기업 컴플라이언스 평가 지침(Evaluation of Corporate Compliance Program, 이하 “ECCP”)이란 미국 법무부(US DOJ)에서 기업 형사 사건의 기소, 구형 등 과정에서 기업의 컴플라이언스 현황에 대한 평가 시 고려해야 하는 일반적 기준을 안내하는 행정지침으로, 검사가 반드시 물어봐야 하는 세가지의 기본 질문을 다음과 같이 제시한 후 각 기본 질문에 대한 구체적 평가 방식들을 상세히 안내하고 있습니다.
 

그리고 미국 법무부는 지난 3월 ECCP의 4차 개정안을 발표하였는데 여기에는 ① 컴플라이언스 유도 목적의 임직원 금전 보상 제도 수립 ② 컴플라이언스 지원을 위한 IT 통제 운영 등 내용이 추가되었습니다. 

컴플라이언스 프로그램의 실효성을 평가하여 회사 및 임직원의 책임범위 판단 내지 양형상 고려요소로 삼는 미국의 제도는, 최근 이사 등 경영진의 책임 판단 시 준법감시의무 이행 노력을 고려요소로 제시한 대법원 판례와도 궤를 함께 한다고 볼 수 있는 바, 우리 기업들로서도 참고할만한 모범 사례(Best Practice)가 될 것으로 생각됩니다. 아래에서는 개정 ECCP에서 새롭게 추가된 내용과 그 시사점을 설명 드리겠습니다.

개정 ECCP의 주요 내용 및 시사점

먼저, ECCP는 기본 질문 2항. “컴플라이언스 프로그램이 성실히 운용되고 성의를 다해 진행되고 있는지”와 관련하여, 컴플라이언스 프로그램 참여를 독려하고, 준수하지 않는 임직원에 대한 예방 조치를 강조하고 있었는데, 이번에 개정된 ECCP는 컴플라이언스 프로그램 참여 유도를 위한 임직원 금전적 보상 제도(compensation structures) 및 위법행위 대응 절차(consequence management procedures)를 평가함에 있어, 검사로 하여금 다음의 사항들을 고려하도록 추가하였습니다.
 

• 위법행위 대응 절차의 설계·운용에 관한 정보가 내부적으로 투명하게 공개되었는지, 가능한 경우, 구체적 위법행위에 대한 대응 절차가 재발 방지 목적상 필요한 범위 내에서 구성원에게 공유되었는지

• 회사가 임직원에 대한 금전 보상 중 일부분의 지급을 컴플라이언스 유도 목적상 유예한 바 있는지, 임직원의 위법행위 적발 시 회사가 이미 지급한 금전 보상을 회수할 수 있는 근거가 마련되었는지

• 회사의 영업상 목표가 컴플라이언스와 양립 가능한지 여부를 평가한 바 있는지

• 경영진 보상 체계 설계·운용 과정에서 컴플라이언스 부서의 역할은 무엇인지
   

한국에서 위와 같은 금전적 보상제도를 도입하려면 HR 및 Tax 이슈도 함께 고려되어야 하며, 영업상 목표와 컴플라이언스의 양립 여부에 대한 평가는 안건의 성질상 이사 등 경영진이 소속된 이사회에서 충분한 숙고를 통해 결정하는 절차가 필요할 것으로 생각됩니다.

다음으로, 개정 ECCP는 기본질문 3항. “기업의 컴플라이언스 프로그램이 실제로 작동하는지” 확인하기 위한 세부 질문 중 부정행위에 대한 조사 기법과 관련하여(Investigation of Misconduct), 기업의 IT 환경을 고려해야 한다는 점을 강조하였습니다. 즉, 위험 기반(risk-based) 접근법은 회사의 IT 시스템에도 적용되며, 고위험 사업 영역에 대하여는 보다 엄격한 IT 통제가 요구되고, 검사로 하여금 다음의 사항들을 고려하도록 추가하였습니다.
 

• 각종 전자 기기 및 통신 플랫폼에 저장된 임직원의 업무상 커뮤니케이션 기타 전자 정보를 규율하는 회사의 관리·보존·삭제 정책이 어떻게 되는지, 이와 같은 회사의 정책이 임직원에게 소통된 바 있는지

• 임직원이 자신의 업무상 커뮤니케이션에 접근하는 것을 거부하는 경우, 회사가 취할 수 있는 조치에는 어떠한 것이 있는지

• 임직원이 개인 전자기기를 업무에 활용하는 경우(Bring Your Own Device, 이른바 “BYOD 프로그램”), 회사가 해당 전자기기에 접근할 수 있는지. 임직원의 개인 전자기기 사용으로 인하여 회사의 내부 조사가 방해 받은 적이 있는지
   

디지털트랜스포메이션을 통해 대부분의 업무가 전자적 방식으로 수행되는 최근 기업의 경영환경을 고려하면, IT 통제는 내부통제의 핵심적 구성 요소에 해당한다고 볼 수 있습니다. 특히, 부정행위에 대한 조사과정에서 디지털 포렌식을 통해 객관적 사실관계를 확인하고 부정행위의 근본 원인(root cause)을 파악하려는 기업들은 기존에도 다수 있었는 바, 금번 개정안을 참고하여 기업으로서는 (1) 임직원이 생성하는 전자적 저장 정보에 대한 적절한 접근권한을 확보하고(개인정보보호법상 요건도 함께 고려), (2) 전자문서 관리 체계를 재정비하고 관련 체계가 실제 현장에서 집행 되도록 하며(예컨대 문서관리규정이 사문화되지 않고 실제 업무에 반영), (3) 임직원간 업무 관련 커뮤니케이션 문화를 개선하기 위한 노력들이 필요할 것으로 보입니다.

끝으로, 개정 ECCP는 상기 개정사항들과 관련하여 각 조치들의 실효성(Effectiveness)을 평가하는 과정에서 적절한 정량 지표를 활용할 것을 권고한 점이 특히 주목할 만 합니다. 구체적 예시는 다음과 같습니다.
 

• 회사가 위법행위 대응 절차의 효과성을 평가할 목적상 유관 데이터를 추적·수집하고 있는지(핫라인에 접수되는 전체 신고 중 조사가 최종 완료되는 건의 비율이 국가별, 지역별, 부서별로 어떻게 다른지, 핫라인 접수 후 소요되는 평균 조사기간이 어떻게 되는지)

• 회사가 위법행위 대응 절차의 전사적 일관성을 담보하기 위하여 어떠한 지표를 활용하고 있는지

• 경영진에게 지급되는 보수 전체액 중 몇 %가 컴플라이언스 성과와 연동되었는지
   

이는 컴플라이언스 프로그램의 실효성을 평가하는 과정에서 추상적, 상징적인 정성적 지표만으로는 정확한 점검이 어렵다는 고려에서 제안된 것으로 이해되며, 기업이 처한 상황(사업 영역, 규모, 조직문화 등)을 충분히 감안하여 현실성을 갖춘 지표를 설정하고 단계적으로 강화해 나가는 방안을 고려할 수 있을 것으로 보입니다.