ENG

발간물

자본시장포커스

금융회사의 내부통제 개선 방향
2021 05/03
금융회사의 내부통제 개선 방향 2021-09호 PDF
요약
미국 등 주요국은 강한 감독자 책임을 전제로 하여 내부통제를 제재 목적이 아닌 제재 경감에 대한 인센티브 수단으로 활용하고 있다. 반면 한국은 행정규제 위반시 최종감독자까지 책임을 부과하는 것이 상대적으로 어려워, 지배구조법에 근거하여 내부통제 소홀 마련 건으로 CEO까지 제재할 수 있도록 규정을 마련하고 있다. 한국 금융회사는 내부통제를 규제로 인식하고 있음에도 불구하고, 상당수 금융회사들이 내부통제를 전사적 운영리스크 관리의 개념이 아닌 컴플라이언스 준수로 이해하여 내부통제기준 마련 및 준수에 소극적으로 대응하고 있다. 금융회사가 스스로 유인을 갖고 내부통제 강화에 노력을 기울이려면, 첫째 감독자 책임을 강화하고, 둘째 내부통제를 제재 경감에 대한 인센티브 수단으로 활용하며, 셋째 금융회사의 ‘내부통제 마련 의무‘는 법률이 아닌 자율규제로 유도하는 방안이 바람직하다.
금융회사 내부통제의 개념

내부통제는 규제, 감독 등 외부통제의 한계를 극복하기 위해 외부통제를 내부화한 개념이다. 미국 등 주요국은 지능화되고 있는 금융 범죄를 사전에 예방하고 임직원의 윤리 경영을 유도하기 위해 금융회사로 하여금 내부통제 강화를 유도해왔다. 한국은 2017년 「금융회사의 지배구조에 관한 법률」(이하 지배구조법) 시행으로 금융회사로 하여금 법령을 준수하고, 경영을 건전하게 하며, 주주 및 이해관계자 등을 보호하기 위하여 금융회사의 임직원이 직무를 수행할 때 준수하여야 할 기준 및 절차(이하 ‘내부통제기준’)를 마련할 의무를 부여했다.1) 즉 내부통제는 법규 준수, 재무보고 신뢰 및 경영 효율성 제고를 위한 모든 활동을 뜻하며 ‘전사적 운영리스크 관리’의 개념으로 발전해왔다. 주요 금융업권의 표준내부통제기준에서도 컴플라이언스 준수, 소비자 보호, 내부회계 관리, 리스크관리, 정보 보호, 자금세탁방지 등 금융회사의 모든 업무를 내부통제 대상으로 정의하고 있다.

주요국 감독당국이 내부통제를 ‘전사적 운영리스크 관리’의 개념으로 발전시킨 반면, 국내외 금융회사는 내부통제를 ‘컴플라이언스 준수‘ 등 좁은 의미로 인식해왔다. 세계화와 ICT 기술의 발전으로 금융회사의 업무 범위가 넓어지고 복잡해진 가운데 금융사고 발생도 끊이지 않았다. 대표적인 내부통제 미흡 사례로는 1995년 파산한 베어링스은행 사례를 꼽을 수 있다. 1990년대초 베어링스은행 본점은 싱가포르 지점의 고위험 파생상품 전략의 잠재 위험과 해당 포지션의 누적 손실 규모를 제대로 인지하지 못함에 따라 파산하는 지경까지 이르렀다. 2002년초 엔론의 회계부정 사건, 2008년 글로벌 금융위기 당시 대형 투자은행들의 고위험 파생상품 투자 손실, 2011년 MF글로벌의 폰지 전략 사기, 2013년 국내 모 증권회사의 옵션 주문실수, 최근 사모펀드 관련 대규모 손실사건 등은 모두 내부통제 미흡 사례에 해당된다. 이와 같은 내부통제 미흡 사례가 끊이지 않는 근본 원인은 금융회사가 내부통제를 ’전사적 운영리스크 관리‘의 개념으로 인식하지 않고, 내부통제 강화에 소극적으로 대응해왔기 때문이다.
 
이에 본고에서는 감독당국과 금융회사의 내부통제 인식의 차이와 주요국 내부통제 제도를 소개하고, 이를 통해 국내 금융회사의 내부통제 개선 방향을 제시하고자 한다. 


