지난해 3월 해외에서 실리콘밸리은행(SVB)의 파산과 크레디트스위스가 인수된 원인으로 부적절한 위험 관리와 내부통제가 지적되었다. 또한 국내에서는 금융기업들의 금융사고 원인을 내부통제 미흡이라는 판단 하에 금융권의 지배구조와 내부통제 강화를 위한 '금융회사의 지배구조에 관한 법률' 개정안 등 규제 및 조사가 강화되고 있다. 이처럼 금융산업은 자금 세탁, 횡령 등 금융 범죄 예방 등의 이슈로 가장 엄격한 내부통제가 기준을 가지고 있는 산업군에 해당하므로 사례돋보기를 통해 금융사의 부패방지를 위한 내부통제 모범 및 개선사례를 살펴보고자 한다.
□ 신한라이프
신한라이프는 신한금융그룹 계열의 생명보험사로 2023년 △이사회 △ESG경영 △최고경영자 △보수체계 △위험관리 △감사기구 및 내부통제 △이해관계자 소통 등의 항목으로 평가하는 한국ESG기준원 지배구조 평가에서 A+ 등급을 받아 2년 연속으로 지배구조 최우수기업에 선정되었다.
신한라이프의 내부통제 조직은 이사회, 경영진, 내부통제위원회, 준법감시인 등으로 구성된다. 조직별 수행하는 역할은 다음과 같다. 신한라이프는 대표이사를 위원장으로 하는 내부통제위원회 운영을 통해 내부통제 정책 수립 및 주체간 협력 및 조정 기능을 수행하고 있다. 또한 새로운 업무와 제도의 도입, 신상품 개발, 기초서류 및 대고객 안내자료, 그룹사간 내부거래 등에 관한 일상감시를 진행한다. 이사회는 내부통제에 대한 최종적인 책임을 담당하며, 내부통제체계의 구축 및 운영에 관한 기본적인 방침을 결정한다. ‘금융회사의 지배구조에 관한 법률’에 따라 이사회의 결의로 준법감시인을 선임하며, 준법감시인은 내부통제체계 운영을 총괄한다. 준법감시인은 법규 준수 측면에서 주요업무 사전검토, 내부통제 운영실태 점검 및 모니터링 등의 업무를 수행하고, 그 결과를 내부통제위원회 심의를 거쳐 이사회에 보고한다. 준법감시인의 직무수행을 보좌하는 준법감시팀이 부서별 ‘준법감시담당자’ 제도를 도입하여 부서 업무처리 시 내부통제기준의 준수 여부를 점검하고 취약부분을 개선하고 있다.
또한 전 임직원 대상으로 사고 예방 및 윤리 준법 관련 교육활동을 실시하고, 매월 법규준수 자기진단을 통해 법규 및 규정에 대해 숙지하도록 하며, 직무 수행 시 준수해야 할 내부통제기준을 제정하여 운영한다. 임직원 행동기준 중 부패방지와 관련된 행동기준 조항을 꼽자면 다음과 같다.
<임직원 행동기준 예시(발췌)> 제2장 청렴과 정직 1. 업무관련 금품수수 금지 영업 또는 업무상 감사의 표시로 금품, 선물, 향응 또는 편의를 제공받을 경우 정중히 거절해야 하며, 불가피하게 수수하거나 보낸 이가 불분명한 경우, 부서장 또는 준법감시 부서장에게 보고 후 처리하여야 한다. 업무상 청탁, 압력 등 공정성을 저해하는 행위를 목적으로 금품, 선물, 향응 등을 제공하지 않는다. 단, 부득이하게 상대방에 대해 선물, 접대 등이 필요한 경우, ‘선량한 풍속’ 및 ‘사회적 통념’에 비춰 지나치지 않게 하여야 한다. 2. 개인적 영리활동 및 불법행위 금지 회사의 허락없이 타직(他職)에 종사하는 겸업행위를 하지 않아야 하며, 특히 회사와 경쟁관계에 있는 업체에서의 겸업행위나 불법적인 다단계 판매, 회사에서 승인하지 않은 외부강연 등을 하여서는 안된다. 3. 투명한 경비 집행 노력 회사경비를 사적으로 유용해서는 안되며, 회사방침에 따라 반드시 목적에 부합되도록 경비를 집행하여야 한다. 영업경비는 올바르게 사용되고 명확히 증빙되어야 하며, 영업관행 명분의 부당한 사용을 지양해야 한다. 증빙을 할 수 없다는 이유로 허위영수증 또는 타증빙을 사용하거나 다른 용도로 경비를 사용하여서는 안된다. 4. 이해 상충 회피 회사 업무와 관련하여 어떠한 형태의 부당한 사적이익을 도모하거나 추구해서는 안되며, 회사와 이해가 상충되는 상황이 발생되는 경우 관련부서와 협의하여 회사의 이익이 우선되게 하여야 한다. 회사의 대외거래에 관여하여 임직원 개인이 계약 등의 당사자가 되어서는 안되며, 또한 회사 거래의 성사를 목적으로 압력을 행사하는 등 부당한 방법을 행해서는 안된다. ‘자본시장과금융투자업에관한법률’ 등 관련법규가 금지하고 있는 내부자거래 및 기타 유사행위를 절대 해서는 안되며, 회사와 거래관계 또는 업무상 관련이 있는 업체의 주식 취득 및 기타 사적인 거래를 하여서는 안된다. [출처: 신한라이프, 임직원 행동기준] |
이 밖에도 임직원 행동기준 제4장 임직원간 상호존중영역에서 금전거래 및 선물 제공 등에 대해 다루고 있으며, 제5장 법규준수 영역을 통해 고객정보 보호, 법규준수, 자금세탁행위 등에 대한 행동 기준을 명시한다. 한편, 신한라이프는 영업 내부통제 강화를 위해 데이터 기반의 모니터링 시스템인 내부통제 조기경보 시스템을 구축하여 이를 활용함으로써 적시 모니터링을 수행하고, 내부통제 위험 징후를 파악하여 사전 예방활동을 수행한다.
