Business Integrity Society

지난 1년간 컴플라이언스 커뮤니티에서는 컴플라이언스와 ESG 연계에 대한 상당한 논의가 있었다. 몇몇 사람들은 컴플라이언스와 ESG의 통합이 시너지 효과를 창출할 수 있는 기회라고 말하는 반면 다른 이들은 컴플라이언스 부서가 제대로 구축되어 있지 않을 경우 사용가능한 예산이 제한되어 있기 때문에 ESG 관리 업무가 큰 부담을 줄 수 있다고 말한다. 또한 환경 관리와 같은 완전히 새롭고 복잡한 주제에 대한 지식을 쌓는 것 또한 매우 어려운 일이라고 생각한다.

그럼에도 불구하고 ESG 관리에서는 리스크와 컴플라이언스의 전문지식이 모두 포함되기 때문에 ESG와 리스크 및 컴플라이언스는 통합되어야 하며 앞으로도 계속 같이 가야한다.

ESG 관리에 있어 리스크 및 컴플라이언스의 역할

리스크 및 컴플라이언스 담당자는 이미 ESG의 사회(S) 및 거버넌스(G) 관리에 크게 관여하고 있다. 불법 행위 보고, 인적 및 사회자본 데이터 추적, 제3자 리스크 식별, 법적 및 규제 관리 등과 같은 메커니즘을 제공하는 것은 일반적으로 리스크 및 컴플라이언스 전문가의 책임이다.

또한 최근 미국, 영국, 프랑스 및 독일 기업 컴플라이언스 전문가들을 대상으로 실시한 원폴(OnePoll) 설문 조사에 따르면 응답자의 89%는 이미 ESG 보고를 컴플라이언스 프로그램의 일부로 포함하고 있다고 밝혔다. ESG를 컴플라이언스 프로그램의 일부로 포함하지 않는 11%의 기업 중 71%는 컴플라이언스를 ESG 관리에 포함해야 한다고 강하게 또는 어느 정도 동의하고 있다.

최고윤리경영책임자(CCO, Chief Compliance Officer)는 여러 부서와 교류하며 규정을 준수하고, 기업이 직면하고 있는 가장 시급한 리스크에 대해 보고할 수 있는 능력을 갖추고 있기 때문에 ESG 프로그램을 관리할 가장 적합한 인물이다. 예를 들어, CCO는 이미 여러 부서와의 차별 문제, 뇌물수수 방지 또는 정책 및 컴플라이언스를 지원하고 있으며, 해당 조직 문화를 조성하는 데 관여하고 있다. 이와 마찬가지로 ESG는 규모와 복잡성이 크기 때문에 기업 전체의 부서와 여러 이해관계자들이 함께 참여하고 관리해야 한다.

ESG와 컴플라이언스를 통합시키는 의미는 CCO가 ESG의 3가지 요소를 효과적으로 관리할 능력이나 전문지식을 갖추고 있다는 뜻이 아니라 CCO가 주요 비즈니스 문제에 대한 기존의 시각이 뛰어나기 때문에 필요한 정보를 보유하고 있는 전문가를 각 상황에 맞게 활용할 수 있다는 것이다.

투자자의 증가된 관심과 공시 규제 강화로 인한 리스크 관리의 필요성

공급망뿐만 아니라 기업의 ESG 문제에 대한 소비자 및 투자자의 관심이 사상 최고조에 달했다. 미국 증권거래위원회(SEC)는 기업이 ESG의 진행 상황을 정의, 추적 또는 보고해야 할 필요성을 공식화하고 있으며, 기업이 잘못된 정보나 위조된 정보를 공시할 경우 불이익을 받게 된다. 이러한 위험을 방지하고 관리하려면 높은 수준의 일관된 관리가 필요하다.

2021년 당사국총회(COP26) 정상회의에서 설립된 국제지속가능성기준위원회(ISSB)는 ESG 데이터의 표준화 확대를 요구하는 이해관계자들의 목소리에 대응하기 위해 ESG 공시 규정을 제정한다. ISSB는 2022년 하반기에 첫 번째 표준을 발표할 예정이다.

ESG 공시기준을 제정하는 주요 목적은 투자자와 기타 이해관계자들이 유용하고 비교 가능한 기업의 성과 지표를 제공받을 수 있게 하는 것이다. 앞으로 ISSB가 발표하는 공시기준과 요구사항을 충족할 수 있도록 컴플라이언스팀은 해당 리스크 프로세스를 구성하고 준비해야 한다.

리스크 완화 및 가치창출과의 연계

컴플라이언스 문제와 동일하게 ESG 리스크는 매우 다양하기 때문에 ESG를 관리할 수 있는 한 가지 접근 방식은 없다. 리스크 및 컴플라이언스 기능은 비즈니스에 부정적인 영향을 미칠 수 있는 문제를 식별하고 완화하는 데 능숙하다. 마찬가지로 ESG의 리스크 평가는 비즈니스에 의한 직접적이고 간접적인 경제적, 환경적, 사회적 영향을 식별해야 한다. 언어가 다를 수는 있지만 ESG 리스크 평가는 사실상 CCO가 잘 알고 있는 리스크 평가 프로세스와 동일하다.

ESG 리스크는 이제 비즈니스의 재정적인 요소로 인식되고 있다. ESG 리스크에 대한 일반적인 예로는 고용 차별 및 노동법 위반과 관련된 법적 절차로 인한 금전적 손실이다. 두 가지 모두 ESG 문제이다. 부정적인 환경 영향과 공급망 지속가능성은 비즈니스에 상당한 위험을 초래할 수 있다. 공급망에 속한 기업들 또한 환경에 직접적인 영향을 미칠 수 있다.

리스크 및 컴플라이언스 기능은 기업의 가치를 창출할 수 있다. ESG 프로그램을 관리하는 리스크 및 컴플라이언스 담당자는 비즈니스에 중요한 영향을 미치고 접근 방식과 프로세스의 일관성을 유지함으로써 리스크를 줄이고 중요한 리스크 완화 기능의 통합된 관리를 보장한다.

계획을 행동으로

ESG 프로그램의 의미 있는 변화를 추진하기 위해서는 조직 전체의 문화적 채택이 필요하다. 컴플라이언스는 회사의 행동 강령이 지켜지고 직원 교육이 이루어질 수 있도록 가능케하는 원동력이다. 이 모든 것이 조직 문화의 기본이다. 또한 회사 문화와 직원 참여에 영향을 미치는 모든 요소 중에서 특히 직원들로부터 요구되는 ESG 성과가 가장 중요하다.

컴플라이언스를 통해 ESG 노력이 향상될 수 있는 방법의 예시로는 실사(due diligence) 수행, 시정 조치(corrective actions) 결정, 지속가능성과 환경에 미치는 영향에 대한 진행 상황 추적 등 ESG 프로토콜 준수 수준을 향상시키는 방법이다. 또 다른 예시로는 전사적 다양성(diversity), 형평성(equity) 및 포용적(inclusion) 노력을 개선하기 위해 인사팀과 파트너십을 구축하는 것이다. 기준 분석, 개선 전략 개발, 진행 상황 추적 및 보고는 대부분의 기업에서의 최우선 과제이며 ESG 통합 전략에 포함되어야 한다.

앞으로의 여정

ESG 문제에 대한 대중의 관심은 계속 높아지고 있으며, 기업은 앞으로 이 공시 규제 곡선(disclosure regulation curve)을 앞서기 위해 신속하게 대응해야 한다. 기업이 ESG 보고와 성장을 우선시 할수록 ESG 관리에 있어 컴플라이언스 역할은 계속해서 증가할 것이다.

비전있는 CCO는 ESG 책임을 더 많은 자원 획득, 더 많은 조직 영향력 발휘 또는 윤리적 비즈니스 문화를 더 많이 형성시킬 수 있는 기회로 볼 것이다. CCO는 리더이자, 커뮤니케이션 담당자이며 또한 코디네이터이다. 그러나 이 역할은 단순히 “추가적인” 책임으로만 간주해서는 안 된다. 본 역할에는 적절한 자원, 주제전문가(subject matter experts) 제공 및 전반적인 권한이 함께 부여되어야 한다.

ESG, 리스크 및 컴플라이언스 간에 이미 존재하는 중요한 중복성을 인식하고 있는 CCO는 ESG와 리스크 및 컴플라이언스를 지속적으로 통합시켜 기업을 한 단계 끌어올릴 수 있기를 기대한다.

★ 이 글은 세계적인 윤리경영 컨설팅업체인 네벡스(Navex)의 기고문을 UNGC 한국협회에서 번역하였습니다. 인용 시 출처(원문) 및 Business Integrity Society를 밝혀주시기 바랍니다.

세계적인 담론을 다루는 World Economic Forum은 ESG에 대한 관심이 뜨거운 현대 사회에서 반부패의 역할이 무엇인지 조명하는 페이퍼를 최근 발간하였습니다. BIS팀은 <점차 복잡해지는 세상에서 청렴에 투자하기: ESG 혁명기의 반부패의 역할(Investing in Integrity in an Increasingly Complex World: The Role of Anti-Corruption amid the ESG Revolution)>을 소개합니다.

1. 다양한 부패 리스크의 이해 및 관리

부패 및 ESG 리스크

사회책임투자 또는 지속가능투자와 본질적으로 유사한 의미를 가지고 있는 ESG 투자는, 투자 결정을 내릴 때 환경(E), 사회(S) 및 기업지배구조(G) 리스크와 전통적인 재무 리스크를 함께 고려하는 것을 말한다. 기업의 가망성 및 잠재력을 평가하여 투자하는 이러한 총체적인 접근 방식은 투자 영역에서 점점 더 존재감을 키우고 있다. 글로벌 투자 시스템의 목적이 자본의 효율적 배분을 통해 경제 성과를 개선하는 것이라면, ESG 투자는 효율성과 경제적 개선이 재무지표 너머에 달려 있다는 점을 명확히 인정한다.

[부패와 기업지배구조(G)]

ESG 프레임워크 내에서 부패 리스크는 일반적으로 기업구조, 이사회 구성 및 권력 배분과 관련된 기타 요소와 함께 “기업지배구조”(ESG의 “G”)라는 대단히 중요한 범주에 포함된다. 게다가 기업지배구조는 ESG 혁명과 함께 진화하고 있다. 수년간 기업지배구조는 경영진, 주주, 책임성 및 이윤 중심의 개념이었으나, 전 세계의 관심이 기후위기, 팬데믹, 인권 침해 및 기타 ESG 요소로 옮겨가면서 기업지배구조는 점점 더 총체적인 개념으로 이해되고 있다. 과거의 기업 내부 중심 관점에서 확장되어 수탁자 책임(스튜어드십), 주주 복지, 청렴한 로비 등의 요소와 같은 기업의 대외적 영향력을 포함하는 개념으로 변모한 것이다. 우수한 기업지배구조의 정의가 윤리 및 이해관계자 중심 이슈로 확장됨에 따라 부패 리스크의 중요성 역시 ESG의 “G” 관점에서 증가하였다. 부패는 회사를 법적 리스크 및 부실 경영에 노출시킬 뿐만 아니라 정치 파트너의 청렴성과 주변 지역사회의 복지에도 영향을 미친다. 나아가 부패는 관련 환경 및 사회적 요인과 밀접하게 관련되어 있다.

[부패와 환경(E)]

부패에 의해 시장, 규제 집행 및 입법 과정이 왜곡될 때 사람과 지구 모두 고통을 겪는다. 브루킹스 연구소(Brookings Institute)의 2020년 보고서는 다음과 같이 서술한다: “문서상으로 규제가 아무리 강력하더라도, 비효율적이고 변질된 채 시행되어 당초 의도한 환경 보호를 오히려 저해할 수 있다. 국가 차원에서는 채굴권 부여와 관련하여 공무원이 뇌물을 수수함으로써 보호되어야 할 땅이 개발되곤 한다. 지자체 수준에서는, 기업에 규제요건을 면제해주는 대가로 뇌물을 요구하거나 뒷돈 여부에 따라 법률 집행이 달라지는 등의 형태를 취할 수 있다.”

부패는 또한 기업의 환경영향평가 및 공시의 정확성에 영향을 미칠 수 있다. 세계자연기금(WWF)의 거버넌스 실무 리더인 델핀 가나핀(Delfin Ganapin)은 “환경 범죄와 부패에 맞서 싸우지 않는 한, 자연 시스템이 잘 작동하고 장기적으로 지역사회와 경제가 그로부터 수혜 받도록 하기 위한 우리의 노력은 무산될 것이다”고 말한 바 있다. 이산화탄소 배출 및 수질 오염에서부터 환경 악화 및 점점 감소하는 생물 다양성에 이르기까지, 글로벌 환경 아젠다의 상위 항목과 부패 사이에는 분명한 연관성이 있다. 예를 들어, 부패는 삼림 벌채, 과도한 채굴 관행, 야생동물의 불법 포획과 밀매, 생태계를 바꾸는 댐 프로젝트를 촉진했다.

