박준연 미국변호사의 미국법 실무(8) / 조직의 컴플라이언스 프로그램 구축과 리스크 평가
상태바
박준연 미국변호사의 미국법 실무(8) / 조직의 컴플라이언스 프로그램 구축과 리스크 평가
  • 박준연
  • 승인 2019.04.26 11:28
  • 댓글 1
이 기사를 공유합니다

박준연 미국변호사
 

들어가며

최근 컴플라이언스 프로그램에 대한 관심이 높아지는 데에는 두 가지 이유가 있다. 법률과 규제 위반에 대한 각국 정부의 제재 수위가 높아지면서, 위반을 사전에 예방하는 내부 시스템을 구축하여 위반 가능성을 사전에 차단하는 활동의 중요성이 커지게 된 것이 첫번째 이유이다.

두번째로는, 위반이 발견되어 제재를 결정하는 과정에서도 적절한 컴플라이언스 프로그램이 실시되는 경우, 이를 감안하여 제재 수위를 완화하는 정책을 채택하는 정부 기관이 늘어나고 있기때문이다. 따라서, 조직의 리스크를 고려하여, 조직의 예산과 인력의 제한 범위 내에서 컴플라이언스 프로그램을 구축할 필요성이 점차 커지고 있는 것이다.

컴플라이언스 리스크의 평가

컴플라이언스 프로그램을 구축하는 데 있어서 리스크 평가 (risk assessment)가 전제되어야 하는 이유는, 조직의 제한된 자원을 최대로 이용하기 위해서이다. 미국 법무부의 FCPA 가이드 (A Resource Guide to the U.S. Foreign Corrupt Practices Act)는 천편일률적인 컴플라이언스 프로그램은 위험성이 적은 분야에 지나치게 집중하는 한편, 반대로 위험성이 높은 분야에는 충분한 주의를 기울이지 않는다는 측면에서 비효율적이라고 하면서 리스크 평가의 중요성을 강조하고 있다.

첫번째 단계 – 조직의 이해

조직에 어떠한 법, 규칙이 적용되는지, 그 법규 위반을 어떻게 피할 수 있을지에 대한 구체적인 고민에 선행하여, 조직 자체를 이해하는 것이 컴플라이언스 프로그램 구축의 첫 단계이다. 조직의 목적은 무엇인지, 같은 업계의 유사한 조직과 비교할 때 조직의 특징은 무엇인지, 조직의 운영은 어디에서, 누구에 의해 이루어지는지에 대한 이해가 리스크 평가의 전제라고 할 수 있다.

조직 운영에 내재된 컴플라이언스 리스크의 이해

조직 자체에 대한 이해를 바탕으로 한 리스크 평가의 다음 단계는 조직 운영에 내재된 리스크를 이해하는 것이다. 조직의 구성원이 여러 국가에 위치하여 있으면 있을수록 다양한 법규에 노출된다. 상품의 종류가 다양하거나, 군용으로 전용될 가능성이 있는 상품을 취급하는 경우, 관련 규제가 다양하고 또 복잡해질 수 있다.

조직 내에서 IT 시스템을 직접 관리하는 경우에 비교할 때, IT 시스템 구축과 관리를 외주하거나 다양한 데이터 센터와 업체를 통해 관리하는 경우가 데이터 관련 법령 위반과 관련된 리스크가 더 커질 수 있다. 영업 직원의 급여가 인센티브에 좌우되는 비중이 클수록, 실적 향상을 위해 법령을 위반할 가능성이 높아질 수 있다. 다수의 외주 업체를 이용하는 경우, 외주 업체의 컴플라이언스 위반 행위에 대한 조직의 직접 통제가 어려울 수 있다.

조직의 컴플라이언스 의무에 대한 이해

이상의 이해를 마친 후에는 면담, 조직 관련 언론 보도 내용의 파악, 감사 (audit), 관련 기술 활용을 통해 조직이 준수해야할 구체적인 법령에 대해 파악할 필요가 있다. 이를 바탕으로 조직이 준수해야 할 규범과 그 준수 방안을 시스템으로 구축할 필요가 있다. 그 내용으로는 규범의 내용, 구체적인 준수 사항, 과거 위반 사례, 관련된 조직 업무와 부서, 적용할 통제 사항, 담당자, 준수 활동 내용의 기록 보존 방법 등이 포함되어야 한다.

