기사
규제 준수 (컴플라이언스) 란 무엇인가요?
규제 준수는 정부, 기관, 무역 단체, 기타 기관에서 제시한 법률, 규정, 표준, 지침, 사양을 기업이 엄수하는 것을 말합니다. 일반적으로 규제 준수를 유도하는 규정은 어떤 대상(예: 직원, 소비자, 대중, 환경)을 보호하기 위해 구현됩니다. 규제 준수의 목표는 기업이 상호 교류하는 모든 사람이나 단체의 안전과 보안을 보장할 수 있게 허용 관행 범위 내에서 벗어나지 않도록 하는 것입니다.
규제 준수는 전 세계의 광범위한 기업과 산업에 적용됩니다. 거의 모든 기업이 몇 가지 규정은 반드시 준수해야 합니다. 산업 전반에서 대부분의 국가가 시행하는 가장 흔한 준수 규칙 중 하나로는 데이터 개인정보 보호가 있습니다.
미국의 규제 준수 (컴플라이언스)
미국에서는 직원, 대중, 기타 이해관계자를 과실과 사기로부터 보호하고자 많은 법률과 규정이 마련되어 있습니다. 여기에는 준수를 의무화하는 법률과 산업 표준이 포함됩니다. 다음은 규제 준수를 추진하는 주요 기관, 그룹, 명령입니다.
정부 기관:
- 연방 노동부의 시민권 센터(CRC)
- 직원 복리 후생 보안국(EBSA)
- 연방 노동부의 고용 훈련청(ETA)
- 미국 환경 보호청(EPA)
- 고용평등 기회위원회(EEOC)
- 미국 연방 금융기관 감독위원회(FFIEC)
- 연방 거래위원회(FTC)
- 식품의약국(FDA)
- 산업안전 보건청(OSHA)
- 중소기업청(SBA)
- 미국 해외자산통제국(OFAC)
- 미국 증권거래위원회(SEC)
- 연방 양형기준 위원회
규제 준수를 유지 관리하고 시행하는 비정부 기관
- 미국 기계 기술자 협회(ASME)
- 미국 금융산업 규제기구(FINRA)
- 지불 카드 산업(PCI) 보안 표준 협의회
- 상장회사 회계감독 위원회(PCAOB)
미국에서 규제 준수를 안내하는 표준
- 정보 기술에 대한 제어 목표(COBIT) 프레임워크
- 표준화 기구(ISO)
- 미 국립 표준기술 연구소(NIST) 표준
- 미국 국방부(DoD)
- 국제 사이버보안 성숙도 모델 인증(CMMC)
수만 개의 법률과 규정에는 조직에 대한 규제 준수 요구 사항이 규정되어 있습니다.
여러 주요 산업의 명령의 예는 다음과 같습니다.
시민권 관련 규제 준수 사례
고용 및 직장 관련 규제 준수 사례
- 동일임금법
- 공정 근로 기준법(FLSA)
- 가족 의료 휴직법(FMLA)
- 연방 근로자 보상법
- 군인 고용 및 재고용 권리법(USERRA)
- 근로자 조정 및 재훈련에 관한 통지법(WARN)
- 근로자 보상법
환경 관련 규제 준수 사례
- 원자력법(AEA)
- 해안환경평가 및 해안보건(BEACH)법
- 화학 안전 정보, 현장 보안, 연료 규제 완화법
- 청정대기법(CAA)
- 청정수법
- 유해물질 관리법
금융 관련 규제 준수 사례
- 도드-프랭크법
- 지불 카드 산업 데이터 보안 표준(PCI DSS)
- 사베인스-옥슬리법(SOX)
- 그램-리치-블라일리법(GLBA)
- 공정 신용 보고법
- 셔먼법
- 증권거래소법
- 증권법(1933)
- 은행비밀법(BSA)
의료 서비스 관련 규제 준수 사례
- 금품수수 금지법(AKBS)
- 응급의료 및 응급출산에 관한 법(EMTALA)
- 경제 및 임상 건강을 위한 의료정보기술(HITECH)법
- 건강보험 정보 이전 및 그 책임에 관한 법률(HIPAA)
- 산업 안전 보건법
- 환자안전 및 치료개선법(PSQIA)
개인정보 보호 및 데이터 보안 관련 규제 준수 사례
- 캘리포니아 소비자 개인정보 보호법 2018(CCPA)
- 콜로라도 프라이버시법
- 코네티컷 개인 데이터 프라이버시 및 온라인 모니터링법
- 연방 정보보안 관리법(FISMA)
- 메릴랜드 온라인 소비자 보호법
- 매사추세츠 데이터 프라이버시 보호법
- 뉴욕 개인정보 보호법
- 유타 소비자 개인정보 보호법
- 버지니아 소비자 데이터 보호법
EU의 규제 준수 (컴플라이언스) 및 기타 지역
규정은 국가와 지역에 따라 다르지만 대부분의 국가에서는 미국 규정과 유사한 법률을 제정했습니다. 다른 국가의 시민과 교류하는 기업은 해당 지역의 요구 사항을 반드시 준수해야 합니다.
