1.준법수익률 계산하기

일어나지 않은 일의 가치를 어떻게 측정할 수 있을까? 준법 활동(Compliance)이 예방한 위법 행위에 의한 손실을 어떻게 계산할 수 있을까? 이 문제는 윤리준법(Ethics and compliance; E&C) 분야를 오랫동안 괴롭혀 왔다. 윤리준법 분야는 지난 몇 년간 꾸준한 성장세를 보였고, 부서 유지비용 또한 상승했다. 회사 중역진은 이제 윤리준법 활동의 손익계산을 파악하고 싶어 한다. 현재 다수의 기업은 수익산출 모델을 적극적으로 활용하고 있다. 따라서 윤리준법 분야 또한 그들의 활동이 비즈니스 가치를 제공하고 있음을 수치적으로 증명해야 하는 압력에 직면하고 있다.

준법수익률(Return on compliance; ROC)을 산출하기 전에 우선 그것이 무엇을 의미하는지에 대한 합의가 필요하다. 예를 들어 예방적 조치로 발생하지 않거나 감소한 법·규제 관련 지출, 또는 생산성 향상으로 이어질 수 있는 높은 고용 만족도와 조직문화 개선 등이 준법수익률의 내용으로 포함될 수 있을 것이다. 물론 이 또한 여전히 수치화하기는 어렵다. 그러나 데이터 사용이 점차 중요해지는 추세이므로 이를 통한 수익 산출 가능성 또한 앞으로 증가할 것이다.

NAVEX의 ‘2016년 제3자 리스크관리 세계 벤치마크 보고서’에 따르면 32%의 조사 대상자가 지난 3년간 제3자와 관련하여 규제조치를 적용 받았고, 17%는 같은 기간 5-10건의 법적 소송에 연루되었다. 그리고 이들 중 33%는 개별 사건마다 10,000~99,000달러의 지출이 발생했다고 밝혔다. 이처럼 적절한 기준점으로 활용될 수 있는 데이터 사용을 통해 준법수익률 계산이 가능해질 것이다.

기업은 준법수익률 산출을 위해 주요성과지표(Key performance indicator; KPI) 등 기준점이 되는 지표를 개발하고, 이것이 경영 전략과 어떤 관계를 갖는지를 숙고해야 한다. 이후에는 기준 지표의 변화폭을 정교하게 기록, 보고해야할 것이다.

2.다세대 업무환경의 새로운 조직문화

이제는 직장에 최대 다섯 부류의 각기 다른 세대가 같이 일하는 현상을 목격할 수 있게 되었다. 각 세대의 특징은 다음과 같다. ‘조용한 세대’(Silent generation)는 1900~1945년 출생자로 현재 세계 노동인력의 3%를 차지한다. 조용한 세대는 공동체에 대한 충성심과 공통의 이해를 중시한다. 많은 이들이 최신 기술 습득에 어려움을 겪지만, 배움의 의지는 강하다. ‘베이비 붐 세대’(Baby boomers)는 1946~1964년 출생자로 이전 세대만큼 팀워크에 강하지만 상명하복보다 면대면 소통을 중시하고, 개인의 입신양명에 큰 가치를 부여한다. ‘X세대’(Generation X’ers)는 1965~1980년 출생자로 ‘맞벌이 가정’에서 자라난 최초의 세대다. 이들은 권위에 대한 반감이 크고 독립성이 강하다. ‘밀레니얼 세대’(Milennials)는 1981~2000년 출생자로 현재 노동인구에서 가장 큰 비중(25%)을 차지한다. 이들은 정보통신 환경에 익숙하고 멀티태스킹에 능하며 일만큼 여가활동을 중시한다. 또한 소규모 협동과 사회적 책임에 큰 가치를 부여한다. ‘넥스터 세대’(Nexters)는 2000년 이후 출생자로 집중력과 대인기술은 기성세대보다 떨어지지만 창의적이다. 아직 세계 노동인력에서 넥스터가 차지하는 비중은 적으나(3%) 2020년에는 밀레니얼 세대 다음으로 그 비중(20%)이 커질 전망이다.

