박만성 ㈜옥타솔루션 대표, 자금세탁방지 독립적 감사 필요한 핀테크

기존 금융회사(은행, 보험, 증권, 캐피탈, 저축은행 등) 및 특금법 (특정 금융거래 정보의 보고 및 이용에 관한 법률) 개정에 의해 2018년부터 자금세탁방지 의무 이행을 해야 하는 핀테크, 전자금융, 대부업, 가상자산 사업자 등은 모두 특금법 규정에 따라 규모, 업무 범위, 내부통제 수준 등 자금세탁 위험을 고려하여 ‘자금세탁방지 독립적인 감사’ 체계를 구축·운영하여야 하며 매년 독립적 감사를 통해 그 결과 및 조치 사항을 이사회에 보고하고 이와 관련된 모든 문서와 기록을 최소 5년간 보존해야 한다.

이러한 자금세탁방지 독립적 감사의 대상은 자금세탁방지 관련 업무를 수행하는 모든 임직원과 이들이 자금세탁방지업무 절차 상 수행하는 모든 행위와 문서이며, 수행 빈도나 수준은 각 금융 사업자의 자금세탁 위험에 따라 조정할 수 있으나 특금법에서는 최소 연 1회 전사적으로 실시하도록 되어 있다.

이에 따라 은행, 보험, 증권과 같은 기존 금융 사업자나 특금법에 의해 자금세탁방지 의무가 부여된 모든 사업자 들은 매년 자금세탁방지 독립적 감사를 반드시 수행해야 한다.

여기서 감사에 ‘독립적’이라는 수식어가 붙은 것은 자기 부서에서 주관하는 업무를 스스로 감사를 할 경우 발생할 수 있는 이해 상충을 피하기 위해, 자금세탁방지 업무 주관하는 부서와는 독립적인 타 부서가 수행하거나 외부 감사를 통해서 감사의 객관성을 확보하라는 의미이다.

자금세탁 관련 사고가 늘어 감에 따라 더욱 강력한 객관성을 확보하기 위해 자체 감사를 지양하고 외부 감사 서비스로 전환하는 경우가 크게 늘어 가는 추세이며, 전자금융, 핀테크 등 신규 자금세탁방지 의무 이행 사업자의 경우 ‘독립성’ 확보가 어려워 자금세탁방지 외부 감사를 이용할 수밖에 없으며 이로 인해 그 수요가 크게 늘어 가는 추세이다.

자금세탁방지 감사는 자금세탁방지제도의 이행수준과 효과 등을 전반적으로 점검하는 것이며, 자금세탁방지 업무 수행의 적절성, 효과성을 검토·평가하고 이에 따른 문제점 및 개선 사항을 도출하여 최종적으로 이사회에 감사 범위와 절차, 위반사항 및 사후조치, 개선 사항 등을 보고하는 것이다.

또한 이러한 감사 관련 행위와 조치 등은 해당 부서에서 상세히 기록하고 보관하여야 한다. 자금세탁방지 업무 감사를 수행하는 사람은 자금세탁방지 제도를 평가할 수 있는 자격을 갖춘 사람이어야 하며 ① 자금세탁방지 업무 규정 적합성 ② 내부통제 체계 효과성 및 정확성 ③ 고객 위험평가 체계의 합리성 ④ 의심(협의)거래 검출 시나리오 유효성과 관리 및 보고의 합리성 ⑤ 자료 보존·관리 및 보안 체계에 대해 검토 및 평가를 수행하여야 한다.

문제는 기존 금융 사업자들은 자금세탁방지 독립적 감사에 대해 잘 인지하고 있고, 어느 정도 이상의 조직적 체계를 갖추고 있어서 자금세탁방지 부서와 조직적으로 분리된 감사 부서 등에서 독립적으로 자금세탁방지 관련 감사를 수행하고 있으나, 핀테크, 전자금융, 가상자산사업자 등과 같은 신규 적용 업권 사업자들은 특금법에 의무 사항으로 규정하고 있음에도 불구하고 자금세탁방지 ‘독립적 감사’에 대해 인지 조차하고 있지 못하고 있는 실정이며, 인지하고 있다 하더라도 자체적으로 ‘독립적’ 감사를 실시하기 위한 조직적 편재가 안 되어 있거나 자금세탁방지 업무 수행 부서 외의 타 부서에서 자금세탁방지 감사를 수행할 전문성을 갖춘 인력을 확보하고 있지 않다.

