Author name: 관리자

지난 1년간 컴플라이언스 커뮤니티에서는 컴플라이언스와 ESG 연계에 대한 상당한 논의가 있었다. 몇몇 사람들은 컴플라이언스와 ESG의 통합이 시너지 효과를 창출할 수 있는 기회라고 말하는 반면 다른 이들은 컴플라이언스 부서가 제대로 구축되어 있지 않을 경우 사용가능한 예산이 제한되어 있기 때문에 ESG 관리 업무가 큰 부담을 줄 수 있다고 말한다. 또한 환경 관리와 같은 완전히 새롭고 복잡한 주제에 대한 지식을 쌓는 것 또한 매우 어려운 일이라고 생각한다.

그럼에도 불구하고 ESG 관리에서는 리스크와 컴플라이언스의 전문지식이 모두 포함되기 때문에 ESG와 리스크 및 컴플라이언스는 통합되어야 하며 앞으로도 계속 같이 가야한다.

ESG 관리에 있어 리스크 및 컴플라이언스의 역할

리스크 및 컴플라이언스 담당자는 이미 ESG의 사회(S) 및 거버넌스(G) 관리에 크게 관여하고 있다. 불법 행위 보고, 인적 및 사회자본 데이터 추적, 제3자 리스크 식별, 법적 및 규제 관리 등과 같은 메커니즘을 제공하는 것은 일반적으로 리스크 및 컴플라이언스 전문가의 책임이다.

또한 최근 미국, 영국, 프랑스 및 독일 기업 컴플라이언스 전문가들을 대상으로 실시한 원폴(OnePoll) 설문 조사에 따르면 응답자의 89%는 이미 ESG 보고를 컴플라이언스 프로그램의 일부로 포함하고 있다고 밝혔다. ESG를 컴플라이언스 프로그램의 일부로 포함하지 않는 11%의 기업 중 71%는 컴플라이언스를 ESG 관리에 포함해야 한다고 강하게 또는 어느 정도 동의하고 있다.

최고윤리경영책임자(CCO, Chief Compliance Officer)는 여러 부서와 교류하며 규정을 준수하고, 기업이 직면하고 있는 가장 시급한 리스크에 대해 보고할 수 있는 능력을 갖추고 있기 때문에 ESG 프로그램을 관리할 가장 적합한 인물이다. 예를 들어, CCO는 이미 여러 부서와의 차별 문제, 뇌물수수 방지 또는 정책 및 컴플라이언스를 지원하고 있으며, 해당 조직 문화를 조성하는 데 관여하고 있다. 이와 마찬가지로 ESG는 규모와 복잡성이 크기 때문에 기업 전체의 부서와 여러 이해관계자들이 함께 참여하고 관리해야 한다.

ESG와 컴플라이언스를 통합시키는 의미는 CCO가 ESG의 3가지 요소를 효과적으로 관리할 능력이나 전문지식을 갖추고 있다는 뜻이 아니라 CCO가 주요 비즈니스 문제에 대한 기존의 시각이 뛰어나기 때문에 필요한 정보를 보유하고 있는 전문가를 각 상황에 맞게 활용할 수 있다는 것이다.

투자자의 증가된 관심과 공시 규제 강화로 인한 리스크 관리의 필요성

공급망뿐만 아니라 기업의 ESG 문제에 대한 소비자 및 투자자의 관심이 사상 최고조에 달했다. 미국 증권거래위원회(SEC)는 기업이 ESG의 진행 상황을 정의, 추적 또는 보고해야 할 필요성을 공식화하고 있으며, 기업이 잘못된 정보나 위조된 정보를 공시할 경우 불이익을 받게 된다. 이러한 위험을 방지하고 관리하려면 높은 수준의 일관된 관리가 필요하다.

2021년 당사국총회(COP26) 정상회의에서 설립된 국제지속가능성기준위원회(ISSB)는 ESG 데이터의 표준화 확대를 요구하는 이해관계자들의 목소리에 대응하기 위해 ESG 공시 규정을 제정한다. ISSB는 2022년 하반기에 첫 번째 표준을 발표할 예정이다.

ESG 공시기준을 제정하는 주요 목적은 투자자와 기타 이해관계자들이 유용하고 비교 가능한 기업의 성과 지표를 제공받을 수 있게 하는 것이다. 앞으로 ISSB가 발표하는 공시기준과 요구사항을 충족할 수 있도록 컴플라이언스팀은 해당 리스크 프로세스를 구성하고 준비해야 한다.

리스크 완화 및 가치창출과의 연계

컴플라이언스 문제와 동일하게 ESG 리스크는 매우 다양하기 때문에 ESG를 관리할 수 있는 한 가지 접근 방식은 없다. 리스크 및 컴플라이언스 기능은 비즈니스에 부정적인 영향을 미칠 수 있는 문제를 식별하고 완화하는 데 능숙하다. 마찬가지로 ESG의 리스크 평가는 비즈니스에 의한 직접적이고 간접적인 경제적, 환경적, 사회적 영향을 식별해야 한다. 언어가 다를 수는 있지만 ESG 리스크 평가는 사실상 CCO가 잘 알고 있는 리스크 평가 프로세스와 동일하다.

ESG 리스크는 이제 비즈니스의 재정적인 요소로 인식되고 있다. ESG 리스크에 대한 일반적인 예로는 고용 차별 및 노동법 위반과 관련된 법적 절차로 인한 금전적 손실이다. 두 가지 모두 ESG 문제이다. 부정적인 환경 영향과 공급망 지속가능성은 비즈니스에 상당한 위험을 초래할 수 있다. 공급망에 속한 기업들 또한 환경에 직접적인 영향을 미칠 수 있다.

