최근 영국의 한 은행에서 정보기술(IT) 마이그레이션(이전) 업무를 스페인 모회사가 수행하던 중 실수로 업무에 실패한 사례가 발생했다. 이에 대해 영국 금융감독청(FCA)은 그 책임을 자회사인 영국 은행의 최고정보책임자(CIO)에게 묻고 그에게 약 2억 원의 벌금을 부과했다. CIO가 모회사로부터 충분한 확약을 받지 않고 이사회에 ‘문제 없음’으로 보고하고 진행한 것에 잘못이 있다고 판단하고 이에 대한 책임을 물은 것이다. 이는 영국 금융 감독 당국이 우리나라의 ‘책무 구조도’에 해당하는 SMCR(영국 FCA의 고위 경영진 인증 체제)에 따라 책임이 부여된 고위 경영진에 실제 발생한 금융 사고에 대한 제재를 가한 대표적인 사례로 꼽힌다.
전종무 딜로이트안진 파트너는 17일 서울 중구 더플라자호텔 그랜드볼룸에서 진행된 ‘제25회 서경 금융전략포럼’에서 ‘지속가능경영을 위한 내부통제 글로벌 스탠더드’라는 내용의 주제 강연을 통해 이 같은 사례를 언급하면서 우리 금융사들이 앞으로 갖춰야 할 내부통제의 방향성에 대해 조언했다.
전 파트너는 대표적인 글로벌 내부통제 표준 사례로 영국 FCA의 고위 경영진 인증 체제인 ‘SMCR’을 제시하면서 “금융 회사 경영진은 내부통제 관리 권한과 의무가 있으며 경영진은 내부통제 중심점으로서 합리적 조치를 취해야 한다”고 강조했다. 특히 전 파트너는 시나리오 분석을 통해 책임 소재를 명확히 하는 교육이 중요하다고 강조했다. 예를 들어 불완전 상품을 고객에게 판매했거나 주말인 토요일 자정에 심각한 IT 시스템 장애가 발생한 경우 CIO는 해당 사고를 어떻게 알 수 있고 어떤 조치를 취할지, 상부 및 규제기관 보고는 누가 할 것인지, 최고위험관리자(CRO)나 최고경영자(CEO) 등의 역할은 무엇인지 등을 면밀히 따져보는 식이다. 전 파트너는 “만약 사고에 관여된 경영진이 복수일 경우 영국 감독 당국은 임원 A의 실수인지, B의 실수인지에 초점을 맞추는 게 아니라 어떤 책임이 있는 경영진이 이에 대해 신속히 대응하고 조치했느냐로 규제 준수 여부를 판단하고 있다”고 말했다.
이를 바탕으로 전 파트너는 국내 금융사들이 갖춰야 할 책무 구조 설계의 방향성도 제시했다. 전 파트너는 “금융 사고의 근본 원인인 암묵적 관행과 내부통제 인프라에 대한 적극적인 해결 방안이 필요하다”며 “이를 위해 문제점과 개선 방향에 대해 각 사업부 및 전사 차원의 공감대 형성 절차가 상시 운영돼야 한다”고 말했다. 이어 그는 “내부통제 제도 혁신 방향에 따라 금융 사고 발생 방지를 위한 관리 의무가 부여되는 경영진이나 부점장에 대해 경영진 내부통제 책임 지도와 부점장 내부통제 업무 수행 점검 매뉴얼을 설계해 운영해야 한다”고 덧붙였다.
그러면서 전 파트너는 임원 내부통제 책무 구조 설계는 ‘책임 지도(Map)’과 ‘책임 명세서’라는 두 가지 요건을 충족해야 한다고 조언했다. 전 파트너는 “책임 지도라는 것은 임원의 책임 조직도인데 어떤 임원이 어떤 내부통제의 책임을 갖고 있고 전체 임원들이 어떤 보고 라인을 형성하고 있는지 등을 지도화해야 한다”며 “무엇보다 임원들이 합리적인 조치를 위해 어떤 책임 이행 활동을 해야 하는지 상세히 설계하고 문서화하는 ‘책임 명세서’ 개념이 중요하다”고 강조했다. 이어 그는 “임원은 혼자 일하는 게 아니고 혼자 내부통제를 하는 게 아니다”라며 “경영진의 소관 조직 및 업무별 내부 통제 책임의 합리적 이행을 위해 경영진 산하 부서장 레벨의 내부통제 업무 매뉴얼도 설계해 운영해야 한다”고 제언했다.
마지막으로 전 파트너는 CEO의 역할이 그 누구보다 중요하고 책임이 막중하다고 봤다. 책임 지도를 작성하고 책임 명세서를 문서화하는 등 모든 요건을 갖춘 책무 구조도를 설계했지만 그럼에도 금융 사고가 발생하고 이에 대해 누구의 책임인지가 불분명할 경우에는 CEO의 책임으로 봐야 한다는 것이다. 전 파트너는 “CEO에게는 세 가지 중요한 책임이 있다”면서 “우선 임원들에게 책임을 빈틈 없이 부여하고 그들의 책임이 중복돼서도 안 된다”고 말했다. 또 부여된 책무를 임원들이 제대로 이행하는지 확인할 책임이 있고 마지막으로 어떤 책무에 대해 이 임원이 이를 제대로 수행할 만한지 스크리닝하고 이를 입증해야 한다고 설명했다.