이 글은 법무법인 임팩터스가 스타트업 법률 자문 경험을 바탕으로 작성했습니다. 
감사제도 운영규정이 회사 상황에 맞게 작동하도록 점검이 필요하시다면 편하게 문의해주세요.

➡️ 임팩터스에게 문의하기

금요일 저녁 7시, 익명 제보 메일이 도착했습니다.

"재무팀 OOO 매니저가 법인카드로 수천만 원 규모의 사적 지출을 해왔다"는 내용의 메일에는 첨부 파일로 거래 내역 스크린샷 12장이 붙어 있었습니다. 메일을 읽은 A 대표는 괴로운 얼굴로 머리를 감싸쥐었습니다.

이때 A 대표가 가장 먼저 해야 할 일은 무엇일까요? 당사자를 부르는 것일까요? 법무팀에 연락하는 것일까요? 모두 아닙니다. A대표가 가장 먼저 해야 할 일은 ‘우리 회사의 감사 규정을 꺼내 보는 것’입니다.

“문제가 생기면 그때 조사하면 되는 거 아닌가요?" 몇 달 전까지만 해도 "맞습니다, 다만…"으로 답변드렸겠지만, 요즘은 다릅니다. 투자자·파트너사·규제당국이 “사건이 터졌을 때 스스로 조사할 수 있는가”를 ‘팀 역량’으로 보기 시작했기 때문입니다.

"조사 절차가 없다"는 말은 어떤 상태를 말하는 건가요?

'조사 절차가 없다'는 건, 사건이 터졌을 때 누가 조사하고, 어떤 순서로 사실관계를 확인하며, 신고자는 어떻게 보호할지에 대한 공통 기준이 회사 안에 정리되어 있지 않은 상태를 말합니다. 규정 한 줄의 문제라기보다는, 의사결정의 뼈대 자체가 없는 쪽에 가깝습니다.

그래서 감사제도 운영규정은 단순히 '징계를 위한 문서'가 아닙니다. 문제를 어떻게 인지하고, 어떻게 조사하고, 어떻게 마무리할지에 대한 전체 프로세스를 정리하는 기준입니다. 이 기준이 없는 상태에서 문제가 생기면, 같은 사안이라도 담당자에 따라 처리가 달라지고, 신고자는 보호받지 못하며, 결과는 법적 분쟁으로 이어집니다.

감사 기준을 실무에서 작동하게 만들려면 규정에 꼭 담겨야 하는 여섯 가지 축이 있습니다. 먼저 전체 구조를 한눈에 보시고, 이어서 하나씩 풀어드리겠습니다.
 

1. 어떤 행위까지 '감사 대상'으로 봐야 하나요?

감사제도의 출발점은 "무엇을 조사할 것인가"를 명확히 하는 일입니다. 보통 횡령·부정 같은 전형적인 사안을 먼저 떠올리기 쉬운데, 실제 규정에서는 그보다 범위를 넓게 설계하는 것이 일반적입니다.

예를 들어 이런 유형을 포함할 수 있습니다.

• 금품 수수, 횡령 등 전형적인 부정행위
• 정보 유출, 개인정보 침해 등 보안 위반
• 직장 내 괴롭힘, 성희롱 등 조직문화 관련 이슈
• 부당한 지시, 불공정 인사 등 내부 통제 위반
• 기타 회사에 손해가 발생할 수 있는 행위

범위를 넓게 설정해두어야, 실제 사건이 발생했을 때 "이게 감사 대상인지 아닌지"를 두고 불필요한 논쟁이 생기지 않습니다. 감사 대상 정의는 법령 + 내부 규정 + 조직문화 기준을 함께 반영하는 것이 일반적입니다.

올해는 '개인정보 침해'도 감사 대상에 반드시 들어가 있어야 합니다

전체 매출의 10%. 지난 3월 10일 공포된 개인정보보호법 개정안(2026년 9월 11일 시행 예정)이, 침해 사고 발생 시 회사에 물릴 수 있는 과징금 상한입니다. 종전까지 "위반 행위 관련 매출의 3%"였던 기준이 전체 매출의 최대 10%까지 확대됐습니다.

