책무구조도 도입의 의의 및 향후 과제 > News Insight

크고 작은 금융사고들이 빈번히 발생해 온 가운데, 금융회사의 내부통제 책임 강화를 위해 임원의 책무구조도 도입을 주요 골자로 한 금융회사의 지배구조에 관한 법률(이하 지배구조법) 개정안이 2024년 7월부터 시행될 예정이다.1)

 본 고는 책무구조도 도입의 의의와 함께 도입 후 내부통제의 실질적 제고를 위해 감독당국이 고민해야 할 과제를 살펴본다.

책무구조도 도입 배경 및 개요

금융사고는 통상 업무상 미흡 또는 임직원의 도덕적 해이 등에 따른 운영위험(operational risk) 관리의 실패로부터 비롯된다. 따라서 금융사고는 재무건전성이 좋은 회사에서도 얼마든지 발생할 수 있으며, 해외에서는 운영위험 관리 실패에 따른 금융사고로 회사가 파산에 이른 사례도 있다. 그런데 운영위험은 재무적 위험과는 달리 정량화하기 어렵고 금융회사의 특성 및 사업부문 등에 따라 중점 관리해야 하는 위험 유형이 다를 수 있어 회사 자체적인 내부통제 노력이 중요하다. 금융당국도 내부통제에 대해서는 획일적 모델 대신 금융규제를 통해 달성하려는 목적 및 내부통제 기준 마련 의무만을 규정2)하고 구체적인 준수 방법을 개별회사가 스스로 정하도록 하는 원칙중심규제(principle-based regꠓulation)를 적용해 왔다. 

그런데 금융사고가 거듭 발생하는 과정에서 내부통제 중요성에 대한 임직원의 인식, 금융회사 내부의 업무 프로세스 관리 및 조직문화 등에서 많은 미흡함이 드러나고 기본적 내부통제마저 제대로 작동하지 않은 사례가 많이 발견되었다. 특히 많은 경우 경영진과 이사회가 내부통제 최종 책임자로서의 인식이 부족하고 구체적인 역할과 책임이 미비했던 점이 드러났다. 이는 그간 내부통제 규정이 형식적으로만 지켜지고 실질적 관리로 이어지지 않은 경우가 상당수에 달함을 의미한다.

또한 대형 금융사고 발생 시 책임자에 대한 처벌이 어렵다는 점도 문제점으로 지적되었다. 2019년 파생결합펀드(DLF) 사태의 경우 불완전판매에 따른 상당한 소비자 피해가 발생하였으나 당시 지배구조법상 내부통제 기준 마련 의무만 주어진 상황에서 내부통제 기준 준수가 미흡하더라도 처벌할 근거가 없다는 판결에 따라 금융당국의 제재가 취소된 사례도 있다.

이처럼 그간의 원칙중심규제가 실질적 내부통제로 이어지지 않았다는 문제의식에 따라 이후 다양한 보완 조치가 마련되었다. 2021년에는 지배구조법 시행령 개정을 통해 내부통제 기준에 포함될 세부내용을 더욱 구체화하였다. 2022년에는 금융당국, 범업권, 기타 전문가가 참여하는 내부통제 제도개선 TF 등을 통해 업권별 사고 취약부문을 구체화하고 취약부문에 대한 통제 강화, 자체 내부통제 역량 제고, 건전한 내부통제 문화 정착, 사고예방 감독기능 확충 부문에서 추진과제를 마련하였다. 2023년에는 여신전문금융업권에서 내부통제 개선방안을 도출하고 관련 모범규준을 개정한 바 있으며, 2024년에는 은행 경영실태평가 및 금융복합기업집단 추가위험평가에서도 내부통제 평가 비중을 상향하는 등의 관련법 개정이 이루어지고 있다.3)

책무구조도 도입 역시 내부통제 강화 유도를 위한 일환으로 주요 내용은 다음과 같다. 금융기관은 앞으로 스스로 각자의 특성을 고려하여 임원 직책별로 책무 및 책무의 구체적인 내용을 기술한 문서(책무기술서)와 임원의 직책별 책무를 도식화한 문서(책무체계도)를 금융당국에 제출해야 한다. 이때 책무는 전사적 업무, 영업 관련 부문별 업무, 경영관리 관련 업무 등으로 구분하여 임원 별로 편중되지 않게 배분되어야 한다. 책무구조도 제출 이후 임원은 소관 업무에 대해 내부통제 기준을 마련하고 해당기준 마련의 적정성 및 효과적 집행 · 운영 여부를 점검하는 등 내부통제 관리 의무를 수행해야 한다. 마지막으로 대표이사 등에게는 내부통제 기준 위반을 초래할 수 있는 잠재적 위험 및 유사 위반사례 발생 가능성 점검 등 내부통제의 총괄 관리 의무가 부여된다.

