최근 유럽연합(EU) 집행위원회는 삼성전자를 상대로 반독점 관련 규정 위반 여부에 대한 공식 조사에 착수했다. 삼성전자는 애플과 세계 각지에서 태블릿PC와 관련된 특허소송 전을 벌이고 있다. 지난해 수백만∼수천만 명의 고객정보가 해킹으로 유출되는 사고로 해당 기업들에 엄청난 파장이 일었으며 모 그룹 회장은 회삿돈 수백억 원을 빼돌린 혐의로 구속, 실형을 선고받았고 최근 항소심에서 집행유예로 석방되기도 했다. LG전자는 월풀과 가전제품과 관련된 14건의 특허소송을 벌이고 있다. 일견 연관성이 별로 없어 보이는 이 사건들에는 한가지 공통점이 있다. 바로 ‘법률 리스크’가 관련돼 있다는 점이다.
법률 리스크란 기업이 경영활동 과정에서 법규나 규제를 위반해 발생하는 재무적 또는 비재무적인 손실 위험을 의미한다. 기업들은 점차 강화되는 다양한 법적 규제와 요구사항에 직면하면서 끊임 없이 법률 리스크에 노출되고 있다. 기업이 법이나 규제를 위반하면 형사적, 행정적 제재가 가해질 수 있으며 여러 이해관계자와의 분쟁, 재무적 손해, 기업명성 하락 등의 손실이 발생할 소지가 높아지고 있다. 특히 과거 주주(shareholder) 위주의 경영에 힘쓰던 기업들은 이제 기업과 관련된 모든 이해관계자(stakeholder)를 고려하는 경영을 해야 함에 따라 법률 리스크 관리는 공정거래, 정보보호, 환경, 부정, 지적재산권 등 다양한 분야에 걸쳐 더욱 복잡해지고 있다. (그림1) 기업의 법률 리스크 관리를 위한 구체적인 방안을 제시한다.
국내 현황과 Legal & Compliance Risk Management의 필요성
법률 리스크 관리는 선제적으로 대응을 하는 것이 중요하다. 그러나 국내 기업들은 분쟁이나 사건이 발생한 후에야 비로소 대응하는 사후적인 관리에 치중하고 있다. 소송 위주의 리스크 관리도 문제다. 기업들은 소송 중 다수를 차지하는 민사소송, 특히 자사가 피소된 소송을 중심으로 발생 원인을 찾아 제거하는 일을 우선적으로 수행한다. 그러나 전반적으로 잠재적 발생 가능성이 있는 리스크에 대해서는 관리가 매우 미흡한 편이다. 기업의 법무 조직이나 담당자에게 보고 되지 않은 케이스나 각 조직 단위별로 어떤 유형의 법률적 위험이 존재하는지 총체적으로 파악되지 않는 경우가 많아서 체계적이고 사전적인 법률 리스크 관리에 어려움이 많다.
대기업을 제외하고는 담당 전담조직을 두고 있지 않은 경우가 대부분이며 별도 조직을 두고 있다고 하더라도 다른 조직과의 역할 관계가 불분명하거나 산발적인 법률 이슈를 처리하는 데 그치곤 한다. 각 조직 단위별로 어떤 유형의 법률 리스크가 존재하는지도 체계적으로 파악되지 않은 경우가 많다. 법률 리스크 관리 전문가들은 직원의 임의적인 판단에 의한 대응이 아니라 사전에 정의된 매뉴얼에 따른 선제적이고 적시에 대응이 가능한 체계를 구축하는 것이 필요하다고 지적한다. 또 기업들은 여러 부서에서 개별적으로 관리되고 있는 법률 및 컴플라이언스 업무 기능을 전사적 관점에서 기능적으로 통합해 외부 위기 상황에 능동적으로 대처할 수 있는 체계를 구축해야 한다. 이해관계자에 대한 법률적 위험이 사전에 적절히 관리 및 예방되지 않을 경우 상당수가 소송으로 이어지며 기업이 비록 원고 및 고소인의 입장이라도 소송에 따른 직간접적인 손실규모는 매우 크다는 것을 명심해야 한다.
