블로그
ISO 인증

ISO 37008: 조직 내 내부 조사

이 게시물 공유하기
ISO 37008: 조직 내 내부 조사

최근 몇 년 동안 ISO는 조직이 규정 준수 프로그램의 주요 측면을 개발, 측정 및 보고하는 데 도움이 되는 여러 표준을 발표했습니다. 이 중 가장 주목할 만한 ISO 37001은 뇌물 수수 및 부패 방지에 중점을 두고 있으며, 또 다른 ISO 37301은 조직이 모든 주요 규정 준수 프로그램 영역(실사, 수출 통제 또는 인권과 같은 ESG 중심 영역)에 대한 시스템을 구축하는 데 사용할 수 있는 일반적인 원칙과 요구 사항을 제공합니다.

ISO 37008의 도입 시기는 이보다 더 좋을 수 없습니다. 독일 공급망 실사법, 호주 인권법, 미국 해외부패방지법 및 영국 뇌물수수법 등 보고 및 조사에 관한 중요한 요건을 갖춘 여러 새로운 규정 준수 및 ESG 법률의 출현과 확산을 고려할 때 ISO 37008은 조직에 이러한 분야에 대한 프로그램 개발 및 관리 방법에 대한 지침을 제공합니다.

이 글에서는 이에 대해 설명합니다:

  • 이 표준에 설명된 주요 개념은 다음과 같습니다.
  • 조직이 ISO 37008 인증을 획득하여 규정 준수 및 ESG 규정에서 부과하는 보고 및 조사 요건을 보다 효과적으로 관리할 수 있는 방법을 알아보세요.

ISO 37008의 주요 개념

ISO 37008은 조직이 조사 프로그램을 개발할 때 지침이 되는 다섯 가지 영역을 제시합니다:

  • 핵심 원칙
  • 조사 수행을 위한 리소스 및 전문 지식
  • 정책 및 절차 수립
  • 보고
  • 시정 조치 적용.

ISO 37008은 대부분의 기업 조사 프로그램이 구축되는 전통적인 원칙을 지지합니다. 이러한 원칙은 조직이 조사가 다음과 같이 이루어져야 함을 상기시킵니다:

  • 독립
  • 기밀
  • 숙련된 전문가가 수행
  • 객관적이고 공정한
  • 관련 법률에 따라 수행됩니다.

ISO 37008은 이사회('관리 기관'이라 함)와 경영진('최고 경영진'이라 함)이 조사 프로그램에 투자하여 조사를 관리할 수 있는 유능하고 숙련된 인력을 확보하는 것을 매우 강조합니다. 이는 당연한 것처럼 보일 수 있지만, 이 표준은 조직이 조사를 관리하기 위해 재정적, 물리적 자원을 할당하겠다는 의지를 보여야 한다는 점을 강조합니다. 이 표준은 조직이 신고 및 조사를 관리하기 위해 적절한 기술 플랫폼을 활용하고 이러한 제품에 투자하기 위한 재정적 자원을 확보할 것을 요구합니다.

ISO 37008은 기술, 전문성, 비용 외에도 관리 기관과 최고 경영진이 조사 프로그램의 독립성과 공정성을 보장해야 한다는 점을 강조합니다. 규정 준수에 관한 다른 ISO 표준(예: ISO 37001)에 익숙하다면, ISO는 조직의 최고 경영진이 규정 준수에 대한 의지를 보여주는 것을 매우 중요하게 여기는 경향이 있습니다. 다른 프레임워크와 달리 규정 준수 및 윤리에 대한 책임은 규정 준수 및 ESG 부서에만 있는 것이 아니라, 이사회와 경영진은 자신과 청렴성 중심 팀 간에 명확한 커뮤니케이션이 이루어지도록 하여 후자가 책임을 수행할 수 있도록 권한을 부여하고 조직의 최고위층과 직접 소통할 수 있는 라인을 확보해야 합니다.

ISO 37008은 조직이 조사 프로세스를 관리하기 위한 정책을 개발하도록 요구합니다. 대부분의 대규모 조직은 이미 이러한 문서를 갖추고 있지만, 이 표준은 정책에 명시적으로 기술해야 하는 조사 프로그램의 핵심 요소를 강조하며, 인증을 받으려는 경우 필수적입니다.

ISO 37008이 가장 유용할 수 있는 부분은 조사 프로세스의 계획과 실행에 관한 섹션 8입니다. 섹션 8에 설명된 핵심 사항 중 하나는 조사 업무를 수행하는 팀과 분리할 수 있는 '보고 라인'을 구축하는 것입니다. 이 표준에 따르면 이 보고 라인은 조사팀의 공정성을 보장하고, 사건의 성격에 따라 당국에 연락해야 하는지 여부를 고려하며, 조직에 미치는 위험과 영향을 평가해야 합니다. 조사팀은 조사가 진행됨에 따라 보고 라인을 계속 업데이트해야 합니다.

