KCMI 자본시장연구원
ENG

보고서

연구보고서

카드뉴스
카드뉴스
카드뉴스
카드뉴스
카드뉴스
카드뉴스
카드뉴스
카드뉴스
보고서
2022 01/27
주요국 내부통제 제도 현황 및 한국 내부통제 제도 개선 방향 연구보고서 22-01 PDF
안수현
다른 보고서

다른 보고서가 없습니다.

목차
Ⅰ. 서론
 
Ⅱ. 해외 내부통제 제도 현황
  1. 미국
  2. 영국
  3. 일본

Ⅲ. 한국 내부통제 제도 진단
  1. 한국 내부통제 제도 현황
  2. 한국 내부통제 제도의 규제 격차 분석
 
Ⅳ. 한국 내부통제 제도 개선 방향
  1. 지배구조법 개선 방향
  2. 내부통제 인프라 개선 방향
카드뉴스
카드뉴스
카드뉴스
카드뉴스
카드뉴스
카드뉴스
카드뉴스
카드뉴스
요약
최근 발생한 사모펀드, 해외금리연계 파생결합펀드(DLF) 사건을 계기로 금융회사의 내부통제 제도를 개선해야 한다는 목소리가 커지고 있다. 한국은 2017년 지배구조법 시행으로 금융회사로 하여금 내부통제기준 마련 의무를 부여하고 있으며, 내부통제를 소홀히 마련한 경우 감독자책임의 일환으로 CEO까지 제재할 수 있게 되었다. 문제는 내부통제기준 마련 의무의 위반 근거가 모호한 가운데, 내부통제 소홀의 이유로 CEO까지 책임을 묻는 것이 적절한지에 대한 논란이 커지고 있다. 감독당국은 내부통제 소홀 시 CEO에게까지 책임을 부과하지 않고는 금융회사가 유인을 가지고 적극적으로 내부통제를 수행하지 않을 것이라는 인식을 가지고 있다. 반면, 금융회사 입장에서는 내부통제가 본래 자율 규범적 속성을 가지기 때문에, 자율 규범적 속성의 내부통제를 소홀히 했다고 해서 CEO까지 제재하는 것이 다소 과하다는 주장이다. 
 
내부통제는 미국을 중심으로 발전해온 가운데, 미국, 영국 등 주요국 금융회사가 내부통제 역량 강화를 위해 인적, 물적 인프라 투자를 강화해온 반면 과거 한국 금융회사는 내부통제를 컴플라이언스 준수로 인식하여 다소 소극적으로 대응해왔다. 또한 국내에서 주요국 내부통제의 발전 과정 및 내부통제 제도 현황에 대해 깊이 있는 분석이 많지 않으며, 한국 내부통제 제도의 특징을 비교법적으로 접근한 연구도 많지 않다. 이에 본 연구는 주요국 내부통제 제도의 발전과정과 주요 현황을 살펴보고, 한국 내부통제 제도의 규제 격차 등을 비교법적으로 분석하고자 한다. 이를 기초로 최근 쟁점이 되고 있는 지배구조법상 내부통제 제도의 개선 방향을 제시하고자 한다.
 
미국 증권회사의 내부통제 및 컴플라이언스 프로그램은 증권거래법상 감독자책임 조항과 관련한 FINRA 규정들에 기반을 두고 발전하였다. 다만, 기관제재의 경감방식, 이사회의 감독책임, SOX 법, Dodd-Frank 법 등 여러 법률과 제도에 의해서도 상당한 영향을 받으며 진화해왔다. 증권회사의 내부통제 및 컴플라이언스 마련과 관련해서는 ‘합리성’ 또는 ‘합리적인 수준’을 강조하고 있는데, COSO 프레임워크를 따르는 SOX 법과 증권거래법상 감독자책임 조항에서 이를 확인할 수 있다.
 
미국 증권거래법상 감독자책임은 감독책임의 부재에 해당하는 요건만을 제시하고 있으므로, 증권회사는 합리적인 감독시스템과 절차를 마련하였음을 스스로 입증함으로써 면책받을 수 있다. 따라서 증권회사나 CEO는 감독책임에 대한 자신의 방어를 위해 합리적이고 효과적인 컴플라이언스 프로그램을 마련하고 활용할 유인이 있다. 한편, 증권회사의 CEO는 CCO에게 컴플라이언스 기능을 위임할 수 있다. 다만 SEC는 CEO가 컴플라이언스 부서에 필요한 자원과 전문인력을 충분하게 제공하고 위임한 감독 기능에 대한 검토와 후속 조치를 합리적인 수준에서 이행할 때 CEO의 감독자책임을 면한다고 보고 있다. 자율규제기관인 FINRA는 여러 규정을 통해 최소한의 컴플라이언스 프로그램의 운영 체계를 구체적으로 가이드하고 요구함으로써 실무적으로 상당한 역할을 하고 있고, 면책조항으로만 제시된 증권거래법상 감독자책임 조항을 보완하고 있다. 또한 SEC의 여러 의사소통 채널은 금융환경 및 규제 변화에 따라 개선될 필요가 있는 컴플라이언스 프로그램에 대해 가이드를 제공하고 있다.
 
1980년대 양형제도의 개혁과 잇따른 USSG의 발표를 계기로 미국의 기관제재는 기관의 직원에 대한 감독 조치를 중시하는 방향으로 발전하게 되었다. 즉 화이트칼라 범죄의 높은 사회적 비용과 낮은 적발 가능성을 반영하여 기업에 높은 제재금을 부과하는 대신, 기업의 컴플라이언스 프로그램 마련, 자진신고와 정부 조사에 대한 협조 등에 따라 제재금이 경감되는 인센티브 방식을 채택하였다. 이러한 기관제재의 방식은 기업 범죄를 저지하는 효과성과 집행의 비용효율성 측면에서 최적인 것으로 학계로부터 평가받고 있다. 기업들의 감시활동과 자진신고, 정부 조사에 대한 협조 등 사후 조치에 대한 경감 정책을 통해 사전적으로 컴플라이언스 마련의 불완전성을 보완하고 있는 점도 미국 기관제재의 특징으로 보인다.
영국에서 금융회사의 지배구조와 내부통제에 큰 변화를 가져온 주요한 계기는 금융위기의 발생이었다. 금융기관의 보수관행이 과도한 위험을 추구하도록 설계되어 있고 금융기관의 장기적인 성공과는 이해관계가 일치되어 있지 않는다는 점이 비판받아왔다. 이러한 문제점은 결국 재발되는 내부통제 미비로 인한 금융피해를 예방하도록 금융서비스시장법(FSMA)에 명문으로 내부통제 미비로 위법·위규 행위가 발생한 경우 금융회사 뿐 아니라 경영자를 포함한 고위임원 개인에 대해서도 행정제재를 부과할 수 있는 규정을 마련하는 것으로 이어졌다. 이른바 ‘법적 책임질 의무(duty of responsibility)’가 그것이다. 
 
이는 (i)금융회사의 규정 위반이 있고 (ii)당해 위반행위가 발생한 기업의 업무와 관련하여 고위 임원이 책임지는 지위에 있으며, (iii)그와 같은 위반행위가 발생하는 것에 대해 그 지위상 예방할 것으로 기대되는 조치(reasonable steps)를 취하지 않은 경우 해당 임원에 대하여 제재조치가 부과된다. 이 경우 지위상 기울여야 할 주의를 기울이지 않은 것에 대한 증명책임은 감독기관이 진다.
 
이와 관련하여 소속한 회사에 위법행위가 발생하였다고 해서 그것이 경영자에게 바로 직접적인 책임을 지게 하는 구조는 아니라는 점에서 주의할 필요가 있다. 즉 법령에 ‘책임질 의무(duty of responsibility)를 명시하고 금융감독기관의 감독규정에 마련한 원칙과 규정들을 위반한 것을 이유로 개인에 대하여 제재조치를 부과하지만 그 요체는 법규준수와 내부통제를 담보할 수 있는 ‘합리적인 조치(reasonable steps)’를 취하지 않은 경우에 개인적으로 규제상 책임을 지는 것이다. 따라서 감독기관이 부과하는 행정조치로서 책임에서 벗어나기 위해서는 경영자 및 상급임원들은 각각 회사 내 자신이 책임지는 부분을 명확히 인식하고 있어야 한다. 이러한 부분을 고려하여 영국의 금융감독기관은 책임문서(Statements of Responsibilities)와 책임지도(Responsibilities Maps)를 사전에 마련하도록 회사에 의무화함으로써 경영자가 개인적으로 행정상의 제재조치를 받는 것과 연계되도록 뒷받침하고 있다. 다만 최근까지 금융회사의 경영자에게 내부통제 미비로 부과한 행정제재의 유형은 특정 지위의 박탈이라는 신분적 제재조치보다는 금전적 제재를 부과하는 경우가 더 많은 점, 개인제재에 대해서는 조치부과 사례가 현저하게 많지는 않은 점 등에서 제도 개선 효과는 조금 더 지켜볼 필요가 있다. 
 
일본은 1995년 다이와은행 뉴욕지점의 대규모 손실 사건과 1996년 스미토모 상사의 선물거래 손실 사건을 계기로 내부통제 제도화의 필요성이 제기되었다. 1990년대 중반 이후 일본 경제의 장기불황이 이어지며 상당수 은행, 증권회사, 보험회사 등이 부도 위험에 처하고 다이와은행의 주주대표소송, 고베제강의 주주대표소송, 세이부철도의 유가증권보고서 허위기재 등의 사건이 일어나자 내부통제 제도 마련의 필요성이 더욱 커졌다. 이에 미국 COSO(1992) 연구 및 2002년 SOX법을 벤치마크하여 2005년 회사법과 2006년 금융상품거래법에서 각각 내부통제 관련 제도를 마련하게 되었다. 
 
우선 2005년 개정 회사법에서는 대기업의 이사회로 하여금 내부통제의 기본 방침을 결정할 의무를 부여했다. 당시 일본 회사법은 미국 SOX법의 재무보고에 관한 주요 사항을 넘어 법규 준수, 업무 효율성 제고, 재무 보고서 신뢰 제고를 위한 사항 등 COSO(1992)에서 제시한 주요 내부통제의 범위를 모두 포섭하고 있다. 다만, 대기업이 내부통제에 대한 기본방침을 정할 의무를 소홀히 한다고 해서 임직원에 대한 제재를 수행하거나 금전 제재를 수행한다는 규정은 찾기 어렵다. 한편 2006년 금융상품거래법에서는 상장기업에 대해 매사업연도마다 재무보고에 관한 사항을 중심으로 내부통제 시스템을 평가한 내부통제보고서 제출 의무를 부여하고 있다. 상장기업이 내부통제를 소홀히 마련한 것은 그 자체로는 금융상품거래법에 따른 위반사항으로 보지는 않는다. 다만 내부통제보고서에 마땅히 보고해야 할 사항 또는 중요한 결함 등을 기재하지 않는 것은 금융상품거래법의 위반으로 본다. 금융회사에 대해서는 금융상품거래업자 매뉴얼 등에서 비교적 구체적인 내부통제 가이드라인을 제시하고 있다. 이상을 종합하면 일본은 회사법과 금융상품거래법에서 각각 대기업과 상장기업을 대상으로 내부통제 제도를 마련하고 있는데, 내부통제의 구축 및 운영을 소홀히 했다고 해서 엄격한 법적 제재를 부과하는 사례는 많지 않다. 금융상품거래법에서 상장회사로 하여금 내부통제보고서를 제출하고 감사증명을 받도록 하는 것이 구별되는 특징이다.
 
한국은 1997년 외환위기 이후 IMF의 권고에 따라 (구)기촉법에서 내부회계관리제도가 도입되었다. 당시 재무보고를 중심으로 내부통제 제도가 마련되었다. 금융회사에 대해서는 과거 은행법, 보험업법, 자본시장법 등 개별 금융업법에서 내부통제에 관한 규정을주로 마련했다. 2017년 지배구조법 시행으로 은행법, 보험업법, 자본시장법 등 개별 금융업법에서 규율하였던 내부통제 제도가 지배구조법으로 합쳐졌다. 지배구조법에서는 주요 금융회사로 하여금 법령 준수, 건전 경영, 주주 및 이해관계자 보호를 위해 금융회사임직원이 직무를 수행할 때 준수해야 할 기준 및 절차(이하 내부통제기준)를 마련할 의무를 부여하고 있다. 지배구조법 시행령에서는 금융회사의 내부통제가 실효성 있게 이루어질 수 있도록 주요 사항을 내부통제기준에 포함할 것을 명시하고 있으며 지배구조법 감독규정에서는 금융회사로 하여금 내부통제기준을 설정하고 운영함에 있어 별도의 기준을 마련하고 있다. 
 
지배구조법 제24조 제1항에서 명시한 내부통제기준을 마련하지 않으면 해당 법령을 위반한 자에게 최대 1억원 이하의 과태료를 부과할 수 있다. 금융회사 임직원이 해당 조항을 위반하면 임원에 대해서는 해임요구, 6개월 이내의 직무정지 또는 직무대행 관리인의 선임, 문책경고, 주의적 경고, 주의 등의 조치를 취할 수 있으며 직원에 대해서는 면직, 6개월 이내의 정직, 감봉, 견책, 주의 등의 조취를 취할 수 있다. 금융기관 검사 및 제재에 관한 규정에도 내부통제 관련 위반에 대한 처벌 규정을 마련하고 있다. 
 
한국의 내부통제 제도를 주요국과 비교분석하면, 내부통제의 정의와 관련해서는 미국, 영국, 일본과 한국 간에 큰 차이가 없다. 다만 실무적으로는 다소 차이가 있다. 한국 금융회사들 중 상당수는 내부통제를 법규 준수와 관련된 컴플라이언스 준수 의무로 이해하고 있는 반면, 주요국 금융회사는 내부통제를 전사적 운영리스크 관점으로 이해하여 내부통제 역량 강화를 위해 대규모 인적, 물적 투자를 수행하고 있다. 내부통제기준 마련 의무와 관련해서, 한국과 주요국은 다소 차이가 있다. 한국은 감독규정에서 금융회사의 가능한 모든 업무를 포함하도록 규율하고 있어, 내부통제기준 준수 의무의 부담이 다소 크며 추상적이다. 반면, 미국, 영국의 경우 합리적인 수준에서 내부통제 구축 의무를 부여하고 있어 내부통제를 구축하는데 과도한 비용이 발생하거나 비용 대비 편익이 크지 않다고 판단하면, 내부통제 구축의 범위를 크게 확장하지 않아도 된다.
 
기관 제재와 관련해서는 한국의 규제 강도가 다소 낮다. 한국은 내부통제기준 마련 의무 위반 시 1억원 이하의 과태료를 부과하나 미국, 영국의 경우 내부통제 구축 의무 위반 시 매우 높은 수준의 민사 제재금을 부과할 수 있다. 반대로 인적 제재와 관련해서는 한국의 규제 강도가 다소 높다. 한국의 경우 CEO를 포함한 임원이 내부통제 소홀 마련에 책임이 있다고 판단하면 해임권고, 직무정지 등 매우 높은 수준의 인적 제재를 부과할 수 있다. 감독자책임과 관련해서는 한국과 주요국 간의 규제 강도에서 큰 차이가 있다고 보기 어렵다. 다만 감독자책임을 언제, 어떻게 적용하는지와 관련해서 한국은 다소 불명확한 부분이 있다. 미국, 영국 등의 경우 감독자책임을 부과하기 위해 감독소홀의 범위를 구체적으로 명시하고 최종감독자, 중간감독자 등의 역할과 책임을 사전에 구체적으로 명시함으로써 사안에 따라 CEO까지 책임을 묻지 않고 중간관리자에게 최종 책임을 묻는 것을 허용하고 있다. 미국, 영국은 한국과 달리 내부통제를 높은 수준의 제재 조치의 경감 수단으로 활용하는 것도 차이점이다. 흥미로운 점은 미국, 영국 등에서는 금융사고 발생 이후 인적 제재 또는 금전 제재를 받은 이후라도 내부통제 개선을 위해 충분한 노력을 수행한 것을 사후적으로 인정받으면 금전 제재 등을 경감 받을 수 있다. 
 
이와 같은 내부통제 제도 규제 격차를 근거로 한국 내부통제 제도의 개선 방향을 법적 측면과 인프라 측면에서 제시한다. 첫째, 금융회사로 하여금 실효성 있는 내부통제 역량 강화를 위해 지배구조법에서 내부통제기준 마련 의무를 구체적으로 명시할 필요가 있다. 이때 영국의 사례를 참고하여 금융회사로 하여금 책임문서와 책임지도 마련 의무를 부여할 필요가 있다. 둘째, 금융회사의 내부통제 역량 강화를 유도하기 위해 금융업 법제 전반의 제재 방식을 인적 제재에서 금전 제재 중심으로 전환할 필요가 있다. 셋째, 미국, 영국 등의 사례를 참조하여 금융회사가 내부통제의 충실한 마련을 입증하는 경우 인적 제재 또는 금전 제재를 경감 받을 수 있는 면책 제도를 법제화할 필요가 있다. 더불어 금융사고 이후라도 금융회사가 내부통제를 충실히 마련한 것을 입증하면 일정 부분 제재를 경감 받을 수 있도록 인센티브 제공을 검토할 필요가 있다. 넷째, 미국 FINRA, 영국 FCA 핸드북 등의 사례를 참조하여 합리적 수준에서 금융회사가 준수할 수 있는 업권별 내부통제 가이드라인을 마련할 필요가 있다. 다섯째, 금융회사의 내부통제 역량 강화를 유도하기 위해 내부통제 평가보고서 제출 의무화 등을 통해 내부통제 주요 현황을 공시하도록 하는 방안을 검토할 필요가 있다. 여섯째, 감독당국이 개별 금융회사에 대한 내부통제 평가보고서를 작성하고 이를 공개함으로써 내부통제 마련 및 준수 범위 관련 모호성을 완화하고, 금융회사로 하여금 유인부합적인 내부통제 투자를 유도할 수 있다.
Ⅰ. 서론 

경제 성장과 더불어 금융회사의 업무 범위가 확대됨에 따라 금융회사가 대규모 손실을 기록하거나 금융회사 임직원의 실수로 금융소비자가 피해를 보는 사례도 늘고 있다. 1995년대 영국 베어링스 은행의 파산과 일본 다이와은행의 대규모 손실 사건, 2008년 글로벌 금융위기 당시 미국 주요 투자은행의 대규모 손실 사건 등이 대표적이다. 한국도 예외는 아니다. 금융당국의 금융소비자 보호 강화 노력에도 불구하고, 금융회사가 내부통제 미흡으로 대규모 투자자 손실이 발생하는 등 금융소비자의 피해는 꾸준히 발생하였다. 2013년 A증권회사 파생상품 주문 실수로 인한 파산 사건, 2018년 발생한 B증권회사의 배당오류 사건, 2019~2020년에 이슈가 된 사모펀드, 해외금리연계 파생결합펀드(DLF)로 인한 대규모 투자자 피해 사례가 대표적이다. 특히 감독당국은 최근 사모펀드와 DLF의 대규모 손실 발생의 근본 원인으로 금융회사의 내부통제 미흡을 지적하고 있다. 
 
금융당국은 금융소비자 보호를 강화하기 위해 금융회사의 지배구조에 관한 법률(이하 지배구조법) 제정을 통해 내부통제 관련 규제 강화를 추진해왔다. 2017년 10월부터 시행된 지배구조법에서는 금융회사로 하여금 내부통제기준 마련 의무를 부여1)하고, 금융회사가 내부통제기준을 실효성 있게 마련하지 않는 등 내부통제를 소홀하게 수행하는 경우 금융회사의 CEO까지 제재할 수 있도록 규정했다. 내부통제 소홀 시 CEO에게까지 책임을 부과하지 않고는 금융회사가 유인을 가지고 적극적으로 내부통제기준 마련에 힘쓰지 않을 것이라는 인식이 지배구조법에 담겨있다고 볼 수 있다. 2019~2020년 동안 발생한 사모펀드와 DLF의 대규모 손실과 관련해서 금융당국은 해당 금융상품을 판매한 시중은행 및 증권회사들의 CEO에게 내부통제 소홀 등의 이유로 문책 경고, 주의적 경고 등 중징계 처분을 요구하기도 했다.
 
반면 금융회사는 내부통제기준 마련 의무 위반으로 CEO까지 제재하는 것은 과도한 규제라는 입장이다. 내부통제는 본래 감독당국 중심의 외부통제를 금융회사에게 자율로 위임한 것을 의미하는데, 이와 같은 자율 규범적 속성의 내부통제기준을 위반했다고 해서 CEO까지 제재하는 것이 다소 과하다는 주장이다. 평상시에는 내부통제를 문제로 인식하지 않다가 대규모 금융사고가 발생하여 사회적 이슈로 부각되면, 내부통제기준 소홀 을 이유로 CEO까지 처벌한다는 것이다. 내부통제기준에 금융회사의 가능한 모든 업무활동을 포함시켜 금융사고 발생을 완벽히 막는 것은 현실적으로 어려우며 금융회사가 손실 방지를 최우선 전략으로 고려하다 보면 금융중개와 금융혁신 기능이 크게 위축될 수 있다는 것이 금융회사의 입장이다. 
 
내부통제는 미국을 중심으로 발전해왔다. 미국 회계부정방지 위원회(Committee of Sponsoring Organization: COSO)는 내부통제의 개념을 최초로 정립한 것으로 알려져 있는데, 초기 COSO(1992) 연구는 내부통제의 개념을 회사의 운영, 보고, 법규 준수의 목적을 달성하기 위해 이사회, 경영진, 회사 임직원들이 수행하는 모든 절차로 정의하고 있다. 1997년 아시아 위기와 2008년 글로벌 금융위기를 겪으면서 금융회사에게 적용되는 내부통제의 개념은 컴플라이언스 준수 관점에서 전사적 운영리스크 관점으로 진화되고 있다. 이에 COSO(2013)는 내부통제의 구체적 적용 범위를 컴플라이언스, 소비자보호, 내부회계, 정보보호, 리스크관리, 자금세탁방지 등을 모두 포함하는 것으로 보아, 컴플라이언스 준수를 넘어선 전사적 운영리스크 관점으로 볼 것을 제안하고 있다. 
 
한국도 COSO(1992)를 벤치마크하여, 내부통제를 금융회사로 하여금 법령을 준수하고, 경영을 건전하게 하며, 주주 및 이해관계자를 보호하기 위해 금융회사의 임직원이 직무를 준수하게 할 기준 및 절차로 정의하고 있다. 내부통제의 정의와 관련해서, 주주 및 이해관계자 보호를 위해 임직원 등이 지켜야 할 절차2)를 명시하는 등 COSO(1992)보다 광범위하고 다소 추상적인 개념을 적용하고 있다. 반면 과거 한국 금융회사들은 내부통제를 전사적 운영리스크 관점으로 인식하기보다 컴플라이언스 준수 개념으로 다소 소극적으로 인식하는 경우가 많았던 것으로 보인다. 지배구조법에서 명시한 내부통제기준 마련 의무를 지키는 목적은 전사적 운영리스크 관리를 효율적으로 수행하기보다 CEO 제재를 받지 않기 위한 목적으로 인식하는 등 다소 수동적이며 획일적으로 대응하는 것으로 보인다. 이에 주요국 금융회사가 내부통제 역량 제고를 위해 상당한 인적, 물적 투자를 수행해온 것과 달리, 한국 금융회사들은 내부통제를 비용으로 인식하여 적극적으로 투자를 수행하지 않고 있으며 대부분 금융회사들이 획일적인 내부통제 모범기준을 마련하고 수동적으로 대응하는 것3)도 문제로 인식된다.
 
한국 금융회사의 내부통제 역량이 상대적으로 부족한 데에는 금융규제 원칙의 차이를 주된 이유로 꼽을 수 있다. 첫째, 한국 금융규제는 대륙법 체계의 룰(Rule) 중심 규제로 기술되어 있어, 영미법 체계의 원칙(Principle) 규제를 따르고 있는 ‘내부통제기준 마련 의무’ 가 제대로 실행되기 어렵다는 주장이 있다. 대부분의 금융관련 규제가 룰(Rule) 중심으로 기술된 가운데, ‘내부통제기준 마련 의무’는 다소 추상적이고 모호한 원칙 중심 규제로 기술되어 있어 금융당국이 규제를 집행하고 감독을 수행하는데 어려움이 있을 수 있다. 예를 들어 내부통제기준 소홀과 관련해서 어떠한 행위들에 대해 감독자책임을 어느 수준까지 물어야 하는지 등이 명확하지 않다. 둘째, 주요국에서 내부통제기준 마련 의무 등 주요 금융규제를 위반하면 인적 제재와 더불어 엄중한 금전 제재를 부과 받는 반면, 한국의 경우 ‘내부통제기준 마련 의무’를 위반했다고 하더라도 금전 제재는 경미한 과태료로 그치고 임직원 또는 CEO 등의 인적 제재에 집중하기 때문에 한국 금융회사 입장에서는 내부통제 역량 강화를 위해 대규모 투자를 나설 유인이 크지 않다. 셋째, 미국 등 주요국은 내부통제기준을 충실하게 마련할 경우, 과징금 경감 등의 인센티브를 제시하고 있어 금융회사 스스로 내부통제 역량 강화에 많은 인적, 물적 투자를 수행하고 있으나 한국은 내부통제기준 마련 의무를 CEO 제재를 피하기 위한 소극적 행위로 인식하는 경향이 많아 내부통제 역량 강화에 의미 있는 비용 지출을 수행하지 않는 것으로 보인다.  
 
