2014년부터는 자산총액 5천억 원 이상의 모든 상장회사가 상법이 요구하는 요건을 갖춘 준법통제 프로그램을 설계하여 운용하여야 한다. 이러한 법적 의무를 부담하게 된 해당 기업들은 자신들의 지배구조 하에서 상법의 요구에 부합하고 효율적으로 작동할 수 있는 적정한 수준의 준법통제체제를 마련하여야 하는 적지 않은 부담을 안게 되었다. 그런데 상법상 준법통제제도도 종전의 내부통제법제들과 마찬가지로 충분한 사전 논의 없이 일정 수준의 프로그램을 강제하는 입법을 했을 뿐 기업들의 자율적 참여를 유도하는 세련된 방책을 함께 추진한다거나 기업계와 지속적으로 소통하여 긍정적인 분위기를 조성하려는 노력을 얼마나 해왔는지 의문이다. 정부나 학계의 지속적이고 적극적인 관심 없이 상법상 준법통제제도가 기업 속에 안정적으로 뿌리내려서 의도한 만큼의 효과를 낼 것이라는 기대는 과욕이다. 현행 법령의 입법적 미비사항에 대한 검토는 물론이고 준법통제체제의 운용상 문제점, 체제운용에 대한 기업 고객들의 반응 등을 지속적으로 조사하여 법적 개선방안을 모색하고 실무적 방책을 제시하여야 하는 책무는 기본적으로 정부가 부담할 수밖에 없다. 다만 정부의 이러한 책무는 학계나 기업계 기타 기업 관련 단체들의 유기적인 협조나 자발적인 지원 없이 성공적으로 이루어낼 수 없다는 사실도 우리는 알고 있다. 학계는 정부와 기업들이 제기하는 현행 법규의 해석상 의문을 신속하게 해소해주고 실무적 쟁점에 대하여도 법리적 가이드 라인을 제공해주는 역할을 담당하여야 한다. 특히 이 시점에서는 많은 기업들과 소통하여 기업들의 현실과 어려움을 함께 공유하고 있는 기업 관련 협회들이 기업들의 수요에 따른 수준별 표준기준이나 다양한 형태의 운용모델을 공급하는 일에 적극적으로 나서주어야 한다.

본 논문에서는 기업들이 현행 상법이 요구하고 있는 준법통제프로그램을 합리적이고 효율적인 모습으로 구성하여 운용할 수 있도록 지금까지 제기된 법적 ‧ 실무적 쟁점을 분석하고 필자 나름의 실무적 방안이나 입법적 대안을 제시하고자 한다. 이를 위하여 현행 법령은 물론이고 각종 표준규정이나 가이드 라인까지 비교적 상세히 검토하였으며, 내부통제를 선도하고 있는 영미권의 분석 자료나 통계 자료도 살펴보았다. 특히 기업마다 적법하고 적정한 준법통제기준의 제정이 효율적인 준법통제체제를 위한 절대적인 요건이므로, 준법통제기준에 관한 국내외 법령은 물론이고 법무부와 한국상장회사 협의회가 공동으로 2012년 공표한 ‘상장회사 표준준법통제기준’의 주요내용을 분석하여 소개함으로써, 적정한 준법통제기준 모델을 찾고 있는 기업들에게 다소나마 도움이 되도록 노력하였다.1)

또한 우리의 경우, 상법뿐만 아니라 각종 금융관계법, 주식회사 외부감사에 관한 법률 등에 내부(준법)통제 관련 법령이 일정한 체계 없이 산재되어 규정되어 있다. 향후 내부통제의 중요성은 점점 더 강조되어 각종 법령에서 내부통제 관련 제‧개정작업이 계속될 것으로 예상된다. 따라서 법계통에 따른 법령 전체적 차원의 정비 없이 지금의 상태가 유지된다면 내부(준법)통제 법제의 바른 이해가 원천적으로 곤란한 상태가 지속됨은 물론이고 법적용상 혼선, 기업들의 체제운용상 어려움 등이 증폭될 가능성이 크다. 따라서 본 논문에서는 단기적 대책으로 현행 상법상 준법통제제도의 입법적 미비사항이나 개선사항을 검토하고, 더 나아가 국내의 모든 내부(준법)통제 관련 법제를 대상으로 하는 법령상 체계 정비 작업, 즉 법계통에 적합하게 규정의 소재(所在)와 내용을 정비하는 장기 프로젝트의 방향성도 생각해보았다.

1)2012년 법무부와 한국상장회사협의회가 공동으로 상법상 준법통제프로그램을 구축하여야 하는 상장회사들을 위하여 ‘상장회사 표준준법통제기준’을 제정하였다. 필자가 상장회사 표준준법통제기준 제정위원회의 일원으로 이 기준의 설계와 축조에 참여하면서 품었던 개인적 소견이나 이런 저런 이유에서 표준기준에 반영되지 못한 제정위원회 논의 사항들도 본 논문에 담기위하여 노력하였다.

준법통제는 경영상 제 위험의 통합관리프로세스인 내부통제의 부분적 개 념이라고 볼 수 있기 때문에2) 내부통제 속에서 개념을 파악해야 함을 물론 이고 준법통제프로그램 내용의 디자인이나 지배구조적 편제구성도 내부통제 프레임의 이해 없이 이루어질 수 없다.

내부통제란 회사의 경영상 목표를 달성하기 위하여 위험을 관리하는 구성원의 행위통제 과정을 의미하므로 필연적으로 해당 기업의 지배구조가 내부 통제 프레임의 배경이 되는데, 경우에 따라서는 설치되는 내부통제 프레임의 모습에 따라 기업지배구조의 변화가 초래되기도 한다. 이처럼 내부통제체제를 설계하고 운용하는 것은 기업지배구조와 밀접한 관련성을 가진다 하겠다. COSO(Committee of Sponsoring Organization of the Tresdway Commission)는 2014년 2월 발표한 「Improving Organizational Performance and Governance-How the COSO Frameworks Can Help」라는 페이퍼에서, 내부 통제가 기업지배구조에 있어 왜 중요한지, 그리고 내부통제 프레임 작업이 기업 활동과 지배구조의 향상에 어떻게 도움이 될 수 있는가 등에 관하여 설명하고 있다.3) 이 2014년 COSO 페이퍼를 간단히 정리해 보면, “비즈니스 모델(business model)은, 기업의 비젼(vision)과 목표 뿐 아니라 각 기관들의 권한분배 및 책임관계를 명확히 하고 경영계획 수립과 실행을 감독하는 효과적인 이사회의 감독시스템을 지닌 지배구조와, 효율적인 전략수립 등을 분명하게 확보할 수 있는 각종 경영 집행행위들을 담고 있어야 한다. 비즈니스모델에서 전략수립이란 경영진(이사회 또는 집행임원)이 (거시적 차원에서) 기업의 비젼을 설정하고 이를 달성하는데 필요한 (미시적 차원의) 목표 들을 파악하여 높은 수준(high-level plan)의 이행계획을 마련하는 것을 의미한다.4) 내부통제 프레임은 보통 ERM(Enterprise Risk Management) 프레임과 Internal Control 프레임이 결합된 것으로 보는데, 이 통합프레임은 경영진들이 경영목표의 달성을 위하여 제반 위험을 평가한 뒤 위험들을 기업이 수용 가능한 수준까지 감소시키거나 완전히 제거하는 과정을 의미한다. 세부적으로 보면 ERM 프레임은 위험관리를 위한 전략수립에 초점이 있고, Internal Control 프레임은 수립된 위험관리전략에 따라 그 위험들을 대처하는 과정에 핵심이 있다. 따라서 일반적으로 ERM 프레임은 회사의 의사결정시 평가된 위험을 고려하도록 하는 지배구조 및 경영판단 과정을 주요 요소로 하고, 위험 대응 시스템인 Internal Control 프레임은 기업마다 각자의 위험선별 (risk appetite:기업의 위험관리방침, 경영스타일, 해당 기업계의 문화 등을 의미)원칙에 따라 경영목표 성공을 위하여 위험을 최대한 감소시킬 수 있도록 고안한 프로세스를 의미한다. 이처럼 통합적 내부통제프레임은 경영목표의 성공을 위한 프레임이므로, 비즈니스 모델에서 이사회나 집행임원들에게 기업의 목표성공에 확신을 줄 수 있도록 설계되어야 하고 필연적으로 사업 운용과정에 밀착된 상태로 장착되어야 하는 것이다.”

2014년 COSO보고서는 내부통제 프레임을 기업지배구조의 적정성과 효율 성을 지원하고 지지하는 프로세스로 파악하고, 적정하고 효율적인 내부통제 프레임은 기업의 경영상 목표의 성공적 달성을 지원하는 것은 물론이고 기업의 새로운 가치창출과 기존에 추구해오던 가치의 보호 사이의 최적화된 균형을 제공할 수 있다고 설명하고 있다.

앞에서도 언급한 바와 같이 준법통제가 기업의 위험 중 법적 위험을 관리 하는 체제로서 내부통제의 프레임 속에서 작동되고 평가되어야 하므로, 준법 통제체제의 구축과 운용도 기업 지배구조와 분리하여 평가되고 논의될 수 없음은 명백하다.5) 준법통제체제는 기업의 경영상 의사결정 및 업무집행 과정상의 법적 위험을 사전에 평가하고 이를 관리, 교육하여 경영목표의 달성을 지원하며, 기업의 법적 위험을 관리 가능한 상태로 유지하는 과정이다. 따라서 회사의 경영진은 적극적인 의지를 가지고 준법통제체제를 이루는 요소와 제반의 과정들을 경영목표에 맞추어 정렬시키고 자신들의 의지가 모든 임직원에게 전달되어 모든 부서가 관행적이며 제도적으로 참여 가능하도록 시스템을 설계하여야 한다. 즉 준법통제체제는 기존의 비즈니스 프로세스 안에 내장되어야 하고, 이에 따라 회사의 각 구성원은 지배구조의 원리에 따라 자기의 영역에서 준법통제와 관련된 각자의 역할과 책임을 부담하게 되는 것이다.6)

준법통제체제라고 하는 것이 기업의 전 구성원이 참여하여 자신들이 처한 법적 규제 환경의 실태와 동기를 인식 또는 예측하고, 파악된 법적 위험에 사전 대비하며, 불가피하게 위험이 현실화된 경우 신속한 사후 대응이 가능 하도록 하는 프로세스를 의미하는 것이어서, 준법통제조직이 기업 내에서 의미 있는 기능을 하기 위해서는 다른 조직과의 연계와 역할 분배를 합리적으로 설정하는 것이 무엇보다 중요하다. 이러한 준법통제조직의 회사 내 연계 성과 역할분배구조에 과한 논의는 준법통제조직이 어느 기관에 편제되도록 디자인하는 것이 바람직한가를 검토하는 준법통제 환경조성의 문제와 직결 된다. 준법통제조직의 편제문제는 그 해당 조직의 기능적 효율성 및 업무수행의 독립성을 확보하는 구조와 밀접한 관련이 있으므로 가벼운 사항이 아니다. 원칙적으로는 기업마다 규모나 영업의 종류 그리고 최고경영진의 경영철학 등에 따라 업무집행과 감독의 프로세스가 다양한 모습을 가지기 때문에, 준법통제부서의 편제도 다양한 경우의 수가 존재할 수밖에 없다. 그렇지만 기업들이 원칙적으로 자유롭게 준법통제체제의 편제를 설계할 수 있다고 하더라도, 상법상 기업지배구조의 원리에 따른 적합한 상호관계나 위에서 설명한 준법통제제도의 효율성과 독립성에 훼손을 주어서는 안 된다는 사실을 명심하여야 한다. 아래에서 준법통제체제의 조직적 편제와 관련된 몇 가지 쟁점들을 살펴보고자 한다.7)

2.1. 준법통제부서와 법률자문부서(사내변호사)