리스크 및 컴플라이언스 기능은 기업의 가치를 창출할 수 있다. ESG 프로그램을 관리하는 리스크 및 컴플라이언스 담당자는 비즈니스에 중요한 영향을 미치고 접근 방식과 프로세스의 일관성을 유지함으로써 리스크를 줄이고 중요한 리스크 완화 기능의 통합된 관리를 보장한다.

계획을 행동으로

ESG 프로그램의 의미 있는 변화를 추진하기 위해서는 조직 전체의 문화적 채택이 필요하다. 컴플라이언스는 회사의 행동 강령이 지켜지고 직원 교육이 이루어질 수 있도록 가능케하는 원동력이다. 이 모든 것이 조직 문화의 기본이다. 또한 회사 문화와 직원 참여에 영향을 미치는 모든 요소 중에서 특히 직원들로부터 요구되는 ESG 성과가 가장 중요하다.

컴플라이언스를 통해 ESG 노력이 향상될 수 있는 방법의 예시로는 실사(due diligence) 수행, 시정 조치(corrective actions) 결정, 지속가능성과 환경에 미치는 영향에 대한 진행 상황 추적 등 ESG 프로토콜 준수 수준을 향상시키는 방법이다. 또 다른 예시로는 전사적 다양성(diversity), 형평성(equity) 및 포용적(inclusion) 노력을 개선하기 위해 인사팀과 파트너십을 구축하는 것이다. 기준 분석, 개선 전략 개발, 진행 상황 추적 및 보고는 대부분의 기업에서의 최우선 과제이며 ESG 통합 전략에 포함되어야 한다.

앞으로의 여정

ESG 문제에 대한 대중의 관심은 계속 높아지고 있으며, 기업은 앞으로 이 공시 규제 곡선(disclosure regulation curve)을 앞서기 위해 신속하게 대응해야 한다. 기업이 ESG 보고와 성장을 우선시 할수록 ESG 관리에 있어 컴플라이언스 역할은 계속해서 증가할 것이다.

비전있는 CCO는 ESG 책임을 더 많은 자원 획득, 더 많은 조직 영향력 발휘 또는 윤리적 비즈니스 문화를 더 많이 형성시킬 수 있는 기회로 볼 것이다. CCO는 리더이자, 커뮤니케이션 담당자이며 또한 코디네이터이다. 그러나 이 역할은 단순히 “추가적인” 책임으로만 간주해서는 안 된다. 본 역할에는 적절한 자원, 주제전문가(subject matter experts) 제공 및 전반적인 권한이 함께 부여되어야 한다.

ESG, 리스크 및 컴플라이언스 간에 이미 존재하는 중요한 중복성을 인식하고 있는 CCO는 ESG와 리스크 및 컴플라이언스를 지속적으로 통합시켜 기업을 한 단계 끌어올릴 수 있기를 기대한다.

★ 이 글은 세계적인 윤리경영 컨설팅업체인 네벡스(Navex)의 기고문을 UNGC 한국협회에서 번역하였습니다. 인용 시 출처(원문) 및 Business Integrity Society를 밝혀주시기 바랍니다.

세계적인 담론을 다루는 World Economic Forum은 ESG에 대한 관심이 뜨거운 현대 사회에서 반부패의 역할이 무엇인지 조명하는 페이퍼를 최근 발간하였습니다. BIS팀은 <점차 복잡해지는 세상에서 청렴에 투자하기: ESG 혁명기의 반부패의 역할(Investing in Integrity in an Increasingly Complex World: The Role of Anti-Corruption amid the ESG Revolution)>을 소개합니다.

1. 다양한 부패 리스크의 이해 및 관리

부패 및 ESG 리스크

사회책임투자 또는 지속가능투자와 본질적으로 유사한 의미를 가지고 있는 ESG 투자는, 투자 결정을 내릴 때 환경(E), 사회(S) 및 기업지배구조(G) 리스크와 전통적인 재무 리스크를 함께 고려하는 것을 말한다. 기업의 가망성 및 잠재력을 평가하여 투자하는 이러한 총체적인 접근 방식은 투자 영역에서 점점 더 존재감을 키우고 있다. 글로벌 투자 시스템의 목적이 자본의 효율적 배분을 통해 경제 성과를 개선하는 것이라면, ESG 투자는 효율성과 경제적 개선이 재무지표 너머에 달려 있다는 점을 명확히 인정한다.

[부패와 기업지배구조(G)]

ESG 프레임워크 내에서 부패 리스크는 일반적으로 기업구조, 이사회 구성 및 권력 배분과 관련된 기타 요소와 함께 “기업지배구조”(ESG의 “G”)라는 대단히 중요한 범주에 포함된다. 게다가 기업지배구조는 ESG 혁명과 함께 진화하고 있다. 수년간 기업지배구조는 경영진, 주주, 책임성 및 이윤 중심의 개념이었으나, 전 세계의 관심이 기후위기, 팬데믹, 인권 침해 및 기타 ESG 요소로 옮겨가면서 기업지배구조는 점점 더 총체적인 개념으로 이해되고 있다. 과거의 기업 내부 중심 관점에서 확장되어 수탁자 책임(스튜어드십), 주주 복지, 청렴한 로비 등의 요소와 같은 기업의 대외적 영향력을 포함하는 개념으로 변모한 것이다. 우수한 기업지배구조의 정의가 윤리 및 이해관계자 중심 이슈로 확장됨에 따라 부패 리스크의 중요성 역시 ESG의 “G” 관점에서 증가하였다. 부패는 회사를 법적 리스크 및 부실 경영에 노출시킬 뿐만 아니라 정치 파트너의 청렴성과 주변 지역사회의 복지에도 영향을 미친다. 나아가 부패는 관련 환경 및 사회적 요인과 밀접하게 관련되어 있다.

