2018
3-4월(합본호)

준법 감시 프로그램이 효과 없는 이유
후이 천(Hui Chen),유진 솔티스(Eugene Soltes)

준법 감시 프로그램이 효과 없는 이유

그렇다면, 어떻게 개선해야 할까

후이 천, 유진 솔티스

18_34_184_1

 

IN BRIEF

 

문제

기업들이 법규, 규정, 기업 정책을 위반하는 행위를 찾아내거나 예방하기 위해 교육을 실시하고, 내부고발자 핫라인을 개설하는 등 준법 감시 프로그램을 운영하는 데 쓰는 돈이 어마어마하다. 하지만 기업의 부정행위는 수그러들 줄 모른다.

 

원인

준법 감시 활동을 요식행위로 여기는 경우가 너무 많다.

 

해결책

측정 기준을 개선해서 구체적인 준법 목표에 꼭 들어맞는 계획을 세운다. 

 

 

 

웰스파고 은행에는 사기성 계좌가 수백만 개 있다.

 

폴크스바겐은 배기가스 배출량을 조직적으로 속였다. 브라질 국영 에너지회사 페트로브라스Petrobras는 대규모 뇌물수수 사건으로 정부와 경제에 치명상을 안겼다. 이런 종류의 기업 스캔들이 최근 헤드라인을 장식하고 있지만, 사실 수많은 기업의 부정행위는 제대로 알려지지 않고 넘어간다. 미국 공인부정조사관협회Association of Certified Fraud Examiners에 따르면 기업의 부정행위 절반가량은 언론에 보도조차 되지 않으며, 부정행위로 인한 손실은 회사마다 연평균 300만 달러에 이른다. 회계법인 E&Y 2016년 글로벌 부정부패 보고서를 작성하기 위해 인터뷰한 기업 임원 3000명 가운데 약 42%, 재무적 목표를 위해서라면 비윤리적 행위를 정당화할 수 있다고 대답했다. 오늘날 기업에 부정행위가 뿌리깊게 남아 사라지지 않은 것은 분명한 사실이다.

 

오늘날 기업들은 법규, 규정, 기업정책을 위반하는 부정행위를 예방·탐지하기 위해 교육, 핫라인 개설, 기타 준법 감시 프로그램에 엄청난 비용을 쏟아 붓지만, 놀랍게도 부정행위는 여전히 만연하고 있다. 평범한 다국적기업이 준법 감시 활동에 연간 수백만 달러를 지출하는 반면, 금융이나 방위산업처럼 규제 강도가 높은 산업은 수천만에서 수억 달러를 쓴다. 하지만 이런 식의 금전적 추산은 오히려 준법 감시 비용을 낮게 잡은 편이다. 교육이나 기타 준법 감시 활동에 매해 소모되는 노동시간만 해도 수천 시간에 이른다.

 

많은 기업 임원들이 확실한 성과가 없는 준법 감시 활동에 엄청난 비용을 쏟고, 점점 더 많이 들이는 일을 마뜩잖게 여긴다. 그런데도 준법 감시 활동에 대한 투자는 계속되고 있다. 감시 활동이 생산적이어서가 아니라, 혹시나 충분히 비용을 쓰지 않아서 회사가 법적인 문제에 휘말릴까봐 두려워서다. 직원들도 준법 감시 프로그램에 넌더리를 내고 있고, 요식 행위에 영혼 없는 관행으로 여긴다. 우리가 보기에 이 모든 비용 낭비와 감정 소모는 안타까우면서도 충분히 피할 수 있는 일이다.

 

우리는 준법 감시 활동에 대한 인식과 문제를 정확히 알고 있다. 후이 천은 2015 11월부터 2017 6월까지 미국 법무부 최초의 준법 감시 컨설턴트로 단독 근무하면서, 검찰이 기업의 준법 감시 관련 활동을 평가할 수 있도록 지원했다. 솔티스는 하버드경영대학원에서, 기업의 법무 자문이나 준법 감시 담당자들이 감시 프로그램의 효용을 확인하고, 다른 임직원들에게 이점을 설명할 때 겪는 어려움을 연구했다. 우리는 준법 감시의 가치를 기업의 리더와 직원들에게 분명하게 인지시킬 필요가 있다는 데 동의했다.

