금융회사의 지배구조에 관한 법률에서의 내부통제- 바젤은행감독위원회의 은행지배구조지침과의 비교를 중심으로 - (Internal Control of Financial Companies - A Comparative Study on the BCBS' Corporate Governance Principles for Banks -)

내부통제는 1991년 미국이 연방양형지침을 제정하면서부터 이사의 책임과 관련하여 법적인 의미를 갖게 되었으며, 이는 1996년 회사에 손해가 발생하였을 때 이사의 감시의무의 해태로 인한 손해배상책임까지도 경감시키는 것으로 확대되었다. 우리나라의 내부통제제도는 2000년대 초반에 금융관계법에 내부통제기준 및 준법감시인에 대한 사항이 입법되었던 것을 시초로 한다.
내부통제의 개념에 대하여 현행 금융회사의 지배구조에 관한 법률에서는 ‘법령을 준수하고 경영을 건전하게 하며, 주주 및 이해관계자 등을 보호하기 위하여 금융회사의 임직원이 직무를 수행할 때 준수하여야 할 기준 및 절차’를 내부통제기준으로 규정하고 있다. 즉 내부통제는 회사가 경영상의 각종 위험을 스스로 관리하기 위한 내부관리를 의미하며, 그러한 내부관리에는 법규위반의 위험을 관리하기 위한 준법감시, 금융거래상의 위험을 관리하기 위한 위험관리, 내부 회계를 관리하기 위한 내부(회계)감사가 포함된다. 현행 금융사지배구조법에 의한 내부통제에 관한 규정들의 취지에 따른 내부통제체계를 수립하여 운영하고 있다면 이사의 회사 또는 제3자에 대한 손해배상책임이 문제되는 경우에 이사의 선관주의의무위반이 인정되지 않도록 하는 하나의 근거가 될 수 있다. 그러나 현행법의 내부통제 관련 규정은 내부통제에 대한 이사회의 감독권한 강화라는 측면에서 바젤은행감독위원회의 은행지배구조지침에 비하여 다소 미흡한 부분이 있다고 여겨지며 또한 내부통제를 담당하는 기구들인 준법감시인 및 위험관리책임자 등의 지위에 혼란스러운 부분이 있으므로 다음과 같은 개선이 필요하다고 생각된다.
첫째, 내부통제의 최종적인 책임자는 이사회이며, 이사회에서 결정한 내부통제 관련 기본정책을 집행할 책임은 대표이사에게 있음을 명시적으로 규정할 필요가 있다.
둘째, 내부통제위원회에 대한 규정을 시행령이 아닌 법률의 형식으로 규정할 필요가 있다.
셋째, 내부회계관리자를 준법감시인 및 위험관리책임자의 경우와 동일하게 이사회에서 사내이사 또는 (주요)업무집행책임자 중에서 선임하도록 개정하는 것이 법령의 통일적인 적용을 위해서는 바람직하다고 생각된다. 나아가 현재 업무집행책임자 중에서 선임하도록 되어 있는 준법감시인의 경우에도 위험관리책임자와의 관계를 고려하여 주요업무집행책임자 중에서 선임하도록 하는 것 또한 검토하여야 할 필요가 있다.
넷째, 내부통제 담당자들과 이사회 또는 이사회내 위원회와의 관계를 명확히 정리하는 것이 필요하며, 궁극적으로는 이들이 사내이사 중에서 임명되도록 하는 것도 하나의 대안이 될 수 있을 것이라고 생각된다.
다섯째, 내부통제 및 위험관리에 관한 감사위원회와 위험관리위원회의 역할을 보다 적극적으로 규정하고 이에 맞추어 선관주의의무를 부담하도록 정리하는 것이 필요하다.

Internal control had a legal meaning in relation to the responsibility of the directors since the U.S. established the Federal Sentencing Guidelines in 1991, this measure was extended to mitigate the liability for damages caused by the negligence of the directors’ monitoring obligations when the company suffered losses in 1996. Korea’s internal control system was the beginning of the early 2000s when matters concerning internal control standards and compliance managers were enacted under financial acts.
The concept of internal control is generally defined as a procedure that is influenced by the Board of Directors, management and other executives of the Company and designed to provide reasonable assurance in meeting the goals of the Company's management, financial reporting and compliance, the current ‘Act on Corporate Governance of Financial Companies’ stipulates ‘the standards and procedures that financial company executives and employees must follow when performing their duties in order to comply with the law, to ensure sound management and to protect shareholders and stakeholders’. In other words, internal control means internal management for the company to manage management risks on its own, and such internal management includes compliance monitoring to manage risks for legal breaches, risk management for financial transactions and internal accounting. The regulations concerning internal control of the current law are considered to be somewhat inadequate in comparison to the BCBS' 'Corporate governance principles for banks' in terms of strengthening the board's oversight on internal control, also since there is confusion in the status of compliance officers and risk management officers of the companies responsible for internal control, the following improvement is necessary.
First, it is necessary to explicitly state that the ultimate responsibility for internal control is the Board of Directors and that the Chief Executive Officer is responsible for implementing the basic policies concerning internal control as determined by the Board of Directors.
Second, it is necessary to define the provisions of the Internal Control Committee in the form of a law, not an enforcement decree.
Third, it is deemed desirable for a unified application of the Act to be made by the Board of Directors to appoint an internal accounting officer from among the in-house directors or (major) operating officers, the same as the compliance officer and the risk management officer. Furthermore, it is also necessary to consider appointing a compliance officer among the major operating officers, considering their relationship with the risk management officer.
Fourth, it is necessary to clarify the relationship between internal control personnel and the Board of Directors or the committees within the Board, and I believe that ultimately it may be an alternative for them to be appointed among the executive directors.
Fifth, the roles of the Audit Committee and the Risk Management Committee on Internal Control and Risk Management need to be more actively defined and aligned to be organized to assume a duty of care.