[부패와 환경(E)]

부패에 의해 시장, 규제 집행 및 입법 과정이 왜곡될 때 사람과 지구 모두 고통을 겪는다. 브루킹스 연구소(Brookings Institute)의 2020년 보고서는 다음과 같이 서술한다: “문서상으로 규제가 아무리 강력하더라도, 비효율적이고 변질된 채 시행되어 당초 의도한 환경 보호를 오히려 저해할 수 있다. 국가 차원에서는 채굴권 부여와 관련하여 공무원이 뇌물을 수수함으로써 보호되어야 할 땅이 개발되곤 한다. 지자체 수준에서는, 기업에 규제요건을 면제해주는 대가로 뇌물을 요구하거나 뒷돈 여부에 따라 법률 집행이 달라지는 등의 형태를 취할 수 있다.”

부패는 또한 기업의 환경영향평가 및 공시의 정확성에 영향을 미칠 수 있다. 세계자연기금(WWF)의 거버넌스 실무 리더인 델핀 가나핀(Delfin Ganapin)은 “환경 범죄와 부패에 맞서 싸우지 않는 한, 자연 시스템이 잘 작동하고 장기적으로 지역사회와 경제가 그로부터 수혜 받도록 하기 위한 우리의 노력은 무산될 것이다”고 말한 바 있다. 이산화탄소 배출 및 수질 오염에서부터 환경 악화 및 점점 감소하는 생물 다양성에 이르기까지, 글로벌 환경 아젠다의 상위 항목과 부패 사이에는 분명한 연관성이 있다. 예를 들어, 부패는 삼림 벌채, 과도한 채굴 관행, 야생동물의 불법 포획과 밀매, 생태계를 바꾸는 댐 프로젝트를 촉진했다.

[부패와 인권(S)]

부패로 인해 규제 시행과 인간 복지보다 기업이윤이 우선시된다면 사회적 리스크 역시 악화된다. 부패는 의료, 교육, 깨끗한 물, 주택을 포함한 광범위한 생필품과 필수 서비스에서 돈을 앗아간다. 부패는 기업 이윤이라는 명목 하에 언론의 자유 억압, 토지 약탈, 수질 오염, 지역사회 지도자 살해 등을 정부가 묵인하거나 심지어 이에 가담하도록 할 수 있다. 비정부기구인 글로벌 위트니스(Global Witness)는 2019년에 살해된 토지∙환경 보호 운동가의 수를 집계한 2020년 보고서에서 “세계 최악의 환경 및 인권 침해”의 대부분은 “글로벌 정치 및 경제 시스템에 존재하는 부패”에 기인한 것임을 밝혔다. 나아가 부패는 정치적 정당성을 약화시키고 투자를 위축시키며 시장을 왜곡하고 중요한 공공 서비스를 저해함으로써 경제성장에 부정적인 영향을 미치고 글로벌 불평등을 악화시킨다.

청렴, 전략적이고 지속가능한 투자의 근간

기업 청렴성은 보다 넓은 시각에서 ESG 및 지속가능한 투자의 기본 요소로 이해되어야 한다. 이는 ESG 의제를 실현하는 데 있어 매우 중요한 문제이자 기본이다. 부패는 ESG 우선순위를 약화시킬 뿐만 아니라 ESG 관리 및 보고를 왜곡시킬 수도 있다. ESG 공시 요건의 생소함과 많은 ESG 지표의 질적 특성으로 인해 이러한 리스크는 악화되며, 이로 인해 제3자 검증 또한 상대적으로 어려워진다. 따라서 부패 리스크에 대한 적절한 고려없이 투자자의 ESG 또는 재무 목표가 달성되는 것은 불가능하다.

2. ESG 프레임워크의 현주소

부패 및 ESG 정보공시 프레임워크 – 부패와 관련된 뒤섞인 메시지

ESG 정보공시 프레임워크는 ESG 리스크의 중요성에 대한 관심을 제고하고, 기존 투자자 의사 결정 프레임워크에 ESG를 통합하는 방법에 대한 지침을 제공하며, 전에는 측정할 수 없었던 비재무적 요소에 대한 지표를 추출함으로써 지속가능한 투자의 미래에 확실하게 기여한다. 그러나 다른 한편으로 ESG 정보공개 프레임워크는 ESG 투자와 부패 리스크의 역할 모두에 대하여 혼란을 야기한다. 이러한 프레임워크는 “ESG를 한다”는 것이 무엇을 의미하는지에 대해 널리 받아들여진 프레임으로서, ESG 투자 영역에서 부패 문제와 관련된 상당한 사각 지대를 만들 위험이 있다.