 

그리고 그 해결책은 준법 감시 효과 측정법을 개선하는 일이라고 생각했다. 중요한 만큼 간단한 해결책이다. 기업은 효과적인 측정 툴을 개발하지 않고는 효과적인 준법 감시 프로그램을 설계할 수 없다. 많은 기업에 적절한 측정법이 도입되면 더 간결하고, 결과적으로 더 효과적인 준법 감시 프로그램을 설계할 수 있다. , 측정의 개선이 관리의 개선으로 이어진다.

 

준법 감시의 역사

 

준법 감시가 지금 같은 상태에 이르게 된 이유를 알려면 준법 감시의 시작부터 살펴봐야 한다. 1970~1980년대 미국에서는 기업 스캔들이 연이어 발생했고, 이 때문에 몸살을 겪은 기업들이 결집해 부정행위를 보고하고 예방할 수 있는 내부 정책과 절차를 도입했다. 이런 노력을 통해 기업의 부정행위에 좀 더 엄격한 규제와 처벌을 도입하려고 했던 입법부를 달랠 수 있었다. 비즈니스 리더들에게 이런 식의 자기검열은 비용 발생을 막고, 규제와 관련한 혼란을 예방할 수 있는 매력적인 방법이었다. 규제 당국도 기업 조사와 관련한 부담을 덜 수 있었고, 많은 이들이 기업의 부정행위를 잘 막아낼 수 있으리라고 생각했다.

 

준법 감시 프로그램의 장점을 깨달은 미국 형선고위원회U.S. Sentencing Commission 1991년 가이드라인을 수정해, 기업들이효과적인 준법 감시 프로그램을 갖췄다는 점만 증명할 수 있으면 벌금을 대폭 감면해줬다. 곧이어 검찰이 형사고발 여부를 결정할 때, 해당 기업의 준법 감시 프로그램을 고려할 것을 촉구하는 법무부 고위 관리들이 일련의 제안서를 내놓았다. 이런 노력을 기울인 까닭은 기업들이 감시 기능을 더 개선하도록 부추기고, 질 나쁜 직원의 희생물이 될 수 있다는 사실을 깨닫게 하려는 의도였다. 증권거래위원회, 보건사회복지부, 환경보호국 등 다른 민간 규제기관civil regulator도 이런 당근과 채찍 전략을 준법 감시활동에 도입했다.

 

기업들은 재빠르게 준법 감시 교육 프로그램을 도입하고, 내부고발자를 위한 핫라인을 설치하고, 리스크 평가 시스템을 도입하기 시작했다. 준법 감시 프로그램이 없다는 것은 대기업에, 심지어 미국 은행을 단순히 이용만 하는 외국 기업에도 결코 무시할 수 없는 심각한 법적 리스크였다. 영국, 브라질, 스페인 등 다른 나라에서도 이런 잠재적인 법적 리스크에 대한 자각이 꾸준히 커지면서, 법률 집행을 할 때 준법 감시 프로그램을 참작하도록 하는 법을 제정했다.

 

기업의 많은 임원들에게 준법 감시 프로그램이란 값비싼 보험증권처럼 최악의 시나리오에 대비한 방어책이다. 직원들은 긴 행동 강령을 읽고 서명해서, 회사의 정책을 알고 있다는 사실을 증명해 보이라고 요구받는다. 사생활, 내부거래, 뇌물 등을 주제로 한 교육 프로그램도 수강해야 한다. 하지만 직원들은 수업의 마지막 10개 질문을 풀 수 있는 정도로만 일반적인 교육 프로그램에 관심을 두는 일이 많다. 이런 프로그램에 연간 수백만 달러를 지출하는 기업들도 준법 감시에 실속이 없는 경우가 허다하다.

 

2012년 법무부가 모건스탠리의 직원 가스 피터슨Garth Peterson을 형사고발했을 때, 공소장에는 피터슨이 7번의 준법 감시 교육을 받았고, 그가 저지른 부정행위, 즉 정부 관리에게 뇌물을 주는 일을 삼가라는 경고 이메일을 35번 받았다는 내용이 적혀 있었다. 하지만 준법 감시 교육은 피터슨에게 아무 영향을 끼치지 못했다. 그가 이런 프로그램을 모두 요식행위로 여겼기 때문이다. “물론 그런 프로그램도 있고 이메일도 받죠. 하지만 이메일을 읽지 않고 지우거나, 전화 회의 프로그램이 있을 때도 그냥가스 피터슨 참석했습니다라고 말하기만 해도 교육을 받았다는 기록이 남습니다. 그 다음에는 조용히 전화를 끊거나, 수화기를 옆에 내려놓고 하던 일을 계속 하면 됩니다.”