기업들이 준법통제체제의 구조를 설계하면서 쟁점이었던 사항 중의 하나가 기존의 사내변호사(In-House Counsel)가 담당하던 법률자문‧법무 지원 조직을 큰 변화없이 준법통제부서로서 활용할 수 있는가? 있다면 바람직한 것인가?의 문제이다. 우리나라의 적지 않은 상장기업들은 종전부터 사내변호사를 고용하여 기업지배와 같은 회사 내부적인 문제는 물론이고 송무, 행정 규제 등의 사항에 이르기까지 다양한 분야에서 법률상 대리인이나 자문인 역할을 해왔다.8) 상법상 준법통제제도가 도입되면서 이러한 사내변호사의 자문 및 지원업무는 준법지원인의 직무와9) 교집합을 이루는 부분이 적지 않다. 이런 측면에서 본다면 상법상 준법통제조직의 설치를 요구받고 있는 상장기업들이 기존의 사내변호사를 준법지원인으로 선임하여 기존 법률자문조직에 준법지원부서 기능을 겸하도록 하거나 준법통제부서 중심으로 전환시키는 방안을 택하는 것도 이상한 일은 아니다. 준법통제기준에 따른 자신의 고유업무 만을 수행하는 준법지원인을 별도로 선임하지 않고, 기존의 사내변호사를 준법지원인으로 선임하여 상법상 준법통제체제를 설계하는 것은 법이론적으로나 실무적으로 큰 문제는 없어 보인다. Compliance제도가 비교적 오래전부터 기업문화로 정착되어온 영미권에서도 법무(legal)부서와 준법감시 (통제)부서(compliance)의 분리 운용 문제는 하나의 답으로 정리되지 않는다.10) 법률자문(법무)부서의 구성원이 준법통제의 책임을 맡는 경우도 적지 않다. 다만 이론적으로는 양 부서를 나누어 설명하는 것이 보통이다.11) 또한 준법지원인은 사내변호사와는 달리 ‘변호사-고객 간 비밀보호에 관한 특권’(attorney-client privilege)관계가 성립되지 않는다는 점을 근거로 양자의 분리설치의 타당성을 얻기도 한다.12) 고객인 회사에 적용 가능한 법률요건과 법률적용 결과를 제공하는 책무를 수행하는 사내변호사의 경우, 사내변호사의 고객인 기업은 자신의 정보를 보호받을 특권을 가지므로 자문에 응한 변호사는 고객을 위하여 직무를 수행하면서 취득한 정보나 대화내용을 다른 제3자에게 누설하거나 제보하여서는 안 된다.13) 이와는 달리 준법지원인은 변호사의 지위를 가지고 있다고 하더라도, 준법통제체제의 핵심 지휘자로서 회사 위험의 탐지, 조사, 감독 그리고 이를 보고하는 직무를 수행하는 자이기 때문에 준법지원인의 업무성격상 고객-변호사 사이의 비밀보호특권관계와는 조화되지 않는다는 것이다.14) 양 조직이 분리 설치되면 준법통제체제에서도 각기 역할을 나누어, 사내변호사는 경영진의 자문에 응하여 회사가 직면한 법적‧제도적 규제를 분석하고 법적 위험을 효율적으로 관리할 수 있는 준법통제 및 윤리 프로그램(compliance and ethics program)의 기본 체제를 설계하는 역할을 담당하는 반면, 준법지원인은 설계된 준법‧윤리 프로그램이 특정 법률이나 규제에 대하여 실질적으로 실효성을 갖도록 세부사항을 갖추어 운용하는 역할을 담당하는 것이 가능하게 되고, 이런 양분 체제가 고객-변호사간의 고객비밀보호특권관계 인정여부를 판단함에 있어서도 혼선을 최소화 할 수 있다는 논리이다. 이러한 주장은 일응 타당하나, 최근 기업에 따라서는 사내변호사가 종전의 법률자문이나 거래계약서 검토 등을 넘어서 경영일선 및 행정업무 등 다양하고 복잡한 역할을 담당하는 경우가 많고,15) 준법지원인도 상급임원직으로 선임되는 경우 준법통제체제의 기본 프레임을 설정하는 권한을 갖는 등 경영진과 고도의 정보를 공유하는 경우가 적지 않아서 이러한 논리가 보편적 근거로써 수용되기에는 어려움이 있다고 본다. 국내에서의 논의 중에는 사내변호사와 준법지원인의 겸직을 사실상 허용하여서는 안 되는 근거로, 준법지원인의 겸직제한을 규정하고 있는 상법시행령 제42조와 상장회사 표준준법통제기준 제11조를 드는 경우가 있다.16) 상법시행령 제42조(영업업무의 제한)의 입법취지는 상시 준법통제업무를 수행하는 준법지원인이 회사의 영업행위를 겸하는 경우 준법점검에 있어 점검 자와 피검자가 동일인이 되는 부적합한 현상이 발생할 수 있고, 무리하게 영업업무를 겸하는 경우 정력분산으로 인하여 적절한 준법통제업무수행에 장애가 발생할 수도 있다는 우려를 반영한 규정이므로, (종전의 사내변호사 업무가 영업과 직접적으로 관련된 업무가 아닐 뿐만 아니라) 준법지원인의 사내변호사 업무의 겸직이 준법통제업무수행에 부담을 주지 않는 한 이러한 법령이나 표준통제기준 들이 준법지원인 분리선임이나 준법통제조직의 분리 설치 요구의 타당성을 뒷받침 하는 근거가 되기 어렵다.

결국 준법통제조직의 분리 설치‧운용이 준법통제체제의 적법성과 효율성을 확보하는데 필수적인 요건이라는 논증은 성립하기 어려운 만큼, 준법통제 조직의 독립 기구화 문제는 원칙적으로 기업 스스로 회사의 전반적 사정과 조직의 실효성 및 기여도를 판단하여 결정할 사항이 아닌가 한다. 즉 필자는, 이 문제가 근본적으로 기업 마다 자신들의 내부 조직의 규모나 처한 법적 규제의 환경 그리고 비용부담문제 등을 고려하여 판단할 수 있는 사항이라고 생각한다.

다만 상법상 준법통제체제의 설치가 강제되는 자산규모 5천억 원 이상의 상장회사의 경우에는, 회사의 규모나 자산능력으로 볼 때 회사에 특별한 사정이 없는 한 종전의 사내변호사 조직과 상관없이 준법통제의 전담조직을 독립적으로 경영라인에 설치할 것을 권장할 필요가 있다는 것에 동의한다. 특별한 사정이 없는 한 준법통제조직의 독립적 운용이 효율성과 실효성 확보에 있어 상대적으로 유리하다는 것은 부인할 수 없기 때문에, 기업들이 자신들의 특별한 사정이나 특수한 환경을 설득력 있게 설명하지 못하는 한 독립적인 조직 구성이나 독자적인 운용체제를 거부할 명분이 없다. 그리고 한 가지 분명한 것은 기존의 사내변호사 조직을 변화 없이 활용하여 적정한 준법통제체제가 되지 못하는 경우 이사는 회사나 제3자에 대하여 선량한 관리자의 주의의무 위반으로 손해배상책임을 부담할 수 있다는 점이다(상법 제399조, 제401조).

2.2. 준법통제조직의 구조적 편제

준법통제조직을 구조적으로 어느 기관 산하에 편제할 것인가의 문제는 준법통제조직의 지휘‧감독관계는 물론이고 준법지원인의 회사 내 직급수준 결정, 준법통제의 보고체계 등과 관련하여서 중요한 사항이다. 준법통제가 내부통제 프레임의 일부로서 경영 지원체제인 만큼 준법통제부서가 경영라 인에 편제되어 함은 이론이 있을 수 없다. 금융관계법상 준법감시인과는17) 달리 상법상 준법지원인이나 준법통제부서를 의사결정이나 업무집행을 수행 하는 경영라인이 아닌 감사나 감사위원회 같은 감사(監査)기관에 편제하는 것은 허용되기 어렵다. 감사는 준법지원인을 겸직할 수 없고,18) 감사 산하 통솔 조직으로 준법지원인을 편제하는 것도 타당하지 않다. 감사와 경영 어느 한 조직이 다른 조직의 기능이나 업무를 겸할 수 있도록 편제하는 것은 상법상 허용되지 않는다고 보는 것이 옳다.19) 원칙적으로 이사는 준법지원인 의 지위를 겸할 수 있으나, 감사위원인 경우에는 겸직할 수 없다. 감사위원이 준법지원인을 겸할 수 없는 것은 기본적으로 감사기관의 경영업무 겸직 불가 논리상 당연한 것인데, 사외이사인 감사위원인 경우에는 준법지원인의 상근성과도 충돌한다. 그렇지만 감사기관에의 편제를 불허하여야 하는 무엇 보다 중요한 이유는, 준법지원조직을 감사기관의 보조기구로 하여 또 하나의 경영견제조직의 인상을 주는 것은 기업현장에서 경영진의 불필요한 정서적인 저항을 유발할 것이기 때문이다. 준법통제제도가 준법 위험의 전문적이고 시스템적 관리를 통하여 경영진의 준법경영을 보장하고 지원해주는데 초점이 있음을 상기할 필요가 있다.20)

준법통제조직을 경영진의 산하로 설치하는 경우, 준법지원인을 비롯한 준법지원부서를 대표이사나 대표집행임원(CEO)의 직속으로 편제하는 방안이 가장 일반적일 것으로 판단된다. 이사회는 준법지원인을 선임하고(상법 제 542조의13 제4항) 준법통제기준을 제‧개정하는(상법 제542조의13 제1항, 상법시행령 제40조 제2항) 등 준법통제체제의 기본 프레임과 구축 및 운용상 중요사항만을 결정하고,21) 준법지원인 등의 준법통제부서는22) 대표이사나 대표집행임원 직속으로 편제하여 이들의 지휘와 감독을 받도록 하는 직제이다. 물론 어떤 형태의 직제라 하더라도 이사회가 정기적으로 준법점검의 결과와 업무수행상황을 보고받게 되는 체계가 되어야 한다(상법 제542조의13 제3항). 대표이사나 대표집행임원 직속으로 준법지원인을 편제시키는 것이 해당 기업의 특별한 사정이 없는 한 가장 효율적인 직제라고 주장하는 것은 이러한 편제가 바로 이사회로 준법점검의 결과나 기타 관련 정보가 가장 원활하게 보고될 수 있는 프레임이기 때문이다. 대표이사나 대표집행임원은 이사회의 지침에 따라 준법통제조직을 완성하고 기타 준법통제체제의 운용을 위한 세부사항을 결정하여 실질적으로 시스템을 작동시키며 준법통제 하위조직을 감독한다. 따라서 대표이사나 대표집행임원은 준법지원인으로부터 상시적으로 새로운 법적 위험에 대하여 보고 받고, 사전 교육 및 대응방안을 마련하며, 이를 이사회에 보고하게 된다. 이사회가 항상 준법통제체제의 가동을 통하여 법적 위험에 대한 충분한 정보를 얻을 수 있다는 확신을 갖도록 하는 것이 중요한데 이 편제가 이를 만족하는데 가장 유리하다고 판단된다. 다만 대표이사나 최고집행임원 직속으로 법률자문부서(general counsel)가 구성되어 있는 경우에는 준법지원인을 법률자문조직 책임자 산하에 두고 정상적인 상황에서는 준법지원인이 법률자문부서 책임자에게 보고하도록 하는 방안도 있다.23)

회사에 따라서는 준법통제조직을 이사회가 직접 통솔하기 위하여, 이사회내 위원회로 준법통제위원회(Compliance Committee)를 설치할 수 있다. 이런 모델인 경우 준법통제위원회 위원으로 준법지원인을 선임할 수도 있고,24) 준법지원인을 준법통제조직과 함께 준법통제위원회의 직속으로 편제하는 방식을 취할 수도 있다. 이 같이 이사회가 준법통제부서를 직접 통솔하는 구조는 이사회와 준법통제조직과의 원활한 소통이라는 측면에서 강한 장점을 가질 수 있다.25) 회사가 이사회 내 위원회로 내부통제위원회를 설치하거나 이사회 직속으로 내부통제인을 선임하여 회사 위험을 전사적으로 관리 하는 프레임을 갖춘다면, 준법지원인은 당연히 내부통제위원회나 내부통제인 직속으로 편제되는 것이 자연스럽다. 이런 모델에서는 기업의 제반 위험26) 관리를 총괄 지휘하는 내부통제인 산하에 위험별로 관리책임을 지는 위험부문별 통제전문가를 선임하는 방식을 채택하는 것이 보통일 것이다.

