Top
검색버튼 메뉴버튼

Legal Risk Management

사소한 법률? No! 관리시스템 무시하면 큰코 다쳐요

함지원,김선우 | 99호 (2012년 2월 Issue 2)
 
 
 
최근 유럽연합(EU) 집행위원회는 삼성전자를 상대로 반독점 관련 규정 위반 여부에 대한 공식 조사에 착수했다. 삼성전자는 애플과 세계 각지에서 태블릿PC와 관련된 특허소송 전을 벌이고 있다. 지난해 수백만∼수천만 명의 고객정보가 해킹으로 유출되는 사고로 해당 기업들에 엄청난 파장이 일었으며 모 그룹 회장은 회삿돈 수백억 원을 빼돌린 혐의로 구속, 실형을 선고받았고 최근 항소심에서 집행유예로 석방되기도 했다. LG전자는 월풀과 가전제품과 관련된 14건의 특허소송을 벌이고 있다. 일견 연관성이 별로 없어 보이는 이 사건들에는 한가지 공통점이 있다. 바로 ‘법률 리스크’가 관련돼 있다는 점이다.
 
법률 리스크란 기업이 경영활동 과정에서 법규나 규제를 위반해 발생하는 재무적 또는 비재무적인 손실 위험을 의미한다. 기업들은 점차 강화되는 다양한 법적 규제와 요구사항에 직면하면서 끊임 없이 법률 리스크에 노출되고 있다. 기업이 법이나 규제를 위반하면 형사적, 행정적 제재가 가해질 수 있으며 여러 이해관계자와의 분쟁, 재무적 손해, 기업명성 하락 등의 손실이 발생할 소지가 높아지고 있다. 특히 과거 주주(shareholder) 위주의 경영에 힘쓰던 기업들은 이제 기업과 관련된 모든 이해관계자(stakeholder)를 고려하는 경영을 해야 함에 따라 법률 리스크 관리는 공정거래, 정보보호, 환경, 부정, 지적재산권 등 다양한 분야에 걸쳐 더욱 복잡해지고 있다. (그림1) 기업의 법률 리스크 관리를 위한 구체적인 방안을 제시한다.
 
 
국내 현황과 Legal & Compliance Risk Management의 필요성
법률 리스크 관리는 선제적으로 대응을 하는 것이 중요하다. 그러나 국내 기업들은 분쟁이나 사건이 발생한 후에야 비로소 대응하는 사후적인 관리에 치중하고 있다. 소송 위주의 리스크 관리도 문제다. 기업들은 소송 중 다수를 차지하는 민사소송, 특히 자사가 피소된 소송을 중심으로 발생 원인을 찾아 제거하는 일을 우선적으로 수행한다. 그러나 전반적으로 잠재적 발생 가능성이 있는 리스크에 대해서는 관리가 매우 미흡한 편이다. 기업의 법무 조직이나 담당자에게 보고 되지 않은 케이스나 각 조직 단위별로 어떤 유형의 법률적 위험이 존재하는지 총체적으로 파악되지 않는 경우가 많아서 체계적이고 사전적인 법률 리스크 관리에 어려움이 많다.
 
대기업을 제외하고는 담당 전담조직을 두고 있지 않은 경우가 대부분이며 별도 조직을 두고 있다고 하더라도 다른 조직과의 역할 관계가 불분명하거나 산발적인 법률 이슈를 처리하는 데 그치곤 한다. 각 조직 단위별로 어떤 유형의 법률 리스크가 존재하는지도 체계적으로 파악되지 않은 경우가 많다. 법률 리스크 관리 전문가들은 직원의 임의적인 판단에 의한 대응이 아니라 사전에 정의된 매뉴얼에 따른 선제적이고 적시에 대응이 가능한 체계를 구축하는 것이 필요하다고 지적한다. 또 기업들은 여러 부서에서 개별적으로 관리되고 있는 법률 및 컴플라이언스 업무 기능을 전사적 관점에서 기능적으로 통합해 외부 위기 상황에 능동적으로 대처할 수 있는 체계를 구축해야 한다. 이해관계자에 대한 법률적 위험이 사전에 적절히 관리 및 예방되지 않을 경우 상당수가 소송으로 이어지며 기업이 비록 원고 및 고소인의 입장이라도 소송에 따른 직간접적인 손실규모는 매우 크다는 것을 명심해야 한다.
 
