내부통제 기준, 기업 범죄·책임을 막는 최소 안전장치 완벽 정리 - 형사 전문 변호사, 형사 사건 형량 정보 사이트

‘내부통제 기준’은 회사가 법 위반·배임·횡령·분식회계·갑질·하도급 위반 등 각종 기업 범죄와 리스크를 예방하기 위해 정해 두는 업무 절차·점검·보고 체계에 관한 규칙을 말합니다.
이 글을 통해서 당신한테 내부통제 기준의 개념, 법적 근거, 필수 구성요소, 실제 사건에서 문제 되는 포인트, 실무적으로 어떻게 만들어·운영해야 하는지, 자주 묻는 질문을 알려주겠습니다.

1. ‘내부통제 기준’ 개요 – 왜 지금 중요한가

1-1. 내부통제 기준이란 무엇인가

정의(실무적 의미)

회사의 업무가

법령·정관·내규에 맞게 진행되고
회사와 주주의 이익에 반하지 않으며
부정·비리·실수를 조기에 발견·차단

하도록 하기 위해 마련한 규칙·절차·조직·점검 시스템 전체를 말합니다.

형식

‘내부통제 기준’, ‘컴플라이언스 규정’, ‘업무처리규정’, ‘윤리·준법규정’ 등 다양한 명칭으로 존재할 수 있으나,
핵심은 위법·부정·리스크를 예방·관리하기 위한 기준과 절차가 있느냐입니다.

1-2. 왜 기업 대표·임직원이 지금 신경 써야 하는가

최근 수사·재판·금융당국 제재에서 반복되는 메시지

“내부통제 기준을 제대로 만들고, 실제로 운영했는가?”

내부통제가 부실하면

대표이사·이사·감사 등 경영진 개인 책임이 무겁게 인정되는 추세입니다.

특히 다음과 같은 사건에서 내부통제 기준 부재·형식화가 핵심 쟁점이 됩니다.

횡령·배임, 분식회계, 리베이트, 뇌물·부정청탁, 정보유출, 개인정보보호 위반, 자금세탁, 금융상품 불완전판매, 하도급·공정거래 위반 등

2. 내부통제 기준의 법적 근거와 규제 환경

2-1. 주요 법령·규제(기업 유형별)

구분	관련 법령·규정	핵심 내용
상장·일반 회사	상법, 자본시장법, 공정거래법, 개인정보보호법 등	이사·대표의 선관주의 의무, 내부통제 시스템 구축 의무(간접), 위법행위 방지·감독 의무
금융회사(은행, 증권, 보험 등)	금융회사의 지배구조법, 자본시장법, 감독규정, 금융감독원 내부통제 모범규준 등	내부통제 기준 제정 의무 명시, 내부통제기준 미비 시 기관 제재·임원 해임권고 등
공공기관·공기업	공공기관 운영에 관한 법률, 부패방지법 등	부패방지·윤리경영, 공익신고, 내부통제·감사제도 구축 의무
대기업집단	공정거래법, 공시규정 등	내부거래·일감 몰아주기·지배구조 관련 내부통제 요구

2-2. 판례·실무 경향

이사·대표의 책임과 내부통제

법원은 다음을 기준으로 경영진 책임을 판단하는 경향이 있습니다.

회사 규모·업종에 맞는 내부통제 기준을 제정했는지
그 기준이 현실적으로 작동하도록 조직·인력·예산을 배치했는지
위법 징후가 있었을 때 적절한 조치(조사, 보고, 시정)를 했는지

금융권의 경우

내부통제 기준 미비·형식적 운영만으로도

기관경고, 과태료, 임원 문책경고, 해임권고 등 중징계 가능

3. ‘좋은’ 내부통제 기준의 핵심 요소

3-1. 최소한 담아야 할 기본 구조

내부통제 기준(또는 준법·컴플라이언스 규정)에는 보통 다음 내용이 포함됩니다.

