컴플라이언스 체크포인트
K-CP 가이드라인 지표 안내

- ‘부패 리스크 매핑’을 중심으로 -

리스크는 일반적으로 '기업의 목표 달성에 부정적인 요인이 발생할 수 있는 불확실성(uncertainty)'을 말한다. 기업의 목표 달성에는 이러한 리스크를 최소화 또는 방지하기 위한 노력이 필요하고, 이를 위해서는 먼저 조직이 현재 보유하고 있는 리스크가 무엇인지부터 알아야 할 것이다. 그런 의미에서 ‘부패 리스크 식별’은 CP 운영의 가장 필수적이고 중요한 부분이라 할 수 있다. 리스크 식별이 제대로 이루어지지 않을 경우 조직은 불필요한 곳에 시간과 자원을 투자하게 되고, 당초 목표하는 효과를 거둘 수 없기 때문이다.

이러한 관점에서 부패 리스크 식별을 포괄하고 있는 ‘부패 리스크 매핑’ 영역에 대해 보다 자세히 살펴보고자 한다.

부패 리스크 매핑(Mapping)

부패 리스크 매핑(Mapping)은 조직의 부패 리스크를 전사적 · 체계적으로 파악하는 것으로, 부패 리스크를 식별하고 원인 · 영향력 · 발생 가능성 등을 평가하여 우선순위에 따라 경감 조치를 실행하고, 부패 리스크 맵을 구축 · 관리하는 일련의 활동을 말한다.

<부패 리스크 매핑 절차>

가이드라인에서는 위 부패 리스크 매핑 절차에 따라 지표를 분류하고, ‘역할과 책임, 부패 리스크 식별, 부패 리스크 평가 및 경감 조치, 잔여 부패 리스크 평가 및 추가 조치, 부패 리스크 맵 구축 및 후속 관리, 부패 리스크 매핑 보고 · 공개’ 순으로 설명하고 있다.

1. 부패 리스크 식별 및 평가

부패 리스크 매핑은 크게 ‘부패 리스크 식별 및 평가’와 ‘부패 리스크 맵 구축 및 공개’로 분류되는데, 각각의 세부 항목에 대해 설명하고자 한다.

1-1. 역할과 책임

고위 경영진부터 중간관리자를 포함한 전 직원에게 역할과 책임을 부여하여 전사적으로 참여시키는 것은 부패 리스크 매핑의 핵심 중 하나이다. 특히 CP 운영 초기에는 전사적 참여를 기반으로 매핑 프로세스가 조직 내 문화로 자리잡을 수 있도록 노력해야 한다. 이때, CP 전담조직은 전사적으로 제출된 부패 리스크 매핑 전반에 대해 평가하고 환류하여야 함에 유의한다.

세부 지표 준수사항
  • 부패리스크 매핑(mapping)에 전사적으로 참여하였는가?
  • 고위 경영진 : 고위 경영진이 부패리스크 매핑 실행을 촉진하고 적정 자원을 제공하고 있는 경우
  • 중간관리자 : 중간관리자들이 본인이 담당하는 부문의 부패리스크 매핑 활동에 직접 참여하거나 매핑이 효율적으로 이루어지고 있는지 관리하고 있는 경우
  • 전 직원 : 모든 부서 및 직원이 수행업무와 관련한 부패리스크를 파악 · 제출하여 부패리스크 매핑 활동에 기여하고 있는 경우
  • CP 전담조직 : CP 전담조직이 조직 전체에 대한 부패 리스크를 식별 · 분석 · 평가하고, 개선방안 등을 포함한 부패리스크 맵을 마련 · 관리 · 환류하고 있는 경우
  • 리스크 부서 : 회계 · 재정 담당부서, 비위사례 발생 부서 등 리스크가 높은 부서에서 책임 분야 내의 부패 리스크를 식별하여 리스크 매핑에 참여하고 있는 경우
* 우선적으로 이행해야 할 준수사항은 노란색칸으로 표시

1-2. 부패 리스크 식별

부패 리스크 식별은 대내 · 외적으로 발생할 수 있는 부패를 특정하는 단계로 부패 리스크 매핑의 기반이 되는 부분이므로 다양한 관점 그리고 다양한 방법으로 부패 리스크를 식별할 수 있도록 해야 한다. 조직 특성에 따른 ‘고유 부패 리스크’와 여러 조직에서 공통적으로 발생 가능한 ‘관리 부패 리스크’를 구분하는 단계이기도 하다.

