이 섹션은 GIACC의 지침의 일부를 형성합니다. 위험 평가 및 실사. 그것은 조사한다 조직 부패 위험 평가(즉, 조직이 직면한 전반적인 부패 위험)

특정 위험 평가 범주에 대한 추가 지침은 다음의 별도 웹 페이지를 참조하세요.

• 국가 부패 위험 평가
• 프로젝트 부패 위험 평가
• 사업 파트너 부패 위험 평가

조직 부패 위험 평가는 개괄적인 문서로, 경영진이 조직이 직면한 전반적인 부패 위험을 논리적이고 집중적으로 검토하고 조직의 정책, 절차 및 통제가 이러한 위험을 처리하는 데 적합한지 평가하는 데 도움이 되는 도구입니다. 이 위험 평가는 조직의 규모와 구조, 조직이 운영되는 국가, 조직이 수행하는 업무 또는 프로젝트 유형, 그리고 협력하는 비즈니스 파트너 유형 등으로 인해 발생하는 부패 위험을 개괄적으로 검토합니다.

반드시 사용해야 하는 특정 위험 평가 모델은 없습니다. 조직은 자사의 목적에 가장 적합한 평가 모델을 만들어야 합니다. 위험도가 낮은 국가에서 소수의 저위험 사업 관계자와 함께 한 가지 유형의 업무만 수행하는 조직의 경우, 평가는 상당히 간단할 수 있습니다. 하지만 여러 국가에서 다양한 유형의 업무와 여러 유형의 고위험 사업 관계자를 보유한 조직의 경우, 위험 평가는 더욱 복잡할 가능성이 높습니다.

이 위험 평가는 광범위하거나 지나치게 복잡한 과정이 아닙니다. 또한 평가 결과가 반드시 정확하다고 증명되는 것도 아닙니다(예: 저위험으로 평가된 거래가 실제로 부패와 관련된 것으로 밝혀질 수 있음). 이 평가는 조직의 부패 위험을 평가하고 통제하는 데 도움이 되는 유용한 도구로 설계되었습니다.

다음은 조직이 조직 부패 위험 평가를 실시하는 방법에 대한 예입니다.  

(1) 조직 부패 위험 평가를 수행하는 방법

(1.1) 조사 중인 부패 위험을 정의하십시오.

이는 조직이 사업 운영 과정에서 직면할 수 있다고 평가하는 부패 위험입니다. 검토 대상 위험에는 조직에 의해 또는 조직을 대신하여, 그리고 조직을 상대로 부패가 자행될 위험이 포함됩니다. 이러한 위험에는 일반적으로 다음이 포함됩니다.

• 수회:
  • 조직에 의한 경우: 조직 또는 조직을 대신하여 또는 조직의 이익을 위해 행동하는 사람(예: 직원 또는 사업 동료)이 뇌물을 제공하는 경우입니다.
  • 조직에 대한 뇌물: 누군가(예: 사업 동료)가 조직 직원에게 뇌물을 주는 경우.
• 강요:
  • 조직에 의한 경우: 조직 또는 조직을 대신하여 또는 조직의 이익을 위해 행동하는 누군가(예: 직원 또는 사업 동료)가 다른 당사자에게서 지불이나 조치를 갈취하는 경우(예: 폭력 위협 또는 상대방이 받을 자격이 있는 것을 고의로 생산하기를 거부하는 경우).
  • 조직에 대한: 누군가(예: 사업 동료, 공무원 또는 갱단원)가 조직이나 그 직원에게 금전이나 조치를 갈취하는 경우(예: 폭력 위협 또는 다른 사람이 받을 자격이 있는 것을 고의로 생산하기를 거부하는 경우).
• 사기:
  • 조직에 의한 경우: 조직 또는 조직을 대신하여 또는 조직의 이익을 위해 행동하는 사람(예: 직원 또는 사업 동료)이 다른 당사자에 대해 사기를 저지르는 경우입니다.
  • 조직에 대한 사기: 누군가(예: 사업 동료)가 조직에 대해 사기를 저지르는 경우.
•  카르텔:
  • 조직에 의한 경우: 조직 또는 조직을 대신하여 또는 조직의 이익을 위해 행동하는 사람(예: 직원 또는 사업 동료)이 조직을 카르텔에 연루시키는 경우입니다.
  • 조직에 대한 카르텔: 누군가(예: 사업 동료)가 조직에 대한 카르텔에 참여하는 경우.
• 도용:
  • 조직에 의한 경우: 조직 또는 조직을 대신하여 또는 조직의 이익을 위해 행동하는 사람(예: 직원 또는 사업 동료)이 다른 당사자에게서 돈이나 자산을 훔치는 경우입니다.
  • 조직에 대한 범죄: 누군가(예: 직원이나 사업 동료)가 조직으로부터 자금이나 자산을 훔치는 경우.
• 돈 세탁:
  • 조직 또는 조직을 대신하여 또는 조직의 이익을 위해 행동하는 사람(예: 직원 또는 사업 동료)이 범죄 수익을 조직의 은행 계좌를 통해 이동시키는 경우, 이는 조직이나 직원에게 형사 범죄가 되는 상황입니다.