[일관성 없는 프레임워크]

부패는 다양한 ESG 정보공시 프레임워크 내 일관되지 않게 반영되어 있다. 대부분의 프레임워크는 부패 리스크를 “지배구조” 하에 분류하지만, 일부는 “경제적” 고려사항 또는 ESG 우선순위와 구별되는 선택적 지표로 분류한다. 예를 들어, EU의 지속가능금융공시규제(SFDR)는 금융서비스 부문이 의무적으로 공시해야 하는 18개의 핵심 지표를 규정한다. 18개 지표는 부패 리스크와 대략적으로 또는 간접적으로 관련이 있는 두 가지 지표, 유엔글로벌콤팩트 10대 원칙과 OECD 다국적기업을 위한 가이드라인의 위반 또는 준수 미흡을 포함한다. 그러나 반부패 및 뇌물방지 정책, 해당 정책 위반에 대한 대응, 반부패법 또는 뇌물방지법 위반에 대한 유죄판결과 같은 명백한 부패 리스크 지표는 선택 사항으로 남겨졌다. 유엔글로벌콤팩트 10대 원칙과 OECD 다국적기업을 위한 가이드라인 모두 부패 문제를 다루기에, 부패 리스크가 의무 및 선택 보고사항으로 거의 확실히 포함되지만, 그럼에도 명확하고 구체적인 부패 리스크는 선택 보고사항으로 분류된다. 이러한 일관성 없는 부패 리스크 프레임은 투자자, 신용평가사 및 피투자기업들이 공시된 ESG 정보를 부수적인 고려사항으로 여기도록 오도할 수 있다.

[일관성 없는 보고 권고사항]

특히 높은 평가를 받고 있는 지속가능회계기준위원회(SASB) 표준에 의해 제시된 산업별 ESG 보고 프레임워크에는 전체 산업이 부패 관련 보고 권고에서 제외된다. (생략) 어떠한 산업도 부패 리스크로부터 완전히 자유롭지 못한 현실에서, 현재 권고사항에 불과한 레드플래그(경고 징후)는 기업과 투자자로 하여금 부패 리스크가 보편적으로 중요하지 않다는 잘못된 생각을 하도록 할 수 있다. 나아가 지속가능회계기준위원회(SASB)가 부패 취약산업으로 표시한 산업들을 대상으로 권고한 부패 관련 지표는 산업별로 상이하며 설명되지 않는 다양한 불일치가 존재한다. 물론 부문별 보고 지침을 수용하는 것은 상당한 가치가 있지만, 지금과 같이 기업 청렴 및 반부패 정책·관행·성과를 설명하기 위한 파편화된 접근방식은 의도치 않게 현 상태에 안주하게 하거나 다양한 부패 리스크에 취약한 여러 산업 내에서 사각지대를 낳을 수 있다.

[ESG 중 환경(E)에의 과도한 치중]

ESG의 “E”는 부패를 포함하여 똑같이 중요한 다른 요소를 희생시키면서 ESG 프레임워크에서 결국 우위를 차지하게 되었다. 상기한 비일관성과 모호성의 대부분은 ESG에서 “G”가 항상 최우선 순위는 아니라는 사실의 방증일 수 있다. ESG 흐름은 기후변화에 대응하기 위한 세계적 모멘텀과 함께 강화되었다. 인권 또는 사회적 문제가 최근 규제 기관과 국제기구의 관심을 끌기 시작했지만, 지배구조 리스크 뒤에는 그와 비교할 만한 추진력이 존재하지 않는다. EU의 지속가능금융공시규제(SFDR)는 기후 문제에 대한 강조를 분명히 인정하며, 심지어는 환경친화적인 정도에 기반한 계단식 투자등급 접근법을 채택하고 있다. 그러나 이러한 프레임워크는 “ESG”로 마케팅되고 강조되기에 “사회(S)”, 더욱 시급하게는 “지배구조(G)” 관련 지표를 함께 개발하고 자원을 동원해야 하는 긴급한 필요성이 무시될 위험이 있다.

3. 행동을 위한 제언

내부 서약, 프로세스, 정책 및 인센티브를 통해 기업 청렴성을 우선순위로 지정한다

기업 재무를 모니터링하는 주요 행위자들인 기관 자산 소유자, 투자 매니저, 평가 기관, ESG 데이터 공급자, 규제기관 및 초국가적 표준의 제정 기관을 포함한 투자 영역 내 모든 행위자들은 자신의 서약, 프로세스, 정책 및 인센티브에 따라 기업 청렴성을 우선시해야 한다. 이는 이러한 기관들 스스로 우수한 기업지배구조에 대한 더 넓은 정의를 수용해야 한다는 것을 의미한다. 즉, 우수한 기업지배구조에 대해 정의할 때 기업 구조 및 이사회 구성과 같은 전통적 고려사항을 기반으로 확장하여 기업의 사회적 책임과 투명성을 중심에 두어야한다. 피투자대상에 ESG 표준을 적용하는 것도 중요하지만, ESG 표준에 따라 자본을 평가, 집행 및 할당하는 사람이 ESG 자체를 받아들이는 것 역시 중요하다. 기관의 청렴성은 ESG 서약의 시험대이다. ESG 표준 및 도구를 신속하게 개발하여 지속가능성이 명목상으로만 촉진되는 것이 아니라 실질적으로 촉진되도록 하기 위해 투자자 영역의 행위자는 청렴성, 투명성, 책임성을 자신의 공개적 서약, 의사결정 프로세스, 내부 인센티브, 고용 관행, 로비 활동, 조직문화 형성에 영향을 미치는 기업 지배구조의 기타 영역에 내재화해야한다. 기관은 또한 정책 집행 및 관행 업데이트를 위해, 기관 청렴성을 위협할 수 있는 ESG 워싱 사례 및 진정성없이 규제가 요구하는 최소사항만을 이행하는 사례를 최소화하기 위하여 모니터링 체계를 구축해야한다. 나아가 이사회 및 기타 리더십에는 반부패 분야에 정통한 사람, 즉 용어나 레드플래그(경고 징후) 및 모범 사례를 알고 있으며 부패 리스크와 기타 ESG 관련 리스크를 “연결”지을 수 있는 사람이 포함되어야 한다. 요약하자면, 내부 우선순위는 투자자들이 점점 더 피투자대상에게 기대하는 강력한 ESG 약속과 일치해야한다.