최근 사모펀드, DLF 등 금융투자상품의 대규모 손실로 금융회사의 ‘내부통제기준 마련 의무’ 및 관련 CEO 제재가 쟁점이 되고 있으나, 주요국 내부통제 제도의 현황 및 국내 내부통제 제도 개선 방향에 대해서는 심도 있는 연구가 많지 않다. 이에 본 연구에서는 주요국 내부통제 제도를 심도 있게 분석하고 한국 금융회사의 내부통제 제도 개선 방향을 제시하고자 한다. 우선 Ⅱ장에서 미국, 영국, 일본 등 주요국 내부통제 제도의 현황 및 주요 특징을 분석한다. 이를 기초로 한국 금융회사 내부통제 제도의 주요 특징을 진단하고자 한다. Ⅲ장에서는 주요국 내부통제 제도와의 비교 분석을 통해 한국 내부통제 제도의규제 격차 등을 진단하고자 한다. Ⅳ장에서는 한국 내부통제 제도의 법적 개선 방향과 금융회사를 중심으로 한 내부통제 인프라 개선 방향 등 내부통제 제도의 바람직한 개선 방향을 제시한다.

 
Ⅱ. 해외 내부통제 제도 현황

1. 미국
 
가. 미국 증권회사의 내부통제 관련 법률에 대한 개관
 
증권회사의 내부통제와 컴플라이언스는 증권거래법 등 여러 금융 관련한 법률에 기반을 두고 있다. 대표적으로는 증권거래법상 감독자책임 조항과 관련한 여러 FINRA 규정, ITSFEA(Insider Trading and Securities Fraud Enforcement Act: 1988년)4), Dodd-Frank 법, 자금세탁방지법(Anti-money Laundering Laws)을 들 수 있다. 그중에서도 증권회사가 합리적인 수준에서 감독시스템과 절차를 마련하였는지에 따라 면책될 수 있는 증권거래법상 감독자책임 조항과 관련한 FINRA 규정은 증권회사의 컴플라이언스 운영과 체계에 대한 직접적인 규율로 작용하고 있다.
 
이 외에 지난 50년 사이 대규모 기업 스캔들 등을 계기로 마련된 내부통제 관련 제도들은 일반기업뿐 아니라 금융기관의 내부통제 발전에 상당한 영향을 주고 있다. 그 예로는 워터게이트 사건을 계기로 제정된 FCPA 법(Foreign Corrupt Practice Act: 1977년)이나 엔론 사태로 도입된 2002년 SOX 법(Sarbanes-Oxley Act: 2002) 등을 들 수 있다. 이러한 법률들은 재무회계의 보고 및 정보 공시와 관련한 내부통제와 컴플라이언스를 마련하도록 요구하고 있다. 다른 한편, 이사회의 감독책임과 의무를 다루고 있는 델라웨어 기업법, 양형제도의 개혁과 그 하나로 1991년 발표된 기관제재에 관한 양형가이드라인(United States Sentencing Guidelines: USSG), 미 법무부(Department of Justice: DOJ)의 여러 기소지침은 모든 기업이 준수해야 할 최소한의 컴플라이언스 프로그램 마련과 감독에 관한 사항을 제시하고 있다. 즉 <그림 Ⅱ-1>에서 볼 수 있듯이, 증권거래법상 감독자책임 및 FINRA 규정과 같이 증권회사에 대한 직접적인 규율뿐 아니라, 기관제재에 관한 양형가이드라인, 이사회의 감독책임 그리고 FCPA, ITSFEA, SOX 법 등 내부통제와 관련한 여러 법률과 규정은 증권회사에 적정한 내부통제와 컴플라이언스를 요구하고 있는 제도들로 볼 수 있다.
 

 
증권회사의 내부통제 및 컴플라이언스의 마련과 관련해서 제도적으로 ‘합리성’ 또는 ‘합리적인 수준’을 강조하고 있는 것이 특징적이다. COSO 프레임워크5)에서는 내부통제를 기업의 운영, 보고, 법규 준수 등의 목적 달성에 있어 합리적 수준의 확보(reasonable assurance)를 위해 만들어지고 조직의 이사회, 경영진, 기타 직원들에 의해 실현되는 일련의 프로세스라고 정의되어 있다. COSO 프레임워크에서 합리적인 수준의 내부통제를 요구하는 이유로는 완전한 내부통제 시스템을 마련하는 데 있어 본질적으로 한계가 있기 때문이다. 이를테면, 내부통제 시스템이 적절히 고안되었더라도 임직원들의 실수, 판단 착오, 경험 부족, 가이드의 혼선 등으로 인해 그 기능이 허물어질 수 있다. 또한 완전한 내부통제 시스템 마련에 필요한 비용이 그 혜택에 비해 턱없이 클 수 있다. 이 경우 기업이나 금융회사는 비용과 편익을 고려하여 합리적인 수준으로 내부통제 시스템을 마련하는것이 오히려 더 타당할 수 있다. SOX 법은 SEC 규정을 통해 COSO 프레임워크를 내부통제 시스템의 적절한 프레임으로 제시하고 있는 바, 합리적 수준의 내부통제를 요구하고있다. 증권회사에 대한 감독자책임 조항에서도 합리적인 수준의 내부통제 또는 감독시스템을 요구하고 있다. 증권거래법상 감독자책임 조항에 따르면, 증권회사가 합리적인 감독시스템과 절차 등을 마련하였는지, 감독자에 해당하는 자가 자신에게 부여된 감독의 책임을 합리적으로 이행하였는지에 따라 면책될 수 있다.6)
  
나. 감독자책임과 컴플라이언스 프로그램
 
1) 미국 증권거래법상의 감독자책임
 
미국 증권회사의 영업행위를 규율하고 있는 증권거래법에서 특히 감독자책임 조항과 이와 관련한 FINRA 규정들은 현재 증권회사의 컴플라이언스 프로그램이 체계적으로 발전하는 데 절대적인 영향을 준 것으로 평가되고 있다(Fanto, 2014). 여기서는 미국 증권회사에 감독자책임이 도입된 배경과 이러한 법률이 증권회사의 컴플라이언스 프로그램 발전에 미친 영향에 대해 논의하고자 한다.
 
1934년 증권거래법이 제정될 당시 증권회사 자율규제기관인 NASD(현재는 FINRA)는 회원사인 증권회사에 직원을 감독할 의무를 지우고 있었다. 이 때문에 연방의회는 증권거래법에 감독자책임을 별도로 명문화하지 않았다(Fanto, 2015). 그러나 이후 대형 증권회사들이 등장하면서 지점 브로커들을 감독할 의무에 있어 SEC와 업계 간 이견이 불거지게 되었다. 대형 증권회사의 CEO나 고위 임원들은 직접 감독하기가 불가능한 지점 브로커들의 법규 위반까지 감독의 책임을 질 수 없다는 견해를 보였고 SEC는 증권거래법 Section 15를 근거로 브로커들에 대해 이들이 감독할 책임을 지고 있다고 보았다.7) 한편 지점 브로커들의 법률위반을 저지하기 위해서는 지점장의 감독 기능이 중요하였지만, 당시 증권거래법으로는 이들에게 감독자책임을 부과할 수 없었다. 결국 SEC는 지점장이 아닌 증권회사 또는 CEO 및 고위 임원에게 브로커를 감독할 책임을 부과하였다.
 
이러한 배경을 두고 1964년 미국 연방의회는 증권거래법에 감독자책임에 관한 조항을 추가하였다. 감독자책임 조항(15(b)(4)(E))에 따르면 (i)직원의 위법행위를 방지하거나 실무적으로 이를 적발할 것으로 기대할 수 있는 합리적인 절차나 시스템이 마련되어야 하고 (ii)그러한 절차와 시스템을 준수하지 않는다는 합리적인 의구심이 없는 상황에서 감독자가 자신에게 부여된 절차와 시스템을 적절히 이행한 경우, 증권회사 또는 감독할 지위에 있는 자는 감독의 책임으로부터 면할 수 있다. SEC는 이를 근거로 증권회사뿐 아니라 CEO, 지점장 등 직원을 감독해야 할 지위에 있는 자이면 누구든 직원의 법규 준수를적절히 감독하지 못한 경우 감독자책임을 묻고 제재할 수 있게 되었다. 감독자책임 조항은 감독책임의 부재에 해당하는 요건을 제시하고 있는데, 이러한 네거티브 방식으로 인해 증권회사는 자신이 합리적인 감독시스템과 절차를 마련하였음을 입증할 필요가 있다. 다른 한편, 이는 감독자에 해당하는 자가 위법행위를 한 직원을 적절히 감독하였음을 입증할 수만 있다면 금융사고의 결과와 무관하게 감독책임을 면할 수 있음을 의미한다. 이러한 점에서 금융회사 경영진들은 잘 갖추어진 컴플라이언스 프로그램을 아군이라는 시각으로 보고 있다(유니스김, 2014). 요컨대, 이러한 제도 아래에서는 증권회사나 CEO가 자신의 적극적 방어를 위해서라도 합리적이고 효과적인 컴플라이언스 프로그램을 마련하고 활용할 유인이 있다. 실제로 미국 증권회사의 컴플라이언스 프로그램은 규범적인 입법이나 규제 요건을 만족하는 데 그치기보다는 진화의 산물로 금융시장의 변화, 영업 관행과 새로운 규제들에 반응하여 지속해서 발전하고 있다(SIFMA, 2013).
 
증권거래법상 감독자책임 조항에서는 감독자가 명확하게 기술되어 있거나 정의되어 있지 않다. Kirsch(2011)의 해석에 따르면, 부하 임직원에 대하여 그 행위를 직접 통제할 권한을 가지고 있거나 감독 의무를 지도록 지정된 임직원이 감독자에 해당한다. 즉 회사 내 보고라인에 있거나 승진, 강등 및 해임 등의 인사권을 행사할 수 있는 상사는 해당하는 직원의 감독자에 해당한다. 또한, 보고라인에 있는 상사가 아니더라도 직원을 통제하거나 직원의 행위에 영향력을 행사할 수 있을 때에는 감독책임의 의무를 질 수 있다. 대표적으로 지점장, 지역 본부장, 오피스 매니저, 본부의 업무부서 책임자들은 직속 상사가 아니고 인사권도 없지만 감독자에 해당할 수 있다. 최근에는 법무 및 컴플라이언스 부서의 직원들까지도 감독자로 보는 판례들이 나타나고 있다.8) 다만, SEC는 법무 및 준법감시인이라는 직함 자체보다는 위법행위에 영향력을 미칠 수 있었던 그들의 권한을 근거로 감독자책임을 부과하고 있다.
 
한편 증권회사의 컴플라이언스 프로그램은 감독자책임에 대해 면책받기 위해 마련되겠지만, 중간단계 감독자의 감독 기능을 적절히 이행하도록 지원하는 데 있어 매우 중요한 요소라고 평가하고 있다. 지점장들은 직원의 업무수행을 점검하는 과정에서 위반행위를 적발하더라도 고객의 이탈을 우려하거나 자신의 부하 직원을 보호하고자 이후 조치를 적절히 이행하지 않을 수 있다. 또한 이들은 자신의 업무에 더하여 직원들을 감독해야 하는데 이때 인지적 과부하에 걸려 감독 의무를 충분히 이행하지 못할 수 있다. 이러한 이유로 인해, 중간단계의 감독자들은 감독책임의 실패에 따른 제재위험이 있더라도 감독 의무를 적절히 이행하지 못할 수 있다. 이러한 점에서 중간단계의 감독자에게 그들의 역할을 실무적으로 자문해주고 직원의 위법행위를 시스템적으로 감시해 주는 컴플라이언스 프로그램은 이들의 감독 수행에 있어 필수 불가결한 요소로 평가받고 있다.
 
감독자책임과 관련하여 증권회사 CEO의 임무는 크게 두 가지로 구분하여 살펴볼 수 있다. 첫째, 직원의 위법행위와 관련한 보고를 받거나 합리적으로 받았어야 하는 경우 CEO와 고위 경영진들은 감독자로서 적절하게 조치해야 한다. 둘째, CEO는 직원들을 합리적으로 감독할 수 있는 절차와 시스템을 마련해야 한다. 다만, SEC는 CEO가 회사 내에 다른 임직원(Chief Compliance Officer: CCO)에게 컴플라이언스 기능을 합리적으로 위임하였을 때 감독자책임으로부터 면책될 수 있다고 보고 있다.9) 컴플라이언스 기능의 합리적 위임과 관련하여, CEO는 컴플라이언스 부서에 필요한 자원과 전문인력을 충분하게 제공할 필요가 있으며 CCO가 위임받은 권한을 적절히 이행하고 있는지 합리적인 수준에서 검토하고 또 적절하게 후속 조치해야 한다.10) 이는 CEO의 합리적인 검토나 후속 조치를 통해서 시정할 수 있었던 컴플라이언스 프로그램의 미비 또는 실패라면 이에 대해 CEO가 감독자책임을 져야 한다는 것을 의미한다. SEC나 FINRA는 CEO 또는 고위 경영진에게 감독책임을 묻기 위해 컴플라이언스 기능에 대한 이들의 검토와 후속 조치의 적절성을 조사하고 있다. SEC는 컴플라이언스 업무에 대한 CEO의 검토 범위 및 적절한 빈도, 후속 조치를 일률적으로 적용하지 않고 개별 회사의 상황과 여건에 따라 달리 평가하고 있다. 즉 증권회사 내 오랜 경력을 쌓아 온 CCO보다는 새로 부임한 CCO에 대해 CEO는 컴플라이언스 업무에 대한 검토와 후속 조치를 빈번하고 엄밀하게 수행해야 한다고 보고 있다. 또한 수년간 특별한 문제가 없었던 컴플라이언스 프로그램일 때 CEO의 검토와 사후 조치가 덜 빈번하게 수행될 수 있다고 보고 있다. 즉 SEC는 CEO가 자신이 위임한 감독 기능에 대해 합리적인 수준의 검토와 후속 조치를 이행하고 있는지를 중요한 평가 기준으로 삼고 있다.
 
2) 증권회사 컴플라이언스에 관한 FINRA 규정 등의 역할
 
증권거래법상 감독자책임 조항은 면책요건을 통해 원칙적으로 합리적인 컴플라이언스 프로그램의 마련을 요구하고 있지만 구체적인 운영 시스템과 체계에 대해 명확한 가이드를 제시하고 있지 않다. 오히려 FINRA의 여러 규정이 증권회사가 마련해야 할 컴플라이언스 프로그램을 구체화하고 가이드하고 있다. 즉 FINRA는 컴플라이언스 프로그램의 구축과 운영에 가이드를 제시하고 위반 시에 제재를 가함으로써 구체적인 기준 없이 면책 조항으로만 구성된 증권거래법상 감독자책임 조항을 보완하고 있다. 요컨대, 미국 증권회사의 컴플라이언스 프로그램은 증권거래법상 감독자책임 조항과 함께 FINRA의 규정을 기반으로 발전하였다.
 
증권회사의 컴플라이언스 프로그램 마련에 관한 FINRA의 규정들로는 대표적으로 Rule 3110, 3120, 3130을 들 수 있다. 감독시스템에 관한 규정인 FINRA Rule 3110에서는 서면화된 감독절차(written supervisory procedures: WSPs)의 수립과 유지보수 그리고 감독 임무를 수행할 감독자의 지정을 요구하고 있다.11) 증권회사는 증권 업무 또는 투자은행과 관련한 모든 거래와 대내외 통신(전자 포함)을 점검할 수 있는 서면화된 감독 절차를 갖추고 있어야 한다. FINRA는 증권회사에 합리적으로 설계된 위험 기반(risk-based)의 점검시스템을 허용하고 있다.12) 증권회사는 또한 브로커의 이해상충 가능성으로 인해 감독 표준이 훼손되는 것을 방지하는 절차를 마련해야 한다. 그리고 브로커의 미공개중요정보의 오용을 방지하기 위한 정책과 절차를 수립해야 한다. 회원사는 고객 계정에 대한 검사를 포함하여 각 사무실의 활동을 점검해야 하고 고용하려는 브로커에 대한 평판과 자격 및 경험 등을 조사할 의무를 진다.
 
Rule 3120에서는 회원사 및 임직원이 증권거래법과 FINRA 규정을 준수할 수 있도록 감독 절차가 합리적으로 설계되었는지 시험하고 검증하는 감독 통제정책과 절차에 관한 시스템(a system of supervisory control policies and procedures: SCPs)의 수립과 이를 완수할 한 명 이상의 책임자 지정을 요구하고 있다. 책임자는 필요하다면 감독 절차를 추가로 수립해야 하며 시험 및 검증 절차의 결과에 기초하여 이미 시행 중인 정책을 변경해야 하는 책임을 진다. 여기에서도 위험기반의 방법론과 표본 추출을 통해 시험의 범위를 결정할 수 있다. 책임자는 감독 통제와 시험에 관한 결과를 상세히 기술한 보고서를 연간으로 고위 경영진에 제출해야 한다. 특히 전년도에 회사가 2억달러 이상의 총매출을 올리면, 보고서에는 (i)전년도 FINRA에 접수된 고객 불만사항 및 내부조사에 관한 표와 (ii)감독 절차 및 교육 프로그램을 포함하여 전년도 컴플라이언스 부문 개선 노력에 관한 내용13)이 제시되어야 한다. 이러한 요구사항은 NYSE 규칙 342.48이 반영된 것으로서 증권회사의 고위 경영진에 중요한 정보를 제공하도록 하고 FINRA의 자율규제 활동을 강화하기 위한 것이다. 

FINRA Rule 3130에서는 회원사가 컴플라이언스 책임자(CCO)로 근무할 한 명 이상의 책임자를 지정할 것을 요구하고 있다. 또한 이 규정에서는 증권회사의 CEO가 증권법과 FINRA 규정 등을 준수하기 위해 합리적으로 설계된 정책과 절차를 수립, 유지, 검토, 시험 및 수정하기 위한 절차를 적절히 시행하고 있음을 매년 증명하도록 요구한다. 또한 회원사의 감독 절차와 통제에 관한 프로세스는 이사회와 감사위원회(또는 동등한 기관)에 제출해야 하는 보고서에서 입증되어야 한다. CEO는 감독 절차와 통제에 관한 프로세스 및 기타 특정 문제에 대해 이전 12개월 사이 CCO와 직접 만나 논의하였다는 것을 추가로 증명해야 한다.
 
증권회사의 컴플라이언스 프로그램은 앞서 언급한 FINRA의 규정뿐 아니라 여러 SEC 및 SRO 조치를 통해서도 발전하였다. SEC는 No-action letters, Interpretative letters and Exemptive letters 등을 통해 컴플라이언스 관련한 답변, 징계 취하, 규제 요구사항에 대한 법규해석, 면제 등 규제당국의 견해를 전달하고 있다. SEC는 또한 증권회사의 CEO 및 고위 경영진들이 컴플라이언스 프로그램을 구축하고 개선하는 데 활용할 수 있는 Risk Alerts, Compliance Alerts, Sweep Examination Reports 등의 자료집들을 발간하고 있다. 이 외에도 SEC는 다양한 의사소통 채널14)을 통해 컴플라이언스 실무에 관한 가이드를 제공하고 있다. Compliance Outreach Program은 SEC의 임직원과 증권회사의 내부통제 담당자 및 임원들 간 의사소통을 촉진하여 컴플라이언스 부문을 강화하고 개선할 목적으로 SEC가 주관하는 포럼이다(김유니스·이정숙, 2013). 마지막으로 규제당국은 증권회사와의 화해결정(enforcement settlement)에서 요구하는 명령을 공개함으로써 해당 상황에 대한 적절한 감독 절차와 시스템을 업계에 제시하고 있다.
 
3) 최근 미국 증권업의 컴플라이언스의 역할 확대

증권회사의 컴플라이언스 부서는 각 영업부서뿐 아니라 고위 경영진에 대해 영업활동에 수반되는 규제와 관련한 자문과 교육을 담당하고 이를 적절히 준수하고 있는지 모니터링하고 점검하는 독립된 통제기능을 제공한다(SIFMA, 2013). 즉 컴플라이언스 부서는 영업활동에 대한 직원들의 준법 행위를 높임으로써 다른 무엇보다도 투자자 보호와 건전한 시장 형성에 이바지하는 기능에 초점이 맞추어져 있었다. 그러나 2008년 금융위기로 파생상품 등 금융상품들의 혁신 및 영업의 복잡성으로 투자자 보호의 중요성이 확대되었을 뿐 아니라, 금융시스템 및 금융기관의 취약성에 대한 금융당국의 관심이 높아졌다. SEC는 2008년 금융위기의 교훈으로 증권회사의 내부 위험관리, 통제 및 컴플라이언스 부서의 더 강력한 독립성과 지위 그리고 권위가 필요하다고 인지하게 되었으며, 당시 SEC 의장인 Cox(2008)는 이전보다 포괄적인 위험요인을 다룰 수 있는 컴플라이언스 부서의 역할과 전문성을 강조하였다.
 
실제로 2010년 Dodd-Frank 법은 대형 증권회사들의 컴플라이언스 업무에 상당한 영향을 주고 있다. Dodd-Frank 법에서는 컴플라이언스 부서의 강화된 책임뿐 아니라 이들이 비즈니스 운영과 결정에 관여할 것을 요구하는 조항까지도 제시하고 있다. 이를테면 상품선물거래위원회(Commodity Futures Trading Commission: CFTC)는 CCO에 컴플라이언스 보고서가 정확하고 완전하다는 것을 증명하도록 요구하고 이후에 부정확한 것으로 판명되면 형사처벌을 부과할 수 있는 조항을 새롭게 두었다. 다른 새로운 CFTC 규정은 증권회사 특정 사업 및 적합성 결정에 대한 검토와 승인과정에서 CCO와 사업부 간 긴밀한 연계를 요구하고 있다. 볼커룰과 관련한 절차에서도 SEC뿐 아니라 FRB(Federal Reserve Board)와 OCC(Office of the Comptroller of the Currency) 그리고 FDIC(Federal Deposit Insurance Corporation)가 컴플라이언스의 역할을 강화하는 세부 규정들을 마련하였다. 이러한 규정에 따라 컴플라이언스 부서는 이해상충의 문제를 제기해야 하고 최종적으로 의사를 결정하는 고위 경영진을 지원해야 한다. 이 외에도 FINRA 규정 4530은 증권회사가 행위준칙의 위반이 발생할 수 있었다고 보았거나 그러한 위반을 합리적으로 결론지었어야 할 때 컴플라이언스 부서에 위반행위의 내부 발견을 보고하도록 요구하고 있다.15) 이렇듯 최근의 규제들은 컴플라이언스 부서에 기존의 기능 외에도 사업부서와 밀접한 연계나 자진 보고, 입증 등을 강조하고 있다. 최근 컴플라이언스 부서의 역할과 커버리지가 확대되고 있는 가운데, 컴플라이언스 부서 직원들이 단순 자문역을 넘어 감독자의 역할까지 수행하는 위험에 더 노출되고 이에 따라 이들의 활동이 위축될 수 있다는 우려가 제기되고 있다.

다. 미국의 기관16) 제재와 법경제학적 의미

1) 미국의 기관제재 발전과정과 특징

1980년대 초까지 미국에서도 기관 제재금의 규모는 위법행위로 초래된 사회적 손실보다 대체로 작은 수준이었다. 또한 당시의 기관제재는 기업의 예방 활동이나 감독 조치와 무관하게 위법행위가 적발되면 해당 기관에 책임을 지우는 무과실책임 원칙(strict liability regime)을 따르고 있었다. 이러한 점 때문에, 기관들은 직원의 위법행위를 감시하거나 색출하여 정부에 자진해서 신고하기보다는 은폐할 유인이 컸다. 실제로 이와 같은 기관제재의 방식은 1970~80년대 급격히 증가하고 있었던 화이트칼라 범죄를 막기에 역부족이었다. 이에 미국의 양형위원회는 양형기준을 대폭 상향하였을 뿐 아니라17), 공정한 제재와 직원에 대한 기관의 감독 조치를 요구하는 USSG(United States Sentencing Guideline)를 제시하게 되었다.
 