 
Legal & Compliance Risk Management의 개요
성공적인 법률 리스크 관리를 위해서는 기업의 외부환경, 내부환경을 고려하고 실질적인 리스크 관리 운영을 위한 프로세스와 이를 지원하는 기반이 구성돼야 한다. (그림3)
 
 
외부환경 (External Environment)
회사의 비즈니스활동에 직접적인 영향을 미치는 법규의 집행과 관련된 정부규제기관과 각종 유관 협회, 그리고 법규준수 대상이 되는 일반 소비자/고객, 협력/아웃소싱업체, 경쟁사 등의 이해관계자 포함
 
내부환경 (Internal Environment)
경영진의 준법 리스크 관리철학 및 전략, 회사의 법률 리스크 관리 문화, 리스크 관리에 대한 적절한 보상 및 징계 등 임직원의 준법의식(Compliance Mind)에 영향을 미침으로써 조직의 분위기를 조성하는 내부 요소
 
기반체계 (Infrastructure)
법률 리스크 관리조직, 규정·지침, 업무 매뉴얼, 교육프로그램 및 IT 시스템 등의 회사의 준법 리스크 관리를 효과적이고 효율적으로 운영하기 위한 지원체계
 
프로세스 (Compliance & Risk Management Process)
법률 리스크 관리는 고정된 것이 아니라 지속적이고 반복적인 다음과 같은 활동들 간의 상호작용에서 비롯되며 이러한 활동들은 각각의 고유한 특성을 가지고 있으며 조직 구성원의 업무 형태를 통해 구현
 
기업환경하에서 이러한 LCRM 체계를 도입하기 위해서는 △리스크의 인지와 도출 △평가를 통한 주요 관리대상 리스크 선별 △해당 리스크에 대한 발생 억제를 위한 감경 방안의 수립, 그리고 △지속적인 관리와 고도화를 위한 리스크 관리 방안에 대한 설계라는 일련의 체계 구축의 활동이 필요하다. LCRM 체계 도입 방법론은 주 대상인 법률 리스크 대응과 관리에 특화돼 있기 때문에 통상적으로 전사적리스크관리(ERM·Enterprise Risk Management) 체계 구축에서 활용하는 방법론과 수행단계와 비교해 볼 때 약간의 차이가 있다. LCRM 프로그램 도입을 위한 컨설팅 프로젝트 절차소개와 함께 각 단계별로 고려해야 하는 사항들을 정리하면 다음과 같다. (그림4)
 
 
Phase 1: Requirements Library 구성
● 최우선적으로는 각 부서 업무와 관련된 법규 리스트를 데이터베이스로 정리해야 한다. 실제로 해당 기업의 주 비즈니스 내용 및 가치사슬별 업무 범위를 파악함으로써 잠재적인 리스크를 도출하고 관련된 법규 요구사항을 빠짐없고 중복 없이 모두 식별하는 것이 중요하다. (예: 어떠한 제품을 생산하는지, 어떠한 방식으로 생산하는지, 어떠한 채널을 통해 판매하는지, 어떠한 방식으로 마케팅을 하는지, 경쟁사는 누구이며, 관련 시장은 어떻게 이뤄져 있는지, 상장기업인지, 다수의 계열회사가 존재하는지)
 
● 기존 소송/행정처분 등 분쟁 발생 사례, 자문 사례(자체 법무팀 혹은 외부 로펌)도 검토해야 하고 주관/유관 부서와의 인터뷰를 병행해 법규 리스크를 식별하고 이를 법규 요구사항과 연계해서 전체적인 법률 리스크에 대한 리스크 풀(Risk Pool)을 작성해야 한다. (리스크 풀의 작성 시 리스크 단위를 법규정 단위로 정하는 방법, 행위 유형별로 정하는 방법, 사례별로 정하는 방법 등 다양한 방법이 있을 수 있다.)
 