기업 청렴성은 또한 피투자대상을 상대하는 모든 이니셔티브 내에서 우선시되어야 한다. 예를 들어, 반부패 지표는 투자 매니저의 스튜어드십 노력, 상품 및 서비스에서 중요한 역할을 해야 한다. ESG 평가 기관, ESG 데이터 공급자 및 ESG 표준 제정 기관 역시 ESG 지표가 기업의 부패 리스크 및 취약성을 유의미하게 포착하는지를 비판적으로 평가해야한다. 기업 청렴성과 관련된 ESG 요소를 촉구하고 그 성과를 제고한다면 ESG 투자와 재무적 지속가능성에 관한 근본적인 역할이 더욱 강화될 것이다.

ESG 보고 및 평가 프레임워크에 부패 리스크를 효과적으로 포함한다

부패 리스크는 ESG 보고 및 평가 프레임워크에 일관성 있고 포괄적이며 표준화된 방식으로 포함되어야 한다. 부패는 또한 전 세계 모든 산업과 지역에 걸쳐 한결같이 적용되는 지배구조 리스크가 되어야 한다. 기업의 ESG 보고 및 등급 프레임워크는 ESG 포트폴리오의 작성, 투자 자본의 분배, 그리고 기업의 ESG 성과에 대한 인식에 있어 기초적인 역할을 한다. 따라서 ESG 투자가 그 약속을 이행하기 위해서는 ESG 보고 및 공시 프레임워크의 기초가 되는 지표의 정확성이 매우 중요하다. 국제지속가능성표준위원회(ISSB)가 공시 표준 초안을 작성하고 있음에 따라, 이러한 고려사항은 특히 중요하다.

• 신뢰할만한 제3자를 통한 공시 검증
• 과정, 시행, 예방을 포함하기 위한 ESG 지표 확장
• 뉘앙스 포함 (‘왜(Why)’에 대한 질문 및 세부 정보 추가)
• 전 세계 모든 산업에 걸쳐 핵심 지표 및 공시 요구사항 표준화

청렴을 ESG의 핵심으로 만들기 위해 공동으로 노력한다

기후변화와 불평등과 같이 기업의 부패는 전 세계 국가들을 괴롭히고 지속가능한 발전을 저해하는 시스템 차원의 문제이다. ESG 아젠다와 그 저변의 지속가능발전목표에는 기업의 관심, 자원, 그리고 투명성이 요구되며, 기업 청렴성 없이는 그 어느 것도 보장되지 않는다. (생략) 기업 청렴성을 위해 노력을 총동원하는 것은 각 행위자의 비용을 감소시키고 동시에 의미 있는 영향력을 행사할 가능성을 증가시킨다. (생략) 특히 ESG 투자가 널리 제안되고 규제되며 심지어 의무화된 투자 방식으로 굳어지기 시작하면서, 투자 영역 내 모든 행위자는 기업 청렴성이 ESG 혁명의 핵심으로 포함될 수 있도록 해야한다.

★이글은 세계지식포럼(World Economic Forum)이 발간한 <Investing in Integrity in an Increasingly Complex World: The Role of Anti-Corruption amid the ESG Revolution – Community Paper (June 2022)>을 UNGC 한국협회에서 발췌 번역하여 작성하였습니다. 인용 시 원문 출처 및 Business Integrity Society를 밝혀 주시기 바랍니다.

액센츄어(Accenture)는 컴플라이언스 책임자 860명을 대상으로 2021년 8월부터 9월까지 설문조사를 시행하여 컴플라이언스 리스크 보고서(Compliance Risk Study 2022 Report)를 2022년도에 발표하였다. 설문조사에 참여한 기업은 전세계에 10개 섹터(은행, 에너지, 보건 서비스, 보험, 생명과학, 소프트웨어 및 플랫폼, 통신, 유틸리티, 여행, 호텔)로 구성되었다. 보고서의 주요 내용을 아래와 같이 소개한다.

사전 예방적 접근성 향상

컴플라이언스 기능은 기존에 대응 및 자문 역할로만 사용되었다면 이제는 사전 예방적 도구로 전환되고 있다. 컴플라이언스 기능은 기업의 타 기능과 긴밀하게 협력하며 비즈니스, 시장 및 규제 개발 대응에 원활하게 적용되고있다. 많은 기업이 데이터 기반 통찰력을 활용하여 새롭고 업데이트된 규정을 해결함으로써 규제 관행을 상향 조정하고 있다.

비용 압박에 대응

기술에 투자하고 컴플라이언스 리스크 관리를 지원하는 데 필요한 인프라와 도구를 업그레이드해야 함에도 불구하고 컴플라이언스 담당자들은 비용절감 조치가 시행되는 환경에서 지속적으로 증가되는 컴플라이언스 비용에 대처해야 하는 과제를 안고 있다.

컴플라이언스 담당자는 기업이 이러한 리스크 영역을 관리하고 소통하는 데 핵심적인 역할을 수행한다. 이를 위해서는 투자자, 고객 및 기타 내부 및 외부 이해관계자에게 데이터 보호, 기후변화 및 사회적 책임이 핵심 기업 가치임을 입증해야 한다.