Legal & Compliance Risk Management의 개요
성공적인 법률 리스크 관리를 위해서는 기업의 외부환경, 내부환경을 고려하고 실질적인 리스크 관리 운영을 위한 프로세스와 이를 지원하는 기반이 구성돼야 한다. (그림3)
외부환경 (External Environment)
회사의 비즈니스활동에 직접적인 영향을 미치는 법규의 집행과 관련된 정부규제기관과 각종 유관 협회, 그리고 법규준수 대상이 되는 일반 소비자/고객, 협력/아웃소싱업체, 경쟁사 등의 이해관계자 포함
내부환경 (Internal Environment)
경영진의 준법 리스크 관리철학 및 전략, 회사의 법률 리스크 관리 문화, 리스크 관리에 대한 적절한 보상 및 징계 등 임직원의 준법의식(Compliance Mind)에 영향을 미침으로써 조직의 분위기를 조성하는 내부 요소
기반체계 (Infrastructure)
법률 리스크 관리조직, 규정·지침, 업무 매뉴얼, 교육프로그램 및 IT 시스템 등의 회사의 준법 리스크 관리를 효과적이고 효율적으로 운영하기 위한 지원체계
프로세스 (Compliance & Risk Management Process)
법률 리스크 관리는 고정된 것이 아니라 지속적이고 반복적인 다음과 같은 활동들 간의 상호작용에서 비롯되며 이러한 활동들은 각각의 고유한 특성을 가지고 있으며 조직 구성원의 업무 형태를 통해 구현
기업환경하에서 이러한 LCRM 체계를 도입하기 위해서는 △리스크의 인지와 도출 △평가를 통한 주요 관리대상 리스크 선별 △해당 리스크에 대한 발생 억제를 위한 감경 방안의 수립, 그리고 △지속적인 관리와 고도화를 위한 리스크 관리 방안에 대한 설계라는 일련의 체계 구축의 활동이 필요하다. LCRM 체계 도입 방법론은 주 대상인 법률 리스크 대응과 관리에 특화돼 있기 때문에 통상적으로 전사적리스크관리(ERM·Enterprise Risk Management) 체계 구축에서 활용하는 방법론과 수행단계와 비교해 볼 때 약간의 차이가 있다. LCRM 프로그램 도입을 위한 컨설팅 프로젝트 절차소개와 함께 각 단계별로 고려해야 하는 사항들을 정리하면 다음과 같다. (그림4)
Phase 1: Requirements Library 구성
● 최우선적으로는 각 부서 업무와 관련된 법규 리스트를 데이터베이스로 정리해야 한다. 실제로 해당 기업의 주 비즈니스 내용 및 가치사슬별 업무 범위를 파악함으로써 잠재적인 리스크를 도출하고 관련된 법규 요구사항을 빠짐없고 중복 없이 모두 식별하는 것이 중요하다. (예: 어떠한 제품을 생산하는지, 어떠한 방식으로 생산하는지, 어떠한 채널을 통해 판매하는지, 어떠한 방식으로 마케팅을 하는지, 경쟁사는 누구이며, 관련 시장은 어떻게 이뤄져 있는지, 상장기업인지, 다수의 계열회사가 존재하는지)
● 기존 소송/행정처분 등 분쟁 발생 사례, 자문 사례(자체 법무팀 혹은 외부 로펌)도 검토해야 하고 주관/유관 부서와의 인터뷰를 병행해 법규 리스크를 식별하고 이를 법규 요구사항과 연계해서 전체적인 법률 리스크에 대한 리스크 풀(Risk Pool)을 작성해야 한다. (리스크 풀의 작성 시 리스크 단위를 법규정 단위로 정하는 방법, 행위 유형별로 정하는 방법, 사례별로 정하는 방법 등 다양한 방법이 있을 수 있다.)