또한 이 표준은 조사팀에 잠재적 사고에 대한 예비 평가를 수행하고 문서화할 것을 요구합니다. 대부분의 조직은 분류 프로세스를 갖추고 있을 가능성이 높지만, 표준에 설명된 예비 평가는 관련 당사자와의 접촉, 비즈니스 영향 판단, 관련 환경 및 법적 문제 고려, 외부 자문 또는 지원 수집 여부 결정 등 각 조사의 주요 측면을 명확하게 문서화하는 데 도움이 됩니다. 문서화된 예비 평가의 필요성은 또한 이러한 정보를 기록할 수 있는 소프트웨어 또는 조사 플랫폼의 활용 필요성을 강조합니다.

섹션 8에서는 전자 데이터 수집, 보존, 분석 및 검토와 같은 조사의 기술적 측면에 대한 보다 심층적인 정보도 제공합니다. 섹션 8의 부록에는 많은 조직이 활용할 수 있는 흥미로운 제안이 나와 있습니다:

  • 표준에서 '서면 주의 통지'라고 부르는 것을 통해 잠재적 사고의 보고자에게 기밀을 강조합니다.
  • 키워드 사용, 태그 지정 및 분류를 통해 주요 문서를 효율적으로 관리할 수 있도록 '검토 프로토콜'을 구현합니다.
  • 조사에 방해가 될 수 있음을 인지하고 있어야 합니다.

ISO 37008은 각 조사의 끝을 알리는 '마무리 프로세스'의 수행에 대해 설명하며, 증거 기반 조사 결과와 문제 해결을 시작하기에 충분한 결과 결정을 포함해야 합니다.

이 표준에는 조사 보고서 작성에 필요한 중요한 요건이 명시되어 있습니다. 이러한 요구 사항에는 다음이 포함됩니다:

  • 전시물 및 중요한 첨부 파일 추가
  • 사실 요약
  • 제한 및 제약 조건 설정
  • 조직의 문서 보존 표준을 통해 기밀을 유지합니다.

다시 한 번 소프트웨어가 도움이 될 수 있습니다.

ISO 37008의 마지막 관련 섹션에서는 시정 조치와 이해관계자 상호 작용에 대해 다룹니다. 조사 후 효과적인 조치를 취하는 것과 관련하여 이 표준은 단순히 발견된 문제에 대해 공정하고 비례적인 시정 조치를 취해야 한다고 명시하는 것 이상의 의미를 담고 있습니다. 대신, 이 표준은 기업이 규정 준수 격차와 취약성을 파악하여 관련 규정 준수 프로그램 영역을 장기적으로 개선할 수 있도록 해야 할 필요성을 강조합니다.

이해관계자와의 상호작용에 관한 마지막 섹션에서는 결과, 다음 단계 및 관련 당사자에 대한 보고를 전달하는 여러 측면을 다룹니다. 이 표준은 당국에 대한 신중한 공개라는 주제를 다루며, 준법 및 청렴성 팀은 조사 결과를 관리 기관 및 최고 경영진과 논의하고 공개가 필요한지(또는 유익한지) 결정하며, 소통하기 전에 법률 고문과 상의해야 한다는 점을 강조합니다.

중요한 규정 준수 및 ESG 법률에 ISO 37008 적용

ISO 37008의 가이드라인과 요구사항을 기반으로 조사 프로그램을 설계하면 특정 규정 준수 및 ESG 법률을 보다 효과적으로 준수하는 데 도움이 됩니다.

해외부패방지법(FCPA)

기업이 FCPA의 요건을 충족하기 위해 부패 방지 프로그램을 개발하는 방법에 대한 엄격한 지침은 없지만, 수년간 사용되어 온 주요 문서 중 하나는 법무부(DOJ)의 '기업 규정 준수 프로그램 평가' 지침입니다. 이 문서에는 검찰이 기업의 잠재적 위법 행위를 평가할 때 사용할 수 있는 기준이 제시되어 있습니다.

검찰이 평가할 주요 프로그램 영역 중 하나는 조직의 기밀 보고 구조와 조사 프로세스이며, 법무부는 기업이 기업 거버넌스 메커니즘을 구축했는지에 대해 '매우 가능성이 높다'고 지적하고 있습니다. 검찰이 평가할 구체적인 요소 중 다수는 ISO 37008의 주요 섹션과 일치하며, 여기에는 다음과 같은 내용이 포함됩니다:

  • 조사 범위를 적절히 설정하는 프로세스를 갖추고 있습니다.
  • 독립적이고 객관적이며 문서화된 조사를 보장하기 위한 방법론 사용
  • 보고 및 조사 프로그램의 일부로 활용되는 메커니즘과 도구에 충분한 자금을 할당합니다.

ISO 37008은 FCPA 관련 가이드라인을 준수하는 것 외에도 다음과 같은 여러 가지 실질적인 방법으로 부패 방지 문제를 관리하는 데 도움이 될 수 있습니다:

  • 공급업체에 대한 리베이트, 공무원 및 고객으로부터 부당한 사업상 이익을 유도하기 위한 비자금 조성, 회사 선물, 식사 및 접대 정책을 위반한 혜택 제공 등 일반적인 뇌물 수수 계획에 대한 우려 및 신고를 접수할 수 있는 절차를 마련해야 합니다.
  • 이메일, 문자 메시지, 송장, 영수증 등 잠재적인 뇌물 수수 사례를 설명하는 문서와 거래를 조사하고 조사하기 위한 디지털 및 포렌식 도구 구현에 대한 지침을 제공합니다.
  • 각 조사의 혐의, 알려진 사실, 관련자 및 영향을 받은 개인, 결과를 명확하게 정리한 보고서를 작성합니다.