[부패와 인권(S)]

부패로 인해 규제 시행과 인간 복지보다 기업이윤이 우선시된다면 사회적 리스크 역시 악화된다. 부패는 의료, 교육, 깨끗한 물, 주택을 포함한 광범위한 생필품과 필수 서비스에서 돈을 앗아간다. 부패는 기업 이윤이라는 명목 하에 언론의 자유 억압, 토지 약탈, 수질 오염, 지역사회 지도자 살해 등을 정부가 묵인하거나 심지어 이에 가담하도록 할 수 있다. 비정부기구인 글로벌 위트니스(Global Witness)는 2019년에 살해된 토지∙환경 보호 운동가의 수를 집계한 2020년 보고서에서 “세계 최악의 환경 및 인권 침해”의 대부분은 “글로벌 정치 및 경제 시스템에 존재하는 부패”에 기인한 것임을 밝혔다. 나아가 부패는 정치적 정당성을 약화시키고 투자를 위축시키며 시장을 왜곡하고 중요한 공공 서비스를 저해함으로써 경제성장에 부정적인 영향을 미치고 글로벌 불평등을 악화시킨다.

청렴, 전략적이고 지속가능한 투자의 근간

기업 청렴성은 보다 넓은 시각에서 ESG 및 지속가능한 투자의 기본 요소로 이해되어야 한다. 이는 ESG 의제를 실현하는 데 있어 매우 중요한 문제이자 기본이다. 부패는 ESG 우선순위를 약화시킬 뿐만 아니라 ESG 관리 및 보고를 왜곡시킬 수도 있다. ESG 공시 요건의 생소함과 많은 ESG 지표의 질적 특성으로 인해 이러한 리스크는 악화되며, 이로 인해 제3자 검증 또한 상대적으로 어려워진다. 따라서 부패 리스크에 대한 적절한 고려없이 투자자의 ESG 또는 재무 목표가 달성되는 것은 불가능하다.

2. ESG 프레임워크의 현주소

부패 및 ESG 정보공시 프레임워크 – 부패와 관련된 뒤섞인 메시지

ESG 정보공시 프레임워크는 ESG 리스크의 중요성에 대한 관심을 제고하고, 기존 투자자 의사 결정 프레임워크에 ESG를 통합하는 방법에 대한 지침을 제공하며, 전에는 측정할 수 없었던 비재무적 요소에 대한 지표를 추출함으로써 지속가능한 투자의 미래에 확실하게 기여한다. 그러나 다른 한편으로 ESG 정보공개 프레임워크는 ESG 투자와 부패 리스크의 역할 모두에 대하여 혼란을 야기한다. 이러한 프레임워크는 “ESG를 한다”는 것이 무엇을 의미하는지에 대해 널리 받아들여진 프레임으로서, ESG 투자 영역에서 부패 문제와 관련된 상당한 사각 지대를 만들 위험이 있다.

[일관성 없는 프레임워크]

부패는 다양한 ESG 정보공시 프레임워크 내 일관되지 않게 반영되어 있다. 대부분의 프레임워크는 부패 리스크를 “지배구조” 하에 분류하지만, 일부는 “경제적” 고려사항 또는 ESG 우선순위와 구별되는 선택적 지표로 분류한다. 예를 들어, EU의 지속가능금융공시규제(SFDR)는 금융서비스 부문이 의무적으로 공시해야 하는 18개의 핵심 지표를 규정한다. 18개 지표는 부패 리스크와 대략적으로 또는 간접적으로 관련이 있는 두 가지 지표, 유엔글로벌콤팩트 10대 원칙과 OECD 다국적기업을 위한 가이드라인의 위반 또는 준수 미흡을 포함한다. 그러나 반부패 및 뇌물방지 정책, 해당 정책 위반에 대한 대응, 반부패법 또는 뇌물방지법 위반에 대한 유죄판결과 같은 명백한 부패 리스크 지표는 선택 사항으로 남겨졌다. 유엔글로벌콤팩트 10대 원칙과 OECD 다국적기업을 위한 가이드라인 모두 부패 문제를 다루기에, 부패 리스크가 의무 및 선택 보고사항으로 거의 확실히 포함되지만, 그럼에도 명확하고 구체적인 부패 리스크는 선택 보고사항으로 분류된다. 이러한 일관성 없는 부패 리스크 프레임은 투자자, 신용평가사 및 피투자기업들이 공시된 ESG 정보를 부수적인 고려사항으로 여기도록 오도할 수 있다.

[일관성 없는 보고 권고사항]

특히 높은 평가를 받고 있는 지속가능회계기준위원회(SASB) 표준에 의해 제시된 산업별 ESG 보고 프레임워크에는 전체 산업이 부패 관련 보고 권고에서 제외된다. (생략) 어떠한 산업도 부패 리스크로부터 완전히 자유롭지 못한 현실에서, 현재 권고사항에 불과한 레드플래그(경고 징후)는 기업과 투자자로 하여금 부패 리스크가 보편적으로 중요하지 않다는 잘못된 생각을 하도록 할 수 있다. 나아가 지속가능회계기준위원회(SASB)가 부패 취약산업으로 표시한 산업들을 대상으로 권고한 부패 관련 지표는 산업별로 상이하며 설명되지 않는 다양한 불일치가 존재한다. 물론 부문별 보고 지침을 수용하는 것은 상당한 가치가 있지만, 지금과 같이 기업 청렴 및 반부패 정책·관행·성과를 설명하기 위한 파편화된 접근방식은 의도치 않게 현 상태에 안주하게 하거나 다양한 부패 리스크에 취약한 여러 산업 내에서 사각지대를 낳을 수 있다.

[ESG 중 환경(E)에의 과도한 치중]

ESG의 “E”는 부패를 포함하여 똑같이 중요한 다른 요소를 희생시키면서 ESG 프레임워크에서 결국 우위를 차지하게 되었다. 상기한 비일관성과 모호성의 대부분은 ESG에서 “G”가 항상 최우선 순위는 아니라는 사실의 방증일 수 있다. ESG 흐름은 기후변화에 대응하기 위한 세계적 모멘텀과 함께 강화되었다. 인권 또는 사회적 문제가 최근 규제 기관과 국제기구의 관심을 끌기 시작했지만, 지배구조 리스크 뒤에는 그와 비교할 만한 추진력이 존재하지 않는다. EU의 지속가능금융공시규제(SFDR)는 기후 문제에 대한 강조를 분명히 인정하며, 심지어는 환경친화적인 정도에 기반한 계단식 투자등급 접근법을 채택하고 있다. 그러나 이러한 프레임워크는 “ESG”로 마케팅되고 강조되기에 “사회(S)”, 더욱 시급하게는 “지배구조(G)” 관련 지표를 함께 개발하고 자원을 동원해야 하는 긴급한 필요성이 무시될 위험이 있다.

3. 행동을 위한 제언

내부 서약, 프로세스, 정책 및 인센티브를 통해 기업 청렴성을 우선순위로 지정한다

기업 재무를 모니터링하는 주요 행위자들인 기관 자산 소유자, 투자 매니저, 평가 기관, ESG 데이터 공급자, 규제기관 및 초국가적 표준의 제정 기관을 포함한 투자 영역 내 모든 행위자들은 자신의 서약, 프로세스, 정책 및 인센티브에 따라 기업 청렴성을 우선시해야 한다. 이는 이러한 기관들 스스로 우수한 기업지배구조에 대한 더 넓은 정의를 수용해야 한다는 것을 의미한다. 즉, 우수한 기업지배구조에 대해 정의할 때 기업 구조 및 이사회 구성과 같은 전통적 고려사항을 기반으로 확장하여 기업의 사회적 책임과 투명성을 중심에 두어야한다. 피투자대상에 ESG 표준을 적용하는 것도 중요하지만, ESG 표준에 따라 자본을 평가, 집행 및 할당하는 사람이 ESG 자체를 받아들이는 것 역시 중요하다. 기관의 청렴성은 ESG 서약의 시험대이다. ESG 표준 및 도구를 신속하게 개발하여 지속가능성이 명목상으로만 촉진되는 것이 아니라 실질적으로 촉진되도록 하기 위해 투자자 영역의 행위자는 청렴성, 투명성, 책임성을 자신의 공개적 서약, 의사결정 프로세스, 내부 인센티브, 고용 관행, 로비 활동, 조직문화 형성에 영향을 미치는 기업 지배구조의 기타 영역에 내재화해야한다. 기관은 또한 정책 집행 및 관행 업데이트를 위해, 기관 청렴성을 위협할 수 있는 ESG 워싱 사례 및 진정성없이 규제가 요구하는 최소사항만을 이행하는 사례를 최소화하기 위하여 모니터링 체계를 구축해야한다. 나아가 이사회 및 기타 리더십에는 반부패 분야에 정통한 사람, 즉 용어나 레드플래그(경고 징후) 및 모범 사례를 알고 있으며 부패 리스크와 기타 ESG 관련 리스크를 “연결”지을 수 있는 사람이 포함되어야 한다. 요약하자면, 내부 우선순위는 투자자들이 점점 더 피투자대상에게 기대하는 강력한 ESG 약속과 일치해야한다.

기업 청렴성은 또한 피투자대상을 상대하는 모든 이니셔티브 내에서 우선시되어야 한다. 예를 들어, 반부패 지표는 투자 매니저의 스튜어드십 노력, 상품 및 서비스에서 중요한 역할을 해야 한다. ESG 평가 기관, ESG 데이터 공급자 및 ESG 표준 제정 기관 역시 ESG 지표가 기업의 부패 리스크 및 취약성을 유의미하게 포착하는지를 비판적으로 평가해야한다. 기업 청렴성과 관련된 ESG 요소를 촉구하고 그 성과를 제고한다면 ESG 투자와 재무적 지속가능성에 관한 근본적인 역할이 더욱 강화될 것이다.

ESG 보고 및 평가 프레임워크에 부패 리스크를 효과적으로 포함한다

부패 리스크는 ESG 보고 및 평가 프레임워크에 일관성 있고 포괄적이며 표준화된 방식으로 포함되어야 한다. 부패는 또한 전 세계 모든 산업과 지역에 걸쳐 한결같이 적용되는 지배구조 리스크가 되어야 한다. 기업의 ESG 보고 및 등급 프레임워크는 ESG 포트폴리오의 작성, 투자 자본의 분배, 그리고 기업의 ESG 성과에 대한 인식에 있어 기초적인 역할을 한다. 따라서 ESG 투자가 그 약속을 이행하기 위해서는 ESG 보고 및 공시 프레임워크의 기초가 되는 지표의 정확성이 매우 중요하다. 국제지속가능성표준위원회(ISSB)가 공시 표준 초안을 작성하고 있음에 따라, 이러한 고려사항은 특히 중요하다.

• 신뢰할만한 제3자를 통한 공시 검증
• 과정, 시행, 예방을 포함하기 위한 ESG 지표 확장
• 뉘앙스 포함 (‘왜(Why)’에 대한 질문 및 세부 정보 추가)
• 전 세계 모든 산업에 걸쳐 핵심 지표 및 공시 요구사항 표준화

청렴을 ESG의 핵심으로 만들기 위해 공동으로 노력한다

기후변화와 불평등과 같이 기업의 부패는 전 세계 국가들을 괴롭히고 지속가능한 발전을 저해하는 시스템 차원의 문제이다. ESG 아젠다와 그 저변의 지속가능발전목표에는 기업의 관심, 자원, 그리고 투명성이 요구되며, 기업 청렴성 없이는 그 어느 것도 보장되지 않는다. (생략) 기업 청렴성을 위해 노력을 총동원하는 것은 각 행위자의 비용을 감소시키고 동시에 의미 있는 영향력을 행사할 가능성을 증가시킨다. (생략) 특히 ESG 투자가 널리 제안되고 규제되며 심지어 의무화된 투자 방식으로 굳어지기 시작하면서, 투자 영역 내 모든 행위자는 기업 청렴성이 ESG 혁명의 핵심으로 포함될 수 있도록 해야한다.

★이글은 세계지식포럼(World Economic Forum)이 발간한 <Investing in Integrity in an Increasingly Complex World: The Role of Anti-Corruption amid the ESG Revolution – Community Paper (June 2022)>을 UNGC 한국협회에서 발췌 번역하여 작성하였습니다. 인용 시 원문 출처 및 Business Integrity Society를 밝혀 주시기 바랍니다.