USSG는 법규 위반의 심각성 외에도 기관의 감독 조치와 관련한 책임점수(culpability score)를 바탕으로 기관 제재금을 산정하도록 가이드하고 있다. 특히 USSG는 기관이 적절한 컴플라이언스 프로그램18)을 운영하고 있었는지, 기관 자체의 감시활동으로 적발한 직원의 위법행위를 당국에 자진해서 신고하였는지, 정부 조사에 대해 협력하였는지 등 기관의 감독 조치와 관련한 책임점수를 통해 경감 요건을 명시하고 있다. 연방의회는 USSG를 통해 기업 또는 금융회사가 범죄를 예방하는 조처를 해야 할 뿐 아니라, 감독 당국을 대신하여 직원의 위법행위를 감시하거나 정부 조사에 협조할 의무가 있음을 명확히 한 것이다.
 
USSG는 기업들의 컴플라이언스 프로그램 운영을 보편화하는데 이바지한 바가 크다. 그러나 위법행위에 대한 감시활동이나 자진신고, 정부 조사에 대한 협조 등에서 USSG가 제시하고 있는 경감 혜택이 실효적이지 못하다는 비판이 컸다. 또한 경영진이 연루된 위법행위에서는 사후적으로 기업 자체의 적절한 후속 조치나 정부 조사에 대한 협조가 매우 중요한데 USSG 방식에서는 이와 관련한 경감 혜택이 충분히 크지 못하였다. 미국 법무부 DOJ(Department of Justice)는 USSG가 공표된 해로부터 8년이 지난 1999년 기소 결정에 관한 지침인 Holder Memo19)를 발표하였다. 이러한 지침을 근거로 검사들은 기관들의 감독 조치나 협조에 따라 이들에 대한 기소를 재량으로 결정할 수 있게 되었다. 즉 기소 단계에서부터 기관제재가 경감될 수 있게 되어 경감 혜택은 보다 커지게 되었다. 2003년에 DOJ는 기업이 의무사항을 이행할 경우 고발을 취하할 수 있는 DPA(Deferred Prosecution Agreement) 및 NPA(Non Prosecution Agreement)20) 적용에 관한 기소지침인 Thompson Memo를 발표하였다. 이에 따라 검사는 이전보다 더 큰 제재 경감을 활용하여 기업의 자진신고, 정부 조사에 대한 협력, 지배구조 관련 권고의 수용 등을 끌어낼 수 있게 되었다.
 
Gadinis(2012)에 따르면, 비등록 증권회사의 영업 행위, 투자자 사기, 내부자거래, 시세조종, 투자자자금의 유용, 폰지스킴 운영 등 형법적 책임과 관련한 위반사례들은 법원 소송으로 진행되고 직원 감독의 실패, 내부통제 미비, 적절한 기록 관리의 부재 등 증권회사 감독 실패와 관련해서는 행정제재로 진행되고 있다. 이 외에 사기방조, 뇌물, 인수업무상의 부정행위, 중요정보의 미공시, 과당매매 등은 사건에 따라 법원 소송과 행정제재가비등하게 진행되고 있다. 내부통제 및 감독자책임과 관련하여 증권회사의 제재를 이해하기 위해서는 SEC의 행정제재에 대해서도 살펴볼 필요가 있다.
 
증권회사 행정제재와 관련해서는 2001년 SEC의 Seaboard release21에서 살펴볼 수 있다. 이러한 보고서는 증권회사 제재 결정에 관하여 13가지 기준을 제시하고 있는데, USSG나 DOJ의 기소지침에서 제시하고 있는 경감사항과 유사하다. Seaboard Release에서 제시한 13가지의 기준에는 단순한 실수, 고의성 등 위반행위의 성격, 위반행위를 방지하기 위한 컴플라이언스 절차의 마련 여부, 고위 경영진의 관여 여부, 위반행위가 지속된 기간, 주주들의 피해 정도, 위반행위를 적발한 방법과 사람, 위반행위를 발견한 후 효과적인 대응에 걸린 시간, 사후 조치사항22, 감사위원회와 이사회의 통보 등 문제해결 과정의 프로세스, 진실 규명의 의지와 외부 자문의 여부, SEC에 정보제공, 합병 등의 구조조정 여부가 해당한다. SEC는 증권회사에 대한 행정제재를 결정하는 데 있어 컴플라이언스 프로그램 외에도 사후 조치사항. 자진신고 및 SEC에 대한 정보제공 등을 중요하게 고려하고 있다.
 
2) 미국의 기관제재에 관한 법경제학적 논의
 
앞서 논의한 바와 같이, 미국의 기관제재는 USSG 발표를 기점으로 기관의 감독 조치 여하에 따라 경감될 수 있는 인센티브 방식으로 발전해왔다. 이러한 제재 방식은 화이트칼라 범죄행위를 방지하는 데에 효율적이고 최적화된 것으로 평가받고 있다(Arlen, 2012). 여기서는 1980년대 양형제도 개혁 이후 미국에서 발전된 법 집행의 특징인 높은 수준의 기관 제재금, 기관의 법적인 책임의 확대와 관련한 경감 정책을 법경제학적으로 논의하고자 한다.
 
기관 제재금은 기업 내 위반행위에 대해 기업 또는 금융회사의 소유주인 주주에게 제재금을 부과하여 책임을 지우는 것이다. 사실 주주들은 경영일선에 있지 않고 위법행위나 감독 활동에 직접 관여하지 않는다. 따라서 이들에게 높은 수준의 기관 제재금을 부과하는 근거를 이해할 필요가 있다. 첫째, 기업 또는 금융회사는 업무수행의 과정에서 발생하는 직원의 위법행위를 감독할 책임(respondent superior)이 있다. 직원들은 일반적으로 위법행위를 통해 기업 또는 금융회사의 이윤 증대에 기여하고 더 많은 보상이나 승진등의 혜택을 받게 된다. 특히 기업들은 이윤을 높이기 위해 직원들의 위법행위를 조장할수도 있다. 따라서 기관은 직원의 위법행위를 방지할 책임을 지도록 법으로 강제할 필요가 있다. 둘째, 기업 내 위법행위를 방지하는데 필요한 최적의 제재금23은 일반적으로 개인들이 지급할 수 없는 규모로 상당히 큰 편이다. 이는 기업 내 위법행위로 인한 사회적비용이 크고 적발될 확률도 낮기 때문이다. Becker(1968)는 개인에게 최적인 제재금을 직접 부과할 수만 있다면 별도의 감독 비용을 쓰지 않고서도 정부는 이를 통해 법을 최적으로 집행할 수 있음을 밝혔다. 개인은 적발 시 예상되는 제재금을 고려하여 법규를 준수할지 결정한다. 따라서 개인에게 제재금을 충분히 부과할 수 있다면 별도의 감독 조치 없이도 이들의 법규준수를 확보할 수 있다는 것이다. 그런데 앞서 언급한 것과 같이 최적의 제재금은 일반적으로 개인이 지급할 수 없을 만큼 상당히 큰 규모가 된다. 즉 화이트칼라 범죄의 경우, 현실적으로 최적의 제재금을 개인에게 부과할 수 없고24 따라서 효율적인Becker의 제재 방식을 적용하기 어렵다. 1980년대 미국의 양형위원회는 화이트칼라 범죄의 높은 사회적 비용과 낮은 적발 확률을 반영한 높은 수준의 제재금을 개인보다는 기관에 부과하게 된 것이다.
 
개인에 대한 제재금이 최적의 수준보다 낮을 때 제재금만으로 이들의 법규준수를 확보할 수 없다. 즉 정부 또는 기업이 직원들의 위법행위를 감시하고 감독해야 한다. 실제로 양형제도 개혁의 하나인 USSG에서는 기관의 감독 조치 여하에 따라 제재를 경감시키는 방식이 채택되어 이들에 감독 의무를 부여하고 있다. 이러한 제재의 경감 정책은 두 가지 측면에서 효율적인 것으로 평가받고 있다. 첫 번째는 기관제재금이 감독 조치 여부에 따라 경감될 수 있으므로 기관은 위법행위를 적발하거나 적발 시 이를 보고할 유인이 있다.이러한 경감 정책이 없다면 높아진 제재금으로 인해 기관은 위법행위를 더욱 은폐하려고할 것이며 기업 내 위법행위는 적발하기가 더 어려워질 수 있다. 두 번째는 직원의 위법행위에 대한 예방과 감독을 가장 효과적으로 수행할 수 있는 기관에 그러한 조치를 요구하고 있다는 점이다. 기업은 보상 및 인사 정책 등을 통해 위법행위로 기대할 수 있는 직원의편익을 낮출 수 있다. 또한 기업은 직원의 위법행위와 관련한 정보의 접근, 감시 및 색출에있어서 비용적으로나 효과적인 면에서 가장 우위에 있다. 따라서 기업들이 직접 감독하거나 정부 조사에 협조한다면 직원의 위법행위를 쉽게 적발하고 그들을 제재할 수 있다.한편 사후 협조에 대한 기관제재의 경감 정책은 경영진에 의한 위법행위를 밝히고 조사하는데 효과적일 수 있다. 
 
마지막으로 규제 업무가 새롭게 등장하고 영업환경이 지속해서 달라지고 있다. 이러한 상황에서는 효과적인 컴플라이언스가 무엇인지 규정하기 어렵고 사전에 컴플라이언스 프로그램을 엄격히 요구할 경우 기업이 비용을 과도하게 지거나 자유로운 경영 활동을 제한할 수 있다. 따라서 컴플라이언스 프로그램에만 높은 유인책을 제공하는 것은 효율적이지 못하다. 컴플라이언스 프로그램 외에도 직원의 위법행위 적발 시 자진신고를 하고 범죄입증을 위한 정부 조사에 협조하는 기업들의 조치는 위법행위의 적발 가능성을 높여 직원들의 범죄 의지를 낮출 수 있다. 이러한 점에서 기업들의 감시활동과 자진신고, 정부 조사에 대한 협조 등은 컴플라이언스나 내부통제를 사전에 엄격히 요구할 필요성을 완화할 수 있다. 최근 DOJ나 SEC는 독립적인 외부 컨설팅 기관의 자문에 근거한 컴플라이언스 프로그램 마련 등 지배구조 개선에 대해서도 경감 정책의 하나로 인정하고 있다. 이는 사전적으로 완전한 컴플라이언스의 마련이 어려운 상황에서 사후적으로 이를 개선하려는 기관의 의지와 노력을 ‘good citizenship’의 모습으로 높게 평가하고 있는 것으로 보인다.

라. 증권회사의 내부통제 관련한 기타 제도들 
 
1) SOX 법과 증권회사의 내부회계통제
 
공개기업에 대해 재무 및 회계 관련한 내부통제 규제는 2002년 SOX 법이 제정되기 이전에도 마련되어 있었다. 내부통제에 관한 규정은 1929년 대공황을 계기로 처음 마련되었는데, 대표적으로 내부통제와 점검시스템의 적절성을 외부감사인이 평가하는 Regula-tion S-X를 들 수 있다. 1977년 FCPA 법25 제정에 따라 내부회계 통제시스템은 한층 강화되었다. FCPA 법에 따른 증권거래법 13(b)(2) 조항은 공개기업들에 정확한 회계장부와 기록 관리에 필요한 내부회계 통제시스템을 요구하고 있다.
 
2002년 SOX 법은 기업이 제공하는 회계 및 재무 정보와 공시에 대한 투자자의 신뢰를 회복시키고자 제정된 법으로서 현재 공개기업 내부통제에 관한 대표적인 법률이 된다.  이러한 법은 기업의 법적 책임 외에 경영진이 준수해야 할 의무사항과 이에 대한 책임을 명시적으로 두고 있다.26 Sec. 404와 Sec. 302가 SOX 법의 대표적인 조항인데, 그 내용은 다음과 같다. Sec. 404에서는 CEO와 CFO를 포함한 경영진에게 재무 보고에 대한 적절한 내부통제의 구조와 절차 마련뿐 아니라, 내부통제 운영에 있어 책임이 있음을 진술하는 내부통제보고서를 요구하고 있다. 또한 경영진은 내부통제의 구조와 절차의 효과성을 평가해야 하고 이를 PCAOB AS 5(Public Company Accounting Oversight Board Audit-ing Standard No. 5)에 기반하여 외부감사인(회계법인)에게 공증받아야 한다.27 CEO와 CFO는 재무 보고에 관한 내부통제의 고안과 운영에 있어 중대한 결함이나 중요한 취약성을 감사위원회에 보고해야 한다. Sec. 302에 의거해서는 CEO와 CFO는 분기 및 연간 재무보고서(10-Ks, 10-Qs), 정보의 공정성 및 내부통제의 유효성을 평가하였음을 보증(certification)하여야 한다. 또한 경영진은 감사위원회에 내부통제의 유효성 평가와 중대한 변화 등에 관한 사항을 알리고 이를 재무보고서에 포함해야 한다. 이러한 조항은 경영진이 정보에 관한 내부통제의 책임과 유효성을 확보하여 정보 공시에 관한 결정을 적시에 할 것을 요구하는 것이다. 
 
SOX 법은 정부기관(SEC, PCAOB)의 규정을 통해 구체화되어 운영되고 있다.28 SEC는 SOX법의 집행에 필요한 적절한 내부통제 프레임의 예로 COSO 보고서를 제시하고 있다. 다만, 재무 보고에 관한 내부통제 시스템과 그 유효성을 평가하는 절차는 COSO 보고서에서 구체적으로 제시되어 있지 않으며 당시 시장의 관행도 없었다. 이 때문에 경영진들은 내부통제 관련하여 외부 컨설팅회사 자문에 상당히 의존할 수밖에 없었다. 이에 과도한 비용에 대한 비판도 있었지만, 결과적으로는 컴플라이언스 자문업체들이 성장하고 내부통제가 한층 발전할 수 있었던 계기로 평가되고 있다. 
SEC는 1975년 증권회사에 대한 별도의 회계 및 재무 관련 내부통제 규정인 Rule 17a-5(g)1을 도입하였다. 이러한 규정에서는 증권회사의 감사(audits)가 회계시스템의 검토, 내부 회계 통제 및 증권 보호 절차를 포함한 일반적으로 인정된 감사 표준에 따를 것을 요구하고 있다. 지난 30년 이상 거래 금융자산의 규모, 다양성 및 복잡성이 상당히 증가했음에도 불구하고 SEC rule 17a-5(g)(1)에 성문화된 증권업의 규제는 실질적으로 변하지 않고 유지되었다. PCAOB 등록 요건29에 따라 증권회사의 감사 시장의 지형이 변화하고 있는 가운데, 감독당국도 기준 변경 작업에 나섰다. 이러한 변화는 Dodd-Frank 법이 PCAOB가 이 부문에서 감사 표준을 설정하고 감사를 검사하도록 특별히 허가한 이후 나타나기 시작했다. SEC는 2013년 Dodd-Frank 법에 근거하여 17a-5 규정을 수정하였고 PCAOB는 증권회사의 감사 및 입증기준을 발표하였다. 이러한 법률 개정으로 증권회사는 FRRs(Financial Responsibility Rules)30 준수를 위한 내부통제(internal controls over compliance: ICCs) 마련과 관리, ICC의 유효성, FRR의 준수 여부 등을 포함한 컴플라이언스 보고서를 규제기관에 보고해야 한다. 한편 Dodd-Frank 법은 증권회사 감사에 관한 규제 권한을 AICPA(American Institute of Certified Public Accountants)에 의한 자율규제 형식에서 준정부 규제기관인 PCAOB로 이전함으로써 재무 및 회계 감사와 관련한 내부통제 감독을 강화하였다. 

2) 이사회 감독책임과 의무
 
법원은 이사회 감독책임과 의무를 강화하고 있으나 여전히 객관적인 기준이나 엄정한 요구를 최소화하려는 기조를 유지하고 있다. 델라웨어주 형평법원의 Chancellor인 William T. Allen 판사는 1996년 Caremark 판례에서 이사회가 선한 신념으로 내부통제 시스템을 마련해야 하는 등 법규 준수를 위해 직원들을 감독할 의무를 진다는 견해를 제시하였다. 이는 이사회가 직원의 위법행위를 알지 못하였거나 의심할 이유가 발생하는 때에만 별도의 감독 의무를 진다는 태도를 보였던 1963년 Graham v. Allis-Chalmers Manufacturing Company 판례보다 이사회 감독 의무에 대한 범위를 한층 확대해서 해석한 것이다. 그러나 Allen 판사는 합리적인 내부통제 시스템을 확보할 노력을 전혀 시도하지 않거나 체계적인 감독 활동의 부재에 대해서만 감독 의무를 위반하는 것으로 한정하였다. 즉 Allen 판사는 내부통제 시스템의 마련과 운영을 통해 이사회의 감독 의무를 요구하고 있지만 운영방식에 대한 개입과 엄정한 요구를 지양함으로써 경영 판단의 원칙을 훼손하지 않으려는 태도를 보인 것이다. 
 
2008년 서브프라임 금융위기 직후 이사회의 위험관리 감독 실패에 대한 Citigroup 주주대표소송의 판례는 Caremark 판례에서 보여준 이사회 감독책임과 의무에 대한 법원의 견해를 확인시켜 주고 있다. Citigroup의 주주들은 이사들이 서브프라임 시장의 붕괴를 우려하는 ‘red flags’를 무시하는 등 사업의 위험을 성실하게 감시하고 관리하지 않아 그들의 수탁 의무를 위반하였다고 주장하였다. 법원은 위와 같은 원고의 주장에 대해 Citigroup은 합리적인 위험관리 프로세스를 갖추고 있었고 이를 바탕으로 한 의사결정을 존중해야 한다는 경영 판단의 원칙을 들어 기각하였다. 즉 Chandlers 판사는 Citigroup의 이사진들이 전문가들로 구성된 감사 및 위험관리 위원회 등의 설치와 운영, 내부통제를 통한 검토 절차와 위험관리를 위한 체계적인 시스템 등을 바탕으로 경영에 관한 의사결정을 내리고 있다고 판단하였다. 더욱이 적절한 내부보고시스템을 바탕으로 한 의사결정에 대해 사후 결과로부터 잘잘못을 추론하여 책임을 물을 수 없다고 보았다.

2. 영국

가. 내부통제 발전과정과 특징

1) 1992년~ 2011년 시기
 
영국에서 금융회사의 지배구조와 내부통제에 큰 변화를 가져온 주요한 계기는 금융위기의 발생이었다. 당시 은행의 지배구조와 위험관리가 매우 취약하고 내부·외부감사의 품질에 문제가 많다는 점이 지적되었다. 특히 금융기관의 보수관행이 과도한 위험을 추구하도록 설계되어 있고 금융기관의 장기적인 성공과는 이해관계가 일치되어 있지 않는다는 점이 비판받았다.  
 
금융위기 이전에도 상장회사의 경우에는 지배구조를 개선하기 위한 다양한 노력들이 행해졌다. 대표적으로 재무보고와 관련한 이사의 책임 강화, 회사의 장기적인 성공을 촉진하는 이사의 의무 명확화, 이사회의 구성과 역할 개선, 이사 보수 및 주주·외부감사인의 역할 강화 등 정부주도의 많은 개선방안31이 발표되었고, 이에 관한 제도개선도 이루어졌다. 특히 2009년 금융감독청인 FSA(Financial Service Authority)는 보고서(‘Turner  Review’)에서 금융회사의 지배구조에 대한 정책을 제시하면서 높은 수준의 리스크 관리를 갖출 것과 사외이사들이 회사의 복잡한 업무를 적절히 감독·감시할 수 있도록 충분한 시간 투입과 위험파악을 위한 전문성을 갖추어야 한다고 강조하였다. 이러한 보고서에 기초하여 2011년 6월 1일 임원 적격성32을 위한 사전 심사 가이던스를 개정하여 개별 이사의 업무수행을 위해 투입하는 시간의 충족에 관한 기준을 개정하였다.33 

2) 2011년~ 현재까지
 
은행(상업은행·투자은행)의 구조변화 및 지배구조와 내부통제에 대해서는 2011년 영국정부와 Sir John Vickers가 공동으로 설립한 Independent Commission on Bank-ing(ICB)이 발표한 보고서가 중대한 영향을 미쳤다. ICB는 동 보고서에서 은행산업의 장기적인 안정을 촉진하기 위해서는 소매영업을 하는 상업은행과 위험한 투자를 하는 투자은행 간의 분리가 필요하다고 제안하였다. 아울러 효과적인 조직 분리를 위해 소매영업을 영위하는 자회사의 이사회는 독립이사가 다수일 것 그리고 의장은 독립이사가 되어야 한다고 주장하였다. 이러한 제안은 이어 관련법의 개정으로 이어졌다. 즉 Financial Services(Banking Reform) Bill이 정부안으로 발의되었고 2013년 Financial Services (Banking Reform) Act 제142조에 반영34되었다. 그 결과 조직분리가 된 소매영업을 맡은 은행은 독자적인 위험관리, 감사, 비업무집행의 선임 및 보수 위원회를 설치하는 것이 의무이다.
 
비슷한 시기에 2013년 의회·은행기준위원회(PCBS35)도 금융기관의 광범위한 지배구조개혁을 요구하는 보고서36를 공표하였다. PCBS는 보고서에서 100개가 넘는 제안을 하였는데, 이중 은행개혁의 일환으로 금융기관의 최고경영자를 포함하여 임원의 행동을 규율하고 행위기준에 관한 새로운 규제틀로 ‘SMR(Senior Manager Regime)’이라는 새로운 제도가 포함되어 있었다. 이는 기존의 금융기관에 취임하는 임원 및 중요직원37의 적격성을 심사하는 제도인 ‘Approved Person Regime’을 폐지하여 SMR제도로 대체하며, 상급임원의 보수정책과 관련하여 위험과 보상간에 장기적인 관점에서 균형을 갖도록 할 것과 이들 상급임원의 무모한 위법행위에 대해서는 형사처벌이 부과되도록 관련 규정을 개정할 것을 제안하였다. 
 
이러한 발표 이후 후속조치로 금융감독기관인 FCA와 PRA는 ‘Senior Managers and Certification Regime(SMCR)’제도를 도입하였다.38
 
후술하는 바와 같이 Senior Manager Regime(SMR)은 특히 금융기관의 임원 개인에 대해 책임을 강화하는 제도로, 은행에 대해서는 2016년 3월 7일부터 발효되었으며39 보험회사의 경우에는 2018년, 나머지 금융회사에 대해서는 2019년 12월부터 적용되었다.40 이에 따라 영국내 소재한 금융기관의 임직원들은 그가 한 행동과 의사결정과 관련하여 명확한 책임을 진다. 또한 이러한 규제는 영국내 소재한 자국 금융기관 뿐 아니라 비영국 금융기관에게도 영국에 현지법인·지점을 둔 경우라면 적용대상이 된다. 아울러 적용단위는 그룹이 아닌 사업체(Entity)이다. 
이외에 금융기관의 지배구조와 내부통제 개선에 관한 다양한 제안이 발표41되었고 최근에는 영국판 SOX법42을 마련하자는 안이 정부차원에서 제안되어 이해관계자의 의견을 수렴하는 과정에 있다. 

나. 영국의 내부통제 제도 현황
 
1) 2006년 회사법

영국회사법상 이사(업무집행이사와 비업무집행이사)에 대해 회사의 성공을 촉진할 의무와 독립적인 판단을 할 의무 그리고 선관주의의무가 부과되어 있다(제172조, 제174조).
 
2) 금융서비스시장법(Financial Services and Markets Acts 2000: FSMA)

(가) FCA의 규제·감독권 및 내부통제 규율
 
FCA는 금융회사를 규율할 권한을 부여받고 있으며, FCA는 비즈니스 원칙(Principles  for Businesses)43과 규칙(Rules)에 의거해 금융회사의 내부통제를 규율하고 있다.44 대표적으로 Principles for Businesses의 Principle 3 Management and Control에서는 금융회사에 대하여 적절한 리스크 관리시스템을 갖추어 업무를 책임감 있고 효과적으로 통제하도록 합리적인 주의를 기울여야 한다고 규정하고 있다. 이에 관한 상세한 조항은 다시 Rules에서 마련하고 있는데, 대표적으로 senior man-agement systems and control sourcebook(SYSC) 규정이 해당된다. 즉 모든 금융회사는 동 규정을 준수하고 준수 여부에 관하여 모니터링할 의무가 있다. 이를 위하여 금융회사는 임원별로 관리기능(management function)을 특정하여 FCA의 규정을 준수할 책임을 부과하고 있다. 아울러 SYSC상 통제기능 관련 정보는 이사회로 하여금 규제위험을 인식, 관리 및 통제할 수 있도록 적시에 신뢰성 있게 제공되어야 한다.45  

영국의 지배구조상 중요한 테마중의 하나가 바로 조직 내 리스크관리에 관한 임원 개개인의 책임에 대한 성격과 정도라고 할 수 있다. FCA는 규제대상 회사의 이사회와 고위임원에 대해 본인이 각자 맡은 기업의 업무분야와 관련하여 규제상 적절한 책임을 지도록 하고 있는데 책임의 배분은 고위임원들이 회사업무를 모니터링하고 통제하도록 지원하는 방식으로 이루어져야 하기 때문이다.46 
 
(나) 금융회사 경영진의 내부통제 책임의 근거: Duty of responsibility
 
금융회사의 고위 경영진에게는 금융서비스시장법(FSMA)상 ‘법적 의무(duty of re-sponsibility)’가 부과된다.47 이는 종전에 ‘책임이 추정’되는 것으로 제안되었다가 삭제되고 대신 책임질 의무가 있다고 명시되었다.48 이러한 ‘법적 책임질 의무’ 는 2016년 5월 10일부터 발효된 것으로, 이러한 의무는 ‘중요경영기능(senior management function)’을 담당하는 자만 부담한다. 즉 고위 임원에 대해서만 부과된다.
 
