준법 관리 시스템에 인증이 필요한 5가지 신호
대부분의 조직에는 ‘준법 프로그램’이라 불리는 제도가 있습니다. 하지만 면밀한 검토를 견뎌낼 수 있는 준법 관리 시스템을 갖춘 곳은 훨씬 적습니다. 다음은 이러한 격차가 드러나기 시작한다는 5가지 징후와, ISO 37301이 바로 이 격차를 해소하기 위해 마련된 이유입니다.
규제 준수 환경은 변화했습니다. 10년 전만 해도 행동 강령, 신고 핫라인, 연례 교육 프로그램만 갖추면 충분했습니다. 하지만 오늘날 규제 당국, 투자자, 고객, 법원은 더 체계적인 것을 요구합니다. 즉, 입증과 감사, 개선이 가능한 시스템을 기대하는 것입니다. ISO 37301은 그러한 시스템이 어떤 모습이어야 하는지를 규정하고 있습니다.
이 표준은 의도적으로 광범위하게 설계되었습니다. 제재, 반부패, 데이터 개인정보 보호, 경쟁법, 인권, 환경 규정 준수 및 귀사가 의무를 지고 있는 그 밖의 모든 분야에 적용됩니다. 문제는 ISO 37301이 관련이 있는지 여부가 아닙니다. 관련성이 있다는 것은 거의 확실합니다. 문제는 지금 당장 이에 대응해야 하는지 여부입니다.
다음 중 하나라도 익숙하게 들린다면, 아마도 그렇다는 뜻일 것입니다.
1. 규정 준수 업무는 시스템이 아니라 정책에 담겨 있습니다
여러분에게는 정책이 있습니다. 어쩌면 수많은 정책이 있을지도 모릅니다. 하지만 누군가 그 정책들이 일상적인 통제, 모니터링, 그리고 증거로 어떻게 구체화되는지 묻는다면, 대답하기는 훨씬 어렵습니다. 정책은 의도를 설명합니다. 반면 관리 시스템은 그 의도가 어떻게 실행에 옮겨지는지, 즉 각 의무의 책임자는 누구인지, 어떻게 모니터링되는지, 어떤 증거가 수집되는지, 예외 사항은 어떻게 처리되는지, 그리고 전체 시스템이 시간이 지남에 따라 어떻게 개선되는지를 설명합니다.
ISO 37301은 이러한 변화를 요구합니다. 이 표준은 단순히 무엇을 하겠다고 말하는지가 아니라, 실제로 어떻게 실천하고 있는지 입증하는지를 묻습니다. 정책 모음에서 관리 체계로 전환하는 조직들은 거의 예외 없이 자신들도 몰랐던 허점을 발견하게 됩니다. 책임자가 없는 의무 사항, 모니터링이 이루어지지 않는 통제 수단, 아무도 추적하지 않는 교육 등이 바로 그것입니다.
2. “어떻게 효과가 있는지 알 수 있나요?”라는 질문에 답할 수 없다.
이사회, 규제 당국 및 감사 기관들은 점점 더 비슷한 질문을 던지고 있습니다. 바로 “귀사의 규정 준수 프로그램이 효과적이라는 것을 어떻게 알 수 있습니까?”라는 질문입니다. 일화적인 사례나 무결점 감사 보고서만으로는 부족합니다. 이제는 시간이 지남에 따라 효과성을 입증할 수 있는 지표, 모니터링, 그리고 피드백 루프가 요구되고 있습니다.
ISO 37301은 이러한 요건을 표준에 명시하고 있습니다. 성과 평가, 내부 감사, 경영 검토 및 지속적 개선에 관한 조항들은 조직이 성과를 모니터링하고, 문제를 파악하며, 이에 대한 조치를 취할 것을 요구합니다. 그 결과, 단순한 주장이 아닌 데이터를 바탕으로 효과성에 대한 질문에 답할 수 있는 프로그램이 마련됩니다.
3. 문제가 발생해야만 규정 준수가 주목받는다
많은 조직에서 규정 준수는 사후 대응적인 성격을 띱니다. 대형 뉴스가 터지거나, 규제 당국의 제재 조치가 내려지거나, 내부 고발이 접수되면 갑자기 규정 준수 팀이 경영진의 주목을 받게 됩니다. 그러다 상황이 잠잠해지면 규정 준수는 다시 뒷전으로 밀려나게 됩니다.
제대로 설계된 CMS는 위기가 발생해야만 주목을 받는 시스템이 아닙니다. ISO 37301 표준은 최고 경영진의 의지, 명확히 정의된 역할과 책임, 비즈니스 프로세스와의 통합, 그리고 거버넌스 기구에 대한 정기적인 보고를 요구합니다. 이는 규정 준수를 ‘사건 발생 시에만 대응하는 방식’에서 ‘조직에 내재화된 체계’로 전환하는 것이며, 이는 규제 당국이 점점 더 기대하는 바이기도 합니다.