법무부는 기업들이 엄청난 비용으로 준법 감시 프로그램을 구성했지만, 허울만 좋을 뿐 아무것도 만들어내지 못한다는 사실을 알았다. 2008년 법무부는연방 기업 기소 원칙Principles of Federal Prosecution of Business Organizations을 개정해서 검찰에 기업의 준법 감시 프로그램이 형식에 불과한지, 아니면 적절하고 효과적인 수단을 통해 설계, 실시, 검토, 수정되고 있는지 판단하도록 했다. 그해 지멘스가 8억 달러라는 기록적인 벌금을 당국에 납부했던 사건에서, 검찰은 지멘스의 준법 감시 프로그램이종잇장에 불과했다는 점을 계속 강조했다.

 

같은 일이 반복되자 검찰은, 유명무실한 준법 감시 프로그램만 있는 회사는 노력을 인정해 줄 필요가 없다고 생각했다. 그러나 준법 감시 프로그램을 평가하는 데는 상당한 시간과 전문성이 필요하기 때문에, 실질적인 프로그램과 형식적인 프로그램을 구분하기가 쉽지 않았다. 이를테면, 앞서 언급한 피터슨 사건에서 법무부가 모건스탠리를 기소하지 않기로 한 결정이, 세간에는 회사의 준법 감시 전략을 인정하는 것으로 비쳤다. 당시 모건스탠리의 준법 감시 프로그램은 수많은 교육 세션을 비롯해 표준 핫라인, 기업 행동강령에 대한 직원 인증 등으로 이뤄져 있었다. 피터슨은정부가 시민에게 거짓말을 하고 있다. 모건스탠리가 훌륭한 준법 감시 프로그램을 갖춘 것처럼 말하고 있는데, 그 프로그램이 사람들 머릿속에는 남지 않는다는 사실을 정부도 알고 있다. 중요한 건 머릿속에 남는 것이다라고 주장했다.

 

2015년 법무부는 후이 천을 고용해 기업의 준법의 감시 프로그램이 실제로 작동하는지 평가할 때 겪는 어려움을 해결하고자 했다. 조사를 시작하자마자 천은, 많은 기업의 준법 감시 프로그램이 뭔가 잘못됐다는 걸 알았다. 기업들은 으레 정책과 절차를 두꺼운 책자로 만들고, 재무 시스템의 통제 체계가 몇 단계로 이뤄져 있는지 파악했다. 하지만 이런 정책, 절차, 통제 체계를 시험했다는 증거가 없었고, 위반사항이 얼마나 발생하는지 추적도 안 됐다. 예를 들면 어떤 기업은 오랫동안 내부고발자 프로그램을 운영해 왔다고 했지만, 직원들이 이 프로그램을 얼마나 활용하는지 데이터가 없었다. 부정행위자를 대상으로 해당 행위에 대한 교육을 실시한 횟수도 보고하고 있었지만, 이런 활동이 회사의 준법 감시 노력을 보여주기 위한 요식행위에 불과하다는 아이러니는 자각하지 못했다.

 

천은 자신이 준법 감시 프로그램의 효과를 판단하기 위해 임명됐다는 점을 잘 알았고, 검찰이 프로그램을 평가할 때 감안해야 할 대규모 질문 리스트를 만들었다. 이 리스트는 준법 감시 영역을 광범위하게 포괄해서, 교육 프로그램에는회사는 누구를, 어떤 주제로 교육하는지 분석했는가?”, 개인의 책임에는관리자는 본인이 감독하는 업무에서 벌어진 부정행위에 책임을 지는가?”, 리더십에는이사회는 준법 감시에 어떤 전문성을 갖췄는가?”를 질문했다. 법무부는 2017 2월 이 질문들을 모아기업 준법 감시 프로그램 평가서라는 제목으로 공개했다.