세부 지표 준수사항
  • 부패 리스크를 다양한 관점에서 식별하였는가?
  • 조직의 주요 사업, 기능, 특성 등으로 인해 발생 가능한 고유 리스크를 식별한 경우
  • 인사, 채용, 재무, 회계 등 경영관리 관점에서 발생 가능한 관리 리스크를 식별한 경우
  • 외부 환경변화로 인해 발생 가능한 리스크를 식별한 경우
  • 제3자 관련 리스크를 식별한 경우
  • 부패 리스크 식별을 위해 적절한 방법을 활용하였는가?
  • PEST 등 환경분석, 타 조직 벤치마킹, 과거 위반사례 분석 등 다양한 방법을 활용하고 있는 경우
  • 워크숍, 인터뷰, 설문조사, 익명 게시판 등을 통해 내부 조직원들의 의견을 수렴한 경우
  • FGI, 워크숍, 인터뷰 등을 통해 외부 이해관계자의 의견을 수렴한 경우

1-3. 부패리스크 평가 및 경감 조치

전 직원은 식별된 리스크가 발생할 수 있는 잠재적 상황(시나리오)을 고려하여 리스크의 위험 수준을 평가하고, CP 전담조직은 조직 전체의 부패 리스크 식별 결과를 종합한다.

세부 지표 준수사항
  • 조직 전체의 부패 리스크를 평가하고 있는가?
  • 규정/매뉴얼로 조직 전체에 대한 부패 리스크 평가 의무를 부여한 경우
  • 모든 부서의 부패 리스크 식별 결과를 종합하여 평가한 경우
  • 식별된 부패 리스크별 시나리오를 고려하여 부패 리스크 평가를 실시한 경우
  • 부패 리스크 평가를 연 1회 이상 실시한 경우
  • 부패 리스크를 적절히 평가하였는가?
  • 영향력・발생 가능성을 고려하여 체계적으로 부패 리스크 평가가 이루어진 경우
  • 리스크 평가 시 내부 의견수렴 절차를 거친 경우
  • 리스크 평가 시 외부 컨설팅 및 자문, 외부 평가결과 등을 활용한 경우
  • 리스크 평가의 과정 및 결과를 종합적으로 고려할 때, 부패 리스크 평가가 우수하게 실시된 경우
  • 부패 리스크 경감 조치를 적절히 실시하였는가?
  • 운영규정/매뉴얼로 부패 리스크 평가 후 경감 조치 실시 의무를 부여한 경우
  • 부패 리스크의 영향력・발생가능성을 고려하여 적절한 경감 방안을 마련한 경우
  • 부패 리스크 경감 조치를 효과적으로 실시한 경우
  • 부패 리스크 경감 조치 결과를 지속 관리하고 있는 경우

부패 리스크 평가는 각 리스크의 발생 가능성(probability)과 영향력(impact)을 함께 고려하여 ‘위험 수준’을 결정하는 것을 말하며, 조직은 위험 수준이 높을수록 우선하여 경감 조치를 취해야 한다.

<리스크 평가 순서 및 평가 결과>

1-4. 잔여 부패 리스크 평가 및 추가 조치

경감 조치를 취한 이후에도 남아있는 리스크를 ‘잔여 리스크’라고 하며, 조직은 잔여 리스크를 평가하여 그 수준에 따라 추가 조치를 결정해야 한다. 잔여 리스크는 앞선 경감 조치에 따라 발생 가능성 및 영향력이 낮아진 상태이므로 위험 수준이 낮을 경우 추가 조치를 취하지 않고 종결할 수 있으며, 이외에도 ‘회피, 이전, 축소’ 조치를 취할 수 있다.

세부 지표 준수사항
  • 위험관리가 필요한 잔여 부패 리스크를 적절히 도출하고 조치하였는가?
  • 운영규정/매뉴얼로 잔여 부패 리스크 평가 의무를 부여한 경우
  • 부패 리스크 평가 및 경감 조치 결과를 분석하여 잔여 부패 리스크를 도출한 경우
  • 잔여 부패 리스크의 영향력・발생 가능성을 고려하여 위험관리 수준을 결정한 경우
  • 잔여 부패 리스크에 대해 추가 조치를 실시한 경우

2. 부패 리스크 맵 구축 및 공개

지금까지 ‘부패 리스크 식별 및 평가’에 대해 살펴 보았다. 이어서 ‘부패 리스크 맵 구축 및 공개’에 대해 설명하기로 한다.

