ISO 37008: 조직 내 내부 조사
최근 몇 년간 ISO는 조직이 준수 프로그램의 핵심 측면을 개발하고 측정하며 보고하는 데 지침을 제공하기 위해 여러 표준을 발표했습니다. 이 중 가장 주목할 만한 ISO 37001은 뇌물방지와 부패방지에 초점을 맞추고 있으며, 또 다른 표준인 ISO 37301은 조직이 주요 규정 준수 프로그램 영역(실사, 수출 통제 또는 인권과 같은 ESG 중심 영역 등)을 중심으로 시스템을 구축하는 데 활용할 수 있는 일반 원칙과 요구사항을 제공합니다.
ISO 37008의 시기는 더할 나위 없이 적절하다. 보고 및 조사와 관련된 핵심 요건을 담은 여러 새로운 규정 준수 및 ESG 법률( 독일 공급망 실사법, 호주 인권법, 미국 해외부패방지법 및 영국 뇌물방지법과 같은 뇌물 관련 법률 등)의 등장과 확산을 고려할 때, ISO 37008은 조직이 이러한 분야에 대한 프로그램을 개발하고 관리하는 방법에 대한 지침을 제공한다.
이 글에서는 다음을 논의할 것입니다:
- 이 표준에서 제시된 핵심 개념들
- 조직이 ISO 37008 인증을 획득함으로써 규정 준수 및 ESG 규정이 부과하는 보고 및 조사 요구사항을 보다 효과적으로 관리할 수 있는 방법.
ISO 37008의 핵심 개념
ISO 37008은 조직이 조사 프로그램을 개발하는 데 지침이 되는 다섯 가지 영역을 제시하며, 이는 다음과 같습니다:
- 핵심 원칙
- 수사 수행을 위한 자원과 전문성
- 정책 및 절차 수립
- 보고
- 구제 조치의 적용.
ISO 37008은 대부분의 기업 조사 프로그램이 구축되는 전통적 원칙들을 지지합니다. 이러한 원칙들은 조직이 조사가 다음을 보장하도록 상기시킵니다:
- 독립적인
- 기밀
- 숙련된 전문가들에 의해 수행된
- 객관적이고 공정한
- 적용 가능한 법률에 따라 수행됩니다.
ISO 37008은 이사회(‘통치 기관’으로 지칭)와 경영진(‘최고 경영진’으로 지칭)이 조사 프로그램을 지원하여 조사를 관리할 유능하고 숙련된 인력이 확보되도록 하는 데 중점을 둡니다. 이는 당연해 보일 수 있으나, 본 표준은 조직이 조사 관리를 위한 재정적·물리적 자원 배분에 대한 의지를 입증해야 함을 강조합니다. 이 표준은 조직이 신고 및 조사를 관리하기 위해 적절한 기술 플랫폼을 활용하고, 이러한 제품에 투자하기 위한 재정적 자원을 투입할 것을 요구합니다.
기술, 전문성, 자금 외에도 ISO 37008은 이사회와 최고 경영진이 조사 프로그램의 독립성과 공정성을 보장해야 함을 강조합니다. 다른 ISO 규정 준수 표준(예: ISO 37001)에 익숙하다면, ISO는 조직의 최고 경영진이 규정 준수에 대한 의지를 보여주는 것을 매우 중요하게 여긴다는 점을 알 수 있습니다. 다른 프레임워크와 달리, 준법 및 윤리 책임은 준법 및 ESG 부서만의 전유물이 아닙니다. 이사회와 경영진은 자신들과 윤리 중심 팀 간의 명확한 의사소통을 보장해야 합니다. 이를 통해 해당 팀이 책임을 수행할 수 있는 권한을 부여받고 조직 최고위층과 직접 소통할 수 있는 경로를 확보할 수 있도록 해야 합니다.
ISO 37008은 조직이 조사 절차를 관리하기 위한 정책을 수립할 것을 요구합니다. 대부분의 대규모 조직은 이미 이러한 문서를 보유하고 있지만, 이 표준은 인증을 획득하려는 경우 정책에 명시적으로 기술되어야 하는 조사 프로그램의 핵심 요소를 강조합니다.
ISO 37008이 가장 유용하게 활용될 수 있는 부분은 조사 과정의 계획 및 실행을 규율하는 제8절이다. 제8절에서 설명하는 핵심 사항 중 하나는 조사 업무를 수행하는 팀과 별도로 운영될 수 있는 '보고 체계'를 수립하는 것이다. 표준에 따르면, 이 보고 체계는 조사 팀의 공정성을 보장하고, 사건의 성격에 따라 당국에 연락할 필요가 있는지 여부를 검토하며, 조직에 미치는 위험과 영향을 평가해야 한다. 조사 팀은 조사가 진행되는 동안 보고 체계에 최신 정보를 지속적으로 제공해야 한다.
이 표준은 또한 조사팀이 잠재적 사건에 대한 예비 평가를 수행하고 문서화할 것을 요구합니다. 대부분의 조직은 이미 분류 절차를 갖추고 있을 수 있으나, 표준에 명시된 예비 평가는 관련 당사자 연락, 비즈니스 영향 판단, 관련 환경 및 법적 문제 고려, 외부 자문 또는 지원 확보 여부 결정 등 각 조사의 핵심 사항을 조직이 명확히 문서화하도록 돕습니다. 문서화된 예비 평가의 필요성은 이러한 정보를 기록할 수 있는 소프트웨어 또는 조사 플랫폼 활용의 필요성을 부각시킵니다.