이런 내용을 준비하는 과정에서, 기존에 존재하는 컴플라이언스 관련 지침을 참조할 필요가 있다. 컴플라이언스 프로그램이 미비한 조직이라도 최소한의 지침조차 없는 조직은 드문 편이다. 컴플라이언스 지침이 있다면, 조직의 과거 운영을 바탕으로 비교적 중요한 분야를 내용으로 다룰 가능성이 큰 만큼, 이를 참조하는 것이 중요하다.

미국 법무부의 컴플라이언스 프로그램 평가 기준

미국 법무부뿐만 아니고, 여러 정부 기관, 각국 변호사회 등은 컴플라이언스 프로그램 작성과 관련한 지침을 수립하고 있다. 미국 법무부의 기업 컴플라이언스 프로그램 평가 (DOJ Evaluation of Corporate Compliance Programs)는 컴플라이언스 프로그램에 포함될 내용의 사례로 이하와 같은 사항을 제시하고 있으므로, 컴플라이언스 프로그램을 계획하는 단계에서부터 참고하고, 컴플라이언스 관련 문제가 발생하여 정부 기관, 특히 미국 정부의 조사를 받게 되는 경우, 그 구체적인 내용을 설명할 필요가 있다.

1. 해당 위반 사항의 분석과 개선 (Analysis and Remediation of Underlying Misconduct)

위반사항의 근본 원인 분석. 위반사항을 사전에 파악하기 위한 감사, 조사 등의 절차. 해당 위반사항, 유사한 위반사항을 방지하기 위해 수행된 개선 조치.

2. 중간, 고위 경영진 (Senior and Middle Management)의 관여

조직 경영진이 해당 위반사항을 장려 또는 저지하였는지의 여부. 컴플라이언스 및 위반사항 개선을 위한 조직 경영진의 활동. 경영진과 다른 행위자 (매니저, 재무, 조달, 법무, 인사 부문 등)들이 컴플라이언스 위반사항 개선을 위해 취한 구체적 조치. 이사회의 컴플라이언스와 관련된 전문성. 이사나 외부 감사인 등이 참여하는 컴플라이언스 관련된 경영진 회의 개최.

3. 컴플라이언스 부문의 독립성과 자원 (Autonomy and Resources)

조직내 컴플라이언스 부문의 위반사항과 관련된 의사결정 과정 및 트레이닝 참여. 컴플라이언스 부문의 직급, 보수 수준 등의 대우와 예산, 조직의 주요 의사 결정 과정에 대한 참여. 컴플라이언스 담당자들의 역할과 책임에 상응하는 경험과 자격 유무. 컴플라이언스 부문이 이사회에 직접 보고할 수 있는지의 여부. 컴플라이언스 담당자의 직무 평가, 기본급, 보너스, 승진 등의 결정 권한. 컴플라이언스 담당자의 독립성 보장. 컴플라이언스 부문에서 위반행위의 가능성에 대해 우려를 제기하는 경우, 조직 내 대응 절차. 컴플라이언스 부문에 할애하는 인원과 예산. 컴플라이언스 기능의 일부 혹은 전부를 외주하는 경우, 외부 컴플라이언스 팀과 조직의 관계.

4. 컴플라이언스 관련 지침과 절차 (Policies and Procedures)

컴플라이언스 관련 조직 내부 지침과 절차의 존재 여부 및 결정 과정. 지침 및 절차와 관련된 트레이닝, 유용성 평가. 내부 지침과 절차의 실행 과정. 위반행위 예방 및 발견을 위한 통제 (control) 절차. 위반행위 발생과 관련된 허가 절차, 문제 제기 절차. 외부 업체가 위반행위에 관여한 경우, 외부 업체 선정 절차.

5. 리스크 평가 (Risk Assessment)

리스크 식별, 분석, 해결 절차. 위반 행위 관련 정보 수집 절차.

6. 트레이닝과 의사소통

트레이닝의 내용. 위반 가능성이 높은 조직원들을 대상으로 상응하는 트레이닝이 실시되었는지 여부. 누가 어떠한 내용의 트레이닝을 받을지에 대한 분석, 결정 내용. 대상에 부합하는 형식과 표현 방식 사용 여부. 트레이닝 후 유용성 평가 여부. 위반 행위 발생시 고위 경영진이 그 내용에 대해 설명하였는지 여부와 설명 내용. 컴플라이언스 관련 내부 지침에 대한 의문이 있을 경우 참고 자료 제공 및 대응 여부.

