[반부패 동향] 컴플라이언스 프로그램의 효과성 측정
컴플라이언스 담당자는 컴플라이언스 프로그램이 어떻게 진행되고 있는지 평가하고, 해당 데이터와 진행 상황을 다양한 이해관계자와 공유할 수 있어야 한다.
컴플라이언스 프로그램를 효과적이고 객관적으로 측정할 수 있는 능력은 앞으로 컴플라이언스 분야에서 매우 중요하게 작용될 것이다.
지금까지 컴플라이언스 프로그램의 측정은 어느 정도의 진전이 있었다. ISO 37001인증은 컴플라이언스 프로그램의 성과를 평가하기 위한 강력한 프레임워크를 제공하고 있다. ISO 37001 인증의 출발점은 먼저 컴플라이언스 프로그램이 달성하고자 하는 목표를 식별하는 단계이다.
부패 사례가 발견되지 않는 것은 어느 기업에서나 이상적인 상황이지만 결코 컴플라이언스 프로그램의 목표가 돼서는 안 된다. 단순히 컴플라이언스 프로그램을 운영하고 있지 않기 때문이거나 기업이 운이 좋아서 한 번도 부패 사건이 발견되지 않았을 수도 있다. 반면에 충분한 인력과 자원, 그리고 적절한 컴플라이언스 프로그램을 갖춘 기업에서 여러 부패 사례들이 발견될 수 있다.
ISO 37001 인증을 받기 위해서는 기업의 리스크 프로필을 심층적으로 검토한 후 컴플라이언스 프로그램의 목표를 설정해야 한다. 각 목표에는 리스크를 해결하고 완화하기 위한 실행 계획이 있어야 한다. 각 실행 계획에는 성과 지표가 있어야 하며, 이를 통해 컴플라이언스 팀이 프로그램을 주도적으로 운영하고 성과를 대내외적으로 공유할 수 있어야 한다.
컴플라이언스 프로그램의 효과를 측정하는 방법 중 하나는 교육을 받은 직원의 수를 계산하는 것이다. 하지만 이러한 측정법은 직원이 무엇을 배웠는지 또는 해당 교육이 그들의 미래 행동에 어떻게 영향을 미칠지 측정할 수가 없다.
효과 측정
그렇다면 프로그램의 “효과”를 어떻게 측정해야 하는가?
- 콜드 어세스먼트(cold assessment)
첫 번째 해결책은 콜드 어세스먼트(cold assessment)이다. 콜드 어세스먼트는 직원들이 프로그램 교육을 마친 후(6개월 뒤) 주기적으로 교육의 개념들을 충분히 숙지했는지 테스트하는 방법이다.
- 컴플라이언스 프로그램 효과성 설문조사
두 번째는 직원들을 대상으로 매년 컴플라이언스 프로그램 효과성 설문조사를 실시하는 것이다. 본 설문조사를 통해 강력한 증거들을 제공받을 수 있다. 윤리 및 기업 정책에 대한 질문을 통해 직원의 태도 및 인식을 평가하고 회사 문화에 대한 솔직한 의견을 얻을 수 있다. 또한 컴플라이언스 문화의 잠재적 격차를 파악하고 컴플라이언스 프로그램과 직원 인식이 일치하는에 대한 여부를 조사할 수 있다.
- 기업윤리 핫라인
좀 더 창의적인 방법으로는 컴플라이언스에 대한 전체적인 접근법을 사용하는 것이다. 기업윤리 핫라인을 통해 신고된 사례를 검토하여 신고자가 교육을 통해 준수사항을 인지했는지, 피신고자가 미준수 행위 의혹과 관련된 교육을 받았는지 살펴보는 방법이다.
- 감사팀의 데이터 활용
마지막으로 기업 내부 감사팀을 통해 컴플라이언스에 대한 중요한 성과 데이터를 얻을 수 있다. 예를 들어 어느 특정 기업에서는 ‘선물 제공’이 부패 리스크의 주요 원인 중 하나이며, 해당 리스크를 완화하기 위한 보고 기능이 마련되어 있다고 가정해 보겠다. 컴플라이언스 팀은 내부 감사팀과 협력하여 현장/비즈니스 감사 범위에 대한 직원 비용 보고서를 검토하고 확인된 선물 지출 중 몇 퍼센트가 회사 정책을 준수하고 있는지 확인할 수 있다. 비율이 높을수록 기업 정책이 직원들에게 잘 전달되었고 잘 지켜지고 있다는 것을 나타낸다. 이것은 ‘선물 제공’에 대한 컴플라이언스 프로그램이 제대로 작동되고 있다는 객관적인 지표가 될 수 있다.
하지만 이러한 방법들을 도입한다고 해서 부패 사건이 발생하지 않을 거라고 가정할 수는 없다. 그러나 (i) 누가 교육을 받았는지에 대한 좋은 데이터를 가지고 있으며 (ii) 이용 가능한 객관적인 데이터를 통해 직원들이 규정을 준수하고 있다는 사실을 확인할 수 있다. 이 “배분(deployment)”지표와 “성과(performance)”지표는 컴플라이언스 프로그램이 효과적으로 수행되고 있다는 사실을 나타내고 있다.
컴플라이언스 담당자는 직원들의 마음을 들여다볼 수는 없다. 하지만 리스크의 영역을 파악해야 하고, 직원과 조직이 리스크를 최대한 완화시킬 수 있는 프로세스를 구축해야 한다. 또한 데이터를 자유롭게 사용하여 효과를 측정할 수 있어야 한다. 이는 효과적인 관리시스템에 내장된 지속적인 개선 주기이며 ISO 37001 접근법의 필수적인 부분이다.
컴플라이언스 커뮤티는 모범사례를 지속적으로 공유하고 컴플라이언스 프로그램을 측정하기 위한 표준 벤치마크를 채택하여 이 중요한 과제를 계속 이어나가야 한다
★ 이 글은 FCPA Blog의 Michael Julian의 기고문을 UNGC 한국협회에서 번역하였습니다. 인용 시 출처(유엔글로벌콤팩트 한국협회, Business Integrity Society 프로젝트)를 밝혀 주시기 바랍니다.