템을 적용할 것을 강조한다. 스탠다드차타드는 앞으로도 기록 적절성에 대한 모니터링·교육 등의 활동을 통해 내부통제를 지속적으로 강화해 나간다는 방침이다.

우리나라 역시 ‘내부통제’가 더욱 중요시 되고 있다. 금융사의 사례는 아니지만, 담합행위로 공정거래위원회로부터 약 320억원의 과징금을 부과받은 한 철강 회사의 대한 판례가 있다. 이 철강 회사의 소수주주는 내부통제 부재를 이유로, 주주대표 소송을 통해 대표이사 측에 손해배상을 청구했고 이를 인정받았다.

대법원은 이 사건 판결에서 “내부통제시스템은 비단 회계의 부정을 방지하기 위한 회계관리제도에 국한되는 것이 아니다”라며 “회사가 사업운영상 준수해야 하는 제반 법규를 체계적으로 파악해 준수 여부를 관리하고, 위반사실을 발견한 경우 즉시 신고 또는 보고해 시정조치를 강구할 수 있는 형태로 구현되어야 한다”고 했다.

해당 판결(대법원 2021. 11. 11 선고 2017다222368 판결)은 약 14년 만에 내부통제제도의 불비를 근거로 제기된 주주의 소를 인용한 대법원 판결이다. 위 판결을 계기로 이사의 감시의무와 내부통제제도의 법리적 내용과 그 운영에 대한 관심이 더욱 제고될 것으로 보인다.

이어 지난해 3월에는 실리콘밸리은행(SVB)의 파산과 크레디트스위스가 인수된 원인으로 ‘부적절한 위험 관리’와 ‘내부통제의 부재’가 지적됐다. 게다가 국내에서도 금융기업들의 크고 작은 금융사고가 발생하자 내부통제의 중요성이 재조명됐다.

금융당국과 금융사 내 감사 부문은 크고 작은 사고가 발생한 경우 미리 마련된 각 규정에 맞게 제재해 앞으로 같은 사고가 발생하지 않도록 하는 데 총력을 기울인다. 그러나 더욱 중요한 것은 ‘예방’이다. 사고가 발생하지 않도록 금융사의 업무 진행 과정에서 ‘사전’에 사고가 발생할 위험을 최소화하고, 나아가 원천 방지하는 것이 더욱 중요하다. 이것이 금융사의 위험 발생으로 인한 각종 비용을 줄여 효율 경영을 달성하게 해주는 최고의 전략이 될 것으로 확신한다. 

금융시장의 이해관계자들은 이러한 내부통제의 중요성을 대부분 인지하고 있으리라고 생각한다. 이같은 중요성을 알고도 내부통제의 현실적인 실천이 어려운 이유는 무엇일까?

‘불명확’한 내부통제 개념 인식
내부통제의 실제적 적용이 어려운 이유는 내부통제에 대한 인식이 불명확하다는 데 있다. 내부통제란 행정조직 내부의 계층적 명령계통을 통한 집행·실적이 처음에 세운 계획·기준에 일치하도록 보장하는 과정을 일컫는다. 통제과정은 통제기준의 설정·평가·시정조치 등 3단계를 통해 완성되며 기업에서 경영활동을 효과적으로 통제하기 위한 내부견제와 내부감사제도도 내부통제에 해당한다. 

금융사를 비롯한 기업들은 이러한 내부통제를 적용해 원칙을 지킴으로써 각종 사고가 발생하는 것을 방지하고 경영 효율화를 도모하고 있다. 특히 금융사에 있어 내부통제는 더욱 각별한 의미를 지닌다. 

내부통제를 확대 해석해 보면, 내부통제는 규제·감독 등 외부통제의 한계를 극복하기 위해 외부통제를 내부화한 개념으로 정리할 수 있다. 예금·보험·증권·가상자산 관리 등 점점 더 다양해지고 업무 범위를 넓혀가는 금융회사를 외부통제만으로 규율하는 것은 한계가 있을 수밖에 없었고, 이에 대응해 내부통제를 발전시켜 왔다. 

우리나라의 내부통제를 위한 규율을 보면 ‘금융회사의 지배구조법에 관한 법률’상 내부통제, ‘주식회사 등의 외부감사에 관한 법률’상 내부회계관리, ‘금융소비자 보호에 관한 법률’상 내부통제 등 각종 금융규제법이 내부통제를 다양하게 규정하고 있다. 

금융회사는 이 규정들을 종합적으로 고려해 내부통제 기준에 금융회사의 가능한 모든 업무활동이 포함될 수 있도록 한다. 금융회사는 임직원이 업무 수행 시 준수해야 할 절차를 마련하지 않으면, 금융사고로 이어질 수 있다는 인식에서 내부통제를 위한 각종 규정을 마련해 왔다.