액센츄어(Accenture)는 컴플라이언스 책임자 860명을 대상으로 2021년 8월부터 9월까지 설문조사를 시행하여 컴플라이언스 리스크 보고서(Compliance Risk Study 2022 Report)를 2022년도에 발표하였다. 설문조사에 참여한 기업은 전세계에 10개 섹터(은행, 에너지, 보건 서비스, 보험, 생명과학, 소프트웨어 및 플랫폼, 통신, 유틸리티, 여행, 호텔)로 구성되었다. 보고서의 주요 내용을 아래와 같이 소개한다.

사전 예방적 접근성 향상

컴플라이언스 기능은 기존에 대응 및 자문 역할로만 사용되었다면 이제는 사전 예방적 도구로 전환되고 있다. 컴플라이언스 기능은 기업의 타 기능과 긴밀하게 협력하며 비즈니스, 시장 및 규제 개발 대응에 원활하게 적용되고있다. 많은 기업이 데이터 기반 통찰력을 활용하여 새롭고 업데이트된 규정을 해결함으로써 규제 관행을 상향 조정하고 있다.

비용 압박에 대응

기술에 투자하고 컴플라이언스 리스크 관리를 지원하는 데 필요한 인프라와 도구를 업그레이드해야 함에도 불구하고 컴플라이언스 담당자들은 비용절감 조치가 시행되는 환경에서 지속적으로 증가되는 컴플라이언스 비용에 대처해야 하는 과제를 안고 있다.

컴플라이언스 담당자는 기업이 이러한 리스크 영역을 관리하고 소통하는 데 핵심적인 역할을 수행한다. 이를 위해서는 투자자, 고객 및 기타 내부 및 외부 이해관계자에게 데이터 보호, 기후변화 및 사회적 책임이 핵심 기업 가치임을 입증해야 한다.

사이버 보안

모든 분야의 연구 응답자들은 근무 환경이 온/오프라인 하이브리드 형태로 전환됨에 따라 사이버 보안 리스크 관리에 대한 과제를 강조했다. 직원 및 제3사 공급업체가 현재 전 세계 어디에서든 원격 네트워크를 통해 회사의 시스템에 액세스하고 있기 때문에 기업 데이터의 보안은 CCO(Chief Compliance Officer)뿐만 아니라 CISO(Chief Information Security Officer)의 관심사가 되어 지속적인 모니터링 및 업데이트가 요구되고 있다.

ESG

컴플라이언스 담당자들은 ESG에 점점 더 초점을 맞추고 있다. 기후변화에서 온실가스 배출, 작업장 안전에서 인권, 이사회 다양성에서 경영진 보상 등에 이르기까지 글로벌 규제가 증가하고 있다. 예를 들어, 많은 사람들은 증권거래위원회(Securities and Exchange Commission), 노동부(Department of Labor), 환경보호청(Environmental Protection Agency), 연방에너지규제위원회(Federal Energy Regulatory Commission)를 비롯한 미국 규제기관이 미국 경제의 모든 부문에 영향을 미칠 수 있는 ESG 규정을 발표할 것으로 기대하고 있다.

유럽에서도 정부와 국제회계기준(International Financial Reporting Standards)을 포함한 표준 제정 단체가 새로운 국제지속가능성기준위원회(International Sustainability Standards Board)를 설립하였다. 그들은 지속가능성 공개에 대한 글로벌 표준을 만들고 상장기업의 정보공개 의무화을 위해 노력하고 있다. ESG 분야에 있어 기업은 다른 어떤 영역보다 지속적으로 관련성이 있고, 적응력이 뛰어나며, 기술 중심적인 컴플라이언스 기능이 필요하다.

기업 간 협업 구축 및 컴플라이언스 문화 육성

컴플라이언스 부서는 전사적인 리스크 관리 활동과 조직 전체의 리스크 프로세스를 조정하기 위한 노력을 점점 더 적극적으로 수행하고 있다. 전사적인 데이터 기반 리스크 평가는 기업이 비즈니스의 컴플라이언스 노출 및 취약성을 평가하는 데 필요한 투명성과 신뢰성을 제공할 수 있다.

액센츄어 연구에 따르면 기업들이 전사적으로 컴플라이언스 책임을 공유하는 문화를 구축하는 노력이 증가하고 있다는 것으로 나타났다. 이를 위해 응답자 중 절반 가까이가 컴플라이언스 인력을 훈련시켜 기업 전체에 컴플라이언스 문화를 조성할 계획인 것으로 나타났다. 그리고 약 40%가 이 목표를 달성하기 위해 새로운 기술에 투자할 계획이다.

또한 응답자의 90%가 이전에는 컴플라이언스 부서에서만 수행해왔던 일부 업무가 다른 부서에도 이전되고 있다는 데 동의하거나 강하게 동의했다. 컴플라이언스 담당자 절반 이상이 2년 안에 리스크 평가 프로세스가 3차 방어선 및/또는 통제 수준에 걸쳐 기업 전체에 완전히 조정될 것으로 기대한다고 말했다. 현재 19%만 리스크 평가 프로세스가 기업 전체에 통합되었다고 응답했다.

의사 결정을 위한 데이터 기반 통찰력 활용

조사 응답자의 절반 이상(52%)은 제3자 리스크를 적절히 식별하고 평가할 수 있는 데이터와 정보가 부족하다고 응답했다.

액센츄어의 연구는 이러한 데이터와 정보 격차를 해결하기 위해 다음과 같은 관행을 제시한다.

• 컴플라이언스 및 내부감사 부서가 동일한 데이터를 사용하여 리스크 관리, 모니터링 및 테스트를 통해 효율성 향상
• 데이터를 모니터링하고 문제를 해결하기 위한 일관된 프로세스 구축
• 규제 의무를 정책, 표준, 리스크 등으로 매핑하여 컴플라이언스의 격차와 약점을 포괄적으로 파악

디지털 기술을 보다 효과적으로 활용

AI, 머신러닝(ML) 등과 같은 신기술은 컴플라이언스 분야에서 효율성을 창출할 수 있다. 컴플라이언스 리스크 연구 응답자 10명 중 9명 이상(93%)은 AI, 클라우드 등 신기술이 만약 인간의 작업을 자동화하고, 인간의 실수를 제거하며, 프로세스를 보다 효과적이고 효율적으로 만들어 준다면 컴플라이언스 업무를 더욱 쉽게 할 수 있다고 동의하거나 강하게 동의했다. 클라우드 기반 플랫폼에 대한 투자는 비즈니스 전반의 리스크 프로세스 조정을 촉진할 수 있고, AI는 반복 가능한 작업을 자동화하여 리스크를 줄일 수 있다.

그러나 기업들은 컴플라이언스 업무에 신기술을 도입하는 데 어려움을 겪고 있다. 데이터 품질 및 관리 저하, 데이터 개인 정보 보호 요구사항 증가, 기술 및 인재 부족 등으로 인해 컴플라이언스 업무를 클라우드로 전환하는 데 어려움을 겪고 있다.

응답자 중 3분의 1(37%)은 기술 투자의 부족으로 문제가 악화되고 있다고 응답했다. 이로 인해 컴플라이언스 기능은 비즈니스 모델, 사이버 범죄, 비즈니스 및 규제의 급속한 진화에 대응하고 리스크를 파악하는데 점점 더 어려워 질 수 있다. 놀랍게도 61%의 컴플라이언스 담당자들만 향후 2년 안에 컴플라이언스 기능에 대한 투자를 늘릴 것으로 예상하고 있다.

데이터 기반 기술의 발전은 컴플라이언스 프로세스와 조직 통찰력을 개선하는 데 강력한 결과를 낳는다.

예를 들어, 모든 업계에서 사용되는 주요 관행은 다음과 같다.

• 컴플라이언스 매핑을 위한 AI 및 ML 활용, 엔드 투 엔드(end-to-end) 규정 변경 관리, 자동화된 컴플라이언스 테스트 및 모니터링
• 이러한 기술을 전사적으로 조정하여 효율성 및 투명성 향상

리스크가 더욱 복잡해지고 상호 관련성이 높아짐에 따라 거버넌스, 리스크 및 컴플라이언스(Governance Risk Compliance, GRC)의 필요성이 더욱 중요해지고 있다. GRC 분야의 기술과 프로세스 발전에도 불구하고 규제, 비즈니스 및 리스크 환경이 끊임없이 진화하는 상황속에서 기업이 컴플라이언스 요구사항의 규모와 복잡성을 처리하는 데 있어 여전히 어려움을 겪고 있다.

이에 대응하기 위해 기업은 AI와 ML을 활용하는 차세대 GRC 및 규제 감시 툴 및 솔루션을 활용하여 컴플라이언스 리스크 관리에 대한 부담을 줄이는 동시에 향상된 분석 기능을 제공하는 것이 중요하다. 이러한 도구와 솔루션은 지난 몇 년 동안 더욱 널리 보급되고 수용되어 GRC 이니셔티브에서 효율성, 효과성 및 민첩성을 촉진하는 데 사용할 수 있는 문을 열었다.

최근 여러 국내 기업에서 횡령 등의 사건사고가 빈번히 밝혀지면서, 내부 통제 시스템에 대한 지적이 잇따르고 있습니다. 이에 BIS 팀은 바젤거버넌스연구소가 발간한 <내부 통제와 반부패(Internal controls and anti-corruption)> 퀵가이드의 내용을 발췌 번역하여 소개합니다.

내부 통제란 무엇인가?

일반적으로 내부 통제(internal controls)는 문제, 오류, 부정을 감지하고 대응하기 위한 정책, 절차, 관행 등의 시스템을 의미한다. 내부 통제 시스템은 부패 행위를 해결하는 데 매우 효과적일 수 있으며, 또한 직원들의 낮은 성과나 조직의 중요목표의 달성 실패와 같이 조직 내 효율성과 효과성에 영향을 미치는 다른 문제도 해결할 수 있다.

종종 내부 통제는 재무제표 및 정부나 시장의 활동과 관련하여 생각된다. 그러나 공동의 목표 달성을 위해 함께 일하는 거의 모든 회사나 조직에는 일종의 내부 통제 시스템이 존재한다. 범죄 기업조차도 불법 제품이나 부당하게 획득한 이익이 원치 않는 방향으로 흘러가는 것을 방지하기 위해 내부 통제 시스템을 일반적으로 가지고 있다.

강력한 내부 통제 시스템은 단지 문제를 발견하고 수정하는 데에 그치지 않고, 조직이 잘 작동하고 있다는 것을 보여주는 좋은 수단이 된다. 심각한 부정행위가 나타나지 않는다는 것은 직원, 외부 이해관계자, 투자자에게 좋은 소식이 된다. 최상의 경우, 효과적인 내부 통제는 조직이 잘 작동하는 지점을 정확히 찾아내는 데 도움이 되기도 한다.

내부통제는 서류 작업에 국한되는 것인가?

그렇지 않다. 규정, 행동강령과 같이 문서화된 정책 및 절차는 일반 대중을 포함한 이해관계자에게 조직의 가치를 전달하고 규칙을 설정하는 데 중요한 역할을 한다. 전반적인 내부통제 시스템에는 이렇게 공식적이고 의도적으로 설계된 규칙과 절차가 포함되지만, 중요한 비공식적 관행도 포함된다. 예를 들어 신규 우려사항에 대한 경고를 알리는 것이나 모범사례를 공유하는 비공식적인 멘토링 및 교육 활동과 같은 정보 공유 네트워킹 활동이 있다.

부패 리스크 완화에 중점을 둔 최선의 내부 통제 시스템은 공식 및 비공식 관행 모두에 의존한다. 부패는 아주 현실에 기반을 둔 현상으로, 공식적인 규칙만으로 해결되지 않기 때문이다.

조직의 운영 맥락과 달성하고자 하는 목표에 따라 ‘올바른’ 통제와 대응은 크게 상이하다. 예를 들어 야생동물 범죄 수사를 담당하는 법 집행기관의 내부 통제는 무역업무를 하는 조직과 매우 다른 규칙과 관행을 갖는다. 즉 효과적인 통제 시스템을 개발함에 있어서 절대적인 규칙이나 ‘복사-붙여넣기’ 식의 템플릿이 존재하지 않는다.

예방, 탐지, 대응을 위한 내부 통제의 예

검찰과 같은 법 집행기구를 예를 들어 가정할 경우, 내부 통제 시스템에는 다음과 같은 사항이 포함될 수 있다.