기업이 당국에 잠재적 조사 결과를 공개하는 방법과 공개 여부를 결정하는 데 필요한 지침을 제공합니다. 특히 FCPA 맥락에서는 처벌의 심각성을 줄이거나 집행 기관과 기소 유예 또는 불기소 합의를 이끌어내기 위한 공개가 포함될 수 있습니다.

독일 공급망 실사법(SCDDA)

SCDDA는 2023년 초에 발효되었습니다. 이는 잠재적인 인권 침해 및 환경 문제에 대한 기업의 책임을 묻는 독일 최초의 규정입니다. SCDDA를 준수하기 위해 기업은 운영 및 공급망 내에서 관련 위험을 모니터링하는 관리 시스템을 구현해야 합니다. 개발해야 하는 주요 프로세스 중 일부는 다음과 같습니다:

  • 인권 및 환경 위험을 모니터링하는 절차와 공급업체 및 직원에 대한 기대치를 명시하는 정책 선언문
  • 직원, 공급업체 및 관련 개인이 잠재적 위반 사항을 공개할 수 있는 보고 절차
  • 실사 및 조사 결과에 대해 정부 당국에 매년 보고합니다.

ISO 37008 인증을 받으면 조직이 SCDDA 준수를 더 잘 준비할 수 있습니다. ISO 37008 인증을 받으면 다음과 같이 SCDDA 준수에 유용한 여러 프로세스를 구현할 수 있습니다:

  • 부패 및 인사 문제와 같은 전통적인 문제 외에도 잠재적인 인권 및 환경 침해를 공개하는 데 회사 보고 라인을 사용할 수 있음을 알리기 위해 정책을 개정합니다.
  • 내부 및 외부 이해관계자 모두가 사용할 수 있는 접근 가능한 보고 절차 및 도구 설정
  • 인권 및 환경 문제를 조사, 관리 및 보고하는 절차를 마련합니다.

SCDDA는 제3자(공급업체, 고객, 관련 개인)에게 신고 방법에 대한 정보를 제공하도록 요구하므로, 기업은 조사 절차를 설명하는 내부 정책을 유지하면서 웹사이트에 공개 정책을 설정하는 것을 고려할 수 있습니다.

ISO 37008의 요구 사항을 참조하면 SCDDA를 보다 쉽게 준수할 수 있습니다.

기업 지속가능성 보고 지침(CSRD)

2023년 초에 발효된 CSRD는 기업에게 비즈니스 관행의 지속가능성에 대한 보고를 의무화하고 있습니다.

CSRD의 첫 번째 주요 섹션에서는 지구 온난화 제한 조치, 2050년까지 탄소 중립을 달성하기 위한 전술, 내부 지속가능성 정책, 지속가능성을 위한 조직의 비즈니스 모델 및 전략의 복원력 등 지속가능성에 관한 다양한 전략적 이니셔티브와 목표를 보고하도록 요구하고 있습니다.

CSRD의 두 번째 주요 섹션은 실사에 초점을 맞추고 있으며, 이 지침에서 '실사'는 조직의 운영 및 공급망으로 인한 부정적 영향을 파악하기 위한 정보 수집 프로세스를 의미합니다. 이 섹션의 핵심 측면 중 하나는 조직으로 인해 발생하는 부정적 영향을 예방, 완화, 개선 또는 종식시키기 위해 조직이 취하는 조치입니다. 조직은 ISO 37008을 참조하여 지속 가능성과 관련된 문의를 접수하고 관리하기 위한 보고 및 조사 프로세스를 구축할 수 있습니다. 일부에서는 지속가능성 문제를 법적 관점에서 덜 시급하거나 관련성이 낮다고 생각할 수 있지만, 지속가능성 문제는 기업의 운영으로 영향을 받는 지역 사회, 현지 시장의 고객 또는 공급업체와 같이 발언권이 없거나 구제 수단이 적은 사람들에게도 영향을 미칠 수 있다는 점을 기억해야 합니다. 보고 및 조사에 지속가능성 문제를 포함함으로써 기업은 운영으로 인한 부정적 영향을 보다 쉽게 관리하고 CSRD 준수를 위한 정확한 공개를 보장할 수 있습니다.

결론

ISO 37008은 기업이 보고 및 조사 프로토콜을 표준화할 수 있는 방법을 제공하는 동시에 이러한 프로세스를 신규 및 기존 규정 준수 및 ESG 규정의 주요 요건을 관리하기 위한 프레임워크를 제공합니다. 비즈니스 관점에서 이 표준은 조직이 내부 규정 준수 프로세스가 모범 사례와 일치한다는 것을 입증할 수 있는 방법을 제공합니다.

문의하기
이 게시물 공유하기