사이버 보안

모든 분야의 연구 응답자들은 근무 환경이 온/오프라인 하이브리드 형태로 전환됨에 따라 사이버 보안 리스크 관리에 대한 과제를 강조했다. 직원 및 제3사 공급업체가 현재 전 세계 어디에서든 원격 네트워크를 통해 회사의 시스템에 액세스하고 있기 때문에 기업 데이터의 보안은 CCO(Chief Compliance Officer)뿐만 아니라 CISO(Chief Information Security Officer)의 관심사가 되어 지속적인 모니터링 및 업데이트가 요구되고 있다.

ESG

컴플라이언스 담당자들은 ESG에 점점 더 초점을 맞추고 있다. 기후변화에서 온실가스 배출, 작업장 안전에서 인권, 이사회 다양성에서 경영진 보상 등에 이르기까지 글로벌 규제가 증가하고 있다. 예를 들어, 많은 사람들은 증권거래위원회(Securities and Exchange Commission), 노동부(Department of Labor), 환경보호청(Environmental Protection Agency), 연방에너지규제위원회(Federal Energy Regulatory Commission)를 비롯한 미국 규제기관이 미국 경제의 모든 부문에 영향을 미칠 수 있는 ESG 규정을 발표할 것으로 기대하고 있다.

유럽에서도 정부와 국제회계기준(International Financial Reporting Standards)을 포함한 표준 제정 단체가 새로운 국제지속가능성기준위원회(International Sustainability Standards Board)를 설립하였다. 그들은 지속가능성 공개에 대한 글로벌 표준을 만들고 상장기업의 정보공개 의무화을 위해 노력하고 있다. ESG 분야에 있어 기업은 다른 어떤 영역보다 지속적으로 관련성이 있고, 적응력이 뛰어나며, 기술 중심적인 컴플라이언스 기능이 필요하다.

기업 간 협업 구축 및 컴플라이언스 문화 육성

컴플라이언스 부서는 전사적인 리스크 관리 활동과 조직 전체의 리스크 프로세스를 조정하기 위한 노력을 점점 더 적극적으로 수행하고 있다. 전사적인 데이터 기반 리스크 평가는 기업이 비즈니스의 컴플라이언스 노출 및 취약성을 평가하는 데 필요한 투명성과 신뢰성을 제공할 수 있다.

액센츄어 연구에 따르면 기업들이 전사적으로 컴플라이언스 책임을 공유하는 문화를 구축하는 노력이 증가하고 있다는 것으로 나타났다. 이를 위해 응답자 중 절반 가까이가 컴플라이언스 인력을 훈련시켜 기업 전체에 컴플라이언스 문화를 조성할 계획인 것으로 나타났다. 그리고 약 40%가 이 목표를 달성하기 위해 새로운 기술에 투자할 계획이다.

또한 응답자의 90%가 이전에는 컴플라이언스 부서에서만 수행해왔던 일부 업무가 다른 부서에도 이전되고 있다는 데 동의하거나 강하게 동의했다. 컴플라이언스 담당자 절반 이상이 2년 안에 리스크 평가 프로세스가 3차 방어선 및/또는 통제 수준에 걸쳐 기업 전체에 완전히 조정될 것으로 기대한다고 말했다. 현재 19%만 리스크 평가 프로세스가 기업 전체에 통합되었다고 응답했다.

의사 결정을 위한 데이터 기반 통찰력 활용

조사 응답자의 절반 이상(52%)은 제3자 리스크를 적절히 식별하고 평가할 수 있는 데이터와 정보가 부족하다고 응답했다.

액센츄어의 연구는 이러한 데이터와 정보 격차를 해결하기 위해 다음과 같은 관행을 제시한다.

• 컴플라이언스 및 내부감사 부서가 동일한 데이터를 사용하여 리스크 관리, 모니터링 및 테스트를 통해 효율성 향상
• 데이터를 모니터링하고 문제를 해결하기 위한 일관된 프로세스 구축
• 규제 의무를 정책, 표준, 리스크 등으로 매핑하여 컴플라이언스의 격차와 약점을 포괄적으로 파악

디지털 기술을 보다 효과적으로 활용

AI, 머신러닝(ML) 등과 같은 신기술은 컴플라이언스 분야에서 효율성을 창출할 수 있다. 컴플라이언스 리스크 연구 응답자 10명 중 9명 이상(93%)은 AI, 클라우드 등 신기술이 만약 인간의 작업을 자동화하고, 인간의 실수를 제거하며, 프로세스를 보다 효과적이고 효율적으로 만들어 준다면 컴플라이언스 업무를 더욱 쉽게 할 수 있다고 동의하거나 강하게 동의했다. 클라우드 기반 플랫폼에 대한 투자는 비즈니스 전반의 리스크 프로세스 조정을 촉진할 수 있고, AI는 반복 가능한 작업을 자동화하여 리스크를 줄일 수 있다.

그러나 기업들은 컴플라이언스 업무에 신기술을 도입하는 데 어려움을 겪고 있다. 데이터 품질 및 관리 저하, 데이터 개인 정보 보호 요구사항 증가, 기술 및 인재 부족 등으로 인해 컴플라이언스 업무를 클라우드로 전환하는 데 어려움을 겪고 있다.

응답자 중 3분의 1(37%)은 기술 투자의 부족으로 문제가 악화되고 있다고 응답했다. 이로 인해 컴플라이언스 기능은 비즈니스 모델, 사이버 범죄, 비즈니스 및 규제의 급속한 진화에 대응하고 리스크를 파악하는데 점점 더 어려워 질 수 있다. 놀랍게도 61%의 컴플라이언스 담당자들만 향후 2년 안에 컴플라이언스 기능에 대한 투자를 늘릴 것으로 예상하고 있다.

데이터 기반 기술의 발전은 컴플라이언스 프로세스와 조직 통찰력을 개선하는 데 강력한 결과를 낳는다.