 
Phase 2: Control Baseline 정의 및 설계
● 일반적으로 리스크는 다양한 기준으로 평가될 수 있으나 발생가능성 혹은 발생빈도(Likelihood)와 영향도(Impact), 해당 리스크에 대한 기업의 통제, 관리수준의 취약성(Vulnerability) 등을 주로 고려하는 것이 효과적이다. 발생빈도는 일정한 주기로 해당 리스크가 몇 번이나 발생했는지를 평가하며 영향도는 해당 리스크 발생 시 재무적 손실금액/법적 제재의 정도/기업이미지의 실추 정도/인적 피해/업무 중단의 가능성 등 다양한 인자(Factor)를 고려한다. 평가 기준은 해당 기업의 규모, 비즈니스 특성에 따른 리스크 노출의 정도 등 개별 회사가 가진 특성에 따라 조정될 수 있다.
 
● 리스크의 평가는 그 속성상 다분히 주관적인 요소가 개입할 수밖에 없으나 가급적 객관적인 척도(과거 발생 사례 분석)를 활용하도록 하고 최종적인 평가는 외부전문가, 사내 TFT 및 현업 부서의 의견을 수렴해 정하는 것이 바람직하다.
 
● 대응방안 마련을 위해 해당 리스크의 발생 원인과 관련 부서, 프로세스 등의 파악이 우선돼야 하며 이를 기반으로 준법통제 수립, 대응/관리 조직 설계, 통제 프로세스 설계, 통제 매뉴얼 마련 및 준법 문화 정착 등 대응 전략 수립이 진행돼야 한다. (현업 부서가 특정 행위가 법률 위반이라는 사실 자체를 모르는 경우도 많으며 △특정 행위가 여러 부서의 협업을 통해 진행되는 경우 △부서 간 의사소통 부재, 책임 부서의 불명확성 등으로 인해 리스크가 발생하는 경우 △부서 간 이해 충돌로 인한 리스크 발생 가능성을 인지하면서도 이를 묵과하는 경우 △현업 부서의 업무 추진이 관리·지원부서(예: 법무팀, 대외협력팀, 공정거래팀 등)의 통제 범위 외에 있는 경우 등 다양한 상황과 원인에 의해 리스크가 발생한다.)
 
● 준법통제기준 수립: 법령을 준수하고 회사경영을 적정하게 하기 위해 임직원이 그 직무를 수행할 때 따라야 할 준법통제에 관한 기준 및 절차인 준법통제기준을 마련해야 한다. 여기서 준법통제는 단순히 소극적으로 임직원의 업무수행 시 법규 준수 여부를 감시하고 위반을 조사하는 것에 그치는 것이 아니라 적극적으로 사전적인 교육, 연수, 상담을 통해 임직원의 법규준수를 유도하는 사전적 조치에 중점을 두는 개념이다.
 
● 법률리스크관리 조직의 설계: 법무를 담당하는 전담조직을 두고 있지 않은 기업들이 대부분이며 별도 조직을 두고 있다고 하더라도 다른 조직과의 역할 관계가 불분명하거나 산발적인 법률 이슈를 처리하는 데 그치곤 한다. 각 조직 단위별로 어떤 유형의 법률 리스크가 존재하는지도 체계적으로 파악되지 않은 경우가 많다. 법률 리스크 관리 전문가들은 직원의 임의적인 판단에 의한 대응이 아니라 사전에 정의된 매뉴얼에 따른 선제적이고 적시에 대응이 가능한 체계를 구축하는 것이 필요하다고 지적한다. 준법지원인(CCO·Chief Compliance Officer)은 준법통제조직의 실행 총괄 책임자로 준법통제정책 수립 및 기준을 제시하고 운영실태에 대한 모니터링, 조사, 시정조치도 총괄한다. 전사 전담조직은 준법통제운영 가이드를 제공하고 모니터링 실무와 준법 문화 확산을 위한 프로그램을 가동하는 업무를 맡는다. 한편 준법지원인은 법률지식을 어느 정도 갖출 필요가 있지만 부족한 법률지식은 외부 로펌 등을 통해 보완할 수 있으므로 준법지원인 자체가 변호사이거나 법학 학위를 가지고 있을 필요는 없다는 시각도 있다.
 
