기업용 CP 실천
기업용 CP 주요사항 실천

국민권익위원회는 2024년, 기업이 자율적으로 윤리경영을 실천할 수 있도록 『기업용 윤리경영 자율실천 안내서(2024)』를 발간했다. 지난 호에서는 해당 안내서의 전체 구성과 CP(윤리경영 자율준수 프로그램)의 개념 및 기본요소에 대해 살펴보았다. 이번 호에서는 그 중에서도 청렴윤리경영의 실천 과정에서 특히 중요한 ‘부패 리스크 평가’ 영역을 중점적으로 알아보고자 한다.

법무부와 세계은행(The World Bank)의 ‘글로벌 준법경영 가이드북: 중소기업을 위한 부패 방지 실무 지침서(2024)’ 따르면, 리스크 평가는 청렴 준수 프로그램의 기본 요소이며, 기업은 이를 통해 부패 리스크가 가장 높은 활동, 부서, 지역을 식별하고 이에 기반한 청렴준수 프로그램(통제 수단)을 설계할 수 있다.

이처럼 부패 리스크 평가는 단순한 형식적 점검을 넘어, 기업 내 청렴 수준과 CP의 실효성을 좌우하는 핵심 기반 활동으로 작동한다. 이번 코너에서는 안내서의 ‘평가’ 부문 지표 내용을 중심으로 실천 포인트와 진단 기준을 정리하고, 실제 기업 사례 및 추가적인 가이드를 보완하여 제시하고자 한다.

기업용 CP: 부패 리스크 평가

『기업용 윤리경영 자율실천 안내서(2024)』에서는 윤리경영 CP를 실효성 있게 운영하기 위한 핵심 진단영역 중 하나로 ‘부패위험 식별·평가 및 대응’을 제시하고 있다. 그 중 ‘평가’ 항목(14번, 15번)에 대한 세부사항은 다음과 같다.

<국제 가이드라인 핵심 키워드에 따른 윤리경영 CP 진단영역 도출>

진단영역 진단요소 진단지표 세부 체크리스트
Ⅱ. 윤리경영 자율준수 프로그램 (CP) 운영 부패위험 식별·평가 및 대응 평가 14. 식별된 부패위험을 기준으로 기업의 위험 취약성을 평가하였는가?
15. 식별된 부패위험에 대하여 분류, 등록 및 위험수준별 경감조치 방안을 효과적으로 마련하였는가?
출처: 국민권익위원회, 기업용 윤리경영 자율실천 안내서(2024)

14. 식별된 부패위험을 기준으로 기업의 위험 취약성을 평가하였는가?

안내서에 따르면 부패 위험 수준을 평가 및 관리하는데 있어 일성부서와 전담조직의 역할은 다음과 같다.

  • 일선부서 : 식별한 부패위험에 대해 발생 가능한 시나리오(잠재적 부패 상황 포함)를 기반으로 위험수준을 평가
  • 전담조직 : 각 부서의 평가 결과를 종합하여 조직 전반의 부패위험 취약성을 분석한다. 이때 전담조직은 일서부서가 부패위험을 과소평가되었는지 점검하고, 동일수준의 부패위험이 부서별로 다르게 평가된 경우, 조정 및 보완 기능도 수행해야 한다.

또한 기업은 ‘부패위험 취약성 평가’를 진행해야 한다. 부패위험 취약성 평가는 ‘발생 가능성(Likelihood)’과 ‘영향도(Impact)’를 함께 고려하여 ‘위험 수준’을 결정한다, 발생가능성은 부패 사건이 실제로 일어날 개연성을 의미하며, 영향력은 부패사건이 발생하여 조직에 재정적 피해, 이미지 훼손 등을 끼치는 것을 의미한다. 부패위험 수준을 평가한 종합위험도 점수는 두 항목을 정량화한 후 곱하는 방식으로 도출한다.

예를 들면, 각 항목을 1~5점의 수치로 정량화한 후 곱하여 종합위험도를 산정하며, 이를 통해 조직 내 고위험 영역을 직관적으로 식별한다. 이 결과를 바탕으로 내부 우선 통제 대상 여부를 결정한다. 그러나 안내서는 발생가능성이 낮더라도 영향력이 매우 큰 부패위험의 경우, 기업의 존폐를 가를 수 있는 다양한 문제에 직면할 수 있기 때문에 영향력에 더 큰 가중치를 두어 평가해야 한다고 강조한다. 기업 사례를 통해 이를 살펴보면 다음과 같다.