□ 스탠다드차타드(Standard Chartered PLC)
스탠다드차타드(Standard Chartered PLC)는 영국 런던에 본사를 둔 국제적인 금융기업이다. 2012년 불법금융거래로 기소되고 감사시스템 결함 등 내부통제 미흡으로 1억 220만 파운드(약 1,700억원) 가량의 벌금을 부과받기도 하였으나, 이를 계기로 내부통제를 시스템을 강화 및 개선하고 있다.
2019년 영국의 금융감독청(FCA; Financial Conduct Authority)은 스탠다드차타드를 자금세탁방지(AML) 통제에서 고객 실사 및 모니터링 관련 심각하고 지속적인 결함이 있음을 발표했다. 이러한 결함으로 스탠다드차타드는 자금 출처가 부족한 현금으로 계좌를 개설하거나 고객 정보 검토와 실사가 미흡하여 리스크에 민감한 정책 수립 및 절차유지를 못했으며, UAE(아랍에미리트) 지사가 자금세탁방지 및 테러 자금 조달 통제를 영국 본사와 동일한 수준으로 이행하지 못했음이 드러났다. 이로 인해 FCA는 스탠다드차타드가 제재 위반 위험에 노출되었고, 범죄 수익을 수령 또는 세탁할 위험이 높아졌다고 보았다.
스탠다드차타드의 결함은 2010년 11월부터 2013년 7월까지 영국 뱅킹 사업과 2009년 11월부터 2014년 12월까지 아랍에미리트 지점에서 발생했다. 이에 미국 당국은 스탠다드차타드 그룹에 대해서도 미국 제재 법률 및 규정을 중대한 위반 혐의로 조치했다.
스탠다드차타드는 이러한 FCA의 조사 결과를 수용하기로 합의함에 따라 벌금의 30% 가 경감되었으며, 전 세계적으로 모든 문제가 완전히 해결될 수 있도록 자금세탁방지 통제를 개선하기 위해 노력하고 있다. 스탠다드차타드는 자사 홈페이지에 ‘금융범죄와의 싸움(Fighting financial crime)’ 페이지를 별도 개설하여 부패 방지, 자금세탁 방지 등 기타 금융범죄에 대한 의지와 노력을 게시하고 있다.
2012년부터 2019년까지 ‘금융범죄와의 싸움’ 프로그램 운영 내용이 ‘Transforming a Financial Crime Compliance Programme: What We Learned(2019.12)’ 보고서에 정리되어 있다. 스탠다드차타드는 전문가 영입, 인재 개발, 데이터 품질 관리 시스템을 개선하고 내부인식제고 캠페인 진행, 금융범죄를 파악하고 공론화하는데 기여한 직원 대상으로 한 ‘금융범죄파이터’ 상을 신설하는 등 문화를 구축했으며, 이 프로그램 혁신의 일환에서 내부통제 시스템의 개선도 이루어졌다.
스탠다드차타드는 2018년 1월에 내부통제 프레임워크인 기업위험관리프레임워크(ERMF)를 출시 및 적용했으며 이사회에 의한 프레임워크의 효율성 검토를 매년 지속적으로 수행해오고 있다. 운영 실패의 가장 큰 위험이 조직 내 여러팀 간의 양보(hand-offs)에서 비롯된다는 사실을 파악하였고, 역할, 책임(ownership)과 이를 해결하기 위한 조치가 명확 하도록 조치했다. 위험을 평가하기 위한 질문은 다음과 같다.
<스탠다드차타드 위험평가 질문>
No | 위험평가 질문 | 구분 |
1 | 우리 시장이 노출되어 있는 범죄 위협은 어떤 것이 있습니까? | 내재적 위험/ 통제 환경 |
2 | 해당 시장에서 우리가 수행하는 사업을 기반으로 이러한 위협은 어떻게 은행의 고유 위협으로 해석합니까? | 내재적 위험/ 잔여 위험 |
3 | 우리의 통제 효과는 어떻습니까? | 내재적 위험 |
4 | 우리가 직면할 위협은 무엇입니까? | 통제 환경 |
[출처: 스탠다드차타드, Transforming a Financial Crime Compliance Programme: What We Learned(2019.12)]
또한 기업위험관리 프레임워크의 일환으로 스탠다드차타드 그룹은 효과적인 위험 관리를 위해 일상적인 활동에 ‘3차 방어선 모델(The Three Lines Of Defense)’을 적용하여 거버넌스 및 통제 환경을 강화한다.
3차 방어선 모델은 역할과 직무를 정의함으로써 위험 관리와 내부통제를 이해할 수 있도록 하는 모형으로 효과적인 리스크 관리와 내부통제를 위해서는 고위 경영진과 이사회의 감독과 지시 하에서,