상법의 적용대상인 상장회사는 상법이 요구하고 있는 내용을 성실하게 담아 준법통제기준을 제정해야 함은 물론이다(상법 시행령 제40조). 준법통제 기준의 제‧개정 권한은 이사회가 갖는 것이지만(상법시행령 제40조 제2항), 이사회 내 준법통제위원회가 설치된 경우에는 정관에 다른 정함이 없는 한 준법통제위원회가 이사회로부터 위임을 받아 제‧개정권을 행사할 수 있다(상법 제393조의2 제2항).

준법통제기준은 준법지원인의 업무범위 및 과정을 설명하고 준법통제체제의 기본적인 프레임을 결정하는 준법통제체제에 관한 실질적 사내 최고규범 이라고 할 수 있다. 따라서 준법통제체제의 정점에 있는 이사회는 준법통제 기준을 설계함에 있어 관련 법령의 내용을 충실하게 수용해야 함은 물론이고 자신들에게 적정한 수준인가를 고민하여야 한다.27)

아래에서 법정 요건을 충족하고 적정한 수준을 갖춘 준법통제기준을 설계 함에 있어서 검토하여야 할 몇 가지 쟁점들을 살펴보고자 한다.

3.1. 준법지원인의 업무범위

준법지원인은 법적 위험(legal risk)28)을 관리하는 자로 이를 위해 사전에 준법교육과 훈련을 시행하고 준법통제기준의 준수여부를 점검하여 이사회 등에 이를 보고하는 것을 업무로 한다.29) 그런데 회사가 준법영업을 위하여 고려해야 할 법적 위험(compliance risk)은 영업에 관련된 법률적 위험을 중심으로 하는 협의의 법적 위험 이외에도, 각종 감독규제사항, 신용이나 평판에 영향을 줄 수 있는 사항, 공인된 사업표준규정이나 회사 내규 관련사항 등을 모두 포함한다고 보아야 한다.30) 회사는 준법통제기준을 설계하고 축조하면서 준법지원인이 평가하여 사전 교육하고 대응을 건의해야 하는 법적 위험을 넓은 의미의 준법위험(compliance risk) 개념으로 이해하고 진행하여야 한다.

또한 기업들이 준법통제기준에 기업윤리나 경영방침 등을 관리대상에 포함하여, 준법지원인이 윤리프로그램까지 관리하도록 하여야 하는 가?의 문제를 검토해볼 필요가 있다. 영미권에서는 회사들이 준법통제 목적의 일부로서 윤리사항을 포함시키거나 별도의 윤리프로그램을 만들어 진행하면서 이를 유기적으로 연결하는 체제를 갖추는 것이 일반적이다.31) 윤리 관련 업무는 법무부서가 담당하거나 별도의 부서를 설치하기도 하고, 준법통제 책임자가 윤리 책임자를 겸직하여 업무를 수행하기도 한다.32) 상장협 표준준법통제 기준 제정위원회에서도 표준준법통제기준의 목적이나 준법지원인의 직무에 기업윤리사항을 명문화할지 여부에 대한 논의가 있었으나, 높은 수준의 준법 통제기준이라면 기업윤리사항을 당연히 다루고 있어야 하지만 그 당시 기업 들의 준법통제제도에 대한 오해와 거부감이 적지 않았고 준법지원인의 과도한 업무부담 그리고 임직원의 상시적 준법점검시스템에 대한 적응상 어려움 등이 고려되어, 명문으로 담지는 않기로 하였었다. 그렇지만 준법적 업무수행은 임직원의 이해상충회피자세, 회사 자산이나 정보에 대한 신중한 태도, 회사나 고객에 대한 정직하고 성실한 태도 등이 함께 준수될 때 완전한 의미를 갖기 때문에 기업들이 준법통제기준을 설계할 때 기업윤리사항을 함께 고려하여야 한다고 생각한다.33) 그런데 이러한 윤리프로그램이 실질적으로 성공하려면 준법통제부서 안에 강력하고 효과적인 윤리담당 팀을 설치하여 고결성과 강력한 윤리적 가치에 기초한 기업문화를 형성하고 회사의 기술이나 자산을 효과적으로 사용하는 자세를 갖도록 만들어야 한다.34) 또한 임직 원의 행동과 직결되는 윤리강령은 회사의 핵심가치에 기반하여 임직원들에게 어떤 행동이 적절한가를 명확히 설명하여야 하고, 윤리적 문제에 직면하였을 때 누구로부터 어떤 조력을 받을 지도 언급하고 있어야 한다.35)36)

그리고 준법통제 과정은 회사의 전 업무과정을 실효적으로 통제할 수 있도록 설계하여야 하므로 기업집단의 경우에는 당해 회사뿐만 아니라 자회사나 계열회사 그리고 영업상 대리인 등을 모두 포함하는 연계된 프로세스를 구축할 필요가 있다.37) 일본 회사법은 모자회사관계의 기업단체에 있어서는 해당 기업뿐만 아니라 기업단체 전체에 있어서 업무의 적정성을 확보하기 위한 내부통제체제를 구축하도록 요구하고 있다(일본 회사법 시행규칙 제112조 제2항 제5호). 우리나라의 대기업 중에서도 계열사마다 별도의 준법통제 부서를 설치하고 그룹전체를 통제하는 준법통제실을 중심으로 연계적 운용을 시도하는 경우가 있다.38)

3.2. 준법통제기능과 감사(監査)기능의 조정

준법통제체제는 감사체제와 기능적으로나 편제 구조적으로나 다른 위치에서 있다는 것은 이미 언급하였다. 준법통제기준이나 기타 하위 강령이나 지침(manual) 등을 만들 때,39) 기업들이 준법지원인과 감사기관의 역할 및 기능을 바르게 구분하여 이해하고 있는가는 매우 중요하다.

감사기관은 회사업무의 감사권이 있으므로 이사회나 집행임원들이 적법‧유효하고 적정한 규모의 준법통제체제를 구축하여 실질적으로 운용하고 있는 가를 감사할 권한이 있다. 이를 위해 감사는 언제든지 준법통제를 담당하고 있는 이사에게 보고를 요구하거나 감사를 실시할 수 있다(상법 제412조 제2항). 준법지원인이나 내부감사인에게도 동일한 보고 요구권을 행사할 수 있다고 보는 것이 타당하다. 또한 감사는 이를 위하여 필요한 경우 이사회의 소집을 청구하거나 개최되는 이사회에 출석하여 준법통제 사항에 때하여 감사한 내용을 진술할 수 있다(상법 제412조의4 제1항, 제391조의2 제1항). 만일 준법통제업무와 관련하여 이사가 위법행위를 하거나 할 염려가 있을 때에는 감사가 이사회에 이를 보고할 의무를 부담한다(상법 제391조의2 제2항).

이러한 감사기관의 행위에 있어 필요한 경우 회사의 비용으로 전문가의 도움을 받을 수 있는데(상법 제412조 제3항), 영미권 회사에서 이러한 권리는 보통 고문(advisor)을 둘 수 있는 권리로 설명되어진다. 감사위원회가 회계나 재무의 실무 전문가나 특정분야의 법률전문가를 참석시켜 조언을 구하는 것인데, 준법통제업무 감사와 관련하여서도 이러한 고문제도가 활용될수 있다.40) 기본적으로 체제의 유효성 평가를 행할 책임은 이사회에 있지만, 이러한 체제 평가역할을 이사회 감시기구인 감사기관에 부여하는 것도 지배 구조적으로 어색한 일이 아니다. 상장회사의 회계감사의 경우 감사기관은 감사업무를 수행하면서 외부감사인과 충분한 소통을 통하여 정보를 얻기도 하는데, 외부감사의 지적사항에 법적 위험사항에 해당하는 것이 있는 경우 감사기관은 적절한 조치를 취하여야 한다.

기업들은 회사 내부에 내부감사부서를 설치하는 것이 보통이다. 내부감사인은 일반적으로 대표이사나 대표집행임원 지휘 하에 부서별 업무를 식별하고 업무수행상황이나 부서별 위험통제활동 등을 살피는 역할을 담당한다. 따라서 내부감사부서는 보통 경영라인 속에서 자신의 수행하는 업무의 범위 내에서 준법통제체제상의 일정한 역할을 담당하게 된다.41)42) 내부감사부서의 업무의 성격을 감안할 때 준법통제와 관련하여서 내부감사부서와 감사(監査) 기관과의 연계성을 어떻게 설정하는 것이 바람직한 것인지에 관하여 검토해볼 필요가 있다. 만일 위에서 논의한 일반적인 조직구조가 아니고 내부감사 부서가 감사기관의 하위조직으로서 감사실무 지원기관적 성격이 강하다면, 내부감사부서는 준법통제체제 속에서 감사기관에 대한 정보제공자로서의 역할을 주로 하게 될 것이다. 이런 형태에서는 감사기관이 내부감사인의 역할, 역량, 예산, 업무범위 등을 파악하고 이에 대한 제약이 없도록 조치할 책무를 가진다.43)

3.3. 법적 위험 평가과정의 중요성

준법지원인의 준법통제활동은 법적 위험의 평가 작업에서 출발한다. 준법 지원인의 사전교육과 연수프로그램 운용, 준법점검 및 보고행위는, 법적 위험 평가 작업이 미흡하거나 평가시스템에 흠결이 있는 경우, 그 실효성을 갖지 못한다. 경영진은 위험의 발생가능성과 그 영향력을 평가하는데 있어 서, 우선순위를 정하거나 질문지를 사용하는 등의 질적(質的) 기법을 동원하거나 확률적(value of risk, market value at risk, 손실분포 및 사후검증 등) ‧비확률적(민감도 분석, 시나리오 분석, 스트레스 실험, 벤치마킹 등)기법을 모두 사용하는 양적(量的) 접근법을 활용하기도 한다.44) 이러한 위험평가 작업은 준법지원인의 주도하에 영업활동 현장에서 이루어지는데, 어떤 방법을 사용하든, 법적 위험의 크기‧발생빈도 등을 검토하여 발생가능성을 판단하고 주요한 위법적 행위를 유형화하는 것이 핵심이다.45) 예를 들어 법적 위험 수준을 상-중-하로 나누고, 현장 부서별로 법적 위험의 내용과 그에 따른 위법행위를 유형화‧그룹화 하여, 회사 구성원이라면 누구나 용이하게 접근하고 이해할 수 있도록 하는 것이다.46) 해당 기업이 취약한 법적 위험유형을 순위표로 작성하여 가시화하는 작업도 필요하다. 최근 IT를 통한 위험 관리 필요성이 증대되고 있다. 첨단 IT시스템을 통한 업무 자동화장치를 통하여 위법행위 발생을 원천적으로 축소시키거나 회사 정보를 안전하게 보호하는 등의 IT 통제확립이 준법통제에서도 중요해지고 있다. 또한 경영진들은 회사 전산시설에 대한 불법적 사이버 공격에 적절하게 대응할 수 있는 IT위험 통제시스템을 갖추어야 함은 물론이고 이와 관련된 법적 예비조치나 사후대응 시스템을 on 또는 off라인으로 갖추어야 하는 포괄적인 IT 준법통제체제에 대하여도 진지한 고민을 하여야 한다.47)