 이러한 의무규정에 기초해서 FCA와 PRA는 다음의 경우 고위 임원에 대하여 제재조치를 부과할 수 있다. 이에 해당하는 경우란 (i)금융회사의 규정 위반이 있고 (ii)당해 위반행위가 발생한 기업의 업무와 관련하여 고위 임원이 책임지는 지위에 있으며, (iii)그와 같은 위반행위가 발생하는 것에 대해 그 지위상 예방할 것으로 기대되는 조치(reasonable steps)를 취하지 않은 경우 해당 임원에 대하여 제재조치가 부과된다. 이 경우 지위상 기울여야 할 주의를 기울이지 않은 것에 대한 증명책임은 감독기관에게 있다.49 
 
따라서 영국의 경우 경영자는 자신의 통제영역 내에서 법규 위반이 있는 경우 사전에 이를 예방하는데 필요하고 합리적인 조치를 취하지 않은 경우 개인적으로 감독기관의 제재가 부과된다.

(다) SMCR(Senior Managers and Certification Regime) 
 
① 도입배경과 특징
 
SMCR제도는 금융기관 임원 개인의 책임을 강화할 목적으로 2016년당초 FCA와 PRA 관할 금융회사 및 PRA가 지정한 투자회사에 적용하는 규제로 마련되었다가 현재는 FCA가 단독 관할하는 금융회사에게까지 확대 적용되고 있다. 
 
이 제도는 3개축으로 이루어져 있는데, 그중의 하나가 Senior manager regime(SMR)이다. 이는 고위경영기능(senior management functions: SMF)을 수행하는 임원의 경우 책임이 명확히 정해져 있어야 하며, 아울러 본인에게 할당된 역할을 수행할 수 있는 적격자인지 여부를 자체적으로 평가하고 이렇게 평가한 것에 대해 규제기관이 사전에 승인하도록 하는 것을 내용으로 두고 있다. 한편, 두 번째 축은 인정제도(Certification regime)로, 이는 회사로 하여금 고위 임원은 아니지만 회사나 고객에게 ‘상당한 해를 야기할 위험 업무(Significant harm function)’를 수행하는 직원에 대해 그의 적격성을 평가하게 하는 제도이다. SMCR제도의 나머지 축은 행동규칙(Conduct rules)으로 이는 비즈니스 영업행위규제라기보다는 전문가로서의 준수해야 할 행위규제로 금융회사 임직원의 최소한에 해당하는 행동기준이라고 할 수 있다.  
 
이러한 SMCR제도는 종래 금융감독기관의 사전승인을 요하는 대상의 범위가 너무 협소하고 효과적인 규제집행이 이루어지지 않았다고 반성하고 그 대상을 상급관리자인 고위 임원(Senior management)층으로 확대하고 인정제도(Certification Regime)50의 도입과 함께 실효성 확보를 위하여 형사벌 마련 및 민사벌의 경우 입증책임 전환 등을 골자로 하는 제도 개편이 이루어졌다. 
 
특히 이 제도는 목적이 금융기관의 개인에 대해 책임을 묻는 제도로 영국 금융감독기관이 종래 채택했던 이른바 ‘원칙에 기반한 규제(Principle based Regulation)’에서 규정에 기반한 규제(Rule based Regulation)로 갔다는 평가를 받고 있다.51 
 
무엇보다 SMR제도로 전환하게 된 가장 큰 계기는 회사의 경영관련 운영리스크의 통제 미비 시 종전의 제도로는 금융감독기관이 해당 회사의 경영자 개인에 대하여 책임을 추궁하기 어렵다는 점이 문제로 제기되었기 때문이다. 이는 금융기관의 리스크관리에 대한 규제실효성과 효과에 강한 의문을 야기시켰다.5253
 
더구나 같은 시기에 의회의 은행기준위원회(Parliamentary Commission on Bank-ing Standards)는 UK 은행에 대한 비즈니스기준을 검토하였다. 당시는 금융위기 이후 은행의 불완전판매로 개인 고객들이 거액의 피해를 입은 때로 의회는 당시 내부통제와 리스크관리시스템이 은행의 무모한 경영을 예방할 수 없으며 규제를 위반한 자들에 대하여 책임지게 하는데 실패했다고 지적하였다. 
 
② SMCR의 주요 내용
 
영국의 경우 종래 금융기관 내 중요한 의사결정을 하는 기능54을 ‘통제기능(Controlled Function: CF)’이라고 정하고 이러한 기능을 담당하는 자에 대해서는 금융감독당국의 승인을 사전에 얻도록 하였다.55 
 
이 제도는 2015년 정비되어 감독당국의 승인을 요하는 기능이 보다 상세히 분류되면서 ‘Senior Management Function(SMF)56’으로 대체되었다. 이에 따라 임원에게 각 직책별로 사전에 기본적 책임을 지는 사항(Prescribed Responsibility)이 지정되었고 금융기관은 SMF의 직책을 가진 상급 임원중 누가 사전에 정해진 책임을 지는지 배정하고 이러한 기능(Senior management function)을 맡은 자가 적격자인지 자체적으로 평가(Fit & Proper)하지 않으면 안된다. 
 
아울러 금융당국의 승인을 받기위하여 신청을 하는 경우 지정된 책임이 어떤 SMF직책을 가진 자에게 배정했는지 기술한 ‘책임지도(Responsibility Map)’와 ‘지배구조지도(Governance Map)’, 그리고 각 SMF 책임·담당업무에 관하여 설명한 ‘책임문서(Re-sponsibility Statement) 또는 ‘SoR(Statement of Responsibility)’을 제출하도록 하고 있다. 즉 상급임원들은 책임문서에 기술된 영역에서 발생한 위반행위에 대해 법적 책임을 지게 된다(‘duty of responsibility’). 따라서 회사 내에서 문제가 발생한 경우 금융감독기관은 우선 누가 책임지는지 상급 임원에 관해 기술한 책임문서를 우선적으로 체크하게 된다. 
 
금융감독기관이 상급 임원이 책임져야 하는 부문에서 의무를 위반했음을 증명한 경우 그리고 해당 상급 임원이 위반이 발생하지 않도록 합리적인 조치를 취하지 않았음을 입증한 경우에는 상급 임원에 대해 의무 위반을 이유로 제재조치를 부과한다. 
 
금융감독기관이 취할 수 있는 제재조치 유형에는 견책, 특정 SMF의 수행 중지 등이 있다(FSMA 제66조).57 따라서 금융기관이 작성하여 제출한 책임지도와 지배구조지도는 정기적으로 업데이트되어 최신의 정보가 반영되어야 한다.  
 
구체적으로 SMR의 적용대상기관과 SMF의 유형은 다음과 같다.
  



 
한편, 규제위반이 발생한 경우 SMF를 맡은 자는 자기가 책임지는 범위 내의 업무와 관련하여 규제위반이 있는 경우 자신이 합리적으로 기대되는 대책을 강구하였음을 금융당국에 설명하여야 한다. 금융감독당국이 각 책임부문을 맡은 자의 설명을 받아들이지 않은 경우 SMF를 담당하는 자는 규제를 위반한 것이 된다. 따라서 금융기관은 상급임원(Senior manager)이 규제를 준수하였다는 것을 입증하기 위한 합리적인 대책을 사전에 마련해 두어야 하고 감독당국이 자료를 요청하는 경우 신속하게 대응할 수 있는 체제 정비가 필요하다. 
 
이와 함께 SMF를 담당하는 자는 행동규칙(Conduct Rule)을 준수해야 한다. 
 
이는 모든 직원이 준수해야 할 사항과 상급임원에게만 적용되는 행동규칙으로 이원화되어 있다. 우선 모든 임직원이 준수해야 하는 사항에는 성실성, 근면성, 감독당국에의  협조, 고객이익 중시, 시장 행위기준 준수 등이 해당된다. 반면에 후자인 SMF 기능을 담당하는 자에게만 적용되는 책임사항에는 내부통제관련 사항, 직원에게 권한을 위임한 경우 업무운영에 관한 합리적인 대응책 구축 등이 해당된다. 
 
내부통제와 관련해서 상급 임원이 책임지는 부분이 효과적으로 통제되고 규제시스템에서 정한 요건과 기준을 준수하고 있는지를 담보하기 위해 합리적인 조치를 취하고 있는지(requirements to take reasonable steps to ensure that the business of the firm for which you are responsible is controlled effectively and complies with relevant requirements and standards of the regulatory system)58 등이 요구된다. 동 규칙의 적용을 받는 자가 고의 또는 당해 상황에서 합리적으로 보여지는 행동 기준에 부합하지 않는 행위를 한 경우에는 개인적으로 규제상의 책임을 진다.59
 
따라서 금융회사들은 전 임직원이 자신에게 적용되는 행동규칙을 주지하고 본인들에게 어떻게 적용되는지를 명확하게 이해할 수 있도록 합리적인 조치를 취하여야 하며 이를 위하여 적합한 연수를 제공할 것이 요구된다.60
 

 
③ SMR 위반시 제재
 
의무를 위반한 개인에 대해서는 견책(public censure), 특정 SMF의 수행 중지·박탈 그리고 민사제재금 등이 부과된다.61 위반에 대해서는 감독기관이 증명책임을 지므로 위반의 사전 방지를 위하여 합리적인 조치를 취하였다는 것에 관하여 임원들은 감독기관인 FCA와 PRA에 대하여 설명책임을 부담한다. 

④ SMR 제도의 효과 및 평가
 
SMR제도는 관리 감독 실패 시 누가 책임지는지, 무엇을 했는지에 대해 감독기관의 감독과 집행이 집중될 수 있게 하며, 경영진도 자신의 책임영역에서 완전한 통제(full control)가 이루어지도록 주의를 기울이고, 자신이 취한 조치가 감독기관의 제재조치 시 증거가 되고 방어에 사용된다고 예측할 수 있게 하는 효과가 있다. 
 
반면에 경영자가 관리감독을 위한 합리적인 조치를 취하지 않아 통제에 실패하였다는 증명책임은 감독기관이 부담한다.62 그러나 금융기관의 임원들은 관리 감독을 위하여 기울이는 ‘합리적인 조치’가 무엇인지가 불분명하다는 점에 대해 우려를 제시하기도 한다. 
 
SMR제도 도입 후 3년여의 시행을 경험한 은행권역에서의 인터뷰에서 나타난 바에 의하면 이 제도의 도입으로 기업 문화면에서 변화가 야기되었다고 볼만한 절차 정비가 이루어졌다. 하지만 도입 초기 제도에 대한 두려움이 적지 않았고 동 제도의 정착을 위한 노력이 이루이지고 있지만 여전히 상급 임원들은 스스로 좋은 관행을 만들고자 하기 보다는 감독기관의 지침(guidance)에 의존하여 행동하려고 했다. 임직원들이 행동규칙을 일반적으로는 주지하고 있지만 이에 대한 연수를 임직원의 역할에 부합하게 회사가 제공하고 있지는 않는다는 점이 여전히 부족한 점으로 지적하고 있다.63 
 
반면에 감독기관의 입장은 좋은 평가를 하는 경향이 있는데, 대표적으로 PRA는 2020년 12월 발표한 보고서에서 영국이 경영자가 개인적으로 규제상의 책임을 지는 규제체계를 마련한 국가중 리더의 지위에 있다고 하면서6465 이 제도가 기업의 행동에 현저한 효과를 가져왔다고 평가하였다. 이에 부가하여 의도하지 않은 결과도 낳고 있다고 인정하고 있는데, 구체적으로 규제감독기관의 승인을 얻기 위하여 과거 후보자와 유사한 특징을 가진 후보자만 기업이 선임하여 감독기관의 승인을 받으려는 경향이 있다고 언급하고 있다.  

(라) 경영자 내부통제 책임 관련 금융감독기관의 지침 

FCA는 상급 임원이 각자 맡은 업무와 관련해 효과적으로 내부통제를 함으로서 FSMA상에 마련한 법적 책임질 의무(duty of responsibility)를 위반하지 않았다고 판단하는데 있어 고려하는 요소들을 지침(Guidance)으로 제공하고 있다.66  
 

 
이와 관련하여 DEPP 6.2.6에서는 금융회사 뿐 아니라 이와 함께 임원 개인에게도 제재조치를 취하는 것이 적절한 대응인지를 검토하고 제재조치와 개인의 비위행위의 성격 및 심각성 간에 비례성이 인정되는지 등을 고려하여 제재조치를 정할 수 있다고 규정하고 있다. 아울러 Senior Management Function을 맡은 임원에 대해서는 FCA 감독규정인 DEPP 6.2.9의 요건 충족 여부를 추가67로 검토하여 제재조치를 결정한다.
 
이처럼 지침은 상급임원이 자신이 맡은 업무를 효과적으로 통제하도록 담보하는 ‘합리적인 조치(reasonable steps)’를 취하였는지 여부에 대한 가이드를 제공함으로서 금융회사  임원들이 규제를 위반했는지 여부를 예측할 수 있게 지원하는 효과가 있다.68
 
물론 ‘합리적인 조치(reasonable steps)’를 취하여야 한다는 개념이 종전에 없었던 것은 아니다. 종전과 차이점은 이 개념이 법상 근거규정을 가짐으로써 공식적인 개념이 되었다는 점이다. 즉 FSMA에 명문으로 ‘법적 책임질 의무(Duty of Responsibility)’가 명시되었다는 점에서 종전과 차이가 있다.  
 
구체적으로 ‘법적 책임질 의무(duty of responsibility)’는 FSMA 제66A (5)에 명시적으로 규정되어 있고, 동 조항에 근거하여 다음의 요건을 충족한 경우 FCA와 PRA는 제재조치를 부과하게 된다. 적용요건을 분설하면 다음과 같다. 
 
① 제1요건 : 해당 금융회사가 규제를 위반한 경우
 
해당 금융회사가 규제를 위반하였는지는 FCA/PRA의 조사(investigation)에 의해 결정되며 회사와 상급관리자 모두 조사대상이 된다. FCA는 법적 책임질 의무(duty of re-sponsibility)에 기초해 제재조치를 부과하지만 제재대상자는 FCA가 확보한 사실 등에 구속받지 않고 이의를 제기할 수 있다.
 
② 제2요건 : 법적 책임(Responsibility)의 범위
 
FCA는 상급 임원이 책임을 지는지 여부를 결정하는데 있어 사실을 중요한 사항으로 보고 있다. 이를 위해 FCA는 위반행위 발생시 상급임원이 어떤 책임을 맡고 있는지 책임문서(Statement of Responsibilities)와 경영책임지도(Management Responsibilities Map)를 확인하게 된다. 이에 그치지 않고 FCA는 나아가 회사의 운영방법, 그리고 상급 임원 간에 책임이 분장된 방법 등을 고려한다. 이 경우 상급 임원이 실제 실무에서 무엇을 했는지를 고려하게 되는데, 대표적으로 이에 해당하는 것으로는 회의록, 이메일, 인터뷰, 전화통화 등의 확인이 포함된다.69 FCA는 책임기술서 내지 상급 임원의 책임지도에 기술된 영역과 관련하여 법적 책임질 의무(Duty of Responsibility) 위반을 이유로 제재조치를 취할 뿐 아니라 실제 책임이 실무상 다른 경우이거나 너무 광범한 경우에도 책임영역과 관련하여 제재조치를 취할 수 있다.7071 
 
③ 제3요건: 합리적인 조치(Reasonable steps)
 
FSMA에서는 합리적인 조치에 대해 정의하기를 “유능한 상급 임원이라면 당시 임원의 지위에서 갖는 역할과 책임면에서 어떤 상황에서든 취했을 것으로 보여지는 조치”라고 하고 있다. 
 
다만 다음의 경우에는 FCA는 상급임원으로 반드시 조치를 취하지 않으면 ‘법적 책임질 의무’의 위반이 된다고 보고 있다. 이에는 (i)자신이 책임을 맡은 기업의 업무와 관련해서 직원간에 명확하게 보고라인을 갖추지 않은 경우 그리고 이러한 보고시스템이 효과적으로 운영되도록 합리적인 조치를 취하지 않은 경우, (ii)회사사업 영역 관련 이슈들을 적절하게 이해하고 독립적, 전문가의 의견을 구하는 것이 적절한 경우임에도 이를 하지 않은 경우가 해당되며 이외 (iii)매우 수익이 나는 거래 및 비즈니스 실무 및 통상적이지 않은 거래 또는 회사의 수익에 상당한 수준으로 기여하거나 사업운영에 중요한 영향을 미치는 개인에 대한 모니터링 등을 하지 않은 경우 ‘법적 책임질 의무’를 위반한 것으로 본다. 
 
(마) 감독기관의 경영자 개인책임 부과 사례 
 
영국 금융감독기관이 내부통제 미비로 금융회사에 제재조치를 부과하면서 이와 함께 경영자에 대해서도 인적 책임을 부과한 경우는 그 숫자가 많지는 않지만 최근까지도 개인적 책임을 지우는 경향을 보이고 있다. 
 
이하에서는 금융감독기관이 내부통제 미비를 이유로 경영자에게 규제상 개인적인 책임을 부과했던 대표적인 사안을 소개한다. 
 
① Peter Cummings사건
 
이 사건은 HBOS Plc의 전직 대표인 Peter Cummings에 대해 50만파운드의 제재금과 UK 내 은행, 건설공제조합, 투자회사, 보험회사의 이사(significant influence func-tion)의 지위에 취임하는 것을 금지하는 조치가 내려진 건이다. 
 
Cummings는 2006년 1월부터 2008년 12월 HBOS그룹의 계열인 Bank of Scotland Plc의 법인부문 대표를 맡았는데, FSA는 Cummings가 내부통제 프레임워크에 취약점이 있음을 알면서도(즉 직원이 위험보다 수익에 인센티브가 있음을 인식) 관련된 위험을적절히 통제할 장치 없이 지나치게 공격적인 사업확장정책을 추구하여 온 것과 스트레스조짐을 보이는 대규모거래를 적절하고 법인파트가 신중하게 관리하도록 합리적인 조치를 취하도록 주의를 기울이지 않음을 이유로 Approved Persons제도상의 Statements of Principle 6과 FSA의 principles for Businesses의 Principle 3(management and control)을 위반72하였다고 결정하였다.
 
② John Pottage사건
 
이 사안은 회사의 내부통제 미비에 대해 경영자 개인에게 책임을 부과하려는 금융감독기관의 감독방향을 보여주는 제재건으로 유명하기도 하지만 실무에서는 특히 감독기관의 제재조치에 이의를 제기해 행정법원에 제재조치의 무효를 다투는 소송이 제기되어 감독기관이 패소한 사건으로 주목받았던 사안이다. 
 
행정법원은 감독기관인 FCA의 제재조치가 타당하지 않다고 보아 감독기관이 제재근거로 삼은 ‘합리적인 조치’를 경영자가 취하지 않았다는 주장을 받아들이지 않았다. 
 
사안을 보면, 금융감독기관인 FSA는 UBS Wealth Management(UIK) Ltd 에 대해 2008년초 지급결제사기와 고객자금 관련 위법한 거래가 발생한 건에 대해 시스템과 통제 미비(systems and controls weaknesses)를 이유로 당시 800만파운드의 제재금을 기관에게 부과하였다. 이에 대해 UBS는 문제가 있음을 인정하여 부과된 기관제재금에 대해 이의 제기없이 수용하였다. 
 
이와 함께 FSA는 기관제재와 함께 UBS의 대표인 John Pottage에 대하여 그가 CEO로 재직한 기간(2006.8~2007.7)에 시스템과 통제미비가 있었음을 이유로 책임을 져야한다고 통지하면서 2010년 10월 FSA는 FSMA 제66조에 의거해 APER Principle 7 위반을 이유로 10만파운드의 개인제재금을 부과하였다. 
 
당시 대표인 John Pottage는 controlled function인 CF3(Chief Executive)의 지위이면서 CF8(Apportionment & Oversight)의 지위에 있었다. FSA는 UBS가 자산관리를 함에 있어 규제요건과 기준을 준수하도록 합리적인 조칙을 취하지 않아 Principle 7과 Practice for Approved Persons(APER)를 위반하였다고 주장하였다. 합리적인 CEO라면 모든 비즈니스에 걸쳐 시스템과 통제를 종합적으로 철저히 검토하게 하였어야 하는데 비록 Pottage가 해당 사업에 관해 직접적인 역할을 하고 있지는 않지만 CEO로서 책임을 져야 한다고 주장하였다. 이와 함께 FSA는 Pottage가 해당 사업에 보다 더 밀접하게 관여하였어야 한다고 지적하면서 회사의 지배구조와 위험관리 프레임워크를 디자인하고 실행하는데 심각한 결여(serious flaws)가 있다고 하였다. Pottage가 과도하게 그에게 보고하는 경영팀과 정보시스템에 의존하고 있다는 것이다. 
 
이러한 제재조치에 John Pottage는 행정법원에 이의를 제기하는 소송73을 하였고 2012년 4월 20일 행정법원은 Pottage가 UBS에서 대표이사로서의 역할을 수행함에 있어 위법행위는 없었다고 판시하였다. 법원은 비록 컴플라이언스 여부에 대한 모니터링과 경영팀의 정보제공의 질과 수준 등을 포함하여 규제를 준수하는데 있어 미비점이 없지는 않지만 이에도 불구하고 종합적으로 보아 이들 사실만으로는 Pottage의 행위수준이 합리적으로 보이는 수준의 행동 이하에 해당한다고 보기는 어렵다고 판시하였다.74 
 
법원이 인정한 사실관계에는 Pottage가 2006년 8월 CEO로 승진한 후 수개월 이내에 리스크관련 이슈들을 전부 철저히 조사한 사실75, 이후 그 결과에 기초해 개선조치를 하였으며 2007년 7월에는 UBS 내 시스템과 통제절차를 종합적으로 점검하였음이 제시되었다. 아울러 행정법원은 Pottage가 합리적인 기간동안 모니터링 관련 준비를 하였음을 들어(3개월동안 상급임원들의 위험과 준법관련이슈를 논의) 과도하게 경영팀의 정보에 의존한다는 FSA의 주장을 인정하지 않고 준법과 리스크통제관련 전문가의 의견을 반영하였다고 판시하였다.7677 법원은 Pottage가 Approved Persons에 관한 제7원칙 위반으로 인정되기 위해서는 이에 대해 FSA가 위반하였음을 증명하였어야 한다고 설시하면서 그러지 못하였다고 판단하였다. 
 
이후 UBS에서 재차 trader인 Kweku Adobolli에 의한 사기적인 거래가 발생하였다. 이에 대해 2012년 11월 FSA는 UBS에 대하여 FSA의 Principles for Business의 제2원칙과 제3원칙 위반을 이유로 2,970만파운드의 제재금을 부과하였다.78 부과 이유는 UBS의 위험관리시스템과 통제가 적절하지 못하여 대규모의 장외 포지션이 은닉되었다는 것이며 앞서 부과된 제재가 있음에도 발생하여 가중조치로서 부과되었다. 
 
③ Angela Burns 사건
 
이 사안은 2013년 5월 부과된 것으로 FCA는 Angela Burns에 대하여 154,800파운드의 제재금과 금융회사의 임원 취임을 금지하는 명령을 부과하였다. Bunrs는 2009년 1월과 2010년 5월 각각 상호공제조합의 비업무집행이사, 대표집행임원이였는데, 자신이 자문서비스를 제공하는 투자회사에 대하여 비업무집행이사로 있는 상호공제조합의 비즈니스기회에 관한 정보를 제공하면서 자문서비스를 갱신한 것에 대해 이해상충 위반을 이유로 부과된 것이다.79 
 
④ James Staley 사건80
 
이 사안은 2018년 5월 FCA와 PRA가 공동으로 Barclays의 최고경영자인 James Staley에 대하여 개인제재조치를 부과한 건이다. 
 