• 예방: 증거가 변조되는 것을 방지하기 위한 내부 통제로는 예를 들어 증거보관실 문을 잠그는 것과 같이 간단한 것이 있을 수 있다. 혹은 정기적인 증거대장 관리나 증거 보관실에서 법정으로 안전하게 이송되는 것을 보장하는 추적 시스템과 같이, 보다 복잡한 책임 메커니즘이 포함될 수 있다.
• 탐지: 정보를 수집하고 전달하게 하는 내부통제는 잠재적인 부패를 감지하는 데 도움이 될 수 있다. 내부고발 및 보고 시스템을 통해, 법의 주목을 끌지 못했을 사안에 대해 조사나 데이터의 단서가 제공될 수 있다. 내부통제 시스템의 일환으로 정보가 축적된다면 데이터 분석적인 접근이 가능해진다. 예를 들어, 검찰은 사건의 진행상황에 대한 정보 분석을 통해 특정 유형의 사건을 절대 진행시키지 않는 특정 검사를 식별하는 데 도움을 받을 수 있다. 이를 더 깊이 파고든다면 무슨 일이 일어나고 있는지 알아낼 수 있는 잠재적 방아쇠 역할을 하게 된다.
• 대응: 부정행위에 대한 처벌은 대응의 한 종류이다. 그러나 성공 또는 실패 사례에 따라 교훈을 도출하는 토의를 가질 수도 있다. 잘 된 것과 잘못되었을 수도 있는 것을 분석하는 것은 조직과 직원의 목표 달성을 돕는 효과적이고 긍정적인 내부통제로 작용할 수 있다.

일상 업무의 일부가 되게 하라

내부 통제 조직은 올바른 정책, 절차, 표준, 지침 등이 마련되어 있는지 확인하는 것 외에도, 이러한 정책이 얼마나 실제로 준수되고 있는지도 확인한다. 아무도 이를 지키지 않는다면 일류의 행동강령을 보유하고 있는 것은 의미가 없기 때문이다.

잘 운영되는 조직에서는 내부 감사 부서가 높은 수준의 독립성을 가지고 있으며, 종종 최고 경영진에게 직접 보고한다. 또한 컴플라이언스 및 인사 부서와 긴밀하게 협력한다. 조직에서 업무가 어떻게 작동하는지 자세한 개관을 가지고 있으면서도 권고사항을 개발하는 데 능숙하기 때문이다.

그러나 내부통제가 전적으로 내부통제 부서의 책임이라고 생각하는 것은 오산이다. 오히려 그 반대이다. 내부통제는 비즈니스의 모든 측면에서 필수적인 부분이 되어야 하며 조직이 매일 효과적으로 기능할 수 있도록 도와야 한다.

내부 통제의 성공 요인

내부 통제가 부패 방지에 미치는 영향을 측정하는 것은 어렵다. 감독자가 근무시간 기록카드에 서명하거나 직무 순환을 통해 기존 상황을 새로운 관점으로 바라보는 등의 활동으로 인해 얼마나 많은 사기가 예방되었는지 어떻게 측정할 수 있겠는가.

어떤 내부 통제 시스템도 효과를 절대적으로 보장할 수 없다. 소수의 ‘나쁜 직원’은 최고의 내부 통제 시스템도 우회하는 방법을 항상 찾는다. 세간의 이목을 끄는 한두 건의 문제가 있다고 해서 대다수의 직원이 청렴하지 않게 행동한다는 의미는 아니다.

그럼에도 불구하고 내부 통제 시스템의 효율성에 분명히 영향을 미치는 다음의 몇 가지 요소가 있다.

• 통제 수행 책임자의 독립성(Independence), 특히 내부통제 부서 내에서 통제를 수행하는 책임자의 독립성이 중요하다. 여기에는 외적인 독립성과 실질적인 독립성 모두가 포함된다. 또한 달갑지 않은 소식을 전달해야 하는 사람을 보호하는 시스템을 설계하는 것도 포함한다.
• 통제 실행 직원의 수용(Buy-in)이 필요하다. 즉, 내부통제가 왜 중요하며 시간과 노력을 들일 가치가 있는지 해당 직원이 이해하도록 명확하게 커뮤니케이션 하는 것이 필요하다. 비밀번호를 주기적으로 변경하는 것과 같은 간단한 통제 조차도 만약 직원들이 그 당위성을 이해한다면 준수율이 개선된다.
• 시간과 비용 측면에서 비용-편익(Cost-benefit) 검토가 필요하다. 아주 소액의 현금을 요청하기 위해 과도하게 상세한 양식을 작성해야 하는 등 통제에 비용이 많이 들거나 시간이 과도하게 소요된다면 사람들은 이를 지키지 않게 된다.
• 결과(Consequences)는 현실적이면서 일관되게 적용되어야 한다. 만약 내부 통제에서 부패 행위가 드러날 경우 합당한 처벌을 받아야 한다. 단순히 부패한 직원을 다른 부서로 이동시키는 것만으로는 대개 추가적인 부정 행위를 막을 수 없다. 한편 결과라는 것이 항상 처벌만을 의미하지는 않는다. 예를 들어 프로세스를 수정하거나 약점을 보완하기 위한 교육을 권고할 수 있다.
• 직원들이 옳지 않다고 생각하는 사항에 대해 경보를 울리거나 더 나은 방식의 개선사항을 제안할 수 있도록 하는 신뢰할 수 있는 보고 채널(Credible reporting channels)이 있어야 한다. 공식적인 보고 채널은 소박하게는 건의함에서부터 익명의 내부고발 시스템에 이르기까지 다양하다. 중요한 것은, 직원들이 반향을 두려워하지 않고 문제를 제기하거나 질문을 할 권한을 가지고 있다고 느낄 수 있는 ‘발언 문화’의 조성이다.

★이글은 바젤거버넌스연구소(Basel Institute on Governance)의 Quick Guide Series의 일환으로 Rebecca Anne Batts가 발간한 <Internal controls and anti-corruption>(2022)을 UNGC 한국협회에서 발췌 번역하여 작성하였습니다. 인용 시 원문 출처 및 Business Integrity Society를 밝혀 주시기 바랍니다.

☞ 원문 바로보기

효과적인 뇌물수수 방지 정책(Anti-bribery Policy)의 설계와 구현은 모든 컴플라이언스 프로그램의 기초라고 할 수 있다. 하지만 이것이 유일한 정책으로 간주되어서는 안된다. 오히려 뇌물수수 방지 정책은 윤리경영, 리스크 관리 및 컴플라이언스 생태계를 향한 혁신적이고 인간중심적인 접근법으로 간주되어야 한다.

궁극적으로 조직에는 강력한 뇌물수수 방지 정책이 필요하다. 각 사례를 비교하고 공유함으로써 학습효과를 얻을 수 있지만, 이러한 정책들을 분리해서 보는 것은 경계해야 한다. 뇌물수수 방지 정책은 윤리경영의 일부로 간주될 때 가장 큰 의미가 있다.

엑슨모빌(EXXONMOBIL)

1. 현지법 예외 없음

엑슨모빌을 대표하는 모든 직원은 회사의 사업 또는 활동에 있어 어떠한 형태의 뇌물을 공여하거나 수수해서는 안된다. 현지법이 허용되는 경우에도 항상 최고 수준의 청렴성을 유지해야 한다.

2. 제3자의 뇌물 지급에 대한 책임

제3자가 대신 뇌물을 지급할 경우, 회사나 개인이 실제로 공무원을 상대하지 않았을지라도 해당 행위에 대해 책임을 질 수 있다. 예를 들어 계약자가 부적절한 목적으로 공무원에게 뇌물을 지급할 것을 회사 직원이 인지하고 있을 경우 책임이 부과될 수 있다.

3. 일부 예외적 상황을 제외한 급행료 금지

급행료를 지급해야할 경우 법무팀의 사전 승인을 받아야 하며, 해당 지불이 합법적일 경우에만 승인이 가능하다.

4. 기부는 신중하게 진행

법무팀의 검토가 필요한 기부의 몇 가지 예시

• 어느 재단에서 소외계층 아동을 위한 기부를 요청했는데, 해당 국가의 영부인이 해당 재단의 이사회에 속할 경우
• 사업을 운영하는 국가에서 자격을 갖춘 고등학생들에게 미국 대학 장학금을 제공할 경우

5. 위협에 대한 방어

직원이 폭력, 협박과 같은 위협에 처한 경우, 당면한 위협을 피하려는 목적으로 비용을 지불한다면 급행료가 허가될 수 있다. 그러나 해당 지급은 법무팀에 즉시 보고해야 한다.

[엑슨모빌 반부패 정책]

유니레버(UNILEVER)

1. 무관용(zero-tolerance) 접근법

뇌물 및 부패에 대한 무관용 접근법은 지역 비즈니스 관행과 관계없이 모든 사업에 적용되며, 공공 및 상업적 뇌물(제3자에게 또는 제 3자로부터)은 금지된다.

2. 제3자와의 무관용 접근법에 대한 소통

유니레버는 뇌물 및 부패에 대해 무관용 접근법을 적용하고 있으며, 비즈니스 관행에 부적절한 영향을 미치는 뇌물을 (직간접적으로) 제공, 지불, 요구 또는 수락하지 않는다는 사실을 내부적으로 그리고 제3자와 거래할 때 항상 명백히 공유해야 한다.

3. 급행료 금지

직원은 직간접적으로 공급업체, 유통업체, 컨설턴트, 변호사, 중개인 등을 통해 유니레버의 모든 의사결정에 영향을 미칠 수 있는 공무원, 개인 또는 제3자에게 뇌물 또는 부적절한 이익(급행료 포함)을 제공해서는 안된다.

4. 피할 수 있으면 공무원과 직접 만나지 말 것

뇌물수수 관련 리스크를 줄이기 위해 공무원과의 직접 대화를 피하고, 다른 의사소통 수단 사용(전자 정부 솔루션 등)

5. 위협에 대한 방어

생명의 위협이나 신체적 유해에 대한 즉각적인 위협을 피할 수 없는 예외적인 상황에서는 이러한 지급이 허용되지만, 사건이 발생한 즉시 국가의 기업 윤리 책임자(Business Integrity Officer)와 클러스터 법률 고문(Cluster General Counsel)에게 모든 세부 사항을 보고해야 한다. 이는 문제를 조사하고, 필요한 재무 기록을 보관하며, 적절한 경우 추가 조치를 취할 수 있도록 보장하기 위함이다.

[유니레버 반부패 정책] 

  칼스버그 그룹 CARLSBERG GROUP(덴마크 맥주 회사)

1. 모든 것을 하나의 정책으로 통일

본 반부패 정책은 칼스버그에 속한 모든 기업의 경영진, 직원 및 계약직 근로자에게 전체적으로 적용된다.

칼스버그 그룹이 합작 투자에 비지배적 주주로 참여하는 경우, 다른 주주들은 칼스버그 정책의 중요성을 고려해야 하며, 합작 투자에 동일한 정책 또는 유사한 기준을 적용하도록 권장한다.

2. 불장난 금지

수령인이 실제로 선물을 받았는지의 여부와 관계없이 단순히 선물을 제공하는 행위조차 금지된다.

3. 급행료 금지

칼스버그 그룹은 급행료를 허용하지 않는다. 일부 국가에서는 이러한 지급이 통상적인 사업 방식으로 간주될 수 있지만, 많은 국가의 뇌물방지법에서는 급행료를 금지한다는 점을 염두해 두는 것이 중요하다. 제 3자가 기업을 대신하여 급행료를 지급하는 것 또한 금지된다.

4. 주요 용어 정의

부패(corruption) – 사적 이익을 위해 공직이나 권력을 남용하는 행위를 뜻한다.

5. 위협에 대한 방어

직원이 위협을 피하기 위해 급행료를 지급하는 것은 허용될 수 있다.

[칼스버그 그룹 반부패 정책]

★ 이 글은 FCPA Blog의 Harry Cassin의 기고문을 UNGC 한국협회에서 번역하였습니다. 인용 시 출처(유엔글로벌콤팩트 한국협회, Business Integrity Society 프로젝트)를 밝혀 주시기 바랍니다.

프랑스 부패방지청(AFA)은 2016년 제정된 부패 근절 및 경제생활 현대화에 관한 법률, 일명 ‘샤팽2법’에 따라 설립된 프랑스 국가기관으로, 부정부패, 부당이득, 공적자금횡령 등의 행위를 예방하고 적발하는 역할을 한다. 모든 공공부문과 더불어, 프랑스에 본사를 두고 있는 대기업 및 법인 그룹으로서 1억 유로 이상의 매출을 올리고 500명 이상의 직원을 고용하고 있는 기업은 프랑스 부패방지청의 통제를 받는다. AFA는 특히 기업과 공공기관이 시행하는 반부패 컴플라이언스 매커니즘(프로그램)의 현실성과 효율성을 검증하고 관리한다는 점에서 강력한 권한을 가지고 있다.