다만 내부통제를 적용하는 과정에서, 이를 내부회계관리제도로 축소해 생각하는 경우가 꽤 많다. 재무제표의 신뢰성을 강조해 신뢰성 있는 정보를 작성하고 이해관계자에게 제공하는 것이 가장 중요한 통제이며, 이것이 곧 내부통제라고 인식하는 것이다.

실제로 미국·일본의 경우 법률에서 정한 내부통제의 범위는 내부회계관리 준수 의무에 국한한다. 물론 현실적 적용 범위는 전사적 운영을 강조할 정도로 전체 위험을 통제토록 한다. 결국 내부통제를 법으로 강제하기 보다 실효성 있게 적용돼 위험 관리가 극대화되는 환경을 조성하는데 방점을 둔다.

반면 우리나라는 법으로 내부회계관리를 포함한 개념의 내부통제기준 마련 의무를 법제화했다. 다양한 법률에서 내부통제를 규정하고 있지만, 결국 중요한 것은 내부통제를 실효성 있게 적용할 수 있는 합리적 수준의 내부통제를 마련하는 것이다. 

내부통제 개념 형성과 발전
내부통제 개념은 어떻게 형성되고 발전돼 왔을까. 먼저 COSO(The Committee of Sponsoring Organizations of the Treadway Commission)의 활동을 살펴볼 필요가 있다. COSO는 1985년 미국에서 기업의 경영윤리·내부통제·지배구조 등에 대한 연구와 제도적인 장치 마련을 목적으로 미국공인회계사협회(AICPA) 등 5개 민간기관이 참여해 설립된 비정부기구다. 경영자 및 이사회·회계전문가·규제기관 등을 대상으로 기업 내부감사 및 내부통제에 대한 권고 및 조언을 제공한다. 

COSO는 1992년 경영진이 통제시스템을 평가·보고·개선할 수 있는 방법에 대해 권고하기 위해 COSO 보고서를 내놨다. COSO 보고서에서 말하는 조직상의 내부통제 목적은 ▲효과적이고 효율적인 운영 ▲신뢰성 있는 재무보고 ▲법률과 제도에 대한 준법성 등 세 가지에 있다.

특히 지속적인 업무활동에 통합돼 있는 프로세스가 내부통제의 주요 관심사다. 보고서상의 내부통제 구성요소를 살펴보면 ▲통제환경 ▲위험관리 ▲통제활동 ▲정보 및 의사소통 ▲모니터링 등 다섯가지다.

국제결제은행 산하 바젤은행감독위원회가 1998년 발표했던 바젤제안서의 내용도 살펴볼 필요가 있다. 제안서는 은행의 경영건전성을 재고하고 금융시스템 안정성을 촉진하기 위해 내부통제 시스템을 적절히 운영해야 한다고 강조한다.

또한 내부통제에 대해 일정 시점에만 수행되는 절차나 방침이 아니라, 하나의 프로세스이며 금융회사의 임직원들 모두가 관여해 지속적으로 운영하는 것이 중요하다고 방점을 찍는다. 특히 경영목적에 있어 경영의 효율성과 실효성, 정보목적에 있어 재무 및 관리정보의 신뢰성 및 완전성, 법규준수를 각각 제시한다. 

두 기관의 내부통제 대한 의견은 결국 맞닿아 있다. 우선적으로 내부통제는 프로세스이며 경영목적에 있어서 ‘실효성’, 재무정보 제공에 있어서 ‘신뢰성’, ‘법규준수’ 등 세 가지를 목적을 달성하기 위해 적용된다. 또한 내부통제가 잘 작동해야 금융사 시스템이 안정되고, 금융사의 건전성이 제고된다는 확신을 갖고 있다. 사전적인 위험 관리가 사고 발생에 대비한 최선의 방어책인 것이다.

韓 금융사, 내부통제를 ‘좁은의미’로 인식
그렇다면 우리나라 금융사들의 내부통제는 어떻게 적용돼 왔을까. 우리나라의 경우 IMF 외환위기 이후 금융회사에 대한 내부통제기능 도입 필요성이 강조돼 왔다. 그 일환으로 2000년대 초반 은행법·증권거래법·보험업법 등 금융규제법에 내부통제기준과 준법감시인 등의 내부통제제도가 도입됐다.

(구)은행법·(구)증권거래법·(구)보험업법 각 1항을 살펴보면, 금융기관은 법령을 준수하고 자산운영을 건전하게 하며 각각 예금자·고객·보험계약자를 보호하기 위해 당해금융기관의 임원 및 직원이 그 직무를 수행함에 있어서 따라야 할 기본적인 절차와 내부통제기준을 정해야 한다고 규정한다. 이어 각 2항에선 금융기관은 내부통제기준의 준수여부를 점검하고 내부통제기준에 위반하는 경우 이를 조사해 감사위원회에 보고하는 준법감시인을 1인 이상 둬야 한다고 규정한다.

