CP Magazine Vol.70 ISO37001 study ⑦
Vol. 48 ISO 37001 Study ⑦
<출처: 국민권익위원회>
안녕하세요. 동아ST CP관리실입니다. 2018년의 마지막 달이 왔습니다. 한 해 마무리잘 하시길 바랍니다. 이번 호 CP Magazine에서는 지난 호에 이어 ISO 37001 study를 다뤄보겠습니다.
< ISO 37001 study ⑦ >
조직이 부패 방지를 위해 다양한 사업과 조치들을 실행했다면, 이에 대한 성과를 진단하고 보완해야 하는 사항 등에 대한 검토가 이루어져야 합니다.
[CHECK, 성과평가 단계] 9장은 부패 방지를 위해 조직이 실행한 각종 사업 및 조치들에 관한 성과를 판단하는 구체적인 사항을 제시하고 있습니다. 이번 호에서는 성과평가시 요구되는 ‘모니터링, 측정, 분석 및 평가’, ‘내부심사’, ‘경영검토’, 그리고 ‘부패방지 책임자 검토’ 등 각 항목의 세부내용에 대해 살펴보도록 하겠습니다.
[CHECK 9장. 성과평가]
①모니터링, 측정, 분석 및 평가
조직은 부패 방지를 위해 실행한 사업 및 조치들의 본격적인 평가에 앞서 다음과 같은 내용들을 먼저 결정해야 합니다.
② 내부심사
위 사항들에 대한 결정을 내린 후, 조직은 부패방지경영시스템이 조직의 자체 요구사항과 ISO 37001의 요구사항 모두를 잘 반영·준수하고 있는지와 효과적으로 실행 및 유지되고 있는지 여부를 주기적으로 심사해야 합니다.
√ 실행내용
조직은 다음과 같은 사항들을 바탕으로 내부심사를 실행해야 하며 실행내용 및 심사결과에 대한 내용은 모두 문서화된 정보로 보유해야 합니다.
√ 심사내용
심사는 리스크 기반의, 합리적이고 비례적인 방식으로 진행해야 하며, 아래의 사항을 평가합니다.
√ 심사수행 주체
조직은 심사 전 과정의 객관성과 공평성을 보장해야 하며, 이를 위해 다음 중 하나의 방법으로 심사원을 정합니다. 지정된 심사원은 자신의 업무영역을 제외한 영역을 심사합니다.
③ 경영검토
최고경영자는 부패방지경영시스템의 적절성과 효과성을 보장하기 위해 계획적인 주기에 따라 시스템을 검토해야 합니다.
이 과정에서 1)이전 경영 검토에 따라 조직이 취했던 조치, 2)관련 대내외적 이슈의 변화, 3)부패방지 성과 관련 정보, 4)취해진 조치의 효과성, 그리고 5)시스템의 지속적인 개선 기회 등의 요소를 검토해야 합니다. 검토 결과물은 개선 기회 및 시스템 변경 필요성 관련 내용을 포함해야 하고, 이를 요약하여 이사회(존재하는 경우)에 보고하고, 이는 모두 문서화된 정보로 보유되어야 합니다.
④ 부패방지 책임자 검토
부패방지 책임자는 조직의 부패방지경영시스템이 부패리스크를 효과적으로 관리하는데 충분한지, 실제 효과적으로 실행되고 있는지를 지속적으로 평가해야 합니다. 또한 부패방지 책임자는 이사회(존재하는 경우) 및 최고경영자 등에 조사 및 평가의 결과와 함께 시스템의 충족성에 대해 보고해야 합니다.
Tip. 보고 주기는 최소 연 1회를 실시할 것을 권장하며, 조직은 검토를 위해 제3의 조직의 도움을 받을 수 있습니다.
[ACT, 개선 단계]인 10장은 본 ISO 37001(부패방지경영시스템)의 마지막 장으로, 성과평가를 통해 진단한 부적합한 사항들을 조치하기 위한 대응가이드라인을 제시하고 있습니다.
[ACT 10장. 개선]
①부적합 및 시정 조치
조직은 지난 성과 평가 단계를 통해 수립한 부패방지경영시스템 중에 부적합한 사항이 발생할 시, 다음의 사항을 시행해야 합니다. 시정조치는 부적합 사항이 야기하는 영향력과 비례하게 추진되어야 합니다. 조직은 부적합 사항과 이에 대한 후속조치 및 시정조치 결과 내용 모두를 문서화된 정보를 보유해야 합니다.
*부적합 사항은 해당 부패방지경영시스템이 부패 리스크를 효과적으로 관리하기 위해 충분한지, 효과적으로 실행되고 있는지 등으로 판단합니다.
② 지속적인 개선
조직은 이후에도 부패방지경영시스템의 적절성, 충족성 및 효과성을 지속적으로 개선해야 합니다.
[ISO 37001 이행효과]
ISO 37001을 이행함으로써 조직이 얻는 실질적인 효과는 다음과 같습니다.
- 시스템 이행에도 불구하고 부패 사건이 발생하여 관계 당국의 조사를 받는 경우, 조직은 그동안 부패리스크 최소화를 위해 밟아왔던 적절한 절차와 단계에 대해 증명(증빙)할 수 있는 자료를 확보해둘 수 있습니다.
- 조직의 부패방지시스템이 효과적으로 이행되도록 도울 수 있으며, 조직이 보유하고 있는 기존의 통제조치를 강화할 수 있습니다.
- 조직에 대한 경영진과 오너, 투자자, 비즈니스 관계자와 정부, 고객, 시민사회 등 외부 이해관계자들의 신뢰를 제고할 수 있습니다.
- 부패 관련 문제 발생에 따른 유무형의 비용 손실을 예방하고 줄일 수 있습니다.
- 조직의 사업과 공급망 전체에 걸친 부패리스크를 효과적으로 파악하고 관리할 수 있습니다.
- 경영환경 내 컴플라이언스 측면에서 조직에게 경쟁우위를 가져다줄 수 있습니다.
- 반부패에 대한 조직의 의지를 대내외적으로 표명함으로써 윤리적인 조직이라는 평판과 명성을 확보할 수 있습니다.
[ISO 37001 인증리스크]
ISO 37001은 제3자 기관의 심사를 통해 인증을 받는 국제표준입니다. 그러나 ISO 37001 인증을 받았다고 해서, 해당 조직이 반부패 법규를 모두 준수한다거나 부패리스크가 없고, 향후 발생 가능성이 없음을 보증해주는 것은 결코 아닙니다. 그렇기에 인증 이후에도 반부패 관련 법규 준수 사항을 지속적으로 챙기며, 부패리스크에 효과적으로 대응하고 있음을 제3자에게 입증해야 하는 어려움이 남아있습니다.
만약, ISO 37001의 요구사항에 대한 충분한 이해 없이 인증을 받고 난 후, 부패 관련 사건·사고가 발생한다면, 이는 오히려 주주, 이해관계자와 감독 당국 및 사법부를 기만하는 행위로 비춰져 더 큰 위험성으로 연결될 수 있습니다.
조직은 인증 결과만으로 부패 관련 사건·사고 등에 대한 법적 면책이나 정상참작을 받기 어렵다는 사실을 반드시 인지해야 합니다. 따라서 ISO 37001의 인증을 반부패 경영의 ‘목표’ 혹은 ‘결과’가 아닌 ‘과정’으로 이해하고 접근해야 합니다. 이런 과정을 통해 조직은 부패방지경영시스템을 갖추고 지속적으로 개선 활동을 하고 있다는 점을 대내외 이해관계자들에게 알리고, 진정한 신뢰를 확보할 수 있을 것입니다.