미국, 영국을 포함하여 어느 국가도 기업의 뇌물방지 컴플라이언스 체계 마련을 법적으로 요구하고 있지 않는 가운데, 프랑스에서는 뇌물 혐의가 없더라도 컴플라이언스 메커니즘을 갖추지 않으면 처벌을 받을 수 있다. 이렇듯 부패를 척결하기 위해 급진적인 전략을 취하고 있는 프랑스 부패방지청은 2022년 6월, 민간 부문에서의 이해충돌 방지를 위한 가이드라인을 개정 발간하였다.

국내에서도 2022년 5월부터 공공부문을 대상으로 이해충돌 방지법이 시행된 가운데, 민간 부문으로도 관련 논의가 자발적으로 확산될 수 있을 것으로 예상되고 있다. AFA의 본 가이드라인은, 국내 민간기업이 자율적으로 이해충돌 방지 체계를 구축 및 확대하는 데 지침이 될 수 있을 것이다. <민간 부문의 이해충돌 방지 가이드라인>의 주요 내용은 다음과 같다.

제I장. 이해충돌의 이해

경제협력개발기구(OECD)에 따르면 이해 충돌은 “공직자의 공무 수행에 부적절하게 영향을 미칠 수 있는 사적 이해와 공적 의무 간의 충돌”을 의미한다. 즉, 이해 충돌의 개념은 공공부문에 뿌리를 두고 있으며, 개인의 이익보다 공익을 우선시하여 독립적이고 공정하며 객관적으로 직무를 수행해야 하는 모든 공무원에게 적용되는 ‘청렴 의무’와 관련이 있다.

그러나 민간 부문에서도 개인의 이해 충돌이 조직을 부패 위험에 노출시킬 가능성이 높음에도 불구하고, 사적 이해 간의 충돌에 대한 법적 정의는 부재하다. 정의가 공적 영역에만 국한되어서는 안 된다고 지적하며, 프랑스 부패방지청은 다음과 같이 이해 충돌을 재정의할 것을 제안한다.

“조직을 대표하여 수행되는 개인의 의무가 독립적이고 공정하며 객관적으로 이행되는 데 영향을 미치거나 미칠 수 있다고 보이는 개인의 이익과 개인의 의무 사이의 모든 간섭 상황”

이해충돌의 관리가 법적 필수조치 사항은 아니나 이것은 종종 부패 범죄로 이어진다. 이 때문에 AFA는 조직이 이해 충돌을 예방할 것을 권고하고 있다. 반부패 프로그램에 이해 충돌 방지 조치를 포함함으로써 조직은 부패 리스크를 더욱 명확하게 파악하고 관련 결과를 더욱 잘 이해할 수 있다. 반면 이해 충돌 리스크를 적절하게 관리하지 못하는 조직은 범죄가 발생할 경우 기소될 수 있으며, 사업 파트너, 투자자, 직원의 신뢰를 잃을 위험이 있다.

제II장. 이해 충돌 상황 식별

조직은 활동 또는 운영에 영향을 미칠 수 있는 이해 충돌 상황을 식별한 뒤 해당 부문/산업, 구조 및 거버넌스 등 기타 각자의 특징에 맞는 예방 정책을 개발한다. 이해충돌 상황을 식별할 때, 조직은 다음 사항에 특별한 주의를 기울여야 한다.

• 고위험 프로세스: 이해 충돌이 조직의 이해를 해칠 수 있는 프로세스로, 예를 들어 조달, 판매, 공무, 재정, 투자, 재무제표 작성, 인적자원 관리가 있다.
• 고위험 직위: 고위험 직위를 식별한 후 이들이 어떻게 조직의 이익보다 개인의 이익을 우선시 할 수 있을지 검토한다.
• 고위험 작업: 비즈니스의 자연스러운 과정인 일부 작업(예: 경쟁우위 확보, 신시장 모색, 공공 부문과의 협력, 외부 성장기회 추구 등)은 조직을 더 큰 수준의 부패 위험에 노출시킨다. 이러한 작업 중에 발생할 수 있는 이해 충돌 상황을 방지하면 리스크를 줄이는 데 도움이 될 수 있다.

제III장. 이해 충돌 방지 및 관리

조직은 규모, 법적 구조, 사업 영역, 지리적 위치, 협력하는 제3자의 유형을 고려하여 각각에 적합한 이해충돌 방지 및 관리 조치를 취해야 한다. 이러한 예방 조치는 조직의 고유한 특성과 위험 정도에 따라 통합 또는 조정될 수 있다.

*조치 예시:

1. 법으로 정의
2. 정책 개발/문서화 및 조직 프로세스에 내재화
3. 이해충돌 상황의 감지 (이해 충돌에 대한 대화문화 조성, 전 임직원 대상 인식제고 및 교육 실시, 제3자 실사 절차에 이해충돌 감지 조치 구축 등)
4. 적절한 시정조치
5. 이해충돌 위반의 처벌

각 장과 관련한 상세 설명 및 구체적인 사례는 <민간 부문의 이해충돌 방지를 위한 가이드라인(Preventing Conflict of Interest in the Private Sector – Practical Guide)>을 통해 자세히 확인할 수 있다. (원문 바로보기)

<참고자료>
– AFA, “Preventing Conflict of Interest in the Private Sector”, 2022
– AFA 홈페이지, https://www.agence-francaise-anticorruption.gouv.fr/fr/lagence
– FPCA 블로그, “In France, bribery isn’t needed to violate the anti-bribery law”, March 23, 2021, https://fcpablog.com/2021/03/23/in-france-bribery-isnt-needed-to-violate-the-anti-bribery-law/

★ 이 글은 프랑스 부패방지청(AFA)의 발간자료를 UNGC 한국협회에서 발췌 요약, 번역, 재구성하여 작성하였습니다. 인용 시 출처(원문) 및 Business Integrity Society를 밝혀주시기 바랍니다.

국제자금세탁방지기구(The Financial Action Task Force, FATF)는 글로벌 자금세탁 및 테러자금 조달 감시단체입니다. 정부 간 기구로서 이러한 불법 활동이 사회에 끼치는 피해를 방지하기 위해 표준을 설정하며, 정책 결정기구로서 국가 입법 및 규제 개혁을 위한 정치적 의지를 마련하기 위해 노력합니다. FATF는 가상자산을 둘러싼 자금세탁 등 범죄에 대한 입장을 밝히고 FATF 표준이 어떻게 적용될 수 있는지 아래와 같이 설명하고 있습니다.

1. 가상자산 관련 FATF의 중점 사항

블록체인, 비트코인, 암호화 자산, 가상화폐 등은 전 세계에 가치를 신속히 전송하게 하는 혁신 기술이 등장하며 새롭게 등장한 단어이다. 빠르게 진화하는 블록체인과 분산 원장 기술은 금융의 지평을 획기적으로 변화시킬 잠재력을 가지고 있다. 그러나 그 속도, 글로벌 광범위성, 그리고 익명성으로 인해 당국의 감시를 피하려는 사람들이 가상자산에 관심을 가지게 된다.

불록체인은 불과 10여년 전에 탄생했다. 이후 가상자산은 널리 확산되어 결제 수단으로 활용되기 시작했다. 그러나 규제와 감독이 확립되지 않아, 금융 산업의 불모지라고도 불린다.

범죄자들이 가상자산을 악용하는 방법

2017년 ‘워너크라이’라는 랜섬웨어 공격 당시, 피해자가 해커에게 비트코인으로 몸값을 지불할 때까지 수천 대의 컴퓨터 시스템이 인질로 잡혔다. 이로 인한 비용은 몸값을 훨씬 능가하는 수준이었으며 전 세계 병원, 은행, 기업에 약 80억 달러(한화 약 9.6조원)의 피해를 입혔다. 그 후로 다른 랜섬웨어 공격이 증가했으며, 현재도 증가 추세에 있는 것으로 나타난다.

가상자산에 중점을 두는 국제자금세탁방지기구(FATF)

가상자산에는 많은 잠재적 이점이 있다. 가상자산은 결제를 더 쉽고 빠르고 저렴하게 만들 수 있고, 일반 금융상품에 접근할 수 없는 사람들에게 대체 방법을 제공한다. 그러나 적절한 규제가 없다면 범죄자와 테러리스트의 금융거래를 위한 가상의 피난처가 될 리스크가 있다. FATF는 암호화 영역의 발전을 면밀히 모니터링했는데, 최근 몇 년 동안에는 가상자산 부문을 처음으로 규제하기 시작한 나라들이 나타나기 시작했고 일부에서는 가상자산을 완전히 금지하기도 했다. 그러나 아직까지는 대다수 국가에서 아무런 조치가 취해지지 않고 있다. 글로벌 규제 시스템의 이러한 격차는 범죄자와 테러리스트가 가상자산을 남용할 수 있는 심각한 허점을 만들었다.

G20의 지원으로 FATF는 가상자산이 자금세탁 및 테러자금 조달에 악용되는 것을 방지하기 위해 구속력 있는 글로벌 표준을 발표했다. ‘가상 자산’이라는 용어는 디지털 방식으로 거래, 송금, 결제에 사용할 수 있는 모든 디지털 가치표현을 의미한다. 여기에는 법정 화폐의 디지털 표현은 포함되지 않는다.

FATF 표준은 가상자산에 일반 금융 부문과 동일한 보호장치를 적용하도록 함으로써 가상자산이 공정하게 취급되도록 한다. FATF의 규칙은 가상자산이 법정 화폐로 교환될 때 뿐만 아니라 한 가상자산에서 다른 가상자산으로 이전될 때도 적용된다.

[관련 자료]

• 12-Month Review of Revised FATF Standards on Virtual Assets and VASPs [July 2020]
• 2nd 12-Month Review of Revised FATF Standards on Virtual Assets and VASPs [July 2021]
• FATF Guidance for a Risk-Based Approach to Virtual Assets and Virtual Asset Service Providers [Updated October 2021]
• The FATF Standards: FATF Recommendations [amended June 2019]

효과적인 조치 취하기

국가들은 FATF의 조치를 곧 시행해야 한다. 이는 가상자산 거래의 투명성을 보장하고 범죄 및 테러와 관련된 자금이 암호화폐와 연계되지 않도록 한다.

오늘날 많은 가상자산 서비스 제공사는 ‘위험한 기업’으로 인식되어 은행 계좌 및 기타 일반 금융 서비스에 대한 접근이 거부되었다. FATF의 요구사항을 이행하는 것은 도전이 될 것이지만, 궁극적으로는 블록체인 기술이 가치 전송의 견고하고 성공적인 수단으로 자리잡을 수 있도록 신뢰를 제고하게 될 것이다.

FATF는 각국이 얼마나 성공적으로 TATF 권고사항을 이행하고 가상자산 서비스 제공자 관련 부문을 규제하는지를 판단하는 평가 방법론을 수정했다.

[관련 자료]

• FATF Methodology for assessing compliance with the FATF Recommendations and the effectiveness of AML/CFT systems

미래를 준비하기

가상자산의 이면 기술은 빠르게 변화하고 있다. 미래의 발전으로 인해 테러리스트와 범죄자가 악용할 수 있는 허점을 만들지 않아야 한다.

[관련 자료]

• FATF Report to G20 on So-Called Stablecoins[June 2020]
• Money laundering risks from “stablecoins” and other emerging assets

2. FATF 표준의 적용 방법

모든 국가에서 이와 같은 FATF 표준을 효과적으로 구현한다면 가상자산 기술과 관련 기업이 책임 있는 방식으로 계속 성장하고 혁신할 수 있으며 공정한 경쟁의 장을 만들 수 있다. 또한 감독이 약하거나 부재한 관할권을 찾아내 범죄자나 테러리스트가 악용하는 것을 방지할 것이다.

국가가 할 일: •     해당 부문이 직면한 자금세탁 및 테러자금 조달 관련 위험을 이해한다 •     가상자산 서비스 제공자에게 허가를 받게 하거나 등록을 하게 한다 •     다른 금융기관을 감독하는 것과 같은 방식으로 해당 부문을 감독한다

가상자산 서비스 제공자가 할 일: •     고객 실사, 기록 보관, 의심거래 보고 등 금융기관과 동일한 예방조치를 시행한다 •     송금 시 발신자 및 수취인 정보를 확보, 보유 및 보안 전송한다

규제는 어디에서 시행할 것인가?

