필자가 ‘컴플라이언스’를 처음 접한 것은 2010년쯤이다. 회사가 CP(Compliance Program)라고 불리는 공정거래 자율준수프로그램을 도입하면서 이 단어를 알게 됐다. 그리고 2012년에는 개정 상법에서 요구하는 준법지원인을 맡으면서 이 제도가 컴플라이언스 시스템인 것을 깨달았다.
컴플라이언스는 우리나라에서 유래된 것이 아니다. 그래서 한마디로 정의하기 어렵다. 각국의 컴플라이언스 정의도 다양하다. 우리나라에선 여러 가지 용어로 번역되지만 가장 많이 사용되는 것은 법령준수를 뜻하는 ‘준법(遵法)’이다. 하지만 컴플라이언스를 ‘준법’으로만 이해하면 다소 무리가 있다.
우선 법 위반만 아니면 뭐든지 해도 된다는 잘못된 인식을 심어 줄 수 있다. 그리고 어떤 사람은 법의 허점만을 노리고 아슬아슬한 외줄 타기를 하면서도 법에 위반되지 않는 것을 두고 컴플라이언스라고 말할 수 있다.
마지막으로 법이 아닌 윤리나 사회 규범에 어떻게 대처해야 할지 답이 나오지 않게 된다. 이런 이유로 컴플라이언스는 형식적 의미가 아닌 실질적 의미를 파악해야 한다.
다행히 국제표준화기구 ISO는 지난 4월 ISO 37301 국제표준을 발행하며 컴플라이언스를 ‘조직의 모든 컴플라이언스 의무의 충족’으로 깔끔하게 정의했다. 컴플라이언스 정의 안에 ‘컴플라이언스 의무’라는 용어가 나온다.
컴플라이언스 의무는 ▲조직이 의무적으로 준수해야 하는 것뿐 아니라, ▲자발적으로 준수하기로 선택한 것까지 포함하고 있다. 결국 조직이 따라야 할 대상을 현행 법령은 물론이고 기업윤리와 사회규범까지 확대한 것이다.
이런 정의는 진정한 컴플라이언스의 의미와 일치한다. 대체로 많은 조직은 직원들을 통해 자신들이 지켜야 할 컴플라이언스 의무들을 잘 알고 있고, 그 의무들을 지키려고 노력한다. 너무 단순하고 당연한 이야기다.
하지만 정작 현실에서는 많은 조직이 그들이 따라야 할 모든 컴플라이언스 의무를 충족하기가 결코 쉽지 않다. 개인이나 조직은 대체로 법과 규정을 존중하고 윤리적으로 행동하려고 노력하지만, 가끔은 알게 모르게 지켜야 할 컴플라이언스 의무들을 위반할 수 있기 때문이다. 만약 조직이 자신의 컴플라이언스 의무를 충족하지 않게 되면 가혹한 사회적 비난과 엄정한 법 집행의 리스크에 놓이게 된다.
ISO 37301은 지난 2014년에 발행된 ISO 19600을 대체하는 컴플라이언스 경영시스템이다. 기술위원회의 하나인 ISO/TC 309에서 새로운 넘버링을 부여하여 인증표준으로 개발했다. 이 표준은 모든 조직이 시스템적인 접근을 통해 효과적인 컴플라이언스 경영을 할 수 있도록 지침을 제시한다. 즉 조직이 따라야 할 베스트 프랙티스와 최첨단 프레임워크(틀)을 제공하고 있다.
이 표준은 그동안 컴플라이언스 경영시스템을 구축하지 못한 조직뿐만 아니라 자신들의 시스템을 한 단계 업그레이드시키려는 조직에 얼마든지 적용될 수 있다. 다시 말해 중소기업이든 대기업이든 적용 가능하다는 뜻이다.
특히 이 표준은 계획적이며 탄탄한 구조로 되어 있기 때문에 투명하고 비용 효율적인 접근을 통해 조직의 모든 컴플라이언스 의무들을 충족할 수 있게 도와준다. 많은 조직이 이 표준을 채택해 성실하게 운영한다면 컴플라이언스 리스크(Compliance Risk)를 보다 효과적으로 관리할 수 있다.
물론 이 표준을 실질적으로 운영하기는 만만치 않다. 특히 도입 초기에는 컴플라이언스 주관부서의 업무부담이 크고, 현업부서의 참여를 요청하는 데 어려움이 있을 수 있다. 하지만 제대로 된 컴플라이언스 경영이 이루어지기 위해서는 이런 불편은 감수해야 한다. 직원들이 불편함을 느끼는 정도가 되어야 실효성 있는 컴플라이언스가 구축되었다고 볼 수 있다.
각국의 여러 집행기관과 법원들은 기소 여부와 양형을 판단하면서 조직들이 컴플라이언스를 어떻게 관리하고 있는지 구체적으로 알고 싶어 한다. 그들은 조직이 컴플라이언스 시스템을 새롭게 개발하는 것보다는 이미 나와 있는 기준 중에서 어떤 것을 적용하고 있는지에 관심을 가질 것이다.
최근 ESG 경영 열풍이 불면서 G(Governance, 지배구조)의 핵심 요소인 컴플라이언스의 중요성이 강조되고 있다. 조직은 이러한 흐름 속에서 컴플라이언스 시스템을 구축하기 위한 시도를 할 것으로 보인다.
영어에 “Don’t reinvent the wheel(바퀴를 다시 발명하지 마라)”이라는 표현이 있듯이, 이제 굳이 새로운 컴플라이언스 시스템을 만들기 위해 시간을 낭비할 필요가 없어졌다. 전 세계 최고 전문가들이 이미 만들어 놓은 ISO 37301이 있기 때문이다. 그냥 새로 발행된 ISO 37301을 도입하면 된다.
그동안 가끔 부실 인증 논란이 있었지만, ISO 경영시스템 인증제도는 인류가 만들어서 쓰기 시작한 지 30년이 넘은 제도다. 아직도 존재한다는 것 자체가 검증을 통과했다는 의미다. 회사가 컴플라이언스 경영시스템을 도입하고 지속해서 운영하겠다는 의지를 보인다면 이해관계자들은 안심하고 회사를 신뢰할 것이다.
앞으로 이 국제표준을 따르지 않는 조직의 경영자들은 많은 이해관계자로부터 “조직이 컴플라이언스를 위해 어떤 다른 획기적인 방법을 채택하고 있는지?” 그 이유를 설명해 달라는 질문을 받게 될지 모른다. 이제 조직의 컴플라이언스는 ISO 37301로 굴러가게 하자.