감독당국과 금융회사의 내부통제에 대한 인식

감독당국은 금융회사 CEO에게 법적 책임을 부과하지 않고는 금융회사의 건전 경영과 금융소비자 보호는 달성하기 어려운 목표라는 인식을 가지고 있다. 최근 금융당국은 주요 금융회사가 DLF, 사모펀드를 판매하는 과정에서 내부통제기준을 실효성 있게 마련하지 못하였다고 판단하여 해당 금융회사의 CEO에게 ‘문책 경고’, ‘주의적 경고’ 등의 조치를 내렸다. 금융회사는 지배구조법 제24조 제1항에 의해 내부통제기준을 충실히 마련하고 준수하여야 함에도 불구하고, 상당수 금융회사는 내부통제기준을 실효성 있게 마련하지 못했다는 것이다. 이에 감독당국은 지배구조법에 근거하여 CEO까지 제재하는 것은 합당하다는 입장이다. 
반면 금융회사는 내부통제가 자율규범적 속성을 가짐에도 불구하고, ‘내부통제기준 마련 의무’를 법률로 강제하는 것은 바람직하지 않다는 인식을 가지고 있다. ICT 기술의 발전으로 금융회사의 업무범위가 넓어지고, 비금융 데이터의 활용이 증가하고 있어 금융 사고를 100% 예방할 수 있는 완벽한 내부통제기준을 갖추는 것은 어렵다는 주장이다. 또한 지배구조법에서 명시한 ‘내부통제기준 마련 의무’는 선언적 의미로서, 사회적 이슈가 되는 금융사고 발생시 내부통제기준을 소홀히 마련했다는 이유로 CEO까지 제재하는 것은 다소 과하다는 입장이다.

 
주요국 내부통제 제도의 소개 

내부통제 제도의 시초로 알려진 미국은 행정규제의 한계를 극복하기 위해 외부통제의 내부화 방안으로 내부통제를 발전시켜왔다. 1930년대 이후 화이트칼라 범죄가 증가한 가운데, 이를 사전에 적출하고 금융범죄를 완벽히 예방하는 것은 어렵다는 인식을 갖게 되었다. 이에 미국 정부는 양형 기준 강화를 통해 엄격한 제재를 부과했다. 행정규제를 위반한 경우 엄격한 민사 제재금을 부과하는 대신, 내부통제를 충실히 마련하고 준수하면 민사 제재금을 경감 받는 등 인센티브 제시 수단으로 내부통제를 활용했다. 또한 금융회사 임직원의 윤리 경영을 유도하여 금융 사고를 선제적으로 예방하기 위해 CEO 및 중간관리자에게 법적 책임을 부과하는 등 감독자 책임을 강화해왔다.
 
‘내부통제기준 마련 의무’와 관련해서는 미국, 일본과 한국이 규제 강도 면에서 다소 차이가 난다. 미국, 일본은 한국 지배구조법과 동등한 수준에서 법률로 현대적 의미의 ‘내부통제기준 마련 의무’를 갖추었다고 보기 어렵다. 미국, 일본은 각각 Sarbanes-Oxley법과 회사법에서 내부통제 시스템 구축 의무 등을 부과하고 있는데, 이때 내부통제의 범위는 내부회계관리 준수 의무에 국한된 것으로 전사적 운영리스크 관리의 개념과는 다소 차이가 난다. 즉, 미국, 일본의 경우 전사적 운영리스크 관리의 개념으로 ‘내부통제 마련 의무’를 법률로 규율하지 않은 것은 내부통제는 법으로 강제할 수 없다는 철학이 반영된 결과로 보인다.
 
내부통제 관련 제재에서도 주요국과 한국은 큰 차이가 있다. 미국의 경우 금융회사 임직원이 주요 행정규제를 위반한 경우 금융회사도 통상 엄중한 민사 제재금을 부과 받는데, 이때 금융회사가 내부통제를 충실히 마련하고 준수한 것으로 인정을 받으면 민사 제재금을 경감 받을 수 있다. 흥미로운 점은 금융사고가 발생한 이후라도 금융회사가 내부통제기준 마련 및 준수 노력을 인정받으면 민사 제재금을 경감 받을 수 있다. 미국이 내부통제를 제재 경감에 대한 인센티브 수단으로 활용하는 것과 달리, 한국은 내부통제를 제재 목적으로 활용한다. 한국에서는 금융회사 임직원의 행정규제 위반여부와 관계없이 내부통제를 실효성 있게 마련하지 못한 것으로 확인되면 임직원뿐 아니라 CEO까지 제재할 수 있도록 규정하고 있다.

