ISO 37001 인증 취득을 위한 활동은, 원칙적으로 뇌물방지를 위한 컴플라이언스 프로그램을 구축하여 실질적으로 운영하는 것이다. 따라서 기존에 공정거래CP(Compliance Program)를 구축, 운영하는 회사의 경우에는 상대적으로 수월하다. 다만, 국내에서 등급평가를 위한 활동과 국제표준과는 차이가 있고, 특히 뇌물방지라는 특성에서 오는 차이가 있기 때문에 ISO 37001에 대한 전문가의 지원이 필요하다. 일반적인 구축 및 운영 프로세스는 다음과 같다. (참고로 ISO 37001은 Anti-Bribery Management System인데, 국내에서는 ‘반부패’경영시스템으로 번역하고 있어, 여기서도 두 용어를 혼용하기로 한다)
1 현황 및 갭 분석
가장 먼저 당해 조직이 처한 상황을 제대로 이해하는 것이 필요하다. 조직상황의 이해를 위한 목록이 4장 1절에 나열되어 있다. 일반적으로 신설 조직이 아닌 이상, 그 동안의 경험으로 뇌물과 관련된 자신의 활동이 무엇인지, 어떤 이해관계자가 뇌물 제공을 요구하거나 혹은 뇌물제공의 대상이 되는지 잘 알고 있을 가능성이 있다. 다만 국가에 따라 또는 최근 법령의 개정으로 뇌물제공행위의 범위가 달라질 수 있다는 점은 주의하여야 한다.
갭분석은 ISO 37001의 요구수준과 당해 조직의 수준과의 간극에 대한 분석이다. 설문조사 혹은 담당자 인터뷰 등을 통해 분석이 이루어지는데, 좀 더 상세하게 분석하기 위해서는 관련 자료 및 활동에 대한 체크리스트가 잘 준비되어 있을 필요가 있다. 뇌물방지 경영시스템의 구축 과정에서 약간의 오차 정도는 조정이 가능하기 때문에, 준비가 철저할 경우에는 갭 분석에 오랜기간이 필요하지 않다.
2. 부패 위험 평가(RA: Risk Assessment)
조직의 상황을 전제로 부패 위험 평가를 실시하여야 한다. 이미 어느 정도는 알고 있겠지만, 이를 체계적으로 분석하여 자료로 남겨두는 것이 필요하다. ISO 37001에서 자료에 대한 요구를 강하게 하지는 않지만, 자료가 작성되어 있어야 그 후 이를 기초로 지속적인 개선활동이 수월하기 때문이다. 부패 위험 평가는 일반적인 RA 기법을 활용한다.
3. ABMS(Anti-Bribery Management System)전략 수립
반부패경영시스템은 평가된 위험에 비례하여 합리적으로 설정되어야 한다. 가장 먼저 전담부서와 그 책임자를 결정하는 것이 바람직하다. 부패방지 준수 책임자가 되기에 적합한 적격자를 선임하고 이 책임자로 하여금 ABMS 구축 초기부터 관련 업무를 담당하도록 하여야 한다.
책임자와 담당부서가 정해지면, 당해 조직에 적합한 ABMS의 구축을 위한 전략을 수립하여야 한다. 이 전략은 최고경영자 및 이사회의 승인을 얻어 실행되어야 한다. ABMS가 조직의 일부 기능에 국한되는 것이 아니라, 조직의 모든 활동에서 기준이 되어야 하는 것이고, 기업문화로서 존재하여야 할 필요가 있다.
4. ABMS절차 개발
구체적인 절차는 컴플라이언스 프로그램의 일반적인 구축 방법에 따른다. Plan-Do-See의 흐름에 따라 부패방지를 위해 지켜야 할 각종 규정 및 절차를 작성하고, 적절한 교육 및 훈련을 실시하며, 규정에 따라 제대로 수행되는지 모니터링과 감사를 실시하고 그 결과를 분석하여 개선활동으로 이어지게 하는 절차이다.
5. ABMS운용 계획 수립 및 수행
개발된 절차에 따라 실제 운용하기 위한 계획을 수립하고 이를 실행에 옮겨야 한다. ABMS가 실제 부패방지를 위해 효과적인지, 어디에서 개선점이 있는지를 확인하여 지속적으로 개선해 나갈 필요가 있다.