이 사건에서 Staley는 2016년 6월 Barclays가 받은 자신이 Barclays의 주주라고 한 익명의 서신을 받은데 대해 선량한 관리자의 주의를 다하지 않았다고 인정되었다. Staly는 2015년 12월 1일 CEO로 취임하였고 FCA로부터 Senior Manager Regime상의 SMF1 (Chief Executive)기능을 승인받았다. 이러한 역할에 따라 행위규칙인 Individual Con-duct Rule 2에 규정된 선관주의(act with due skill, care and diligence)를 준수하지 않으면 안된다. 
 
Barclay는 그룹 직원에 대해 우려를 표명한 두통의 서신을 받았는데 한통은 주주로부터 온 것이라고 믿었다. 두 번째 서신은 내부고발정책에 따라 직원이 보낸 것이었다. Staley는 두개 서신을 보낸 자를 확인하려고 시도하였고 이 서신에는 여러 가지 주장이 담겨져 있었다. Staley는 첫 번째 서신을 보낸 자를 찾으려고 하였고 동일인이라고 보아 내부고발자 정책을 준수하는데 실패하였다. 
 
FCA는 이러한 시도에 대해 CEO로서 민원을 제기한 자를 찾으려고 하기보다는 적절한 거리를 유지했어야 하였는데 그러지 않았다고 보아81 Staley의 행위는 선량한 관리자로서  행동할 의무(to act with due care, skill and diligence)를 위반한 것이라고 하여 642,430파운드의 제재금을 부과하였다.82 
  
(바) SMR제도에 대한 최근 평가
 
2016년 이후 FCA가 SMR에 근거하여 검사권을 발동한 것은 34건으로 이중 11건이 무혐의로 종결되었고, 제재가 부과된 것은 1건에 그치고 있다. 때문에 영국 내에서는 내부통제 미비를 이유로 경영자 개인에게 제재한 실적이 1건에 그치고 있는 것을 놓고 도입취지에 부합하게 작동하고 있는지 추가 검토가 필요하다는 지적이 제기되고 있다.83
 
다. 시사점
 
영국의 경우 내부통제 미비로 위법·위규가 발생한 경우 금융회사에 대해 제재금을 포함한 금융감독기관의 제재조치가 부과되는 것과 병행하여 경영자 등 임원에 대해서도 개인제재를 할 수 있는 근거를 법(FSMA 제66조) 및 하위법령(Principles and Rules)에 기초하여 부과하고 있으며 최근 재발방지를 위한 기업 문화 확산을 위해 보다 경영자 및 상급임원에 초점을 맞추어 개인제재를 하는 경향을 보이고 있다. 
 
즉 감독기관이 경영자 및 상급임원에 대해 개인적인 규제상의 책임을 제재조치로 부과할 수 있도록 상위법에 경영자등의 ‘의무’ 중 하나로 명문화하고 있는 것이다. 앞서 살펴본 바와 같이 FSMA상에 근거규정을 두고 있는 ‘법적 책임질 의무(duty of responsi-bility)’가 그것이다.  
 
다만 소속한 회사에 위법행위가 발생하였다고 해서 그것이 경영자에게 바로 직접적인 책임을 지게 하는 구조는 아니라는 점에서 주의할 필요가 있다. 즉 법령에 ‘책임질 의무(duty of responsibility)를 명시하고 이에 근거하여 금융감독기관의 감독규정에 마련한 원칙과 규정들을 위반한 것을 이유로 개인에 대하여 제재조치를 부과하고 있지만 그 요체는 법규준수와 내부통제를 담보할 수 있는 ‘합리적인 조치(reasonable steps)’를 취하지 않은 경우에 개인적으로 규제상 책임을 지는 것으로 하고 있는 점에서 주목할 필요가 있다.84
 
따라서 감독기관이 부과하는 행정조치로서 책임에서 벗어나기 위해서는 경영자 및 상급임원들은 각각 회사 내 자신이 책임지는 부분을 명확히 인식하고 있어야 한다. 이러한 부분을 고려하여 영국의 금융감독기관은 책임문서(Statements of Responsibilities)와 책임지도(Responsibilites Maps)를 사전에 마련하도록 회사에 의무화함으로써 경영자가 개인적으로 행정상의 제재조치를 받는 것과 연계되도록 뒷받침하고 있다.
 
이러한 제도설계에 따라 실무에서는 금융회사의 경영자 및 상급 임원들이 자기가 책임지도록 기술된 영역에서 위법위규행위가 발생한 경우 취한 조치가 합리적인 조치이고 해당 방식으로 취한 조치가 방법이나 이유 등에서 효과적이라는 것을 설명하지 않으면 안된다는 것에 대해 민감하게 된다.85 왜냐하면 합리적인 조치인지는 개별 사안마다 상황과 사실관계에 따라 매우 다르기 때문이다. 또한 회사규모와 사업유형 및 경영진별로 할당된 책임 및 발생한 이슈의 성격 내지 잠재적인 영향 등에 따라서도 달라지게 된다.86
 
한편, 금융감독기관은 경영자 및 상급임원의 귀책요건을 충족하였음을 입증하여 책임질 의무(duty of responsibility) 위반을 이유로 경영자에 대하여 규제상 책임을 부과할 수 있다.
 
즉 (i)회사에 위법행위가 발생했고, (ii)이러한 위법행위 발생시점(내지 그와 관련된 시점)에 경영자 내지 상급임원이 위법행위에 관련한 회사내 업무에 관리자로서 책임을 맡은 경우, (iii)그러나 위법행위가 발생 내지 지속되는 것을 예방하는데 필요한 ‘합리적인 조치’ 를 취하지 않은 경우 등 이들 요건을 충족하였음을 금융감독기관이 모두 증명한 경우 경영자 및 상급임원에 대해 제재조치를 부과한다. 
 
그런데 합리적인 조치(reasonable steps)가 어디까지인지는 매우 광범위하고 이에 따라 금융감독기관이 취할 수 있는 결정도 매우 다양하다는 점에서 영국 감독실무에서도 여전히 어려운 점이 제시되는 경향이 있다. 실무에서는 통상 비례성을 고려해 대처하는 경향이 없지 않으며 대체로 경영자에게 맡겨진 책임영역에서 기대되는 합리적인 조치로 보여질 뿐 아니라 적절하고(appropriate) 비례적(proportional)인 조치를 취하도록 조언받고 있는 실정이다.87
 
다만 최근까지 금융회사의 경영자에게 내부통제 미비로 부과한 행정제재의 유형은 특정 지위의 박탈이라는 신분적 제재조치보다는 금전적 제재를 부과하는 경우가 많은 점, 개인제재에 대해서는 조치부과 예가 현저하게 많지는 않은 점 그리고 향후 제도개선이 검토될 필요가 있다고 실무에서 지적되는 등 2016년 제도 개선효과를 조금 더 지켜볼 필요가 있다.
 
3. 일본
 
가. 내부통제 발전과정과 특징
 
일본은 1950년대 회사법 개정안이 마련될 때부터 내부통제 시스템 반영 필요성이 제기된 것으로 알려져 있다.88 1992년 미국 COSO 보고서를 계기로 일반기업과 금융회사를 중심으로 내부통제 제도 마련 필요성에 대한 인식이 커졌으며 1995년 다이와은행 뉴욕지점의 대규모 손실 사건을 계기로 내부통제 제도화의 필요성이 제기되었다.89 당시 다이와은행 뉴욕지점에서 근무한 이구치 도시히데는 직무상의 권한을 이용하여 은행 소유의  미국 국채 뿐 아니라 고객의 자산까지 무단으로 매매하여 11억달러의 이상의 손실을 기록한 것으로 드러났다. 이구치 도시히데는 미국 국채의 운영 과정에서 발생한 손실을 만회하기 위해 다이와은행 본사에 보고하지 않고, 포지션 한도를 넘어 미국 국채를 매매했으며, 고객의 자산까지 무단으로 매각하는 등 내부규정을 위반했던 것으로 밝혀졌다. 
 
1996년에는 일본 스미토모 상사의 비철금속 매매 담당자인 하마나카 야스오가 10년 동안 본사 및 상위 임원에게 승인을 받지 않고 과도한 포지션으로 선물 거래를 수행하다가 26억달러의 손실을 기록하기도 했다. 당시 손실 규모는 다이와은행 뉴욕지점의 미국채권거래 손실액 11억달러와 베어링스은행 싱가포르지점 파생상품매매 손실액 14억달러를 크게 넘어서는 규모로, 하마나카 야스오가 런던금속거래소의 구리 선물 거래에서 발생한 손실을 만회하기 위해 10년 동안 회계장부를 고쳐가며 회사 몰래 거래를 수행한 것이 손실의 주된 원인으로 드러났다.90 1990년대 중반 이후 일본 경제의 장기불황이 이어지며 상당수 은행, 증권회사, 보험회사 등이 부도 위험에 처하고 2000년대초에는 다이와은행의 주주대표소송(2000년 9월), 고베제강의 주주대표소송(2002년 4월), 세이부철도의유가증권보고서 허위기재(2004년 10월) 등의 사건이 연이어 일어나자 내부통제 제도 마련의 필요성이 더욱 커졌다. 
 
일본 정부는 1990년대~2000년대 발생한 각종 회계부정 사건을 계기로 2005년 회사법에서 내부통제에 대한 규정을 마련했다.91 당시 회사법 개정안에서는 미국 COSO(1992) 연구를 벤치마크하여 회사 업무의 효과성과 효율성 제고, 재무보고의 신뢰성 제고, 사업활동에 관한 법령준수, 그리고 회사 자산의 보전을 목적으로 하여 모든 회사에 대해 내부통제 구축을 의무화하였다. 회사법은 규모 등에 따라 회사를 이사회 설치회사, 대기업인 이사회 설치회사 등으로 구분하고 이들 이사회로 하여금 내부통제의 구축, 운영 요령 등에 관한 사항을 정하도록 의무를 부여하고 있다. 만약 회사가 내부통제의 구축, 운영 등을 소홀히 하면 이사회가 그 의무를 충실히 수행하지 않은 것으로 보아 이사에 대한 책임을 물을 수 있다.  
 
2001년 엔론과 2002년 월드컴의 회계분식 사건 이후 회계 투명성을 제고하기 위해 미국에서는 SOX법이 제정되었다. 일본에서는 2004년 세이부 철도주식회사의 유가증권 허위 기재 사건 이후 상장기업에 대한 회계 투명성 제고의 목소리가 커졌다. 당시 일본 기업의 해외진출 및 자본시장의 국제화가 빠르게 진행된 가운데 일부 기업에서 회계분식 사건이  발생하는 등 기업의 회계 투명성을 높여야 한다는 인식이 커졌다. 이에 일본 정부는 COSO(1992) 연구와 미국 SOX법 등을 벤치마크하여 회사법과 금융상품거래법에서 각각 내부통제 제도를 도입했다. 회사법에서는 이사회로 하여금 내부통제의 구축 및 운영을 정하도록 규율하고 있으며, 금융상품거래법에서는 상장기업의 재무보고 신뢰 제고를 목표로 재무보고 중심으로 내부통제보고서 제출을 의무화하고 있다. 
 
나. 내부통제 제도 현황
 
1) 회사법
 
2005년 마련되어 2006년 5월부터 시행된 개정 회사법에서는 대기업의 이사회로 하여금 내부통제의 기본 방침을 결정할 의무를 부여했다. 구체적으로 일본 회사법에서는 일정 요건을 갖춘 회사로 하여금 내부통제(이사의 직무 집행이 법령 및 정관에 적합함을 확보하기 위한 체제 및 기타 주식회사의 업무와 해당 주식회사 및 그 자회사로 구성된 기업집단의 업무 적정성을 확보하기 위해 필요한 것으로 시행령 등에서 정한 사항)를 이사에게 위임할 수 없고 이사회가 정하도록 규정하고 있다.92 회사법상 이사회로 하여금 내부통제 마련 의무를 부여한 기준은 자본금 5억엔 이상의 대기업이거나 이사회설치회사가 해당된다. 더불어 대기업 또는 이사회설치회사는 내부통제에 대한 운영상항을 사업보고에 기재할 의무를 가지고 있다.93
 
이때 회사법 시행령 및 하위 시행규칙 등에서 정한 내부통제의 범위로는 이사의 직무 집행에 관한 정보의 보존 및 관리에 관한 체제, 손실에 대한 위험관리에 관한 규정, 이사의 직무 집행이 효율적으로 이루어지도록 확보하기 위한 체제, 사용인 직무의 집행이 법령 및 정관에 적합하도록 확보하기 위한 체제, 당해 주식회사 및 계열사, 자회사로 구성된 기업집단에 있어서 업무의 적정성을 확보하기 위한 체제, 감사가 그 직무를 보조할 사용인을 두는 것을 요구한 경우 당해 사용인에 관한 사항과 당해 사용인의 이사로부터 독립성에 관한 사항, 이사 및 사용인이 감사에게 보고하기 위한 체제 및 기타 감사에 대한 보고 관련 사항, 기타 감사의 감사가 실효적으로 이루어지도록 확보하기 위한 체제 구축 등을 포함하고 있다.94 즉 당시 일본 회사법은 미국 SOX법의 재무보고에 관한 주요 사항을 넘어 법규 준수, 업무 효율성 제고, 재무 보고서 신뢰 제고를 위한 사항 등 COSO(1992)에서 제시한 주요 내부통제의 범위를 모두 포섭하고 있는 것으로 보인다. 
 
대기업 또는 이사회설치회사가 내부통제에 대한 기본방침을 정할 의무를 소홀히 한다고 해서 임직원에 대한 제재를 수행하거나 금전 제재를 수행한다는 규정은 찾기 어렵다. 대기업 또는 이사회설치회사가 내부통제의 소홀 마련 등의 이유로 큰 피해가 발생하지 않는 한 내부통제 기본방침 마련 또는 정비 상황에서 결함이 있더라도 법규를 위반한 것으로 보지는 않으며 감독상 결과와 책임을 강조하는 것으로 알려져 있다. 즉, 감독당국이 사후적으로 내부통제 소홀 마련 등의 이유로 대기업 또는 이사회설치회사가 큰 손실을 본 것이라고 판단하면 제재를 할 수 있다는 것을 뜻한다. 구체적으로 이사회의 이사가고의로 법령, 정관에 위반하여 업무 지시 등을 수행할 경우 이사에 대해 책임을 부가할 수있으며 민사와 형사상 손해배상책임을 물을 수 있다. 법인에 대해서는 최대 5억엔 이하의벌금형을 부과할 수 있다.95 또한 내부통제 관련해서 사업보고서를 미제출하거나 허위기재를 하게 되면 100만엔 미만의 과태료를 부과할 수 있다.96
 
2) 금융상품거래법
 
2006년 6월 시행된 금융상품거래법에서는 상장기업에 대해 매사업연도마다 재무보고에 관한 사항을 중심으로 내부통제 시스템을 평가한 내부통제보고서 제출 의무를 부여하고 있다.97 금융상품거래법에서 정한 내부통제의 범위는 회사가 속하는 기업집단 및 해당 회사와 관련된 재무계산에 관한 서류, 그 밖의 정보에 대한 적정성을 확보하기 위해 필요한 것으로 시행령으로 정한 체제 등으로 정하고 있어, 재무보고에 관한 사항 중심으로 내부통제 구축 의무를 부여한다고 볼 수 있다. 또한 금융당국에게 제출한 내부통제보고서는 해당 회사와 특별한 이해관계가 없는 공인회계사 또는 감사법인의 감사증명을 받도록 규정하는 등 독립된 자로부터 감사 증명을 받도록 규정하고 있다.98 
 
금융회사에 대해서는 금융상품거래업자 매뉴얼 등에서 비교적 구체적인 내부통제  가이드라인을 제시하고 있다. 금융상품거래업자 검사 매뉴얼에 따르면 내부통제 유형은 경영 행태, 법령 준수 행태, 내부관리 행태, 감사 행태, 리스크 관리 행태 등으로 구성되어 있다. 경영 행태와 관련해서는 금융상품거래업자로 하여금 금융상품 시장의 담당자로서 심각한 사회적 책임을 인식하고 투자자 보호 및 공정한 시장 형성의 관점에서 적절한 관리를 수행하도록 명시하고 있다. 법령 준수 행태와 관련해서는 금융상품거래업자로 하여금 금융상품 시장의 공정성과 투자자 신뢰를 확보하는 관점에서 법령을 엄격히 준수하고 건전하고 적절하게 업무를 운영하고 관련 법규 준수 행태를 정비할 것을 언급하고 있다. 내부관리 행태 관련해서는 금융상품거래업자로 하여금 투자자에 대해 성실하고 공정하게 주요 업무를 수행하며, 해당 업무를 스스로 해야 할 역할임을 인식하고 고객관리, 영업사원 관리, 판매관리, 심사 등 모든 업무가 제대로 이루어지고 있는지 내부관리행태를 정비하도록 규율하고 있다. 감사 행태와 관련해서는 법령 준수 상황 등을 적절하게 평가하고 개선이 필요하다고 생각한 경우 이를 개선하는 것이 투자자의 신뢰 유지에 기여함을 인식하고 내부감사 또는 외부감사 행태를 정비하도록 규율하고 있다. 마지막으로 리스크 관리 행태와 관련해서는 금융상품거래업자로 하여금 해당 업무에 내재된 다양한 위험을 정확하게 파악하고 위험관리를 수행함으로써 발생할 수 있는 손실을 적절하게 관리하고 자기자본규제비율을 적정하게 유지하며 기타 필요한 리스크관리 행태를 정비하도록 명시하고 있다. 
 
상장기업이 내부통제를 소홀히 마련한 것은 그 자체로는 금융상품거래법에 따른 위반사항으로 보지는 않는다. 다만 내부통제보고서에 마땅히 보고해야 할 사항 또는 중요한 결함 등을 기재하지 않는 것은 금융상품거래법의 위반으로 본다. 이에 내부통제보고서를 미제출하거나 허위로 기재한 것으로 판단하면 임직원에게 5년 이하의 징역이나 500만원 이하의 벌금형을 부과한다.99 한편 내부통제보고서 허위기재와 관련해서 ‘중요한 결함’과 ‘미비’로 나누어 제재 근거를 마련하고 있다. 중요한 결함은 금액 중요성(연결 총자산, 연결 매출액에 대한 비율 등으로 판단), 질적 중요성(상장폐지기준 등에 관한 기재사항이 투자결정에 미치는 영향, 대주주 상황에 관한 기재사항이 재무보고의 신뢰성에 미치는 영향 등)을 기준으로 금액 관련 사항이나 재무공시와 관련 사항에 결함이 있는 것을 뜻한다. 미비와 관련해서는 정비의 미비와 운영의 미비로 구분하는데, 정비의 미비는 내부통제가 존재하지 않거나 규정된 내부통제로 목적을 달성할 수 없는 경우를 뜻하며, 운영의 미비는 정비 단계에서 의도한대로 내부통제가 작동하지 않거나 내부통제를 준수해야 하는 임직원이 통제 내용을 제대로 이행하지 않은 경우 등이 해당된다.
 
 
Ⅲ. 한국 내부통제 제도 진단
  
1. 한국 내부통제 제도 현황
 
가. 내부통제 발전과정과 특징
 
한국은 1997년 외환위기 이후 기업의 연쇄 부실을 막고 기업 지배구조의 건전화를 유지하기 위해 IMF의 권고로 상법, 증권거래법 등의 개정이 추진되었으며 기업의 효율적인 구조조정을 촉진하는 것을 목표로 2001년 기업구조조정촉진법(이하 (구)기촉법)이 도입되었다. 당시 (구)기촉법은 2015년말까지 적용된 한시적인 법제로, (구)기촉법에 근거하여 내부회계관리제도가 도입되었다. (구)기촉법에서 외부감사에 관한 법률(이하 외감법)의 적용을 받는 기업들은 내부회계관리규정과 이를 관리하고 운영하는 조직인 내부회계관리제도를 갖추도록 의무를 부여했다.100 이때 내부회계관리규정에는 회계정보의 식별, 측정, 분류, 기록 및 보고 방법에 관한 사항, 회계정보의 오류를 통제하고 이를 수정하는 방법에 관한 사항, 회계정보에 대한 정기적인 점검 및 조정 등 내부검증에 관한 사항, 회계정보를 기록, 보관하는 장부의 관리방법과 위조, 변조, 훼손의 방지를 위한 통제절차에 관한 사항, 회계정보의 작성 및 공시와 관련한 임직원의 업무분장과 책임에 관한 사항을 포함했다. 또한 감사인으로 하여금 내부회계관리제도의 적정성과 준수여부, 그리고 내부회계관리의 운영실태에 대한 보고내용을 검토할 의무를 부여했다.101 
 
감독당국은 2005년 6월 내부회계관리제도의 모범규준을 제정하였는데, 당시 모범규준에서 내부통제를 정의하고 내부통제 제도의 구성요소, 내부통제 제도의 효과와 한계 등을 구체적으로 명시했다. 당시 모범규준에서 내부통제 제도는 기업운영의 효율성 및 효과성 확보(운영 목적), 재무정보의 신뢰성 확보(재무보고 목적), 관련 법규 및 정책의 준수( 법규준수 목적) 등 세 가지 목적달성에 대한 합리적인 확신을 제공하기 위해 조직의 이사회, 경영진, 임직원에 의해 지속적으로 실행되는 일련의 과정으로 정의하고 있다. 내부통제 제도의 구성요소는 통제환경, 위험평가, 통제활동, 정보 및 의사소통, 모니터링 등 다섯 가지로 제시하고 있다. 이때 통제환경에는 내부통제 제도의 전체를 이루는 개념으로 조직체계 및 구조, 내부통제를 유인하는 상벌 체계, 인력운용 정책, 교육정책, 경영자의 철학, 윤리, 리더쉽 등을 포함하는 개념으로 정의하고 있다. 당시 모범규준에서 주목할 점은 내부통제 제도의 효과와 한계를 구체적으로 적시했다는데 있다. 내부통제 제도는 기업운영의 효율성, 재무보고 신뢰성, 법규 준수의 유도 등을 통해 기업의 전사적 위험을 줄이고 사전에 발생할 수 있는 사고를 예방하거나 신속하게 대응할 수 있도록 하는 장점을 가진다. 반면 내부통제 제도의 한계로는 집행위험에 노출될 수 있는데, 최상의 자질과 경험을 가진 사람도 부주의, 피로, 판단착오 등에 노출될 수 있어 모든 위험을 완벽하게 통제할 수 없음을 기술하고 있다. 즉 금융감독당국 역시 내부통제 제도가 금융회사에서 발생할 수 있는 위험을 완벽하게 통제할 수 없음을 인정한 것으로도 볼 수 있다. 
 
한편 2011년 상법 개정을 통해 준법통제제도가 마련되었는데, 자산총액 기준 5천억원 이상의 상장회사는 법령을 준수하고 회사의 경영을 적정하게 하기 위해 임직원이 직무를 수행할 때 따라야 할 준법통제기준을 마련할 의무를 두고 있다. 또한 1인 이상의 준법지원인을 두고 준법지원인으로 하여금 준법통제기준의 준수여부를 점검하고 이사회에 보고하도록 의무를 부여하고 있다.102 상법에서 명시한 준법지원인 제도는 법률 준수에 국한된 점에서 일반적인 내부통제의 범위보다 다소 협소하다고 할 수 있다. 한편 2019년 외감법 개정으로 일정 요건을 갖춘 상장회사는 재무보고에 대해 내부통제 제도를 마련하고 외부 회계감사인으로부터 감사를 받도록 의무화하고 있다. 내부회계관리제도, 준법통제기준은 내부통제의 범위 중 각각 재무보고의 신뢰성 제고, 법규 준수에 초점을 두고 있다는 점에서 COSO(1992) 연구의 내부통제 범위보다 다소 협소하다고 볼 수 있다. 
 
금융회사에 대해서는 과거 은행법, 보험업법, 자본시장법 등 개별 금융업법에서 내부통제에 관한 규정을 주로 마련했다. 2000년 은행법 개정을 통해 금융기관으로 하여금 내부통제기준을 정하도록 하고, 금융기관은 내부통제기준의 준수여부를 점검하고 내부통제기준에 위반하는 경우 이를 조사하여 감사위원회에 보고해야 하는 자인 준법감시인을 1인 이상 두도록 했다.103 (구)증권거래법 및 2009년 시행된 자본시장법에서는 은행법과 유사하게 법령을 준수하고, 자산을 건전하게 운용하며, 이해상충방지 등 투자자를 보호하는 것을 목표로 하여 금융투자회사로 하여금 임직원이 준수해야 할 내부통제기준을 정하도록 했다.104 또한 금융투자회사105로 하여금 1인 이상의 준법감시인을 두어 내부통제 기준의 준수 여부를 점검하도록 하고, 내부통제기준을 위반한 경우 감사위원회에게 보고하도록 했다.106 한편 2017년 지배구조법 시행으로 은행법, 보험업법, 자본시장법 등 개별 금융업법에서 규율하였던 내부통제 제도가 지배구조법으로 합쳐졌다. 
 