다양한 내부통제 체계 개선방안 중에서도 책무구조도 도입은 향후 금융권의 내부통제 행태에 더욱 큰 변화를 불러올 가능성이 있다. 내부통제 기준 마련에서 더욱 나아가 CEO까지 내부통제에 대한 책임이 강화되고, 주요 업무별 최종책임자를 특정함으로써 내부통제 책임을 하부로 위임할 수 없도록 하는 원칙을 구현하고 있기 때문이다. 이는 금융사고에 대한 책임소재를 더욱 명확히 하고 관리 의무 이행 실패의 책임을 경영진에 직접 물을 수 있게 되어 임원의 책임 회피를 더욱 어렵게 하는 요인으로 작용할 수 있다. 한편 상당한 주의를 다하여 내부통제 의무를 충실히 이행한 임원은 예측 및 통제할 수 없는 불의의 사고 발생 시 책임을 감경 또는 면제받게 된다. 이러한 조치는 임원진이 내부통제에 대한 인식을 개선하고 실질적인 관리책무를 이행하도록 유도하는 효과를 비교적 단기간에도 유발할 수 있을 것으로 보인다.

책무구조는 사고 유형별 위험요인의 세부적 인식이 근간

이러한 정책 목적에 비추어 볼 때 앞으로 책무구조도의 도입 성과는 1) 사고 예방 차원의 내부통제 기능이 과거에 비해 실질적으로 작동하는지(사전적 측면), 2) 어떠한 형태의 금융사고 발생에도 책임을 물을 수 있는 임원진의 특정 및 제재 · 경감 근거를 명확히 할 수 있는지(사후적 측면)에 달려있을 것으로 보인다. 

그런데 금융사고 발생의 보편적 특성을 고려할 때 책무구조 작성에는 여러 가지 어려움이 존재할 수 있다. 첫째, 대부분의 금융사고에 해당하는 횡령, 유용, 사기, 배임 등은 대체로 일선 부서에서 발생하며 해당 직원 또는 부서 외에는 사전에 감지하기 어려운 경우가 많다. 따라서 앞으로는 임원의 전체 책무를 이러한 영업 일선에서의 사고까지 책임지고 관리하도록 전사적 관점에서 최대한 빈틈없이 규정해야 한다. 둘째, 개별 사고에도 대개 다양한 사고원인이 존재한다. 예를 들어 흔히 개인적 일탈로 치부되는 횡령 사건에서조차 인사관리, 공문 · 통장 · 직인날인관리, 자점감사, 이상거래 모니터링 미흡 등 업무 절차상 하자 또는 시스템적 실패 요인이 사후검사 시 종합적으로 드러나는 경우가 많다. 이는 개별사고에 대한 책무도 여러 임원 간에 배분되어야 할 수 있음을 의미한다. 이러한 책무구조 작성상 난제는 책무구조의 실효성을 판단하고 주어진 책무에 따른 임원의 내부통제 관리의무 준수 여부를 확인해야 하는 감독상 난제로도 연결될 수 있다.

내부통제를 위한 책무가 임원 간에 빠짐없이 적절히 배분되려면 먼저 모든 업무 영역에서 금융사고로 이어질 수 있는 운영위험 요인에 대한 최대한 세부적인(granular) 인식4) 및 분류가 뒷받침되어야 함은 두말할 나위가 없다. 그래야 잠재적 위험요인의 누락을 최소화하고 이후 과정인 측정, 평가, 모니터링, 경감 조치의 적정성을 담보할 수 있기 때문이다. 내부통제에 있어 운영위험 인식의 중요성은 전혀 새로운 내용이 아니며 이미 관련문헌 및 해외 감독당국 등에서도 강조되어 왔다. 이는 업무 필요성에 기반하여 직원별로 권한을 명확히 구분하고, 운영위험에 대한 조직 내 공통된 이해를 토대로 일선 부서의 자구적 노력 및 누락 없는 보고체계를 만들어 나가는 데도 도움이 된다. 임원진으로 하여금 사고예방 차원의 부담은 경감하면서도 사후적 책임을 강화하는 효과가 생기는 것이다.

책무구조도에서도 사고 유형별 위험요인의 세부적 인식은 책무 배분의 논거를 금융기관이 각자의특성에 맞게 스스로 확립해 나가는 토대가 될 수 있다. 예를 들어 개별사고에 대해서도 인사관리는 해당 부서 임원, 전산 인프라 이슈는 IT 총괄 임원 등 위험의 성격에 따라 이를 가장 잘 관리할 수 있는 방향으로 책무를 배분할 수 있다. 최근에는 금융상품 판매에 회사 간 제휴 및 협업 등이 더욱 보편화되고 있음을 고려하여 분업 형태 등에 따라 위험요인별로 책임소재를 명확히 구분하는 데에도 활용할 수 있다.