3.4. 준법통제 보고체계의 직접성과 독립성

준법통제기준을 통하여 준법지원인이 시스템적으로 다른 임직원의 간섭을 받지 아니하고 자신의 직무를 수행하고 직속상관이나 이사회에 보고할 수 있는 보고라인을 확립하여야 한다. 상법 제542조의13 제9항에서 “준법지원인이 그 직무를 독립적으로 수행할 수 있도록 하여야 하고”라고 규정한 것은 준법지원인의 독립적 업무수행체제를 확보하는 것이 중요함을 강조하고 있는 것이다. 준법지원인의 임기를 3년으로 확정하고 이보다 단기로 정한 다른 법률의 적용을 배제하는 규정을 둔 것이나(상법 제542조의13 6항 전문, 제11항 후문), 준법지원인 이었던 자에 대하여 그 직무수행과 관련한 사유로부터 인사 상 불이익을 줄 수 없도록 한 것(상법 제542조의13 제10항) 등도 준법지원인의 독립적 업무수행을 간접적으로 지원하는 법적 조치이다. 그런데 준법지원인의 업무수행 체제의 독립성을 평가함에 있어서 가장 중요한 요건은 간섭 없이 상시 보고할 수 있는 보고라인의 확립이다. 준법지원인의 상급 지휘기관이나 이사회를 향한 보고체제는 기존의 영업지시‧집행보고 라인과 독립적으로 구축하는 것이 바람직하나,48) 기존 영업라인에 부착하여 구축하여도 보고의 속도 유지나 왜곡가능성 차단이 보장될 수 있는 환경이 라면 큰 문제는 없다고 본다. 다만 정상적인 보고 체제든 직보 라인이나 긴급보고 라인이든 어떤 형태로든 경영상 중요한 법적 위험사항이 절차상 장애나 내용상 가감 없이 이사회에 보고될 수 있도록 하는 것은 법정 의무사항이다(상법 제542조의13 제3항). 상법은 이처럼 준법통제조직과 이사회 사이의 직접적인 소통을 제도적으로 보장할 것을 요구하고 있는데, 이를 위하여 기업들은 준법지원인 자체를 이사회 위임기관인 집행임원(Chief Compliance Officer: CCO)으로 선임하거나, 내부통제집행임원(Chief Risk Officer: CRO) 정도의 상위 기관 직속으로 준법통제부서를 편제하는 등의 방안을 고려할 필요가 있다. 또한 이러한 보고라인은 준법통제기준상에 형식적이고 문서적으로 규정하는 것도 중요하지만, 부서별 행동 강령 또는 지침에 구체적인 세부운용사항을 규정하여 보고라인의 실효성을 확보할 필요가 있다.49)

종래 상장기업 중에는 사내변호사가 정식 결재라인 속에서 자신의 법적 검토 의견을 기재할 수 있는 절차를 둔 경우가 많았는데, 이제는 이러한 협조결재업무 라인에 준법지원인이 포함되어야 함은 물론이다.50)

3.5. 준법통제체제와 내부제보장치의 운용

많은 기업들이 익명으로 위법하거나 부당한 행위, 비윤리적 상황 등을 제보할 수 있는 내부제보시스템을 운용하고 있다. 상법상 준법통제체제를 설계 하면서 기존의 내부제보장치를 어떻게 활용할 것인지, 그리고 내부제보(고발)장치라고 하는 것이 준법통제체제에서 가지는 의미는 무엇인지 살펴볼 필요가 있다.51)

일상적인 내부제보는 익명성 때문에 준법통제체제상 보고 및 지시전달체제나 현명으로 신고하는 행위와는 구분되지만, 준법통제체제를 설계하면서 준법이나 기업윤리 관련 사항을 익명으로 제보할 수 있는 시스템을 구축하였다면 이러한 시스템과는 구분이 곤란하다. 준법통제체제상 익명제보시스템과 내부제보시스템을 구별할 실익은 없지만, 중요한 것은 어느 시스템을 통하여든 위법적이거나 비윤리적 사항의 익명제보가 있는 경우, 준법지원인에게 이 같은 준법통제 관련 제보사항이 정확하게 전달될 수 있는 시스템을 제도적으로 갖추어야 한다는 것이다.52)

익명의 내부제보시스템은 그 특성상 경영진이 이를 널리 알리고 장려하려 부담 없이 참여할 수 있는 분위기를 조성하고, 제보된 문제들에 대하여 적절한 결론이 내려지도록 주의 깊게 관찰하고 관리할 의지가 있는가가 무엇 보다 중요하다. 상당한 직급이상에서 이루어지는 거래 위조나 횡령 등의 위법행위는 내부 구성원의 제보가 없으면 드러나기 어렵기 때문에 내부제보시스템은 준법통제체제에서도 그 중요성이 적지 않다.53) 미국의 the Sarbanes -Oxley Act도 상장회사는 피용자의 재무‧회계 사항에 관한 익명제보를 처 리할 절차를 의무적으로 수립하여야 한다고 규정하여, 재무‧회계 사항에 한정되기는 하지만 내부제보제도를 법제 속으로 수용하였다(the Sarbanes-Oxley Act section 301).

3.6. 준법통제체제 유효성 평가시스템의 제도화 및 정례화

준법통제기준에 준법통제체제 자체의 구조적 결함이나 체제 운용상 장애 사항 여부를 평가할 정기적이고 제도적인 평가시스템을 규정하여야 한다.54) 이사회는 체제 유효성 평가의 주관자이자 최종 책임자이다.55) 감사기관과 연계하거나 외부 평가기관을 활용할 수도 있으나 어느 경우나 이사회의 책임 하에 이루어진다.

준법지원인은 실무부서 스스로 준법점검시스템의 유효성에 대한 내부자체 평가를 수행하도록 지휘하고 그 결과를 이사회에 보고하여야 하고,56) 이사회는 이와 별도로 매년 회사 전체 차원의 평가회를 개최하는 것이 바람직하다. 유효성의 평가는, 유효성 평가 시 사용하는 도구 및 데이터 선정문제57)에서 시작하여, 국내외 법률 및 감독규정상 변화에 따라 회사의 정책이나 절차가 업데이트되었는가 여부‧법적 위험에 관한 연수(교육)프로그램이 위법사항 파악 및 보고에 실질적 의미를 갖는지 여부‧보고 체제의 유효성 여부‧ 법적 평가시스템의 구체성과 가시성 확보 여부 등에 대한 문제를 실증적으로 검토하여야 한다.58)59) 영국의 재무보고위원회(Financial Reporting Council)는 지속적으로 준법통제보고서(준법통제체제 감독 결과, 준법지원인의 직무수행 상황, 준법지원조직이 실시한 자체평가 등이 담긴 보고서)를 작성하여 리뷰 하고 정기적인 연차평가를 빠짐없이 실시하는 등 투명하고 명확한 평가절차를 수립할 것을 강조하고 있다.60)

