내부통제 미비 책임, 대표이사·임원·회사까지 어디까지 책임지나

#기업 형사리스크 #내부통제 #내부통제 구축 #내부통제 미비 #내부통제 미비 책임 #대표이사 책임 #미비 #이사 선관주의의무 #책임

내부통제 미비 책임’은 회사가 내부통제 시스템을 제대로 갖추지 않거나 운영하지 못해 횡령, 배임, 분식회계, 금융사고 등이 발생했을 때, 대표이사·임원·회사(법인)·실무자가 각각 어떤 법적 책임을 지는지를 말합니다.
이 글을 통해서 당신한테 내부통제 의무의 법적 근거, 실제 책임이 인정되는 기준, 판례 경향, 리스크를 줄이기 위한 실무적 대응 방법을 알려주겠습니다.

‘내부통제 미비 책임’ 개요

1. 내부통제란 무엇인가

  • 의미
    • 회사 재산의 보호
    • 회계 정보의 신뢰성 확보
    • 법령·내부규정 준수
    • 업무 수행의 효율성과 투명성 확보
  • 주요 구성요소
    • 규정·매뉴얼 (내부통제 규정, 업무분장 규정, 승인 절차 등)
    • 조직·기구 (내부감사부서, 준법지원인, 리스크관리위원회 등)
    • 시스템 (전산 통제, 결재 시스템, 접근권한 관리 등)
    • 모니터링 (내부감사, 리스크 점검, 정기 보고 등)

2. ‘내부통제 미비 책임’이 문제 되는 전형적 상황

법적 근거: 어떤 법에서 ‘내부통제 미비’를 문제 삼는가

1. 상법상 이사의 선관주의·충실의무

  • 근거 조항 (요지)
    • 이사는 회사의 이익을 위해 선량한 관리자의 주의의무를 다해야 함
    • 이사가 법령·정관을 위반하거나, 그 직무를 게을리하여 회사에 손해를 끼치면 회사에 대한 손해배상 책임
  • 내부통제와의 연결
    • 이사·대표이사는 회사 규모·업종·위험 수준에 맞는 내부통제 시스템을 구축·운영할 의무가 있다고 해석됨
    • 이를 게을리해 사고가 발생하면, “내부통제 미비”를 이유로 손해배상 책임 인정 가능

2. 자본시장법·금융관련 법령

  • 자본시장과 금융투자업에 관한 법률
    • 금융투자업자에게 내부통제기준 제정·준수 의무 부과
    • 대표이사, 준법감시인, 임직원의 의무 위반 시 제재형사처벌 가능
  • 금융관련 감독규정
    • 금융기관의 내부통제기준, 위험관리기준, 내부감사기준 등에 대한 구체적 규정
    • 금융감독원의 검사·제재 기준이 됨

3. 상장회사 관련 규제

  • 코스피·코스닥 상장규정
    • 상장회사는 내부회계관리제도를 구축하고 운영해야 함
    • 대표이사는 내부회계관리제도의 운영실태에 대한 확인서 제출
  • 외부감사법
    • 내부회계관리제도에 대한 감사 또는 검토 제도
    • 중대한 미비가 발견될 경우 감사의견 거절·한정, 공시, 제재 가능

4. 기타 관련 법령

  • 중대재해처벌법
    • 안전·보건 확보 의무를 이행하기 위한 조직, 예산, 점검체계 등 사실상 “안전 내부통제” 구축·운영 의무 부과
  • 개인정보보호법
    • 개인정보 처리에 필요한 관리적·기술적 보호조치 의무(접근권한 관리, 접속기록 관리 등)
  • 공정거래법, 하도급법, 노동관계법령
    • 반복적 위반 발생 시, 내부통제·준법시스템 부재·형식적 운영 여부가 책임 판단 요소로 고려됨

누가 어떤 책임을 지는가: 대표·임원·회사·실무자

1. 대표이사·이사(이사회)의 책임

  • 민사책임
    • 회사에 대한 손해배상 책임
      • 내부통제 미비로 인해 발생한 횡령·배임, 과징금, 제재, 손해배상액
    • 주주·채권자에 대한 파생소송의 대상이 될 수 있음
  • 형사책임
    • 특정 범죄(분식회계, 허위공시, 자본시장법 위반 등)에 대해
      • 내부통제 미비가 고의·방조·과실 인정의 근거로 사용
    • “알지 못했다”는 항변이
      • 내부통제 구축·운영 노력이 객관적으로 입증될 때에만 일부 인정되는 경향
  • 행정제재

