효과성 평가 ≠ 내부감사, 우리 컴플라이언스 프로그램은 과연 효과적일까?

10월 13일, 2022 by  이 서정

    국내에서 가장 알려진 공정거래 자율준수프로그램(CP)과 관련해서 공정거래위원회가 발간한 ‘공정거래 자율준수프로그램(Compliance Program)도입‧운영 매뉴얼’을 보면‘CP규정에 따른 8대 도입요건(8대 기준)’의 하나로 효과성 평가를 명시하고 있다. 그러나 매뉴얼에서 말하는 효과성 평가의 내용과 이를 기반으로 만들어졌을 CP등급평가를 위한 ‘공정거래 자율준수 프로그램(CP) 등급평가 세부측정지표별 평가 가이드라인(이하 세부측정지표)’에서 말하는 효과성 평가에는 미묘한 차이가 있다. 

효과성 평가란 컴플라이언스 프로그램을 운영중인 기업이라면 매년 정기적으로 수행해야 하는 활동이다. 이는 연간 프로그램 운영의 효과성을 평가하는 단계로 얼마나 자사의 프로그램이 계획대로 이행 되었는지, 목적을 달성했는지 등을 평가하여 프로그램 자체의 부족한 점을 찾고 이후 운영계획에 이를 반영하여 프로그램을 더욱 발전시킨다는 목표가 있다. 

그러나 한국공정거래조정원에서 발간한 세부측정지표의 IV. Evaluation & Feedback (평가와 피드백)을 들여다 보면 효과성 평가의 뜻과 내용이 내부감사와 크게 상이하지 않다. 실제로 해당 부분에선 두가지 개념을 혼용하고 있어 보이며 평가대상이 준비할 수 있는 입증서류 항목에서도 대부분 내부감사 기록을 요구하고 있다. 

E1.1 CP운영의 효과성 평가(정기 감사)
E1.1.1 CP운영에 대한 효과성 평가 및 감사가 정기적으로 수행 될 수 있는 절차가 충실히 수립되어 있는가?
E1.1.2 CP운영에 대한 효과성 평가 및 감사를 수행할 수 있는 인적 자원의 자격 및 업무 범위 관련 기준이 있는가? (예: 선정 기준, 이해상충 등, 즉 자신이 업무를 스스로 감사하는 것은 안 됨)
E1.1.3 조직의 정기감사 계획에 해당 업계가 준수하여야 하는 공정거래법규 및 필수 법규 및 관련 정책, 이전 정기감사 결과 등이 종합적으로 반영되어 있는가? 
E1.1.4 정기감사의 수행 기록을 관리하고 있는가? (예: 계획서, 결과보고서, 감사노트, 인터뷰 명단, 지적사항 등) 

이렇다 보니 자율준수관리자들이 CP등급평가를 신청하고 필요 서류를 준비할 때 효과성 평가 항목에 자사 일반 감사 기록을 첨부하게 된 것이다. 

그러나 효과성 평가 effectiveness evaluation 와 내부감사 internal audit 는 엄연히 다른 개념이며 다른 활동들을 요구한다. 기본적으로 효과성 평가는 ‘프로그램 자체의 효과성’을 평가하는 것임으로 내부 감사 또는 컴플라이언스 감사(컴플라이언스팀 감사)와 같을 수 없다. 

다만 이는 세부평가지표만의 문제일 수 있는 것이, 당장 E1의 내용을 보면 아래와 같이 효과성 평가의 본 목적을 그대로 반영하고 있다는 것을 알 수 있다.

E1. 프로그램 효과성 평가와 개선: 자율준수프로그램이 효과적으로 작동하기 위해서는 자율준수프로그램 운영상황을 주기적으로 평가하고 그 결과를 반영하여 프로그램 운영을 지속적으로 개선해야 한다.

또한, 매뉴얼에서 말하는 효과성 평가는 다음과 같다. 

8. 효과성 평가와 개선조치
CP가 효과적으로 지속하여 운영될 수 있도록 정기적으로 CP기준, 절차, 운용 등에 대한 점검, 평가 등을 실시하여 그에 따라 개선조치를 취하여야 한다 (p.12).

두번째 효과성 방법에 대해서는 두번째 인용 바로 아래 CP효과성 평가 구성(안)에서 자세하게 설명하고 있다. 

위 내용을 보더라도 효과성 평가는 기업의 일반적인 내부 감사 또는 자율준수팀 감사로 대체할 수 없다는 것을 알 수 있다. 

해외 가이드라인의 효과성 평가는 어떨까?

    여러 관련 가이드라인에서는 효과성 평가를 컴플라이언스 프로그램 구축 요건 내지는 실질적으로 프로그램이 수행되는지를 알아보는 평가 항목으로 명시하고 있다. 국내 공정위의 CP매뉴얼 같은 경우에도 상당 부분 미국 법무부의 컴플라이언스 프로그램 평가를 위한 가이드라인(내용이 비슷한점)과 ISO가이드라인(PDCA 기법을 사용한다는 점)을 참고해서 만들어졌기에 실제로 그 두 가이드라인에서 말하는 효과성 평가를 살펴볼 필요가 있다. 

