변화에도 흔들리지 않는 규정 준수: 시스템이 도전에 직면했을 때 해야 할 일 

평소에는 모든 준법 프로그램이 겉보기에는 문제없어 보입니다. 하지만 규제 당국이 조사에 착수하거나, 언론이 기사를 보도하거나, 고객이 실사 관련 문제를 제기하거나, 이사회가 왜 문제를 놓쳤는지 묻는 순간이 바로 진정한 시험대가 됩니다. 신뢰도를 온전히 유지한 채 위기를 극복하는 조직과 그렇지 못한 조직의 차이는 사건 그 자체에 있는 경우가 거의 없습니다. 결정적인 차이는 문제가 제기된 바로 그날, 준법 시스템이 서면으로 무엇을 입증해 낼 수 있느냐에 달려 있습니다. 

대부분의 기간 동안 컴플라이언스 업무는 눈에 띄지 않는 기능으로 남아 있습니다. 정책을 검토하고, 교육을 실시하며, 감사를 마무리하고, 이사회에 보고서를 제출할 뿐입니다. 이 모든 과정은 별다른 주목을 받지 못합니다. 그러다 어떤 사건이 발생합니다. 공급망에서 제재 대상 거래처가 발견되거나, 대리인에 대한 지급 내역이 조사 대상이 되거나, 데이터 유출 사고가 보고되거나, 내부 고발자가 규제 당국에 연락하는 등 말이죠. 그러면 이 부서는 불과 며칠 또는 몇 주 만에 수년간의 업무가 합쳐져 방어 가능한 입지를 구축했음을 입증해야 하는 상황에 직면하게 됩니다. 

바로 이 지점에서 ‘준법 프로그램’과 ‘준법 시스템’이 구분됩니다. 프로그램은 조직이 수행하는 일련의 활동을 의미합니다. 반면 시스템은 외부 기관이 해명을 요구할 때 조직이 제시하고, 입증하며, 방어할 수 있는 체계를 말합니다. 대부분의 프로그램은 내부 검토를 거치면 무난히 통과합니다. 하지만 외부에서 검토가 이루어질 때 이를 견뎌내는 프로그램은 훨씬 적습니다. 

누가 그 어려운 일을 하고 있나요? 

도전 과제를 제기하는 주체가 정확히 누구인지 구체적으로 살펴볼 필요가 있습니다. 각 주체는 서로 다른 기대를 가지고 있으며, 시스템은 이 모든 기대에 부응해야 하기 때문입니다. 규제 당국은 사고 발생 전 해당 조직이 자신의 의무를 진지하게 이행했는지 여부를 입증할 증거를 찾습니다. 여기에는 위험 평가, 통제 조치, 모니터링, 교육, 상급 보고 절차 등이 포함됩니다. 규제 당국이 묻는 핵심은, 이번 실패가 관리 체계 내에서 발생한 단일 고장 사례인지, 아니면 애초에 제대로 된 관리 체계가 존재하지 않았음을 반영하는 것인지 여부입니다. 

고객과 비즈니스 파트너들은 해당 조직과 앞으로도 안전하게 거래할 수 있다는 확신을 원합니다. 그들의 우려는 미래를 향한 것입니다. 즉, 같은 일이 다시 일어날지, 그리고 무엇이 달라졌는지에 대한 것입니다. 투자자와 신용평가기관은 지배구조의 성숙도를 살펴봅니다. 이사회에 사안이 보고되었는지, 감독이 적절했는지, 공시가 적시에 이루어졌는지 등을 확인하는 것입니다. 언론인과 대중은 조직의 문화와 의도를 주목합니다. 내부 감사인과 이사회는 앞서 언급한 모든 사항뿐만 아니라 그 이상의 요소들까지 면밀히 검토합니다. 

이들 이해관계자 중 누구도 해당 조직에 규정 준수 프로그램이 있다는 말만으로는 만족하지 않을 것입니다. 그들은 그 프로그램이 실제로 어떻게 운영되는지 직접 확인하고 싶어 합니다. 

“방어 가능한”이 실제로 무엇을 의미하는가 

‘방어 가능성’은 흔히 막연히 사용되는 용어입니다. 실제로는 이 용어의 의미가 더 좁습니다. 즉, 조직은 요청이 있을 경우, 자사의 준법 시스템이 직면한 위험에 맞게 적절히 설계되었고, 의도한 대로 운영되었으며, 모니터링을 받았고, 지속적으로 개선되고 있었다는 증거를 제시할 수 있어야 합니다. 이 네 가지 요소는 모두 중요합니다. 