2. 회사(법인) 자체의 책임

  • 형사책임 (양벌규정 등)
    • 임직원의 위법행위에 대해 회사가 상당한 주의·감독을 다하지 않았다면 법인도 함께 처벌
  • 민사책임
    • 피해자(투자자, 거래처, 고객, 근로자 등)에 대한 손해배상 책임
  • 행정제재

3. 실무 임직원의 책임

  • 형사책임
    • 직접 행위를 한 임직원(횡령, 배임, 분식, 리베이트 등)은 기본적으로 형사책임 부담
  • 민사책임
    • 회사에 대한 구상, 사용자의 선택·감독상 과실과의 관계에서 책임 분담
  • 인사상 책임
    • 징계, 해고, 보직변경, 성과급 회수(클로백) 등

내부통제 미비가 문제 되는 전형적인 패턴

1. 내부규정은 있지만 “종이 규정”에 그친 경우

  • 특징
    • 규정·매뉴얼은 있으나
      • 실제로는 교육·훈련이 거의 없음
      • 임직원이 내용을 제대로 알지 못함
      • 위반 시 제재도 유명무실
  • 리스크
    • 수사기관·감독당국에서 “실질적 내부통제 부재”로 평가
    • 대표이사·이사의 주의의무 위반 인정 가능성이 커짐

2. 결재·승인 절차가 형식적으로만 운영되는 경우

  • 예시
    • 대규모 지급·투자를 할 때
      • 실질 검토 없이 일괄 결재, “찍어내기 결재”
      • 리스크 검토 보고서 없이 구두 보고만으로 의사결정
  • 리스크
    • 사고 발생 시,
      • 실질적 심사·통제 기능이 작동하지 않았다”는 이유로 책임 확대

3. 반복적인 경고·징후를 무시한 경우

  • 특징
    • 내부 감사, 준법감시, 외부감사인, 직원 신고 등을 통해
      • 리스크가 여러 차례 지적되었음에도
      • 개선조치가 없거나 매우 미흡
  • 리스크
    • 대표·이사에 대해
      • “위험을 인식하고도 방치한 고의 또는 중대한 과실”로 평가될 가능성

대표이사·임원의 책임 인정 기준 (판례 경향 요약)

1. 대법원 등에서 보는 핵심 판단 요소

  • 회사의 규모·업종·위험도
  • 유사 사고의 과거 발생 여부
  • 사고 이전에
    • 내부감사·외부감사, 감독당국의 지적이 있었는지
  • 내부통제 제도가
    • 실제 작동했는지
    • 형식적인지
  • 대표이사·이사가
    • 리스크를 인식하고 있었는지
    • 인식 가능성이 있었는지
  • 대표이사·이사가
    • 구체적인 지시·감독·조치를 했는지

2. 책임이 인정되기 쉬운 경우

  • 대규모 사고가 장기간 반복되었고
  • 내부적으로 여러 차례 경고·보고·감사 지적이 있었으며
  • 그럼에도 구체적인 개선조치가 거의 없었던 경우
  • 대표이사가
    • 위험한 영업 관행을 사실상 묵인·조장한 정황이 있는 경우

3. 책임이 일부 제한되거나 부정되는 경우

  • 회사의 규모·업종에 비추어
    • 합리적인 수준의 내부통제 제도가 구축되어 있었고
  • 사고가
    • 극히 이례적·예측 곤란한 방식으로 발생한 경우
  • 사고 발생 전
    • 지속적인 교육·점검·감사가 이루어졌고
  • 사고 발생 후

내부통제 미비 책임 관련 주요 쟁점

1. “어디까지 통제해야 하는가?” – 내부통제 의무의 범위

  • 대표·이사가 모든 업무를 일일이 직접 확인할 의무는 없음
  • 다만 다음 수준은 요구됨
    • 회사 규모·업종에 맞는 기본적인 내부통제 구조 설계
    • 중요 리스크 영역에 대한 별도 통제 (예: 자금, 회계, 대규모 계약, 안전, 개인정보 등)
    • 정기적인 리스크 점검·보고 체계 마련
    • 중대한 이슈에 대해 이사회·대표이사의 관여 및 문서화

2. “몰랐다”는 항변의 한계

  • 대표이사가
    • 실무 세부 내용까지 알 필요는 없지만,
    • 알아야 할 구조를 만들어 두지 않았다면 책임 회피가 어려움
  • 수사기관·법원은 다음을 봅니다.
    • 사고 가능성을 인지할 만한 징후·보고·감사 지적이 있었는지
    • 그에 대한 대표·이사의 대응·지시·조치가 있었는지
    • 이를 뒷받침하는 문서·이메일·회의록이 존재하는지