<사례: SK케미칼 - 부패방지경영시스템 규정(별첨2. 부패 리스크 평가 절차) 발췌>

부패 리스크 평가 절차 - ③ 리스크 식별 및 평가

  • 부패방지 주관부서는 각 부서의 주요업무 범위에서 내/외부 이슈, 이해관계자의 요구사항을 고려하여 부정적인 이슈는 리스크에 반영하여 리스크를 1차 평가하여 모든 부서에 통보하고 각 부서는 1차 평가된 리스크에 대한 관리 방법 및 관련 사항을 추가 보완 및 수정하고 리스크에 따른 개선 세부 계획을 수립하여 주관부서에 통보한다.
  • 리스크 평가 시 과거 사건/사고 및 미준수 사례를 포함하여 평가한다.
  • 리스크 평가 시 발생 빈도(표1) 및 심각도(표2) 지표를 적용하되 가능한 정량적인 근거에 따르며, 정량적 판단이 어려운 경우에는 정성적인 판단으로 결정한다.

*(표1)리스크 발생빈도

단계 5 4 3 2 1
발생가능성 상시 반기 격년이상

*(표2)리스크 심각도

단계 피해정도 물적 손해 제재 범위
5 치명적 10억원 이상 회사에 대한 심각한 법적 처벌
4 매우 심각 10억원 이하 회사에 대한 법적 처벌
3 심각 1억원 이하 위반자 형사 처벌/내무징계 면직
2 보통 5천만원 이하 내부 징계 강등, 정직
1 경미 5백만원 이하 내부 징계 감봉, 견책
  • 리스크의 빈도와 심각도의 곱으로 리스크의 위험도를 결정한다 (표3).
  • 리스크 위험도 수치에 따라 H/M/L의 3단계로 구분하되, 심각도가 4 이상일 경우 최소 M단계로 구분하여 관리한다.
    가. H (높음) : 15이상, 단 심각도가 5인 경우는 모두 포함
    나. M (중간) : 8이상, 단 심각도가 4인 경우는 모두 포함
    다. L (낮음) : 8미만

*(표3) 리스크의 위험도 결정

구분 빈도
1 2 3 4 5
심각도 1 1(L) 2(L) 3(L) 4(L) 5(L)
2 2(L) 4(L) 6(L) 8(M) 10(M)
3 3(L) 6(L) 9(M) 12(M) 15(H)
4 4(M) 8(M) 12(M) 16(H) 20(H)
5 5(H) 10(H) 15(H) 20(H) 25(H)
  • 부패방지 주관부서는 각 부서와 평가결과에 대해 협의/조정하고 조치목표/방안 등을 수립한다.
  • 리스크에 대한 정기 평가는 매년 1회 정기적으로 실시하는 것을 원칙으로 한다. 그 외 필요시 부분적인 수시 평가 및 보완을 실시할 수 있다.
  • 리스크 조치계획의 유효성 확인
    가. 각 부서는 리스크에 따른 조치계획을 예정기한에 수행한다
    나. 리스크 조치 계획의 수행결과는 부패방지 주관부서에서 매년 내부심사 및 부패방지자정점검을 통해 확인하며 추가 조치가 필요한 사항은 시정조치 활동을 통해 개선한다.
출처: SK케미칼, 부패방지경영시스템 규정(2023.5.12)

15. 식별된 부패위험에 대하여 분류, 등록 및 위험수준별 경감조치 방안을 효과적으로 마련하였는가?

『기업용 윤리경영 자율실천 안내서(2024)』는 부패위험 식별과 평가 결과를 바탕으로, 각 위험 항목에 대해 위험수준별로 차등화된 경감조치를 수립하고 이행하는 절차의 중요성을 강조한다. 기업은 부패위험 평가 결과 중 위험수준이 높은 항목에 대해 우선적으로 경감조치를 마련해야 하며, 특히 다음과 같은 대응 전략이 효과적이라고 제시한다.

  • 발생가능성이 높은 리스크 대응 : 위험 발생 가능성을 감소시키는 사전예방조치(예: 외부거래 실사 강화, 승인권한 이중화 등)를 우선적으로 시행
  • 영향력이 큰 리스크 대응 : 사건 발생 시 피해를 최소화할 수 있는 통제조치(예: 사후 대응 프로토콜 수립, 위기관리 커뮤니케이션 체계 마련 등)가 필요

이러한 경감조치는 시행을 담당하는 CP 담당부서 뿐 아니라 조치로 인해 영향을 받는 전사 부서의 의견을 폭넓게 수렴하여 수립되어야 하며, 윤리경영 CP 전담 부서 또는 반부패 평가 부서의 사전 승인과 감독 하에 이행되어야 한다. 경영진 역시 부패위험 경감조치의 수립과 실행을 주기적으로 모니터링할 필요가 있으며, 필요 시 CP 담당자의 승인을 받아 조치 내용을 수정 또는 보완해야 한다. 이러한 모니터링 체계는 경감조치의 형식적 이행을 방지하고, 조직 내 반부패 실천을 실질화하는 핵심 수단으로 작동한다.