미국 법무부의 가이드라인 같은 경우에는 크게 세가지 파트로 이루어져 효과성 평가에 관한 내용은 가장 마지막 파트 ‘기업의 컴플라이언스 프로그램이 실질적으로 운용되고 있는가?’의 ‘A. 지속적인 개선, 주기적인 평가 및 검토 Continuous Improvement, Periodic Testing, and Review’에서 찾을 수 있다. 이 부분에서는 기업의 컴플라이언스 프로그램이 지속적으로 발전했는가에 중점을 두고 다음 네가지 항목을 통해 프로그램이 실질적으로 작동하고 있는지(또는 효과적인지)를 평가하고 있다. 

1) 내부감사 Internal audit  – 내부감사자가 어느 장소에서 어느 주기로 감사를 실시할건지 판별하는 과정은 무엇이며 그에 대한 근거는 무엇인가?  감사는 어떻게 이루어지는가? 어떤 내용의 감사들이 불법행위와 관련된 이슈들을 식별할 수 있는가?  실제로 감사들이 이루어졌으며 결과는 무었이었는가? 어떤 관련 감사결과 및 개선조치가 이사회와 경영진에게 정기적으로 보고되었는가? 경영진과 이사회의 조치는 무엇이었는가? 리스크가 높은 부서의 내무감사 시행평가가 얼마나 자주 이루어졌는가?

2) 통제 테스트 Control Testing – 법 위반 행위가 적발된 분야와 관련된 컴플라이언스 프로그램을 검토하고 감사를 실시했는가? 어떤 효과성 테스트를 실시하고, 컴플라이언스 자료를 수집하고 분석했으며, 제3자 및 직원 인터뷰를 진행했는가? 어떻게 그 결과가 보고되고 조치가 이루어졌는가?

3) 개선 주기 Evolving Updates – 어떤 주기로 리스크 평가가 이루어지고 컴플라이언스 운영 기준 및 절차와 관련된 문서를 검토하는가? (CP관련) 기준, 통제 또는 훈련에서 충분히 다루지 않는 리스크를 식별하기 위해 갭분석을 실시하는가? (CP관련) 기준/과정/활동들이 자사/자회사 환경에 적합한지 판별하기 위해 어떤 과정을 거치는가? 자사 및(또는) 비슷한 리스크가 있는 다른 회사의 법 위반 행위로 부터 얻은 교훈을 근거로 컴플라이언스 프로그램을 검토하고 개선시켰는가?

4) 준법 문화 Culture of Compliance – 준법 문화를 어떤 방식 및 어떤 주기로 측정하는가? 경영진 및 준간관리자의 준법경영 의지를 일반 직원들이 인식하고 있는지를 판결하기 위해 모든 레벨의 직원들의 의견을 구하는가?  준법 문화 측정 결과에 대해 어떤 조치 과정을 거치는가?

이어서 B. 부정적인 행위 조사 Investigation of Misconduct C. 잠재적 법 위반 행위 분석 및 시정 조치 Analysis and Remediation of Any Underlying Misconduct 가 프로그램의 실질적 운용을 점검하고 있어 프로그램 효과성을 점검할때 살펴볼 수 있는 항목들이기도 하다. 

ISO37301 (Compliance Management System) 가이드라인에서는 ‘9 Performance evaluation’및 관련 부록 에서 효과성 평가에 대해 설명하고 있다. 해당 부분에서도 세부항목으로 내부감사 내용을 포함하고 있으나 이는 일반적인 감사가 아닌 1) 컴플라이언스 프로그램이 자사의 요구사항(i.e. 기준들)과 본 가이드라인의 요구사항들을 충족하고 있는지 2) 효과적으로 구축/운영 되고 있는지에 대한 감사 프로그램을 명시하고 있다. 

9.2.2 내부감사 Internal audit
9.2.1 일반 General
조직은 CMS가…
a) 아래 사항을 충족하는지 conforms to…
– 조직의 요구사항 (다시 말해 CP 운영기준) the organisation’s own requirements for its compliance management system;
– 이 문서의 요구사항 the requirements of this document;
b) 효과적으로 구축되어 운영되고 있는지 is effectively implemented and maintained
에 대한 정보를 제공하기 위해 계획된 주기로 내부감사를 실시해야 한다

 그 밖에도 다양한 기준들에서 효과성 평가를 직/간접적으로 언급하고 있고 이미 해외에서 효과적으로 CP를 운영하는 기업들은 필수적으로 시행하고 있다. 내부감사와 달리 효과성 평가는 컴플라이언스팀에서 자체적으로 시행할 수 있으나 여러 가이드라인에서도 객관성 및 전문성을 고려하여 외부에 맡기는 것을 권장하고 있다. 

우리나라도 점점 컴플라이언스 프로그램을 도입하여 운영하는 기업이 많아지고 있는 만큼 공정거래 CP등급평가 세부평가지침만을 보고 내부감사로  효과성 평가를 대체한다면 그것은 제대로 프로그램을 운영하고 있다고 볼 수 없다. 기업에서 CP를 운영하는데 적지 않은 비용이 들어가는 것을 생각한다면 정말 효과적인 CP 운영을 위해 효과성 평가의 뜻을 바로 알고 있는 것이 매우 중요할 것이다.