전통적인 은행은 사무실과 가까운 곳에 오프라인 본사와 고객 기반이 있다. 가상자산 서비스 제공자는 보통 전 세계에 걸쳐 존재하고 고객 기반 역시 전 세계에 달한다.

그렇다면 FATF 표준은 어디에 적용되며 누가 규제를 해야 하는가?

서버의 위치나 사업장의 위치와 관계없이, 가상자산 서비스 제공업체의 법인이 설립된 국가가 주 감독자가 된다.

파트너십 구축하기

가상자산 서비스 제공자를 규제하는 것은 모두에게 어려운 일이다. 국가 당국은 관련 기술을 이해하는 역량을 길러야 하는 한편, 가상자산 서비스 제공자는 부문 내 적용되고 있는 금융 규칙에 대해 학습해야 한다.

FATF의 권고사항을 충족하는 기술을 개발하는 것, 특히 발신자와 수신자의 정보를 안전하게 수집하고 전송할 수 있도록 하는 것은 가상자산 부문 자체에 달려 있다.

정부와 가상자산 부문 양방의 이해를 돕기 위해 FATF는 막대한 인풋을 투입하여 위험 기반의 접근(risk-based approach)을 취한 지침서를 개발했다. 이 지침은 리스크를 어떻게 이해할 수 있는지, 가상자산 부문에 어떻게 라이선스를 부여하고 등록을 시킬 수 있는지, 그리고 가상자산 부문의 고객이 누구인지 알고 이러한 정보를 안전하게 저장하며 의심스러운 거래를 보고하기 위해 해당 부문은 무엇을 해야 하는지를 설명한다.

[관련 자료]

• FATF Guidance for a Risk-Based Approach to Virtual Assets and Virtual Asset Service Providers

FATF는 정부와 가상자산 부문 간의 파트너십을 구축하고 관련 문제와 위험을 더 잘 이해하기 위해 2017년부터 매년 핀테크(fintech) 및 레그테크(regtech) 포럼을 개최하는 등 가상자산 서비스 제공자들과 집중적으로 협력해왔다. FATF는 지속적으로 업계에 FATF 권고사항을 추가로 설명하고, 진전사항을 모니터하며, 해당 산업이 마주하는 다양한 도전과제를 이해하기 위해 컨택그룹을 운영하고 있다.

★ 이 글은 FATF의 홈페이지 내 Virtual Assets 관련 페이지를 UNGC 한국협회에서 번역하였습니다. 인용 시 출처(원문: The Financial Action Task Force, 번역: Business Integrity Society)를 밝혀 주시기 바랍니다.

지속가능발전을 위한 신기술: 청렴, 신뢰 및 반부패에 대한 관점(New Technologies for Sustainable Development: Perspectives on Integrity, Trust and Anti-Corruption)

2021년 10월 21일, 유엔개발계획(UNDP)은 인공지능(AI), 머신러닝(machine learning), 딥러닝(deep learning), 블록체인 및 기타 분산원장기술(DLT), 빅 데이터 분석과 같은 디지털 기술 사용에 있어 부패 대응을 위한 기회와 리스크를 모색하고자 “지속가능발전을 위한 신기술: 청렴, 신뢰 및 반부패에 대한 관점(New Technologies for Sustainable Development: Perspectives on Integrity, Trust and Anti-Corruption)” 보고서를 발간했다.

디지털 기술은 부패를 탐지, 분석, 조사, 예측 및 모니터링함으로써 부패 관행을 예방하고 대응할 수 있는 상당한 잠재력을 가지고 있다. 하지만, 첨단기술과 디지털 솔루션의 개발은 새로운 도전을 제기하고 부패와 관련된 추가적인 취약점을 만들어낸다. 특히 디지털 기술은 자금세탁, 사기 및 사이버 범죄에 사용될 수 있다. 앞으로 규제와 혁신 사이에서 균형을 맞추고 디지털 신기술에 윤리적, 인권적 요소를 고려할 필요성이 있다.

,br>

인공지능, 머신러닝 및 딥러닝

반부패 활동에 AI를 사용하는 사례는 많지 않지만, AI는 다음과 같은 방법으로 부패 범죄의 탐지, 분석 및 예측에 상당히 용이하게 사용될 수 있다.

• 복잡하거나 번거로운 대량의 데이터 분석을 가속화한다. 이를 통해 시간과 자원의 측면에서 효율성을 높일 수 있으며 부패 범죄가 자행되었음을 가장 잘 나타내고 가장 관련성이 높은 데이터를 면밀히 조사하는 데 집중할 수 있다. 예를 들어, 영국 수사관들은 AI를 사용하여 3천만 개 이상의 문서를 분석하고 수개월 내에 조사와 관련된 데이터를 선택할 수 있었다. 만약 작업을 수동으로 진행했다면 훨씬 많은 시간이 걸렸을 것이다.
• 높은 수준의 정확도로 잠재적 부패 범죄를 나타내는 비정상적인 패턴과 “위험 신호”을 조기에 탐지할 수 있도록 보장한다. 예를 들어, 스페인에서는 지방의 부패 확률과 부패의 가능성을 계산하는 신경망(neutral network) 기반 모델을 개발하였다. 해당 기술을 통해 부패 리스크 완화를 위한 예방 조치를 취할 수 있다. 체코의 한 지역에서는 기업이 정치적으로 연결되어 있는지를 예측하기 위해 모든 계약 기업의 재무 및 산업 데이터를 분석하였다. 그 결과 머신러닝 기술을 사용하여 정치적 연관성을 가진 75% 이상의 기업을 정확하게 식별할 수 있었다.
• 반부패 표준의 컴플라이언스 모니터링: AI는 비즈니스 프로세스를 확립된 요구사항에 맞게 배치할 수 있으며, 다른 한편으로는 규제 당국이 요구사항의 침해 또는 고의적인 사기 시도를 탐지하기 위해 사용할 수 있다. 예를 들어, 이스라엘 기업인 Shield FC는 AI, 자연어 처리(natural language processing) 및 시각화 기능을 활용하여 전체 컴플라이언스 라이프사이클을 자동화 및 조정하고, 리스크를 완화하며, 효율적인 감시를 가능케 하는 플랫폼을 구축했다. 우크라이나 투명성기구(Transparency International Ukraine)에서 출시한 도조로(Dozorro) 기술은 공공조달에서 공공자금의 오용을 감지하고 예방하는데 도움이 되는 온라인 모니터링 플랫폼이자 인텔리전스 기술 세트이다. 2016년부터 2018년까지, 플랫폼의 기술을 통해 22건의 형사 고발과 79건의 제재가 내려졌다.

AI 기술은 부패와 맞서기 위한 새로운 기회를 창출하지만 새로운 위협도 제기한다.

• AI는 사기 또는 부패 계획에 사용될 수 있다.
• AI는 사용되는 데이터와 알고리즘의 품질에 따라 성별과 인종적 편견을 초래할 수 있다.
• 통제되지 않은 AI의 사용은 데이터 프라이버시를 침해할 수 있다.
• AI 알고리즘의 복잡성은 주어진 결과를 산출하는 계산이 정확히 어떻게 이루어졌는지 파악하기가 어렵고, AI가 내린 결정의 이유를 해석하는데 어려움이 있어, 투명성이 부족하며 시스템에 대한 신뢰도가 부족하다. 예를 들어, 중국의 “제로 트러스트(Zero Trust)” 반부패 AI 시스템은 부패 범죄의 지표를 탐지하기 위해 중앙정부와 지방정부의 150개 이상의 보호 데이터베이스에 접근하여 공무원들의 사회적 관계를 탐지했다. 시스템상 의혹이 제기되면 해당 행동이 부패와 연결될 가능성을 계산하고, 그 결과가 설정된 기준을 초과하면 당국에 즉시 보고된다. 그러나 시스템이 그러한 결론에 어떻게 도달했는지 설명하는 데는 제한이 있어 기술의 신뢰도가 떨어진다. 결과적으로, 많은 지방 정부들이 ‘제로 트러스트” 시스템을 폐지시켰다.

위에 언급한 리스크 중 적어도 일부를 완화하기 위해 본 보고서는 AI 기술을 사용할 때 다음 원칙을 따를 것을 권고한다.

• AI 시스템을 설계 및 개발할 경우 AI 의사결정의 구조적 및 비정기적 편향을 해결하고, 서로 다른 AI 기술 사용 시 부패 리스크를 완화하기 위해 조정해야한다.
• 앞으로 사용될 AI의 양질의 데이터에 투자한다.
• AI 시스템에 대한 대중의 신뢰를 구축하기 위해 AI 기술의 투명성과 책무성의 격차를 해소시킨다.

블록체인

블록체인은 분산원장기술(DLT)의 한 일부로, 조직의 활동 투명성과 관리되는 데이터의 보안을 확보할 수 있는 잠재력을 가지고 있다. 해당 기술은 토지 등록, 예산 투명성, 계약 시행, 거래 수행 및 공급망 관리와 같은 분야에서 반부패 노력에 배치될 수 있다.

본 보고서는 DLT가 다음과 같은 이유로 부패와의 전쟁에서 유용하게 사용될 수 있다고 강조한다.

• 정보를 검증할 수 있는 투명하고 책임있는 시스템을 구축할 수 있고, 데이터 조작과 사기 또는 부패행위를 방지할 수 있다. 특히 세계식량계획(WFP)은 블록체인 기술을 “빌딩 블록(Building Blocks)” 파일럿의 일부로 사용하여 뇌물 및 갈취와 같은 부패 리스크를 줄이고 난민을 위한 직접 현금 송금이 더 효율적이고, 안전하며, 투명하게 이루어질 수 있는지 탐구하고 있다.
• 블록체인에 저장된 거래 정보는 합의 메커니즘(consensus mechanism)이 훼손되지 않는 한 변경하거나 삭제될 수 없다. 이를 통해 모든 트랜스액션에 대한 완전하고 공개적인 데이터베이스를 구축하고 데이터의 부당한 변경 리스크를 줄일 수 있다.
• 블록체인은 재정의 흐름을 더 정확하게 추적할 수 있어 공급망 관리의 기록 보관 및 증명 추적에 유용하게 사용될 수 있다. 예를 들어 세계자연기금(WWF)은 어업에서의 부패와 불법행위를 방지하기 위해 블록체인 기술을 사용한다. 무선 주파수 식별 태그(radio-frequency identification tags), 신속 대응(QR) 태그 및 스캔 장치를 결합하여 공급망에 속한 다양한 지점에서 참치의 어법과정에 대한 정보를 수집하고 기록한다. 이를 통해 모든 사람이 투명하고 변조가 불가능한 정보의 접근성을 보장한다. 또한 소비자는 노예 노동이나 기타 유해한 관행 없이 합법적으로 잡힌 지속가능한 참치를 구입할 수 있게 된다.

그러나 DLT의 사용은 다음과 같은 특정 리스크가 있다.

• 블록체인 기술은 가상화폐를 돈세탁, 불법거래, 탈세 등에 활용하는 등 사적 이익을 위해 악용될 수 있다. 범죄자들은 규제되지 않은 가상화폐 거래소나 돈세탁 방지 규정을 무시하는 분산화된 피어투피어 네트워크를 이용할 수 있으며, 이로 인해 불법 거래를 추적하거나 가해자에게 책임을 묻는 것이 어렵게 된다.
• 블록체인의 데이터는 개인과 관련된 민감한 정보를 소유할 수 있다. 따라서 블록체인은 권력을 남용하고 시스템에 대한 지배적인 통제권을 얻기 위한 도구로 사용될 수 있다.

DLT 사용으로 인해 발생할 수 있는 잠재적 리스크를 줄이기 위해 본 보고서는 다음을 권고한다.

• 관할권, 리스크 및 책임과 관련된 문제를 포괄하는 상기 기술 사용의 다양한 측면에 대한 규제의 입안 및 채택
• 관련 기술의 적절한 기능을 보장하는 디지털 인프라 및 프로세스 제공

빅 데이터 분석

크고 복잡한 데이터 분석은 다음과 같은 두 가지 주요 반부패 조치에 사용될 수 있다.