유럽 연합(E.U.) 일반정보보호 규정(GDPR)은 특히 엄격한 사례입니다. GDPR은 기업의 위치와 관계없이 EU 시민으로부터 데이터를 수집하는 모든 기업에 적용됩니다. 이 규정은 또한 EU 국가에 거주하는 EU 외 시민에 관한 데이터에도 적용됩니다.
규제 준수 (컴플라이언스) 가 중요한 이유
더 많은 정부와 기타 단체가 기존 규칙을 개선하고 증가하는 위협을 해결하고자 새로운 규칙을 추가함에 따라 준수 요구 사항이 계속해서 늘어나고 있습니다. 이 중 대다수의 위협은 기술 발전으로 인해 발생합니다. 규제 준수에서 비롯된 프로세스와 전략을 통해 조직은 모든 해당 법률과 규정에 따라 운영하게 됩니다.
규제 준수에 따른 부가적인 효과는 기업이 운영 수준을 높이는 데 도움이 됩니다. 준수 요구 사항과 관련된 감사 보고서에서는 규칙을 준수하고 비즈니스 파트너의 복지를 보장하려는 기업의 의지가 나타납니다.
규제 준수는 확신을 높이고 신뢰를 쌓아 기업의 평판을 강화합니다.
준수 요구 사항은 또한 많은 부문에서 안전을 증진하고 위험을 줄입니다. 사람과 환경에 미칠 수 있는 산업별 위험에 대처하기 위해 만들어진 규칙은 실질적인 변화를 가져왔습니다. 직원, 소비자, 환경은 직장 내 사고, 부상, 사망의 가능성을 줄이고 유해한 제품이나 사기성 제품 및 관행으로부터 대중을 보호하는 보호 조치의 이점을 누립니다.
규제 준수는 기업 운영 허용이라는 맥락에서 보면 그 중요성을 쉽게 알 수 있습니다. 일부 요구 사항은 합법적인 운영을 위해서 꼭 마련되어 있어야 합니다. 규제 준수 요구 사항을 준수하지 않으면 기업은 벌금을 받거나 폐업해야 할 수 있습니다.
규제 준수 (컴플라이언스) 의 이점
기업은 규제 준수를 달성하고 입증할 때 많은 이점을 실현합니다. 다음은 단기 및 장기적인 시점에서 흔하게 인용되는 몇 가지 이점입니다.
불필요하고 많은 비용이 드는 법적 문제 방지
준수 프로그램을 구현하고 유지함으로써 기업은 미준수로 인해 비용과 시간을 소모해야 하는 법적 문제를 방지할 수 있습니다. 규제 준수 정책으로 인해 모든 필수 의무를 충족하도록 프레임워크가 구축되기 때문입니다.
운영 효율성 개선, 생산성 증가, 비용 절감
규제 준수로 인한 부가적인 효과가 가장 잘 입증된 부문은 운영 효율성입니다. 준수 달성을 위한 요구 사항을 충족하려면 견고하고 명확한 프로세스와 시스템을 구현해야 합니다. 이는 준수 요구 사항을 충족할 뿐만 아니라 절차와 프로세스를 간소화하여 운영 최적화, 생산성 증진, 비용 절감을 가능케 합니다.