한편, 위험요인의 다양성은 고려하면서도 사고에 따른 책무 배분은 소수 임원으로 제한할 필요가 있다. 책무 배분이 너무 파편화되면 다시 임원의 책임의식이 줄어들고 사고 발생 시 사실상 모든 임원진에 책임을 묻게 되어 금융기관 및 당국의 규명 부담이 커지기 때문이다. 위험요인의 세부적 인식이 뒷받침되면 관련성이나 인과관계 등에 비추어 동시다발적 요인을 식별하고 이를 임원 한 명이 일괄적으로 관리하도록 책무를 배분하는 등 위험구조를 책무구조의 거울로도 사용할 수 있다.

따라서 감독당국은 앞으로 제출될 책무구조도를 통해 금융기관이 운영위험 요인을 어느 정도로 구체적으로 인식하고 있는지를 살펴보고 책무 기술 및 배분의 적절성을 평가할 필요가 있다. 또한 대표이사 등 CEO의 총괄 관리 의무를 더욱 명확히 제시할 필요가 있다. CEO가 책임져야 할 시스템적 실패의 의미를 인식된 위험요인을 바탕으로 최대한 분명히 정의하고, 이해상충 등으로 인해 임원 간 정보공유나 협력이 어려울 수 있는 영역을 중심으로 CEO의 관리책무를 더욱 구체화해 나갈 필요가 있다.

책무기술의 구체성에 대한 적정 수준 도출도 필요하다. 촘촘한 내부통제 체계를 위해 임원별로 주어지는 책무는 구체적이어야 하나, 이를 책무기술서의 틀에 다 담아내기는 어려울 수 있다. 한편, 책무기술이 너무 단순화되면 사실상 책무가 선언적 성격에 그칠 수 있어 책무구조도 도입 취지가 퇴색되고 유사시 책임을 명확히 묻기 어려운 기존의 한계가 다시 나타날 수 있다. 따라서 책무구조 외에도 각종 사고 발생을 상정한 시나리오 분석 등 금융기관의 운영위험 식별의 구체성 및 관리 여부를 판단할 만한 방안이 함께 모색될 필요가 있다. 

유인부합적인 내부통제 수준을 찾아나가는 계기로 삼을 필요

최근의 다양한 제도적 보완이 어느 정도로 실질적인 내부통제 개선을 이룰지에 대해 회의적인 시각도 일부 존재한다. 운영위험의 정성적 특징으로 인해 가이드라인 등을 통해 내부통제 의무를 더욱 구체화해도 개별 기준의 준수 여부에 대한 해석상 모호성은 근본적으로 해소되기 어렵기 때문이다. 법제를 구체화할수록 감독당국의 규명 부담이 더 커질 수도 있다. 내부통제가 실질적으로 이행되려면 결국 회사의 자체적 노력 유인이 필요하다.

지금까지 금융기관의 내부통제 역량 취약 및 인식 부족이 반복 지적되어 온 배경에는 내부통제가 금융기관 입장에서 유인부합적이지 않다는 관념이 자리잡고 있다. 금융사고 발생에 따른 기대손실보다 금융사고 예방에 드는 비용이 작을 때 내부통제를 유인부합적이라 볼 수 있다. 기대손실은 사고 발생 확률과 손실 규모로 정해지므로, 금융기관이 내부통제에 소홀했다면 이는 사고 발생 확률 또는 사고 후 예상 손실 규모를 과소평가했거나 내부통제 비용이 매우 높다는 인식에 기인할 것이다. 특히 금융기관이 위험요인을 최대한 구체적으로 인식하더라도 이를 관리하는 데에는 비용상 현실적 한계가 존재할 수 있다. 이상적으로 금융사고를 완벽히 예방하려면 기대손실은 0에 수렴하나 위험관리 비용이 상당할 것이기 때문이다. 

금융당국은 그동안 금융사고 발생 후 제재를 통해 손실 규모를 확대하거나 내부통제 노력 여부에 따라 이를 경감하는 방식으로 내부통제의 유인부합성을 제고해 온 측면이 있다. 전사적 차원의 내부통제 비용 수준에 대한 외부적 파악이 어려운 상황에서 이는 어느 정도 불가피한 조치로 보인다. 그런데 궁극적으로는 금융기관이 예방적 차원에서 내부통제 이행의 순기능을 체감하도록 유도해 나갈 필요가 있다. 그렇지 않으면 여전히 사고를 은폐할 유인이 남아있기 때문이다. 책무구조도도 만일 사후적 제재 수단에 그친다면 이로부터 예외가 될 수 없다. 