조직은 위험 평가를 통해 일부 유형의 부패가 다른 부패보다 조직에 미치는 위험(빈도 또는 결과 측면에서)이 낮다는 것을 확인할 수 있습니다. 조직은 모든 ​​부서에서 모든 유형의 부패를 명시적으로 다룰 필요는 없습니다. 위험 평가의 주요 목적은 어떤 유형의 부패가 조직에 낮은 위험보다 높은 위험을 초래하는지 파악하여 이러한 위험을 적절하게 처리하는 것입니다.

(1.2) 위험성 평가 기준 선정

이는 경영진이 해당 위험 영역에 어떤 유형과 수준의 통제를 부과하여 위험을 허용 가능한 수준으로 낮출지 평가하는 데 도움이 되는 부패 위험 평가 범위입니다. 예를 들면 다음과 같습니다.

• "저위험", "중위험", "고위험"과 같은 3단계 기준 또는
• "매우 낮은 위험", "낮은 위험", "중간 위험", "높은 위험", "매우 높은 위험"과 같은 5단계 기준.

GIACC는 이 지침에서 3단계 기준을 사용합니다.

(1.3) 조직의 규모와 구조, 그리고 조직의 인력에 의해 제기되는 부패 위험을 평가합니다.

대규모 조직은 소규모 조직보다 부패 위험이 더 클 수 있습니다. 조직 내에 부패 행위를 할 수 있는 인원이 훨씬 많기 때문입니다. 대규모 조직에서는 통제가 더 어려울 수 있습니다.

여러 자회사나 사업부를 두고 있거나 경영 권한의 위임 수준이 높은 조직은 중앙 집중식 경영 구조를 갖춘 조직보다 부패 위험이 더 높을 수 있습니다. 왜냐하면 해당 조직은 윤리적 결정을 내리기 위해 위임된 권한을 가진 관리자에게 의존해야 하기 때문입니다.

조직은 규모, 구조 및 인력을 고려하여 다음 사항에 대해 상당히 확신을 가지고 있습니까?

• 회사가 주요 의사결정 직책이나 부패에 노출된 직책에 임명한 인력은 조직의 부패 방지 정책, 절차 및 통제 수단을 준수하고 적절한 교육을 받아야 합니다.
• 자회사, 사업부 및 기타 사업 단위에는 적절한 수준의 부패 방지 통제가 마련되어 있습니다.
• 시행 중인 의사결정 통제는 발생 가능한 부패 위험을 반영합니다(예: 위험성이 높은 거래에는 더 높은 수준의 승인이 필요함).
• 적절한 인력(예: 규정 준수 관리자)을 임명하여 조직이 적절한 부패 방지 통제를 시행하고 있는지 확인합니다(독립적으로 관리되는 자회사나 사업부 포함).

(1.4) 조직이 운영되거나 운영될 것으로 예상되는 위치 및 부문에서 발생하는 부패 위험을 평가합니다.

일부 지역은 다른 지역보다 부패 위험이 높은 것으로 간주됩니다. 특히, 정부 통제가 약하고 단속이 미흡하여 일상적인 부패가 심각해지고, 이는 조직에 영향을 미칠 수 있습니다. 예를 들어, 급행료를 지불하지 않고는 장비를 세관에서 반입하거나 정부 허가 및 승인을 받는 것이 어려울 수 있습니다. 위험이 높은 지역은 프로젝트 및 사업 파트너의 위험도 높을 수 있습니다(아래 별도 섹션 참조). 어떤 국가는 특정 도시 또는 지역에서 다른 도시 또는 지역보다 부패 수준이 더 높을 수 있습니다.

조직이 부패가 낮은 위험 이상으로 간주되는 지역에서 사업을 하고 있습니까?

트랜스퍼런시 인터내셔널의 부패 인식 지수 또는 이와 동등한 자료를 사용하여 이 평가를 지원할 수 있습니다. 부패 위험이 낮음 이상인 지역은 조직에서 "중간" 또는 "높음" 위험으로 간주될 수 있으며, 이로 인해 조직은 해당 지역에서의 조직 활동에 대해 더 높은 수준의 통제를 시행할 수 있습니다. 예를 들어, 조직은 다음과 같은 사항을 판단할 수 있습니다.