윤리준법 전문가들은 각 세대 고유의 성향이 긍정적인 방향으로 매개되고 융합될 때 새롭고 역동적인 문화가 탄생할 수 있음을 강조한다. 그러나 다세대 업무환경에서 발생할 수 있는 갈등상황에 대해서도 명확하게 인식하고 있어야 한다.

다세대 업무환경의 장점을 살리기 위해서는 세대 간 교류와 배움을 활성화 하고, 각 세대 고유의 특성과 공통의 관심을 모두 고려해야 한다. 세대 간 교류를 통해 젊은 세대는 기성 세대로부터 업무를 세부적으로 파악하고, 기성 세대는 젊은 세대의 도움으로 SNS를 비롯한 새로운 업무환경에 더 쉽게 적응할 수 있다. 그리고 기업은 젊은 세대의 사회적 지향성을 반영하여 윤리준법 영역의 확장을 기대할 수 있다.

3.윤리준법에 정보기술 활용하기

정보기술의 발달은 윤리준법 프로그램의 자동화 경향을 가속화 하고, 효율성 제고에 큰 도움이 될 것이다. 특히 다음 네 개 분야에서 정보통신 기술이 긍정적으로 활용될 것이다.

돌발상황 관리(Incident management) : 조직은 비위 행위에 대해 단도직입적이고 일관된 자세를 취해야 한다. 따라서 문제 상황을 관리하기 위해서 설계된 단일한 돌발상황 관리체계는 필수적이다. 케케묵은 엑셀로 문제를 해결하던 시대는 갔다. 오늘날의 윤리준법 프로그램이 필요로 하는 것은 정밀 보고와 일관된 프로세스 그리고 명확한 업무흐름을 가능하게 하는 기능이다.

교육훈련 : 다수의 기업에서 전자적 수단을 활용한 교육은 일반적이다. 그러나 각계각층 직원의 다양한 필요를 반영하여 교육훈련 방식은 꾸준히 업데이트 되어야 한다. 일례로 짧은 형식의 이미지형 교육자료(Short-form learning vignettes)는 특정 주제를 환기하거나 지역적 사안을 다루는데 효과적이며, 단순하면서도 효과가 크기 때문에 회사 중역진에 대한 교육자료로도 활용될 수 있다.

정책관리 : 정책관리 프로세스에 자동화를 도입하여 단일한 플랫폼(Platform)을 통한 증빙 서류 작성, 갱신, 배부, 수집이 가능해지고, 법무검토 등 정책관리와 관계된 업무 흐름을 자동화할 수 있다. 또한 잘 설계된 정책관리 프로세스를 보유한 기업은 감사에 완비된 태세를 갖출 수 있을 것이다.

행동강령 : 행동강령(Code of conduct)의 가독성을 높이고 직원의 이해도 증진을 위해 행동강령을 무미건조한 서류에서 상호작용하는 포맷으로 업데이트해야 한다.

4. 산적한 국제 표준 틈에서 살아남기

윤리준법과 관계된 오래된 지침은 계속 수정되고, 새로운 지침은 계속 생겨난다. 산더미 같은 지침과 규제들의 집적은 큰 부담이 아닐 수 없다. 가장 널리 알려진 FSGO(미국 양형위원회 연방양형지침), ISO 19600(국제표준기구 준법경영시스템지침), COSO Framework(트레드웨이위원회 후원조직위원회 내부통제-통합프레임워크), 그리고 OECD(경제협력개발기구) 내부통제 및 윤리준법에 대한 우수실행지침 외에도 FCPA(미국 해외부패방지법)나 영국 뇌물수수법처럼 한 분야에 특화된 지침도 존재한다. 여기에 더해 PCI DSS(지불카드 정보보안기준)와 미국 보건후생부 감사관실 준법지침과 FAR(미국 연방조달규정)처럼 특정 산업에 특화된 지침도 있다. 국제적 차원에서는 또 다른 층위의 복잡한 지침들이 존재한다. 따라서 기업의 윤리준법 프로그램은 각국의 문화적 특징뿐만 아니라, 윤리준법 지침까지도 상세히 반영하고 있어야 한다.