이후 2017년 금융회사의 지배구조에 관한 법률(이하 지배구조법)의 제정을 통해 기존 (구)은행법·(구)자본시장법·(구)보험업법 등에 산재해 있던 내부통제제도가 금융회사 지배구조법의 틀 내로 일원화됐다.

지배구조법 제24조는 금융회사는 법령을 준수하고 경영을 건전하게 하며 주주 및 이해관계자 등을 보호하기 위해 금융회사의 임직원이 직무를 수행할 때 준수해야 할 기준 및 절차를 마련해야 한다고 규정한다. 이어 제25조 제1항을 살펴보면 금융회사는 내부통제기준의 준수여부를 점검하고 내부통제기준을 위반하는 경우 이를 조사하는 등 내부통제 관련 업무를 총괄하는 준법감시인을 1명 이상 둬야 한다. 또한 준법감시인은 필요하다고 판단하는 경우 조사결과를 감사위원회 또는 감사에게 보고할 수 있다고 정한다.

여기서 내부통제란 경영효율성 제고·재무보고 신뢰·법규 준수 등 모든 활동을 뜻하며 전사적 운영리스크 관리의 개념으로 발전해 왔다. 주요 금융업권의 표준 내부통제기준에서도 컴플라이언스 준수·소비자 보호·내부회계 관리·리스크 관리·정보 보호·자금 세탁방지 등 금융회사의 모든 업무를 내부통제 대상으로 정리하고 있다.

특히 지배구조법은 (구)은행법·(구)증권거래법·(구)보험업법이 각각 예금자·고객·보험계약자로 보호 대상을 한정한 것과 달리, 금융사가 내부통제로 보호해야 할 대상으로 주주 및 이해관계자를 지정해 그 폭을 대폭 넓혔다.

이 같이 법률이 포괄적으로 내부통제의 범위를 넓혀왔던 것과 달리 그동안 국내외 금융회사는 내부 통제에 대해 ‘컴플라이언스 준수’ 등 좁은 의미로 인식해 왔던 것이 사실이다. 내부통제는 전사적으로 진행하는 것이 아니라, 준법감시 업무의 영역에 한정된 것으로 생각해 왔다. 그마저도 내부통제의 실제적 운영에 초점이 맞춰지기보다 위 법률 해석상 내부통제 규정을 마련하고 모니터를 해오는 정도에 그쳐왔던 것도 현실이다.

앞에서 살펴본 대로 우리나라 법제에서 살펴보면 내부통제와 관련한 개별 제도는 여러 법률에 산재돼 있고, 규정 위반 시 관리자와 기관이 제재를 받을 수도 있다. 그런데 내부통제와 관련된 규정이 너무 포괄적이고 추상적으로 제시돼 있어 ‘금융사고’만 벌어지면 ‘내부통제 미흡’의 탓으로 돌려지고 있기도 하다. 이는 관리자와 기관의 책임론으로 불거져 불확정 범위의 제제가 한동안 금융사 업무를 마비시키는 부작용이 있다.

내부통제 잘 한 금융사에 ‘인센티브’ 고려해야
결국 중요한 것은 실효성 있는 내부통제의 적용이다. 이를 위해 내부통제에 대한 규정을 보다 구체화하고, 내부통제를 마련하는데 방점을 둘 것인지 내부통제를 마련하고 제대로 운용하는 것까지 규율 대상으로 삼을 것인지에 대한 정리가 필요하다.

내부통제 정책을 앞에서 이끌어가고 실제 금융사를 감독하는 당국의 판단도 중요하다. 예를 들어 ‘금융사고 발생→내부통제 미흡→기관 및 관리자 제재’의 순으로 사후 처벌을 통한 사고 방지에 방점을 둘 지, ‘내부통제 제도에 대한 성실 운용→금융사고 발생→면책 사유 적용→자발적 정화’의 흐름으로 금융사고를 예방할 지에 대한 부분이다.

내부통제의 실효적 접근을 위해 결국 각 금융규제법에 산재돼 있는 내부통제 규정의 명확화를 통해 책임의 범위가 무제한적으로 확대돼 오히려 규제의 실효성을 잃어버리는 것을 방지해야 한다. 내부통제 제도를 튼튼히 마련하고 실제적으로 운영한 금융사들에게 다양한 인센티브를 주는 방식으로 내부통제의 자연스런 확산을 유도하는 것도 고려해볼만 하다.