2)내부통제의 개념에 대하여는 일반적으로 2004년 COSO보고서(Enterprise Risk Management-Integrated Framework)의 정의가 사용되고 있는데, 이에 관하여는 “박세화, 내부통제시스템의 설계와 기업지배구조에 관한 회사법적 고찰, 「상사법연구」 제26권 제2호(2007), 290-293면; 정대, 주식회사 이사의 내부통제의무에 관한 연구, 「상사판례연구」 제21집 제4권 (2008), 175-177면; 최수정, 기업의 내부통제제도 확립을 위한 법적 개선방안, 연세대 박사논문, 2010, 8-23면”참조.  3)http://www.coso.org/documents/2014-2-10-COSO%20Thought%20Paper.pdf  4)2014년 COSO의 「Improving Organizational Performance and Governance -How the COSO Frameworks Can Help」paper에서는 비즈니스모델을 지배구조(governance)·전략수립(Strategy setting)·4가지의 실행요소(business planning, execution, monitoring, adapting) 등의 6개 요소로 설명한다. 지배구조(governance)‧는 기업내부에서 이루어지는 명령과 지시, 통제 및 감독 등의 행위나 그 과정 그리고 기관 및 기업 이해관계자 사이의 권한 분배 등을 의미하는 것으로, 이사회가 기업의 조직운영과 전략수립을 감시·감독하는 것에 관한 규칙과 실무상 프레임이 그 핵심이다. 효과적인 지배구조는 이사회가 기업의 다양한 이해관계인 사이의 책임관계를 명확히 하고, 공정하고 투명한 업무실행을 보장하는 상태라고 설명한다. 전략수립(Strategy setting)은 업무집행자가 기업의 전략적 목표(경영방침, 환경적 상황인식, 능력의 차별화, 능력 차별화를 위한 기반조성 등)를 실현하기 위한 높은 수준의 실천계획을 만드는 것이다. 이러한 전략수립은 기업마다 다양한 형태와 방식이 있을 수 있으며 창의력이 발휘되어야 하는 부분이기도 하다. 이사회를 중심으로 합리적인 지배구조가 작동되고 업무집행경영진에 의하여 전략이 수립되면, 그 전략을 성공으로 이끌기 위한 이행단계가 필요한데, 이 이행 단계는 Business planning(어떻게 회사를 운영하는 것이 회사의 전략상 목적을 성공적으로 달성할 수 있을까? 하는 측면에서 도출된 구체적이고 세부적인 ‘경영 로드맵’을 설정하는 것), Execution(기업의 가치와 전략에 따라 사업계획을 수립하고, 적절하게 업무를 이행하는 과정을 구축하고 운용하는 핵심적 기업운영활동을 의미 함), Monitoring(수립된 전략에 관한 기업 운영을 리뷰하거나 감독하는 경영 행위를 의미하는 것으로, 경영(장기 전략)목표의 성공을 위한 프로세스가 제대로 수행되고 있는 가? 제반 위험들이 수용가능(처리가능)한 상태로 유지되고 있는가? 등 의 측면이 모두 고려되어야 하고, 이에 관한 판단을 위하여 경제 환경, 영업상 경쟁자, 규제상황이나 산업발전적 측면에서의 최근 동향 등에 관한 기업 내‧외적인 요건이 모두 고려되어야 하는 단계를 의미함), Adapting(모니터링을 통하여 확인된 이슈들을 처리하는 과정 임. 위험에 대한 반응 및 내부통제시스템을 포함한 업무수행 전 단계에 있어서 후속행위나 수정 또는 변화가 필요한 사항 들을 분석하여 이행가능한 상태로 정리하는 과정임. 이 단계는 영업환경변화가 빠르게 변화하여 기업의 복원성과 민첩성이 강하게 요구될 때 그 중요성과 의미가 부각된다고 볼 수 있음) 4가지 요소가 순환하면서 반복된다고 한다[이러한 이행단계의 순환구조는 P(Plan) D(Do) C(Check) A(Act)의 흐름으로 순환하는 것이 경영과정, 내부통제, 생산 등에 있어 향상을 가져온다는 Dr. W. Edwards Deming의 주장과 본질적으로 맥을 같이 하는 것으로 표현상의 차이가 있을 뿐임].  5)박세화, 주식회사법대계 Ⅱ-내부통제와 준법지원인, 법문사, 2013, 1290-1291면 참조.  6)Richard M. Steinberg 지음·노동래 옮김, 거버넌스 리스크 관리 컴플라이언스, 연암사, 2013, 84-85면.  7)준법통제체제의 구조적 편제모델을 고찰함에 있어 준법지원인의 회사 기관성에 대한 검토가 선행될 필요가 있으나, 기관성 문제가 본 논문에서 다루는 쟁점에 직접적인 영향을 주지 않는다고 판단하여 구체적으로 다루지 않기도 한다(준법지원인의 기관성에 대하여는, “박세화, 상법상 준법통제제도의 실무상 쟁점 및 전망, 코스닥협회·건국대학교 법학연구소 공동학술대회-한국형 지배구조를 찾아서, (2013. 7. 12) 발표자료집, 56-57면” 참조).  8)주강원, 상법상 준법통제제도의 개선방향에 관한 연구, 「홍익법학」 제15권 제1호 (2014), 638면.  9)상법시행령 제40조, 상장회사 표준준법통제기준 제9조 참조.  10)조사에 응한 회사 중 40%정도만이 독립적으로 준법감시인이라고 명명하여 준법통제업무를 부여하는 것으로 나타난 통계도 있고[Cristie Ford & David Hess, Can Corporate Monitorships Improve Corporate Compliance?, 34 J. Corp. L. 679, 693 (2009)], 2009년 12월에 미국의 OCEG(Open Compliance and Ethics Group)가 발표한 조사결과에 따르면, 응답회사의 23%가 준법통제의 수장이 법무부서의 업무를 겸한다고 답한 통계도 있다(Richard M. Steinberg 지음·노동래 옮김, 전게서(각주 6), 91면 참조).  11)조창훈·이정진, 효과적인 컴플라이언스 기능 운영에 관한 소고, 「강원법학」 제38권 (2013), 702면.  12)주강원, 전게논문, 639면 참조.  13)우리 변호사법상 비밀유지의무에 관하여도 한번 생각해볼 필요가 있다. 우리 변호사법 제26조에 따르면, 변호사 또는 변호사이었던 자는 원칙적으로 그 직무상 알게 된 비밀을 누설하여서는 아니하는 비밀유지의무를 부담한다. 사내변호사 든 준법지원인 이든 변호사의 자격을 유지한 채 직무를 수행하는 경우에는 변호사법상 비밀유지의무에서 자유롭지 않다고 생각한다. 다만 준법지원인의 경우는 변호사의 지위를 유지한 상태라 할지라도, 윤리적이고 준법적인 영업활동을 확보하기 위하여 “탐지-위험평가-점검-보고 및 대응조치-체제유효성평가”등의 프로세스를 공개적으로 진행하는 자이므로, 특정 계약을 통하여 비밀유지의무를 부담하지 않는 한, 그 업무수행과 관련하여서는 비밀유지의무를 탄력적으로 적용할 필요가 있다. 그러나 기업의 위법행위에 대하여는 이에 협조하거나 적절한 조치를 게을리한 경우 사내변호사든 준법지원인 이든 변호사로서 법적·윤리적 책임을 부담한다고 본다. 2014년 2월 대한변호사협회는 ‘변호사 윤리장전’을 개정하면서, 사내변호사에게 기업 위법행위 협조금지의무를 넘어서서 ‘사내 위법행위에 대한 조치의무’를 부과하는 규정의 도입을 시도하였으나, 사내 변호사에 대한 제도적 보호 장치를 마련하지 않은 상황에서 의무만을 과도하게 부과한다는 반론이 받아들여져 추후에 추가적 논의와 검토를 하기로 하고 개정안에서 삭제한 바 있다[2014년 2월 25일 대한변호사협회 보도자료, “대한변협, ‘권리장전’개정”(http://www.koreanbar.or.kr/notice/board02_detail.asp)].  14)Bruce A. Ortwine, In-house counsel As ‘Compliance Generalist’, 34-FEB Pennsylvania Lawyer 28, 31-32(2012).  15)Jan C. Nishizawa, Ethical Conflicts Facing In-House Counsel: Dealing With Recent Trends And An Opportunity For Positive Change, Georgetown Journal of Legal Ethics Summer, 849, 852 (2007).  16)주강원, 전게논문, 640면.  17)현행 금융관계법들의 규정을 분석해보면, 규정상 준법감시인의 권한 및 보고라인 등을 감안할 때 이들 조직을 최고 경영진 산하로 설치하는 방안, 감사나 감사위원회로 직속 편제하는 방안, 내부회계관리자의 직속편제로 하는 방안, 위험관리인(Chief Risk Officer: CRO)산하로 편제하는 방안 등 다양한 편제방안이 논의될 수 있다. 금융기관들은 다양한 편제방안 중 장단점을 파악하여 자신의 기업에 적합한 편제방안을 택하면 되는 것이다(조창훈·이정진, 준법감시인의 편제와 보고체계에 관한 검토- CEO(이사회), 감사위원회(상근감사), 내부회계관리자, 위험관리인과의 편제구조 검토-, 「증권법연구」 제14권 제1호(2013) 115면 이하 참조). 최근 국내외적으로 재무회계담당임원(Chief Financial Officer: CFO)의 권한과 기능이 강화되어 회계분야를 포함한 강력한 내부통제시스템의 운용을 CFO가 총괄하게 되는 경우가 많은데, 이러한 경우에는 CFO 직속으로 준법감시조직을 편제하는 것도 하나의 방안이 될 수 있다.  18)상장회사 표준준법통제기준 제8조 제2항 참조.  19)예를 들어, 상법 제411조가 “감사는 이사 또는 지배인 기타 사용인의 직무를 겸할 수 없다” 고 규정하고 있는데, 이는 감사가 이사나 지배인 등 경영라인의 직무를 겸할 수 없다는 의미로 해석할 수 있어서, 양 라인의 독립의 원칙을 언급하고 있는 규정으로 볼 수 있다.  20)준법지원인과 감사기관사이의 비교 검토에 관하여는 “박세화, 전게서(각주 5), 1313면” 참조.  21)내부통제의 편제 방식이나 이사회가 결정해야 하는 내부통제의 주요사항(기본방침)에 관한 “박세화, 내부통제의 기업지배구조적 분석 및 법적 개선 방안 연구, YGBL 제5권 제2호(2013), 70-74면”의 내용은 준법통제의 분석에도 유용하게 적용될 수 있다.  22)준법통제부서는 준법지원인이 보조 인력과 함께 단일 부서로 구성될 수 있고, 준법지원인을 포함하여 각 부서 팀장을 구성원으로 하는 회의체기구인 준법통제위원회를 구성하는 방안도 있다.  23)미국에서 ACC(Association of Corporate Counsel)와 Corpedia가 2013년 발표한 자료에 따르면, 조사대상 630명의 준법감시인을 상대로 보고체계를 조사한 결과, 조사에 응한 회사의 39%가 최고집행임원(CEO)에 직접 보고한다고 응답하였고, 36%는 법무부서장(general counsel)에게 보고한다고 응답하였다는 통계자료가 있다[ACC & Corpedia, 2013 ACC/Corpedia Benchmarking Survey on Compliance Programs and Risk Assessments (2013)].  24)이사가 준법지원인을 겸직할 수 있는가에 대하여는 현행 법령이 답을 해주지 못하고 있으나, 특별한 금지규정이 없고 겸직으로 인한 지배구조상 모순을 찾기 어렵기 때문에 이사가 준법지원인을 겸할 수 있다고 보는 것이 타당하다. 다만 준법지원인은 업무수행에 장애가 될 다른 영업업무를 수행하지 못하므로, 이사가 준법통제업무 이외에 다른 영업업무를 함께 수행하는 경우라면 그 다른 영업업무는 제한될 필요가 있다(상장회사 표준준법통제기준 제 11조 [참고 2] 참조).  25)입법예고 되었던 “2012년 금융회사의 지배구조에 관한 법률안”에는, 금융회사는 이사회 내에 위험관리위원회를 반드시 설치하고(동 법률안 제17조 제1항 제2호), 준법감시인을 사내이사나 집행임원중에서 선임하도록 하는(동 법률안 제24조 제2항) 내용이 담겨있다. 이 법률안은 이사회가 위험관리체제의 프레임을 구축하는 것 뿐만 아니라 직접 지휘하고 운용하는 모델을 상정하고 있다고 볼 수 있다.  26)기업이 관리해야 하는 위험에는 업무수행에서의 운영위험, 법적 위험, 재무위험 뿐만 아니라 인적자원위험, 평판위험, IT(정보)위험 등 매우 다양하다.  27)이사회의 준법통제체제 구축의무와 그 적정성 확보의무는 내부통제체제의 구축이나 적정성 확보 의무에 관한 기존의 논의를 검토하는 것에 의하여 답을 얻을 수 있다. 일본 회사법은 이사회가 내부통제체제의 기본방침을 결정할 의무가 있음을 명문으로 규정하고 있고(일본 회사법 제416조 제1항 제1호), 미국의 COSO의 보고서나 영국의 내부통제규준인 Internal Control: Guidance for Directors on the Combined Code 등에서도 내부통제체제의 구축과 운용에 대한 이사회의 직무와 책임을 강조하고 있다. 미국이나 우리나라 법원도 같은 내용의 판결을 하고 있다. 미국의 내부(준법)통제에 관한 대표적인 판결은 1996년 Delaware 법원의 Caremark International Inc.사건 판결로서 지금까지도 연방 및 주 법원에서 중요한 회사법적 기준으로 평가받고 있다[Paul E. McGreal, Corporate Compliance Survey, 67 Bus. Law. 227, 236 (2011)]. Caremark International Inc. 대표소송에서 Delaware법원은 이사회는 회사의 준법감시시스템이 적절하게 작동되고 있는지 감독할 의무가 있다고 선언하고, 이사회가 적절한 보고 및 정보소통 시스템을 보장하기 위한 성실한 노력을 해야 한다고 판시하였다(698 A.2d 968-970). 다만 이러한 준법감시시스템 감독의무 위반으로 이사들에게 책임을 묻기 위해서는 이사들의 내부(준법)통제체제에 대한 감독의무에 있어서 지속적이고 시스템적인 실패가 있었고 합리적인 정보 및 보고시스템을 보장하는 시도를 완전히 해태했다는 것이 입증되어야 한다고 하였다. 우리 법원도 합리적인 정보 및 보고시스템과 내부통제시스템을 구축하고 이를 제대로 작동하도록 배려할 의무가 이사회를 구성하는 이사 개개인에게 있다고 판시하여 이사회의 내부(준법)통제체제의 구축 및 적정성 확보의무에 대하여 기본적으로 같은 입장을 취하고 있다(대법원 2008. 9. 11. 선고 2006다68636). 문제는 내부(준법)통제체제의 적정성 판단이다. 상법은 자산총액 5천억원 이상인 상장회사에 대하여 일정 요건의 준법통제체제를 강제하고 있다. 그렇지만 상법상 요건은 회사자산규모를 고려한 최소한의 통제체제규모로서 이 요건을 갖춘 준법통제체제를 구축하였다고 하여, 그 회사의 이사들이 적정한 내부(준법)통제체제를 구축하여야 하는 선량한 관리자이 주의의무를 다했다고 단언할 수 없다. 상법상 모든 주식회사(상법상 준법통제체제 강제구축 대상 회사인가 여부에 상관없이)의 이사들은 회사의 자산규모나 영업의 성질, 경영 환경 등을 고려한 적정한 내부(준법)통제체제를 갖추어야 한다. 이사들이 이를 게을리 하거나 내부(준법)통제체제가 적정하지 않거나 실효성이 없는 체제로서 결함이 있음을 알면서도 묵인하였다면 선관주의의무 위반으로 손해배상책임을 부담한다는 것에 대하여는 국내외적으로 다른 해석이 있을 수 없다[소규모회사의 경우는 이사가 회사의 의심할 사정이 발행하면 바로 인식할 수 있으므로 내부통제시스템을 가시적으로 구축할 의 무가 없다고 해석하는 견해가 있으나(염미경, 이사의 감시의무와 내부통제시스템 구축의무-대법원 2008. 9. 11 선고 2006다68636판결-,「강원법학」 제35권(2012), 461면), 소규모회사의 경우에도 이사가 감시의무를 실 패하는 경우가 발생한다면 내부통제구축의무 위반이 문제될 것이다]. 결국 내부(준법)통제체제의 적정성에 대하여는 일정한 객관적 기준을 설정하기 어렵고, 법원이 해당 기업의 전반적인 상황이나 동종 유사 규모의 다른 기업들의 현황 등을 고려하여 판단할 수밖에 없다. 만일 이사회가 내부(준법)통제체제를 구축하지 않았거나 적정하게 구축하지 않아서 회사가 불법행위를 하게 되었다면, 피해자는 회사의 불법행위책임을 추궁하면서 입증부담을 상당히 덜 수 있다. 즉 회사의 불법행위책임에서도 이사회의 내부(준법)통제 의무이행여부는 중요하다(서완석, 내부통제시스템의 본질과 내부통제의무 위반에 대한 법적 책임, 「상사법연구」 제31권 제2호 (2012), 307-308면).  28)상장회사 표준준법통제기준에서는 법적 위험을 임직원이 법령을 준수하지 않음으로써 민사‧‧형사‧‧행정적 책임이 발생하거나 계약상 효력이 인정되지 않아 손해가 발생할 위험을 말한다고 규정하여(상장회사 표준준법통제기준 제2조 제2호) 비교적 협의의 법적 위험을 상정하고 있다.  29)준법지원인의 직무상 권한에 대하여는 “상장회사 표준준법통제기준 제9조 제1항”참조.  30)송정선, 컴플라이언스 리스크의 이해와 준법통제프로세스 설계 및 구축, 준법지원 전문가 양성과정 자료집, (2013. 12). 81면 참조.  31)외국 대기업의 경우 준법감시와 함께 윤리의 문제를 중대하게 다루고 있다. 예를 들어 Lockheed Martin의 ‘Setting the Standard - Code of Ethics and Business Conduct’나 (http://www.lockheedmartin.com/content/dam/lockheed/data/corporate/documents/ethics/setting-the-standard.pdf)나 SIEMENS의 ‘Business Conduct Guidelines’를 보면 법적인 책임과 함께 윤리적 책임을 강조하고 있다(http://www.siemens.com/sustainability/pool/cr-framework/business_conduct_guidelines_e.pdf).  32)Richard M. Steinberg 지음·노동래 옮김, 전게서(각주 6), 98-99면; Martin T. Biegelman 지음·노동래 옮김, 컴플라이언스-윤리 준법 경영의 성공전략, 연암사, 2008, 24-47면.  33)박세화, 전게서(각주 5), 1308면.  34)Richard M. Steinberg 지음·노동래 옮김, 전게서(각주 6), 102-103면 참조.  35)Martin T. Biegelman 지음·노동래 옮김, 전게서(각주 32), 278면.  36)미국의 the Sarbanes-Oxley Act에서도 증권발행회사가 위법행위를 방지하고 기업의 중요사항을 합리적으로 처리하는데 도움이 되는 ‘기업윤리규정’을 채택했는지 여부, 채택하지 못했으면 정당한 이유가 있는지를 정기적으로 공시하도록 하고 있다(section 406).  37)상장회사 표준준법통제기준 제3조 [참고] 참조.  38)“삼성그룹은 삼성전자 등 일부 계열사에서 시범 실시하던 컴플라이언스 팀을 올해 안에 전계열사에 확대하여 신설하면서, --- 그룹의 미래전략실 산하의 법무팀을 준법경영실로 바꾸었다. 그리고 각 계열사 사장들을 대상으로 한 준법경영 워크숍을 가진데 이어, 그룹 본부가 직접 주도가 되어 각 계열사들이 컴플라이언스팀 구축과 임직원 교육, 내부 감시 등의 체계를 갖추도록, 체제를 개편했다.”(‘삼성 전 계열사에 준법경영팀 둔다’, 한국경제매거진 Issue & Topic 제797호 2011. 3. 16. 기사)(http://magazine.hankyung.com/business/apps/news?popup=0&nid=01&c1=1004&nkey=2011031100797000241&mode=sub_view).  39)준법통제와 관련된 회사 내 규정들은 정관, 준법통제기준, 하위 행동강령이나 지침 등으로 나누어 볼 수 있다. 준법통제체제와 관련하여 주주의 동의하에 정비될 사항들은 정관에 규정되어 있을 것이므로 정관의 정비가 선행되어야 하고, 이를 바탕으로 이사회가 준법통제기준을 통하여 체제의 기본 프레임과 핵심적 사항을 결정하게 된다. 준법통제기준 만으로 준법통제체제의 실제적이고 현실적인 운용이 이루어지기 어렵기 때문에 대표이사나 대표집행임원이 중심이 되어 부서별 준법 및 윤리 행동강령이나 지침, 법적 위험평가 및 관리 매뉴얼 등을 만드는 것이 바람직하다.  40)Richard M. Steinberg 지음·노동래 옮김, 전게서(각주 6), 368면.  41)박세화, 전게논문(각주 2), 310면.  42)상장회사 표준준법통제기준 제6조 [참고 2] 참조.  43)Richard M. Steinberg 지음·노동래 옮김, 전게서(각주 6), 367면.  44)상게서(각주 6), 174-175면.  45)상장회사 표준준법통제기준 제12조 제2항.  46)박세화, 전게서(각주 5), 1320면<표 3> 참조: 이사회·판매부서·영업부서·제조부서 등으로 나누어 유형화 할 수도 있고, 임직원·고객·경쟁업체·규제기관 별로 유형화 할 수도 있다.  47)Richard M. Steinberg 지음·노동래 옮김, 전게서(각주 6), 244-245면.  48)최승재, 회사내 내부통제기관의 재구성과 대안적 설계, 「상사판례연구」 제22집 제3권 (2009), 52면.  49)준법지원인의 이사회에 대한 보고는 상법상 의무이므로 준법통제기준은 이를 완벽하게 보장하는 내용이 포함되어야 한다. 따라서 “준법지원인은 준법점검 결과를 이사회에 분기별로 보고 한다”라든가 “준법지원인은 분기별로 준법통제보고서를 작성하여 이사회에 제출하여야 한다” 등 의 방식으로, 최종 보고 수령자가 이사회 임을 확인하고 이사회에 대한 보고주기와 보고 방식 등을 확정하는 것이 바람직하다(박세화, 전게서(각주 5), 1323면 참조).  50)상장회사 표준준법통제기준 제15조 제1항에서 ‘일상적인 준법지원’을 규정하고 있는데 이것은 소위 법적 검토 협조결제시스템을 의미하는 것으로, 의사결정권자의 경영판단 시 준법지원인의 법적 검토의견이 반영될 수 있도록 제도화 하는 내용이다.  51)정부는 최근 내부고발제도의 실효성 확보에 적극적인 태도를 보이고 있다[“금융위원회는 금융기관의 내부고발자에 대하여 신변보호를 강화하고 인센티브를 부여하는 방안을 마련한다고 발표했다”라는 신문기사 참조(연합인포맥스, 2014. 7. 25 기사)].  52)상장회사 표준준법통제기준 제18조 [참고 4] 참조.  53)Richard M. Steinberg 지음·노동래 옮김, 전게서(각주 6), 234면  54)기업들이 적정하고 유효한 준법통제체제를 구축하여 운용하여야, 이사들은 손해배상책임의 부담에서 벗어날 수 있고 기업들은 인센티브의 혜택을 누릴 수 있다. 따라서 기업들은 체제의 적정성과 유효성확보 여부를 지속적으로 점검하여야 한다. 2012년 미국 법무부가 모건스탠리의 compliance가 효과적인가 여부를 판단하면서 제시한 기준은 우리 기업에게도 시사하는 바가 있다고 본다. “모건스탠리는 사내의 근로자들에게 사내정책, 해외부패방지법 및 반부패법들에 대한 교육을 자주하였고, 2002년부터 2008년까지 아시아에 본부의 직원들을 상대로 반부패정책에 대한 교육을 54번 하였고, 같은 기간 모건스탠리는 피고에게 해외부패방지법 교육을 7회 시켰으며, 적어도 35번 이상 피고에게 해외부패방지법을 준수하여 업무를 처리하라고 피고의 기억을 상기시켰다. 모건스탠리의 준법감시담당직원들은 정규적으로 거래를 감독하였고, 특정 근로자와의 거래 및 영업부문을 임의로 감사하였으며, 불법적인 지급을 밝혀내기 위한 테스트도 하였다”라고 설명하며 모건스탠리의 준법‧윤리 프로그램은 효율적이고 적정하게 작동하였다고 판단하였다(육태우, 미국에서의 기업 컴플라이언스의 발전-제도적 진화과정 및 최근의 판례법상의 적용, 「강원법학」 제39권 (2013), 152-153면 참조).  55)土田 義憲, 會社法の內部統制システム-取締役によゐ整備と監査役の監査, 中央經濟社, 2006, 108-109面.  56)상장회사 표준준법통제기준 제21조 제2항.  57)금융기관이 내부(준법)통제의 취약점과 위험성을 진단하는 방법으로, 위험자기분석법(Control Self-Assessment: CSA, 업무담당자가 자신의 업무와 관련하여 부정이나 오류의 위험이 큰 부분을 추출하여 스스로 이를 예방할 수 있는 조치나 제도를 제시하는 방법), 시나리오 접근법(업무담당자가 평소 업무처리에서 알게 된 업무상 부정 및 오류의 위험을 진술하고 이를 바탕으로 전문가가 문제점을 진단하는 방법), 직무기술 흐름 분석 접근법(업무담당자는 정보시스템을 통하여 직무기술서를 작성하고, 전문가가 직무기술서를 참조하여 Business Process Engineering(BPE)를 작성하는 방법으로 내부통제의 취약점과 위험성을 분석하고 보완(개선) 방안을 만드는 방법) 등이 있다(이병철, 금융사고의 발생원인과 내부통제 개선방안, 「금융리스크리뷰」(2014년 봄), 102-104면).  58)Martin T. Biegelman 지음·노동래 옮김, 전게서(각주 32), 323-325면.  59)준법통제체제의 유효성 평가 시 사용할 수 있는 점검사항(check list)의 실례는 “박세화, 전게서(각주 5), 1326-1328면 참조.  60)Financial Reporting Council, Internal Control: Revised Guidance for Directors on the Combined Code, 2005. 10, para 26-28.