복원력 개선 및 지속적인 비즈니스 운영 강화
규정을 준수하는 기업은 이미 규정 요건을 충족하기 위한 시스템을 마련해 두었기 때문에 변화하는 규정에 더욱 탄력적으로 대응합니다. 이에 따라 기업은 향후 변화에 대해 더 효과적으로 계획을 세울 수 있어, 지속적인 비즈니스 운영을 강화할 수 있습니다.
직원 생산성 및 유지 강화
규제 준수는 직장 안전과 형평성을 우선적으로 보장하고자 하기 때문에 직원 만족도가 높아지는 결과를 가져옵니다. 이에 따라 생산성이 향상되고 직원 이직률이 감소합니다.
시장 건전성 개선
규제 준수는 독점 문제, 즉 경쟁을 방해하여 비정상적인 시장 환경을 초래하는 문제를 없애기도 하는데, 이러한 이점이 간과되는 경향이 있습니다. 규제를 통해 공정한 관행이 유도되어 모든 기업은 성과를 거두고 혁신을 장려할 수 있는 기회가 생깁니다.
직장 내 형평성 및 안전성 증진
규제 준수에 따라 직장 내 차별과 괴롭힘을 근절하기 위한 규칙을 구현해야 합니다. 또한 준수는 엄격한 안전 기준과 프로토콜을 시행하여 사람과 인프라에 발생할 수 있는 사고와 손상을 방지해야 합니다. 이러한 방식으로 규제 준수를 통해 생산성, 효율성, 전반적인 만족도를 높이는 업무 환경을 조성할 수 있습니다.
긍정적인 평판
준수 의무를 따르면 해당 산업, 직원, 고객, 대중 전반에 걸쳐 기업의 신뢰도를 높일 수 있습니다. 준수를 입증하면 높은 전문적 및 윤리적 표준을 따르겠다는 의지를 보여줄 수 있기 때문입니다. 규제 준수를 유지 관리하는 기업에서는 브랜드 가치와 이해관계자의 신뢰를 높인 경우가 많습니다.
미준수에 따른 결과
규제 준수 의무를 충족하지 못하면 기업은 미준수에 따른 처벌(예: 제재, 벌금)을 받을 위험에 처하게 됩니다. 구체적인 처벌은 규정에 따라 다르며, 다음과 같은 다양한 범주가 있습니다. 다음 범주에서 위반으로 인해 발생할 수 있는 일을 간략하게 확인하세요.
금전적 처벌
규제 준수 의무를 충족하지 못하면 과중한 벌금이 부과될 수 있습니다. 그 예로 미국의 데이터 침해와 관련된 HIPAA 요구 사항에서는 벌금이 인시던트의 심각성에 따라 결정됩니다. 유럽 연합(EU)의 경우 GDPR에는 두 단계의 처벌이 있으며, 각 처벌은 규정을 따르지 못한 기업에 상당한 재정적 의무를 부과합니다.
조직 운영에 미치는 영향
준수를 위반하는 기업은 벌금 및 기타 처벌을 받게 되면서 생산성이 감소할 수 있습니다. 극단적인 경우 기업은 규정을 따르지 못한 대가로 계약, 라이선스, 권한을 잃을 수 있습니다.
그 예로 산업 규정인 PCI DSS(지불 카드 산업 데이터 보안 표준)는 회원들의 신용카드 결제 네트워크를 사용하지 못하도록 금지할 수 있습니다. 정부의 경우 FedRAMP(연방 위험 및 권한 부여 관리 프로그램) 및 CMMC(사이버보안 성숙도 모델 인증)가 있으며, 이에 따르면 기업이 규정을 준수하지 않는 경우 인증을 상실하고 운영을 할 수 없게 됩니다.
법적 책임
규제 준수 요구 사항을 충족하지 못해 개인이나 기업에 상당한 손해가 발생하는 경우 법적 책임이 따를 수 있습니다. HIPAA와 GDPR은 법적 책임의 심각성을 잘 보여주는 예입니다.
HIPAA에는 심각한 위반이나 사기에 대한 징역형을 포함하여 여러 단계의 처벌이 있습니다. GDPR을 위반하면 리더가 징역형에 처할 수도 있습니다. 방어를 위해 엄청난 법적 비용이 드는 것은 말할 것도 없습니다.