CEO 등 감독자 책임 관련해서도 주요국과 한국에서 차이가 난다. 미국은 임직원의 행정규제 위반시, 감독자가 위법 행위자에 대한 감독의무를 소홀히 하면 중간감독자 또는 최종감독자, 그리고 금융회사에 대해 민사 및 형사상 책임을 부여할 수 있다. 이때 감독소홀의 범위는 고의로 감독을 소홀히 하거나 행위자와의 공모, 위력 행사 등이 포함되며, 위반행위, 감독소홀의 범위에 따라 중간감독자 또는 최종감독자까지 최종 책임을 부과할 수 있다. 반면 한국은 행정규제 위반시 CEO 등 최종감독자에게 책임을 부과하는 것이 상대적으로 어려워, 지배구조법에 근거해 내부통제기준 소홀 마련 건으로 CEO까지 책임을 부과할 수 있도록 규정하고 있다. 다만 지배구조법에서 명시한 ‘내부통제기준 마련 의무’ 관련해서 소홀 마련의 범위가 주관적이며, 법제에 근거한 책임자 범위가 모호하다는 지적이 있다.
 
이상을 요약하면 미국 등 주요국은 내부통제를 전사적 운영리스크 관리의 개념으로 발전시켜왔다. 특히 미국은 강한 감독자 책임을 전제로 하여, 내부통제를 제재 경감에 대한 인센티브 수단으로 활용하고 있으며 법률로 ‘내부통제 마련 의무’를 강제화하는 대신 자율 규범으로 내부통제 강화를 유도하고 있다. 반면 과거 한국의 금융회사는 내부통제를 컴플라이언스 준수 등 좁은 의미로 해석하고, 내부통제에 대해 수동적이며 획일적으로 대응해왔다. 


금융회사 내부통제의 개선 방향

금융회사가 스스로 유인을 갖고 내부통제 강화에 노력을 기울이게 하기 위한 세 가지 정책 방향을 제시한다. 첫째 CEO 등 감독자 책임을 강화하고, 둘째 내부통제를 제재 목적이 아닌 제재 경감에 대한 인센티브 수단으로 활용하며, 셋째 ‘내부통제 마련 의무’는 법률이 아닌 자율규제로 유도하는 방안을 제시한다.
 
우선 CEO 등 감독자 책임을 강화하기 위해서는 임직원의 행정규제 위반시 감독자가 감독 의무를 소홀히 한 경우 중간관리자 또는 CEO까지 책임을 부과할 수 있도록 규정 마련을 검토할 필요가 있다. 미국의 사례를 참고하여 감독자의 범위, 감독 의무 소홀의 유형 등을 구체적으로 명시할 필요가 있다. 또한 사안의 중요성, 사전에 명시한 임직원의 역할 및 책임의 범위에 따라 각각 중간관리자, 컴플라이언스 담당 임원, CEO 등 단계별로 최종 책임을 부과하는 것을 고려할 필요가 있다.
 
다음으로 내부통제를 제재 목적이 아닌 제재 경감에 대한 인센티브 수단으로 활용해야 한다. 이를 위해 내부통제를 충실히 마련하고 준수하는 경우 인적 제재, 행정 과징금 등을 감면할 수 있도록 면책 제도를 마련할 필요가 있다. 설령 금융사고가 발생한 이후라도 내부통제기준을 개선하고 준수를 위한 노력을 충분히 했다고 인정되면 일정 부분 제재를 경감해주는 제도도 고려할 필요가 있다. 다만 내부통제를 인센티브 수단으로 활용하려면 제재 방식을 인적 제재에서 금전 제재 중심으로 바꾸어야 한다. 행정 과징금 제도를 강화하고, 과징금 부과 수준도 높여 실효성 있는 제재 제도를 마련하는 것이 뒷받침되어야 한다.
 
마지막으로 ‘내부통제기준 마련 의무’는 법률로 강제화하기보다 장기적으로 자율규제로 유도하는 것이 바람직하다. 내부통제는 본래 외부통제의 내부화 수단으로, 외부통제의 경제적 기능을 금융회사에게 자율로 위임한 것에서 출발한다. 즉 금융회사의 내부통제 강화를 자율 규범으로 유도하기 위해 지배구조법에서 명시한 ‘내부통제기준 마련 의무’는 선언적 의미로써 활용하거나 장기적으로 삭제하는 방향을 검토할 필요가 있다. 행정규제 위반시 감독자 책임을 강화하고, 내부통제 충실 마련시 인센티브를 부여하면 금융회사 스스로 유인을 갖고 내부통제기준 마련과 준수에 최선의 노력을 다할 것으로 기대할 수 있다. 더하여 금융회사 전체적으로 내부통제 역량의 강화를 유도하기 위해 내부통제 개선 현황 등 주요 내용을 감독당국에게 보고하고 업계 전체에게 공유하는 방안을 검토할 수 있다. 금융회사의 내부통제 역량 강화를 유도하기 위해 미국 사례를 본받아 내부통제 담당 임직원을 대상으로 내부통제 교육을 확대하고, 전문 자격증 제도 도입도 고려할 수 있다.
 
1) 지배구조법 제24조 제1항