이 기사는 2025년 05월 14일 06시59분 thebell에 표출된 기사입니다

금융회사 등의 자금세탁(ML) 위험관리에 대한 평가는 내부통제 수준에 크게 좌우된다. 금융정보분석원(FIU)의 자금세탁 위험관리도 평가에서는 내부통제 체계 구축과 운영 등 관련 항목이 전체 배점의 절반 이상을 차지하고 있다. 3대 자금세탁방지제도 이행 여부보다도 중요도가 높다.

애초 위험관리도 평가의 무게중심은 고객확인과 위험식별, 보고 등 자금세탁방지 관련 관리의무사항에 있었다. 하지만 평가를 개선하며 무게추를 내부통제로 옮겼다. 내부통제가 미비한 상태에서는 자금세탁 위험에 대한 통제 실효성을 확보하기 어렵다는 판단이 작용한 것으로 보인다.

◇위험관리 평가 무게중심 고객확인 및 보고→내부통제

금융정보분석원의 2025년 상반기 자금세탁방지 제도이행평가 지표 정의서에 따르면 위험평가 위험관리도(운영위험) 평가지표는 크게 4개의 항목으로 구성됐다. 내부통제 체계 구축, 내부통제 운영, 고객확인, 고액현금거래보고제도(CRT) 및 의심거래보고제도(STR) 등이다.

위험관리도 평가는 점수제로 이뤄진다. 총점은 1000점이다. 이 중 555점이 자금세탁 관련 내부통제 항목에 배정됐다. 구체적으로 내부통제 체계 구축과 내부통제 운영의 각 배점은 275점, 280점이다. 이 외 고객확인에는 220점, CRT·STR 보고 항목에는 225점이 적용된다.

내부통제 관련 항목의 비중이 과반이 된 것은 제도이행평가가 전면적으로 개편된 2022년 이후다. 이전까지는 3대 자금세탁방지제도로 불리는 고객확인과 CRT·STR 보고 항목의 비중이 컸다. 2021년 7월 기준으론 전사통제정책과 내부통제 평가 항목 수는 모두 28개에 불과했다.


내부통제 외 항목의 수는 83개로 집계된다. 고객확인과 모니터링 및 보고관리 항목은 각 36개, 29개였다. 자금세탁 위험을 식별하고 고객 자금세탁과 신상품 등 자금세탁 위험을 평가하는 항목은 18개였다. 전체 평가 항목이 111개라는 점을 고려하면 당시의 평가 중점이 내부통제가 아니었음을 확인할 수 있다.

현재 내부통제 관련 평가 영역은 올해 상반기 평가 지표 정의서 기준 53개까지 확대됐다. 전체 평가 항목 87개의 60.9%에 해당한다. 자금세탁방지 전문가들은 기술적인 사항과 제도 이행 여부보다 회사의 근본적이고 실질적인 자금세탁방지 역량을 갖추기 위한 변화로 보고 있다.

◇자금세탁방지 교육에 최대점 배점…당국 제재 따라 감점도

위험관리도 평가의 내부통제 항목은 총 7개로 나뉘며 중요도에 따라 점수가 배정돼 있다. 세부적으로 내규마련 165점, 전담조직 110점, 이사회·경영진 보고 30점, 자금세탁방지 교육 100점, 독립적 감사 55점, 징계 및 포상 10점(가감점 추가), 취약점 점검 85점 등이다.

내부통제 7개 항목의 하위 평가 지표 역시 중요도에 따라 5~48점이 배정된다. 고배점 하위 평가 지표는 직원 교육 실적으로 48점이 배점됐다. 지속적인 임직원 교육은 국제자금세탁방지기구(FATF) 권고안에 따라 국내 특정금융정보법상 의무로 직접 규정하는 주요 사안이다.

금융정보분석원은 자금세탁방지 제도이행평가 제도를 통해 권고 교육시간 이수 여부 등을 확인하고 있다. 임직원의 자금세탁방지 책임성 강화를 위한 교육권고시간은 이사회 최소 6시간, 경영진 최소 6시간, 직원 평균 6시간으로 정했다. 의심거래 동향공유 협의체 등도 교육실적으로 인정된다.

자금세탁방지 전담인력 규모도 40점으로 핵심 지표다. 차순위 고배점은 30점으로 자금세탁방지 및 테러자금조달금지 전문가 양성 실적, 자금세탁방지 취약점 점검 실적, 고객확인 내규 마련 여부 등이다. 고객확인 내규 마련 여부 항목은 비대면 채널·지속적인 고객확인 내규 마련 여부 항목과 통합돼 지난해 20점에서 배점이 조정됐다.

정해진 배점 외 점수가 가감되는 항목도 있다. 징계 및 포상 항목으로 임직원 대내외포상 실적이 10점 배점됐다. 여기에 금융회사 징계 실적에 따라 최대 20점, 임직원 외부 징계실적과 감독당국 금융제재 부과 실적에 따라 각 최대 10점이 가감되는 것으로 확인된다.