품질경영-ISO 37001 요구사항 정의

안녕하세요 품질쟁이 해월입니다

오늘은 ISO37001 반부페 윤리경영시스템  환경 시스템의 요구사항을 세부적으로 정리해보겠습니다

생각보다 많은 품질실무자분들이 어려워하시는 것중 하나입니다. 정식명칭은

한국산업표준 KS A ISO 37001:2017 부패방지경영시스템 요구사항 및 운영 가이드 (실무 중심 재정리)

 

1. 기본 개념부터 살펴볼가요 ?

1.1 ISO 요구사항의 핵심 원칙

ISO 요구사항에서 “~하여야 한다”라고 명시된 사항은 원칙적으로 반드시 실행 근거가 되는 출력물(문서화된 정보)이 필요하다.
단, 조직의 업무와 무관한 항목은 제외할 수 있다.

예시:

• 제품설계가 없는 조직 → 설계 관련 요구사항 제외 가능
• 고객재산을 관리하지 않는 조직 → 고객재산 관련 요구사항 제외 가능

 

1.2 문서화된 정보의 구분

구분	의미	예시
유지(Maintain)	문서	규정, 절차서, 지침서
보유(Retain)	기록	점검표, 교육일지, 회의록

 

2. 문서 및 양식 작성 원칙

2.1 양식 작성 기준

양식은 누구나 이해 가능하고 실제 업무에 필요한 최소 정보만 포함해야 한다.

작성 원칙

• 불필요한 항목 제거
• 반복적으로 사용하는 항목만 포함
• 일회성 내용은 비고란 활용
• 현장 사용성을 우선 고려

실무적으로 자주 발생하는 오해

• 페이지 번호가 없다고 문서가 무효는 아님
• 양식번호가 없다고 시스템이 즉시 부적합은 아님
• PPT 문서에도 반드시 양식번호가 필요한 것은 아님
• “관리본/비관리본” 표시가 없다고 효력이 상실되는 것은 아님

문서의 핵심은 형식보다 “적절성·효과성·활용성”이다.

 

3. 문서 승인 및 검토 체계

3.1 작성 · 검토 · 승인

문서

초안(안) 상태로 작성 후 승인 완료 시 정식 문서로 배포

예시:

• “문서관리규정(안)” → 승인 후 “문서관리규정”

기록

점검표, 현황표, 보고서 등에 승인 수행

 

3.2 전자결재 운영

다음과 같은 경우 반드시 인쇄 결재가 필요한 것은 아니다.

• 그룹웨어
• ERP
• 메일 승인
• 전산 Workflow

전자 승인 이력이 존재하면 인정 가능하다.

 

3.3 검토자의 역할

검토는 단순 서명이 아니라 다음 요소를 포함해야 한다.

• 검토 일자
• 검토자 성명
• 검토 내용 및 결과
• 검토 책임성

검토 능력과 책임이 없는 인원이 형식적으로 검토하는 것은 바람직하지 않다.

 

3.4 승인자의 역할

승인자는 다음 사항을 확인해야 한다.

• 문서 적절성
• 실행 가능성
• 조직 운영 적합성

승인은 단순 결재 행위가 아니라 책임 있는 의사결정이다.

 

4. 기록관리 및 보존연한

4.1 기록과 문서의 차이

구분	특징
문서	기준·절차, 개정 가능
기록	실행 결과·증거, 개정 불가

 

4.2 보존연한 운영

원칙

• 법규 요구사항 고려
• 제품 수명 + 1년 권장

예시:

• 자동차부품 수명 10년 → 기록 보존 11년 권장

 

4.3 전자문서 관리

전자파일은 저장공간 문제만 없다면 영구보관도 가능하다.
단, 접근권한·보안·백업체계는 필요하다.

 

5. 개정이력 운영

개정이력은 문서 추적 목적이며 반드시 첫 페이지에 모두 관리할 필요는 없다.