앞서 지난해 6월 22일 금융당국은 금융회사 내부통제 제도개선 방안을 발표했다. 해당 방안에는 ▲책무구조도(Responsibilities Map) 도입 ▲대표이사를 포함한 각 임원에 대한 내부통제 관리의무 부여 ▲이사회의 내부통제 역할 명확화 ▲내부통제 관리의무 위반 시 관련 임원에 대한 제재 및 면책 기준 마련 등의 내용이 담겼다.

특히 금융당국의 책무구조도 도입에 따라 금융회사는 모든 임원에 대해 그 책임 범위와 업무를 사전적으로 기재한 책무구조도를 마련해야 한다. 또한 금융사고가 발생하면 사전적으로 정해 둔 책임범위 내에서 해당 임원이 내부통제 활동을 충분히 수행했는지 여부 등을 고려해 제재 여부를 결정하는 임직원의 역할과 책임도 사전 규정한다. 책무의 상세한 내용은 경영관리·위험관리·영업 부문 등 3가지 영역으로 구분해 시행령에서 예시적으로 열거했다. 이렇듯 금융당국 역시 금융사 내부통제의 실효적 적용에 대해 깊이 고민하고 있다.

금융감독원은 책무구조도 도입과 관련해 지난 2월 13일 “앞으로 금융회사 임원은 본인 소관 업무에 대해 내부통제 관리의무를 부여받게 됨에 따라 모든 임원들이 내부통제를 자신의 업무로 인식하도록 하는 등 근본적인 금융권의 내부통제 행태 변화가 나타날 것으로 기대한다”고 밝혔다.

당국은 금융회사 임원은 소관 업무에 대해 관련 법령에 따른 내부통제기준 및 위험관리기준(이하 내부통제기준 등)을 마련해야 한다고도 강조한다. 또한 해당 내부통제기준 등이 적정하게 마련됐는지, 내부통제기준 등이 효과적으로 집행·운영되고 있는지, 임직원의 내부통제기준 등의 준수여부를 지속 점검하며 내부통제 관리의무를 수행해야 한다고 덧붙였다.

내부통제 실질적 실행…신뢰 형성 지름길
위와 같이 새로운 정책이 도입되면서 금융사 내부통제에 있어 다양한 변화가 예상된다. 결국 중요한 것은 내부통제의 목적을 실질적으로 달성해 각종 위험을 최소화하는 것이다. 각종 위험에는 금융회사의 위험·신용위험·시장위험·유동성위험·운영위험·법률위험·회계위험·평판위험 등이 있다.

최근에는 개인정보 유출이나 일련의 금융사고가 발생함에 따라 운영위험 관리의 중요성이 강조되고 있다. 운영위험이란 부적절하거나 실패한 내부 프로세스·인력·시스템 또는 외부사건으로 인해 초래되는 손실 위험을 가리키며 실무에서는 다양한 의미로 구체화될 수 있다.

내부통제의 개념적 의미에서 살펴보았듯 내부통제는 목적의 달성이다. 그런데 잠재적 사고나 손실발생 등의 위험은 내부통제의 목적 달성을 어렵게 한다. 이에 내부통제가 관리할 수 있는, 관리해야 하는 위험의 범위를 명확하게 규정하고 식별할 필요가 있다.

특히 최근 그 통제의 중요성이 더욱 부각되고 있는 운영위험에 있어 다양한 가능성을 상정해 보고 실무 단계·위험관리 단계·내부감사 단계 등 방어선을 구축해 위험이 발생되지 않도록 철저히 관리할 필요가 있다. 정리하면 운영위험을 비롯해 전사적 위험관리 체제에 내부통제가 포섭되도록 해야 하며, 내부통제시스템의 세가지 목적이 회사의 전략적 목적과 연계되도록 할 필요가 있다. 

우리나라 금융사 내부통제가 새로운 역사의 획을 그어가는 지금, 내부통제 적용에 대한 실질적 실행 노력이 결국 금융산업의 두터운 신뢰 형성으로 이어져 최고의 경영 성과로 이어질 것으로 확신한다.

김수희 법무법인 안심 파트너 변호사는_2022년 BNK금융그룹 최연소이자 최초의 여성 사외이사로 선임돼, BNK캐피탈‧BNK부산은행‧BNK금융지주의 사외이사로 재임했다. 리스크관리위원회‧보수위원회‧감사위원회 등에서 활동했다. 또한 앞서 2019년 새벽배송 기업 오아시스마켓의 대외법무이사로 재임하며 기업가치 1조원의 ‘유니콘 기업’으로 성장하기까지 다양한 업무를 맡았다. 특히 투자 유치를 위한 적극적 법률 실사 대응은 물론 기업 인수합병(M&A)‧공정거래‧상장(IPO) 진행‧인사노무‧지식재산권 등 다양한 기업 관련 사건을 맡아 직접 처리했다.

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지