적절하게 설계되어야 합니다. 해당 시스템은 조직이 실제로 직면한 위험 요소를 반영해야 하며, 다른 곳에서 가져와 무작정 적용한 일반적인 프로그램이 되어서는 안 됩니다. 제재 위반 사례를 조사하는 규제 당국은 조직의 노출 위험을 기존 통제 조치와 연결 짓는, 논리가 문서화된 제재 위험 평가서를 확인하려 할 것입니다. 다른 분야의 정책을 그대로 복사해 붙여넣은 방식으로는 이러한 심사를 통과할 수 없습니다. 

의도한 대로 운영되고 있습니다. 통제 체계를 설계하는 것과 이를 실제로 운영하는 것은 별개의 문제입니다. 운영의 증거—로그, 심사 기록, 상급자 보고, 직무별 교육 이수 현황, 처리 및 문서화된 예외 사항 등—야말로 시스템을 단순한 문서에서 벗어나게 하는 핵심 요소입니다. 이러한 증거를 신속하게 제시하지 못하는 조직은 통제 체계가 아닌 추측에 의존해 운영해 왔다는 사실을 깨닫게 되는 경우가 많습니다. 

감시. 제어 시스템을 운영하는 담당자 외에 다른 누군가가 해당 시스템이 제대로 작동하는지 확인해야 합니다. 내부 감사, 2차 모니터링, 경영진 검토 등 조직마다 이를 구성하는 방식은 다르지만, 그 원칙은 동일합니다. 이러한 과정이 없다면 시스템에는 피드백 루프가 형성되지 않으며, 문제가 사고로 번지기 전에 이를 포착할 수 있는 방법도 없습니다. 

개선되었습니다. 모니터링, 감사, 내부 고발 또는 외부 사건을 통해 제기된 문제들은 문서화된 방식으로 추적, 해결 및 종결되어야 합니다. 규제 당국이 동일한 통제 취약점을 두 번이나 발견했는데, 그 사이 어떤 조치도 취하지 않았다는 증거가 없는 경우야말로 가장 치명적인 상황입니다. 지속적인 개선은 단순한 구호가 아닙니다. 이는 조직이 배워나가고 있음을 보여주는 증거입니다. 

인증 제도가 논의의 방향을 바꾸는 이유 

국제 표준인 ISO 37301에 따른 준법 관리 시스템의 독립적인 인증은 내부적인 노력을 대외적인 증거로 전환해 줍니다. 이는 문제가 발생했을 때 논의의 주도권을 유리한 방향으로 전환시켜 줍니다. 

인증 없이 조직은 자사의 시스템이 신뢰할 수 있는 기준을 충족한다는 사실을 처음부터 다시 증명해야 합니다. 규제 당국이나 파트너가 의구심을 갖는 것은 당연한 일입니다. 내부 문서는 의심의 여지를 두지 않을 만한 충분한 이유가 있는 사람들이 평가합니다. 시스템에 대한 모든 주장은 압박 속에서, 시간이 촉박한 상황에서도 처음부터 철저히 입증되어야 합니다. 

인증을 획득했다는 것은, 독립적인 제3자가 이미 국제 기준에 따라 해당 시스템을 평가하여 요건을 충족한다고 결론 내렸음을 의미합니다. 해당 조직은 단순히 신뢰를 구하는 것이 아니라, 이미 완료된 외부 검증 결과를 제시하는 것입니다. 규제 당국은 이를 인정합니다. 파트너들은 이를 통해 안도감을 얻습니다. 이사회는 이를 신뢰합니다. 논지의 초점은 "당신의 시스템이 신뢰할 수 있음을 증명하라"에서 "어떻게 신뢰할 수 있는 시스템을 통과했는지 설명하라"로 바뀝니다. 이는 전혀 다른 논의이며, 조직이 도전에 직면한 날에 하고 싶어 하는 바로 그 대화입니다. 

해당 날 시스템이 생성해야 하는 내용 

준법 담당자라면 누구나 외부 기관의 도움 없이 직접 해볼 수 있는 유용한 연습이 하나 있습니다. 규제 당국이 막 조사에 착수했다고 가정해 보세요. 당국은 48시간 동안 회의를 진행할 예정입니다. 이 상황에서 조직은 무엇을 준비해 제시할 수 있어야 할까요? 