 

이 평가서는 체크리스트로 쓰기 위한 게 아니었다. 평가서에도 언급됐듯이기업 부정행위 전담부서가 준법 감시 프로그램을 평가할 때 비중을 두는 주제와 예시 질문 몇 개를 리스트로 만든 것이다. 실제로 이후 모든 준법 감시 프로그램 평가가 개별적으로 진행됐다. 그럼에도 솔티스는 기업의 관리자나 변호사들의 피드백을 통해, 기업들이 이 평가서를 효과적인 준법 감시 프로그램을 구축하는 매뉴얼로 빠르게 받아들이기 시작했다는 사실을 알았다. 특히 기업 경영진은 평가서의 각 질문에 대답할 수 있다면 법무부의 기대치에 부응하는 거라고 확신했다. 솔티스가 더욱 우려했던 점은 기업들이 이 평가서를 기준으로 부족한 점을 확인하기보다, 자신의 준법 감시 관행이 효과적이라는 점을 뒷받침하는 데이터만 골라 선택한다는 것이었다.

 

일례로 평가서에는 기업이 준법 감시 교육의 수준과 효과를 어떻게 평가하는지 묻는 질문이 있다. 딜로이트와 컴플라이언스 위크Compliance Week의 조사에 따르면, 기업이 가장 흔히 쓰는 방법은 교육 이수율을 측정해서, 직원의 90~95%가 이수했으면 교육이 효과가 있다고 보는 것이다. 하지만 이런 측정법은 교육의 질(내용이 적절한지, 들을 만한 가치가 있는지), 효과(실제로 교육에 참가하고 이를 실행에 옮기는 직원 수)도 반영할 수가 없다.

 

기업들이 교육 이수율에 기대는 까닭은, 이 측정법이 준법 감시 교육의 효과를 입증하는올바른방법이라서가 아니다. 기업의 목표는 그저 규제당국에 할 일을 다 했다는 증거로교육 이수항목에 체크하는 것이다. 몇몇 기업들이 규정을 지키는 실질적인 지침을 직원들에게 제공하고 있기는 하지만, 그저 교육을 마쳤으니 기준을 충족했다고 믿으면서 스스로를 기만하는 회사가 훨씬 더 많았다.

 

준법 감시 활동에 대한 기업의 투자가 점점 증가하는 한 이유는, 적절한 측정 방법이 없어서 어떤 프로그램이 효과가 있고 어떤 프로그램이 없는지 모르기 때문이다. 많은 기업들이 준법 감시를 강화하기 위해 준법 감시 관리자 수를 더 늘리고, 더 정교한 소프트웨어를 사들이고, 더 많은 정책을 세운다. 심지어 이런 활동이 쓸모없고, 낭비이거나 아무 결과를 못 내는데도 마찬가지다.

 

준법 감시 측정 기준이 어쩌다 이렇게 됐나

18_34_184_2

딜로이트와 컴플라이언스 위크에 따르면, 70%의 회사만 준법 감시 프로그램의 효과를 측정하기 위한 시도를 해봤다. 이들 기업의 3분의 1만이 자사가 적절한 측정 기준을 갖췄다는 확신이 있거나 매우 강한 확신이 있다고 답했다. 2017년 초 보건복지사회부는 의료기관이 준법 감시 프로그램의 효과를 제대로 평가할 수 있도록 지원하기 위해 회의를 소집했다. 당시 회의를 통해 발표된 보고서에는 550개가 넘는 지표가 포함돼 있었다. 이 보고서는 각 회사의 비즈니스나 리스크 특징에 맞춰 지표 중 몇몇 개를 조합해서 사용하라고 돼 있었다. 하지만 선택할 수 있는 측정 기준이 너무 많아서 어떤 지표가 어떤 상황에 적절한지 파악하기가 여전히 어렵고, 대부분의 회사에서도 능력 밖의 일로 남아 있다.

 

기업들도 프로그램의 효과를 정량적으로 평가하려고 애쓰다가 같은 실수를 저지르곤 한다. 흔히 빠지는 함정은 다음과 같다.