4. 통일된 체계 없이 여러 관할 구역에 걸쳐 사업을 운영하고 있습니다
귀사가 여러 국가에서 사업을 영위하고 있다면, 중복되거나 때로는 상충되는 규정 준수 의무를 피할 수 없을 것입니다. 제재 체제는 제각각이며, 데이터 보호법도 국가마다 다릅니다. 또한 뇌물 방지 집행의 우선순위도 일관되지 않습니다. 통합된 프레임워크가 없다면, 규정 준수는 각 지역별 대응을 조각조각 이어붙인 형태가 되어, 이를 비교하거나 우선순위를 정하거나 보고할 일관된 기준이 사라지게 됩니다.
ISO 37301은 이러한 프레임워크를 제공합니다. 이 표준은 현지 법적 요건을 대체하는 것이 아니라, 해당 요건을 파악하고, 담당자를 지정하며, 관리하고, 종합적으로 정리할 수 있는 체계적인 방법을 제시합니다. 여러 관할 구역에 걸쳐 활동하는 조직의 경우, 이는 인증을 통해 얻을 수 있는 가장 큰 실질적인 이점 중 하나입니다.
5. 내부적으로만 준수하는 것이 아니라 대외적으로도 이를 입증해야 합니다.
고객들은 확신을 요구하고, 투자자들은 ESG와 지배구조에 대해 묻습니다. 규제 당국은 리스크 관리 방식을 묻고, 파트너들은 계약 체결 전 확인을 요청합니다. 규정 준수 증빙에 대한 외부 요구가 급격히 증가함에 따라, 내부 승인만으로는 더 이상 예전만큼의 설득력을 갖지 못하게 되었습니다.
ISO 37301 인증은 귀사의 CMS가 국제 표준을 충족한다는 것을 입증하는 독립적인 제3자 검증 결과입니다. 이는 반드시 모범적인 운영을 보장하는 것은 아니지만, 이해관계자들이 점점 더 요구하는 체계적이고 외부에서 검증된 근거를 제공합니다. 외부 기관에 대해 규정 준수 성숙도를 반복적으로 입증해야 하는 조직의 경우, 인증을 통해 발생하는 마찰을 줄임으로써 투자 비용을 상쇄할 수 있습니다.
ISO 37301이 아닌 것
이 표준이 무엇을 하지 않는지 명확히 하는 것이 중요합니다. ISO 37301은 귀사의 사업에 어떤 법률이 적용되는지 알려주지 않습니다. 이는 귀사가 직접 판단해야 할 사항입니다. 또한 이 표준은 제재, 반부패, 데이터 개인정보 보호 또는 기타 기술적 분야에 대한 전문가의 조언을 대체하지 않습니다. 그리고 규정 준수 위험을 완전히 제거해 주지도 않습니다. 이 표준이 하는 일은 해당 위험을 관리하기 위한 검증되고 국제적으로 인정받는 체계를 제공하는 것입니다.
이미 성숙한 규정 준수 프로그램을 운영 중인 조직들은 ISO 37301이 단순히 기존 업무 방식을 공식화한 것에 불과하다고 여기는 경우가 많습니다. 반면, 규정 준수 체계 구축 초기 단계에 있는 조직들은 이 표준을 유용한 청사진으로 삼아 자체적으로 시스템을 새로 마련하는 수고를 덜 수 있습니다. 어느 쪽이든, 이 표준은 각 조직의 현재 상황에 맞춰 적용될 수 있습니다.
어디서부터 시작해야 할까
위의 다섯 가지 징후 중 하나라도 해당된다면, 다음 단계가 반드시 인증을 추진하는 것은 아닙니다. 다음 단계는 해당 표준이 실제로 무엇을 요구하는지, 그리고 조직의 기존 활동이 표준과 어떻게 부합하는지에 대한 내부적 이해를 높이는 것입니다. 대부분의 조직은 일부 조항에서는 생각보다 진척이 더 빠르고, 다른 조항에서는 생각보다 뒤처져 있는 경우가 많습니다. 어느 쪽인지 정확히 파악하는 것이야말로 생산적인 ISO 37301 도입 과정을 좌절감만 주는 과정과 구분 짓는 핵심입니다.
이러한 내부적 관점을 구축하는 가장 효율적인 방법은 소규모 팀을 대상으로 해당 표준에 대한 교육을 실시하는 것입니다. 교육을 받은 내부 팀은 ISO 37301을 직접 해석하고, 현재 운영 중인 프로그램이 표준과 부합하는 부분과 그렇지 않은 부분을 파악할 수 있으며, 이를 위해 외부 기관에 의존하거나 비용을 지출할 필요가 없습니다. 이후의 진행 방향은 조직의 의지, 이해관계자, 그리고 일정에 따라 달라집니다. 일부 조직은 바로 인증을 추진하기도 하고, 다른 조직은 외부 검증 절차를 밟기 전에 표준을 내부적으로 활용하여 프로그램을 성숙시키는 데 집중하기도 합니다. 두 가지 방법 모두 타당한 선택입니다.
ISO 37301 인증을 준비하시겠습니까? Speeki는 Speeki는 조직의 ISO 37301 인증을 지원하며 Speeki Executive Education를 통해 내부 감사자 및 수석 감사자 교육을 제공합니다.
문의하기 인증 또는 교육에 대해 상담하시려면 연락해 주세요.