ISO 37001 구축 및 운영 프로세스

ISO 37001 인증 취득을 위한 활동은, 원칙적으로 뇌물방지를 위한 컴플라이언스 프로그램을 구축하여 실질적으로 운영하는 것이다. 따라서 기존에 공정거래CP(Compliance Program)를 구축, 운영하는 회사의 경우에는 상대적으로 수월하다. 다만, 국내에서 등급평가를 위한 활동과 국제표준과는 차이가 있고, 특히 뇌물방지라는 특성에서 오는 차이가 있기 때문에 ISO 37001에 대한 전문가의 지원이 필요하다. 일반적인 구축 및 운영 프로세스는 다음과 같다. (참고로 ISO 37001은 Anti-Bribery Management System인데, 국내에서는 ‘반부패’경영시스템으로 번역하고 있어, 여기서도 두 용어를 혼용하기로 한다)

1. 현황 및 갭 분석

가장 먼저 당해 조직이 처한 상황을 제대로 이해하는 것이 필요하다. 조직상황의 이해를 위한 목록이 4장 1절에 나열되어 있다. 일반적으로 신설 조직이 아닌 이상, 그 동안의 경험으로 뇌물과 관련된 자신의 활동이 무엇인지, 어떤 이해관계자가 뇌물 제공을 요구하거나 혹은 뇌물제공의 대상이 되는지 잘 알고 있을 가능성이 있다. 다만 국가에 따라 또는 최근 법령의 개정으로 뇌물제공행위의 범위가 달라질 수 있다는 점은 주의하여야 한다.

갭분석은 ISO 37001의 요구수준과 당해 조직의 수준과의 간극에 대한 분석이다. 설문조사 혹은 담당자 인터뷰 등을 통해 분석이 이루어지는데, 좀 더 상세하게 분석하기 위해서는 관련 자료 및 활동에 대한 체크리스트가 잘 준비되어 있을 필요가 있다. 뇌물방지 경영시스템의 구축 과정에서 약간의 오차 정도는 조정이 가능하기 때문에, 준비가 철저할 경우에는 갭 분석에 오랜기간이 필요하지 않다.

2. 부패 위험 평가(RA: Risk Assessment)

조직의 상황을 전제로 부패 위험 평가를 실시하여야 한다. 이미 어느 정도는 알고 있겠지만, 이를 체계적으로 분석하여 자료로 남겨두는 것이 필요하다. ISO 37001에서 자료에 대한 요구를 강하게 하지는 않지만, 자료가 작성되어 있어야 그 후 이를 기초로 지속적인 개선활동이 수월하기 때문이다. 부패 위험 평가는 일반적인 RA 기법을 활용한다.

3. ABMS(Anti-Bribery Management System)전략 수립

반부패경영시스템은 평가된 위험에 비례하여 합리적으로 설정되어야 한다. 가장 먼저 전담부서와 그 책임자를 결정하는 것이 바람직하다. 부패방지 준수 책임자가 되기에 적합한 적격자를 선임하고 이 책임자로 하여금 ABMS 구축 초기부터 관련 업무를 담당하도록 하여야 한다.

책임자와 담당부서가 정해지면, 당해 조직에 적합한 ABMS의 구축을 위한 전략을 수립하여야 한다. 이 전략은 최고경영자 및 이사회의 승인을 얻어 실행되어야 한다. ABMS가 조직의 일부 기능에 국한되는 것이 아니라, 조직의 모든 활동에서 기준이 되어야 하는 것이고, 기업문화로서 존재하여야 할 필요가 있다.

4. ABMS절차 개발

구체적인 절차는 컴플라이언스 프로그램의 일반적인 구축 방법에 따른다. Plan-Do-See의 흐름에 따라 부패방지를 위해 지켜야 할 각종 규정 및 절차를 작성하고, 적절한 교육 및 훈련을 실시하며, 규정에 따라 제대로 수행되는지 모니터링과 감사를 실시하고 그 결과를 분석하여 개선활동으로 이어지게 하는 절차이다.

5. ABMS운용 계획 수립 및 수행

개발된 절차에 따라 실제 운용하기 위한 계획을 수립하고 이를 실행에 옮겨야 한다. ABMS가 실제 부패방지를 위해 효과적인지, 어디에서 개선점이 있는지를 확인하여 지속적으로 개선해 나갈 필요가 있다.

ISO 37001(반부패경영시스템)이란?

ISO 37001의 의미

ISO 37001은 인증 가능한 반부패 경영시스템 표준을 말한다. ISO 37001은 영어로는 반뇌물경영시스템(Anti-bribery management systems)에 대한 표준이지만,  반부패 경영시스템 표준으로 번역하고 있다. 이 표준은 2016년 10월 15일 제정, 공표되었다. ISO 37001은 반부패 경영시스템의 구축 및 운영에 필요한 요구사항(requirements)을 명시하고 지침을 제공한다. 반부패 경영시스템은 일종의 컴플라이언스 프로그램으로서 회사내에서는 환경, 공정거래 등과 함께 통합적으로 운영될 수도 있고, 각각 별개로 운영될 수도 있다.