 

불완전한 측정 기준.법무부와 형선고위원회의 가이드라인은, 효과적인 준법 감시 프로그램으로 부정행위를 저지른 개인에게 책임을 물으라고 한다. 이를테면 법무부 평가서에는문제가 되는 부정행위를 저지른 직원을 해임 또는 징계했는가?” “징계 절차와 유인책이 회사 전체에 걸쳐 공정하고 일관되게 실시됐는가?” 등의 질문이 있다. 개별 직원의 책임을 물었다는 증명으로 회사는 해고된 직원, 승진이나 보너스 지급에서 제외된 직원의 명단을 만들어 두곤 한다. 그러나 이런 통계로는 기업이 개별 직원의 책임도 철저하게 묻는다는 사실을 충분히 증명할 수 없다. 처벌받지 않은 직원 수는 알 수 없기 때문이다. 한 해 부정행위를 한 직원 5명을 모두 징계한 회사와, 부정을 저지른 직원 50명 중 5명만 징계한 회사는 아주 다르다. 우리는 고액연봉자나 고위급 임원은 보호하고, 하급 직원이나 별 볼일 없는 직원만 징계하는 기업도 많이 봤다. 단순히 징계받은 직원 수를 기록한 통계 수치는 불완전할뿐더러 오해만 불러일으킬 수 있다.

 

무의미한 지표.하나의 준법 감시 프로그램에서 수집할 수 있는 데이터는 다양하지만, 프로그램의 내용을 실제로 반영하는 데이터는 그중 일부에 불과하다. 예를 들어 기업들은 준법 감시 교육의 효과를 어떻게 측정하느냐는 법무부의 질문에 대응해, 앞서 말한대로 교육을 마친 직원의 수나 교육을 마치는 데 걸린 시간 등을 기록해 놓는다. 하지만 이 숫자는 완전히 잘못된 지표다. 교육 프로그램을 이수한 비율은 회사가 다른 목적으로 기록해두면 유용할지도 모르지만, 준법 감시 교육 효과를 제대로 측정하려면 정확한 결과를 기준으로 해야 한다. 직원이 회사의 정책과 절차를 이해했는가, 특정 상황에 맞춰 대응할 수 있는 유용한 기술을 습득했는가, 행동이 달라졌는가 등을 봐야 한다.

 

또 다른 예로, 경영진이 준법 감시에몹시노력한다는 점을 강조하기 위해, 최고임원진이 보내는 준법 메시지 수를 인용하는 회사도 있다. 그러나 직원이 경영진에 대한 믿음이 없고, 내부고발을 하면 보복 당한다는 생각을 갖고 있다면 이런 지표도 의미가 없다.

 

준법 감시의 효과와 법적 책임에 대한 혼동.준법 감시 정책은 법을 지키기 위해 존재한다. 하지만 준법 감시를 법적인 틀 안에 억지로 밀어 넣으면, 직원들의 행동이 유익하게 바뀔 여지가 제한된다. “관련 정책과 절차가 효과적으로 시행되는지 확인하는 회사의 평가 방법은 무엇인가?”라는 질문을 보자. 직원들이 행동 강령이나 회사의 정책을 읽고 이해했다는 증거로, 그들이 서명한 진술서를 내미는 기업이 많다. 이 진술서가 규정을 어긴 직원을 해고하는 데 법적인 근거가 될 수는 있겠지만, 직원들이 회사의 정책을 읽고 이해해서 일상 업무에 반영했다는 증거는 될 수 없다. 우리가 반사적으로 서명한 계약서가 얼마나 많은가? 대부분의 계약조건은 협상의 여지도 없지 않았던가? 직원들은 회사 정책을 읽지도 않고 이해도 못한 채 증명서에 서명한다. 더구나 내용이 너무 법률적이고, 전문적이고, 빡빡해서 이해하기조차 어렵다. 회사의 정책은 그저 정책일 뿐이라거나, 그때그때 융통성 있게 일 처리하는 게 최선이라는 암묵적인 이해가 있을 수도 있다. 직원들이 회사의 정책을 이해했다는 사실을 법적 구속력이 있는 문서로 만들어 집계하는 것은, 준법 감시 활동의 효과를 측정하는 적합한 방법이 아니다.

 

자기 보고와 자기 선택 편향.기업의 준법 감시 관리자는 프로그램의 효과를 판단하기 위해 설문조사에 기댈 때가 많다. 이를테면 직원들이 보고 체계를 제대로 파악했는지 확인하려고준법 감시부의 조언을 구해야 할 상황을 잘 알고 있으며, 그럴 의사가 있는가?” 등을 묻는다. 이런 설문조사의 문제점은 응답자들이 알아서 판단하고self-reporting그에 따라 행동함으로써self-selection결과를 편향해, 관리자들이 부정확한 결론을 내리게 한다는 것이다. 예를 들어 부정행위를 목격한 직원은 동료의 정체가드러날까봐관련 설문조사에 응하지 않을 수 있고, 그렇게 부정행위를 목격하지 않은 직원에 대한 결과를 왜곡하게 된다. 비슷하게, 부정행위를 저지른 고위급 임원들도 설문에 응하지 않으려 들 것이다. 따라서 이런 지표를 해석할 때는 수집된 데이터가 편향될 수 있다는 점을 감안해야 한다.

