사기는 거의 예고 없이 발생합니다. ISO 37003는 사기를 적발할 수 있는 체계적인 방법을 제공합니다.

ISO 37003 사기 방지 체계를 구축하려면 먼저 조직이 사기에 노출될 수 있는 부분이 어디인지 파악해야 합니다. 초기 단계에서는 사기 위험 평가에 중점을 두는데, 이는 다양한 활동, 관할 구역 및 비즈니스 파트너 전반에 걸친 내부 및 외부 사기 위험을 파악하고, 이러한 위험이 현재 어떻게 통제되고 있는지 평가하는 과정입니다.

이러한 평가를 통해 종종 고의적인 은폐보다는 단순한 실수를 방지하기 위해 마련된 통제 수단, 미흡한 업무 분리, 제한적인 탐지 능력, 그리고 사기 위험에 대한 명확한 책임 소재가 부재한 실태가 드러납니다.

ISO 37003는 사기 위험 평가, 예방 및 탐지 통제 수단의 도입, 보고 체계 구축, 명확한 대응 및 시정 절차의 정립 등 이러한 요소들을 통합하기 위한 체계적인 프레임워크를 제공합니다.

기업들이 ISO 37003을 도입하는 데에는 분명한 이유가 있습니다. 바로 사기 손실을 줄이고, 고위험 분야의 통제 체계를 강화하며, 이사회와 투자자들에게 신뢰를 심어주고, 규제 당국과 파트너들에게 선제적인 사기 위험 관리 체계를 입증하기 위해서입니다.

소요 기간은 조직의 규모, 운영의 복잡성 및 기존 통제 체계의 성숙도에 따라 달라집니다. 이로 인한 이점은 평가 자체를 넘어 손실 감소, 조기 탐지, 그리고 이사회, 투자자 및 규제 당국의 신뢰 증대 등으로 이어집니다.

효과적인 사기 통제를 위해서는 문서화된 정책만으로는 부족하며, 사기 위험을 파악하고 이를 억제 및 탐지할 수 있는 통제 조치를 실행할 수 있는 인력이 필요합니다. 재무, 조달, 내부 감사, 운영 및 경영진 등 모든 부서의 직원들은 사기 위험을 평가하고, 통제 체계를 설계하며, 위험 신호를 감지하고, 적절히 대응할 수 있는 실무 능력을 갖추어야 합니다. 일반적인 규정 준수 교육만으로는 이러한 역량을 기르기 어렵습니다.

Speeki는 사기 위험 관리에 대한 실질적인 역량을 함양할 수 있도록 설계된, ISO 37003 전문 교육 프로그램을 제공합니다. 이 표준의 각 구성 요소는 실제 사례, 산업별 예시 및 실습을 통해 심도 있게 다룹니다.

참가자들은 다음 분야에서 실무 경험을 쌓습니다:

• 모든 활동 및 협력사를 대상으로 사기 위험 평가를 실시
• 업무 분리 및 승인 한도 설정과 같은 예방적 통제 수단 설계
• 위험 징후에 대한 탐지 통제 및 모니터링을 시행
• 사기 의심 사례에 대한 신고 체계를 마련하는 것
• 대응 계획, 조사 및 정화 조치
• 사기를 억제하는 청렴 문화를 조성하기

확장 과정에는 제3자 사기 위험, 수사와의 연계, 사기 통제 감사 준비에 관한 모듈이 포함되어 있습니다.

이 교육은 귀사의 직원들이 사기 방지 통제 조치를 자율적으로 수행하고 위험 신호에 일관되게 대응할 수 있도록 지원함으로써, 외부 컨설턴트에 대한 장기적인 의존도를 줄여줍니다. 교육은 현장 또는 원격으로 진행되며, 귀사의 업종과 위험 프로필에 맞춰 맞춤형으로 제공됩니다.

ISO 37003은 사기에 대한 위험 기반 접근 방식을 핵심으로 삼고 있으며, 이는 사기가 발생할 가능성이 가장 높고 피해가 가장 큰 부분에 통제 조치를 집중시키는 원칙을 따릅니다. 적용되는 통제 조치의 강도는 모든 프로세스를 동일하게 취급하는 것이 아니라, 각 활동에서 실제로 발생하는 사기 위험을 반영해야 합니다.

한 금융 서비스 기업과 한 제조업체는 각각 거래 및 신원 사기와 조달 및 재고 사기라는 매우 다른 사기 대응 우선순위를 가지고 있지만, 양사 모두 자사 고유의 주요 사기 위험 요소를 적절히 해결함으로써 효과적인 통제 체계를 구축할 수 있다.

통제 조치의 우선순위를 정하기 위해서는 다음 사항에 대한 체계적인 평가가 필요합니다:

• 각 사기 수법의 발생 가능성과 잠재적 영향
• 프로세스가 은폐 및 공모에 취약한 점
• 제3자 및 비즈니스 파트너를 통한 노출
• 기존 예방 및 탐지 통제의 효과

고위험 영역에서는 철저한 분리 조치, 강력한 승인 통제, 적극적인 모니터링 및 경영진의 감독이 필요합니다. 반면, 저위험 영역에서는 불필요한 부담을 주지 않으면서도 무결성을 유지할 수 있는 적절한 수준의 통제 조치가 필요합니다.