책무구조도 도입이 제재보다 예방에 더욱 방점5)을 두기 위해서는 전사적 내부통제 비용을 가늠하고 이를 토대로 기관별로 갖춰야 할 내부통제의 합리적 수준을 판단해 나갈 필요가 있다. 일례로 상호견제 강화를 위해 네 개의 눈 원칙(four eyes principle)6)을 구현하기 위해서는 인원 증원이나 정보보안 구축 등 각종 비용이 든다. 결제 사기나 전산망 중단 등 IT 또는 디지털금융 관련 사고 위험도 개별 기관의 여건에 따라 대응 시 상당한 비용 차가 발생할 수 있다. 이로 인해 대형기관의 내부통제 인프라 구축 사례를 소형기관에는 적용하기 어려울 수 있다. 이러한 점을 고려하여, 감독당국은 위험요인 인식의 구체성에 대해서는 통일적 기준을 적용하면서도, 내부통제 관리 및 이행의 실효성에 대해서는 기관별로 차별화된 기준 적용이 필요할 수 있다

앞서 강조한 운영위험 요인의 세부적 인식은 전사적 내부통제 비용을 위험요인별로 구분하여 산출할 수 있게 하여 추정치의 객관성을 더욱 담보하는 데에도 도움이 될 수 있다. 또한 내부통제가 요구되는 고비용 위험요인에 대한 효율적 관리방안 및 정책적 역할을 고민하는 데에도 사용될 수 있다. 예를 들어 자체적 내부통제 기능 구축이 어려운 위험요인은 중앙회나 협회의 역할을 강화하는 방식 등으로 소형기관의 내부통제 기능을 제고하는 데 활용할 여지가 있다.

전사적 내부통제 비용 파악은 사고 발생 시 임원의 제재 및 인센티브의 근거를 마련하는 데에도 도움이 될 것으로 보인다. 이러한 가능성을 고려하여, 원칙중심규제 아래 내부통제 기준 및 이행 여부의 적정성과 합리성, 상당한 주의 여부 등에 대한 법적 해석의 모호성을 줄여나가는 방향으로도 책무구조도의 활용 범위를 확장할 필요가 있다. 

맺음말

금융위기와 리보금리 사건 등을 거치면서 2016년부터 책무구조도를 도입한 영국은 도입 이후 효과 및 개선점을 도출하는 과정을 거치고 있다. 일부 조사 결과7)는 책무구조 도입이 전반적으로 내부통제에 대한 임원의 행동 및 책임 강화에 긍정적 영향을 미친 것으로 보고하였다. 한편 중소형 규모의 기업에 더욱 부담 가능성, 내부통제 위반 보고의 미이행 가능성, 명확한 증거 확보의 어려움, 조사당국의 자원 부족 등의 문제도 지적된 바 있다.

우리나라도 책무구조도 도입을 실질적인 내부통제 제고로 연결하는 과정에서 다양한 난관에 봉착할 것으로 보인다. 그러나 이미 책무구조도 작성 과정에서 그동안 소홀히 여겨진 내부통제의 중요성을 환기했다는 점은 이미 일차적 성과에 해당할 수 있다. 금융기관 역시 향후 업무 기반 확장을 위한 신뢰 회복 및 빠르게 변화하는 금융환경 속에서 새로이 등장하는 각종 위험 대비를 위해 자발적 내부통제 역량 강화가 더욱 필요한 시점이다. 결국 책무구조도 도입이 그간 내부통제 제도의 미흡한 부분을 극복하고 근본적인 개선으로 이어지려면 금융기관과 당국 모두의 지속적 노력이 필요할 것으로 보인다. 향후 축적될 다양한 사례들로부터 지혜를 얻고 더욱 많은 논의가 활성화되길 기대한다.  <KIF>

-------------------------------------------------------------------------------------------------------

1) 지배구조법 시행령 및 감독규정에 대한 입법예고·규정변경예고(금융위원회, 2024년 2월)

2) 지배구조법 제24조

3) 은행 경영실태평가에서는 내부통제의 별도 평가부문 분리 및 평가비중 상향(은행업 감독규정 변경안, 2023년 12월), 금융복합기업집단 추가 위험평가에서는 내부통제·위험관리 평가비중 상향 및 내부통제 기준 적용 회사에 대한 합리적 기준 마련(금융복합기업집단 감독규정 개정안, 2024년 5월) 등이 있다

4) 여기서 인식은 위험요인을 관찰 또는 측정 가능한 수준에서 정의하고, 이에 비추어 위험 발생 시 이를 인지 및 식별하는 전 과정을 통칭한다.

5) 금융회사 내부통제 제도개선 방안(금융위원회 보도자료, 2023년 6월)에서 책무구조도 도입의 목적으로 명시되었다.

6) 네 개의 눈 원칙은 어떤 업무든 개인마다 독립적이면서 자격을 갖춘 타인의 리뷰 또는 이중 점검 과정을 거치도록 요구하는 내부통제 원칙을 의미한다

7) PRA(2020.12), Evaluation of the Senior Managers and Certificate Regime

<ifsPOST>