상법상 준법지원인이 되기 위해서는, 변호사 자격을 보유했거나 법률학 조교수 5년 이상의 경력이 있거나 상장회사 법무부서에서 10년 또는 5년(법학석사 이상의 학위취득자의 경우) 이상의 근무경력이 있어야 한다(상법 제 542조의13 제5항, 상법시행령 제41조). 이처럼 상법은 준법지원인의 기본적 소양으로 법률전문가로서의 지식이나 경력을 요구하고 있다. 상법 제542조 의13 제5항 제3호(그 밖의 법률적 지식과 경험이 풍부한 자)를 구체화하는 상법시행령 제정과정에서 법률적 지식이나 전문경력의 요구에 대한 본질적 타당성을 비롯하여, 근무경력 인정대상 기관의 범위나 외국 변호사나 외국 교육경력의 인정, 법률학 교수의 최소경력기간의 타당성 문제 등에 대하여 치열하고 지난한 논의가 있었음에도 설득력 있는 결론에 도달하지 못했던 본인의 경험을 회상하여 보면,61) 법률지식이나 전문가적 경력의 요구나 그 기준의 설정문제는 해결이 쉽지 않은 우리의 과제이다.

법률전문가로서의 지식이나 경력이 준법지원인의 업무수행에 있어 필수적 요건인가? 에 관한 근본적 물음에서 이 논의를 시작하고자 한다. 준법지원인이 준법통제업무라는 전문성이 강한 직무를 수행하지만, 상법이 요구하는 수준의 법률전문가로서의 지식과 경력이 준법통제체제의 효율성과 실효성을 위한 절대적이고 보편적인 요건이 되는가를 고민해 보아야 한다. 소송업무나 전문적인 법률자문을 수행하는 법무부서의 사내변호사와는 달리 준법지원인의 경우는 업무의 성격상 위 질문에 정답을 내놓기기 쉽지 않다. 그런데 이러한 문제는 법리적이거나 논리적인 접근보다는 기업의 선호도나 법률전문가적 배경이 준법통제체제의 운용에 미치는 영향 등을 실증적으로 살피는 접근법이 문제해결에 있어 조금 더 의미를 갖는다고 생각한다.62) 따라서 필자는 영미권의 몇 개의 통계자료를 분석하여 합리적인 개선방향의 단초를 찾아보기로 했다. 대규모 사업체 999개를 대상으로 조사한 결과, 법률 전문가적 배경이 준법통제체제의 실효성과 효율성에 직‧간접적으로 미친 긍정적 영향을 찾지 못했고 (비법률전문가 준법감시인의 경우와 비교할 때), 준법감 시인의 법률전문가적 소양이 경영전반에 미치는 영향력 정도나 경영진의 선호도 등을 종합적으로 분석해본 결과, 준법감시인이 반드시 법률전문가일 필요는 없다는 결론을 내 놓고 있는 영미권의 연구 자료가 있다.63) 법률전문가를 준법감시인으로 선임하는 것은 외형적이고 상징적인 의미를 지닐 수는 있어도, 준법통제체제의 실질적 운용에 있어서 필수적 사항으로 평가할 수 없다는 것이다. 오히려 법률전문가가 아닌 준법감시인 체제의 경우에서 준법 업무의 보고체계가 더 원활하게 작동했다는 자료를 내놓고 있다. 기업들의 준법경영 의식을 함양하고 임직원의 행위가 적법한가를 판단하는 것은, 준법 감시인의 법률전문가적 지식과 경험 보다 회사 이해관계인의 강력한 압박이나 외부 규제기관의 불법 요소 탐지행위에 대한 회사의 대응태도 그리고 회사 경영실패에 대한 인식이나 체험 등에 의해서 직접적인 영향을 받는다고 분석하고 있다. 따라서 준법통제체제를 통솔하는 준법감시인에 있어서 요구 되는 것은 법률 지식이나 법률문제를 능숙하게 다루는 능력 보다 준법경영에 직접적인 영향을 주는 요소를 파악하고 이에 대처 가능한 조직으로 관리 하는 능력이 더 중요할 수 있다고 한다. 회사의 준법적 업무수행행위는 회사 조직이나 재원의 관리시스템의 안전성 수준과 더 상관관계를 가지기 때문에, 준법감시인은 준법위험에 대한 조직적 결함(느슨함)을 살피고 경영상 책임소재가 불분명한 상태를 파악하여 분명히 분배‧정리하는 것이 더 중요하다는 주장이다.64)65) 이러한 자료를 접하면서 우리 준법지원인의 자격요건 문제를 다시 한번 생각해보는 계기가 되었다.