상황을 한결 더 복잡하게 만드는 것은 각 지침이 상호 모순되거나 충돌하는 경우다. 다만 윤리준법 지침들은 커뮤니케이션, 모니터링, 리스크 등 내용면에서 완전히 상이하지는 않다. 그럼에도 불구하고 “모두에게 알맞은 한 사이즈”란 없다. 윤리준법 프로그램은 각기 다른 지침과 규정을 충족하기 위해 융통성 있게 조정될 수 있어야 한다.

이를 위해서 기업은 현 윤리준법 프로그램의 장단점을 평가하고, 고(高) 리스크 분야에 대한 장·단기 완화 전략을 적용하며, 윤리준법 프로그램의 효율성 보장을 위한 계약 및 요구사항을 검토하고, 관계 자료를 정리하여 제때 활용될 수 있도록 해야 한다. 또한 새로운 표준과 지침에 관심을 갖고, 가장 뛰어난 방안을 프로그램에 도입하는 것을 고려해야 한다.

5. 윤리준법은 ‘안 돼’의 동의어가 아니다.

1,300개 이상의 포커스 그룹에 대한 NAVEX 설문조사에 의하면 윤리준법 부서는 “안 돼”라고만 말하는 사람들, 또는 규율을 강요하는 사람들로 직원들에게 비춰지고 있다. 윤리준법 부서가 비즈니스에 기여하는 필수불가결한 존재로 이미지를 쇄신하기 위해서는 상당한 기간이 소요될 테지만, 이 방향으로 나아가는 것만으로 단기적인 성과가 있을 수 있다.

부정적 여론의 근원 파악 : 윤리준법에 대한 부정적 여론의 근원은 윤리준법 부서에서 요구하는 복잡하고 형식적인 절차, 실무와 무관한 교육, 그리고 가장 중요하게는 윤리준법 부서에 대한 접근성 부재다. 윤리는 근본적으로 대인관계와 관련된 사안임을 명심해야 한다. 면대면 “페이스 타임”은 부서의 이미지 쇄신에 큰 도움이 될 것이다.

투명성 제고 및 직원의 시간 존중 : 윤리준법 교육 및 기타 요구 절차들이 왜 필요한지 직원들을 충분히 납득시킬 수 있어야 한다. 복잡함을 지양하고 간결함이 왕도임을 기억하라.

전략적 경영 파트너로 전환 : 윤리준법 부서가 경영 목적을 달성하는 데 어떤 역할을 할 수 있고, 효율성 제고를 위해 어떤 방안이 도입될 수 있는지 경영진과 논의해야 한다. 복잡미묘한 판결지침이나 불가사의한 규정은 당분간 제쳐 두고, 경영 효율성에 대해 논의하라. “준법” 경찰이 아닌 경영 파트너로서 행동하는 것이다.

6. 기업의 사회적 책임은 중요하다.

대중과 언론은 인권 및 환경 지속성을 포함한 기업의 사회적 책임(Corporate Social Responsibility; CSR)을 줄곧 강조하고 있다. 이 만만치 않은 도전을 수행하기 위해 다수의 기업은 두 가지 방식을 택하고 있다. 하나는 자선활동 및 지역사회 참여이고, 다른 하나는 이사진의 다원적 구성 등 제3자 기준 충족을 통한 사회적 책임 준법(CSR compliance)이다. 이 외에도 제3의 방식이 부각되고 있는데, 이는 비즈니스와 지역사회에 동시에 기여할 수 있는 사회적 책임 프로그램에 초점을 둔다. 점점 더 많은 기업이 직원과 고객에게 더 높은 가치를 부여하고 경영환경을 제고하면서 동시에 지역사회에 긍정적으로 기여할 수 있는 방안을 찾는데 성공하고 있다. 공급업체 등 제3자와 협조하여 적정 임금수준을 보장하거나 산업공정을 환경 친화적으로 개선하는 것이 좋은 예이다.