• 특정 국가 부패 위험 평가 조직은 중간 또는 높은 위험으로 간주되는 국가와 관련하여 이를 수행해야 합니다.
• 다음 프로젝트는 입찰되지 않습니다:
  • 최고 경영자의 승인이 없는 중간 위험 지역
  • 전원의 승인이 없는 고위험 지역.

일부 부문은 다른 부문보다 더 높은 수준 또는 다른 유형의 부패 위험을 초래할 수 있습니다(예를 들어, 일부 지역에서는 한 부문(예: 도로 건설)이 다른 부문(예: 발전)보다 통제가 덜 잘 되어 더 부패하다고 간주될 수 있습니다). 조직은 식별된 고위험 부문과 관련하여 더 높은 수준의 통제 또는 승인이 필요하다고 평가할 수 있습니다.

조직이 별도의 특정 작업을 수행한 경우 국가 부패 위험 평가그러면 이러한 평가 내용을 요약하여 조직 부패 위험 평가의 이 섹션에 포함할 수 있습니다.

국가 부패 위험 평가 이 측면에 대한 추가 지침은 다음을 참조하세요.

(1.5) 조직의 활동 유형, 프로젝트 및 운영의 특성, 규모 및 복잡성으로 인해 발생하는 부패 위험을 평가합니다.

일부 프로젝트나 활동은 다른 프로젝트나 활동보다 부패 위험이 더 높다고 간주될 수 있습니다. 예를 들어, 다음과 같은 경우 조직이 부패 위험을 통제하기가 더 쉬울 수 있습니다.

• 여러 지역에서 수많은 대규모 건설 프로젝트에 참여하는 것보다 한 공장에서 소규모 제조 작업을 수행하는 경우가 더 많습니다.
• 장비를 현장에 인도하고 현장에서 설치 및 시운전하는 것보다 공장에서 장비를 공급하는 것이 더 유리합니다.
• 공급 범위의 대부분을 하청하는 경우보다 공급 범위의 전부를 자체적으로 수행하는 경우가 더 많습니다.
• 예를 들어, 정부 관리로부터 통관 허가나 취업 허가를 받아야 하는 경우를 제외하고는 허가를 발급하는 정부 관리와 상호 작용이 없습니다.
• 잠재적인 사업을 파악하기 위해 에이전트를 활용하지 않고, 성공 수수료를 받기 위해 다양한 국가에 여러 에이전트를 고용합니다.

조직은 유사한 위험의 많은 프로젝트를 수행할 수 있으며, 이 경우 조직 부패 위험 평가에서 프로젝트 위험을 적절하게 평가할 수 있습니다. 그러나 조직이 위험 수준이 다른 다양한 프로젝트나 활동을 수행하는 경우 프로젝트별 위험을 평가해야 할 수 있습니다. 예를 들어, 평가된 위험에 따라 프로젝트를 범주별로 등급을 매기고(예: 낮음, 중간, 높음) "중간" 또는 "높음" 위험인 프로젝트에 더 높은 수준의 통제를 요구할 수 있습니다. 이러한 위험 등급은 프로젝트 규모, 프로젝트가 수행되는 위치, 조직의 업무 범위와 같은 요소를 기반으로 할 수 있습니다. 예를 들어, 조직은 다음을 결정할 수 있습니다.

• 특정 프로젝트 부패 위험 평가 조직이 중간 또는 높은 위험으로 간주하는 프로젝트와 관련하여 수행해야 합니다.
• 입찰 권한:
  • 중간 위험도의 프로젝트는 최고 경영자의 승인이 필요합니다.
  • 위험도가 높은 프로젝트는 이사회의 승인이 필요합니다.

조직이 별도의 특정 작업을 수행한 경우 프로젝트 부패 위험 평가그러면 이러한 평가 내용을 요약하여 조직 부패 위험 평가의 이 섹션에 포함할 수 있습니다.

프로젝트 부패 위험 평가 이 측면에 대한 추가 지침은 다음을 참조하세요.

(1.6) 조직의 기존 및 잠재적 비즈니스 파트너가 제기하는 부패 위험을 평가합니다.