준법 감시 계획과 목표를 일치시켜라

 

그렇다면 준법 감시 프로그램의 실제 효과를 제대로 평가할 수 있는 지표는 어떻게 세워야 하는가? 1단계는 프로그램의 목표가 하나가 아니라는 점을 인식해야 한다. 법무부 고위관리들이 일련의 제안서를 통해 강조했듯이, 준법 감시 프로그램의 목표는 크게 부정행위 방지, 부정행위 탐지, 기업 정책과 법, 규칙, 규정과의 일치다. 준법 감시 프로그램의 모든 요소는 이 3가지 목표와 연결돼 있어야 한다. 예를 들어 교육은 부정행위 방지, 내부고발자 핫라인 설치는 부정행위 탐지, 행동 강령은 직원들이 기업 정책과 외부 규정을 지키도록 하는 것이다. 준법 감시 계획이 겹치거나 서로 영향을 끼칠 수는 있겠지만, 계획마다 목표를 분명히 잡아야 관리자들이 좀 더 내실 있는 지표로 프로그램을 평가할 수 있다.

 

내부고발자를 위한 비밀 핫라인을 생각해 보자. 핫라인의 목표는 부정행위를 제때 적발하는 것이다. 이 목표를 달성했는지 보려면 핫라인이 제대로 작동하는가(미스터리 테스터mystery tester로 시험), 직원들이 실제로 사용하는가(사용 데이터), 어떻게 사용하는가(수신된 내용에 관한 데이터), 혐의에 대한 회사의 대응(대응 시간, 조사 완료 시간, 조사 결과, 결과를 둘러싼 소통), 직원이 핫라인을 편하게 사용하는가(주기적인 직원 분위기 조사) 등 여러 정보가 필요하다. 이런 측정 기준을 사용하면 준법 감시 계획의 효용을 각기 다른 차원에서 평가할 수 있다.

 

하지만 이런 변수를 개별로 추적하면 전체 그림을 볼 수 없다. 관리자들이 각 결과의 원인을 제대로 파악하지 못하기 때문이다. 예를 들어 핫라인 사용률이하다는 것은 문제가 많다는 뜻일 수도 있지만, 직원들이 핫라인을 그만큼 편하게 생각한다는 뜻일 수도 있다. 그 이유를 명확하게 파악하려면 관리자가다변량 회귀분석multivariate regression analysis을 적용해 볼 수 있다. 회귀 모델은 조사자가 한 변수의 영향을 조사하는 동안 다른 변수를 고정시켜준다. 이 경우에 핫라인 사용량이 증가한 이유가 위반 행위가 늘었기 때문인지 확인하려면, 다른 요소는 상수로 둬야 한다. 즉 핫라인의 유무, 핫라인에 대한 직원의 친숙도, 운영 성과, 잠재적 발신자 수(접근할 수 있는 직원 수)는 상수로 가정한다. 적절한 회귀 모델을 설정하려면 시간과 경험이 필요하다. 그러나 핫라인 사용량의 변화에 안심해도 되는지, 아니면 걱정할 문제인지 알고 싶다면 회귀 모델이 가장 믿음직한 방법이다.

 

또 다른 예를 보자. 준법 감시 교육의 목표는 직원들이 규칙과 규정을 제대로 습득하도록 지원하고 부정행위를 방지하는 것이다. 하지만 교육을 마친 직원들이 기대수준만큼 이해하는지 평가한다고 해서 교육 과정의 효과를 입증한다고 볼 수는 없다. 직원들이 교육 내용을 잘 이해한다는 사실이 프로그램이 제대로 작동한다는 뜻일 수도 있지만, 단순히 직원들의 기본 지식이 반영된 것일 수도 있다. 그러므로 교육을 전후로 직원들의 이해가 어떻게 달라졌는지 모두 시험해봐야 한다. 별 변화가 없다면 이 교육 프로그램은 없애야 할 수도 있다. 아니면 프로그램을 개선해서 직원 참여율을 높이고, 근무 시간도 좀 더 효율적으로 쓸 수 있도록 해야 한다.

