최근 컴플라이언스 체계를 구축하면서 리스크 맵(Risk Map)을 작성하는 기업이 늘고 있습니다. 그러나 실제로 리스크 맵을 어떤 범위까지, 어떤 기준으로 작성해야 하는지에 대한 실무적 가이드라인이 부족한 경우가 많습니다. 다음의 가상 사례를 통해 기업 리스크 맵 작성 실무에서 발생하는 주요 쟁점을 분석하겠습니다.
IT 솔루션 개발업체 C사(매출 약 350억 원, 임직원 180명)는 2024년 초 자체 컴플라이언스 위원회를 신설하면서 전사 리스크 맵 작성 프로젝트를 시작했습니다. 컴플라이언스 담당 이사 D씨(48세)가 프로젝트를 총괄했으나, 3개월 뒤 내부감사에서 리스크 맵의 범위가 지나치게 좁고, 식별된 리스크에 대한 평가 기준이 불명확하다는 지적을 받았습니다. 이후 공정거래위원회 조사에서 하도급법 위반 사실이 적발되었는데, 해당 리스크는 맵에 아예 포함되어 있지 않았습니다.
리스크 식별 범위를 어디까지 설정해야 하는가
리스크 맵 작성의 첫 단계는 식별(Identification)입니다. C사의 경우, 리스크 맵이 정보보안과 개인정보보호 영역에 집중되어 있었고, 하도급법, 공정거래법, 산업안전보건법 등 사업 전반에 걸친 법적 리스크를 포괄하지 못했습니다.
실무에서는 다음의 영역을 최소한으로 포함해야 합니다.
- 규제 리스크: 업종별 인허가, 공정거래법, 하도급법, 개인정보보호법 등 해당 사업에 직접 적용되는 법령
- 계약 리스크: 주요 거래처 계약의 위약, 손해배상, 지식재산권 분쟁 등
- 노동 리스크: 근로기준법상 임금체불, 부당해고, 산업재해 관련 사항
- 재무 리스크: 세무조사, 분식회계, 자금세탁방지 등
- 평판 리스크: ESG 위반, 내부고발, 언론 보도 등
C사처럼 특정 영역에만 집중할 경우, 실제로 발생 빈도가 높은 리스크를 간과하게 됩니다. 상법 제393조에 따르면 이사회는 회사의 업무집행에 관한 중요사항을 결정할 권한이 있으므로, 리스크 맵의 범위 설정 자체가 이사회 의결 사항으로 다루어지는 것이 바람직합니다.
리스크 평가 기준의 객관성 확보 문제
리스크를 식별한 후에는 발생 가능성(Likelihood)과 영향도(Impact)를 기준으로 평가하는 것이 일반적입니다. C사의 내부감사에서 지적된 핵심 문제는 평가 기준이 모호했다는 점입니다.
예를 들어, C사는 발생 가능성을 '높음', '보통', '낮음' 3단계로만 구분했고, 각 단계에 대한 정의가 없었습니다. '높음'이 연 1회 이상 발생을 의미하는지, 아니면 발생 확률 50% 이상을 의미하는지 기준이 불분명했습니다.
실무적으로 권장되는 방식은 다음과 같습니다.
1. 정량적 기준 도입
발생 가능성은 과거 3~5년간의 실제 발생 건수, 동종 업계 제재 사례, 법령 개정 빈도 등 수치화할 수 있는 지표를 기반으로 설정합니다. 영향도는 예상 과징금 규모, 매출 대비 손실 비율, 형사처벌 가능성 여부 등을 기준으로 산정합니다.
2. 5단계 매트릭스 활용
3단계보다는 5단계(매우 낮음, 낮음, 보통, 높음, 매우 높음) 평가 체계가 리스크 간 우선순위 구분에 효과적입니다. 각 단계마다 구체적인 수치 기준(예: 영향도 '매우 높음' = 연간 매출의 5% 이상 손실 가능성)을 명시해야 합니다.