3. 이사회와 감사·감사위원회의 역할

  • 이사회
    • 내부통제 기본 정책·규정 승인
    • 중요 리스크 관련 보고를 정기적으로 받고 심의
  • 감사·감사위원회
    • 내부통제의 실제 작동 여부 점검
    • 문제 발견 시 이사회·대표이사에게 시정 요구
  • 책임 분배
    • 이사회가 내부통제 구축을 소홀히 했거나
    • 감사가 반복된 문제를 방치했다면
      • 이사·감사의 공동책임이 논의될 수 있음

대표·임직원이 꼭 알아야 할 실무적 체크포인트

1. 내부통제 규정·시스템 점검 체크리스트

  • 내부통제 규정
    • 회사 규모·업종·최근 리스크에 맞게 최근 1~2년 내 개정이 있었는지
    • 실제 업무와 괴리가 큰 형식적인 규정이 아닌지
  • 조직·담당자
    • 내부감사, 준법지원(또는 법무·리스크관리) 기능이 실질적으로 존재하는지
    • 담당자 인원·역량이 업무량과 리스크에 비해 충분한지
  • 승인·결재 프로세스
    • 고액 자금집행, 대규모 계약, 고위험 거래에 대해
      • 다단계 승인리스크 검토 보고서가 있는지
  • 전산 시스템
    • 권한 분리(입력·승인 분리), 접속 기록, 이상 징후 알림 기능이 있는지
  • 모니터링
    • 내부감사 계획이 연 1회 이상 실질적으로 수행되는지
    • 감사 결과에 대한 개선조치 이행 여부를 추적하는지

2. 문서화의 중요성

  • 왜 중요한가
    • 향후 수사·소송에서
      • 대표·이사가 주의의무를 다했다는 가장 강력한 증거는 문서
  • 꼭 남겨야 할 문서 예시
    • 이사회·경영회의 회의록 (내부통제·리스크 논의 내용 포함)
    • 내부감사·준법감시 보고서 및 시정조치 결과
    • 외부감사인의 지적사항 및 대응계획
    • 내부규정 개정안, 교육자료, 교육 참석자 명단

3. 사고 발생 시 즉각 해야 할 조치

  • 1단계
    • 사실관계 파악
    • 관련 부서·직원의 긴급 인터뷰
    • 전산기록·이메일·문서 보존 조치(삭제 금지)
  • 2단계
    • 임시 통제 강화
    • 사고 관련 업무 프로세스 일시 중단 또는 제한
    • 추가 피해 확산 방지 조치
  • 3단계
    • 내부조사 및 외부 전문가 활용
  • 4단계
    • 감독당국·이해관계자 대응
    • 보고 의무가 있는 경우,
      • 사실관계와 개선계획을 정리해 신속·성실한 보고
    • 투자자·거래처·고객에 대한 커뮤니케이션 전략 마련

내부통제 미비 책임과 관련한 자주 나오는 비교 포인트

1. “내부통제 미비”와 “개인 일탈”의 구분

구분 내부통제 미비로 보는 경우 개인 일탈로 볼 여지가 큰 경우
사고 유형 장기간 반복, 금액·영향이 큼 단기간·일회성, 규모 제한적
사전 징후 감사·제보·지적이 반복되었음 사전 징후 거의 없음
규정·시스템 허술하거나 사실상 작동 안 함 규정·시스템은 비교적 충실
경영진 관여 묵인·조장 정황, 개선조치 부재 즉시 조치, 재발방지 대책 신속
책임 귀속 회사·경영진 책임 확대 주로 가해 임직원 개인 책임 중심
2. 금융회사 vs 일반 비상장회사 내부통제 의무 차이
항목 금융회사·상장사 일반 비상장회사
법령상 의무 내부통제기준, 내부회계관리제도 의무 명시 일반적 선관주의 의무 수준
감독·검사 금융감독원, 거래소의 정기 검사 특별한 경우 외에는 제한적
문서화 수준 세부 규정·보고·공시 의무 많음 회사 자율에 많이 맡겨짐
책임 판단 기준 규정 위반 여부가 직접적 기준 회사 규모·업종·관행 등 종합 고려
기업이 지금 당장 할 수 있는 실무적 개선 방안