이러한 위험 중심의 접근 방식은 시스템 전반에 걸쳐 적용되어야 합니다. 즉, 통제 조치는 사기 위험이 가장 큰 부분에 집중되어야 하고, 모니터링은 가장 취약한 프로세스를 대상으로 해야 하며, 경영진 검토는 중대한 사기 노출 위험에 초점을 맞춰야 합니다. 운영 방식, 사기 수법 및 파트너가 변화함에 따라 정기적인 재평가를 통해 시스템의 효과성을 유지할 수 있습니다.

탄탄한 사기 방지 시스템을 입증하는 데 있어 중요한 것은 사기가 한 번도 발생하지 않는 것보다, 독립적인 평가에 앞서 통제상의 취약점을 해결하는 철저한 준비에 더 달려 있다.

조직들은 종종 정책 수립에 투자하지만, 결국 피할 수 있었던 문제들에 직면하곤 합니다. 예를 들어, 사기 위험 평가가 불완전하거나 최신 상태가 아니거나, 서류상으로는 존재하지만 실제로는 시행되지 않는 통제 수단, 취약한 탐지 능력, 그리고 직원들이 활용하지 않는 보고 체계 등이 있습니다.

Speeki의 사전 평가 서비스는 독립적인 평가에 앞서 이러한 위험 요소를 제거하기 위해 고안되었습니다. 당사의 격차 분석은 ISO 37003의 권고 사항을 기준으로 귀사의 사기 방지 시스템을 평가하여, 불완전한 위험 평가, 취약한 통제 체계, 미흡한 탐지 체계 및 신뢰도를 저해할 수 있는 격차를 파악합니다.

그런 다음, 정식 평가 절차를 그대로 재현한 전면적인 모의 평가를 실시합니다. 즉, 평가관들이 실제로 수행하는 방식과 똑같이 사기 위험 평가를 검토하고, 통제 수단을 테스트하며, 탐지 및 대응 능력을 점검합니다. 이를 통해 문서상의 미비점뿐만 아니라, 우회되는 통제 수단, 간과되는 위험 신호, 상급 부서로 보고되지 않는 사기 의심 사례 등 실무상의 취약점도 드러나게 됩니다.

명확하고 실행 가능한 시정 지침을 통해 정식 평가에 앞서 집중적인 개선을 이룰 수 있습니다. Speeki의 사전 평가 지원 서비스를 이용하는 고객사들은 대개 건전한 내부 통제 체계를 갖추는 동시에, 평가 이후에도 지속적으로 가치를 창출하는 강력한 사기 위험 관리 역량을 구축합니다.

ISO 37003 평가가 시작되기 전 마지막 몇 주 동안은 증거 자료를 체계적으로 정리해야 합니다. 사기 방지 관련 모든 문서는 평가관이 열람할 수 있도록 준비되어 있어야 합니다. 여기에는 사기 위험 평가, 통제 조치 설명, 직무 분리 매트릭스, 모니터링 및 탐지 기록, 보고 체계, 대응 및 조사 절차, 교육 기록, 검토 및 개선 증거 등이 포함됩니다. 미비한 부분이나 제대로 이행되지 않은 통제 조치는 신뢰도를 떨어뜨립니다.

ISO 37003의 각 요소를 뒷받침하는 통제 수단 및 증거와 연결하는 명확한 참조 매트릭스는 평가자가 시스템을 효율적으로 파악하는 데 도움이 됩니다.

평가 면담은 참가자들의 실제 담당 업무를 기준으로 인원을 선정하여 계획해야 하며, 일반적으로 재무, 조달, 내부 감사, 사기 또는 리스크 담당자, 그리고 감독 역할을 수행하는 고위 경영진이 포함됩니다.

모든 참가자는 평가자들이 무엇을 검토할지 파악해야 합니다. 사기 위험이 어떻게 평가되는지, 예방 및 탐지 통제가 실제로 어떻게 작동하는지, 사기 의심 사례가 어떻게 보고되는지, 그리고 조직이 이에 어떻게 대응하는지에 대해 상세한 질문이 있을 것으로 예상해야 합니다. 평가자들은 투명성을 중요하게 여기며, 서류상으로만 존재하는 통제 수단에는 부정적으로 반응합니다. 통제의 강점을 과장하는 것보다, 부족한 점을 인정하고 시정 조치를 설명하는 것이 더 효과적입니다.

평가에 소요되는 노력은 조직의 규모, 거래량, 운영의 복잡성 및 제3자와의 관계의 복잡성에 따라 증가합니다.

ISO 37003 평가는 계획, 검토 및 평가로 구성된 체계적인 절차를 따릅니다. 평가자는 먼저 평가 범위를 합의한 후, 사기 위험 평가 및 통제 체계를 검토하여 표준에 부합하는지 확인한 다음, 통제 조치가 실제로 어떻게 운영되는지 평가합니다.

