이사회가 규정 준수에 대해 실제로 원하는 것

규정 준수는 단순한 운영상의 문제에서 이사회 의제로 격상되었습니다. 이사들은 더 이상 정책에 대한 설명만 듣기를 원하지 않습니다. 그들은 시스템이 제대로 작동하고, 위험 요소가 적절히 관리되며, 독립적인 제3자가 이를 검증했다는 증거를 원합니다. 바로 이것이 그들에게 그러한 확신을 주는 것입니다. 

이사회가 규정 준수 책임을 지는 것은 새로운 개념이 아닙니다. 새로운 점은 이제 그 책임에 대한 감시의 수준이 한층 더 엄격해졌다는 것입니다. 규제 당국은 이사회가 규정 준수 리스크를 어떻게 감독하고 있는지 입증할 수 있기를 기대합니다. 투자자들은 단순한 정책 선언을 넘어서는 지배구조 관련 공시를 요구합니다. 법원과 집행 기관은 조직이 규정 준수 의무를 진지하게 이행했는지 평가할 때 이사회의 행태를 점점 더 면밀히 살피고 있습니다. 

이러한 환경에서 이사들이 더 이상 고민해야 할 문제는 규정 준수 감독에 대한 책임이 있는지 여부가 아닙니다. 이미 그 책임은 그들에게 있습니다. 이제 중요한 것은 이를 어떻게 효과적으로 수행할 것인가, 즉 시스템이 제대로 작동하는지 파악하고, 위험 요소가 어디에 있는지 확인하며, 보고서가 제출되었을 때 어떤 질문을 해야 하는지 아는 것입니다. ISO 37301을 기반으로 구축된 공인 규정 준수 관리 시스템은 이러한 질문들에 답할 수 있는 가장 실용적인 방법 중 하나입니다. 

이사회가 실제로 수행해야 할 역할은 무엇인가 

각 관할권에서 나타나는 추세는 일관됩니다. 이사회는 준법 문화의 기조를 정립하고, 충분한 자원을 확보하며, 준법 기능을 감독하고, 그 효과성을 검토하며, 문제 발생 시 적절한 조치를 취해야 합니다. 구체적인 내용은 각기 다르지만, 영국 기업지배구조규정, 미국 법무부의 기업 준법 프로그램 평가 기준, 프랑스의 사팽 II 제도, 싱가포르 기업지배구조규정 등 수많은 규정들이 모두 동일한 기대치를 각기 다른 방식으로 명시하고 있습니다. 

이러한 프레임워크 중 어느 것도 이사회에 구체적인 실행 방법을 제시하지는 않습니다. 이들은 바람직한 모습을 설명할 뿐, 구체적인 실행 방식을 명시하지는 않습니다. 바로 그 점에서 ISO 37301이 중요한 역할을 합니다. 

이사회에 실제로 필요한 것은 무엇이며, 이를 어떻게 확보할 수 있을까 

이사회는 규정 준수 관리 시스템이 구체적으로 어떻게 작동하는지까지 알 필요는 없습니다. 이사회가 알아야 할 것은 해당 시스템이 명확한 보고 체계, 효과성에 대한 입증, 독립적인 검증, 그리고 조직 전반에 걸친 공통된 언어 등 올바른 거버넌스 기반을 갖추고 있다는 점입니다. ISO 37301은 이러한 요소들을 설계 단계부터 체계적으로 반영하고 있습니다. 

명확한 보고 체계 

이 표준은 최고 경영진 및 지배 기구와 직접 소통할 수 있는 준법 감시 기능을 요구합니다. 또한 명확히 정의된 역할, 문서화된 권한, 그리고 이사회에 정기적으로 보고되는 체계를 요구합니다. 일관되고, 비교 가능하며, 시의적절한 준법 보고를 확보하는 데 어려움을 겪어온 이사들에게 이 구조는 의미 있는 개선책이 될 것입니다. 