나. 내부통제 제도 현황
 
2017년 시행된 지배구조법에서는 은행, 보험회사, 금융투자회사, 상호저축은행, 여신전문금융회사, 금융지주회사 등 주요 금융회사로 하여금 법령 준수, 건전 경영, 주주 및 이해관계자 보호를 위해 금융회사 임직원이 직무를 수행할 때 준수해야 할 기준 및 절차(이하 내부통제기준)를 마련할 의무를 부여하고 있다.107 이때 금융지주회사가 자회사인 금융회사의 내부통제기준을 마련한 경우, 해당 자회사는 별도의 내부통제기준을 마련하지 않아도 된다.108 또한 투자자문업자, 투자일임업자 등을 제외한 금융회사는 내부통제기준의 준수여부를 점검하고 내부통제기준을 위반하는 경우 이를 조사하는 등 내부통제 관련 업무를 총괄하는 준법감시인을 1인 이상 두어야 하며, 준법감시인으로 하여금 내부통제 위반 사항 발견시 감사위원회에 보고할 의무를 부여하고 있다.109 즉 내부통제기준의 마련 및 개정 등의 의무는 이사회에게 부여하고 있으며, 내부통제의 관리 및 운영 등의 업무 총괄은 준법감시인에게 부여하고 있다.
 
지배구조법 시행령에서는 금융회사의 내부통제가 실효성 있게 이루어질 수 있도록 주요 사항을 내부통제기준에 포함할 것을 명시하고 있다.110 구체적으로 1. 업무의 분장 및 조직구조, 2. 임직원이 업무를 수행할 때 준수해야 하는 절차, 3. 내부통제와 관련하여 임직원 및 준법감시인이 수행하여야 하는 역할, 4. 내부통제와 관련하여 이를 수행하는 전문성을 갖춘 인력과 지원조직, 5. 경영의사결정에 필요한 정보가 효율적으로 전달될 수 있는 체제의 구축, 6. 임직원의 내부통제기준 준수 여부를 확인하는 절차, 방법과 내부통제기준을 위반한 임직원의 처리, 7. 임직원의 금융관계법령 위반행위 등을 방지하기 위한 절차나 기준, 8. 내부통제기준의 제정 또는 변경 절차, 9. 준법감시인의 임면절차, 10. 이해상충을 관리하는 방법 및 절차, 11. 상품 또는 서비스에 대한 광고의 제작 및 내용과 관련한 준수사항(지주회사만 해당), 12. 임직원의 겸직이 주요 요건에 해당하는지에 대한 평가 및 관리 등을 내부통제기준에 포함해야 한다. 이때 주목할 것은 내부통제와 관련한 임직원, 준법감시인이 수행하여야 할 역할을 내부통제기준에 포함하고 있다는 것이다. 
 
지배구조법 감독규정에서는 금융회사로 하여금 내부통제기준을 설정하고 운영함에 있어 별도의 기준을 마련하고 있다.111 우선 금융회사는 내부통제 관한 이사회, 경영진, 준법감시인 등의 역할을 명확히 구분해야 하며, 내부통제업무를 위임할 경우 위임받은 자와 그 권한을 위임한 자를 명확히 하고 위임한 자는 위임받은 자의 업무를 정기적으로 관리 및 감독하도록 규정하고 있다. 내부통제기준 및 관련 절차는 문서화되어야 하며 법규 등이 개정될 경우 즉시 수정되거나 재검토할 것을 명시하고 있다. 또한 내부통제기준은 금융회사의 가능한 모든 업무활동을 포괄할 수 있어야 하며, 업무절차 및 전산시스템은 적절한 단계로 구분하여 집행되도록 설계되어야 한다. 금융회사는 법규준수여부에 대한 점검 결과, 임직원의 위법 행위를 발견한 경우 해당 임직원에 대한 제재, 내부통제 취약부분개선 등을 통해 법규위반사항이 재발하지 않도록 신속하고 효과적인 조치를 해야 한다.그 외에 금융회사는 고객과의 이해상충, 투자자의 고충사항 및 직원과의 분쟁을 신속하게처리하기 위해 적절한 절차를 마련해야 한다. 한편 금융회사 지배구조 감독규정에서는 금융업권별로 내부통제기준에 포함해야 할 사항을 구체적으로 명시하고 있다.112 예를 들어금융투자회사의 경우 집합투자재산이나 신탁재산에 속하는 주식에 대한 의결권 행사와관련된 법규 및 내부지침의 준수 여부에 관한 사항, 집합투자재산이나 신탁재산에 속하는자산의 매매를 위탁하는 투자중개업자의 선정기준에 관한 사항, 지점, 그 밖의 영업소의설치 및 각 지점별 영업관리자의 지정 등 관련 통제에 관한 사항, 각 지점별 파생상품 영업관리자의 지정 등 파생상품 투자자 보호에 필요한 절차나 기준에 관한 사항, 투자중개업자의 투자자계좌의 관리 및 감독 등에 관한 사항 등을 포함해야 한다. 그 외에 금융회사는 금융업권별로 정한 표준내부통제기준에서 마련한 사항을 준수해야 한다. 
 
지배구조법 제24조 제1항에서 명시한 내부통제기준을 마련하지 않으면 해당 법령을 위반한 자에게 최대 1억원 이하의 과태료를 부과할 수 있다.113 금융회사 임직원이 지배구조법 제24조 제1항을 위반하여 내부통제기준과 관련된 의무를 이행하지 않은 것으로 판단하면, 임원에 대해서는 해임요구, 6개월 이내의 직무정지 또는 직무대행 관리인의 선임, 문책경고, 주의적 경고, 주의 등의 조치를 취할 수 있으며 직원에 대해서는 면직, 6개월 이내의 정직, 감봉, 견책, 주의 등의 조치를 취할 수 있다.114 금융기관 검사 및 제재에 관한 규정에도 내부통제 관련 위반에 대한 처벌 규정을 마련하고 있다. 만약 금융회사가 내부통제업무 소홀 등의 사유로 금융사고가 발생하여 자기자본의 2% 또는 금융회사 규모별로 100~500억원을 초과하는 손실이 발생한 경우 기관경고 조치를 받을 수 있다.115 또한 금융기관의 내부통제체제가 취약하다고 판단하는 경우 직원에게 면직, 정직, 감봉, 견책, 주의 등의 제재 조치를 요구할 수 있다.116 
 
2. 한국 내부통제 제도의 규제 격차 분석
 
가. 내부통제의 정의
 
내부통제의 정의와 관련해서는 미국, 영국, 일본과 한국 간에 큰 차이가 없다. 한국 지배구조법상 금융회사에게 적용되는 내부통제의 범위는 법규 준수, 건전 경영, 주주 및 이해관계자를 보호하기 위해 금융회사 임직원이 지켜야 할 기준 및 절차 등으로 정의하는 등 COSO(1992) 연구 및 미국, 영국, 일본 등과 큰 차이가 없다. 오히려 한국 지배구조법에서는 법규 준수, 건전 경영 외에 이해관계자 보호를 위해 지켜야 할 절차 등으로 내부통제를 정의하고 있어 이해관계자의 범위를 대주주, 소액주주, 근로자, 소비자, 협력회사, 지역사회 등을 포함한다면 주요국 대비 가장 폭넓은 정의라고 판단할 수 있다. 
 
실무적으로는 내부통제를 이해하는 개념에 있어서 국가별로 다소 차이가 있다. 한국 금융회사들 중 상당수는 내부통제를 법규 준수와 관련된 컴플라이언스 준수 의무로 이해하고 있다. 이에 한국 금융회사들은 내부통제기준 마련 및 내부통제 구축을 위해 적은 비용을 투자하는 등 소극적으로 대응해온 것으로 판단한다. 반면 주요국 금융회사는 내부통제를 전사적 운영리스크 관점으로 이해하여, 컴플라이언스, 소비자보호, 내부회계, 정보보호, 리스크관리, 자금세탁방지 등을 모두 포함하는 개념으로 적극적으로 대응하고 있다. 미국, 영국 등 주요 금융회사는 내부통제 역량 강화를 위해 대규모 인적, 물적 투자를 수행하고 있으며 렉텍(RegTech), 섭텍(SupTech) 활성화를 통해 혁신 ICT 기술에 기반을 둔 내부통제 시스템 구축에 나서고 있다.  
 

 
나. 내부통제기준 마련 의무
 
내부통제기준은 금융회사가 법규 준수, 건전 경영, 업무 효율성 제고를 목표로 임직원이 지켜야 할 기준 및 절차로, 한국은 금융회사로 하여금 내부통제기준 마련 의무를 부과하고 있다. 지배구조법에서는 내부통제기준의 세부 내용을 언급하고 있지 않아 다소 선언적 의미로 내부통제기준 마련 의무를 부여한 것으로 해석할 수도 있다. 지배구조법 시행령에서는 보다 구체적으로 내부통제기준에 포함될 내용을 명시하고 있다. 예를 들어 업무의 분장 및 조직구조, 임직원이 업무 수행 시 준수해야 하는 절차, 내부통제기준 준수 여부 확인 절차, 내부통제기준 위반자의 처리 등의 내용을 포함하도록 규정하고 있다. 한편금융회사 지배구조 감독규정에서는 내부통제기준에 금융회사의 가능한 모든 업무활동을포괄하도록 규율하고 있어, 금융회사의 모든 업무에 대해 업무 절차 및 해당 업무 시 준수 내용을 포함하도록 규율하고 있다. 즉 지배구조법과 감독규정에서 언급한 내부통제기준의 범위가 다소 상이한 것으로 이해할 수 있다. 지배구조법에서는 내부통제기준을 다소 추상적으로 기술하는 반면, 감독규정에서는 금융회사의 가능한 모든 업무에 대해 업무 시 준수사항을 포함할 것을 요구하고 있어 감독규정의 범위가 매우 넓다고 볼 수 있다.
 
앞선 절에서 살펴보았듯이 미국, 영국의 경우 금융회사들은 법규와 규정에 따라 내부통제를 구축할 의무를 가지고 있다. 주요국가 역시 내부통제 구축 의무를 부여한 점에서 다소 선언적으로 기술한 것으로 볼 수 있는데, 한국 지배구조법의 내부통제기준 마련 의미와는 개념에 있어서 다소 차이가 난다. 한국은 내부통제 규정 마련 의무를 강조하는 반면, 미국, 영국 등은 내부통제의 효율적 운영 의무를 강조한 것으로 볼 수 있다. 세부 규정에 있어서도 한국과 주요국은 차이가 있다. 한국은 감독규정에서 금융회사의 가능한 모든 업무를 포함하도록 하고 있어, ICT 기술 변화로 금융회사의 업무 범위가 빠르게 확장되는 가운데 내부통제기준 준수 의무의 부담이 커진 것으로 이해할 수 있다. 반면, 미국의 경우 합리적인 수준에서 내부통제 구축 의무를 부여하고 있어 내부통제를 구축하는데 과도한 비용이 발생하거나 비용 대비 편익이 크지 않다고 판단하면, 내부통제 구축의 범위를 크게 확장하지 않아도 될 것이다. 영국은 원칙중심 규제 철학에 기초하여 금융감독청이 마련한 FCA 핸드북에서 금융회사 스스로 내부통제기준을 마련하도록 규율하고 있다.
 
내부통제기준 마련 의무 또는 구축 의무의 대상에 있어서도 다소 차이가 있다. 한국은지배구조법 규율 대상인 은행, 보험사, 금융투자회사 등 주요 금융회사에 대해 내부통제기준 마련 의무가 부여되나 미국, 일본은 상장기업에 한해 내부통제 구축 또는 내부통제보고서 제출 의무를 부과하고 있다. 즉 금융회사를 기준으로 살펴보면 지배구조법과 동등한 법적 지위를 갖는 법제에서 금융회사의 내부통제기준 마련 의무를 부과한 사례는 찾기 어렵다.
 

 
다. 내부통제 소홀 마련 시 제재
 
기관 제재와 관련해서는 한국의 규제 강도가 다소 낮다. 한국은 내부통제기준 마련 의무를 위반하면 금융회사에 대해 1억원 이하의 과태료를 부과할 수 있다. 미국, 영국의 경우 내부통제 구축 의무 위반 시 개별 금융업권 규정에 따라 매우 높은 수준의 민사 제재금을 부과할 수 있다. 일본은 금융회사에서 큰 피해가 발생하지 않으면 내부통제에 결함이 있더라도 기관 제재를 수행하지 않는 것으로 알려져 있다. 일본과 유사하게 한국도 금융회사가 내부통제 소홀 등의 이유로 상당한 손실이 발생하면 기관경고 조치를 받을 수있다. 한국의 기관 제재는 경미한 과태료 또는 기관경고 조치에 그치고 있어, 미국, 영국에서 기관에 대해 매우 높은 수준의 금전 제재를 부과하는 것과 비교하면 기관에 대한 제재 수준은 다소 낮다고 볼 수 있다. 다만 한국의 경우 내부통제기준 마련 의무를 위반하거나 내부통제를 소홀히 했다고 판단하는 법적 근거가 다소 불명확한 부분이 존재한다. 
 
인적 제재와 관련해서는 한국의 규제 강도가 다소 높다. CEO를 포함한 임원이 내부통제 소홀 마련에 책임이 있다고 판단하면 해임권고, 직무정지 등 높은 수준의 인적 제재를 부과할 수 있다. 영국도 내부통제 소홀 마련에 대해 높은 수준의 인적 제재를 부과하고 있다. 이때 CEO 등 경영진이 내부통제기준 마련과 운영과 관련해서 상당한 조취를 취한 것을 입증하면 인적 제재를 경감 받거나 면할 수 있다. 일본의 경우 내부통제보고서를 제출하지 않거나 허위로 기재하는 경우 담당자에게 최대 5년 이하의 징역형이나 벌금형을 부과할 수 있다.
 
한편 금융회사 임직원이 금융회사가 자체적으로 정한 내부통제기준을 위반한 경우 내부통제기준 등에서 정한 사항에 따라 금융회사 내에서 제재를 받을 수 있다. 만약 임직원의 위반 사항이 법규나 감독규정 등을 위반한 사항이라면 사법부나 금융당국으로부터 제재를 받으며, 법규나 감독규정이 아닌 회사 자율로 정한 사항을 위반한 경우라면 자체 사규에 따라 처벌을 받게 된다. 
  

 
라. 내부통제 관련 감독자책임
 
주요 국가는 내부통제 소홀 마련 등에 대한 최종 책임을 CEO에게까지 부과하는 등 감독자책임을 강화하고 있다. 한국에서도 임직원의 행정규제 위반 사항과 관련이 없이, 내부통제기준 마련 의무를 위반하였다고 판단하면 CEO에게 포괄적 책임을 물을 수 있도록 규정하고 있다. 이때 내부통제기준 마련 의무가 다소 추상적이고 내부통제 소홀 마련의 사항도 다소 주관적이어서 해당 이유를 근거로 CEO에게 포괄적 책임을 묻는 것이 적정한지에 대한 논란이 많다. 미국은 1934년 증권거래법에서 위법 행위를 수행한 자 뿐 아니라 위법 행위자에 대한 감독을 소홀히 한 감독자 및 최상위 감독자에 대해서도 민형사상 책임을 부과할 수 있다. 이때 감독 소홀의 범위를 공모 행위, 인사권 등을 가진 자의 위력 행위 등으로 구체화하고 있다. 영국의 경우도 경영진에 대한 책임을 강화하는 등 감독자책임을 인정하고 있다. 
 
즉 감독자책임 관련해서는 한국과 주요국 간의 규제 강도에서 큰 차이가 있다고 보기 어렵다. 다만 감독자책임을 언제, 어떻게 적용하는지와 관련해서 한국은 다소 불명확한 부분이 있다. 미국, 영국 등의 경우 감독자책임을 부과하기 위해 감독소홀의 범위를 구체적으로 명시하고 최종감독자, 중간감독자 등의 역할과 책임을 사전에 구체적으로 명시함으로써 사안에 따라 CEO까지 책임을 묻지 않고 중간관리자에게 최종 책임을 묻는 것을 허용하고 있다. 일본의 경우 CEO까지 감독자책임을 물을 수 있는 것으로 알려져 있으나 내부통제 소홀 마련의 이유로 CEO까지 감독자책임을 물었던 사례는 찾기 어렵다. 
  

 
마. 유인부합적 내부통제 활용
 
미국, 영국 등 주요 국가에서는 금융회사 임직원이 행정 규제 및 규정 등을 위반하여 인적 제재 또는 금전 제재를 받은 경우, 내부통제를 충실히 마련한 것으로 인정을 받으면 제재를 경감 받을 수 있다. 내부통제를 높은 수준의 제재 조치의 경감 수단으로 활용하고 있어, 금융회사 스스로 내부통제 역량 강화에 대규모 인적, 물적 자원을 배분하고 있다. 흥미로운 점은 미국, 영국 등에서는 금융사고 발생 이후 인적 제재 또는 금전 제재를 받은 이후라도 내부통제 개선을 위해 충분한 노력을 수행한 것을 사후적으로 인정받으면 금전 제재 등을 경감 받을 수 있다. 
 
한국도 경미한 제재에 대해서는 내부통제를 충실히 마련하고 준수한 것을 인정받으면 해당 제재를 경감 받을 수 있으나, 손실규모가 크거나 사회적으로 이슈가 되는 사건에 대해서는 적용하기 어렵다. 즉 내부통제를 인적 제재 또는 금전 제재의 경감 수단으로 사용하는 것이 제한되어 있다. 금융사고가 발생한 이후에 내부통제 개선을 위한 노력을 수행하더라도 인적 제재나 금전 제재에 대한 경감 수단으로 활용하는 것은 쉽지 않다. 즉 유인부합적 내부통제의 활용과 관련해서는 한국의 규제 강도가 주요국 대비 다소 높은 것으로 판단한다.
 

 
 
Ⅳ. 한국 내부통제 제도 개선 방향
 
금융회사의 업무 범위가 확대되고 금융상품이 복잡해짐에 따라 금융회사의 내부통제 역량 강화가 필요하다는 데에는 이견이 없다. 내부통제 역량 강화를 어떻게 유도할 것인지에 대해서는 감독당국과 금융회사 간 다소 이견이 존재하는 가운데, 내부통제기준 마련 의무를 부과하고 있는 지배구조법의 해석과 관련해서 논란이 많다. 이에 본 연구에서는 주요국 내부통제 제도의 현황 및 특징을 살펴보고 한국 내부통제 제도와의 규제 격차를 비교 분석하였다. 한국 금융회사의 내부통제 제도는 CEO에게까지 감독자책임을 부과한다는 점에서 실질적인 규제 강도는 다소 높은 것으로 볼 수 있으나, CEO에게 책임을 묻기 위한 법적 근거가 다소 모호하다는 점에서 내부통제기준 마련 범위가 추상적이고 주관적인 특징을 가진다. 내부통제 소홀 시 주요국이 엄중한 금전 제재를 중심으로 제재를 마련하고 있는 것과 달리 한국은 인적 제재를 중심으로 규율하고 있는 것도 구별되는 특징이다. 한국 금융회사 입장에서 내부통제를 충실히 마련하고 준수해야 할 유인이 크지 않은 것도 주된 특징으로 꼽을 수 있다. 미국, 영국 등 주요국은 금융회사가 행정 규제 위반 등의 이유로 엄중한 과징금을 부과 받았을 때 금융사고 이전 또는 이후라도 내부통제를 충실히 마련하고 준수한 것으로 판단하면 과징금을 경감해주는 인센티브를 제공하고 있다.
 
1. 지배구조법 개선 방향
 
가. 내부통제기준 마련 의무 및 감독자책임의 구체성 제고
 
금융회사로 하여금 실효성 있는 내부통제 역량 강화를 위해 지배구조법에서 내부통제기준 마련 의무를 구체적으로 명시할 필요가 있다. 현재 지배구조법 제24조 제1항의 내부통제기준 마련 의무는 원칙중심(Principle-Based) 규율에 가까운 조항으로, 룰 중심(Rule-Based)의 금융업법을 규율하는데 한계가 있을 수 있다는 지적이 많다. 지배구조법 시행령 및 감독 규정에서도 내부통제기준의 범위가 다소 추상적으로 기술되어 있어 내부통제기준 마련 의무의 위반 여부를 판단하기가 쉽지 않다. 예를 들어 금융회사의 어떤 사건과 사안 등에서 내부통제 기준 마련 의무를 위반한 것으로 볼 것인지, 그때 법적 책임은 누구에게까지 물을 것인지에 대한 법적 근거가 충분하지 않다. 내부통제기준 위반 사례에 대한 판례도 충분하지 않아, 대규모 금융사건이 발생했다는 이유로 내부통제기준 마련 의무 위반으로 판단하기에는 법적 타당성이 충분하지 않다. 
  
미국, 영국 등의 사례를 참조하여 ‘내부통제기준 마련 의무’의 범위 또는 ‘내부통제를 실효성 있게 마련해야하는 의무’를 구체화할 필요가 있다. 이에 지배구조법 제24조 제1항의 개정을 통해 금융회사 이사회로 하여금 내부통제기준의 제정 및 개정 권한, 개정 요청 권한을 부여하고, 내부통제기준 마련 및 운영의 법적 책임을 CEO, 준법감시인, CCO(소비자보호 총괄책임자), CRO(리스크관리 총괄책임자) 등에게 명확히 부여할 필요가 있다. 대규모 금융사고가 발생하거나 금융회사가 사회적 물의를 일으켰다는 이유만으로 CEO에게까지 내부통제기준 마련 의무를 위반했다고 판단하는 것은 결과중심 감독정책에 가까운 것이다. 금융사고가 발생했을 때마다 CEO에게 책임을 묻게 되면 금융회사가 위험을 최소화하는 방향으로 영업을 수행하게 되어, 금융회사의 모험자본 공급과 금융혁신 기능을 크게 위축시킬 수 있다. 
 
이때 ‘내부통제기준 마련 의무 위반’ 또는 ‘내부통제 소홀’의 범위를 시행령, 시행세칙 등 하위 규정에서 보다 구체적으로 명시할 필요가 있다. 영국의 사례를 참고하여 금융회사로 하여금 내부통제 관련 경영자 및 중간관리자의 역할과 책임을 구체적으로 명시한 책임문서와 책임지도를 마련하도록 의무를 부여할 필요가 있다. 구체적으로 금융회사의 CEO, 준법감시인, CCO, CRO, 지점장 등의 역할과 책임을 보다 명확하게 제시할 필요가 있다. 예를 들어 CEO에게는 새로운 업무나 서비스가 추가되었을 때 또는 신규고객, 금융상품의 판매가 현저히 증가하거나나 취급 데이터의 범위가 크게 확장되었을 때 합리적인 수준에서 내부통제기준의 개정과 운영 프로세스 점검을 요청하고, 내부통제의 개선 여부를 확인해야 할 의무를 부여할 수 있다. 준법감시인, CCO, CRO 등에게는 해당 임원의 역할에 맞추어 내부통제의 세부 가이드라인을 마련하고 준수 여부, 개선 필요성을 점검하고 CEO 및 이사회에게 내부통제 개선 요청을 할 의무를 부여하는 것을 고려할 수 있다. 예를 들어, 특정 사모펀드가 특정 지점에서 과도한 수준으로 판매가 되었을 때 지점장 및 CCO 등은 해당 사실을 CEO, 준법감시인에게 보고해야 한다. CEO 및 준법감시인은 특정 사모펀드가 과도하게 판매되어 다수의 고객들이 불완전판매 위험에 노출될 개연성이 있다고 보아 관련 내부통제기준을 점검하고 개선 필요성이 있다고 판단한 경우 이사회에게 내부통제기준 개정을 요청할 수 있어야 한다. 만약 CEO 또는 CEO 권한을 위임받은 준법감시인이 특정 사모펀드가 특정 지점에서 과도하게 판매되는 것을 인지하였음에도 불완전판매 관련 위험을 인지하지 못하거나 내부통제기준 점검 또는 개정을 요청하지 않는다면 해당 CEO 또는 준법감시인이 내부통제를 실효성 있게 마련하지 못한 것으로 볼 수 있다. 다만, 특정 지점에서 발생한 개별 직원의 위법 행위를 지점장, 준법감시인도 인지하지 못한 상황에서 개별 직원의 위법 행위로 대규모 금융회사의 손실이 발생한 경우, CEO에게까지 최종 책임을 부과하는 것은 적절하지 않을 것이다. 
 