같은 개정안에는 CPO(개인정보 보호책임자)의 지정·변경을 이사회 의결 사항으로 명문화하고, 침해 사고 시 CEO와 CPO의 최종 책임을 분명히 하는 조항까지 함께 들어갔습니다. 앞서 회사 밖에서 조사 능력을 확인하기 시작했다고 말씀드린 배경이 바로 이 지점입니다. 투자자·파트너사·규제당국은 "이 회사는 유사시 자체 조사가 가능한가"를 선제적으로 묻고 있습니다.

그러므로 감사 대상 정의에 개인정보 침해 사안이 명시적으로 포함되어 있는지를 한 번 더 점검해봐야 합니다. CPO 지정이 이사회 의결 사항이 된 이상, 개인정보 사고 시 내부조사 절차가 CPO·경영진의 책임 소명 구조와 맞물려 작동해야 하기 때문입니다.

실제로 개인정보 관련 과징금은 침해 사고 이전 단계 — 수집 동의 문구 같은 곳에서부터 갈리는 경우가 많습니다. 위반 사례로 보는 개인정보 수집 동의, 안전하게 받는 법에 관련 위반 사례와 동의 문구 예시를 정리해둔 글이 있으니 참고해보셔도 좋습니다. 

2. 신고 경로는 어디까지 열어두어야 할까요?

현장에서 보면, 대부분의 사건은 공식 절차가 아니라 비공식 제보나 우연한 인지에서 시작됩니다. 그래서 감사제도 운영규정에서는 사건 인지 경로를 유연하게 설계하는 것이 중요합니다.

일반적으로는 아래와 같은 방식을 모두 열어두는 편입니다.

• 내부 직원의 신고
• 외부 협력사·고객 등의 제보
• 감사 담당자의 직접 인지
• 비공식 제보(구두, 면담 등)

신고 방식도 이메일·서면·온라인 채널 등 다양한 형태를 허용하는 것이 바람직합니다. 채널을 제한적으로 운영하면, 초기 단계에서 사건 자체가 묻히는 경우가 많습니다. 묻힌 사건은 시간이 지날수록 외부로 흘러가고, 외부로 나간 사건은 회사가 통제할 수 없는 방식으로 터집니다.

3. 조사 절차에는 '누가, 언제, 어떻게'가 모두 들어가야 하나요?

네, 이 세 가지가 감사제도의 실질적인 핵심입니다. 규정에는 아래의 흐름이 들어가는 것이 일반적입니다.

• 사건 인지 후 담당자 지정
• 조사 개시 및 진행 방식
• 피해자·신고자 보호 조치
• 조사 과정에서의 비밀 유지
• 조사 개시 여부 및 결과 통지

특히 직장 내 괴롭힘이나 성희롱 사안에서는 조사와 동시에 업무 분리·근무환경 조정 같은 보호조치가 병행되도록 설계하는 것이 중요합니다. 익명 신고의 처리 기준, 조사 범위 설정 기준도 함께 정리해두어야 실무에서 판단의 기준이 됩니다.

조사 절차가 없으면, 같은 사건이라도 담당자에 따라 결론이 달라집니다. 이 불일치 자체가 나중에 "절차적 정당성이 없었다"는 주장의 근거가 되기도 합니다.

실제로 해고 이후 조사 절차 문제로 다시 다툼이 벌어진 사례는 임팩터스 자문 현장에서도 꾸준히 반복되고 있습니다. 관련 사례를 정리해둔 글이 있으니 참고해보셔도 좋습니다. 해고까지 했는데… 왜 '조사' 때문에 다시 싸우게 될까요? 

4. 조사 이후의 의사결정 기준도 규정에 넣어야 하나요?

네, 조사만 하고 끝나는 경우는 거의 없습니다. 조사 결과를 바탕으로 어떤 후속 조치를 할지에 대한 기준도 함께 포함해두어야 합니다.

보통 아래의 흐름을 고려합니다.

• 감사보고서 작성 및 보고 체계
• 인사위원회 또는 징계위원회 회부 기준
• 징계 여부 및 수준 판단 요소
• 필요 시 민·형사 조치 여부 검토

유사 사건의 재발 방지를 위한 조직 차원의 개선 조치까지 연결되는 구조로 설계하는 것이 일반적입니다. 징계 기준은 "일괄 규정"보다, 행위의 정도·고의·과실·결과를 종합적으로 고려하는 구조가 많이 사용됩니다. 이 판단 구조가 규정 안에 미리 들어가 있어야, 사후 징계의 일관성과 정당성이 동시에 확보됩니다.