단순한 활동성이 아닌, 효과에 대한 증거 

준수 보고서는 대개 수행된 활동—교육 실시, 정책 개정, 조사 종결 등—을 기술하는 경우가 많습니다. 그러나 활동과 효과는 별개의 문제입니다. ISO 37301은 성과 모니터링, 시스템 자체에 대한 내부 감사, 그리고 시스템이 제대로 작동하고 있는지에 초점을 맞춘 경영 검토를 요구합니다. 이사회는 단순히 규정 준수 업무가 활발히 진행되고 있는지가 아니라, 규정 준수가 실제로 효과를 거두고 있는지에 대한 정보를 제공받게 됩니다. 

독립적 검증 

독립적인 제3자 인증은 이사회에 해당 준법 관리 시스템이 국제 표준을 충족한다는 외부적 확인을 제공합니다. 이는 조직이 내린 모든 준법 관련 결정에 대한 평가와는 다르지만, 그러한 결정들을 뒷받침하는 시스템이 체계적으로 구축되고, 모니터링되며, 지속적으로 개선되고 있음을 보여주는 독립적인 증거입니다. 지배구조 공시 내용을 승인하는 이사들에게 있어 이러한 증거는 상당한 설득력을 갖습니다. 

조직 전체를 아우르는 공통 언어 

대규모 또는 복잡한 조직에서는 이사회가 사업부마다 서로 다른 방식으로 보고되는 규정 준수 현황을 접하는 경우가 많습니다. ISO 37301은 공통된 보고 체계를 제시합니다. 즉, 어떤 사업부나 관할 구역에서 보고하든 관계없이 상황, 위험, 통제, 모니터링 및 개선에 대해 동일한 용어를 일관되게 사용하도록 규정합니다. 그 결과, 이사회는 정보를 실제로 비교 분석하고 이에 기반해 조치를 취할 수 있게 됩니다. 

모든 감독이 답할 수 있어야 할 다섯 가지 질문 

이사진은 일반적으로 규정 준수 관련해서 규제 당국, 투자자 또는 감사인이 질문할 때 반드시 답변할 수 있어야 하는 몇 가지 핵심 질문들을 가지고 있습니다. 인증된 규정 준수 관리 시스템은 이러한 질문들에 거의 그대로 부합합니다. 

우리가 준수해야 할 사항이 무엇인지 알고 있습니까? ISO 37301은 준수 의무를 파악하고 문서화하기 위한 체계적인 절차를 요구합니다. 이사회는 타당한 답변을 갖추고 있습니다. 

위험 요소가 어디에 있는지 평가해 보았습니까? 이 표준은 의무를 해당 의무가 적용되는 활동, 프로세스 및 관할권과 연계하여 위험 평가를 수행할 것을 요구합니다. 이사회는 조직이 어떤 위험 요소를 우선순위로 삼았는지, 그리고 그 이유를 파악하고 있습니다. 

적절한 통제 장치가 마련되어 있는가? 이 표준은 식별된 위험에 상응하는 통제 장치를 요구하며, 이에 대한 책임 소재와 모니터링 현황이 문서화되어야 한다. 이사회는 구체적인 통제 조치에 대해 질의할 수 있으며, 이에 대한 답변을 받을 수 있다. 

이 제도가 제대로 작동하고 있다는 것을 어떻게 알 수 있을까요? 이 표준은 성과 모니터링, 내부 감사, 경영진 검토 및 지속적인 개선을 요구합니다. 이사회는 단순한 절차 설명뿐만 아니라 결과 데이터를 제공받습니다. 

문제가 발생하면 어떻게 될까요? 이 표준은 부적합 사항, 시정 조치 및 교훈 도출을 위한 절차를 요구합니다. 이사회는 실패가 일어나지 않을 것처럼 가장하는 시스템이 아니라, 실패를 수용하고 이에 대응하도록 설계된 시스템을 확인합니다. 

이사들에게 있어, 이는 현재 대부분의 이사회에서 다루고 있는 규정 준수 관련 논의보다 훨씬 더 유익한 대화입니다. 

이사회에 있어 자격증이 해줄 수 없는 것 

이는 이사들의 규정 준수 의무를 면제해 주는 것이 아닙니다. 인증은 체계적인 관리 시스템이 구축되었음을 입증하는 것이지, 개인적 책임을 면해 주는 방패가 아닙니다. ISO 37301을 도입한 후 규정 준수 감독에서 손을 떼는 이사회는 본질을 놓친 것이며, 규제 당국이나 법원으로부터 호의적인 반응을 얻지 못할 수도 있습니다. 

