지난해 3월 해외에서 실리콘밸리은행(SVB)의 파산과 크레디트스위스가 인수된 원인으로 부적절한 위험 관리와 내부통제가 지적되었다. 또한 국내에서는 금융기업들의 금융사고 원인을 내부통제 미흡이라는 판단 하에 금융권의 지배구조와 내부통제 강화를 위한 '금융회사의 지배구조에 관한 법률' 개정안 등 규제 및 조사가 강화되고 있다. 이처럼 금융산업은 자금 세탁, 횡령 등 금융 범죄 예방 등의 이슈로 가장 엄격한 내부통제가 기준을 가지고 있는 산업군에 해당하므로 사례돋보기를 통해 금융사의 부패방지를 위한 내부통제 모범 및 개선사례를 살펴보고자 한다.

신한라이프

신한라이프는 신한금융그룹 계열의 생명보험사로 2023년 △이사회 △ESG경영 △최고경영자 △보수체계 △위험관리 △감사기구 및 내부통제 △이해관계자 소통 등의 항목으로 평가하는 한국ESG기준원 지배구조 평가에서 A+ 등급을 받아 2년 연속으로 지배구조 최우수기업에 선정되었다.

신한라이프의 내부통제 조직은 이사회, 경영진, 내부통제위원회, 준법감시인 등으로 구성된다. 조직별 수행하는 역할은 다음과 같다. 신한라이프는 대표이사를 위원장으로 하는 내부통제위원회 운영을 통해 내부통제 정책 수립 및 주체간 협력 및 조정 기능을 수행하고 있다. 또한 새로운 업무와 제도의 도입, 신상품 개발, 기초서류 및 대고객 안내자료, 그룹사간 내부거래 등에 관한 일상감시를 진행한다. 이사회는 내부통제에 대한 최종적인 책임을 담당하며, 내부통제체계의 구축 및 운영에 관한 기본적인 방침을 결정한다. ‘금융회사의 지배구조에 관한 법률’에 따라 이사회의 결의로 준법감시인을 선임하며, 준법감시인은 내부통제체계 운영을 총괄한다. 준법감시인은 법규 준수 측면에서 주요업무 사전검토, 내부통제 운영실태 점검 및 모니터링 등의 업무를 수행하고, 그 결과를 내부통제위원회 심의를 거쳐 이사회에 보고한다. 준법감시인의 직무수행을 보좌하는 준법감시팀이 부서별 ‘준법감시담당자’ 제도를 도입하여 부서 업무처리 시 내부통제기준의 준수 여부를 점검하고 취약부분을 개선하고 있다.

또한 전 임직원 대상으로 사고 예방 및 윤리 준법 관련 교육활동을 실시하고, 매월 법규준수 자기진단을 통해 법규 및 규정에 대해 숙지하도록 하며, 직무 수행 시 준수해야 할 내부통제기준을 제정하여 운영한다. 임직원 행동기준 중 부패방지와 관련된 행동기준 조항을 꼽자면 다음과 같다.

<임직원 행동기준 예시(발췌)>

[출처: 신한라이프, 임직원 행동기준]

이 밖에도 임직원 행동기준 제4장 임직원간 상호존중영역에서 금전거래 및 선물 제공 등에 대해 다루고 있으며, 제5장 법규준수 영역을 통해 고객정보 보호, 법규준수, 자금세탁행위 등에 대한 행동 기준을 명시한다. 한편, 신한라이프는 영업 내부통제 강화를 위해 데이터 기반의 모니터링 시스템인 내부통제 조기경보 시스템을 구축하여 이를 활용함으로써 적시 모니터링을 수행하고, 내부통제 위험 징후를 파악하여 사전 예방활동을 수행한다.

<내부통제 조기경보시스템>

[신한라이프, 신한라이프 2021-2022 ESG성과보고서]

스탠다드차타드(Standard Chartered PLC)

스탠다드차타드(Standard Chartered PLC)는 영국 런던에 본사를 둔 국제적인 금융기업이다. 2012년 불법금융거래로 기소되고 감사시스템 결함 등 내부통제 미흡으로 1억 220만 파운드(약 1,700억원) 가량의 벌금을 부과받기도 하였으나, 이를 계기로 내부통제를 시스템을 강화 및 개선하고 있다.

2019년 영국의 금융감독청(FCA; Financial Conduct Authority)은 스탠다드차타드를 자금세탁방지(AML) 통제에서 고객 실사 및 모니터링 관련 심각하고 지속적인 결함이 있음을 발표했다. 이러한 결함으로 스탠다드차타드는 자금 출처가 부족한 현금으로 계좌를 개설하거나 고객 정보 검토와 실사가 미흡하여 리스크에 민감한 정책 수립 및 절차유지를 못했으며, UAE(아랍에미리트) 지사가 자금세탁방지 및 테러 자금 조달 통제를 영국 본사와 동일한 수준으로 이행하지 못했음이 드러났다. 이로 인해 FCA는 스탠다드차타드가 제재 위반 위험에 노출되었고, 범죄 수익을 수령 또는 세탁할 위험이 높아졌다고 보았다.

