내부통제기준(Related Self-regulatory Organisation Standards)이라는 용어에 '자율규제(Self-regulatory)' 의미가 내포되어 있기 때문에 Legal Risk인 법령만을 그대로 담은 준법통제기준과 달리, 윤리나 법령 준수 절차를 담은 내부통제기준(내규) 위반에 대한 타율 규제인 처벌이 쉽지 않다는 설명이다.
이 박사는 '내부통제를 위한 내규 마련을 누구의 직무로 할 것인가'를 자율 규제상의 업무범위라고 보고 '책무' 불이행에 대한 책임을 따져 기업 내부 징계 또는 인사 조치의 대상으로 볼 것인지, 아니면 '의무' 불이행의 위법 행위로 보아 법적 처벌 책임의 대상으로 볼 것인지에 대한 검토가 필요하다고 지적했다.
그는 "(금융사들이) 현 감독규정상 54개 법령을 준수하고 있고, 내부 점검을 위해 내규를 만들어 운영하고 있지만 임직원으로서 '준수'는 의무이지만 내규 '마련'에 대해 법적인 책임이 있다고 보기엔 어려운 부분이 있다"며 "이를 구분해서 볼 필요가 있다는 과제가 남아있다"는 생각을 밝혔다.
이 박사는 금융회사의 내부통제기준이 상장회사의 준법통제기준과는 차이가 있다고 설명했다.
준법통제기준은 법령을 준수하기 위한 내규를 의미하지만, 내부통제기준 중에서 법령 준수를 위한 “예방 절차나 윤리”를 규정한 내규는 이를 위반한다고 해도 곧바로 법령을 위반하는 것이 아니라는 것이다.
준법통제기준은 판례상 업무집행 상 직접 불법행위를 저지른 대표이사에게 책임을 물을 수 있고, 직원의 직무집행감시를 위한 '정보 수집과 보고 절차 시스템' 미구축 등 내부통제체계(시스템) 구축 소홀로 위법행위나 손해 발생에 대해 이사들의 연대 책임을 인정한다.
이는 금융회사는 상위 규제·감독기관이 존재하여 업무감시가 가능하나, 상장회사는 업종도 다양하지만 규제·감독기관이 별도로 존재하지 않기 때문에 상장회사의 이사회가 감시기관의 역할을 해야하기 때문으로 해석했다.
하지만 내부통제기준에서는 금융회사 지배구조법상 '법 제24조제1항에 따른 내부통제기준에는 금융회사의 내부통제가 실효성있게 이루어질 수 있도록 다음 각 호의 사항이 포함되어야 한다'고 규정해 7호인 '임직원의 금융관계법령 위반행위 등을 방지하기 위한 절차나 기준'에서 구체적인 법령 내용 제시 없이 내규마련 책무에 관한 금융회사의 자율성을 부여하고 있다고 지적했다.
법령을 준수해 위법행위가 발생하지 않은 경우에도 내규 미마련이 실효성이 없다고 볼 것인지에 대한 의문도 제기했다. 그는 "일부 임직원은 법령을 준수하고 일부는 미준수한 경우 내규의 문제인가"라며 구체적인 명시가 필요하다고 말했다. 즉, 내규 마련이 법령 준수 목적을 달성하기 위한 것이 아니라 내규 마련 자체가 내부통제의 목적이 되어서는 안된다는 의미라고 말했다.
이어 "시행령상 '실효성'이라는 말 자체도 사후적인 의미가 있기 때문에 사고가 일어나기 전에 사전적으로 막을 수 있는 법령용어가 사용되어야 한다"고 지적했다.
[소비자가만드는신문=원혜진 기자]