나. 금전 제재로의 전환
 
한국 금융업법 규제는 대륙법 체계의 룰(Rule) 중심으로 기술되어 있어 다양한 업무 영역에서 촘촘하게 영업행위를 규율한다는 점에서 규제 강도가 높은 것으로 볼 수 있다. 반면 금융회사 임직원의 위법 행위에 대한 처벌 규제는 규제 강도가 다소 낮다. 예컨대 금융회사 임직원이 위법 행위를 수행하면 인적 제재를 중심으로 제재가 이루어지며, 행정 과징금 등 금전 제재의 수준은 다소 낮다. 예를 들어 불공정거래 행위 위반 시 주요 불공정거래 행위 유형인 내부자거래와 시세조정 위반에 대해서는 과징금 제도가 마련되어 있지 않으며, 경미한 시장질서교란 행위에 대해서만 과징금 제도가 도입되어 있다. 불완전판매와 관련해서도 금소법 도입 이전에는 과징금 제도가 마련되지 않았다. 즉, 한국에서는 금융법제 위반 시 부과되는 금전 제재 수준이 현저히 낮아 금융규제의 실효성이 충분히 확보되지 못하고 있다는 인식이 많다. 이에 금융회사, 금융회사의 임직원, 그리고 일반투자자의 인식과 행위변화를 촉발시키기 위해 금융업권 전반의 제재 방식을 금전 제재 중심으로 바꾸고, 금전 제재 부과 수준도 대폭 상향하는 것이 필요하다. 
 
내부통제 미준수보다 훨씬 심각한 금융 범죄인 불공정거래, 불완전판매 등에 대해 엄중한 금전 제재 방식을 도입하고, 순차적으로 내부통제 소홀 마련 시 금전 제재를 강화하는 방향으로 제재 방식을 개편하는 노력이 필요하다. 실제 한국 금융당국은 지배구조법에 따라 내부통제기준 마련 위반 시 경미한 과태료 부과와 함께 인적 제재 중심으로 규율하고 있어, 금융회사의 주주들은 직접적으로 큰 피해를 입지 않는다. 반면 주요국에서 내부통제기준 마련 의무 등 주요 금융규제를 위반하면 인적 제재와 더불어 해당 금융회사는 엄중한 금전 제재를 부과 받는다. 미국, 영국 등은 금융사고 규모 및 소비자 피해 규모에 따라 금융회사가 파산에 처할 정도로 높은 행정 과징금을 부과하는 사례도 많다. 이에 주요국 금융회사는 금전적 처벌을 최소화하기 위해서라도 법규 준수 등을 포함한 내부통제 역량 강화에 대규모 인적, 물적 자원을 투자하고 있다. 아쉽게도 한국 금융회사는 임직원의 법규 위반 사항에 대해 금전적 피해가 거의 발생하지 않기 때문에 내부통제 역량 강화를 위해 대규모 인적, 물적 인프라를 투자할 유인이 크지 않다. 따라서 장기적으로 금융회사의 내부통제 역량 강화를 유도하기 위해 내부통제 소홀 마련 시 금전 제재를 강화하는 것을 검토할 필요가 있다. 
 
다. 유인부합적 내부통제 구축 유도
 
미국, 영국 등 주요국은 내부통제기준을 충실하게 마련할 경우, 금전 제재금을 경감해주는 인센티브를 제시하고 있다. 앞선 절에서 언급하였듯이 미국 금융회사가 위법 행위를 수행한 경우 매우 높은 수준의 금전 제재금을 부과받기 때문에 내부통제 충실 마련을 통해 금전 제재금을 경감 받을 수 있는 부분은 금융회사에게 상당한 인센티브가 될 수 있다. 미국, 영국에서는 금융회사가 내부통제를 충실히 마련한 경우 금전 제재에 대한 경감 뿐 아니라 인적 제재에 대한 경감도 받을 수 있다. 미국은 증권거래법에서 내부통제를 충실히 마련한 경우 감독자책임을 면제받을 수 있도록 규정하고 있다. 이와 같이 미국, 영국 등 주요 국가에서는 내부통제를 금전 제재 또는 인적 제재의 경감 수단으로 활용하는 등 금융회사로 하여금 유인부합적 내부통제 역량 강화를 유도하고 있다. 
 
한국의 경우 금융회사가 내부통제를 충실히 마련하더라도 금전 제재 또는 인적 제재를 경감받기 어렵다. 물론 금융회사 경영실태평가 중 내부통제 우수 기업에 한해 기관 제재를 감경할 수 있는 기준이 마련되어 있으나, 중대한 사항이라고 판단하면 기관 제재의 감경 사유로 인정하기 어려워 현실적으로 내부통제는 제재 경감에 대한 인센티브 수단으로 활용되지 못한다. 이에, 미국, 영국 등의 사례를 참조하여 금융회사가 내부통제 충실 마련을 입증하는 경우 인적 제재 또는 금전 제재를 경감 받을 수 있는 면책 제도를 법제화할 필요가 있다. 더불어 금융사고 이후라도 금융회사가 내부통제를 충실히 마련한 것을 입증하면 일정 부분 제재를 경감 받을 수 있도록 인센티브를 제공하는 것을 검토할 필요가 있다.
  
2. 내부통제 인프라 개선 방향
 
가. 합리적 수준의 내부통제 가이드라인 마련
 
지배구조법에서 내부통제기준 마련의 범위를 정하고 있지만, 금융회사의 업무 유형이 매우 넓고 세부 항목별로 구체화되어 있기 때문에 법과 시행령에서 내부통제기준의 세부 사항을 정하기는 쉽지 않다. 이에 미국 FINRA, 영국 FCA 핸드북 등의 사례를 참조하여 합리적 수준에서 금융회사가 준수할 수 있는 업권별 내부통제 가이드라인을 마련할 필요가 있다. 이때 합리적 수준의 개념은 금융회사의 규모, 서비스 유형을 고려하여 내부통제 구축에 충분한 인적, 물적 투자를 수행할 수 있는 수준을 뜻하며, 내부통제 구축의 편익 대비 비용이 과도하지 않은 것을 의미한다. 또한 금융회사의 모든 업무 범위를 100%로 포함하는 개념보다는 금융 사고를 최소화할 수 있는 전사적 운영리스크 관점으로 접근해야 할 것이다. 
 
내부통제 가이드라인에는 지배구조법 시행령 및 감독규정에서 정한 주요 사항의 세부 원칙들 뿐 아니라, 과거 금융회사의 내부통제 미흡으로 인한 금융사고를 예방할 수 있는 내용들이 포함되는 것이 바람직하다. 예를 들어 사모펀드, DLF 판매 관련해서 내부통제를 충실히 수행해야 할 부분 위주로 가이드라인이 마련될 필요가 있다. 더불어 비대면 금융서비스가 빠르게 확대되고 있는 만큼 스마트폰 앱을 통한 금융서비스 제공, 금융상품 판매, 고객 데이터 보호 등과 관련한 내용을 반영하는 것이 필요할 것이다. 
 
나. 내부통제 현황 공시 
 
금융회사의 내부통제 역량 강화를 유도하기 위해 내부통제보고서 제출 의무화 등을 통해 내부통제 주요 현황을 공시하도록 하는 방안을 검토할 필요가 있다. 미국 FINRA는 금융회사로 하여금 내부통제보고서를 제출하도록 규정하고 있고, 일본은 재무보고 중심으로 내부통제보고서 제출 의무를 부여하고 있다. 한국 금융당국도 금융회사로 하여금 정기적으로 내부통제보고서를 제출하도록 하고, 감독당국은 이를 통해 금융업권 전체적으로 내부통제 역량 강화를 유도할 필요가 있다. 내부통제보고서에는 계량화가 가능한 항목과 비계량화 항목 등이 포함될 수 있는데, 재무보고 사항 등 계량화가 가능한 부분은 재무제표의 각주 사항 등에 공시하도록 하고, 계량화가 어렵고 개별 금융회사의 특수성이 반영된 사항은 감독당국에게 정기적으로 보고하는 제도를 검토할 수 있다. 
 
내부통제보고서에는 개별 금융회사의 내부통제기준 뿐 아니라 내부통제기준 세부사항 마련 및 운영과 관련한 임직원의 역할과 책임, 그리고 내부통제 미준수 사항에 대한 금융회사 내부의 제재 사항 등을 반영할 필요가 있다. 감독당국은 금융회사들로부터 취합한 내부통제보고서를 기초로, 특정 금융회사가 내부통제를 충실히 수행하고 있는 부분들은 타 금융회사에게 권고하고, 반대로 특정 금융회사에서 내부통제가 미흡할 수 있는 부분들은 타 금융회사에게 개선 권고를 함으로써 금융업권 전체적으로 내부통제 역량 강화에 기여할 수 있다. 
  
다. 감독당국의 내부통제 평가보고서 작성 
 
내부통제 마련의 범위가 다소 모호하고, 내부통제의 실효성 있는 구축 및 준수 여부 판단 역시 주관적인 부분이 많다. 이에 내부통제 전반의 모호성 해소 및 정보비대칭 완화를 위해 금융당국이 내부통제 평가보고서를 작성하고 이를 공개하는 방안을 검토할 필요가 있다. 금융회사가 제출한 내부통제 보고서 및 금융당국의 정례적 감사 등을 통해 금융당국으로 하여금 금융회사 내부통제 평가보고서를 주기적으로 작성하도록 하고, 해당 평가보고서를 홈페이지 또는 보도자료 등을 통해 공개하는 제도를 검토할 수 있다. 
 
금융당국이 주기적으로 금융회사의 내부통제를 평가하고, 개별 금융회사의 내부통제 미흡 또는 충실 마련 사항 등을 공개함으로써 내부통제 마련 및 준수 범위의 모호성이 해소될 뿐 아니라 금융회사로 하여금 유인부합적인 내부통제 역량 강화를 유도할 수 있다. 예를 들어 내부통제 평가보고서의 수준에 따라 인센티브나 페널티를 부여하지 않더라도, 금융회사의 내부통제 평가보고서가 정기적으로 공개가 되기 때문에 금융회사 스스로도 평판위험에 대한 관심을 불러 일으켜, 내부통제 구축과 개선을 위해 더 많은 인적, 물적 투자를 수행할 것으로 기대한다. 감독당국 역시 내부통제 평가보고서를 통해 해당 금융회사의 내부통제 수준이 적절하다고 평가한 이후 해당 금융회사에서 금융사고가 발생하더라도 해당 금융사고의 책임을 내부통제 미흡만으로 돌리기는 어려울 것으로 예상한다.
 
 
<부록>
  

DEPP 6.2.9-E G 13/12/2019 RP
When determining under section 66A(5)(d) of the Act whether or not an SMF manager has taken such steps as a person in their position could reasonably be ex-pected to take to avoid the contravention of a relevant requirement by the firm oc-curring (or continuing), additional considerations to which the FCA would expect to have regard include, but are not limited to:
(1) 
the role and responsibilities of the SMF manager (for example, such steps as an SMF manager in a non-executive role could reasonably be expected to take may differ, depending on the circumstances, from those reasonably expected of an SMF manager in an executive role: see, for example, the guidance on the role and responsibilities of non-executive directors for SMCR firms in COCON 1 An-nex 1G);
(2) 
whether the SMF manager exercised reasonable care when considering the information available to them;
(3) 
whether the SMF manager reached a reasonable conclusion on which to act;(4) 
the nature, scale and complexity of the firm’s business;
(5) 
the knowledge the SMF manager had, or should have had, of regulatory con-cerns, if any, relating to their role and responsibilities;
(6) 
whether the SMF manager (where they were aware of, or should have been aware of, actual or suspected issues that involved possible breaches by their firm of relevant requirements relating to their role and responsibilities) took reasonable steps to ensure that the issues were dealt with in a timely and appropriate man-ner;
(7) 
whether the SMF manager acted in accordance with their statutory, common law and other legal obligations, including, but not limited to, those set out in the Companies Act 2006, the Handbook (including COCON), and, if the firm had a premium listing, the UK Corporate Governance Code and related guidance;
(8) 
whether the SMF manager took reasonable steps to ensure that any delegation of their responsibilities, where this was itself reasonable, was to an appropriate person with the necessary capacity, competence, knowledge, seniority and skill, and whether the SMF manager took reasonable steps to oversee the discharge of the delegated responsibility effectively;
(9) 
whether the SMF manager took reasonable steps to ensure that the reporting lines, whether in the UK or overseas, in relation to the firm’s activities for which they were responsible, were clear to staff and operated effectively;
(10) 
whether the SMF manager took reasonable steps to satisfy themselves, on reasonable grounds, that, for the activities for which they were responsible, the firm had appropriate policies and procedures for reviewing the competence, knowledge, skills and performance of each individual member of staff to assess their suitability to fulfil their duties;
(11) 
whether the SMF manager took reasonable steps (including in relation to SYSC 4.9) to assess, on taking up each of their responsibilities, and monitor, where rea-sonable, the governance, operational and risk management arrangements in place for the firm’s activities for which they were responsible (including, where appropriate, corroborating, challenging and considering the wider implications of the information available to them), and whether they took reasonable steps to deal with any actual or suspected issues identified as a result in a timely and appropriate manner;
(12) 
whether the SMF manager took reasonable steps to ensure an orderly tran-sition when another SMF manager under their oversight or responsibility was replaced in the performance of that function by someone else;
(13) 
whether the SMF manager took reasonable steps to ensure an orderly transi-tion when they were replaced in the performance of their function by someone else;
(14) 
whether the SMF manager failed to take reasonable steps to understand and inform themselves about the firm’s activities for which they were responsible, in-cluding, but not limited to, whether they:
(a) 
failed to ensure adequate reporting or seek an adequate explanation of is-sues within a business area, whether from people within that business area, or elsewhere within or outside the firm, if they were not an expert in that area; or
(b) 
failed to maintain an appropriate level of understanding about an issue or a responsibility that they delegated to an individual or individuals; or
(c) 
failed to obtain independent, expert opinion where appropriate from with-in or outside the firm as appropriate; or
(d)
 
1) 지배구조법 제24조제1항을 참조한다.
2) 지배구조법 제24조제1항을 참조한다.
3) 금융감독원(2018, 10)을 참조한다.
4) ITSFEA는 1934년 증권거래법 제15조(g)항을 통해 증권회사의 직원에 의한 미공개 중요정보의 부적절한 오용을 방지할 수 있는 차이니즈 월의 구축을 명시적으로 요구하고 있다. 따라서 증권회사는 법률상 내부자거래를 방지하는 컴플라이언스 절차를 마련해야 하는 의무를 진다(이석훈, 2020).
5) COSO는 Committee of Sponsoring Organization of the Treadway Commission의 약자로서 1985년 회계 관련 여러 협회가 공동으로 설립하여 운영하는 단체의 이름이다. COSO는 1992년 내부통제 통합 프레임워크
(Internal Control – Integrated Framework)를 발표하였으며 이 모형은 2004년 전사적 위험관리 통합 프레임
워크(Enterprise Risk Management-Integrated Framework)로 개정되었다. 본문의 내부통제 정의는 1992년 발표된 COSO 프레임워크를 기초로 제시하였다.
6) Securities Exchange Act of 1934, Section 15(b)(4)(E), For the purposes of this paragraph no person shall be deemed to have failed reasonably to supervise any person, ... such procedure, which would be reasonably be expected to prevent ... such person has reasonably discharged ... without reasonable cause to believe ....
7) SEC는 CEO 및 고위 임원이 지점 브로커들의 법률위반을 알 수 없다는 이유로 면책하면 이를 저지할 수 없고 종국적으로는 투자자 보호가 어렵다는 의견을 내놓았다.
8) SEC(1992)
9) SEC(2018)
10) SEC는 CEO가 컴플라이언스 부서의 인력 요구사항 및 효율성, 이들의 책임 이행 여부 등에 대해 합리적으로 검토하였다는 결과를 문서화할 수 있어야 한다고 권고하고 있다.
11) 각 지점과 감독관할권(an office of supervisory jurisdiction: OSJ), 각 브로커에는 감독자가 할당되어야 한다.
12) 여기서 위험기반은 증권회사가 증권법과 자율규제에 있어 잠재적으로 가장 큰 위반행위를 식별하고 이를 기준으로 우선순위를 두어 점검하는 방법론의 유형을 의미한다.
13) 자기매매 및 시장 활동, 투자은행, 부정행위 및 판매 관행, 자금조달 및 운영, 감독, 돈세탁 방지 등 전 분야에서 컴플라이언스 부문의 노력을 말한다.
14) 예를 들면 News Digest, Press Release, Speeches and Public Statements, Testimony, Special Studies, Staff Legal Bulletins, Compliance and Disclosure Interpretations, Staff Reports 등을 들 수 있다.
15) 2011년에 발효된 FINRA 4530은 NYSE 규정 351이 모든 FINRA 회원사에 적용되도록 도입된 규정이다.
16) 여기서는 기업 또는 금융회사를 기관으로 통칭하고 있으며, 기관 제재금은 종국적으로 기업이나 금융회사의 소유주 또는 주주들에게 부과하는 것을 의미한다.
17) 기관에 대한 양형기준이 상향된 법으로는 Criminal Fine Enforcement Act of 1984, Money Laundering Control Act of 1986, Insider Trading and Securities Fraud Enforcement Act of 1988, Major Fraud Act of 1988, Sherman Act of 1990 등을 들 수 있다.
18) USSG가 컴플라이언스 프로그램을 평가하기 위해 제시한 7가지 기준은 컴플라이언스 프로그램의 제정 여부, 기업윤리 담당 책임자의 임명 여부, 임직원에 대한 감독시스템의 구축 여부, 교육연수 프로그램의 시행 여부, 감독보고시스템의 운용 여부, 컴플라이언스에 위반되었을 때 벌칙 규정의 적용 여부, 긴급대응책과 재발방지책의 확립 여부이다(이진국, 2010).
19) 검찰총장이 기소와 양형 정책을 발효할 경우, 메모(Memo)로 지침이 전파되는데 Holder Memo는 당시 검찰총장인 Eric Holder가 2001년 발표한 Department Charging and Sentencing Policy를 의미한다. 
20) DPA는 연방법원에 고발서류를 제출하며 합의된 기간 내에 기업이 검찰의 요구사항을 이행하였을 경우 고발을 취하하는 방식이며, NPA는 DPA와 유사하나 연방법원에 고발서류를 제출하지 않아 DPA와 달리 연방법원의 승인 절차가 필요하지 않다. DPA와 NPA는 요구조건으로 불항쟁의 답변(nolo contendere)과 배상, 금전적 제재, 그 외 지배구조 개선책에 동의하는 화해 방식을 취하고 있다. 이전에 검사들이 취할 수 있었던 사전형량조정제는 재판 관련 비용을 제거하지만, 유죄판결인 협상 결과로 기업에 평판 손실 등의 부수적인 비용을 초래한다. 따라서 기업 입장에서는 DPA나 NPA가 사전형량조정제보다 더 큰 경감 혜택이 될 수 있다. SEC도 2010년 SEC 조사의 협조를 끌어내는 방안으로 NPA/DPA를 활용할 계획을 발표하였다(SEC Press Release No. 2010-6). NPA/DPA는 no action 결정보다는 다소 엄격한 조치에 해당하지만, 전통적인 화해 방식보다는 다소 관대하고 완화된 요구사항들을 제시한다.
21) SEC(2001)
22) 사후 조치사항으로는 위반행위를 즉시 중단하였는지, 위반행위의 책임자를 여전히 고용하고 있는지, 위반행위를 신속히 감독 당국에 공개하였는지, 회사가 정부 조사에 전적으로 협력하였는지, 관련된 위반행위를 추가로 식별하였는지, 투자자 피해를 식별하였는지, 피해자에게 적절히 보상하였는지 등이 해당한다.
23) 최적의 제재금은 위법행위로 인한 사회적 비용을 적발될 확률로 나눈 금액이다. 
24) 개인에게 제재금 외에 징역의 형태로 제재 수위를 높일 수 있다. 그러나 화이트칼라 범죄자들이 대체로 연령층이 높아 징역의 제재 효과가 크지 않을 수 있다. 개인에게 부과해야 할 제재금이 매우 높을 경우, 징역은 충분히 보완적인 수단이 될 수 없다. 또한 기관의 임직원들은 본의 아니게 법을 위반할 수 있다. 높은 수준의 개인 제재는 개인들이 법규 위반 가능성에 과도하게 우려하게 되며 자기 보호를 위한 조치를 불필요하게 할 소지를 일으켜 부수적인 사회적 비용을 초래할 수 있다(Alren, 2012).
25) FCPA 법은 워터게이트 스캔들 이후 뇌물 및 불법적인 정치자금과 관련하여 기업의 자금이 유용되는 것을 막으려는 목적으로 제정되었다.
26) 재무회계에 관한 내부통제 법률은 객관적 기준 아래에서 외부감사인으로부터 검증을 요구하고 있다. 이는 합리적인 수준에서 자율적인 운영 체계를 요구하고 있는 컴플라이언스 관련한 내부통제와는 다소 차이를 보이는 것이다.
27) 2007년 SOX 법 개정안에서는 경영진이 top-down 방식과 위험기반(risk-based)의 평가를 수행하는 것을 허용하였다(PCAOB AS 5 → PCAOB AS 2).
28) SEC final rule 33-8124(Certification of Disclosure in Companies’ Quarterly and Annual Reports), SEC final rule 33-8238(Management’s Reports on Internal Control Over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports), PCAOB 2004 AS 2(An Audit of Internal Control Over Financial Reporting Performed in Conjunction with An Audit of Financial Statements)
29) SOX 법은 증권규제를 개정하여 모든 증권회사의 감사인이 PCAOB에 등록하도록 하였다.
30) Rule 15c3-1(Net capital rule), Rule 15c3-3(Customer protection rule), Rule 15c3-3(2), Rule 17a-13(Security count rule) 
31) 대표적으로 1992년에 발표된 Cadbury Report, 1999년에 발표된 이사의 회사지배구조코드 준수를 위한 지침을 담은 Turnbull Report(2014년 ‘Guidance on Risk Management, Internal Control and Related Financial and Business Reporting’로 명칭 변경), 2003년 Higgs리포트(사외이사의 역할, 독립성 및 유치 관련 개선안 제안), 2003년 Smith Report(감사위원회 구성원인 이사의 역할 제안), 2009년 Walker Review(은행을 포함, 금융기관의 지배구조상의 문제를 상세히 지적하고 이사회 규모, 구성, 자격, 기능, 성과평가, 기관투자자의 역할 및 보수 등 39개의 개선방안 제안), 2009년 Turner Review(금융청인 Financial Services Authorit)가 높은 수준의 위기관리(Risk Management)를 강조하면서 이사회의 의사결정능력과 비업무집행이사들의 역할에 의문을 제시)의 발표 등 다수 개선방안들이 제시되었다. 이에 관해서는 Cadbury(1992), Greenbury(1995), Hampel(1998); Higgs(2003), Smith(2003), 안수현(2011)을 참조한다.
32) approved person은 종래 금융감독기관이 금융기관에 취임하는 임원의 적격성을 심사하는 제도를 운영하면서 심사대상이 되는 자를 지정한 것을 말한다.
33) FSA(2009)를 참조한다.
34) 동법은 2013년 12월 18일에 여왕의 승인을 받았다. 구체적으로 제142조에 Ring-fencing regime(즉 은행그룹에 서 상업은행부문과 투자은행부문을 분리)을 정하고 건전성감독기구(PRA)가 자회사의 이사회구성, 위험관리, 인적자원정책 등에 관한 규정을 제정할 권한이 있다고 규정하였다. 이 규정은 2019년 1월 1일부터 발효되었다. 금융위기 후 상업은행과 투자은행부문을 분리시키는 Ring-fencing regime의 채택에 대한 상세한 소개로는 Koro-tana(2016)를 참조한다. 
35) PCBS(Parliamentary Commission on Banking Standards)는 금융위기와 LIBOR조작이 발각된 후 은행 분야 개혁을 위한 자문기구로서 2012년 7월에 설치되었다(House of Lords & House of Commons, 2013).
36) UK Government(2011)
37) 고객과 자산을 관리하는 중요지위에 있는 직원도 대상으로 하고 있다.
38) PCBS의 제안에 대해 FCA와 PRA는 각각 조치마련을 검토하는 보고서를 발간하였다. 이에 관한 설명은 FCA(2014), PRA(2014a)를 참고한다. 
39) SMR은 은행의 임직원 개인에게 부과되는 규제체계로, 보험회사에 대해서는 2016년 Senior Insurance Manager(SIMR)가 도입되었다. 
40) 대부분의 금융회사에게는 이 제도는 낯설고 이와 함께 도입된 Certification Regime과 Conduct Rule은 2021년 3월 31까지 시행이 연기되어 그 효과를 완전히 파악하기는 시기상조라는 평가도 있다.
41) 이에는 2014년 5월 발표된 Lambert 리포트와 2017년 9월 영국정부가 발표한 Corporate governance: Government Response to the Committee’s Third Report of Session 2016-17, September 2017 등이 있다.
42) 2021년 3월 18일 BEIS(Department for Business, Energy & Industrial Strategy)는 감사와 회사지배구조에 대한 신뢰 회복을 목적으로 백서에서 98개의 이슈를 다루면서 미국의 Sarbanes-Oxley법과 같이 강력한 내부통제 제도를 마련하여야 한다고 제안하였다. 예컨대 재무보고서에 내부통제의 유효성에 대하여 이사가 명시적으로 기술하고 이를 평가하기 위하여 사용되는 benchmark system을 기술하고 기술한 내용의 담보를 어떻게 제공할 것인지도 기술하도록 제안하고 있다. 아울러 회사는 감사 및 보장(Audit and Assurance) 정책을 수립하여 재무보고의 내부통제의 보장수준을 기술하며 이사의 진술에 대해 외부감사를 받았는지 여부를 회사의 감사 및 보장정책서에 기술하도록 하는 내용들이 포함되어 있다. 자세한 것은 Department for Business, Energy & Industrial Strategy(2021)를 참고한다. 
43) Principles는 11개로 이루어져 있다(PRIN 2: The Principles). 
     