초기 검토를 통해 위험 평가, 통제 조치 또는 탐지 체계에 존재하는 미비 사항이 파악되며, 평가자는 이러한 사항을 해결해야만 평가를 완료할 수 있습니다. 이후 조직은 이러한 지적 사항을 시정하고, 관련 통제 조치가 마련되어 있음을 확인합니다.

평가 단계에서는 시스템을 상세히 검토합니다. 즉, 통제 책임자와의 면담을 진행하고, 예방 및 탐지 통제가 어떻게 작동하는지 테스트하며, 의심되는 사기 사례가 보고되고 상급 부서로 이관되며 시정 조치가 취해지는지 확인합니다. 평가자는 통제가 형식적인 것이 아니라 실질적으로 효과적인지 여부를 검토합니다.

평가 후, 평가자는 해당 시스템이 ISO 37003을 준수하는지 여부에 대한 평가서를 발급합니다. 조직은 일반적으로 신뢰성을 유지하기 위해 주기적으로 재평가를 실시합니다. 전체 소요 기간은 조직의 규모, 거래의 복잡성 및 기존 통제 체계의 성숙도에 따라 달라집니다.

평가의 공정성을 유지하기 위해서는 실행 지원과 독립적인 평가가 반드시 분리되어야 합니다. Speeki는 전문가 교육 및 기술 지원을 통해 귀사의 부정 방지 시스템을 뒷받침하며, 평가자의 독립성을 훼손하지 않으면서 역량을 강화해 드립니다.

Speeki는 ISO 37003 표준을 해석하고 효과적인 부정 방지 통제 체계를 운영하기 위해 필요한 역량을 함양하는 집중 교육 프로그램을 제공합니다. 이를 통해 재무, 조달, 내부 감사 및 리더십 분야에 걸친 전문성을 함양함으로써, 조직이 장기적인 컨설턴트 의존 없이 내부적으로 부정 위험을 관리할 수 있도록 지원합니다.

교육 외에도, 조직에는 사기 방지 조치를 대규모로 반복 가능하고, 추적 가능하며, 감사 가능한 수준으로 관리할 수 있는 시스템이 필요합니다. Speeki Engage® 플랫폼은 일반적으로 수작업으로 처리되던 사기 방지 절차를 디지털화합니다. 이 플랫폼은 다음과 같은 기능을 제공합니다:

• 활동 및 파트너 전반에 걸친 사기 위험 평가를 체계화한다
• 위험을 예방 및 탐지 통제와 연계한다
• 모니터는 성과와 위험 신호를 관리합니다
• 사기 의심 사례에 대한 신고 접수 및 사건 대응을 관리한다
• 조사, 시정 조치 및 교훈을 문서화한다
• 역량 및 교육 이력을 기록하고 감사 추적을 관리합니다
• 사기 위험 및 통제 현황을 한눈에 파악할 수 있는 대시보드를 제공합니다

자동 알림 기능은 모니터링되지 않은 통제 사항, 간과된 위험 신호, 또는 상급자에게 보고되지 않은 의심 사례로 인해 발생할 수 있는 손실 위험을 줄여줍니다. 내부 역량을 강화하는 교육과 적극적인 통제 모니터링을 가능하게 하는 기술이 결합되면, ISO 37003 준수와 청렴 문화를 위한 견고한 기반을 마련해 줍니다.

ISO 37003 평가는 체계적인 방법론을 사용하기 때문에, 각 제공업체 간의 가격을 비교할 수 있습니다. 주요 비용 요인은 제공업체, 전문성 및 지역에 따라 달라지는 일일 평가사 단가와, 조직 규모 및 운영의 복잡성에 따라 결정되는 총 소요 노력의 조합입니다.

평가에 소요되는 노력은 직원 수, 사업장 수 및 위치, 거래량, 운영의 복잡성, 제3자를 통한 노출 정도 등에 따라 달라집니다. 단일 사업장을 운영하는 소규모 조직의 경우 소요되는 노력이 적지만, 복잡한 거래와 다수의 파트너를 보유한 대규모 다중 사업장 조직의 경우 더 많은 노력이 필요합니다.

평가 비용 외에도, 조직은 다음과 같은 관련 투자에 대한 예산을 편성해야 합니다:

• 재무, 조달 및 감사 팀을 위한 ISO 37003 교육
• 미흡한 부분에 대해 예방 및 탐지 통제 조치를 강화한다
• 수동 방식이나 스프레드시트 기반의 관리 추적을 대체할 때 Speeki Engage®와 같은 기술 플랫폼

지속적인 비용에는 신뢰성을 유지하기 위한 정기적인 재평가가 포함됩니다. 많은 조직은 사기 손실을 방지하고 사기를 조기에 적발함으로써 얻는 이점이 투자 비용을 훨씬 상회한다는 사실을 확인하고 있습니다. 조기에 상세한 견적을 요청하면 작업량을 정확하게 산정하고 현실적인 예산을 수립할 수 있습니다.