개정이 많은 경우:

• 별도 이력관리 페이지 운영
• 전산 이력관리 활용 가능

 

6. ISO 37001 구축 준비 단계

6.1 추진 절차

1. KS A ISO 37001:2017 규격 확보
2. 주관부서 선행 학습
3. 추진 조직 구성
4. 필요 시 외부 지도위원 선정
5. TFT 구성
6. 교육 및 시험 운영

 

6.2 권장 주관부서

적합한 부서 예시:

• 준법감시팀
• ESG팀
• 윤리경영실
• 감사실
• 총무팀

일반적으로 품질팀 단독 운영은 권장되지 않는다.

 

6.3 추진 참여 권장 부서

부패 리스크가 높은 부서를 우선 포함한다.

• 인사
• 구매
• 영업
• 생산
• 재무
• 개발
• 품질 등

 

7. 시스템 수립 단계

7.1 조직 상황 이해 (4.1)

내부 이슈 예시

• 갑질 문화
• 교육 부족
• 규정 미비
• 법규 인식 부족

외부 이슈 예시

• 법규 위반 이력
• 민원 증가
• 이해관계자 요구 미준수

 

핵심 포인트

“이슈”는 현재 발생 중이거나 예상되는 실제 문제를 의미한다.

SWOT 자체가 이슈는 아니다.

 

7.2 이해관계자 요구사항 (4.2)

내부 이해관계자

• 경영진
• 관리자
• 직원
• 노동조합

외부 이해관계자

• 정부기관
• 고객
• 협력사
• 지역사회

 

요구사항 구분

구분	의미
니즈	명문화된 요구
기대	암묵적 기대

예시:

• 계약서 요구사항 → 니즈
• 청렴 문화 기대 → 기대

 

7.3 적용범위 설정 (4.3)

적용범위는 조직이 실제 운영하는 영역에 맞춰 설정한다.

예시:

• 자동차부품 사업부만 적용
• 특정 공사분야만 적용

 

7.4 부패방지경영시스템 구축 (4.4)

ISO 37001 요구사항 실행을 위한 프로세스를 정의한다.

예시:

• 내부신고 절차
• 실사 프로세스
• 조사 절차
• 징계 절차
• 교육 절차

 

7.5 부패 리스크 평가 (4.5)

기본 흐름

이슈 파악 → 리스크 식별 → 분석 → 평가 → 조치 → 실행 → 모니터링 → 효과 확인

 

리스크 평가 예시

항목	설명
심각도	피해 수준
발생도	발생 가능성
위험도	심각도 × 발생도

 

조치방안 유형

• 제거
• 감소/완화
• 회피
• 유지

 

8. 리더십 및 방침

8.1 최고경영자의 역할 (5.1)

최고경영자는 다음에 대한 최종 책임을 가진다.

• 부패방지 정책
• 자원 지원
• 조직문화 조성
• 성과 검토

 

8.2 부패방지 방침 (5.2)

방침은 조직의 연간 부패방지 방향을 의미한다.

방침 수립 근거

• 리스크 평가 결과
• 이해관계자 요구사항
• 경영전략
• 법규 요구사항

 

8.3 역할 · 책임 · 권한 (5.3)

업무분장을 명확히 해야 한다.

• 최고경영자
• 부패방지 책임자
• 담당자
• 각 부서장

 

9. 기획 및 목표관리

9.1 리스크 및 기회 조치 (6.1)

리스크는 제거·완화하고 기회는 채택하여 개선한다.

예시:

• 교육 부족 → 교육 강화
• 인증 획득 → 조직 신뢰도 향상

 

9.2 목표 및 추진계획 (6.2)

구성 체계

구분	내용
전략	부패방지 방침
목표(Objective)	추진과제
세부목표(Target)	정량 KPI

 

10. 지원 프로세스

10.1 자원관리 (7.1)

필요 자원을 확보한다.

• 인력
• 시설
• 예산
• 시스템
• 공급자

 

10.2 역량 및 적격성 (7.2)

역량 기준 요소

• 학력
• 교육훈련
• 경험

 

내부심사원 예시

항목	기준
학력	고졸 이상
교육	ISO 37001 내부심사원 과정
경험	심사 경험 1회 이상

 

10.3 인식 및 교육 (7.3)

전 직원은 다음을 인식해야 한다.