실제로 자금세탁방지 신규 적용 업권의 대부분은 중소 규모의 사업자들로 조직의 규모나 체계 상으로 볼 때 조직적/업무적으로 분리된 독립된 감사 부서에서 자금세탁방지 관련 감사를 이행하기가 사실상 불가능한 상황이다.

이들 회사의 조직편재를 보면 법무팀, 감사팀과 자금세탁방지 팀이 한 조직으로 편재되어 있거나, 감사팀이나 법무팀 내에 자금세탁방지 팀이 소속되어 있는 경우가 허다하며, 더 규모가 작은 회사들은 한 두 명이 법무, 감사, 내부통제, 자금세탁방지를 겸하여 하고 있는 경우가 많다.

따라서 이들 사업자들은 특금법 상의 독립적 감사 의무를 충실히 이행하기 위해서는 외부 감사 서비스를 이용할 수밖에 없는 실정이다.

현재 자금세탁방지 감사 서비스 제공 업체들은 주로 대형 회계법인이나 대형 법무법인들이며 이들은 대상 사업자(피감 사업자)의 규모에 따라 차이가 있으나, 대략 수 천 만원 혹은 그 이상의 대금을 요구하고 있어서 중소규모 피감 금융 사업자들이 감당하기에는 어려운 금액이 아닐 수 없다.

자금세탁방지 감사를 수행하는 데에는 특정된 방법론은 없으나 대개의 경우 ① 해당 자료를 요청하여 사전 검토를 수행하고 그것에 기반하여 실사를 하는 방식 ② 위험기반 접근법(RBA)의 보고 지표를 분석하여 상대적 취약점을 도출하고 그 것을 중심으로 분석·평가하는 방식 ③ 정해진 감사 방법론에 의해 단계적으로 평가·분석하는 방식 (글로벌 컨설팅 업체가 주로 사용) ④ 전해 년도 감사 결과를 기반으로 검증을 통해 분석·평가하는 방식 중 하나 혹은 몇 개 방법론을 혼합하여 각 피감 회사의 자금세탁방지 관련 현황을 분석하고 미비점을 파악하여 이를 바탕으로 개선방향을 제시하게 된다.

이러한 수요에 부응하여 딜로이트, KPMG와 같은 회계 법인 컨설팅이나, 법무법인 율촌과 같은 기존 감사 서비스 제공 사업자들이 전문 인력 보강 등을 통해 사업을 강화하고 있으며, 그 외 법무법인 정세, 창천과 같은 법무법인들이나 일반 감사 서비스를 제공하는 사업자들이 ‘자금세탁방지 독립적 감사’ 서비스 상품을 출시하고 있으며, 수요 증가에 따라 서비스 제공 사업자도 점차 늘어가는 추세이며 수감 비용도 점차 하향될 것으로 전망되기는 하나 업계의 수요에 부응하는 수준과는 아직 상당한 차이가 있다.

우리나라는 2017년부터 금융감독원 주도로 레그테크(첨단 IT 기술을 이용하여 준법 대응 업무를 혁신하는 기술) 산업 발전·육성을 위해 노력하고 있으며 소기의 성과도 내고 있다. 자금세탁방지 감사 서비스 분야도 인공지능 기술을 활용하여 레그테크 기반 자금세탁방지 감사 도구(솔루션)와 방법론을 개발하여 간편하지만 체계적이고 효율적이면서 비용 효과적인 감사 서비스의 출현을 기대해 본다

[박만성 ㈜옥타솔루션 대표]