평판 손상
벌금도 문제지만, 규정을 준수하지 못해 브랜드와 평판이 훼손되는 것이 훨씬 더 큰 문제입니다.
준수 요구 사항을 충족하지 못해 인시던트가 발생하면(특히 법을 위반하는 경우) 대중의 용서를 받기 힘듭니다.
기업은 미준수 관련 문제로 인해 대중의 신뢰를 잃으면 시장 점유율과 수익을 잃을 위험이 있습니다.
규제 준수 (컴플라이언스) 정책
규제 준수 정책은 관련 의무를 충족하기 위한 프레임워크를 수립합니다. 프레임워크에서는 모든 준수 제어와 관련된 구현, 유지 관리, 보고를 위한 시스템, 프로세스, 절차에 대해서도 자세히 설명합니다.
규제 준수 정책에는 다음이 포함되어야 합니다.
- 준수와 관련된 모든 결정 및 조치를 지시하는 지침 원칙
- 준수를 보장하는 데 필요한 구체적인 시스템, 기능, 절차
- 감사 수행 기관에 관한 세부 정보
- 상태 모니터링 및 검토를 위한 역할 또는 기능 정의
- 규제 준수와 관련된 문서 및 커뮤니케이션 프로토콜
- 해당 준수 요구 사항에 관한 개요
세부 내용은 기업에 따라 다르지만 규제 준수 정책을 수립할 때는 다음 질문을 고려해야 합니다.
- 위험 감소, 커뮤니케이션 촉진, 이해관계자 교육을 위해 정책이 어떻게 사용되나요?
- 정책은 누구에게 어떤 자격으로 적용되나요?
- 정책 사용 방식에 예외나 제한이 있나요?
- 규제 준수가 조직에 미치는 영향은 무엇인가요?
- 기업 내 여러 팀(예: 법률, 감사, 재무) 간 준수 업무의 균형은 어떻게 맞출 수 있을까요?
- 정책이 다양한 팀과 위치 전반에서 준수를 어떻게 촉진할 수 있나요?
- 어떤 시스템이 준수를 모니터링, 관리, 보고하게 되나요?
- 정책이 직원 성과 평가를 비롯한 규제 준수의 가치를 측정하는 데 어떻게 도움이 될까요?
규제 준수 정책은 기업에서 구현하는 것이 중요합니다. 이러한 정책을 통해 직원, 파트너, 규제 기관과 함께 준수를 달성하는 방법에 대해 명확히 소통할 수 있기 때문입니다.
많은 경우, 규제 준수 요구 사항을 따라야 하는 당사자는 정책을 읽고 이해했음을 인정해야 합니다.
규제 준수 (컴플라이언스) 의 역할
규제 준수를 담당하는 직무를 만들면 기업이 엄격하고 복잡한 명령과 법률을 탐색하고 준수하는 데 도움이 됩니다. 준수 시행자는 기업 내 다른 직원들로부터 부당하게 비방을 받는 경향이 있으므로, 리더는 시행자가 중요한 역할을 수행하고 있음을 팀원에게 교육해야 합니다. 규제 준수 직원을 파트너로 배치하면 다른 직원들이 이들을 좀 더 긍정적인 측면에서 바라볼 수 있습니다.
규정이 증가함에 따라 여러 기업에서는 준수 책임자, 분석가, 전문가 등 규칙 준수 보장에 중점을 둔 직책을 만들었습니다.
규제 준수 관리 직무는 다음과 같은 여러 영역을 포괄합니다.
자문
규제 준수 직무는 시스템이나 프로세스에 필요한 수정 사항을 감독하고 조언함으로써 기업이 규칙과 규정을 준수하도록 지원합니다. 또한 문제가 발생했을 때 고문은 신속하고 효과적으로 해결될 수 있도록 지식과 전문 기술을 제공합니다. 준수 팀 구성원은 감사 문서를 준비하고 제공하는 것에 대해서도 조언합니다.
데이터 분류
규제 준수 직원이 담당하는 중요 업무는 데이터 거버넌스, 특히 분류를 지원하는 것입니다. 저장된 데이터를 정확하게 분류하면 준수 요구 사항을 더욱 쉽게 충족하고 감사를 한층 더 신속하고 원활하게 수행할 수 있습니다.