일부 사업 파트너는 다른 사업 파트너보다 조직에 더 큰 부패 위험을 초래할 수 있습니다. 위험은 사업 파트너의 윤리, 사업 파트너가 시행하고 있는 부패 방지 관리 수준, 사업 파트너가 수행하는 활동 유형, 사업 파트너가 조직에서 수행하는 업무 범위의 규모, 그리고 사업 파트너가 활동을 수행하는 지역 등 여러 요인에 따라 달라집니다. 예를 들면 다음과 같습니다.

• 조직은 조직으로부터 매우 낮은 가치의 제품을 구매하는 다수의 고객/고객을 가질 수 있으며, 실제로 조직에 최소한의 부패 위험을 초래합니다.이 경우 조직은 이러한 고객/고객을 낮은 위험으로 간주하고 이러한 고객/고객에게 관련된 특정 부패 방지 통제가 필요하지 않다고 결정할 수 있습니다.또는 조직은 조직으로부터 매우 큰 가치의 제품을 구매하는 고객/고객을 상대할 수 있으며, 심각한 부패 위험(예: 이러한 고객이 주문 등을 대가로 조직 직원에게 뇌물을 요구할 위험)을 초래할 수 있습니다.이러한 유형의 고객은 예를 들어 "중간" 또는 "높음" 위험으로 간주될 수 있으며, 따라서 조직에서 더 높은 수준의 부패 방지 통제가 필요합니다.
• 공급업체 또는 하청업체의 유형에 따라 부패 위험 수준이 다를 수 있습니다. 예를 들어, 업무 범위가 매우 넓거나 조직의 고객/고객 또는 관련 정부 공무원과 접촉하는 공급업체 또는 하청업체는 "중간" 또는 "높음"의 부패 위험을 초래할 수 있습니다. 일부 공급업체 또는 하청업체 유형은 "낮음" 위험에 처할 수 있습니다. 예를 들어,
  • 조직의 고객/고객이나 거래와 관련된 정부 공무원과 아무런 접점이 없는, 저가치 품목을 소량으로 공급하는 공급업체
  • 항공권이나 호텔 예약 온라인 구매
  • 레스토랑 식사, 택시 등

해당 조직은 이러한 저위험 공급업체와 관련하여 구체적인 부패 방지 통제를 시행할 필요가 없다고 결론 내릴 수도 있습니다.

• 합작 투자 파트너는 중간에서 높은 수준의 위험을 안고 있을 가능성이 높습니다. 왜냐하면 계약 구조상 합작 투자 파트너가 조직의 고객/소비자와 직접 접촉하게 되고 조직이 합작 투자 파트너의 행동에 대한 책임을 지게 되기 때문입니다.
• 조직의 매출을 늘리는 데 도움을 주고 조직의 고객/소비자 또는 정부 공무원과 접촉하는 대리인, 유통업체 또는 중개인은 특히 수수료나 성공 수수료 기준으로 돈을 받는 경우 "중간" 또는 "높음" 수준의 부패 위험을 초래할 가능성이 높습니다.

실제로 조직은 수많은 잠재적 및 실제 사업 파트너를 보유하고 있을 수 있으며, 모든 사업 파트너에 대해 상세한 위험 평가를 수행하는 것은 불합리하고 불균형적일 것입니다. 따라서 조직은 위험 기반 사업 파트너 범주(예: 저위험, 중위험, 고위험)를 개발하고 객관적인 기준(예: 업무 가치, 고객과의 접점 가능성, 지급 유형 등)에 따라 사업 파트너를 이러한 범주로 분류하는 것이 일반적입니다. 이러한 범주를 개발한 후, 조직은 중위험 또는 고위험 범주에 속하는 모든 사업 파트너에 대해 추가적인 통제가 필요하다고 판단할 수 있습니다. 고위험 사업 파트너는 중위험 사업 파트너보다 더 높은 수준의 통제를 받을 것으로 예상됩니다. 예를 들어, 조직은 모든 ​​중위험 및 고위험 사업 파트너가 계약 체결 전에 조직의 승인을 받아야 하며, 계약 이행 과정에서 합리적인 수준의 모니터링을 받아야 한다고 판단할 수 있습니다. 이러한 계약 전 승인에는 예를 들어 다음이 필요할 수 있습니다.

• 중간 위험 비즈니스 파트너의 경우:
  • 사업 파트너에 대한 실사 과정을 성공적으로 완료했습니다.
  • 해당 거래와 관련하여 사업 협력자가 적절한 부패 방지 조치를 시행했는지에 대한 조사.
  • 조직 내 두 명의 고위 관리자의 임명 승인.
• 고위험 비즈니스 파트너의 경우:
  • 강화된 수준의 실사.
  • 사업 담당자의 고위 관리자와의 면접 과정을 성공적으로 완료했습니다.
  • 조직의 최고 경영자가 임명을 승인함.