2-1. 부패 리스크 맵 구축 및 후속 관리

조직은 부패 리스크 식별 · 평가 결과, 실행계획 등을 종합하여 부패 리스크 맵을 구축하고, 효과적인 부패 리스크 관리를 위해 연 1회 이상은 부패 리스크 맵을 현행화할 필요가 있다. 부패 리스크 맵에 기초하여 부패 리스크 관리 전략 및 계획을 수립하고, 조직 구성원들에게 공유한다.

세부 지표 준수사항
  • 부패 리스크 맵을 적절히 구축하였는가?
  • 부패 리스크 식별 및 평가 결과에 따른 부패 리스크의 분야・영향력・발생 가능성・경감 조치 등을 부패 리스크 맵으로 구축한 경우
  • 잔여 리스크의 위험수준 및 조치사항에 대해 담당자・조치사항 등을 체계적으로 부패 리스크 맵에 등록한 경우
  • 부패 리스크 맵 구축 및 후속 관리가 디지털 기술 등을 활용하여 효율적으로 이루어지는 경우
  • 연 1회 이상 부패 리스크 맵을 현행화 하고 있는 경우
  • 부패 리스크 관리 전략/계획을 수립하여 실시하고 있는가?
  • 운영규정/매뉴얼로 부패 리스크 관리 전략/계획 수립 의무가 부여된 경우
  • 리스크 우선순위를 고려하여 부패 리스크 관리 전략/계획을 수립하고 실시하고 있는 경우
  • 부패 리스크 전략/실행계획의 담당 부서 및 담당자가 명확히 지정되어 있는 경우
  • 부패 리스크 관리 전략/계획을 임직원들에게 공유한 경우

<부패 리스크 맵 예시>

2-2. 부패 리스크 매핑 보고 · 공개

부패 리스크 매핑 결과 및 리스크 관리전략, 계획 등은 기관장 또는 최고 의사결정기구에 신속히 보고되어야 한다. 이를 통해 고위 경영진은 조직의 부패 리스크를 정확히 파악하고 후속 조치가 효과적으로 이행되는지 관리할 수 있고, 운영규정 · 행위규범 등을 개정하는 데 활용하거나, 이해관계자들이 정보에 쉽게 접근가능하게 함으로써 CP의 효과성을 향상시킬 수 있다.

세부 지표 준수사항
  • 부패 리스크 매핑 결과를 기관장 또는 최고 의사결정기구에 보고하고 있는가?
  • 부패 리스크 매핑 결과 및 관리계획에 대해 기관장 또는 최고 의사결정기구에 보고하도록 규정한 경우
  • 부패 리스크 매핑 결과 및 관리계획에 대해 기관장 또는 최고 의사결정기구에 보고한 경우
  • 부패 리스크 매핑 완료 후 1개월 이내에 보고한 경우
  • 부패 리스크 매핑 결과가 운영규정/매뉴얼, 행위규범 등에 반영되어 현행화된 경우
  • 부패 리스크 매핑 결과를 내ㆍ외부에 공개하고 있는가?
  • 리스크 매핑 결과를 인트라넷, 사내 문서 등을 통해 조직 내에 공개하고 있는 경우
  • 리스크 매핑 결과를 공시, 홈페이지 게시 등을 통해 대외에 공개하고 있는 경우
  • 대내외 공개 자료를 클릭 수 3회 이하로 손쉽게 확인 가능한 경우
  • 부패 리스크 매핑 완료 후 1개월 이내에 공개된 자료를 현행화한 경우

이처럼 부패 리스크 매핑은 고위경영진부터 직원에 이르기까지 전사적으로 참여하고, 발생할 위험성이 있는 부패 리스크를 식별 · 평가하여 경감 조치를 취하고, 경감 조치를 취했음에도 남아 있는 잔여 리스크에 대해 추가 조치를 취한 후 이러한 일련의 과정들을 부패 리스크 맵으로 구축 · 관리 · 공개하는 과정으로 이루어진다. 부패 리스크를 효과적으로 관리하기 위한 선행 단계라 할 수 있는 ‘부패 리스크 매핑’에 대해 올바로 이해하고 적극적으로 실천함으로써 청렴윤리경영을 선도하는 조직으로 나아가기를 기대한다.

참고

  • 공공기관 청렴윤리경영 컴플라이언스 가이드라인(국민권익위원회)
  • 위기의 시대, 글로벌 기업의 리스크 관리(김영식 지음/바른북스)
  • 기업 준법윤리경영 인증제도 도입 및 운영 방안 연구(경제 · 인문사회연구회)