모니터링
규제 준수 팀은 기업이 새롭게 변경되는 규칙에 관해 항상 최신 정보를 파악하도록 지원합니다. 새로운 규정이 계속해서 발표되기 때문에 팀에서는 기업에 미치는 영향을 중점적으로 파악하여, 필요한 변경 사항이나 개정이 이루어지도록 조치를 취하는 것이 중요합니다.
예방
준수와 관련된 실수를 막으면 처벌은 물론 운영 중단도 방지할 수 있습니다. 규제 준수 팀에서 개발하고 실행하는 프로그램은 기업이 다양한 규칙을 준수하지 않아 발생하는 문제를 예방하고 전반적인 위험을 낮춥니다.
해결책
규제 준수 제어에서 유감스럽게도 위반이 발생하는 경우, 신속한 대응이 필요합니다. 적절한 시기에 문제를 처리하면 피해를 최소화하고 중단, 손해, 처벌을 완화할 수 있습니다.
책임
규제 준수에 집중하는 팀원을 두면 개인이나 팀에 책임감이 부여됩니다. 준수에 책임을 지면 개인이나 팀이 규칙 내용, 규칙이 기업에 미치는 영향에 대해 자세히 이해하는 데 필요한 시간을 가질 수 있습니다. 여기에는 다른 부서가 규제를 준수하도록 담당 역할을 하게 돕고 기존 규칙이나 새로운 규칙의 개정 사항에 관해 최신 정보를 파악하도록 하는 것이 포함됩니다.
규제 준수 (컴플라이언스) 모범 사례
기업은 규제 준수 요구 사항을 충족하려면 어떤 법률과 규정이 적용되는지 파악해야 합니다. 많은 규정이 광범위하게 영향을 미치기 때문에, 특히 미국 외부에서 비롯된 규정(예: GDPR)의 경우 기업은 책임에 대해 심층적으로 파악하고 있어야 합니다.
준수 요구 사항을 충족하는 방법을 평가할 때 다음 모범 사례를 고려해야 합니다.
준수 유지 관리, 보고, 감사를 지원하도록 관련 부서의 개인에게 역할을 할당합니다.
해당 명령 전반에 걸쳐 규제 준수에 대한 요구 사항을 결정하고 준수를 보장하는 계획을 세웁니다.
기업 전체에 준수 문화를 심을 수 있게 행동 강령을 개발하고 유지 관리합니다.
준수 유지 관리를 위한 명확한 지침과 함께 준수 프로세스를 문서화하여, 모든 규칙이 준수되고 기업이 감사에 대비할 수 있도록 합니다.
해당 규정을 식별하여 기업의 지리적 범위, 산업, 운영에 따라 조직에 적용되는 규칙을 결정합니다.
규제 준수 요구 사항의 변경 사항을 지속적으로 모니터링하여 기업에 적용될 수 있는 새로운 내용에 대해 알아봅니다.
정기적인 교육 일정을 제공하여 직원과 기타 관계자들이 요구 사항 및 준수 유지를 위한 최선의 방법에 대해 최신 정보를 알 수 있도록 합니다.
규제 준수 (컴플라이언스) 는 더 큰 공익을 추구합니다
규제 준수가 부담으로 여겨질 때도 있지만, 기업과 사회에 기여하는 공익은 큽니다. 전 세계적으로 요구 사항이 계속 확대되고 있어, 일정 수준의 표준화를 위해 이를 조정하고자 하는 노력이 뒤따르고 있습니다.
개인에게는 이러한 준수 요구 사항에 따른 결과가 좋은 영향을 가져다줍니다. 최소한의 공통 규제도 기업은 가장 엄격한 기준으로 준수해야 하기 때문입니다. 이에 따라 더 안전한 제품, 더 나은 환경 통제, 개인정보 보호 강화, 사기 방지 등 다양한 이점을 누릴 수 있습니다.
기업의 경우 규제 준수가 모든 사람에게 적용되는 일련의 일관된 규칙을 제공하므로, 규칙에 관한 한 공평한 경쟁의 장이 만들어집니다.