1. 최소한의 내부통제 프레임 만들기

  • 다음 4가지만 우선 정비하는 것을 추천합니다.
    • (1) 자금·회계 통제 규정 (결재 한도, 이중 승인, 계좌 관리)
    • (2) 중요 계약·투자 의사결정 절차 (리스크 검토, 법무 검토)
    • (3) 내부신고(제보) 채널 (익명 제보 가능, 보복 금지 규정)
    • (4) 내부감사·점검 계획 (연 1회 이상 핵심 리스크 영역 점검)

2. 대표·임원 레벨에서 반드시 챙겨야 할 3가지

  • 정기 보고체계
    • 재무·법무·리스크·감사·안전·개인정보 등
      • 핵심 리스크 담당자가 정기적으로 보고하도록 구조화
  • 중대한 이슈의 직접 관여
    • 큰 금액·고위험 거래, 반복적 법 위반 이슈는
      • 반드시 대표·이사회 레벨에서 논의·결정, 회의록 남기기
  • 문화 조성
    • “실적만 보겠다”가 아니라
      • “규정·법 위반은 절대 용납하지 않는다”는 메시지를 반복적으로 전달

3. 실제 사건에서 유의할 실무 팁

  • 사고가 터졌을 때
    • 무조건 은폐하려 들면
      • 향후 수사·재판에서 고의·은폐 정황으로 매우 불리하게 작용
    • 초기 단계부터
      • 사실관계와 회사의 대응을 체계적으로 문서화해 두는 것이 중요
  • 임직원 조사 시
    • 감정적 추궁·협박은 금물
    • 진술을 날짜·시간·장소를 기재한 조사 메모로 남겨 두기
  • 외부감사인·감독당국과의 소통
    • 모호한 표현보다는
      • 사실관계와 개선계획을 구체적으로 설명하는 것이 신뢰도에 유리

자주 묻는 질문 (FAQ)

Q1. 내부통제 규정만 만들어 두면 대표이사 책임을 피할 수 있습니까?

  • 단순히 규정을 만들어 두는 것만으로는 부족합니다.
  • 교육·점검·감사·제재까지 실제로 작동하고 있다는 점이 중요합니다.
  • 수사기관·법원은 “규정이 실제로 운영되었는지”를 중점적으로 봅니다.

Q2. 중소기업도 내부통제 미비 책임이 문제됩니까?

  • 네, 회사 규모가 작다고 해서 책임이 면제되지는 않습니다.
  • 다만
    • 회사 규모·업종·인력 구조에 따라
      • 요구되는 내부통제 수준이 완화될 수는 있습니다.
  • 최소한
    • 자금·계약·세무·노무 등 핵심 영역에 대한
      • 기본적인 통제와 대표자의 관여는 필요합니다.

Q3. 대표이사가 모든 사고에 대해 형사책임을 지는 것은 아닙니까?

  • 모든 사고에 대해 형사책임이 자동으로 인정되지는 않습니다.
  • 그러나
    • 내부통제 미비가 명백하고
    • 사고 가능성에 대한 경고·징후를 알고도 방치한 정황이 있다면
      • 형사책임이 인정될 수 있습니다.
  • 반대로
    • 합리적인 내부통제 구축·운영 노력이 입증되면
      • 책임이 제한되거나 부정될 여지도 있습니다.

Q4. 이미 사고가 발생한 뒤에도 내부통제를 정비하는 것이 의미가 있습니까?

  • 의미가 매우 큽니다.
    • 재발방지 대책을 성실히 마련·이행한 경우
      • 감독당국·수사기관·법원이 양형(처벌 수위)을 정할 때 유리하게 작용할 수 있습니다.
    • 향후 비슷한 사고의 재발을 막는 실제 효과도 있습니다.
본 게시물은 일반적인 법률 정보를 안내하기 위한 것이며, 실제 법률 상담을 대체하지 않습니다. 여기에서 설명되는 내용은 통상적으로 알려진 법률 정보를 정리한 것으로, 개별 사건의 특성에 따라 달리 해석될 수 있습니다. 또한 법령, 시행령, 판례 등은 시간이 지나면서 변경될 수 있어 본 게시물의 일부 내용이 최신 법률과 다를 가능성도 있습니다. 구체적인 사건에 대한 법적 판단은 사실관계와 증빙자료에 따라 크게 달라질 수 있으므로, 반드시 관련 자료를 지참하시어 전문 변호사와 직접 상담하시기 바랍니다. 본 게시물의 내용을 기반으로 한 모든 행동 또는 결과에 대해 작성자는 법적 책임을 지지 않음을 알려드립니다.