논리가 문서화된 최신 규정 준수 위험 평가. 담당자가 명시된 규정 준수 의무 목록. 해당 의무에 매핑된 통제 조치 및 운영 증거. 직무와 연계된 교육 기록. 제기된 문제와 취해진 조치에 대한 명확한 증거가 포함된 지난 24개월간의 모니터링 보고서. 내부 감사 보고서 및 경영진의 대응 내용. 이사회 참여 기록 – 단순히 “규정 준수에 대해 논의했다”는 식의 회의록이 아닌 실질적인 내용. 사고, 아차 사고 및 이에 대한 대응 기록. 지속적인 개선에 대한 증거 – 단순한 주장이 아닌, 문서화된 기록. 

국제 표준을 기반으로 시스템을 구축한 조직은 대개 몇 시간 만에 이러한 자료를 대부분 준비할 수 있습니다. 반면, 규정 준수 업무를 체계적인 시스템이 아닌 단발성 활동으로 처리해 온 조직은 증거 자료를 수집하는 데 몇 주나 소요되는 경우가 많으며, 그 과정에서 증거 자료가 아예 존재하지 않는다는 사실을 종종 깨닫게 됩니다. 

압박 속에서 진실을 밝혀내는 대가 

이 대화에서 가장 어려운 상황은 조직이 사고 발생 도중에 자사의 규정 준수 시스템이 예상했던 것만큼 견고하지 않다는 사실을 깨닫게 될 때입니다. 이러한 발견은 정책이 누락된 경우보다는 증거가 부족한 경우에서 비롯되는 경우가 많습니다. 즉, 모니터링이 제대로 이루어지지 않았거나, 예외 사항이 문서화되지 않았거나, 교육은 이수되었으나 역할과 연계되지 않았거나, 감사 과정에서 문제가 지적되었음에도 불구하고 해결되지 않은 채 방치된 경우 등이 대표적입니다. 

이 문제가 드러날 무렵이면 선택의 여지가 거의 없습니다. 조직은 취약점을 공개하고 그에 따른 결과를 감수하거나, 압박 속에서 문제를 해결하려 시도하다가 사후적으로 시스템을 구축하는 것처럼 비칠 위험을 감수해야 합니다. 어느 쪽도 바람직한 상황은 아닙니다. 대안으로, 문제가 발생하기 전에 시스템을 구축하고 그 근거를 마련한 뒤 독립적인 검증을 받는 방법은 사후 대응 방식에 비해 비용도 훨씬 적게 들고 스트레스도 훨씬 덜합니다. 

이것이 실제로 의미하는 바는 

이미 체계적인 준법 관리 시스템을 운영하고 있는 조직의 경우, 인증의 가치는 내부적인 노력을 대외적인 증거로 전환해 준다는 점에 있습니다. 해당 업무는 이미 수행되고 있었으나, 인증을 통해 이를 확인해야 할 사람들에게 그 성과를 명확히 보여줄 수 있게 됩니다. 

준법 관리 기능이 여전히 체계가 아닌 개별 업무 중심으로 운영되는 조직의 경우, 공인된 표준을 향해 나아가는 것의 가치는 바로 이를 위한 청사진을 제공한다는 점에 있습니다. ISO 37301은 조직에 어떤 법률이 적용되는지 알려주지도 않으며, 준법 리스크를 제거해 주지도 않습니다. 이 표준이 하는 일은 리스크에 대한 통제 수단을 설계하고, 그 운영 실적을 입증하며, 독립적으로 모니터링하고, 지속적으로 개선하는 체계적인 절차를 강제하는 것입니다. 바로 이 네 가지 요소가 시스템이 위기에 직면했을 때 견고하게 버틸 수 있는지 여부를 결정짓는 핵심 요소입니다. 

이 결정은 사실 표준이나 인증서, 또는 감사와 관련된 것이 아닙니다. 이는 조직 외부에서 누군가가 다음에 질문을 던졌을 때, 조직이 어떤 성과를 어떤 시일 내에 내놓을 수 있기를 원하는지에 관한 문제입니다. 

견고한 준법 관리 체계를 구축하다 

귀사의 규정 준수 관리 시스템이 타당성을 입증할 수 있는지 확인하고 싶으신가요? Speeki는 는 조직에 ISO 37301 인증을 부여하며 인증을 수행하며, Speeki Executive Education를 통해 내부 감사자 및 수석 감사자 교육을 제공합니다.  

문의하기 인증 또는 교육에 대해 상담하시려면 연락해 주세요.