사회적 책임을 수행하기 위해 기업의 CSR 이미지를 점검해야 한다. 뉴스 보도, 고객 후기, 소셜미디어 등을 통해서 관련 정보를 꾸준히 수집하고 평가해야 한다. 또한 윤리준법의 범위를 보다 넓은 공익적 맥락으로 옮길 필요가 있다. 규칙을 “준수하라”는 지루한 요구사항은 직원의 사기를 북돋우지 못한다. 이와 달리 공익에 기여하고 있다는 헌신의 느낌은 사기진작에 훨씬 긍정적인 효과를 불러일으킨다.

7. 내부고발과 관련된 최신 경향

사건종결 시간의 증가 : 지난 5년간 내부고발 사건에 소요되는 시간이 증가했다. 2011년 평균 32일 소요되던 것이 2015년 평균 46일로 늘어났다. 원인으로는 불충분한 자원 및 현 규제환경에서 사건 자체가 만들어내는 복잡성이 지목되고 있다. 최고준법책임관(CCO) 입장에서는 이것이 완벽하게 이해되는 상황이겠지만, 문제를 보고하고 해결을 기다리는 직원 입장에서는 보복에 대한 두려움 때문에 하루하루가 피 말리는 상황일 것이다.

양도될 수 없는 책임 : 윤리준법 부서가 모든 사안에 대한 조사권을 갖는 것은 아니지만, 윤리준법 부서는 자체의 내부고발전화를 통해 보고된 문제 상황이 적절한 조사를 거쳐 해결 되었는지 여부를 끝까지 확인해야 한다.

중간 관리자는 보고의 최전선 : 직원들은 비위 또는 위법행위를 상사에게 직접 보고하기를 선호한다. 따라서 중간 관리자에게 보고된 사안이 적절한 수사 및 해결로 연계될 수 있도록 관리자들에게 충분한 교육을 실시해야 한다.

한편 내부고발 조사와 관련하여 미국 법무부에서 기업 비위 또는 위법행위에 대한 수사 가이드라인으로 배포한 서신(일명 ‘예이츠 메모’)의 내용을 충분히 숙지해야할 필요가 있다. 이에 따르면 기업은 미 법무부 수사 협조 요청 시 “모든 관계 자료”를 제시할 의무가 있으며, 기업뿐만 아니라 개인도 비위 및 위법행위에 대한 책임을 지게 된다. 그러나 예이츠 메모 이후의 조사에 대해서도 사측은 변호사·의뢰인 특권을 주장할 수 있음을 잊지 말아야 한다.

8. 사이버 보안과 준법의 역할

사이버 보안 사고가 불러오는 막대한 손실은 익히 알려져 있다. 다수의 기업은 사이버 보안 문제에 대응하기 위한 조치를 이미 취하고 있다. 그러나 윤리준법 관계자들은 사이버 보안이 관할 영역이 아니라는 판단 때문에 후방에 물러나 있다. 윤리준법이 사이버 보안에 관한 주력 부서는 아니지만, 이와 무관하다는 생각은 크게 잘못되었다. 왜냐하면 사이버 보안 사고는 기술적 문제에 기인한다는 편견과 달리 대부분 인재(人災)에 의한 것이기 때문이다. 한 조사에 따르면 “심각한 데이터 유출을 보고한 기업의 69%는 보안사고가 직원의 의도적인 행위 또는 의도하지 않은 인재에 기인”했다.