 

물론 교육의 목표는 직원들이 회사 규정을 잘 이해하고, 적절한 행동 양식을 깊이 인지하고, 그런 행동을 지속하게 만드는 것이다. 이 경우에도 회귀 모델을 이용해 교육 과정과 직원 행동 간의 관계를 분석할 수 있다. 회사의 규정 위반과 관련한 다른 요소를 상수로 고정하면, 교육을 마친 직원들이 규정을 위반할 확률이 높아졌는지 낮아졌는지 테스트할 수 있다.

 

이런 사례가 보여주듯이 준법 감시 프로그램이 목표를 달성했는지 제대로 측정하려면, 기업은 자사 프로그램에서 생성된 실증 데이터를 이용해야 한다. 다시 한번 강조하지만, 개별 지표를 단순히 추적하는 것을 넘어서는 분석이 필요하다. 다른 요소는 상수로 통제하거나 배제하면서, 제대로 된 측정 모델을 만드는 데 집중해야 한다.

 

과거 기업들이 준법 감시 프로그램의 효과를 입증하기 위해 제시한 측정 기준은, 준법 감시의 목표에 잘 들어맞지 않았다. 하지만 이제 준법 감시의 기준과 이해관계가 달라졌다. 검찰, 법원, 규제당국 모두 더 철저한 증명을 요구한다. 기업들은 데이터와 모델을 개선해서 이러한 요구사항을 충족할 수 있는 능력이나 프로세스를 갖춰야 한다. 이 프로세스는 기업에 준법 감시 프로그램의 효과를 정확하게 측정할 수 있는 역량이 있어야만 구축할 수 있다.

준법 감시 전략

18_34_184_3

몇몇 기업은 준법 감시와 윤리 프로그램에 기꺼이 많은 시간과 자원을 투자하고 있다. 장기적으로 성공의 필수 요소라고 보기 때문이다. 하지만 우리는 실용주의자다. 기업이 한정된 자원을 여러 상충하는 요구에 맞춰 사용해야 하는 상황에서, 상존하는 규제와 법률 때문에 준법 감시 활동에 투자해야 한다는 점을 잘 알고 있다. 하지만 이처럼 규제 측면이 중요하기 때문에, 기업이 준법 감시 활동 결과를 측정하는 데 더욱 힘써야 한다. 준법 감시 프로그램의 기준이 나날이 면밀해지는 상황에서, 실속 있는 결과를 내놓지 못하는 기업은 오늘날 적용되는 이 엄격한 기준을 충족할 수 없을 것이다. 좀 더 직설적으로 말하자면, 부정행위 방지 교육을 실시한 결과가직원들이 모두 교육 과정을 마쳤다정도에 그친다면, 검찰, 법원, 규제당국이 효과적인 프로그램을 갖췄다고 인정하지 않을 것이다.

 

많은 기업이 준법 감시 활동을 기업의 법무활동으로 여기지만, 실상은 행동과학에 훨씬 더 가깝다. 변호사들이야 이런 개념이 불편하겠지만, 준법 감시 활동이 정말로 효과를 보려면 어떤 프로그램은 효과가 있고 어떤 프로그램은 효과가 없는지 경영진이 테스트할 필요가 있다. 이 과정에서 기업은 어느 정도 실험과 혁신을 거쳐야 할 것이다. 행동 강령은 기업의 성공에 필요한 핵심 정책을 분명하게 포함해야 한다. 핫라인은 반드시 설치해야 한다. 부정행위를 기록하는 용도이기도 하지만, 직원들이 잘못된 행동을 하기 전에 문제를 해결하도록 지원하기 위해서다. 기업은 측정 기준을 개선해서, 부정행위를 실제로 막을 수 있는 더 야심 있고 혁신적인 프로그램을 도입할 수 있다.

 

오늘날 비즈니스에 적용되는 규정이 얼마나 복잡한지를 감안하면, 기업들은 법적·윤리적 의무를 이해하고 다하는 데 굉장한 노력을 기울여야 한다. 준법 감시 프로그램이 제대로 작동하는지 평가할 수 있는 하나의 통일된one-size-fits-all잣대가 있다면 아주 편리할 것이다. 하지만 간단한 일변량 지표univariate metrics로는 프로그램의 효과를 제대로 파악할 수 없다. 준법 감시 엔지니어링을 잘 해내려면 약간의 창의성, 약간의 테스트, 신중한 모델 설계를 결합해 결과를 적절하게 측정할 수 있어야 한다.