7. 비공개 보고 및 조사

조직이 컴플라이언스 관련 정보를 수집하고 분석, 이용하는 방법. 컴플라이언스 부문이 보고, 조사된 정보에 100% 접근 가능한지 여부. 독립성을 갖춘 적절한 조사과정. 조사 과정이 근본 문제, 시스템상 결함, 책임성의 결함 등을 식별하고 조사 결과가 조직의 고위층까지 보고되는지 여부.

8. 인센티브 및 제재 조치

위반행위에 대한 제재 조치의 내용 및 위반행위에 대한 감독 책임을 묻는지 여부. 제재 조치의 결정 과정. 제재조치의 일관적인 집행 여부. 윤리적 행동에 대한 인센티브 제공.

9. 계속적인 개선, 정기적 검토

위반행위와 관련된 문제를 발견하기 위해 감사를 실시, 결과를 보고하는지 여부. 리스크 평가 과정을 개선하고 컴플라이언스 지침, 절차를 검토하는지 여부.

10. 제3자의 관리

컴플라이언스 리스크에 적합한 제3자 관리 절차. 제3자와의 계약, 비용지불 절차 등에 대한 적절한 통제 절차. 제3자의 활동 평가와 트레이닝. 제3자에 대한 조사 (due diligence)와 조사 과정에서 발견된 컴플라이언스상 문제점에 대한 처리.

11. M&A
M&A 과정에서 컴플라이언스 리스크 조사. 컴플라이언스 부문의 M&A 과정 참여. 새로이 추가된 조직에 대한 컴플라이언스 지침 실행.

맺으며

컴플라이언스 프로그램의 운영을 통하여 조직 내에 컴플라이언스의 문화가 정착되면, 컴플라이언스 프로그램의 계획, 내부 지침과 절차 제정 및 개정, 트레이닝을 비롯한 조직원과의 의사소통, 모니터링 과정 전반의 운영이 용이해질 수 있다. 하지만, 조직은 리더십의 변화, M&A 등을 통해 끊임없이 변화하는 만큼, 컴플라이언스 문화도 고정적인 것은 아니다.

조직의 성격과 운영 방향을 이해하고, 관련 법규를 이해하여 컴플라이언스 프로그램을 구축하고, 변화하는 조직에 맞추어 이를 업데이트해 나가는 것은 조직의 컴플라이언스 부문은 물론이고 조직을 돕는 외부 변호사에게도 큰 도전이다.

조직이 직면한 컴플라이언스 상 과제에 특화하여 자문, 내부 지침 마련, 트레이닝 프로그램과 내부 조사 절차 과정 마련에 대해서는 외부 변호사의 전문성이 기여를 할 수 있으나, 조직의 현재 상황과 미래 비전의 이해는 조직 내부에 있는 컴플라이언스 및 법무 부문의 과제라고 할 수 있는 만큼, 외부 변호사와 조직 내부 컴플라이언스, 법무 부문의 협업이 특히 중요하다고 할 수 있다.

박준연 미국변호사는...
2002년 서울대학교 정치학과를 졸업하고 2003년 제37회 외무고시 수석 합격한 재원이다. 3년간 외무공무원 생활을 마치고 미국 최상위권 로스쿨인 NYU 로스쿨 JD 과정에 입학하여 2009년 NYU 로스쿨을 졸업했다. 2010년 미국 뉴욕주 변호사 자격을 취득한 후 ‘Kelley Drye & Warren LLP’ 뉴욕 사무소에서 근무했다. 현재는 세계에서 가장 큰 로펌 중의 하나인 ‘Latham & Watkins’ 로펌의 도쿄 사무소에 근무하고 있다.
필자 이메일: jun.park@lw.com

xxx

신속하고 정확한 정보전달에 최선을 다하겠습니다.
이 기사를 후원하시겠습니까? 법률저널과 기자에게 큰 힘이 됩니다.

“기사 후원은 무통장 입금으로도 가능합니다”
농협 / 355-0064-0023-33 / (주)법률저널
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 1
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
ㅁㄴㅁㄴㅁ 2019-04-27 02:02:39
글 올라올때마다 잘 읽고 있습니당

공고&채용속보
이슈포토