우리의 현행 상법은 준법지원인에게 법률전문가적 지식이나 경험이 필요 함을 분명히 규정하고 있고(상법 제542조의13 제5항 참조), 이에 따라 시행령도 대단히 엄격한 방식으로 경력요건을 정하고 있다(상법시행령 제41조). 우리 상법이 전사적이고 통합적인 프레임인 내부통제가 아닌 준법통제라는 법적 위험관리에 한정된 체제를 입법대상으로 삼은 이상 일단 형식적 일관 성을 갖춘 태도라고 볼 수 있다. 그렇지만 준법통제체제라는 것은 준법지원 인이 법률을 인식하고 조직의 모든 부분에서 법률준수의무가 이루어지도록 지휘하는 과정을 넘어서서 기업의 윤리나 가치를 존중하는 기업문화를 이루어 가는 복잡한 과정일 뿐만 아니라, 기업마다 준법지원인에게 요구하는 중점적 역할이 다르고 임직원들의 능력에 차이가 있을 수 있어서, 엄격한 법률전문가 요건은 개선의 여지가 있다. 위의 연구결과나 통계현황에서 보듯이 준법통제는 위험평가나 관리 그 자체도 중요하지만 조직 관리를 통하여 지속적이고 안정적인 법적 위험 통제시스템의 작동을 보장받고자 하는 측면이 더 클 수도 있다(종전부터 법률자문이나 법무부서가 설치되어 있는 기업에 있어서는 이러한 경향이 더 강하다고 볼 수 있음). 지나치게 엄격하게 법률 가로서의 전문지식이나 한정된 직역만의 법무 경력을 인정하는 것은 기업들의 선택의 폭을 제한하고 준법지원인의 다양한 역할수행을 원천적으로 불가 능하게 하는 부작용을 초래할 수 있다. 기업마다 조직의 규모나 영업의 성격, 회사내외의 법적 위험 환경 등이 다를 수 있어서, 자신의 기업이 필요로 하는 준법지원인의 역할을 설정하고 이에 적합한 경력의 준법지원인을 선택할 수 있도록 준법지원인 인력시장을 활성화하는 것이 바람직하다.

따라서 필자는 현행 상법이 자격요건을 구체적으로 열거하고 시행령을 통하여 근무경력 인정기관을 상장회사로 한정하면서 한편으로 ‘법무경력’이라는 추상적인 용어를 사용하여 상장회사의 경력인정에 있어서는 느슨한 태도를 취하고 있는 불균형을 지적하고 싶다. 향후 상법시행령 제41조의 개정을 통하여 준법지원인의 자격요건을 확대하는 긍정적이고 균형감 있는 정책을 취했으면 한다. 변호사나 법학교수가 아닌 자도 최소한의 법률전문가로서의 지적 능력(예를 들어, 국내외 법학사나 이에 준하는 국내외 소정의 학위, 국내외 법학교육기관에서의 일정학점 이상의 법학과목 이수, 또는 변호사협회나 인증 받은 법학전문대학원 등이 주관하는 준법통제전문프로그램의 수료 등) 을 갖추고 일정기간 법령이 정하는 소정의 기관에서 근무하였다면 준법지원 인이 될 수 있는 기회를 줄 필요가 있다. 이 때 외국기관을 포함하여 근무 경력 인정 대상 조직을 대폭 확대하고 조직의 성격에 따라 근무경력인정기간을 탄력적으로 규정하는 것이 바람직하다고 생각 한다. 아울러 준법지원인 시장의 변화나 기업의 환경변화 등에 적절하게 대응하지 못하는 법령의 경직성을 감안하여, 법무부나 변호사협회 등에 가칭 ‘준법지원인 자격심의위원 회’와 같은 기구를 설치하고 이 같은 공식기구의 심의와 결정을 통하여 법령상 자격요건을 온전히 갖추지 못한 사람도 준법지원인의 자격을 얻을 수 있는 예외적인 인증제도도 함께 마련할 필요가 있다고 본다.

또한 준법지원인의 업무는 고결한 윤리성과 청렴성이 요구되므로 상법에 준법지원인의 결격사유를 규정하여야 한다.66) 상법시행령을 마련하는 과정에 서도 이에 대한 논의가 있었으나 상법시행령에 준법지원인의 소극적 요건인 결격사유를 두는 경우 위헌성의 시비도 우려되고, 사회적 공감대 조성과 관련하여 시간적 제약도 있고 하여 다음 상법개정의 기회가 오면 논의하기로 유보해둔바 있다.

상법규정만으로 준법지원인의 기관성을 비롯하여 회사법상 지위를 판단하기 어렵다. 이와 같이 준법지원인의 법적 지위나 위상이 불분명하기 때문에 가장 문제가 되는 것은 준법지원인의 책임관계라고 하겠다. 분명한 것은 준법지원인은 자신의 직무를 수행하는 과정에서 선량한 관리자의 주의의무를 부담하므로(상법 제542조의13 제7항), 이를 해태하는 경우 회사가 준법지원 인에게 채무불이행으로 인한 손해배상책임을 청구할 수 있다는 것이다(민법 제390조).67) 준법지원인도 회사나 제3자에 대하여 이사나 집행임원 등과 동일한 손해배상책임을 부담하는 규정을 상법상 도입할 것인가?에 대하여 논의해볼 필요가 있다. 상법은 이사나 집행임원의 활동이 회사나 제3자에게 손실을 끼쳤을 때 민법의 손해배상책임제도를 가지고는 이들 이해관계인의 손해를 전보하는데 불충분할 뿐만 아니라, 소유와 경영이 분리된 상태에서 이해관계인의 신뢰를 보호하기 위하여 이사나 집행임원의 주의를 긴장시킬 필요가 있기 때문에 민법보다 강화된 손해배상책임제도를 상법에 명문으로 규정하고 있다.68) 준법지원인은 회사의 의사결정절차에 직접적으로 참여하거나 회사의 대외적 거래행위를 담당하는 자가 아니므로 그의 활동의 성격이나 파급력이 이사나 집행임원과 대등하게 평가할 수 없다는 주장도 가능하다. 그렇지만 우리 상법은 이사나 감사, 집행임원, 발기인 뿐만 아니라 법원인 선임한 검사인에 대하여도 일정한 경우 회사나 제3자에 대한 손해배상책임을 물을 수 있는 규정을 두고 있다(상법 제325조).69) 따라서 준법지원인의 직무 해태가 회사나 제3자의 손실로 이어졌다면 이들의 손실전보에 상법이 적극적으로 개입할 필요가 있다고 본다. 특히 준법지원인의 회사에 대한 임무해태로 손해를 입은 제3자의 경우 직접 민법상 불법행위책임을 물을 수 없을 뿐만 아니라 이사의 임무해태와는 달리 대표소송으로 책임을 물을 수도 없으므로 상법상 입법의 필요성이 적지 않다고 본다. 입법의 방식은 새로운 규정을 신설하여 준법지원인에 적합한 책임요건을 설정하여 법정화할 수도 있으나, 준용규정을 두는 방식도 무리가 없을 것으로 본다.

61)박세화, 전게서(각주 5), 1301-1302면.  62)미국기업체를 대상으로 한 조사에서, 응답한 기업 중 29%의 기업만이 미국에서 법학 학위를 소지한 법률전문가를 준법감시인으로 선임했다는 통계가 있다[James Weber & Dana Fortun, Ethics and Compliance Officer Profile: Survey, Comparison and Recommendations, 110 Bus. & Soc. Rev. 97, 99, 354 (2005)].  63)Robert Eli Rosen, Christine E. Parker, Vibeke Lehmann Nielsen, The Framing Effects of Professionalism: Is There A Lawyer Cast of Mind? Lessons From Compliance Programs, 40 Fordham Urb. L. J. 297. 352 (2012); 참고로 이 조사에서 조사대상 사업체 중 법률전문가를 준법감시인으로 선임한 사업체는 전체 중 18% 정도였다고 한다(Id. at 365).  64)Robert Eli Rosen, Christine E. Parker, supra note 63, at 362: 영미권 자료상의 Compliance officers는 일반적으로 통용되고 있는 대로 준법감시인이라고 번역하였다.  65)법률전문가 준법감시인은 주주 등의 회사이해관계인의 경제적 이익관계 등을 종합적으로 고려한다기보다 기업의 법적 노출에 관심이 많아 외부로 부터의 법적 위험을 과대평가하는 경향이 있고, 법률이나 규제 위반을 이유로 제기된 제3자로부터의 소송에 민감하다고 한다. 그 결과 다른 조치 보다 회사 정책이나 각종 행동매뉴얼 그리고 준법 훈련프로그램 등을 더 구체적으로 문서화하거나 형식화하는 것에 치중하는 현상을 보인다는 지적이다(Robert Eli Rosen, Christine E. Parker, supra note 63, at 363).  66)박세화, 전게서(각주 5), 1302면.  67)물론 이사나 집행임원이 준법지원인의 업무를 수행하는 경우는 이사나 집행임원에 대한 상법상 책임규정으로 문제를 해결할 수 있다.  68)이철송, 회사법강의, 박영사, 2013, 750면.  69)설립 시 변태설립사항을 조사 평가하는 공증인이나 감정인이 상법상 제3자에 대한 손해배상책임규정이 없는 것도 입법의 불비라는 주장이 있는데(이철송, 전게서, 264면), 이 같은 논리는 준법지원인의 제3자에 대한 책임규정 입법을 검토함에 있어서도 고려해 볼만 하다.

우리나라의 경우 내부(준법)통제 사항은 대표적인 경우만 보더라도 상법, 각종 금융관계법, 주식회사외부감사에 관한 법률 등 여러 법률에 산재되어 있는데, 이러한 비체계적‧비계통적 현상 자체가 개별 법령상에 법리적 모순을 나타내고 있다고 단언하기는 어렵다. 그렇지만 입법목적과 규정내용이 동일 또는 유사하거나 상호 연관성을 지니고 있음에도 법의 계통이나 상호 연관성을 배려하지 않은 채 내부(준법)통제 관련 입법이 이루어져 왔기 때문에 제도의 이해나 적용상 혼란이 있음은 분명하다.70) 이는 내부통제 자체에 대한 이해나 타 법령의 검토 없이 해당 영역에서 필요성이 제기될 때 마다 부담 없이 입법적 조치를 취해온 결과이다.

지금부터라도 우리는 많은 논의를 거쳐 국내법령 전체를 대상으로 하는 내부통제법제 정비의 큰 그림을 그린 뒤, 지속적으로 추진할 ‘법제 총정비 로드맵’을 만들어야 한다고 본다. 장기적으로는 (현행 상법 제542조의13을 삭제하고) 상법에 현재 각 법령에 산재되어 있는 내부통제제도의 공통적이고 기본적인 일반원칙을 간결한 통칙 규정으로 새롭게 규정한 뒤, 각 법령 마다 필요한 특칙적 내용이 있는 경우 기존 규정을 정비하거나 신설해가는 방식이 합리적이다. 다만 우리의 기업들이 외국의 회사와 비교하여 법적 위험의 통제가 상대적으로 취약하다면 특정 규모이상의 상장법인에 대하여는 상법상 상장회사 특례규정을 통하여 일정한 준법통제 사항을 입법하든가, 공시의 필요성이 크면 자본시장법상 내부(준법)통제사항을 공시사항 중 하나로 명문화 하는 방안도 고려해볼 만하다. 예를 들어 상법의 상장회사 특례규정으로 특정규모 이상의 상장회사에 대하여는 이사회 산하의 위원회로 ‘준법통제위윈회’를 설치할 것을 강제하면서 그 구성원 중 일부를 법률전문가로 선임하도록 규정하는 방안도 생각해 볼 수 있다. 그리고 자본시장법에 따르면 주권상장법인의 사업보고서에 ‘이사회의 이사직무집행의 감독권과 감사의 권한 등의 법인의 내부감시장치의 가동현황에 대한 감사의 평가의견서’를 첨부 하도록 하고 있는데(자본시장 및 금융투자업에 관한 법률 제159조 제2항, 동법 시행령 제168조 제6항 제3호), 이 내부감시장치에 내부(준법)통제체제가 포함됨을 분명하게 언급하거나, 이사회가 내부통제보고서를71) 의무적으로 작성하도록 하고 이에 대한 감사의 평가의견서를 첨부하도록 하는 것도 입법적 방안의 하나가 될 수 있다고 본다.