1) 의심스러운 운영을 식별, 조사, 모니터링 및 감사하고 부패 리스크를 평가한다. 예를 들어 빅 데이터 분석은 파나마 및 판도라 페이퍼스(Panama and Pandora Papers)의 조사 언론인과 세차 작전(Operating Car Wash)의 브라질 조사원에 의해 사용되었다(Neo4j 및 Linkurious와 같은 그래픽 플랫폼 사용). 부다페스트 부패연구센터(Corruption Research Center Budapest )는 공공조달 절차를 모니터링하기 위해 빅 데이터를 분석한다. EU 국가들로부터 예외적으로 짧은 입찰 기간이나 특이한 결과(낙찰 경쟁이 없거나 같은 기업이 반복적으로 낙찰되는 사례)와 같은 비정상적인 패턴을 검색하기 위해 유럽 위원회는 다양한 공공 및 민간부문의 데이터를 교차 확인하는 소프트웨어 ARACHNE를 개발했다. 사기, 이해충돌 또는 기타 비리의 리스크에 취약한 프로젝트를 식별하는 데 지원하는 소프트웨어다.

2) 보다 효과적인 의사결정을 보장하는 예측 분석을 통해 인식을 높이고, 전국적, 부문별 또는 지역별 반부패 정책을 개선하고, 정책의 효율성을 높인다.

빅데이터 분석을 통해 부패를 방지할 수 있는 여러가지 가능성에도 불구하고 다음과 같은 어려움이 제기될 수 있디.

• 데이터 프라이버시와 관련 정보의 오용에 대한 통제를 보장할 필요성: 캠브리지 애널리티카 스캔들(Cambridge Analytica scandal )은 얼마나 쉽게 개인 데이터가 정치적 이익을 위해 추출되고 이용될 수 있는지를 분명히 보여주었다. 공공기관은 소득에 대한 정보를 포함하여 대부분의 비밀스러운 엄청난 양의 개인 데이터를 수집한다. 재정, 의료 기록, 신원 확인, 정치 또는 경제 정보, 즉 공공 데이터베이스에 저장된 이러한 데이터의 유출에 대한 리스크가 훨씬 더 심각한 결과를 초래한다는 것을 의미한다. 호주의 한 주에 있는 독립 광역 반부패 위원회의 전문가들은 기밀 정보의 무단 접근, 공개 또는 오용이 부패행위를 유발하는 핵심 요소라고 강조하지만, 종종 정부에 의해 낮은 리스크 행위로 평가된다.
• 빅 데이터의 부패 리스크를 식별하고 이를 완화하기 위한 조치를 채택해야 할 필요성: 빅 데이터 분석 결과가 정치 프로세스, 정치적 의사결정 및 입법 이니셔티브에 미치는 영향을 고려하여 가해자가 보다 유리한 결과를 얻어내기 위해 데이터를 수집 및 교환할 수 있다.

이러한 어려움을 극복하기 위해 본 보고서는 다음과 같은 사항을 권고한다:

• 관할 당국이 데이터 분석을 수행할 수 있도록 정확하고 신뢰성 있으며 품질이 보장되는 데이터를 수집하도록 지원한다.
• 분석 능력을 강화하여 분석을 수행하는 직원의 기술을 개발한다.
• 데이터의 수집, 저장 및 교환, 데이터의 보호 및 무결성을 규제하는 데 필요한 법적 프레임워크를 구축한다.
• 빅데이터 분석에서 데이터의 책임있는 사용과 인권 존중을 보장하기 위한 조치를 채택한다.

[반부패 동향] 컴플라이언스 프로그램의 효과성 측정

컴플라이언스 담당자는 컴플라이언스 프로그램이 어떻게 진행되고 있는지 평가하고, 해당 데이터와 진행 상황을 다양한 이해관계자와 공유할 수 있어야 한다.

컴플라이언스 프로그램를 효과적이고 객관적으로 측정할 수 있는 능력은 앞으로 컴플라이언스 분야에서 매우 중요하게 작용될 것이다.

지금까지 컴플라이언스 프로그램의 측정은 어느 정도의 진전이 있었다. ISO 37001인증은 컴플라이언스 프로그램의 성과를 평가하기 위한 강력한 프레임워크를 제공하고 있다. ISO 37001 인증의 출발점은 먼저 컴플라이언스 프로그램이 달성하고자 하는 목표를 식별하는 단계이다.

부패 사례가 발견되지 않는 것은 어느 기업에서나 이상적인 상황이지만 결코 컴플라이언스 프로그램의 목표가 돼서는 안 된다. 단순히 컴플라이언스 프로그램을 운영하고 있지 않기 때문이거나 기업이 운이 좋아서 한 번도 부패 사건이 발견되지 않았을 수도 있다. 반면에 충분한 인력과 자원, 그리고 적절한 컴플라이언스 프로그램을 갖춘 기업에서 여러 부패 사례들이 발견될 수 있다.

ISO 37001 인증을 받기 위해서는 기업의 리스크 프로필을 심층적으로 검토한 후 컴플라이언스 프로그램의 목표를 설정해야 한다. 각 목표에는 리스크를 해결하고 완화하기 위한 실행 계획이 있어야 한다. 각 실행 계획에는 성과 지표가 있어야 하며, 이를 통해 컴플라이언스 팀이 프로그램을 주도적으로 운영하고 성과를 대내외적으로 공유할 수 있어야 한다.

컴플라이언스 프로그램의 효과를 측정하는 방법 중 하나는 교육을 받은 직원의 수를 계산하는 것이다. 하지만 이러한 측정법은 직원이 무엇을 배웠는지 또는 해당 교육이 그들의 미래 행동에 어떻게 영향을 미칠지 측정할 수가 없다.

효과 측정

그렇다면 프로그램의 “효과”를 어떻게 측정해야 하는가?

1. 콜드 어세스먼트(cold assessment)

첫 번째 해결책은 콜드 어세스먼트(cold assessment)이다. 콜드 어세스먼트는 직원들이 프로그램 교육을 마친 후(6개월 뒤) 주기적으로 교육의 개념들을 충분히 숙지했는지 테스트하는 방법이다.

2. 컴플라이언스 프로그램 효과성 설문조사

두 번째는 직원들을 대상으로 매년 컴플라이언스 프로그램 효과성 설문조사를 실시하는 것이다. 본 설문조사를 통해 강력한 증거들을 제공받을 수 있다. 윤리 및 기업 정책에 대한 질문을 통해 직원의 태도 및 인식을 평가하고 회사 문화에 대한 솔직한 의견을 얻을 수 있다. 또한 컴플라이언스 문화의 잠재적 격차를 파악하고 컴플라이언스 프로그램과 직원 인식이 일치하는에 대한 여부를 조사할 수 있다.

3. 기업윤리 핫라인

좀 더 창의적인 방법으로는 컴플라이언스에 대한 전체적인 접근법을 사용하는 것이다. 기업윤리 핫라인을 통해 신고된 사례를 검토하여 신고자가 교육을 통해 준수사항을 인지했는지, 피신고자가 미준수 행위 의혹과 관련된 교육을 받았는지 살펴보는 방법이다.

4. 감사팀의 데이터 활용

마지막으로 기업 내부 감사팀을 통해 컴플라이언스에 대한 중요한 성과 데이터를 얻을 수 있다. 예를 들어 어느 특정 기업에서는 ‘선물 제공’이 부패 리스크의 주요 원인 중 하나이며, 해당 리스크를 완화하기 위한 보고 기능이 마련되어 있다고 가정해 보겠다. 컴플라이언스 팀은 내부 감사팀과 협력하여 현장/비즈니스 감사 범위에 대한 직원 비용 보고서를 검토하고 확인된 선물 지출 중 몇 퍼센트가 회사 정책을 준수하고 있는지 확인할 수 있다. 비율이 높을수록 기업 정책이 직원들에게 잘 전달되었고 잘 지켜지고 있다는 것을 나타낸다. 이것은 ‘선물 제공’에 대한 컴플라이언스 프로그램이 제대로 작동되고 있다는 객관적인 지표가 될 수 있다.

하지만 이러한 방법들을 도입한다고 해서 부패 사건이 발생하지 않을 거라고 가정할 수는 없다. 그러나 (i) 누가 교육을 받았는지에 대한 좋은 데이터를 가지고 있으며 (ii) 이용 가능한 객관적인 데이터를 통해 직원들이 규정을 준수하고 있다는 사실을 확인할 수 있다. 이 “배분(deployment)”지표와 “성과(performance)”지표는 컴플라이언스 프로그램이 효과적으로 수행되고 있다는 사실을 나타내고 있다.

컴플라이언스 담당자는 직원들의 마음을 들여다볼 수는 없다. 하지만 리스크의 영역을 파악해야 하고, 직원과 조직이 리스크를 최대한 완화시킬 수 있는 프로세스를 구축해야 한다. 또한 데이터를 자유롭게 사용하여 효과를 측정할 수 있어야 한다. 이는 효과적인 관리시스템에 내장된 지속적인 개선 주기이며 ISO 37001 접근법의 필수적인 부분이다.

컴플라이언스 커뮤티는 모범사례를 지속적으로 공유하고 컴플라이언스 프로그램을 측정하기 위한 표준 벤치마크를 채택하여 이 중요한 과제를 계속 이어나가야 한다

★ 이 글은 FCPA Blog의 Michael Julian의 기고문을 UNGC 한국협회에서 번역하였습니다. 인용 시 출처(유엔글로벌콤팩트 한국협회, Business Integrity Society 프로젝트)를 밝혀 주시기 바랍니다.

1971년 창립된 세계경제포럼(World Economic Forum, WEF)은 세계의 저명한 기업인·경제학자·저널리스트·정치인 등이 모여 범세계적 경제문제에 대해 토론하고 국제적 실천과제를 모색하는 국제민간회의 입니다. 세계경제포럼에서는 올해 총회를 앞두고, ESG 시대의 리더십으로서 최고청렴책임자(Chief Integrity Officer, CIO)의 부상을 주목하며 그 역할을 강조하는 백서를 발간했습니다. 최고 청렴 책임자(CIO)의 부상과 더불어 선도 기업들이 어떻게 조직의 구조와 문화를 청렴하게 바꾸고 변화에 동참하고 있는지, BIS팀이 백서의 일부를 발췌, 요약하여 소개합니다.

지난 몇 년 동안, 기업이 사회 전반에 미치는 부정적 외부효과와 관련하여 ESG(환경, 사회, 거버넌스) 중 환경과 사회적 측면에 대해서 전 세계적으로 상당한 관심과 주목을 받았다. 그러나 역으로 거버넌스에 대한 현재의 논의는 이사회의 다양성과 컴플라이언스로 제한되는 경우가 많으며, 더 광범위하고 긍정적인 영향을 미칠 수 있는 윤리 및 청렴 문화 구축에 집중할 기회를 놓치고 있다.

한편 기업이 윤리적이고 책임 있는 비즈니스를 위해 전체론적 접근 방식을 채택할 것이라는 기대가 높아짐에 따라, ‘나홀로’ 접근법으로 법률적 및 평판 리스크를 다뤄 온 오랜 경향이 이제 바뀌고 있다. 조직은 컴플라이언스를 고립된 이슈로 보기보다 ESG/지속가능성, 대관 업무, 리스크 관리, 윤리경영, 인적자원 관리, 법규제 준수 등 주요 조직 전반에 걸친 신중한 협업 및 조정의 영역으로 만들 필요가 있다.

이에 세계경제포럼(WEF)은 반부패 연대 이니셔티브(Partnering Against Corruption Initiative, PACI)와 투명성 및 반부패에 관한 글로벌 미래 위원회(Global Future Council on Transparency and Anti-corruption)의 전문가 인터뷰를 바탕으로, 선도적인 조직들이 최고청렴책임자(CIO)의 부상과 같은 변화에 대응하여 어떻게 조직과 문화를 재정비해 나가고 있는지 다음과 같이 소개한다.

1. 다중이해관계자 접근 (A MULTISTAKEHOLDER APPROACH)

윤리경영 서약을 보다 전략적으로 접근하기 위해 전 세계 많은 기업들이 노력하고 있다. 윤리와 컴플라이언스에 국한되지 않고 보다 넓은 범위를 관장하는 리더십을 선임함으로써, 윤리와 청렴성을 조직 내 다양한 기능과 통합하고자 하는 것이다. 또한 이사회의 ESG 역량을 제고하기 위해 외부 자문위원을 임명하고 부서통합적인 태스크포스를 만듦으로써 윤리를 이해관계자 자본주의 패러다임에 녹여내고 있다.

미국에서는 기업의 윤리경영이 법률을 엄격히 따르는 접근방식으로 발전해왔는데, 이러한 접근법은 조직문화 측면에서도 효과적이지 못할 뿐만 아니라 윤리경영의 지표가 더 이상 법적 리스크가 아닌 시대에서 대중의 기대에도 미치지 못하는 관리 방식으로 여겨지고 있다. 따라서, 서유럽과 영국연방에서는 보다 포괄적이고 청렴성을 기반으로 하는 이해관계자 주도의 접근법이 오랜 기간 자리를 잡아왔다.