회사의 규모 및 영위업종의 특성에 따라 달라질 것이지만, 대기업의 경우에는 통합적으로 운영되는 것이 자원의 효율적 관리 측면에서나, 시스템의 효과 측면에서 바람직하다. 즉 회사의 리스크 일반에 대해 관리 시스템을 갖추고, 세부적인 부분은 그 시스템에 통합되어 운영되는 것을 권하고 싶다.

ISO 37001 인증 취득 필요성

반부패경영시스템에 대한 인증이 필요한 이유에 대해서는 국민권익위원회에서 2016년 12월에 발간한 “기업반부패가이드”란 자료에서 잘 설명하고 있다. 이 자료에서는 반부패와 관련한 국내 법규 및 국제적 요구수준의 강화로 인해 반부패가 옵션이 아니라 기업의 지속가능한 성장에 필수재가 되고 있다는 것을 자세하게 설명하고 있다. 최근 부패방지를 위한 노력의 필요성에 대해서는 언론에서나 학계에서, 그리고 업무현장에서 모두 인식하고 있다고 하겠다.

뇌물과 부패방지에 대한 국내외 환경 변화로 이를 예방할 수 있는 경영시스템의 구축 및 운용이 필요한데, ISO에서 국제표준을 제정하였으니, 이를 도입하는 것이 실질적으로 도움이 될 것이라고 말할 수 있다. 다만 우리나라 인증시장의 구조적인 문제로 인하여, 인증을 취득했다는 것이 실제 반부패경영시스템을 효과적으로 구축하고 실질적으로 운용한다는 것을 보증하는 것으로 볼 수 없다는 점에서, 인증 취득이라는 형식적인 목표가 아니라 인증에 부합하는 실질을 갖추도록 노력할 필요가 있다는 점을 잊지 말아야 한다.

자세한 내용에 대해서는 한국품질재단에서 소개된 내용을 참조 : http://www.kfq.or.kr/certi/certi_iso37001.asp

ISO 37001의 내용(목차)

ISO 37001의 내용(4장~10장이 실질적인 요구사항)

Anti-bribery management systems — Requirements with guidance for use 반부패경영시스템 — 사용 가이던스가 포함된 요구사항
1 Scope 1 적용 범위
2 Normative references 2 인용표준
3 Terms and definitions 3 용어와 정의
4 Context of the organization 4 조직의 상황
4.1 Understanding the organization and its context 4.1 조직과 조직의 상황에 대한 이해
4.2 Understanding the needs and expectations of stakeholders 4.2 이해관계자의 요구사항과 기대에 대한 이해
4.3 Determining the scope of the anti-bribery management system 4.3 반부패경영시스템의 적용 범위 결정
4.4 Anti-bribery management system 4.4. 반부패경영시스템
4.5 Bribery risk assessment 4.5 뇌물수수 리스크 평가
5 Leadership 5 리더십
5.1 Leadership and commitment 5.1 리더십과 의지
5.2 Anti-bribery policy 5.2 뇌물수수방지 방침
5.3 Organizational roles, responsibilities and authorities 5.3 조직의 역할, 책임, 권한
6 Planning 6 기획
6.1 Actions to address risks and opportunities 6.1 리스크와 기회를 다루는 조치
6.2 Anti-bribery objectives and planning to achieve them 6.2 뇌물수수방지 목표와 목표 달성을 위한 기획
7 Support 7 지원
7.1 Resources 7.1 자원
7.2 Competence 7.2 적격성
7.3 Awareness and training 7.3 인식과 훈련
7.4 Communication 7.4 의사소통
7.5 Documented information 7.5 문서화된 정보
8 Operation 8 운용
8.1 Operational planning and control 8.1 운용기획 및 통제
8.2 Due diligence 8.2 실사
8.3 Financial controls 8.3 재무적 통제
8.4 Non-financial controls 8.4 비재무적 통제
8.5 Implementation of anti-bribery controls by controlled organizations and by business associates 8.5 통제된 조직과 비즈니스 관계자에 의한 뇌물수수방지 통제의 이행
8.6 Anti-bribery commitments 8.6 뇌물수수방지 의지
8.7 Gifts, hospitality, donations and similar benefits 8.7 선물, 접대, 기부, 유사 혜택
8.8 Managing inadequacy of anti-bribery controls 8.8 뇌물수수방지 통제의 불총족성 관리
8.9 Raising concerns 8.9 우려 제기
8.10 Investigating and dealing with bribery 8.10 조사와 뇌물수수 처리
9 Performance evaluation 9 성과 평가
9.1 Monitoring, measurement, analysis and evaluation 9.1 모니터링, 측정, 분석, 평가
9.2 Internal audit 9.2 내부심사
9.3 Management review 9.3 경영 검토
9.4 Review by anti-bribery compliance function 9.4 뇌물수수방지 컴플라이언스 관리자에 의한 검토
10 Improvement 10 개선
10.1 Nonconformity and corrective action 10.1 부적합과 시정조치
10.2 Continual improvement 10.2 지속적인 개선
Annex A 부속서A