목적·적용범위

내부통제의 목적
적용 대상(임직원, 자회사, 외부대리인 등)

조직과 책임

이사회, 대표이사, 각 본부장·팀장의 책임
준법감시인·감사(위원회)·내부감사부서의 역할

위험 분야별 통제 절차

회계·재무, 자금 집행, 계약·입찰, 인사·접대·선물, 정보보호, 개인정보, 공정거래, 하도급, 안전·환경 등

보고·승인 체계

일정 금액 이상의 거래·투자·지출에 대한 승인권자
위법·부정 의심 시 보고 절차(라인, 기한, 형식)

점검·교육

정기 내부점검(연 1회 이상 등)
임직원 교육(신규 입사자, 승진자, 전사 교육 등)

징계·제재

위반 시 징계 절차
외부 신고·수사 협조 방침

3-2. 업종·규모별로 달라져야 하는 부분

공통적으로 강화해야 할 분야

재무·회계 처리
자금 집행·법인카드 사용
계약·입찰·협력업체 선정
개인정보·영업비밀 보호

업종별로 중점 관리 영역

제조업: 산업안전, 환경규제, 하도급법, 산업기술유출
IT·플랫폼: 개인정보보호, 정보보안, 광고·약관 규제
금융업: 금융상품 판매 절차, 내부자 거래, 이해상충, 자금세탁방지
건설·조달: 입찰 담합, 리베이트, 하도급, 산업안전

4. 내부통제 기준이 필요한 대표적 위험 영역

4-1. 횡령·배임·리베이트 방지

취약 지점

자금 집행, 법인카드, 외주·용역 계약, 광고·마케팅 비용, 리베이트·접대

내부통제 포인트

일정 금액 이상 지출 시 2인 이상 승인 원칙
거래처 선정 시 입찰·평가 절차 문서화
법인카드 사용 규정(사용 목적·한도·증빙·정산 기한) 명시
접대·선물 수수 한도, 신고 의무

4-2. 회계·공시·세무 관련 리스크

주요 리스크

매출·비용 허위 계상, 매출 시점 조정, 비자금 조성, 허위 세금계산서

내부통제 포인트

회계정책(수익 인식 기준, 충당금 설정 등) 명문화
중요 회계추정·판단 사항에 대한 이사회 보고
외부감사인의 지적사항에 대한 시정 계획 수립·이행 관리
세무 신고·조사 대응 프로세스 마련

4-3. 공정거래·하도급·갑질 관련

주요 리스크

불공정 하도급 단가, 서면 미발급, 기술자료 요구·유출, 부당 반품·감액

내부통제 포인트

하도급 계약서 필수 기재사항 체크리스트
단가 결정·변경 절차, 협력업체 선정 기준
공정거래·하도급 교육(영업·구매 부서 필수)

4-4. 개인정보·정보보안

주요 리스크

무단 수집·제3자 제공, 보관 기간 초과, DB 유출, 계정 공유

내부통제 포인트

개인정보 처리방침·내부관리계획 수립
접근권한 최소화, 퇴사자 계정 즉시 회수
정기 보안 점검, 로그 관리, 외부 위탁사 관리

5. 실제 사건에서 쟁점이 되는 부분들

5-1. “문서로는 있는데, 실제로 안 지켰다” 문제

수사·재판에서 자주 나오는 지적

“내부통제 기준은 있었지만,

임직원 교육이 거의 없었고
위반 시 제재도 없었으며
위법 징후를 알고도 조치를 하지 않았다”

실무 팁

최소한 다음은 남겨 두는 것이 좋습니다.

연 1회 이상 전사 교육 이수 기록
정기 점검 결과 보고서 및 개선 조치 내역
징계·시정 조치 사례(익명화 가능)

5-2. “대표·이사가 몰랐다”는 항변의 한계

법원의 일반적 시각

일정 규모 이상 회사에서

내부통제 시스템을 구축·운영할 의무가 있고
이를 게을리하여 위법행위가 발생했다면

“몰랐다”는 사유만으로 책임 면제는 어려움

따라서,

사전 예방 조치(내부통제 기준 수립·운영)를 했는지가 중요합니다.

