품질경영-ISO 37001 인증심사 준비: 필요서류·프로세스·KPI 요약

안녕하세요 품질쟁이 해월 입니다 제가 재직중이 회사도 현대차의 ESG정책에 발맞추어 ISO 37001 인증을 진행하였습니다. 관련된  프로세스와 인증과정의 세부적인 준비사항을 다시한번 알아보도록 하겠습니다

ISO 37001 인증심사는 조직의 반부패경영시스템(Anti-Bribery Management System, ABMS) 이 국제표준 요구사항에 따라 효과적으로 구축·운영되고 있는지를 검증하는 절차입니다. 단순히 부패나 뇌물 사건이 없는지를 확인하는 심사가 아니라, 조직이 부패 리스크를 예방·통제하고 윤리경영을 지속적으로 유지할 수 있는 체계를 갖추고 있는지를 평가합니다. 특히 제조업과 글로벌 공급망 환경에서는 협력사 관리, 해외영업, 구매·조달 및 대관업무 영역이 주요 심사 대상이 됩니다.

ISO 37001 인증심사는 일반적으로 1단계(Stage 1) 문서심사와 2단계(Stage 2) 현장 및 운영심사로 구성됩니다. 심사원은 문서의 존재보다 실제 운영과 증빙기록을 중심으로 평가합니다.

1. ISO 37001 인증심사 시 필요서류

ISO 37001은 ‘부패방지 시스템이 실제 작동하는가’를 입증할 수 있는 문서와 기록이 핵심입니다.

① 반부패경영시스템 기본 문서

• 반부패 방침(Anti-Bribery Policy)
• 반부패 목표 및 추진계획
• 조직도 및 역할·책임(R&R)
• 적용범위(Scope)
• 윤리규정(Code of Conduct)
• 반부패 절차서 및 운영기준

② 부패 리스크 및 컴플라이언스 문서

• 부패 리스크 평가(Risk Assessment) 기록
• 고위험 업무 식별 자료
• 법규 및 이해관계자 요구사항 목록
• 준법경영 관련 평가자료
• 이해상충(Conflict of Interest) 관리 기준

특히 해외영업, 구매, 협력사 선정, 인허가 및 대관업무는 고위험 영역으로 관리되어야 합니다.

③ 실사(Due Diligence) 및 거래관리 자료

• 협력사·대리점 실사 기록
• 공급업체 평가자료
• 계약서 반부패 조항
• 접대·선물·기부·후원 승인 기록
• 제3자(Agent·Consultant) 관리자료

ISO 37001 심사에서는 제3자 관리 체계가 매우 중요합니다. 실제 뇌물 리스크 상당수가 외부 파트너를 통해 발생하기 때문입니다.

④ 교육 및 인식제고 자료

• 반부패 교육 계획
• 교육 이수 기록
• 신규·정기 교육 자료
• 윤리서약서 및 준수확인서
• 임직원 커뮤니케이션 자료

심사원은 직원 인터뷰를 통해 반부패 정책 인지 수준과 신고 절차 이해도를 확인합니다.

⑤ 신고·조사·개선 관련 자료

• 내부 신고(Whistleblowing) 절차
• 신고 접수 및 조사 기록
• 시정조치 및 재발방지 기록
• 내부심사 보고서
• 경영검토 회의록
• KPI 관리자료

익명신고 보호체계와 보복금지 원칙 운영 여부도 주요 심사 항목입니다.

---

2. 인증심사를 위한 준비 프로세스

ISO 37001 구축은 다음과 같은 단계로 진행됩니다.

① Gap Analysis(현황 진단)

기존 윤리·준법체계를 ISO 37001 요구사항과 비교하여 부족한 부분을 분석합니다. 반부패 규정 부재, 실사 부족, 신고제도 미흡 등이 자주 발견됩니다.

② 시스템 구축 및 정책 수립

조직 상황(Context)과 이해관계자를 분석하고 반부패 정책과 절차를 제정합니다. 최고경영자의 반부패 의지와 책임 선언이 중요합니다.

③ 부패 리스크 평가

ISO 37001의 핵심 단계입니다. 업무별·국가별·거래유형별 부패 위험을 식별하고 위험등급을 결정하여 통제방안을 마련합니다.

④ 교육 및 조직 정착

전 임직원과 협력사를 대상으로 반부패 교육을 실시하고 신고체계 및 행동기준을 공유합니다.

⑤ 내부심사(Internal Audit)

시스템 운영 실태를 점검하고 부적합과 개선기회를 도출합니다. 운영 증거와 기록의 적합성이 중요합니다.

⑥ 경영검토(Management Review)

최고경영층이 부패 리스크, KPI, 신고현황, 자원 필요성을 검토하고 개선방향을 결정합니다.

⑦ 인증심사(Stage 1·2)

• Stage 1: 문서 및 시스템 준비상태 심사
• Stage 2: 실제 운영·인터뷰·현장 실행 심사

부적합 발생 시 시정조치 완료 후 인증이 부여됩니다.

---

3. ISO 37001에서 관리되어야 할 핵심 KPI

반부패 KPI는 사고 발생 건수보다 예방활동과 시스템 실효성 측정이 중요합니다.

선행지표(Leading KPI)

예방·관리 중심 KPI

• 반부패 교육 이수율
• 협력사 실사 수행율
• 고위험 거래 사전심사율
• 윤리서약 제출율
• 내부 신고 채널 인지도
• 반부패 점검 수행율
• 시정조치 완료율
• 계약 반부패 조항 적용률

결과지표(Lagging KPI)

성과·사건 중심 KPI

• 부패·뇌물 사건 발생건수
• 내부 신고 접수 건수
• 조사 완료율
• 법규 위반 건수
• 징계·제재 발생건수
• 감사 부적합 건수
• 평판 리스크 및 민원 건수
• 컴플라이언스 위반 비용

최근 ISO 37001 심사에서는 “사건이 없었다”는 결과보다, 리스크를 식별하고 예방하며 개선하는 체계가 운영되는가를 더 중요하게 평가합니다.

결국 ISO 37001 인증심사의 본질은 단순한 윤리 선언이나 문서 보유가 아니라, 조직 전반에 부패 예방 문화와 통제 시스템이 실제로 작동하고 있음을 입증하는 것입니다. 체계적인 문서, 실행되는 프로세스, 그리고 측정 가능한 KPI가 연결될 때 지속가능한 반부패경영이 가능합니다.

본인도 이전회사에서 일게 재무팀 직원의 회사돈 횡령등으로 회사전체가 휘청이는 모습을 보기도 했습니다. 오너의 리스크가 아닌 재무팀 직원의 자금 횡령 비리와 부패등으로 오랫동안 다니던 회사가 휘청인다면 이는 많은 종업원과 그가족들의 생계가 문제될수 있는사항으로 반드시 전략적이고 체계적인 관리 시스템이 마련되어야 할것입니다 

감사합니다