• 부패방지 방침
• 신고 절차
• 위반 시 책임
• 조직 문화

 

10.4 의사소통 (7.4)

내부 소통

• 회의
• 메일
• 그룹웨어
• 교육

외부 소통

• 고객 공문
• 계약
• 법규 대응

 

10.5 문서화된 정보 관리 (7.5)

문서 체계 예시

구분	예시
매뉴얼	시스템 방향
절차서	업무 흐름
지침서	세부 기준
기록	실행 증거

 

11. 운용 (8항)

11.1 운용기획 및 관리 (8.1)

부패방지 관련 프로세스를 운영하고 기록을 유지해야 한다.

예시:

• 교육기록
• 서약서
• 내부심사 기록
• 조사 기록

 

11.2 실사(Due Diligence) (8.2)

중간 이상 리스크가 있는 경우 실사를 수행한다.

대상 예시:

• 고위험 거래
• 협력업체
• 특정 직무 담당자

 

11.3 재무적 관리 (8.3)

재무·회계 통제를 통해 부패 리스크를 예방한다.

 

11.4 비재무적 관리 (8.4)

다음 부서가 주요 대상이다.

• 구매
• 계약
• 개발
• 평가
• 감사

 

11.5 협력사 관리 (8.5)

협력사에 대해서도 부패방지 요구사항을 관리해야 한다.

예시:

• ISO 37001 인증 여부
• 청렴서약서
• 윤리규정 보유 여부

 

11.6 선물 · 접대 · 기부 관리 (8.7)

임직원 행동강령에 기준을 명확히 규정해야 한다.

 

11.7 신고 및 보호제도 (8.9)

필수 운영 요소:

• 익명 신고 허용
• 신고자 보호
• 보복 금지
• 기밀 유지

 

11.8 조사 및 조치 (8.10)

부패 의심사항은 독립적으로 조사되어야 한다.

필수 요소:

• 조사 권한
• 조사 기록
• 기밀 유지
• 결과 보고
• 시정조치

 

12. 성과평가

12.1 모니터링 및 측정 (9.1)

평가 대상:

• 목표 달성률
• 리스크 조치 현황
• 교육 실적
• 법규 준수 상태

 

12.2 내부심사 (9.2)

핵심 원칙

• 연 1회 이상 권장
• 독립성 확보
• 자기 부서 심사 금지

 

내부심사 운영 포인트

• 심사계획 수립
• 부적합 관리
• 시정조치 수행
• 효과성 확인

 

12.3 경영검토 (9.3)

최고경영자는 시스템 성과를 검토해야 한다.

검토 내용:

• 리스크 변화
• 심사 결과
• 목표 실적
• 조사 결과
• 개선 필요사항

 

13. 개선 활동

13.1 부적합 및 시정조치 (10.1)

구분	의미
시정	문제 제거
시정조치	재발방지
예방조치	잠재 문제 예방

 

13.2 지속적 개선 (10.2)

현재 수준 유지가 아니라 지속적인 향상을 의미한다.

예시:

• 신고 활성화
• 교육 고도화
• 리스크 분석 정교화

 

14. 실무 핵심 정리

ISO 37001 구축의 핵심

• 형식보다 실질 운영
• 문서보다 실행
• 보여주기보다 효과성
• 심사 대응보다 조직문화 구축

 

결론

본 내용은 KS A ISO 37001:2017 요구사항을 기반으로 실무 관점에서 재정리한 자료이다.
조직 규모, 업종, 리스크 수준, 조직문화에 따라 운영 방식은 달라질 수 있으며, 각 조직은 스스로 요구사항을 해석하고 적절한 문서 및 운영체계를 구축해야 한다.

특히 ISO 시스템은 “문서의 양”이 아니라 다음 요소가 핵심이다.

• 적절성
• 효과성
• 실행 가능성
• 지속적 개선

궁극적으로 ISO 37001은 인증 취득 자체보다 “부패를 예방하는 조직문화 구축”에 목적이 있다

어렵지만 조직문화의 개선을 위하여 필요 한 사항입니다 더 궁금한것은 문의주십시요