5-3. 내부통제 기준이 책임 감경에 도움이 되는 경우

다음과 같은 사정이 있으면

형사처벌·행정제재에서 감경 요소로 작용할 수 있습니다.

예시

업종·규모에 맞는 내부통제 기준을 제정
정기적인 교육·점검을 실제로 수행
위반 사실 인지 즉시 조사·징계·재발방지 대책 수립
외부 전문가(법률·회계·컴플라이언스) 자문을 통해 기준 보완

6. 내부통제 기준, 어떻게 만들고 운영할 것인가 (실무 체크리스트)

6-1. 단계별 구축 로드맵

1단계

리스크 진단

우리 회사의

업종·규모·조직 구조
최근 3~5년 내 이슈(세무조사, 민원, 분쟁, 감사 지적 등)

기준으로 주요 리스크 목록 작성

2단계

규정 체계 정비

아래 규정들을 정리·통합하거나 상호 정합성 확보

인사규정, 회계·자금 규정, 구매·계약 규정, 보안·개인정보 규정, 윤리·임직원 행동강령

그 상위 개념으로 ‘내부통제 기준’ 또는 ‘준법·컴플라이언스 규정’ 제정

3단계

조직과 책임 분담

회사 규모에 따라

준법 담당자(또는 준법감시인)
내부감사 담당자

최소 1인 이상 지정, 직무 명확화

4단계

실행 절차 구체화

실제 업무 흐름에 맞춘 체크리스트·결재선 설계

예: “1억 이상 계약은 본부장 + 대표 결재”
“신규 협력사 등록 시 3자 이상 평가”

5단계

교육·점검·개선

연간 계획 수립

교육(신규 + 정기)
점검(문서·표본 감사)
개선(규정 개정, 시스템 보완)

6-2. 실무에 바로 쓸 수 있는 체크 포인트

(1) 결재·보고 체계

결재선 기준

금액·위험도별로 승인 권한 구분
특수 거래(계열사, 특수관계인, 해외법인)는 별도 승인 절차

보고 의무

위법·부정 의심 시

누구에게, 언제까지, 어떤 형식(메일·문서)으로 보고할지 명시

내부신고(익명·비익명) 채널 운영 검토

(2) 자금·회계 관리

법인카드

사용 가능 항목, 1회·월 한도, 증빙 미제출 시 처리 방법

현금 지출

원칙적 금지, 부득이한 경우 사전 승인 + 증빙 첨부

회계 처리

매출 인식 시점, 재고·충당금 처리 기준 문서화

(3) 계약·협력업체

신규 협력업체 등록

최소한의 실사(사업자등록증, 납세증명, 신용도 등)

계약서 필수 조항

대금·지급 조건, 하자보수, 비밀유지, 개인정보, 하도급법 준수, 준법조항 등

(4) 인사·윤리·접대

임직원 행동강령

금품·향응 수수 금지
이해상충(가족회사 거래 등) 신고 의무

징계 기준

내부통제 기준 위반에 대한 구체적 징계 수준 가이드

7. 금융회사 등 규제가 강한 업종의 내부통제 기준 특징

7-1. 금융회사 내부통제 기준의 법정 요소(개략)

고객 보호

적합성·적정성 원칙, 설명 의무

이해상충 관리

자기매매, 내부자 거래, 고객 간 이해상충 방지

임직원 거래·윤리

임직원 자기계좌 거래, 미공개정보 이용 금지

리스크 관리

신용·시장·운영·법규 준수 리스크

내부통제 조직

이사회, 대표이사, 준법감시인, 감사(위원회)의 역할 분담

7-2. 일반 기업이 참고할 수 있는 포인트

고객 보호 관점 도입

B2C 기업: 광고·약관·환불·AS 관련 내부통제

이해상충 관리

임직원의 겸직·투자·가족회사 거래 신고·승인 제도

문서·기록 관리

중요 의사결정·심사 과정 기록 보존

8. 내부통제 기준, 형식이 아닌 ‘실제 방패’로 만드는 실무 팁

8-1. 너무 복잡하게 만들지 말 것

자주 하는 실수

규정을 너무 길고 복잡하게 만들어

아무도 안 읽고, 안 지키는 문서가 되는 경우

실무 팁

핵심은

“현장에서 실제로 지킬 수 있는 절차”