예를 들어, 모든 업계에서 사용되는 주요 관행은 다음과 같다.

• 컴플라이언스 매핑을 위한 AI 및 ML 활용, 엔드 투 엔드(end-to-end) 규정 변경 관리, 자동화된 컴플라이언스 테스트 및 모니터링
• 이러한 기술을 전사적으로 조정하여 효율성 및 투명성 향상

리스크가 더욱 복잡해지고 상호 관련성이 높아짐에 따라 거버넌스, 리스크 및 컴플라이언스(Governance Risk Compliance, GRC)의 필요성이 더욱 중요해지고 있다. GRC 분야의 기술과 프로세스 발전에도 불구하고 규제, 비즈니스 및 리스크 환경이 끊임없이 진화하는 상황속에서 기업이 컴플라이언스 요구사항의 규모와 복잡성을 처리하는 데 있어 여전히 어려움을 겪고 있다.

이에 대응하기 위해 기업은 AI와 ML을 활용하는 차세대 GRC 및 규제 감시 툴 및 솔루션을 활용하여 컴플라이언스 리스크 관리에 대한 부담을 줄이는 동시에 향상된 분석 기능을 제공하는 것이 중요하다. 이러한 도구와 솔루션은 지난 몇 년 동안 더욱 널리 보급되고 수용되어 GRC 이니셔티브에서 효율성, 효과성 및 민첩성을 촉진하는 데 사용할 수 있는 문을 열었다.

최근 여러 국내 기업에서 횡령 등의 사건사고가 빈번히 밝혀지면서, 내부 통제 시스템에 대한 지적이 잇따르고 있습니다. 이에 BIS 팀은 바젤거버넌스연구소가 발간한 <내부 통제와 반부패(Internal controls and anti-corruption)> 퀵가이드의 내용을 발췌 번역하여 소개합니다.

내부 통제란 무엇인가?

일반적으로 내부 통제(internal controls)는 문제, 오류, 부정을 감지하고 대응하기 위한 정책, 절차, 관행 등의 시스템을 의미한다. 내부 통제 시스템은 부패 행위를 해결하는 데 매우 효과적일 수 있으며, 또한 직원들의 낮은 성과나 조직의 중요목표의 달성 실패와 같이 조직 내 효율성과 효과성에 영향을 미치는 다른 문제도 해결할 수 있다.

종종 내부 통제는 재무제표 및 정부나 시장의 활동과 관련하여 생각된다. 그러나 공동의 목표 달성을 위해 함께 일하는 거의 모든 회사나 조직에는 일종의 내부 통제 시스템이 존재한다. 범죄 기업조차도 불법 제품이나 부당하게 획득한 이익이 원치 않는 방향으로 흘러가는 것을 방지하기 위해 내부 통제 시스템을 일반적으로 가지고 있다.

강력한 내부 통제 시스템은 단지 문제를 발견하고 수정하는 데에 그치지 않고, 조직이 잘 작동하고 있다는 것을 보여주는 좋은 수단이 된다. 심각한 부정행위가 나타나지 않는다는 것은 직원, 외부 이해관계자, 투자자에게 좋은 소식이 된다. 최상의 경우, 효과적인 내부 통제는 조직이 잘 작동하는 지점을 정확히 찾아내는 데 도움이 되기도 한다.

내부통제는 서류 작업에 국한되는 것인가?

그렇지 않다. 규정, 행동강령과 같이 문서화된 정책 및 절차는 일반 대중을 포함한 이해관계자에게 조직의 가치를 전달하고 규칙을 설정하는 데 중요한 역할을 한다. 전반적인 내부통제 시스템에는 이렇게 공식적이고 의도적으로 설계된 규칙과 절차가 포함되지만, 중요한 비공식적 관행도 포함된다. 예를 들어 신규 우려사항에 대한 경고를 알리는 것이나 모범사례를 공유하는 비공식적인 멘토링 및 교육 활동과 같은 정보 공유 네트워킹 활동이 있다.

부패 리스크 완화에 중점을 둔 최선의 내부 통제 시스템은 공식 및 비공식 관행 모두에 의존한다. 부패는 아주 현실에 기반을 둔 현상으로, 공식적인 규칙만으로 해결되지 않기 때문이다.

조직의 운영 맥락과 달성하고자 하는 목표에 따라 ‘올바른’ 통제와 대응은 크게 상이하다. 예를 들어 야생동물 범죄 수사를 담당하는 법 집행기관의 내부 통제는 무역업무를 하는 조직과 매우 다른 규칙과 관행을 갖는다. 즉 효과적인 통제 시스템을 개발함에 있어서 절대적인 규칙이나 ‘복사-붙여넣기’ 식의 템플릿이 존재하지 않는다.

예방, 탐지, 대응을 위한 내부 통제의 예

검찰과 같은 법 집행기구를 예를 들어 가정할 경우, 내부 통제 시스템에는 다음과 같은 사항이 포함될 수 있다.