또한 이 표준은 규정 준수를 단순한 형식적 절차로 전락시키지 않습니다. 이 표준은 표준 자체에 대한 형식적인 준수가 아니라 실질적인 감독을 요구합니다. ISO 37301을 지배 구조의 한 축이 아니라 단순한 서류 작업으로 취급하는 이사회는 이 표준으로부터 거의 아무런 가치를 얻지 못합니다. 반면, 이를 더 나은 질문을 던질 수 있는 체계적인 수단으로 활용하는 이사회는 많은 이점을 얻습니다. 

이사회가 어떤 역할을 하는지 

ISO 37301은 지배구조 기구에 대해 명시적으로 다루고 있습니다. 최고 경영진은 의지를 표명하고, 자원을 확보하며, 규정 준수를 비즈니스 프로세스에 통합하고, 지배구조 기구에 보고해야 합니다. 반면 지배구조 기구는 이를 감독해야 합니다. 이 표준은 이사회가 규정 준수 업무를 직접 수행할 것을 요구하지 않으며, 대신 수행 중인 업무를 감독할 것을 요구합니다. 

실무적으로 이는 이사들에게 세 가지 의미를 갖습니다. 첫째, 준법감시 기능이 필요한 조직 구조, 자원 및 권한을 갖추고 있는지 직접 확인해야 합니다. 둘째, 경영진 검토 과정에 적극적으로 참여하여 질문을 제기하고, 가정에 의문을 제기하며, 검토 결과에 대한 후속 조치를 취해야 합니다. 셋째, 준법 보고서를 단순히 표면적인 내용만 받아들이는 것이 아니라 꼼꼼히 읽어보는 자료로 삼아야 합니다. 

전략적 관점 

리스크 관리 외에도, ISO 37301에는 그 중요성에 비해 종종 소홀히 여겨지는 전략적 차원이 있습니다. 규정 준수 성숙도는 점점 더 중요한 경쟁 우위로 부상하고 있습니다. 고객은 신뢰할 수 있는 파트너를 선호합니다. 투자자들은 거버넌스 리스크를 부정적으로 평가합니다. 규제 당국은 신뢰할 수 있는 시스템을 높이 평가합니다. 인재들은 자신의 의무를 진지하게 받아들이는 조직을 선호합니다. 

ISO 37301을 순수한 비용 문제로만 접근하는 이사회는 이러한 점을 간과합니다. 반면, 이를 조직이 장기적으로 가치를 창출하고 보호하는 과정의 일부로 여기는 이사회는 더 큰 성과를 거두며, 규정 준수를 더 어렵게 느끼기보다는 오히려 더 수월하게 여기는 조직을 이끌어 나가는 경향이 있습니다. 

결론적으로

규정 준수 감독은 이사회가 타인에게 위임할 수 없는 책임이며, 해마다 더욱 면밀히 주목받고 있는 분야입니다. ISO 37301을 기반으로 구축된 공인 규정 준수 관리 시스템은 이사들이 이 책임을 이행할 수 있는 체계적이고 국제적으로 인정받는 방법을 제공합니다. 이는 전략이 아니며, 적극적인 참여의 대안이 되지도 않습니다. 하지만 “우리의 규정 준수 프로그램이 제대로 작동하고 있는지 어떻게 알 수 있을까?”라는 질문에 신뢰할 수 있는 해답을 찾고 있는 이사회에게, 이는 현재 이용 가능한 가장 실용적인 도구입니다. 

귀사의 ISO 37301 인증을 고려하고 계신가요? Speeki는 Speeki는 조직의 ISO 37301 인증을 지원하며 Speeki를 통해 이사회, 컴플라이언스 팀 및 내부 감사인을 대상으로 교육을 제공합니다 Executive Education를 통해 이사회, 컴플라이언스 팀 및 내부 감사인을 대상으로 교육을 제공합니다. 

문의하기 인증 또는 교육에 대해 상담하시려면 연락해 주세요.