44) Principles를 위반한 경우 FCA의 제재조치가 부과된다. principles 위반에 대한 증명책임은 FCA에게 있다. Principles for Businesses 1.1.7 G
45) FCA의 금융회사 기관제재에서 빈번히 지적되는 것이 이사회에 통제관련 정보 제공 미흡 및 조치 결여이다.
46) 즉 중간관리자는 자신의 통제영역에서 법규준수가 되도록 직접 조치를 취하여야 하고, 상급임원 역시 법규상 의무를 준수하는 컴플라이언스를 담보하기 위한 적절한 시스템과 통제가 구비되도록 하는데 책임이 있다.
47) ‘법적 의무(duty of responsibility)’의 근거규정은 금융서비스시장법(FSMA) 제66A조 5(a)와 (b)조항으로, 동 규정은 FCA와 PRA에 대하여 고위임원에 대하여 제재조치를 부과할 권한을 부여하고 있다.
48) FCA(2016a)
49) Green et al.(2020)
50) 이사와 상급경영진을 위하여 협의의 Senior Manager Regime이 하위 종업원의 인정제도라고 이해할 수 있다.
51) 즉 영국 수뢰방지법(UK Bribery Act 2010)상의 컴플라이언스 프로그램 및 내부통제규정 등의 접근방법을 채택하고 있다.
52) 이런 문제가 부각된 것은 2012년 문제된 UBS사건(John Pottage v. FSA (FS/2010/0033)이다. 당시 UBS에 부과된 민사제재금은 위반행위로 인해 회사가 얻은 이익의 15%로 산정되었으며 종래 부과된 금액중 세 번째로 큰 금액이었다. 자세한 것은 Laming & Queree(2013)를 참조한다.
53) Brown Rudnick(2014)
54) 심각한 결과를 가져다줄 수 있는 위험을 내포한 업무의 관리책임을 말한다.
55) 이러한 제도는 Approved Persons Regime이라고 불렸다.
56) 이에 관해서는 FSMA 제59ZA에서 규정하고 있으며 이러한 기능을 담당하는 자가 Senior Manager이다. SMF에는 최고경영자, 각 이사(업무집행이사) 및 컴플라이언스담당자가 해당된다. 자세한 것은 FCA(2019)를 참조한다.
57) Shalchi(2021) pp. 12
58) FCA Handbook, Code of Conduct rules (COCON), rule 2.2
59) FCA Handbook, COCON rule 3.1.3
60) FISM 제64B조 제3항
61) FCA Enforcement Guide, para 7.2; FCA Handbook, DEPP rule 6.2.4.~ 6.2.9
62) DEPP 6.2.9-FG03/05/2017RP
Where action is taken against an SMF manager under section 66A(5) of the Act the onus will be on the FCA to show that the SMF manager has been guilty of misconduct.
63) Shalchi(2021) pp.15
64) 호주, 홍콩, 싱가포르, 아일랜드 등이 인적 책임을 부과하는 규정을 마련하고 있다.
65) PRA(2020) pp.18
66) 이에 관한 설명으로 FCA(2021), FCA(2018)을 참조하고, PRA의 경우에는 PRA(2018)을 참조한다.
67) 가중요건들은 <부록>을 참조하기 바란다.
68) 상급 임원이 의무위반에서 면할 수 있는 합리적인 조치를 취했는지와 관련하여 무엇이 ‘합리적인 조치’인지를 기술한 최초 FCA 지침(안)이 2016년 발표되었는데 이를 통해 FCA의 합리적인 조치를 취했는지에 대하여 어떠한 접근방법을 채택하고 있는지 그리고 판단에 반영되는 요소들이 무엇인지를 알 수 있다.
69) DEPP 6.2.9-CG03/05/2017RP
When determining, for the purposes of section 66A(5) of the Act, whether an SMF manager was responsible for the management of any of the firm’s activities in relation to which a contravention of a relevant requirement by the firm occurred, the FCA will consider the full circumstances of each case. A list of considerations that may be relevant for this purpose is set out below. This list is not exhaustive.
(1)
The SMF manager’s statement of responsibilities, including whether the SMF manager was performing an executive or non-executive role.
(2)
The firm’s management responsibilities map.
(3)
How the firm operated, and how responsibilities were allocated in the firm in practice.
(4)
The SMF manager’s actual role and responsibilities in the firm, to be determined by reference to, among other things, minutes of meetings, emails, regulatory interviews, telephone recordings and organisational charts.
(5)
The relationship between the SMF manager’s responsibilities and the responsibilities of other SMF managers in the firm (including any joint responsibilities or matrix management structures).
70) FCA(2016b), Simmons-simmons(2016)
71) 이를 위하여 실무에서는 책임기술서(Statements of Responsibilities)에 실제 책임만을 반영하도록 유의하고 상급임원들이 자신의 책)임을 충분히 알고 있어야 하며 Management Responsibilities Maps에 Senior Managers의 Statements of Responsibilities가 정확하게 반영되어야 한다고 조언하고 있다.
72) 적절한 수준의 리스크 관리가 되도록 조직하고 통제를 효과적으로 하도록 합리적인 조치가 이루어지지 않고 있음을 알고 있었다는 이유이다.
73) UK Government(2012)
74) 법원은 Pottage가 CEO로 취임하자마자 한 점검과 평가는 합리적이었고 더 적극적으로 조사할 만큼(dig deeper) 분명한 증거는 보이지 않는다고 하였으며, 각 확인된 통제미비 사안들을 조사하였고 시정하였으며 기업의 통제장치를 강화하는 조치를 취하였다고 보았다(CMS, 2012). 
75) FSA는 Pottage가 CEO로 취임하자마자 보다 적극적이고 신속하게 회사의 시스탬과 통제장치들을 점검·정비했어야 하였는데, 그러지  않아 4가지 사항에서 미비가 있다고 주장하였다. 미비사항으로는 첫째, 경영위원회의 운영, 구조면에서 미비가 있어 위험의 감시가 효과적이지 않은 점, 둘째, Pottage와 다른 임원에게 제공되는 정보면에서 결함이 있어 회사와 위험관리면에서 감독이 소홀한 점, 셋째, 회사 운영리스크프레임워크의 실행상 취약점으로 정확한 거래절차가 수행되도록 운용통제가 담보되지 않은 점, 넷째, 기준 미비 및 명확한 보고체계 등 충분한 자원이 뒷받침된 팀에 의한 준법모니터링이 적절하지 않은 점 등을 미비사항으로 지적하였다. 다만 다음의 점에서는 취임 후 몇가지 조치를 취했다는 점은 인정하였다. 이에 해당하는 것으로 취임하자마자 경영위원회 구성원들과 상세한 인터뷰를 한 점, 위험관리, 준법, 법무담당 직원들과 회의한 점, 위험 및 준법 책임자와 역할에 관해 논의한 점, 글로벌 법규, 위험 및 준법담당자들과 회의한 점, 감사부서 및 감사계획담당자들과 회의한 점, 운영담당책임자와 운영상 이슈들을 논의한 점, 전임자와 특별히 유의해야할 사항들이 있는지 상의한 점, 주요이슈를 파악하기 위해 비즈니스담당자들과 미팅한 점 등을 인정하였다. 그 외에도 임원들에 대한 동료간 조회를 통해 임원을 교체했고 위험책임자를 선임하였으며 적극적인 위험관리를 취하려고 시도하였고 회계법인으로 하여금 자산대조 등을 독립적으로 조사하게 하는 등 문화 전반을 개선하려고 노력하였다는 점이 인정되었다. 그럼에도 불구하고 FSA는 이것으로는 지배구조와 내부통제관리면에서 중대한 미비점을 시정하는데 충분하지 않다고 보았다. FSA는 Pottage가 주어진 시스템과 절차를 너무 당연하게 받아들였다는 점을 지적하면서 시스템과 통제프레임워크 등이 적절한지 보다 더 적극적으로 살폈어야 한다고 보아 합리적인 조치를 취하였다고 보기는 어렵다고 보았다. Pottage가 CEO로 취임하자마자 신속하고 광범위하게 점검하였어야 한다는 입장이다(CMS, 2012).
76) Pottage사례에서 경영자가 책임을 면할 수 있었던 것으로 몇가지 주목할 사항들이 있는데, 이에는 i) 위험관리위원회를 설치하고 위험이슈에 대해 경영자가 적극적으로 관여하고 이에 관해 의사록에 기록을 한 점, ii)위원회에 상정된 사전 회의자료의 수준이 매우 높은 점, 최신 이슈에 대해 업데이트하고 위험관리위원회에서 취급한 공식적인 것 외에도 추가로 다루어진 이슈들에 대해 가점을 주고 이를 기록하고 있는 점, 특정의 통제미비를 조사하고 지체없이 시정조치하거나 시정계획을 수립한 점, 준법에 대해 다양한 조치를 취하고자 한 점 등이 해당된다. 
77) Brown Rudnick(2014)
78) Laming & Queree(2013)
79) FCA Final Notice: Angela Burns, December 2018 
(http://www.fca.org.uk/publication/final-notices/angela-burns-2018.pdf)
80) FCA, Final Notice, Jes Staly, May 2018 
(https://www.fca.org.uk/publication/final-notices/mrjames-edward-staley-2018.pdf)
81) 즉 첫 번째 서신의 민원 조사와 관련하여 이해상충이 있을 수 있음을 감안하여 관여하지 않도록 조치를 취했어야하며, 민원제기자에게 철회하거나 민원을 반복해서 내지 않도록 하는 압박을 주려는 인상을 주지 않았어야 하는데 그러지 못했다는 것이다. 
82) FCA(2018a) 
83) Bovill(2020)
84) 과거에도 경영자에게 회사의 내부통제와 관련하여 감시의무(oversight duty)가 있다고 보고 제재조치를 부과한 경우가 종종 있었지만 당시 법원은 경영자에게 내부통제를 설계할 의무는 없다고 보았다. 때문에 실무에서는 빈번히 내부통제 위반사례가 재발되는 것과 관련하여 경영자에게 규제상 책임을 지는 종래 규제패러다임은 효과적이지 않다고 보고 이를 시정하기 위하여 준법과 내부통제 관련하여 경영자에 대하여 개인적인 책임을 묻기 위한 근거로서 FSMA에 ‘책임질 의무’에 관한 규정을 마련하는 입법이 시도되었다. 이와 함께 경영자의 관할 업무로 지정된 부문에서 위법·위규행위가 발생한 경우 법규준수와 내부통제를 담보할 수 있는 ‘합리적인 조치(reasonable steps)’를 취하지 않은 경우 이를 이유로 개인적으로도 규제상 책임을 지는 것으로 제도 개선이 이루어졌다.
85) 2015년 3월 FCA의 위원장인 Martin Wheatley는 기조연설에서 경영자 등 고위임원이 취하여야 할 합리적인 조치에 대하여 임원의 상식에 맞을 것으로 보이는 조치라고 언급하면서 정직하게 행동하고(Behave with integri-ty), 위임하는 경우 적절하여야 하고(delegate appropriately), 비즈니스영역을 충실히 파악하도록 담보하고, 법규와 관련규정 등을 준수하도록 상식적으로 기대되는 조치를 취하여야 한다고 하였다.  
86) FCA가 2018년 7월에 발표한 정책서(Final Guidance: the Duty of Responsibility for insures and FCA solo-regulated firms)에서 언급한 바와 같이 DEPP(the Decision Procedure and Penalties Manual) 6.2.9 E 에 대한 지침(Guidance)에서 경영자가 취한 조치들이 종합적으로 고려할 때 귀책사유가 있다고 보는데 있어 고려해야 할 요소들을 매우 장황하게 열거하고 있고 이들 요소는 여기에 열거된 것으로 한정되지 않는다고 한 것(non-exhaustive list of considerations)을 상기할 필요가 있다. 보다 상세한 내용은 FCA(2018b)를 참조한다.
87) 예를 들면 최초 경영자로 취임시에는 즉시 전임자의 인수인계서류를 검토하여 회사의 잠재적 도전과 이슈들을 파악하여야 하며, 재직시에는 경영진이 내린 중요 의사결정을 도전하고 꼼꼼히 검토하여 비즈니스가 부주의하게 운영되지 않도록 하여야 하며, 사안에 대하여 숙고하도록 요청함으로서 신중하고 또 신중하게 의사결정이 이루어지도록 할 필요가 있고 경영정보에 관해 매우 적극적으로 제공받을 수 있어야 하며 권한을 위임한 경우에도 적극적으로 감시감독을 하여야 하며(예컨대 정기적 미팅을 개최하고 매일 업데이트하며 보고를 받아야 한다) 위임받은 대로 하고 있는지 체크하고 보고받아야 한다. 또한 자신의 책임부문이 아니라 하더라도 회사의 사업관련 리스크를 이해하는데 도움이 되도록 다른 임원의 영역에 대해서도 파악하고 세심한 관심을 가지는 것이 요구된다. 아울러 이슈가 중대한 경우 지배구조위원회나 이사회에 바로 상정하여야 하며 회사가 직면한 위험을 효과적으로 관리하고 감소시키는데 필요한 직원 내지 정보가 부족한 경우 합리적인 조치를 위하는데 미비하였다고 판단될 수도 있다. 이에 관해서는 Walker Morris(2019)를 참고한다.
88) 정대(2006)를 참조한다. 
89) 매일경제(1995. 9. 29)를 참조한다.
90) 중앙일보(1996. 6. 15)를 참조한다.
91) 고영진(2014), 박노일(2013)을 참조한다.
92) 일본 회사법 제348조 제3항 제4호, 동법 제362조 제5항, 제416조 제2항을 참조한다.
93) 일본 회사법 시행규칙 제118조 제2호를 참조한다.
94) 이하 박정수(2006) 참조.
95) 일본 회사법 제976조 제7호을 참조한다. 
96) 일본 회사법 제207조 제2항을 참조한다. 
97) 금융상품거래법 제24조의4 제1항을 참조한다. 
98) 금융상품거래법 제193조의2 제2항을 참조한다.
99) 금융상품거래법 제197조의2 제5~6호와 동법 제207조 제2항을 참조한다.
100) (구)기촉법 제4조 제1항을 참조한다.
101) (구)기촉법 제5조 제1항을 참조한다.
102) 상법 제542조의13 제1~3항을 참조한다.
103) (구)은행법 제23조의3을 참조한다.
104) 자본시장법 제28조 제1항을 참조한다.
105) 이때 금융투자회사에는 투자자문업자와 투자일임업자는 제외한다.
106) 자본시장법 제28조 제2항을 참조한다.
107) 지배구조법 제24조 제1항을 참조한다.
108) 지배구조법 제24조 제2항을 참조한다.
109) 지배구조법 제25조 제1항을 참조한다.
110) 지배구조법 시행령 제19조 제1항을 참조한다.
111) 금융회사 지배구조 감독규정 제11호 제1항 및 별표2을 참조한다.
112) 금융회사 지배구조 감독규정 제11호 제2항 및 별표3을 참조한다.
113) 지배구조법 제43조 제1항 제17호를 참조한다.
114) 지배구조법 제35조 제1~2항을 참조한다.
115) 금융회사 검사 및 제재에 관한 규정 제17조 제1항 제7호 다목을 참조한다.
116) 금융회사 검사 및 제재에 관한 규정 제19조 제1항 제2호를 참조한다.
 
 
참고문헌

고영진, 2014, 외국의 금융회사 내부통제 관한 검토, 『법과 기업연구』 4(1), 179-210.
금융감독원, 2018. 10, 금융기관 내부통제 제도 혁신 보고서, 금융기관 내부통제 제도 혁신 T/F.
김경록, 2016, 내부통제에 관한 법적 문제점 및 개선방안에 관한 연구, 한양대학교 법학 박사학위논문.
김유니스, 2014, 금융회사임직원의 감독책임제도 도입에 대한 고찰 – 미국법의 사례를 참고하여, 이화여자대학교 『법학논집』 18(3), 197-237.
매일경제, 1995. 9. 27, 다이와은행 투자손실사건 파문(이모저모).
박노일, 2013, 외국의 사례를 통해 본 우리나라 주식회사의 내부통제제도 도입을 위한 연구, 『국제법무』 5(2), 99-127.
박정수, 2006, 『기업의 내부통제제도에 관한 비교법적 연구』, 한국법제연구원 비교법제연구 2006-17.
안수현, 2002, 미국 증권법상의 감독자책임, 서울대학교 『법학』 43(1), 436-464.
안수현, 2011, 기업지배구조와 규제간의 상관성 모색: 영국의 기업지배구조법제 변천에 기초하여, 『상사판례연구』 24(1), 43-100.
안수현, 2021, 4, 금융회사의 내부통제 개선 방향: 법적 제언, 자본시장연구원 정책세미나.
이석훈, 2020, 해외 주요국 정보교류차단장치 규제 현황 및 시사점, 자본시장연구원 이슈보고서 20-06.
이진국, 2010, 기업범죄의 예방수단으로서 준법감시인제도(Compliance)의 형법적 함의,『형사정책연구』 21(1), 65-89.
정대, 2006, 일본의 신회사법상의 주식화시 내부통제시스템에 관한 연구, 『상장협연구』, 54, 138-175.
중앙일보, 1996. 6. 15, 회사 몰래 구리거래 18억불 손실.
Arlen, J., Kraakman, R., 1997, Controlling corporate misconduct: An analysis of corporate liability regimes, New York University Law Review 72, 687-779.
Arlen, J., 2008, The story of allis-chalmers, caremark, and stone: directors’evolving duty to monitor, New York University School of Law & Economics Research Paper Series Working Paper No. 08-57.
Arlen. J., 2012, The Failure of the Organization Sentencing Guidelines, U. Miami Law Review 66, 321-362.
Arlen. J., 2012, Corporate criminal liability: theory and evidence, In Research Handbook on the Economics of Criminal Law, 144-203.
Becker, G., 1968, Crime and punishment: an economic approach, Journal of Political Economy 76, 169-217.
BIS, 1998, Framework for Internal Control Systems in Banking organization.
Bovill, 2020, Only 34 Investigations and One Enforcement Action after Four and a Half Years of SMCR.
Brown Rudnick, 2014, Alert: Change to the Approved Persons Regime- the Biggest Shake up for a Decade.
Cadbury, A., 1992, The Committee on the Financial Aspects of Corporate Governance.
CMS, 2012, Senior Management and the Limits of Personal Responsibility-Lessons from the FSA’s Pottage and Cummings cases.
COSO, 1992, Internal Control-Integrated Framework.
Deloitte, 2015, 英国における金融機関等役職員の個人責任強化規制への対応.
Department for Business, Energy & Industrial Strategy, 2021, Restoring Trust in Audit and Corporate Governance.
Fanto. J., 2014, Surveillant and counselor: A reorientation in compliance for broker-dealers, Bringham Young University of Law Review 2014(5), 1121-1184.
Fanto. J., 2015, The vanishing supervisor, The Journal of Corporation Law 41, 117-165.
FCA, 2014, Tackling Serious Failing in Firms: A Response to Special Measures Proposal of the Parliamentary Commission on Banking Standards.
FCA, 2016a, Guidance on the Duty of Responsibility : Amendments to the Decision Procedure and Penalties Manual, Consultation Paper, CP 16/26.
FCA, 2016b, Guidance on the duty of responsibility: amendments to the Decision Procedure and Penalties Manual, CP 16/26, Consultation Paper.
FCA, 2018a, FCA and PRA Jointly Fine Mr. James Staley 642,430 and Announce Special Requirements regarding Whistleblowing Systems and Controls at Barclays.
FCA, 2018b, Final Guidance: the Duty of Responsibility for Insures and FCA Solo-Regulated Firms, Policy Statement, PS 18/16.
FCA, 2018c, Policy Statement Final Guidance: the Duty of Responsibility for Insurers and FCA Solo-Regulated Firms (PS18/16).
FCA, 2019, Guide for FCA solo-regulated firms.
FCA, 2021, FCA Handbook DEPP 6.2 Deciding whether to take action Action against an SMF manager under section 66A(5) of the Act.
FSA, 2009, The Turner Review : A Regulatory Response to the Global Banking Crisis.
Gadinis. S., 2012, The SEC and the financial industry: Evidence from enforcement against broker-dealers, The Business Lawyer 67, 679-728.
Green, J., Johnston, L., Williams, B., 2020, Corporate Governance in Financial Institutions, Compliance Officer Bulletin, Issue 180, Thomson Reuters.
Greenbury, S.R., 1995, Study Group on Directors’ Remuneration. Final Report Greenbury Report.
Hampel, S.R., 1998, Committee on Corporate Governance: Final Report.
Higgs, D., 2003, Review of the Role and Effectiveness of Non-executive Directors.
House of Lords, House of Commons, 2013, Changing Banking for Good: First Report of Session 2013-2014.
Johnson, K., 2011, Addressing gaps in the dodd-frank act: directors’ risk management oversight obligations, University of michigan journal of law reform 45, 55-112.
Kirsch, C. 2011, Legal/Compliance Officer Liability, Sutherland Asbill & Brennan LLP memo.
Korotana, M.S., 2016, The Financial services (Banking Reform) act 2013: Smart regulatory regime? Statute Law Review, 37(3), 195-211.
Kowaleski, Z., Cannon, N., Schnader, A., Bedard, J., 2018, The continuing evolution of auditor reporting in the broker-dealer industry: issues and opportunities, Current Issues in Auditing 12, A12-A25.
Langevoort, D., 2006, Internal controls after Sarbanes-Oxley: revisiting corporate law’s “duty of care as responsibility of systems”, The Journal of Corporate Law 31, 949-973.
Laming, H., Queree, N., 2013, FSA V. UBS: will big fines change banks’ attitudes to risk management? Butterworths Journal of International Banking and Financial Law.
PRA, 2014a, Statement of Policy: The Use of PRA Powers to Address Serious Failings in Culture of Firms.
PRA, 2014b, Strengthening Accountability in Banking: A New Regulatory Framework for Individuals, CP14/14.
PRA, 2018, Supervisory Statement: Strengthening Individual Accountability in Banking, (SS28/15).
PRA, 2020, Evaluation of the Senior Managers and Certification Regime.
SEC, 1992, Exchange Act Release No. 34-31554, In the matter of John H. Gutfreund, Thomas W. Strauss, and John W. Meriwether, Respondents, Administrative Proceeding File No. 3-7930.
SEC, 2001, Report of investigation persuant to section 21(a) of the Securities Exchange Act of 1934 and commission statement on the relationship of cooperation to agency enforcement decisions, Exchange Act Release No. 44969.
SEC, 2018, In the Matter of the Application of Thaddeus J. North for Review of Disciplinary Action Taken by FINRA, Release 34-84500.
Seligman, J., 2005, A modest revolution in corporate governance, Notre Dame Law Review 80, 1159-1185.
Shalchi, A., 2021, Executive Accountability in Financial Services: the Senior Managers and Certification Regime.
SIFMA, 2013, The Evolving Role of Compliance, SIFMA White Paper.
Simmons-simmons, 2016, Guidance on the Duty of Responsibility in the Context of the UK Senior Managers Regime.
Smith, S.R., 2003, Audit Committees, Combined Code Guidance.
UK Government, 2011, Independent Commission on Banking : Final report.
UK Government, 2012, John Pottage v. Financial Services Authority: FS/2010/33.
Walker Morris, 2019, The Duty of Responsibility and Demonstrating Reasonable Steps.
 
카드뉴스
카드뉴스
카드뉴스
카드뉴스
카드뉴스
카드뉴스
카드뉴스
카드뉴스