사이버 보안에 보다 적극적인 역할을 수행하기 위해서는 기업의 사이버 보안정책이 최신 경향을 반영하고 있음을 확인하고, 행동강령에 관련 내용이 평이하게 기술되도록 하여 직원의 이해도를 높여야 한다. 또한 사이버보안 및 데이터 관련 비위 행위가 상사 및 내부고발전화를 통해 보고될 수 있는 사안임을 직원들에게 주지시키고, 사이버 보안 관련 내용을 윤리준법 교육의 일환으로 실시해야 한다. 한편 사이버 보안 문제를 다루면서 여타 윤리준법 사안에 대한 시간, 자원 배분이 재조정되어야 할 것이다.

9. 윤리준법에 적용될 수 있는 리스크 관리 프로그램

윤리준법 사고의 여파는 막대하고 장기적이다. 벌금 같은 지출이 발생할 뿐만 아니라 브랜드 가치가 타격을 입고, 투자자와 고객의 반감이 높아지며, 직원들은 근무하는 조직에 대한 회의감에 빠진다. 사건의 주 원인을 확인하여 대응방안을 수립하고, 브랜드 신뢰를 다시 쌓는 데 는 막대한 돈과 시간이 소모된다. 근래에는 24시간 계속되는 뉴스보도, SNS 상에서 파급되는 근거 없는 정보의 난립 덕분에 이와 같은 난국에 효과적으로 대처하는 것이 더욱 어려워졌다. 기업들은 윤리준법 실패가 먼 나라 얘기가 아님을 받아들여야 한다.

실패를 경험한 기업은 누구보다도 리스크 관리 프로그램의 중요성을 통감한다. 따라서 이들 기업은 비즈니스의 여러 분야에 적용되는 최악의 시나리오를 상정하여 리스크를 확인하고, 잘 조율되고 상세한 대응 방안을 수립하며 전문가들로 구성된 팀을 조직한다. 사건이 발생했을 때 리스크 관리 팀은 재빨리 대응하고 기업은 효과적인 해결책을 찾기 위해 일사분란하게 움직인다. 그러나 윤리준법 분야에서는 아직도 이와 같은 리스크 관리 프로그램이 보편적이지 못하다.

윤리준법 분야에 적용되는 리스크 관리 프로그램을 수립, 시행하기 위해서는 관련 전문가들의 협력을 구해야 한다. 특히 보안 및 커뮤니케이션 분야 전문가들이 리스크 관리 프로그램에 관한 충분한 경험을 갖췄을 것이다. 이미 정교한 리스크 관리 절차가 수립되어 있는 경우라면 윤리준법 분야 포함 여부를 확인해야 한다. 또한 윤리준법 리스크 평가를 통해 발생 가능성이 높거나 피해규모가 클 것으로 예상되는 문제의 목록을 유지하고, 직능과 책임이 분명한 윤리준법 리스크 대응 팀을 구성해야 한다.

10. 준법책임관의 증대되는 법적 책임

최근 국제적 차원의 규제와 면밀한 수사가 증가하는 가운데 최고준법책임관(CCO)의 불안감 또한 상승하고 있다. 미국 증권거래위원회(SEC)는 2013년 CCO와 최고법무책임관(CLO)이 관리감독직을 수행하는 도중 관리 대상이 위법 행위를 범한 경우 CCO와 CLO에게도 법적 책임(Liability)이 부과된다는 요지의 지침을 발표한 바 있다. 2015년 CCO들을 대상으로 한 톰슨로이터 사(社)(Thomson Reuters)의 설문조사에 따르면 설문 대상자의 93%는 향후 일 년 간 그들의 법적 책임이 증가할 것으로 예상했다. 톰슨로이터의 고객들 또한 CEO보다는 CCO의 책임이 더 막중하다고 평가했다.

준법책임관의 책임 범위를 한정하기 위해서는 관리감독 관련 규정이 명문화 되어야 한다. 이사진은 규정에 근거하여 CCO의 권한을 자문에 국한시키고, 책임승계 정책(Escalation policy)을 시행하여 CCO의 권한이 순차적으로 승계됨으로써 CCO에 대한 보호를 강화할 수 있을 것이다.

---

참고자료

• 참고자료
• 참고자료
• 참고자료
• 참고자료
• 참고자료