스탠다드차타드의 결함은 2010년 11월부터 2013년 7월까지 영국 뱅킹 사업과 2009년 11월부터 2014년 12월까지 아랍에미리트 지점에서 발생했다. 이에 미국 당국은 스탠다드차타드 그룹에 대해서도 미국 제재 법률 및 규정을 중대한 위반 혐의로 조치했다.

스탠다드차타드는 이러한 FCA의 조사 결과를 수용하기로 합의함에 따라 벌금의 30% 가 경감되었으며, 전 세계적으로 모든 문제가 완전히 해결될 수 있도록 자금세탁방지 통제를 개선하기 위해 노력하고 있다. 스탠다드차타드는 자사 홈페이지에 ‘금융범죄와의 싸움(Fighting financial crime)’ 페이지를 별도 개설하여 부패 방지, 자금세탁 방지 등 기타 금융범죄에 대한 의지와 노력을 게시하고 있다.

<스탠다드차타드 ‘Fighting financial crime’ 홈페이지>

[출처: 스탠다드차타드 홈페이지]

2012년부터 2019년까지 ‘금융범죄와의 싸움’ 프로그램 운영 내용이 ‘Transforming a Financial Crime Compliance Programme: What We Learned(2019.12)’ 보고서에 정리되어 있다. 스탠다드차타드는 전문가 영입, 인재 개발, 데이터 품질 관리 시스템을 개선하고 내부인식제고 캠페인 진행, 금융범죄를 파악하고 공론화하는데 기여한 직원 대상으로 한 ‘금융범죄파이터’ 상을 신설하는 등 문화를 구축했으며, 이 프로그램 혁신의 일환에서 내부통제 시스템의 개선도 이루어졌다.

스탠다드차타드는 2018년 1월에 내부통제 프레임워크인 기업위험관리프레임워크(ERMF)를 출시 및 적용했으며 이사회에 의한 프레임워크의 효율성 검토를 매년 지속적으로 수행해오고 있다. 운영 실패의 가장 큰 위험이 조직 내 여러팀 간의 양보(hand-offs)에서 비롯된다는 사실을 파악하였고, 역할, 책임(ownership)과 이를 해결하기 위한 조치가 명확 하도록 조치했다. 위험을 평가하기 위한 질문은 다음과 같다.

<스탠다드차타드 위험 평가 질문>

[출처: 스탠다드차타드, Transforming a Financial Crime Compliance Programme: What We Learned(2019.12)]

또한 기업위험관리 프레임워크의 일환으로 스탠다드차타드 그룹은 효과적인 위험 관리를 위해 일상적인 활동에 ‘3차 방어선 모델(The Three Lines Of Defense)’을 적용하여 거버넌스 및 통제 환경을 강화한다.

3차 방어선 모델은 역할과 직무를 정의함으로써 위험 관리와 내부통제를 이해할 수 있도록 하는 모형으로 효과적인 리스크 관리와 내부통제를 위해서는 고위 경영진과 이사회의 감독과 지시 하에서, 조직 내의 3가지 분리된 그룹(또는 방어선)이 필요하다는 것을 기본 전제로 한다. 각 방어선은 조직의 거버넌스 체계 하에서 구분된 역할을 담당하며, 각 방어선이 주어진 역할을 효과적으로 이행할 때, 조직 전체의 목표를 달성할 가능성이 높아진다. 3차 방어선 모델은 다음과 같은 기능 및 역할로 구성된다.

• 1차 방어선 : 영업, 업무 수행과정 일선에서 위험에 직면하여 이를 직접 관리하는 방어선을 의미
• 2차 방어선 : 1차 방어선에 있는 자들의 위험관리를 지원하고 감독하는 통제 라인을 의미하며, 위험과 문제를 식별, 모니터링하고 그룹 최고 리스크 책임자 (GCRO, the Group Chief Risk Officer), 고위경영진 및 이사회에 보고함
• 3차 방어선 : 내부 감사인이 위험관리의 효율성을 독립적으로 파악하여 이사회나 고위경영진에게 1, 2차 방어선이 제대로 작동하는지 정보를 제공

한편, 스탠다드차타드는 2024년 실행계획을 통해 향후 입법 및 기업 거버넌스 요건을 충족하기 위해 기록 적절성에 대한 모니터링, 교육 등의 활동을 통해 내부통제를 강화해 나갈 예정이다.