최근 미국 법무부 Department of Justice (DOJ) 의 기업 컴플라이언스 프로그램 평가 지침 Evaluation of Corporate Compliance Program(ECCP) 개정안이 국가적으로 관심이 집중된 가운데, 개정 내용과 관련해서 한편으로는 우려의 목소리가 나오고 있다. 현재 Allen & Overly 의 파트너이자 전 DOJ 집행부 FCPA Assistant Chief 였던 빌리 제이콥슨 Billy Jacobson 은 이번 ECCP 업데이트 사항 두가지 (1. 개인기기 업무기록 보관에 관한 것 2. 고위직원 제재 및 포상(환수) 에 관한 것)가 “비현실적”인 기준일 수 있으며 이런것들이 오히려 일상에서의 컴플라이언스 업무를 방해할 수 있다고 말했다.(관련글: https://fcpablog.com/2023/04/05/new-doj-policies-about-messaging-apps-and-clawbacks-threaten-compliance-departments-standin
1. 미국에서는 핸드폰 기능이 점차 발전되고 여러 메세지앱이 등장하면서 기업에서 업무용으로 (회사기기 또는 내부소통시스템이 아닌) 개인기기를 사용하거나 타사 어플을 사용하는 것에 대한 주의를 계속 언급해 왔다. 특히, 기업의 컴플라이언스 프로그램을 평가하기 위해서는 ‘업무 기록의 보관’이 무엇보다 중요하기 때문에 이번 개정안에서는 기업이 개인기기 사용과 업무기록을 얼마나 체계적으로 관리하는지 세세하게 묻고 있다.
이에 대해 제이콥슨은 이미 웟츠앱 What’s App 과 같은 메시지앱들은 사내에서 이메일처럼 흔히 쓰이고 있는 만큼, 이와 같은 식의 통제는 개인정보 침해 문제로 이어질 수 있다고 지적했다. 나아가, 그는 내부 감사를 직접적으로 수행해야 하는 컴플라이언스 담당부서의 입장에서는 이를 통해 조직의 신뢰를 잃을 수 있다고 말하며 결과적으로 기업 컴플라이언스 프로그램 운영 목표 달성을 해할 수 있다고 전했다.
2. 이번 개정안에서는 기업 고위직원의 컴플라이언스 노력에 대한 포상 및 그와 반대로 법위반(또는 미준수)에 대해서는 금전적인 제재, 즉 포상금(성과급) 반환에 대한 기준이 신설되며 고위직원들의 컴플라이언스에 대한 적극적인 자세를 강조했다. 이는 처음으로 “금전적인 포상”을 명문화 시킴으로써 고위임원들이 법준수를 실질적으로 고려할 수 있도록 하는 강력한 유인책이 될 것을 의미했다.
이에 대해 제이콥슨은 법준수에 대한 금전적 보상 및 제재의 효과에 대해서는 동의하지만 “환수 clawback”에 대해서는 각 나라의 법체계에 따라 다르게 다뤄질 수 있다고 지적하며 명백히 불법이 아닌 사항들에 대해서는 기업이 간섭하기 어려운 문제라고 말했다. 결론적으로 그는 이번 개정안의 주요 내용 두가지는 이론상으로 가능할 뿐이며 CP전담부서가 이를 수행하는 것은 거의 불가능에 가깝다고 전했다.
“…it is compliance personnel who must take the lead and use their precious capital to cause companies to implement an unpopular compensation policy which may never be used and may be impossible to enforce. Better use can and should be made of compliance’s time and influence.”
그러나, 현 Global Relay의 시니어 리포터이자 시애틀 대학교 비상근 교수 줄리 디마우로 Julie DiMauro 는 기업 업무 소통 방식이 예전에 비해 완전히 달라진 만큼 기업의 CP전담부서 또는 리스크관리 부서 역시 변화해야 한다고 반박했다. (관련글:https://fcpablog.com/2023/04/17/new-doj-policies-about-messaging-apps-bolster-compliance-standing-strengthen-firms-defenses/)
그녀는 새로운 기술은 언제나 기업에게 리스크를 가져오기 때문에 이를 분석하는 과정 과 해당 리스크에 대한 모니터링이 반드시 필요하다고 말하며 기업 역시 CP운영을 입증하기 위해서는 기록 보관과 모니터링의 의무를 다해야 한다고 말했다.
나아가, 그녀는 DOJ 측에서 컴플라이언스 업무 수행시 관련 부서의 협조해야 한다는 말을 인용하며 컴플라이언스 업무는 전담부서만의 업무가 아니라는 점을 강조했다.
“…compliance officer, along with his or her colleagues in information security, operations, legal, and other areas, will have a role to play. The CCO will not carry the load alone,…”
우리나라의 경우 아직까지 CP운영이 적극적으로 이루어지지 않고 있는 상황에서 개인기기 통제는 먼 얘기에 가깝다. 그러나, 글로벌 기업이라면 컴플라이언스 프로그램 운영이 필수이며 미국 가이드라인이 세계적인 영향력이 있다는 점에서 기업 내부에서 어떻게 직원들이 업무 소통을 하는지는 되짚어 볼 필요가 있다. 미국 법무부와 디마우로의 말처럼 업무시 개인기기 사용 또는 외부 어플 사용이 기업에게 새로운 리스크를 가져다주는 것은 분명하지만 제이콥슨의 말처럼 CP전담부서가 전적으로 이를 통제 하기에는 무리가 있다.
그 대신, 우리는 위 논쟁을 통해 아래와 같은 시사점을 얻을 수 있다.
CP업무와 관련된 기록물 보관의 중요성
CP전담부서의 사내 업무 기록에 대한 접근 권한을 명시한 사내 규정 마련
CP전담부서와 CP업무수행부서(예: 교육이라면 교육담당부서, 감사업무라면 감사부서) 간의 활발한 소통의 중요성
(*1, 2번과 관련해서는 우리나라가 공정거래CP 기준에도 명시된 사항이다)
사실 이미 우리나라에서는 제이콥슨의 우려가 작용한 부분이 없지 않아 있다. 처음부터 ‘과한’ CP 기준을 들이밀어 기업들이 CP운영 자체를 안하게 되는 결과를 낳는 것이다. 그러나 이 점은 우리나라의 CP기준이 더 이상 국제 기준과의 격차가 벌어지는 것을 막기 위해 어쩔 수 없이 벌어진 일일 수도 있다. 따라서, 국내 기업이라면 경영활동과 관련있는 각 나라별 또는 기관별 가이드라인은 어떠한 것들이 있는지 또 그 내용은 무엇인지 인지하고 자체적으로 조직에 맞는 CP를 구축하는 것이 중요하다.
*이 글의 출처는 https://gilbertcompliance.co.kr/