요약본·체크리스트·양식(템플릿)과 함께 운영하는 것이 좋습니다.

8-2. 교육은 “한 번 하고 끝”이 아니다

최소 권장

연 1회 전사 교육 + 고위험 부서(영업·구매·재무)는 추가 교육

실무 팁

실제 회사 사례(징계, 수사, 분쟁)를 적절히 익명화하여 교육에 활용하면 효과가 큽니다.

8-3. 외부 전문가 활용이 필요한 시점

다음과 같은 경우에는

법률·세무·컴플라이언스 전문가 자문이 도움이 됩니다.

예시

이미 수사·세무조사·공정위 조사 등이 시작된 상태
대규모 구조조정·M&A·해외 진출로 리스크 구조가 크게 바뀌는 경우
상장 준비, 금융업 인허가, 대기업집단 편입 등 규제가 크게 강화되는 시점

9. 자주 묻는 질문(FAQ)

Q1. 중소기업도 ‘내부통제 기준’을 꼭 별도로 만들어야 합니까?

법에 “내부통제 기준”이라는 제목의 규정을 반드시 두라고 한 것은 금융업 등 일부를 제외하면 많지 않습니다.
다만,

상법상 이사·대표의 선관주의 의무를 다했다는 점을 입증하고
향후 수사·소송에서 책임을 줄이기 위해서도

회사 규모와 업종에 맞는 내부통제 기준(또는 준법·윤리 규정)은 가능한 한 두는 것이 안전합니다.

Q2. 사규(인사규정, 회계규정 등)만 있으면 내부통제 기준이 있는 것으로 볼 수 있습니까?

부분적으로는 내부통제 기능을 할 수 있으나,

위법·부정·리스크 관리 관점에서 체계적으로 설계되지 않은 경우가 많습니다.

최소한

각 사규를 상위에서 통합·조정하는
‘내부통제 기준’ 또는 ‘준법·컴플라이언스 규정’을 하나 두고,
각 리스크 영역과 연결시켜 주는 것이 바람직합니다.

Q3. 내부통제 기준이 있으면 대표·임원이 형사책임을 피할 수 있습니까?

단순히 문서만 존재한다고 해서 책임이 면제되지는 않습니다.
다만,

업종·규모에 맞는 기준을 만들고
교육·점검·시정 조치를 실제로 해 왔다면

고의·과실 정도와 책임 범위를 줄이는 데 중요한 요소로 작용할 수 있습니다.

Q4. 내부통제 기준을 만들 때 꼭 포함해야 하는 최소 항목은 무엇입니까?

목적·적용범위
조직·책임(이사회·대표·임원·감사·담당자 역할)
결재·보고·승인 체계
주요 리스크 분야별 통제 절차(재무·자금·계약·인사·정보보호 등)
교육·점검·징계 절차

Q5. 이미 사건(세무조사, 검찰 수사 등)이 진행 중인데, 지금이라도 내부통제 기준을 정비하는 것이 의미가 있습니까?

이미 발생한 위법행위에 대한 책임을 없앨 수는 없습니다.
그러나

재발방지 대책, 조직문화 개선 노력으로 평가되어
제재 수위·형량·합의 등에 긍정적 요소로 고려될 수 있습니다.

또한 향후 유사 사건의 재발을 막는 실질적 효과도 있으므로, 늦었다고 생각될 때가 시작하기에 가장 적절한 시점인 경우가 많습니다.