• 예방: 증거가 변조되는 것을 방지하기 위한 내부 통제로는 예를 들어 증거보관실 문을 잠그는 것과 같이 간단한 것이 있을 수 있다. 혹은 정기적인 증거대장 관리나 증거 보관실에서 법정으로 안전하게 이송되는 것을 보장하는 추적 시스템과 같이, 보다 복잡한 책임 메커니즘이 포함될 수 있다.
• 탐지: 정보를 수집하고 전달하게 하는 내부통제는 잠재적인 부패를 감지하는 데 도움이 될 수 있다. 내부고발 및 보고 시스템을 통해, 법의 주목을 끌지 못했을 사안에 대해 조사나 데이터의 단서가 제공될 수 있다. 내부통제 시스템의 일환으로 정보가 축적된다면 데이터 분석적인 접근이 가능해진다. 예를 들어, 검찰은 사건의 진행상황에 대한 정보 분석을 통해 특정 유형의 사건을 절대 진행시키지 않는 특정 검사를 식별하는 데 도움을 받을 수 있다. 이를 더 깊이 파고든다면 무슨 일이 일어나고 있는지 알아낼 수 있는 잠재적 방아쇠 역할을 하게 된다.
• 대응: 부정행위에 대한 처벌은 대응의 한 종류이다. 그러나 성공 또는 실패 사례에 따라 교훈을 도출하는 토의를 가질 수도 있다. 잘 된 것과 잘못되었을 수도 있는 것을 분석하는 것은 조직과 직원의 목표 달성을 돕는 효과적이고 긍정적인 내부통제로 작용할 수 있다.

일상 업무의 일부가 되게 하라

내부 통제 조직은 올바른 정책, 절차, 표준, 지침 등이 마련되어 있는지 확인하는 것 외에도, 이러한 정책이 얼마나 실제로 준수되고 있는지도 확인한다. 아무도 이를 지키지 않는다면 일류의 행동강령을 보유하고 있는 것은 의미가 없기 때문이다.

잘 운영되는 조직에서는 내부 감사 부서가 높은 수준의 독립성을 가지고 있으며, 종종 최고 경영진에게 직접 보고한다. 또한 컴플라이언스 및 인사 부서와 긴밀하게 협력한다. 조직에서 업무가 어떻게 작동하는지 자세한 개관을 가지고 있으면서도 권고사항을 개발하는 데 능숙하기 때문이다.

그러나 내부통제가 전적으로 내부통제 부서의 책임이라고 생각하는 것은 오산이다. 오히려 그 반대이다. 내부통제는 비즈니스의 모든 측면에서 필수적인 부분이 되어야 하며 조직이 매일 효과적으로 기능할 수 있도록 도와야 한다.

내부 통제의 성공 요인

내부 통제가 부패 방지에 미치는 영향을 측정하는 것은 어렵다. 감독자가 근무시간 기록카드에 서명하거나 직무 순환을 통해 기존 상황을 새로운 관점으로 바라보는 등의 활동으로 인해 얼마나 많은 사기가 예방되었는지 어떻게 측정할 수 있겠는가.

어떤 내부 통제 시스템도 효과를 절대적으로 보장할 수 없다. 소수의 ‘나쁜 직원’은 최고의 내부 통제 시스템도 우회하는 방법을 항상 찾는다. 세간의 이목을 끄는 한두 건의 문제가 있다고 해서 대다수의 직원이 청렴하지 않게 행동한다는 의미는 아니다.

그럼에도 불구하고 내부 통제 시스템의 효율성에 분명히 영향을 미치는 다음의 몇 가지 요소가 있다.

• 통제 수행 책임자의 독립성(Independence), 특히 내부통제 부서 내에서 통제를 수행하는 책임자의 독립성이 중요하다. 여기에는 외적인 독립성과 실질적인 독립성 모두가 포함된다. 또한 달갑지 않은 소식을 전달해야 하는 사람을 보호하는 시스템을 설계하는 것도 포함한다.
• 통제 실행 직원의 수용(Buy-in)이 필요하다. 즉, 내부통제가 왜 중요하며 시간과 노력을 들일 가치가 있는지 해당 직원이 이해하도록 명확하게 커뮤니케이션 하는 것이 필요하다. 비밀번호를 주기적으로 변경하는 것과 같은 간단한 통제 조차도 만약 직원들이 그 당위성을 이해한다면 준수율이 개선된다.
• 시간과 비용 측면에서 비용-편익(Cost-benefit) 검토가 필요하다. 아주 소액의 현금을 요청하기 위해 과도하게 상세한 양식을 작성해야 하는 등 통제에 비용이 많이 들거나 시간이 과도하게 소요된다면 사람들은 이를 지키지 않게 된다.
• 결과(Consequences)는 현실적이면서 일관되게 적용되어야 한다. 만약 내부 통제에서 부패 행위가 드러날 경우 합당한 처벌을 받아야 한다. 단순히 부패한 직원을 다른 부서로 이동시키는 것만으로는 대개 추가적인 부정 행위를 막을 수 없다. 한편 결과라는 것이 항상 처벌만을 의미하지는 않는다. 예를 들어 프로세스를 수정하거나 약점을 보완하기 위한 교육을 권고할 수 있다.
• 직원들이 옳지 않다고 생각하는 사항에 대해 경보를 울리거나 더 나은 방식의 개선사항을 제안할 수 있도록 하는 신뢰할 수 있는 보고 채널(Credible reporting channels)이 있어야 한다. 공식적인 보고 채널은 소박하게는 건의함에서부터 익명의 내부고발 시스템에 이르기까지 다양하다. 중요한 것은, 직원들이 반향을 두려워하지 않고 문제를 제기하거나 질문을 할 권한을 가지고 있다고 느낄 수 있는 ‘발언 문화’의 조성이다.

★이글은 바젤거버넌스연구소(Basel Institute on Governance)의 Quick Guide Series의 일환으로 Rebecca Anne Batts가 발간한 <Internal controls and anti-corruption>(2022)을 UNGC 한국협회에서 발췌 번역하여 작성하였습니다. 인용 시 원문 출처 및 Business Integrity Society를 밝혀 주시기 바랍니다.

☞ 원문 바로보기