3. 교차 검증 절차
평가 결과의 객관성을 높이기 위해 해당 부서의 자체 평가와 컴플라이언스 부서 또는 외부 자문의 독립 평가를 병행하는 것이 필요합니다. 공정거래 자율준수 프로그램(CP) 운영 지침에서도 리스크 평가의 독립성을 강조하고 있습니다.
리스크 맵의 법적 효력과 컴플라이언스 감경 활용
리스크 맵은 그 자체로 법적 구속력을 갖는 문서는 아닙니다. 그러나 공정거래위원회의 공정거래 자율준수 프로그램(CP) 등급 평가에서 리스크 분석의 체계성은 중요한 평가 요소에 해당합니다. CP 운영 등급이 AA 이상인 경우 과징금 감경(최대 20%)이 적용될 수 있으며, 이때 리스크 맵의 구체성과 실효성이 핵심 판단 기준이 됩니다.
또한 중대재해처벌법 제4조에서 규정하는 안전보건 확보 의무와 관련하여, 경영책임자가 유해위험요인을 확인하고 개선하는 절차를 마련했는지가 형사책임 판단에 영향을 미칩니다. 리스크 맵에 산업안전 리스크가 구체적으로 식별되어 있고, 이에 대한 대응 조치가 문서화되어 있다면, 경영책임자의 주의의무 이행을 입증하는 유력한 자료가 됩니다.
C사의 경우, 하도급법 관련 리스크가 맵에 포함되지 않았기 때문에 공정위 조사 과정에서 CP 감경 주장이 받아들여지기 어려웠습니다. 리스크 식별 누락은 곧 컴플라이언스 체계의 실효성에 대한 의문으로 이어집니다.
핵심 정리: 리스크 맵은 단순한 내부 문서가 아니라, 과징금 감경, 형사책임 경감, 이사의 선관주의의무(상법 제382조의3) 이행 입증 등 다양한 법적 국면에서 실질적 기능을 수행하는 문서입니다.
실무적 조언: 실효성 있는 리스크 맵 운영을 위한 핵심 사항
C사 사례에서 드러난 문제점을 종합하면, 리스크 맵의 실효성은 작성 자체보다 운영 과정에서 결정됩니다. 다음의 사항을 유의할 필요가 있습니다.
- 연 1회 이상 정기 업데이트: 법령 개정, 사업 구조 변화, 신규 거래처 추가 등 환경 변화를 반영해야 합니다. 공정위 CP 평가에서도 연 1회 이상 리스크 재평가를 권장합니다.
- 부서별 리스크 오너(Owner) 지정: 각 리스크 항목에 대해 관리 책임자를 명확히 지정하고, 해당 책임자가 주기적으로 보고하는 체계를 갖추어야 합니다.
- 이사회 보고 체계 구축: 리스크 맵 작성 및 변경 사항은 이사회에 보고되어야 합니다. 이는 이사의 감시의무 이행과도 직결됩니다.
- 법령 변동 모니터링 시스템 연계: 적용 법령의 개정 동향을 실시간으로 추적하여 리스크 맵에 반영하는 프로세스가 필요합니다.
- 리스크 대응 조치의 문서화: 식별된 리스크에 대한 대응 계획과 실행 내역을 반드시 기록으로 남겨야 합니다. 대응 조치가 문서화되지 않으면, 유사시 컴플라이언스 체계의 실효성을 입증하기 어렵습니다.
리스크 맵은 기업의 법적 리스크를 선제적으로 관리하기 위한 핵심 도구입니다. 형식적으로 작성된 리스크 맵은 오히려 컴플라이언스 체계의 허점을 노출시키는 결과를 초래할 수 있으므로, 식별 범위의 포괄성, 평가 기준의 객관성, 정기적 업데이트라는 세 가지 원칙을 반드시 갖추어야 합니다.