이러한 법제 총정비 방안은 법령간의 계통을 세워 규범력을 정상화하고 법제와 기업현장사이의 괴리감을 최소화하여 수범자의 적극적 수용을 유도 하는 데도 유리하다. 필자는 이처럼 상사기본법인 상법이 내부통제법제 체제의 기본 프레임을 갖추고 이를 바탕으로 각 특별 법령들이 증진된 법제를 가질 수 있도록 하는 방안에 공감대가 형성되어가고 있다고 판단한다.72)73)

위와 같이 내부통제법제가 법령사이의 모순 없이 제 역할을 다할 수 있는 방향으로 가게 되면, 이해관계인들은 불필요한 오해와 혼선에서 벗어나 각 법역마다 수범자를 고려한 표준(모범)규정이나 지침(Guidance), 활용 모델 등을 개발하고 이행하는데 유리한 환경이 조성된다. 미국의 경우, 기업범죄의 기소나 양형의 판단, 임직원의 책임관계 판단 등을 위하여 그리고 기업 들이 자신의 규모나 영역의 특성을 따른 내부통제체제를 갖추도록 유도하기 위하여 다양한 내부(준법)통제 관련 Regulation이나 Guidance 들이 마련되어 있다. 이미 널리 알려진바 있는 미국 양형위원회의 미연방 기업양형지침 (Federal Sentencing Guidelines for Organizations: FSGO)을 비롯하여, 법무 부나 SEC, 주정부 등이 구체적이고 실질적인 평가기준이나 운용모델을 담은 다양한 매뉴얼을 제공하고 있다. 예를 들어 2008년 미 법무부 변호사 매뉴얼(United States Attorneys’ Manual, Principles of Federal Prosecution of Business Organizations)은 기업의 경영진이나 임직원의 불법행위 책임을 결정함에 있어, ①해당 기업의 준법감시제도가 실질적으로 활용가능하게 고안되고 효율적인 방법으로 실행되었는지, ②경영진과 임직원 사이에 회계를 포함한 각종 정보가 원만하게 소통되고 있었는지, ③임직원들이 상호 준법감시 시스템에 관련된 정보나 결과물을 적기에 적합하게 교류하고 있었는지, ④영업라인에서 불법 영업행위 유형을 제대로 감지할 수 있는 시스템이 구축 운용되고 있었는지 등이 고려됨을 정하고 있다[§§ 9–28.800 (2008)].74) 그리고 SEC(Securities & Exchange Commission) Guidance에 따르면 연방증권법 위반혐의의 회사에 대하여 소송을 제기할 것인가를 결정함에 있어, ①회사의 어느 기관에서 불법행위가 발생했는지,②회사의 명령 전달체제, 구성원의 참여정도는 어떠한지, ③불법행위가 고의적이고 체계적으로 이루어졌는지, ④ 준법감시의 노력정도 및 불법행위 발생 후 준법감시 차원에서 대응은 어떠 했는지 등을 검토한다고 정하고 있다.75) 2010년 미국 뉴욕주 공공의료보험 감독국(Office of Medicaid Inspector General: OMIG)은76) 공공의료보험 제공기관의 효율적인 준법감시 및 윤리 프로그램을 위한 ‘Compliance Alerts'라는 지침(Guidance)을 발표하였다.77) Compliance Alerts는 공공의료보험제공 기관이 준법 및 윤리프로그램 운영체제의 자체평가(self assessment)를 정기적으로 수행하는 것의 중요성을 강조하면서, 연례 자체평가회를 통하여 준법 감시프로그램의 적법 요건뿐만 아니라 체제자체나 운용에 있어서의 취약한 부분을 평가하도록 요구하고 있다. 뉴욕주의 ‘Compliance Alerts’는 효율적인 준법통제프로그램을 위한 요건별로 그 요건이행의 자체평가수단으로 사용할수 있는 질문 테이블을 구체적으로 제시하고 있다.78) 이처럼 미국은 정부-기업-법원 모두가 내부통제의 중요성을 인식하고 내부(준법)통제의 개념을 통일적으로 공유하면서 내부(준법)통제모델의 현실화에도 많은 노력을 기울이고 있다.

우리도 이제 법제 정비 로드맵 마련은 물론이고, 이와 병행하여 정부나 기업 관련 기관들이 기업들이 쉽게 이해하고 활용할 수 있는 다양한 수준의 표준규정이나 운용모델의 개발에 깊은 관심을 가질 때이다.

70)금융관계법상 준법감시제도와 상법상 준법통제제도 사이의 내용상, 적용상 차이나 충돌현상이 현재 대표적 경우라고 할 것이다.  71)프랑스의 금융안전법(Loi de Securite Financiere : LSF)은 LSF 적용대상인 상장법인에 대하여 결산보고시 내부통제절차에 관한 사항이 담긴 연차보고서를 주주총회에 제출도록 하고 (LSF 제117조), 회계감사인이 이 서류에 대하여 의견을 표명하도록 정하고 있다(LSF 제120조)(프랑스의 내부통제보고제도에 관하여는 “박세화·홍복기, 국제적 기준에 부합하는 준법지원인제도의 운영 방안에 관한 연구, 사단법인 한국상사법학회(2011, 법무부 용역보고서), 52-57면” 참조).  72)안수현, 내부통제의 회사법 정비를 위한 검토, 「상사판례연구」 제20집 제2호(2007), 65면; 송종준, 회사법상 기업지배구조의 적용기준에 관한 적정성 평가와 합리적 지배구조모델의 구상, 「증권법연구」 제15권 제1호(2014), 35면.  73)내부(준법)통제 법제의 중장기적 정비방안에 관하여는 “박세화·홍복기, 전게보고서(각주 71), 126-129면” 참조.  74)Rebecca Walker, The Evolution of the Law of Corporation Compliance in the United States: A Brief Overview, Advanced Compliance and Ethics Institute, 61, 85, 86 (2010).  75)Rebecca Walker, supra note 74, at 77-78.  76)Medicare란 미국의 연방정부와 주정부가 공동으로, 소득이 빈곤선의 65% 이하인 극빈층이나 노인, 맹인, 신체장애인, 모자가정, 21세 이하의 아동 등에 대하여 의료비 전액을 지원하는 공공부조 프로그램을 의미한다(사회복지학사전, 2009.8.15, Blue Fish; 한경 경제용어사전, 한국경제신문/한경닷컴 참조).  77)http://www.omig.ny.gov/data/images/stories/compliance_alerts/compliance_alerts  78)‘Compliance Alerts’이 설명하고 있는 효율적인 준법감시프로그램을 위한 8가지 요소 중의 하나인 ‘정책과 절차의 문서화’의 자체평가를 위한 질문 테이블을 대표적인 예로 살펴보면, ① 적법 및 윤리적인 행동을 위한 강령을 포함하여 준법감시의 정책목표가 문서로 마련되어 있는가? ② 준법감시프로그램은 기관 내에서 이행되고 있는가? ③ 준법 관련 사항을 확인하는 것과 준법감시담당자에게 이를 보고(소통)하는 방법이 기관 피용자 및 기타 관련자에게 안내되도록 준법감시프로그램이 되어 있는가? ④ 준법감시프로그램이 위법하거나 비윤리적인 잠재 위험들을 조사하고 해결할 수 있는 방법을 설명하고 있는가? ⑤ 준법감시프로그램이 이사회나 경영진 그리고 기관 피용자 및 기타 관련자들에게 준법감시의 목표(취지나 내용)에 대하여 분명하게 설명하고 있는가? ⑥ 준법감시프로그램 및 이와 관련된 정책과 절차들이 이사회나 최고 경영진에 의하여 검토되고 승인되고 있는가? ⑦ 준법감시프로그램이 이사회, 경영진, 피용자, 고객 그리고 기타 기관 관련자들에게 접근가능하도록 만들어 졌는가? 등이다(http://www.omig.ny.gov/data/images/stories/compliance_alerts/2010-02.pdf,2-3)(Paul E. McGreal, supra note 27, at 230).

준법통제체제라는 것은 기업 스스로 위법행위나 범죄행위를 사전에 예방하여 손해발생가능성을 원천적으로 봉쇄하거나 최소화하려는 프로세스이다. 이러한 준법통제체제는 생래적 속성상 제도적 뒷받침뿐만 아니라 경영진의 강력한 의지나 지속적인 노력이 효율성과 적정성 확보에 있어서 절대적으로 필요하다.

필자는 효율적인 준법통제체제가 기업 속에 뿌리를 내려서 제 효과를 내기 위해서는 두 가지 사항이 중요하다고 본다. 첫째, 준법통제체제는 일종의 순환과정으로 기업의 모든 부문에 긍정적인 영향을 미치면서 효율적인 흐름을 유지하여야 한다. 둘째는 경영진을 포함한 전 임직원이 준법통제체제를 유지하고 적극적으로 활용하는 것이 기업뿐만 아니라 자신들을 위해서도 유익한 것이라는 것을 깨닫는 것이다. 본 논문은 첫 번째 사항에 방점을 두고 연구를 수행한 결과이다. 준법통제체제가 제도적으로 공고하게 유지되고 실효적 과정이 되기 위해서는 기업의 경영방침 및 지배구조에 모순 없이 장착 되어야 한다. 이를 위하여 기업들의 수용태도를 문제 삼기 전에, 정부나 입법기관은 법제를 체계적으로 정비하고 제도내의 흠결을 제거하는 등의 하드웨어적 개선의 노력은 물론이고, 현행 법령상 프로그램에 대한 해석이나 지침 등을 제공하는 등의 헌신적인 노력이 병행되어야 한다. 또한 학계나 기업 지원 단체 등은 기업들의 편의성을 충족해줄 수 있는 실용가치가 큰 표준규정이나 운용모델을 지속적으로 개발해주어야 한다. 본 논문에서는 이 같은 우리의 과제를 달성하기 위하여 반드시 풀고 가야 하는 법제 총정비라는 숙제를 장기적 과제로 제시하였다. 물론 다양한 분야의 이해관계인들의 동의와 협조를 얻어야 하는 내부통제 관련 법제의 총정비는 쉽지 않은 과제인 줄 안다. 그러나 시작이 반이다. 내부통제 관련 법제의 총정리를 위한 기본 밑그림은 어느 정도 그려있다고 생각한다. 지속적이고 일관된 노력만 뒷바침 된다면 우리는 예상보다 일찍 각 분야에서 바르게 정착해가는 내부 통제제도의 모습을 볼 수 있을지도 모른다.

우리는 기업들에 대한 실질적인 유인책 제공방안에 대하여도 고민하여야 한다. 다만 필자는 이 과제에 대하여는 우리 기업들의 준법통제체제 운용상황을 지켜보면서 다음 연구의 주제로 탐색하고 있다. 정부는 최근 내부(준법)통제 활성화를 위하여 정책적 배려를 고려하고 있다. 금융위원회는 금융 기관의 준법감시의 권한과 지휘기능을 강화하고 내부통제 우수회사로 지정 되면 금융감독원의 정기 감사를 면제해주는 방안을 내놓고 있다.79) 내부(준법)통제제도의 유인방안은 업종‧직역별로 특성을 반영한 실질적인 효과를 낼 수 있는 방책이었으면 한다. 그런데 필자의 생각으로는 기업들에 대한 인센티브의 부여정책이 긍정적이고 유익한 정책으로 결실을 맺기 위해서는, 형식적 내부통제체제를 경영진의 책임회피도구로 악용하는 것을 제어할 수 있어야 한다. 결국 인센티브의 부여는 내부(준법)통제체제의 진정성과 효율성을 가려낼 수 있는 설득력 있는 판단기준 마련이 선행되어야 한다. 본 논문이 투명하고 타당한 판단기준 논의에 작지만 긍정적인 기여를 하였으면 하는 바람이다.

이제 정부, 학계, 기업계, 법원이 모두 바른 시야로 내부(준법)통제체제를 보고, 내부(준법)통제가 단순한 법적 강요를 넘어서서 기업 문화로 승화되는데 마음을 모아야 한다.

79)“지주은행, 내부통제 잘하면 금감원 검사 면제”(연합인포맥스, 2014. 7. 14 기사).