● 통제 프로세스 설계: 준법통제의 기본이 되는 개념으로 크게 세 가지 활동으로 나뉜다. 예방과 감지, 그리고 경감활동이다. 기업들은 이 세 가지 활동을 따로 나누기보다는 유기적으로 수행하는 것이 좋다. 기업들은 효율성 및 자원의 제한 등을 고려해 항목별 영향도 및 현 관리수준을 평가해 리스크를 우선 순위화하는 작업이 필요하다. 이는 과징금이나 피소 등 법적인 조치가 따르는 일인지, 영업 활동에 차질을 빚는 일인지, 기업의 이미지에 문제가 생기는 일인지, 손실 규모는 얼마나 되는지 등을 분석하는 과정이다. 또 현 시점의 관리 수준이 취약한지, 우수한지를 파악해야 한다. 이에 따라 영향도는 높고 관리수준은 낮은 항목을 우선적으로 개선해 나가야 한다.
 
예방활동(Prevention): 주요 법률/규제 등록/관리, 사전 심의 프로세스 관리, 자가진단 수행, 안내데스크 운영, 교육 운영
 
감지활동(Detection): 준법통제 모니터링 활동 지원, 내부고발자(Whistle Blower Program) 운영, 법률/규제 위반행위 조사 및 시정조치 프로세스 관리
 
경감활동(Response): 법률, 준법통제활동 운영 프로세스 관리, 준법 이슈 대응 결과 평가 지원, 재발방지대책 수립 및 정보공유 체계 지원, 위반사항에 대한 제재 관리
 
● 준법통제 매뉴얼 마련: 준법감시매뉴얼은 준법통제정책을 실천하기 위한 구체적인 절차와 준수해야 할 법령, 규정, 지시, 내부 규정 등을 명시하고 있으며 위반 행위를 발견했을 때 대처방법 등을 구체적으로 규정함으로써 내부통제제도의 실효성을 제고하기 위한 세부적인 실천지침이다. 준법통제조직 등의 하드웨어적인 요소만으로는 기업의 법률 준수 의무 이행이 담보되기에 충분치 않다. 기업이 전사적으로 언제든지 활용할 수 있는 개별 업무별 법적 위험을 매뉴얼화해 소프트웨어를 갖추는 것이 필요하다. 특히 법적 지식이 충분하지 않은 일반 임직원들로서는 법무팀에 문의해야 할 이슈인지 여부조차 판단하기 쉽지 않으므로 개별 업무별 법적 위험을 매뉴얼화할 필요성이 크다.
 
 
Phase 3: Integrated Control Plan 수립
● LCRM 체계의 운영은 1회성 또는 사례별 (특정 준법이슈 에 대해서만 대응)로 관리되는 것이 아니라 회사의 전 구성원이 준수해야 될 모든 법규의 위반 가능성이 존재하는지 여부와 그러한 위험을 어떻게 사전에 예방하고 대응하며 대응결과를 정기적으로 모니터링 보고하는 방식으로 지속적으로 운영되고 개선돼야 한다. 또 정기적으로 효과성과 효율성에 대한 테스트를 수행해야 한다.
 