5. 신고자 보호 조항이 없으면 어떤 문제가 생기나요?

감사제도가 제대로 작동하려면, 신고자가 안전하다는 신뢰가 먼저 있어야 합니다. 그래서 규정에는 아래 조항이 들어가는 것이 일반적입니다.

• 신고자 및 피해자의 비밀 보호
• 보복 인사·불이익 조치 금지
• 조사 협조자에 대한 보호
• 사건 종료 이후 일정 기간 모니터링

실제 규정에서도 사건이 종결된 이후 일정 기간 동안 보복 행위나 2차 피해가 발생하지 않는지 확인하는 구조를 두는 경우가 많습니다. 신고자 보호 조항이 빠져 있으면, 내부 제보 자체가 사라집니다. 제보가 사라진 조직은 사건을 더 늦게 인지하고, 더 크게 감당하게 됩니다.
 

6. 손해배상 기준까지 규정에 연결해도 되나요?

네, 일부 회사는 감사제도를 단순 조사 절차를 넘어 손해배상 판단 기준까지 연결해 설계합니다. 예를 들어 아래의 요소를 포함할 수 있습니다.

• 손해의 유형(직접 손해, 간접 손해 등)
• 위법성 및 고의·과실 판단 기준
• 손해액 산정 방식
• 여러 관련자 간 책임 분배 기준
• 배상 방식(일시 지급, 분할 지급 등)

이 구조가 있으면 조사 결과가 실제 책임 판단으로 이어집니다. 다만 손해배상 기준은 과도하게 엄격하게 설정하기보다는, 법적 분쟁 시 방어 가능한 수준으로 설계하는 것이 중요합니다. 지나치게 엄격한 내부 기준은 나중에 회사를 오히려 제약하는 조항이 될 수 있습니다.

금요일 저녁, 가장 먼저 이 규정을 열어보길

다시 처음 장면으로 돌아가 보겠습니다.

재무팀 매니저의 법인카드 사적 지출을 알리는 익명 제보 메일이 금요일 저녁 7시에 도착했을 때, 손을 뻗어볼 규정이 준비되어 있는 회사와 그렇지 않은 회사는 주말동안 벌어질 일이 완전히 달라집니다.

• 규정이 있는 회사는 월요일 오전까지 조사 담당자를 지정하고, 신고자 보호 조치를 가동하고, 당사자 면담 절차까지 정해둘 수 있습니다.
• 규정이 없는 회사는 주말 내내 "누구에게 먼저 전화해야 하나"부터 붙잡고 있어야 합니다. 그 사이에 증거는 사라지고, 제보자는 불안해지고, 당사자는 방어 태세에 들어갑니다.

같은 제보에서 시작했지만, 월요일 아침의 풍경은 이미 회복하기 어려운 간격이 벌어져 있습니다.

감사제도 운영규정은 문제가 생겼을 때가 아니라, 문제가 생기기 전에 준비되어 있어야 비로소 작동하는 문서입니다. 지금 회사에 감사제도 운영규정이 있으신지, 있다면 오늘 정리해드린 여섯 가지 축이 최소한의 수준에서 모두 들어가 있는지 확인해보시길 권해드립니다.

🔖  이어서 읽으면 좋은 글

• 직장 내 괴롭힘 대응, 이렇게 준비하면 됩니다 — 감사제도가 실제로 작동해야 하는 가장 빈번한 현장. 조사·보호·징계 구조가 어떻게 맞물려야 하는지 구체적으로 정리했습니다.
• 2025년 7월 개정 상법, 우리 회사도 이사회 규정을 바꿔야 할까? — CPO 지정이 이사회 의결 사항이 된 흐름과 함께 읽기 좋은 글. 이사회 규정 자체를 어디까지 정비해야 하는지.

이 글은 법무법인 임팩터스가 스타트업 법률 자문 경험을 바탕으로 작성했습니다. 
감사제도 운영규정이 회사 상황에 맞게 작동하도록 점검이 필요하시다면 편하게 문의해주세요.

➡️ 임팩터스에게 문의하기