중위험 및 고위험 사업 파트너의 승인 및 모니터링 기록을 보관해야 합니다. 이 기록은 다음 형식일 수 있습니다. 사업 파트너 부패 위험 평가  이러한 평가에 대한 요약은 조직 부패 위험 평가의 이 섹션에 포함될 수 있습니다.

사업 파트너 위험 평가 이 측면에 대한 추가 지침은 다음을 참조하세요.

(1.7) 위 요소들의 평가를 토대로 조직이 직면한 전반적인 부패 위험을 평가한다.

위에서 설명한 위험 요소들은 서로 연관되어 있습니다. 예를 들면 다음과 같습니다.

• 해당 조직은 특정 국가와 고객이 고위험이라고 평가할 수 있지만, 해당 조직이 저위험 범위의 업무를 수행하고 있으며, 정부 관계자와 접촉하지 않고, 저위험 사업 파트너와만 협력하고 있기 때문에 부패 위험은 허용 가능한 수준입니다.
• 해당 조직은 위험도가 높은 국가에서 입찰 및 프로젝트 관리에 대한 강력한 통제를 구현한 특정 저위험 고객을 위해 일할 수 있다고 평가할 수 있습니다.

따라서 위험 평가의 이 부분은 최종적인 개요로 설계되었습니다. 모든 표준 통제와 중위험 및 고위험 국가, 프로젝트 및 사업 관계자와 관련하여 구현된 특정 통제의 조합을 고려할 때, 조직의 전반적인 통제 환경이 조직이 직면한 부패 위험을 허용 가능한 수준으로 줄이기에 적합할 가능성이 있는지 여부를 고려해야 합니다.

(1.8) 조직의 부패 방지 정책 및 절차의 약점이나 필요한 개선 사항을 평가합니다.

조직 부패 위험 평가를 통해 조직의 정책과 절차가 완벽하다는 것을 파악할 가능성은 매우 낮습니다. 취약점 파악과 개선 필요성은 모든 경영 프로그램에서 불가피하고 지속적인 부분입니다. 따라서 평가를 통해 조직의 부패 방지 정책 및 절차에서 확인된 취약점이나 개선 필요성을 파악하고 관련 권고안을 제시해야 합니다. 예를 들어, 위험 평가를 통해 조직이 아직 다음과 같은 사항을 이행하지 않았음이 확인될 수 있습니다.

• 중간 및 높은 위험 프로젝트를 담당하는 관리자를 위한 적절한 교육 프로그램 또는
• 중간 및 높은 위험의 사업 관계자에 대한 적절한 실사 절차.

따라서 위험 평가를 통해 이러한 취약점을 파악하고, 특정 날짜까지 적절한 시정 조치를 취할 것을 권고합니다. 그동안 조직은 파악된 취약점으로 인해 발생할 수 있는 위험 영역에 더욱 주의를 기울여야 합니다.

(2) 조직 부패 위험 평가 결과

평가의 의도된 결과는 조직의 전반적인 통제 환경이 조직이 직면한 부패 위험을 허용 가능한 수준으로 줄이는 데 적합할 가능성이 높다는 것을 조직에 합리적으로 확신시키는 것입니다.

(3) 조직 부패 위험 평가를 실시해야 하는 시기

조직의 부패 위험 평가는 매년 실시해야 하며, 조직의 사업 특성에 중대한 변화가 있는 경우 반복 실시해야 합니다.

(4) 조직 부패 위험 평가 문서화

조직 부패 위험 평가는 문서화되어야 합니다. 모든 내용을 문서화할 필요는 없습니다(예: 스프레드시트, 요약, 요점, 다른 문서와의 상호 참조 등). 그러나 위험 평가를 읽는 제3자가 위험과 평가 내용을 이해할 수 있을 만큼 충분히 자세해야 합니다. 예를 들어, 위험 평가를 작성하는 관리자가 조직을 떠날 경우, 후임 관리자가 평가 내용을 이해할 수 있을까요? 또는 범죄 수사가 진행 중일 경우, 조사관이 조직이 합리적이고 균형 잡힌 평가를 수행했음을 이해할 수 있을 만큼 위험 평가 내용이 충분히 명확할까요?

(5) 기타 위험 평가자 범주t

특정 위험 평가 범주에 대한 자세한 지침은 다음의 별도 웹 페이지를 참조하세요.

• 국가 부패 위험 평가
• 프로젝트 부패 위험 평가
• 사업 파트너 부패 위험 평가

메인으로 돌아가기 위험 평가 및 실사 페이지를 확인하시기 바랍니다.