● 부서, 업무별로 임직원의 법규 준수 여부를 점검함으로써 법규 위반을 예방하고 법규준수 의식을 제고하기 위해 각종 ‘체크리스트’를 마련해 운영해야 한다. 임직원과 유관 부서의 담당자들은 체크리스트의 점검항목을 숙지하고 자가진단, 점검을 내재화시키는 것이 중요하다. (기존 전사적 리스크 관리나 내부통제 시스템이 없는 경우에는 법률 리스크 통제, 관리를 위한 RCSA(Risk and Control Self Assessment) 수행방안을 수립하고 RCSA 수행 시 그 결과를 보고해 개선조치를 진행하는 것도 하나의 방법이다.)
 
Phase 4: Risk & Compliance Dashboard 구축
● 선행 단계 분석결과를 통해 나온 중점 관리대상 법률 리스크 중 키 리스크 인디케이터(Key Risk Indicator·KRI) 도출을 통해 모니터링으로 관리가 가능한 리스크에 대해서는 KRI를 선정하고 이의 측정방법과 임계치를 설정해 조기경보가 가능하도록 운영하는 방안을 마련할 수 있다. (리스크 사건에 선행해 모니터링 가능한 조기경보지표(EWI) 도출도 필요시 수행) 리스크 관리 고도화 차원에서 대시보드기능을 구현, 평상시에는 조직별/프로세스별 컴플라이언스, 리스크 관리의 현황을, 비상시에는 상황관리를 포함해 경영진의 주요 의사결정을 지원할 수 있다.
 
● LCRM 업무의 자동화를 위해 IT 관리 시스템을 도입하는 경우에는 다음과 같은 기능이 필요할 수 있다.
 
- 법규, 규정, 표준 매뉴얼, 교육 자료, 위반 사례, 베스트 프랙티스 등을 포함한 DB 구성
- 법률, 준법통제 유효성 검증, 준법통제 대응/진척 현황 관리, 주요 업무의 사전 심의, 제보(Whistle Blower Program), 문의(Helpdesk) 등의 모니터링 기능
- 기존 운영 시스템(ERM, 내부통제 등) 및 외부 관련 시스템 연계
 
 
중소기업의 대응
대기업들은 법률 리스크 관리를 할 여력도 있고 실제로 상법 제542조 13에 따라 상장회사는 준법통제기준을 의무적으로 마련해야 한다. 그러나 사내 법무팀이나 자문변호사도 없는 중소기업들은 법률 리스크를 따로 관리하기가 벅찬 것이 사실이다. LCRM와 같은 전사적인 법률 리스크 관리 시스템은 차치하더라도 법무 담당 직원을 당장 어느 부서에 둬야 하는지도 명확치가 않다고 호소하는 중소기업들이 많다.
 
 
 
전문가들은 법률 리스크 관리 체계가 열악한 중소기업에서는 세무법인이나 회계법인 등의 외부 전문가와 함께 일해본 경험이 있는 재무부서나 회계부서에 법무 담당 직원을 배치해서 외부 로펌과 일을 할 수 있도록 하는 것이 좋다고 설명했다. 이 법무 담당 직원은 회사의 내부 준법 모니터링 업무를 하면서 문제가 생겼을 때 외부 자문을 구하는 역할을 해야 한다. 그러나 혼자서 임직원들이 업무수행과 관련해 법규를 준수하도록 통제하고 감독할 수는 없다. 따라서 중소기업들은 각각의 부서들이 다른 부서가 하는 일을 서로 체크할 수 있도록 조직을 구성해야 한다. 예를 들면 생산 부서가 영업 부서를, 또는 회계 부서가 사업 부서를 서로 체크할 수 있도록 하는 것이다. 하지만 무엇보다도 CEO가 법률적인 문제는 잘못되면 회사의 존폐가 걸릴 정도로 중요한 문제라는 인식을 갖고 관련 리스크를 관리하는 것이 중요하다. 비용이 들더라도 법률 리스크 관련 직원 교육을 하거나 자문 변호사를 두고 법률적인 문제와 관련된 일은 상담을 받는 것이 좋다.
 
자문 변호사가 부담스럽다면 법률비용보험이나 법무부의 중소기업 법률지원단을 이용하는 것도 고려할 만하다.
 