 

전 세계 기업들이 이미 준법 감시에 엄청난 돈을 쓰고 있다. 자원을 제대로 활용할 수 있게 하자. 제대로 된 효과를 측정하면, 기업 관리자들이 중복되거나 비효율적인 프로그램을 바꾸거나 없앨 수 있다. 결과적으로 준법 감시 프로그램의 효과를 높이는 기회가 될 것이다.

 

귀사의 준법 감시 프로그램은 얼마나 효율적입니까?

 

법무부는 기업을 기소할 때 해당 회사의 준법 감시 프로그램을 평가한다. 아래 주제와 질문은 법무부의 기업 부정행위 전담반이 조사할 때 고려하는 기준으로, 2017 <  기업 준법 감시 프로그램 평가서  >에서 발췌한 내용이다.

 

고위임원과 중간관리자

•고위경영진이 말과 행동으로 문제가 되는 부정행위를 어떻게 격려 또는 저지했는가?

•이사진과 고위경영진이 감독을 실시하며 검사한 정보는 어떤 것이었는가?

 

자율성과 자원

•준법 감시부나 관련한 통제부서 직원의 이직률은 얼마나 되는가?

•규정 위반과 관련해 중지 및 수정되거나 면밀한 검토를 거친 거래가 있었는가?

 

정책과 절차

•관련 정책과 절차가 효과적으로 시행되는지 확인하는 회사의 평가 방법은 무엇인가?

•이런 정책과 절차의 유용성을 어떤 방식으로 평가했는가?

 

리스크 평가

•기업이 당면한 특정 리스크를 포착, 분석, 해결하기 위해 사용한 방법은 무엇인가?

•문제가 되는 유형의 부정행위를 감지하기 위해 회사가 모은 정보나 사용한 측정 방법은 무엇인가?

 

교육과 의사소통

•직원들이 준법 감시부의 조언을 구해야 하는 상황을 잘 알고 있으며, 그럴 의사가 충분한지 파악하기 위해 회사는 어떤 방법을 썼는가?

•회사는 직원 교육의 효과를 어떻게 측정했는가?

 

기밀 보고와 조사

•회사는 보고 체계를 통해 어떤 방식으로 정보를 수집, 분석, 사용했는가?

•조사 결과는 회사 내 보고 라인의 어느 선까지 보고됐는가?

 

유인책과 징계 조치

•회사가 문제가 되는 유형의 부정행위와 관련해 기록한 직원의 징계 내용에는 무엇이 있는가? (: 징계 횟수와 유형)

•이런 징계와 유인책이 회사 전체에 걸쳐 공정하고 일관되게 실시됐는가?

 

지속적 개선, 주기적 테스트, 검토

 

•회사는 관련 통제 절차 테스트, 준법 관련 데이터 수집과 분석, 직원과 외부자 인터뷰 등 준법 감시 프로그램을 검토하고 감사했는가?

•경영진과 이사회에 정기적으로 보고된 감사 결과와 개선 방안은 무엇이었는가?

 

외부자 관리

•회사는 문제가 되는 외부자를 어떻게 감시해 왔는가?

•회사는 외부자의 준법과 윤리적 행동을 유도했는가? 

 

 

 

 

번역: 송채영 / 에디팅: 조영주

 

후이 천(Hui Chen)은 미 법무부에서 준법 감시 전문가로 일했으며, 전 세계 정부 규제당국과 기업에 준법 감시와 기업윤리 관련 컨설팅을 제공한다.

유진 솔티스(Eugene Soltes)는 하버드경영대학원의 경영 자쿠스키 패밀리 (Jakurski Family) 조교수이며, 기업의 부정행위를 주로 연구한다.

  • 아티클 다운로드
    (PDF)
    5,000원

    담기바로구매

  • 2018년 3-4월호
    25,000원
    22,500원

    구매하기

  • 디지털서비스
    1년 150,000원

    디지털서비스란

    신청하기

운영관리 다른 아티클

무료 열람 가능 아티클 수 0/1 회원가입 | 서비스상품안내