핵심 산업계의 비즈니스 리더 및 다자 개발기구에서 경제개발 프로젝트의 투명성 및 윤리 기준을 수립하는 리더들을 인터뷰한 결과, 많은 조직에서 가장 가시적이었던 노력은 기업의 청렴성 및 서약을 총괄하는 고위급 인사를 등용하는 것이었다. 이는 단순히 기업의 청렴 노력을 이끌고 지시하는 한 개인을 임명하는 의미가 아니라, 조직의 내∙외부 전략적 우선순위에 맞추어 의식적으로 리스크, 컴플라이언스, 거버넌스, 지속가능성, 투자자 관리(IR), 대외협력 업무 등을 조정한다는 의미였다. 또한 이해관계자 자본주의를 실현하기 위해 기업의 거버넌스 및 구조가 어떤 역할을 하는지 분석하고, ESG와 연계하여 청렴 문화를 구축하기 위해 무엇을 할 수 있는지 사례와 트렌드를 탐색하는 과정이 중요하다.

2. 거버넌스 및 구조 (GOVERNANCE AND STRUCTURE)

청렴성 및 ESG 기능은 기업이나 산업이 마주하는 리스크에 따라 법무, 마케팅, 조달/공급망 관리, 인사, IR 등 다양한 부서에 속할 수 있다. 따라서 일률적으로 적용 가능한 거버넌스 모델은 없으며, 다양한 형태의 조직에 적용될 수 있는 사항을 고려하여 다음을 제시한다.

2.1. 독립성 및 자율성

법무 부서는 기업의 이익을 위해 일하는 조직인 데 반해, 컴플라이언스 부서는 공공의 이익을 대변하기 위한 조직이다. 청렴성 관련 조직은 기업의 이윤과 손실의 책임에서 자유로워야 하며, 경영 상의 압력이나 인센티브로부터 독립적이어야 한다. 이를 위해 대표이사(CEO)가 감독하는 이사회에 직접 보고하는 라인을 갖추는 것이 이상적이며, 일부 기업의 경우 외부 고문이나 이해관계자 위원회를 구성하여 주요 의사결정에 대해 객관적인 시각을 견지하고 이해관계자 자문 노력을 공식화하기도 한다.

2.2. 의사결정 회의에 참석할 것

기업의 주요 의사결정 회의에 청렴성 관련 조직이 참여해야 한다. 청렴성 조직은 기업의 모든 비즈니스 논의와 의사결정에 대해 인사이트를 가지고 있어야 한다. 주요 의사결정 회의에 청렴성 조직이 참여함으로써 리더십이 청렴성을 중요하게 생각한다는 사실을 임직원들에게 암시할 수 있으며, 조직 내 청렴성 조직의 입지와 위상이 제고되는 의식적∙무의식적 효과가 있다.

2.3. 부서 간 경계를 넘어 통합할 것

청렴성을 전략적으로 접근하게 됨에 따라, 조직의 규정과 자율적 약속 간의 시너지를 총체적으로 고려할 필요성이 대두되었다. 기업은 ESG를 전체론적으로 고려해야 함과 동시에, 청렴성을 거버넌스(G)에 국한할 것이 아니라 사회(S)와 환경(E) 의제에도 동일하게 중심에 위치시켜야 한다. 또한 청렴성의 기능은 인사(HR), 리스크 관리, 조달, 투자자 관리, 마케팅, IT 부서 등 다른 지원 기능과도 연계할 수 있도록 해야 한다. 한편, 과도한 비효율이나 보고 부담이 생기지 않도록 적정선의 통합 및 협업이 이루어져야 한다.

2.4. 중요한 스킬과 전문성

청렴/윤리 담당자는 주로 법률적 배경을 가지고 있는 경우가 많다. 그러나 보다 이상적인 것은 해당 팀이 법, 행동 과학, 조직 심리학, 지속가능성, 인권, 데이터 분석 및 시각화 등 다양한 전문가로 구성되는 것이다. 또한 청렴성 담당자는 높은 수준의 감성 지수(EQ)를 가지고 있어야 하며, 복잡한 사안에 대해 모든 직급의 임직원 뿐만 아니라 제3자와도 소통할 수 있는 소프트 스킬을 갖추어야 한다.

3. 청렴 문화 형성 (BUILDING A CULTURE OF INTEGRITY)

억제와 처벌에 집중하는 법률적 접근방식은 충분하지 않을 뿐만 아니라 효과적이지도 않다. 그 대신, 임직원들이 스스로 판단하고 조언을 구하고 모호한 부분을 처리할 수 있도록 돕는 것이 필요하다. 부패, 사기 등 비윤리적 행위는 다양한 요인에 의해 발생하므로, 청렴한 문화를 조성하기 위해서는 반드시 인간의 행동과 사회적 맥락을 바탕으로 한 전체론적인 접근을 취해야 한다.

3.1. ESG와의 연계 및 통합

컴플라이언스는 전통적으로 ‘리스크 평가’에서 시작하는 데 반해, ESG 이행은 ‘중대성 평가’에서 시작한다. 리스크와 중대성은 서로 다른 개념으로, 사실상 ESG 평가의 관점은 내부적으로 사업에 야기되는 리스크 뿐만 아니라 기업의 비즈니스가 외부적으로 끼치는 영향을 포함한다. 그러나 여전히 많은 임원이 리스크와 중대성의 차이를 구별하지 못한 채, ESG를 단순히 “E”와 “S”를 둘러싼 새로운 법적 리스크를 다루는 것으로 잘못 이해하곤 한다.

한편 기업의 ‘문화’라는 것은 오랜 시간에 걸쳐 형성되는 것으로, 조직 역시 인내를 가지고 장기적인 관점에서 접근해야 한다. 또한 규칙(rules) 보다는 가치(values)의 관점을 가질 필요가 있다.

3.2. 이해관계자 기대치의 상승

청렴성 조직은 향후 규제의 발전방향을 예측하면서 이해관계자의 기대치 변화를 주의 깊게 살펴볼 필요가 있다. 특히 오늘날은 SNS 미디어의 발달로 모든 사람이 리포터가 될 수 있는 초 투명성(hyper-transparency) 시대를 살고 있으며, 청렴성 위반은 삽시간에 대중의 분노를 일으킬 수 있다.

3.3. 리더십 메시지

기업의 ESG 가치와 전략은 마케팅의 술책이 되어서는 안 되며, 진실되고 진정성이 있어야 하며 분명해야 한다. 특히 리더는 행동의 본보기가 되어야 한다. 리더십은 청렴성을 1회성 활동으로 여겨서는 안 되며, 지속적인 메시지를 나타내는 것이 중요하다.

3.4. 인센티브

인센티브는 임직원의 재량적 행동에 영향을 미치고자 할 때 강력한 역할을 한다. 인센티브에는 공식/비공식, 단기/장기, 금전적/비금전적 등 다양한 형태가 존재한다. 각각의 장단점이 있고, 상황에 따라 적절한 조합을 선택해야 하는 어려움도 있다. 또한 의도하지 않은 부정적 결과를 막기 위하여, 면밀한 관찰을 통해 인센티브 구조를 종종 조정해야 한다.

금전적 인센티브의 경우 환수 조항을 포함해야 한다. 이를 통해 기업이 장기적 관점에서의 성공을 최우선으로 생각한다는 메시지를 임직원들에게 줄 수 있으며, 직원들 역시 단기 이익을 좇아 부적절한 선택을 하지 않을 유인을 가지게 된다. 한편, 금전적인 인센티브는 기업의 ESG 아젠다를 발전시키는 데 도움이 될 수 있다. 직원들의 KPI에 ESG를 반영함으로써 긍정적인 인센티브를 주고 기업 ESG 목표에 대한 책임감을 줄 수 있다.

3.5. 교육, 소통, 투명성

기업은 임직원, 즉 사람을 통해 활동한다. 사람은 복잡한 생명체이기 때문에, 모든 개인이 순응할 수 있는 ‘청렴 문화’를 만드는 데 윤리 및 컴플라이언스 전문가들이 어려움을 겪는다. 이 때 필요한 것이, 투명성을 강조하면서도 혁신적인 교육과 지속적인 소통을 하는 것이다.

교육훈련은 다양한 조건에 따라 맞춤화될 수 있어야 한다. 예를 들어, 각 관할지의 법/규제 여건에 따라, 다양한 언어에 따라, 혹은 장애를 가진 직원을 위해, 사무/현장/영업/IT 등 직무 형태에 따라, 임시직부터 이사까지 모든 직급을 포함하여 교육을 제공해야 한다. 또한 교육 내용은 인식 개선에 초점을 맞추어, 4-7분가량 짧은 모듈로 축약하여 참여형으로 구성한다. 또한 임직원들의 경험과 목소리가 포함될 수 있도록 스토리텔링을 하는 것이 중요하며, 규칙 기반보다는 원칙 기반으로 변화해야 한다.

과거에는 내부의 위법∙비윤리적 사건에 대해 언급하기를 꺼려하였으나, 최근에는 많은 기업이 익명으로 또는 통계적으로 공개함으로써 내부의 신뢰를 얻고자 하고 있다. 많은 기업이 내부 인트라넷을 통해 또는 공급업체나 다른 이해관계자가 청렴성 보고서 등을 볼 수 있도록 하고 있는데, 이러한 접근을 통해 사건을 철저히 검토하고 교훈을 전파하며 기억할 수 있도록 한다.

한편 많은 조직에서 청렴교육과 소통을 위해 기술을 사용한다. 예를 들어, 행동강령이나 정책, 절차, 교육 영상 등 청렴성 관련 모든 자료들을 인트라넷에서 쉽게 접근 가능하도록 하는 것에서 나아가, 일부 기업은 챗봇을 통해 직원들이 24시간 언제나 행동강령에 대해 질문하고 답을 얻을 수 있도록 하고 있다. 또 다른 기업은 크라우드 소싱(crowd-sourcing) 방식을 통해 윤리강령을 제정하기도 하였다. 공급망을 대상으로 컴플라이언스 웨비나를 제공하여 제3자도 자사의 청렴 기대치를 준수하도록 하는 기업도 있다.

3.6. 디지털 기술

디지털 기술로 인해 여러 문제가 발생하기도 하지만, 디지털 기술은 해결책으로서 작용하기도 한다. 실제로 2021년 KPMG에서 최고 컴플라이언스 책임자(CCO)를 대상으로 실시한 설문조사에 따르면, 윤리 및 컴플라이언스 업무에서 향후 강화해야 하는 것으로 가장 많은 응답자(67%)가 ‘자동화 및 기술의 사용’을 꼽았다.

어떤 기업에서는 금융범죄에 연루되지 않기 위하여 이상 자금흐름을 탐지하는 솔루션을 이용하며, 전자조달을 통해 효율성을 높이고 부패를 억제하고 있다. 또한 신규 거래선 도입 및 거래선 관리 전반에 걸쳐 스크리닝 및 실사를 하기 위한 목적으로 공급업체나 다른 제3자를 대상으로 별도의 청렴윤리 포털을 운영하기도 한다. 한편 청렴 부서에서는 암호화폐의 등장과 같이 진화하는 기술에 발맞추기 위하여 적극적으로 관련 사회적 담화에 동참해야 한다.

3.7. 영향력 확대를 위한 연대

실소유자 및 기업 등기부, 전자정부 등을 통한 부패 감소, SDG 16(평화, 정의, 강력한 제도)의 이행, 컴플라이언스∙지속가능성∙인권 의제의 통합 등 글로벌 공통 의제를 지지하기 위하여 많은 기업이 노력에 동참하고 있다. 한편 공급망 등 제3자에 대해 실사를 진행할 때는, 현행법이 요구하는 수준을 넘어 사업 관행이 윤리적인지까지 살펴보아야 한다. 특히 기업은 제3자를 통해 부지불식간에 인권 유린을 방관하거나 가담하게 될 수 있으므로 인권에 초점을 맞추어 실사를 실시하는 것이 중요하다. 그리고 지역 또는 산업 내 이니셔티브나 다중 이해관계자 이니셔티브에 참여하여 공동노력에 동참하는 것은 매우 효과적인 접근법이다.

★해당 게시물은 세계경제포럼의 <The Rise and Role of the Chief Integrity Officer: Leadership Imperatives in an ESG-Driven World> 중 일부를 BIS 팀이 발췌 번역한 자료입니다. 인용 시 출처(유엔글로벌콤팩트 한국협회, Business Integrity Society 프로젝트)를 밝혀주시기 바랍니다.