● 법률비용보험: 법률비용보험은 법적 분쟁이 발생했을 때 보험사가 피보험자에게 법률 상담과 일정 한도 내에서 소송과 관련된 비용을 보장해주는 손해보험의 일종이다. 비용에는 변호사 선임 비용과 인지대, 송달료 등이 포함된다. 국내에서는 낯선 보험이지만 선진국에서는 많이 보급된 제도다. 변호사 자문료는 변호사에 따라 다르지만 통상 월 50만 원부터 시작하는 것이 보통인 데 반해 독일계 법률비용보험사인 DAS가 1월에 내놓은 소상공인을 위한 ‘비즈니스 리걸 케어(Business Legal Care)’ 보험 상품은 이보다 싼 가격에 사업장과 종업원의 권리까지 보장해 준다. 다만 이 보험은 3년 계약을 하는 소명성 보험으로 만기 환급금이 없으며 가입 전 사고는 보상이 안 된다는 점을 유의해야 한다. 이미 소송이 진행 중이거나 소송 발생 가능성이 아주 높은 상황에서의 가입은 소용이 없다는 뜻이다.
 
● 법무부 중소기업 법률지원단: 중소기업에서 일어나는 법률 문제에 대해 법무부 중소기업 법률지원단 소속 전문가들이 법률상담과 자문서비스를 해주는 제도다. 기업 경영과 직접 관련이 없는 경영자 개인의 법률문제나 기업활동에 관련된 형사사건이 아닌 일반 형사사건(불법행위로 인해 대표자나 종업원이 고소, 고발된 사건 등)은 제외된다. 법률지원단 소속 검사나 변호사, 법무관이 행하는 상담과 자문은 무료지만 법률자문단 소속 변호사가 자문이나 소송수행을 하면 중소기업청에서 200만 원 한도로 비용을 지원한다. 다만 수익자부담원칙에 따라 지원되는 비용의 30%는 신청업체가 중소기업청에 내야 한다. 비용이 200만 원을 초과하면 초과 부분에 대해서는 신청업체가 부담한다
 
 

지멘스의 법률 리스크, 준법지원 활동은 크게 기업 리스크 관리(ERM)와 내부통제시스템(ICS) 체계 하에서 이뤄지며 Policy & Control Masterbook(PCMB) 문서에 관련 기준이 정의돼 있다.
 
안내데스크 제도는 지멘스의 준법 프로그램의 예방과 발견 및 지속적인 향상을 위해 만들어졌는데 전 세계 거의 모든 언어를 사용할 수 있으며 외부인과 임직원들이 24시간 독립적인 외부 서비스업체를 통해 운영하고 있다. (200여 개 언어가 지원되는 안내데스크24시간 운영(예방/감지 역할) 시스템을 구축해 실행)
 
● 다양한 질문들을 e메일을 통해 안내데스크로 보낼 수 있음(Ask us-질의기능)
● 선물 및 접대의 승인 신청을 위한 ‘Approve-it’ 또한 안내데스크에 포함돼 있음
● ‘Find it’은 직원들이 보다 쉽고 빠르게 준법과 관련된 다양한 내용들을 검색할 수 있는 기능을 제공함
● 준법 안내데스크의 ‘Tell Us’는 내부 고발자의 핫라인으로 준법위반사항을 보고할 수 있음
● 익명으로 고발된 정보는 즉각적으로 안내데스크에 전달되지만 안내데스크는 해당 정보에 대한 추적이 불가
● 모든 정보들은 안내데스크에 의해 기록되고 준법 법률 담당 부서의 전문가들을 통해 추가적인 조치나 조사가 필요한지, 혹은 의혹에 대한 합리적인 근거 등이 있는지 등을 자세히 검토
 
 
 
 
김선우 기자 sublime@donga.com, 권우철 딜로이트 기업리스크자문본부 1 상무 wkwon@deloitte.com, 함지원 딜로이트 법무실 변호사 jiham@deloitte.com
 
 
관련기사