또한, 부패위험 평가 이후, 기업은 식별·평가된 부패위험을 등록·문서화 과정을 통해 관리체계에 편입해야 하며, 기업은 이를 바탕으로 구체적인 대응전략을 수립해야 한다. 안내서에 따르면, 부패위험 평가는 일반적으로 부패위험 등록부, 부패위험 분석표 같은 스프레드시트나, 데이터베이스 양식을 이용하여 작성된다. 기업은 각 조직에 맞는 문서화 방법을 개발할 필요가 있다.

예를 들어 ‘부패위험 등록부(Risk Register)’는 각 위험 항목에 대해 발생위치 및 지역、 부서, 위험 설명, 요인, 부패 수법, 가능성, 잠재적 영향, 경감조치 방안, 통제 및 잔여 위험평가 결과 등을 일괄적으로 정리해야 한다. ‘부패위험 분석표(Risk Analysis Sheet)’는 위험을 분류하고 위험 수준을 점수로 수치화하며 이에 따른 경감조치를 기록한다. 만약, 부패위험 등록부, 부패위험 분석표를 하나의 시트에 작성하면 다수의 위험과 관련한 정보를 한 번에 기록하는 데 편리한 반면 양이 많고 복잡할 수 있어 각 기업에 맞는 문서화 방법을 개발하는 것이 중요하다.

<한국전력공사-비재무적 리스크 관리 활동(발췌)>

구분 영역 주요 리스크 내용 리스크 수준
(발생가능성 x 영향도)		 대응 계획 대응 활동 비고
G 윤리준법

반부패
  • 각종 비위 및 부정부패 사건 발생 시, 기업 이미지 실추 및 대외 신뢰도 하락
  • 협력사와 접대/청탁/향응 등 부패 행위 노출
 High 장기
  • 사장직할 준법경영실 신설로 내부통제 추진체계 강화
  • 전 직원 대상 윤리준법 자율실천 서약 시행, 다채널 부조리 신고채널 운영
  • 전사부패취약분야 발굴 개선 활동
  • 내외부 반부패 교육 및 협력사 대상 반부패 경영 전파
 ISO 37301
정보보안
  • 협력사와 접대/향응, 청탁/유착 발생
 Low 장기
  • 정보보안 대응 체계 강화
  • 개인정보보호 업무처리지침 및 절차서 운영
 -
갈등민원
  • 주민 수용성 저하로 인한 전력설비
  • 건설지연으로 안정적 전력공급 차질
 Mid 단기
  • 국민 눈높이에 맞는 보상 및 주민 공감형 갈등관리 체계 구축
  • 갈등관리 전문가 육성, 지역주민과 소통 강화 (빛으로 나눔 소통쉼터)
 -
출처: 국민권익위원회, 기업용 윤리경영 자율실천 안내서(2024)

또한, 문서화된 경감조치 내용을 시각적으로 표현하기 위해 ‘열지도(Heat Map)’ 방식이 활용될 수 있다. 이 방식은 발생가능성과 영향력을 기반으로 색상 구분(예: 저위험 = 녹색, 중위험 = 노랑, 고위험 = 빨강)을 적용하여, 경영진과 실무자가 위험수준을 직관적으로 파악할 수 있는 시각화 도구로 기능한다.

<부패위험 열지도(Hot map) 예시>

출처: 국민권익위원회, 기업용 윤리경영 자율실천 안내서(2024)

이러한 방법들을 통해 부패위험을 평가하고 관리체계를 정교화함으로써, 기업은 고위험 요소에 선제적으로 대응하고 윤리경영의 실행력을 강화할 수 있다. 『기업용 윤리경영 자율실천 안내서(2024)』는 부패위험 관리뿐 아니라 이해충돌 방지, 공정거래, 내부통제, 교육훈련 등 CP의 다양한 핵심 영역에 걸쳐 구체적인 기준과 절차를 제시하고 있어, 기업이 전사적 수준에서 윤리경영을 체계화하는 데 실질적인 실행 도구로 기능할 수 있다.

참고

  • 국민권익위원회, 기업용 윤리경영 자율실천 안내서(2024)
    https://www.acrc.go.kr/
  • 공공기관 청렴윤리경영 컴플라이언스 가이드라인(2023.6)
  • SK케미칼, 부패방지경영시스템 규정(2023.5.12)
    https://www.skchemicals.com/
  • 한국전력공사, 한국전력 및 전력그룹사 지속가능경영보고서 2024