내부통제 부실로 인한 사모펀드 사태, 횡령 등 금융사고가 끊이지 않는 가운데 우리나라의 내부통제 부실에 대한 제재 강도가 ‘솜방망이’라는 지적이 나오고 있다.
내부통제 기준을 마련하지 않아도 금융회사가 부고 받는 과태료는 최대 1억원에 불과하다. 경영진에 감독소홀의 책임을 물으려고 해도 감독 범위를 구체적으로 명시하지 않아 ‘빠져나갈 구멍’도 큰 실정이다.
4일 금융권, 국회, 자본시장연구원 등에 따르면 잇단 금융사고를 방지하기 위해 내부통제와 관련한 제재 강도를 높여야 한다는 목소리가 높아지고 있다.
한 정치권 관계자는 “그동안 금융사의 내부통제에 대한 인식은 최고경영자(CEO) 제재를 피하기 위한 법률상 기준을 마련하는 정도에 그쳤다”며 “해외에선 내부통제 문제를 전사적인 운영 리스크 관점에서 접근해 막대한 투자를 하는 것과는 대비되는 점”이라고 말했다.
◇ 한국은 기관제재 강도 낮고 인적제재 적용은 어려워
현재 우리나라 내부통제 관련 제재 강도는 주요 선진국에 비해 높지 않다. 내부통제 기준과 관련한 제재를 크게 ‘기관제재’와 ‘인적제재’로 나눠볼 때, 특히 기관제재 규제 강도가 상대적으로 턱없이 낮다.
국내 금융사가 내부통제 기준 마련 의무를 위반하면 금융당국이 부과할 수 있는 과태료는 1억원 이하다. 반면 미국과 영국은 내부통제 구축 의무를 위반하면 매우 높은 수준의 민사 제재금을 부과할 수 있다. 금융사고, 소비자 피해 규모에 따라 금융회사가 파산에 처할 정도로 높은 행정 과징금을 부과한 사례도 많다.
인적제재는 한국과 주요국의 규제 강도가 큰 차이는 없다. 오히려 한국이 규제 강도가 높다는 시각도 있다. 송지민 국회입법조사처 조사관은 “인적제재의 경우 우리나라는 임원이 내부통제 소홀 마련에 책임이 있다고 판단해 해임권고, 직무정지 등 매우 높은 수준의 인적제재를 부과하고 있다”라며 “주요국과 규제강도에 큰 차이가 있다고 보기 어렵다”고 설명했다.
하지만 인적제재 강도가 높다는 평가에도 금융사고 발생 시 금융사 경영진에 대한 제재가 강하다는 체감도는 높지 않다. 내부통제 기준 마련 의무가 다소 추상적이고 내부통제 기준을 소홀하게 마련했다고 판단할 수 있는 근거가 주관적이어서 최고경영자(CEO)에게 포괄적 책임을 묻기 어렵기 때문이다.
금융회사지배구조법 제24조에서 내부통제기준 마련 의무를 정하고 있지만 원칙중심의 규율이고, 시행령 및 감독규정에서도 내부통제기준 범위가 다소 추상적으로 기술돼 있어 내부통제 기준 마련 의무 위반 여부를 판단하기 쉽지 않다.
미국과 영국에서는 CEO 등 감독자의 책임을 명확하기 위해 감독소홀의 범위와 최종·중간감독자 등의 역할 및 책임을 구체적으로 명시하고 있다. 금융사고가 발생하면 금융감독기관은 해당 문제에 대해 사전 보고받은 담당자에게 책임을 명확하게 지울 수 있다.
내부통제의 효율적 운영 의무를 강조한 다른 국가와 달리 금융회사지배구조법상 내부통제 규정 마련 의무를 더 강조하고 있다는 점도 인적제재 강도가 낮다는 느낌을 주는 이유다.
금융감독원과 손태승 우리금융지주 회장의 해외금리연계 파생결합펀드(DLF) 손실 사태 관련 징계 취소 소송에서도 내부통제 기준을 마련하는 것을 넘어 이를 준수할 책임이 있느냐가 중요한 쟁점이 됐다. 1심 재판부는 내부통제 기준 마련과 준수 의무를 별개로 본 반면, 2심 재판부는 내부통제 기준을 마련했으면 이를 준수해야 한다고 판단했다. 이 소송은 1, 2심 모두 손 회장이 승소했다.
이효섭 자본시장연구원 선임연구위원은 “금융회사의 어떤 사건과 사안 등에서 내부통제 기준 마련 의무를 위반한 것으로 볼 것인지, 그때 법적 책임은 누구에게까지 물을 것인지에 대한 법적 근거가 충분하지 않다”라며 “내부통제기준 위반 사례에 대한 판례도 충분하지 않아, 대규모 금융사건이 발생했다는 이유로 내부통제기준 마련 의무 위반으로 판단하기에는 법적 타당성이 충분하지 않다”고 설명했다.
◇ 금융회사지배구조법 개정 목소리 커져… 금감원도 ‘고심’
전문가들은 금감원이 국회, 금융위원회와 함께 금융회사지배구조법 개정에 나선다면 ‘내부통제기준 마련 의무 위반’ 또는 ‘내부통제 소홀’의 범위를 시행령, 시행세칙 등 하위 규정에서 보다 구체적으로 명시할 필요가 있다고 지적했다.
이들은 또한 금융회사 이사회에 내부통제기준 제정 및 개정 권한, 개정 요청 권한을 부여하고 내부통제기준 마련 및 운영의 법적 책임을 CEO, 준법감시인, CCO(소비자보호 총괄책임자), CRO(리스크관리 총괄책임자) 등에게 명확히 부여할 필요가 있다고 주장했다.
이 연구위원은 “예를 들어 사모펀드가 특정 지점에서 과도한 수준으로 판매됐을 때 CEO 또는 CEO 권한을 위임받은 준법감시인이 이를 인지했음에도 불완전판매 관련 위험을 인지하지 못하거나 내부통제기준 점검 또는 개정을 요청하지 않는다면 해당 CEO 또는 준법감시인이 내부통제를 실효성 있게 마련하지 못한 것으로 볼 수 있다”고 설명했다.
그는 “다만 특정 지점에서 발생한 개별 직원의 위법 행위를 지점장, 준법감시인도 인지하지 못한 상황에서 개별 직원의 위법 행위로 대규모 금융회사의 손실이 발생한 경우, CEO에게까지 최종 책임을 부과하는 것은 적절하지 않을 것”이라고 설명했다.
송 조사관 역시 “내부통제에 대한 금융기관의 이사회 및 경영진의 역할과 책임을 법령에 명시적으로 규정하는 방안에 대한 논의가 필요하다”며 “미국, 영국 등과 유사하게 감독자책임을 부과하기 위해 감독소홀의 범위를 구체적으로 명시하는 방법 등에 대해 논의해야 한다”고 강조했다.
금감원 역시 내부통제 부실에 따른 금융사고가 계속 발생하자 금융사고 예방 내부통제 개선 태스크포스(TF)를 만들고, 금융회사지배구조법 개정까지 고려하고 있는 것으로 전해졌다.
한 금융권 관계자는 “내부통제에 대한 금융기관 이사회 및 경영진의 역할과 책임을 법령에 명시적으로 규정하는 방안에 대한 논의가 이뤄지고 있다”라며 “하지만 이 부분은 금감원의 의지만으로 될 수 없는 부분인 만큼 금융위나 국회의 조력이 필요하다”고 전했다.