제8절은 또한 전자 데이터 수집, 보존, 분석 및 검토와 같은 조사 기술적 측면에 대한 보다 심층적인 정보를 제공합니다. 제8절의 부록에는 많은 조직이 활용할 수 있는 흥미로운 제안 사항들이 제시되어 있으며, 그 내용은 다음과 같습니다:
- 잠재적 사건의 신고자와의 기밀 유지가 표준에서 '서면 경고 통지서'라고 지칭하는 것을 통해 강조된다.
- 키워드, 태깅 및 분류를 활용하여 핵심 문서의 효율적인 관리를 보장하기 위한 '검토 프로토콜' 구현
- 수사에 대한 잠재적 간섭 가능성을 인지하고 있음.
ISO 37008은 각 조사의 종결을 표시하는 '종결 절차' 수행을 규정하며, 이 절차에는 증거에 기반한 조사 결과와 시정 조치를 개시하기 위한 충분한 결과 판단이 포함되어야 한다.
이 표준은 조사 보고서 작성에 대한 핵심 요구사항을 제시합니다. 이러한 요구사항은 다음과 같습니다:
- 증거물 및 중요 첨부 서류의 추가
- 사실 요약
- 제한 사항 및 제약 조건 설정
- 조직 문서 보존 기준을 통한 기밀 유지
이번에도 소프트웨어가 이 점에서 도움이 될 수 있습니다.
ISO 37008의 마지막 관련 조항은 시정 조치와 이해관계자 상호작용을 다룹니다. 조사 후 효과적인 조치를 취하는 데 있어, 이 표준은 단순히 발견된 문제에 대해 공정하고 비례적인 시정 조치가 이루어져야 한다고 명시하는 데 그치지 않습니다. 대신, 기업이 규정 준수 격차와 취약점을 파악하여 관련 규정 준수 프로그램 영역에 장기적인 개선을 이룰 수 있도록 할 필요성을 강조합니다.
이해관계자와의 상호작용에 관한 마지막 섹션은 결과 전달, 향후 조치 및 관련 당사자 보고의 여러 측면을 다룹니다. 본 표준은 당국에 대한 신중한 공개 문제를 다루며, 준법 및 윤리 팀이 조사 결과를 이사회 및 최고 경영진과 논의하고, 공개가 필요한지(또는 유익한지) 판단하며, 전달 전에 법률 고문과 협의해야 함을 강조합니다.
중요한 규정 준수 및 ESG 법률에 ISO 37008 적용
ISO 37008의 지침 및 요구사항을 기반으로 조사 프로그램을 설계하면 특정 규정 준수 및 ESG 법률을 보다 효과적으로 준수하는 데 도움이 될 수 있습니다.
해외부패방지법(FCPA)
기업이 FCPA 요건을 충족하기 위해 반부패 프로그램을 어떻게 개발해야 하는지에 대한 엄격한 지침은 없지만, 수년간 활용되어 온 핵심 문서로는 법무부(DOJ)의 '기업 준법 프로그램 평가' 지침이 있습니다. 이 문서에서 법무부는 기업이 잠재적 위법 행위를 저질렀는지 평가할 때 검찰이 활용할 수 있는 기준을 제시하고 있습니다.
검찰이 평가할 주요 프로그램 영역 중 하나는 조직의 비밀 신고 체계 및 조사 절차로, 법무부는 이를 기업이 기업 지배 구조 메커니즘을 구축했는지 여부를 판단하는 데 '매우 유의미한 증거'로 간주한다고 밝혔습니다. 검찰이 평가할 구체적 요소 다수는 ISO 37008의 핵심 조항과 일치하며, 다음을 포함합니다:
- 수사 범위를 적절히 설정하기 위한 절차를 마련하는 것
- 조사 과정이 독립적이고 객관적이며 문서화되도록 보장하는 방법론을 적용한다
- 보고 및 조사 프로그램의 일환으로 활용되는 메커니즘과 도구에 대한 충분한 자금 배분.
FCPA 관련 지침 준수 외에도 ISO 37008은 다음과 같은 실질적인 방법으로 반부패 문제 관리를 지원할 수 있습니다:
- 조직이 공급업체에 대한 리베이트, 정부 관계자 및 고객으로부터 부적절한 사업적 이점을 유도하기 위한 비자금 조성, 회사 선물·접대·유흥 정책 위반 형태의 혜택 제공 등 일반적인 뇌물 수수 방식에 관한 우려 및 신고를 접수할 수 있는 절차를 마련하도록 보장한다.
- 뇌물 수수 가능 사례를 기술한 문서 및 거래(이메일, 문자 메시지, 청구서, 영수증 등)를 조사 및 검토하기 위한 디지털 및 포렌식 도구 활용 지침 제공
- 각 조사 건의 주장 사항, 확인된 사실, 관련 및 영향 받은 개인, 그리고 결과를 명확히 정리한 보고서 작성
기업이 잠재적 조사 결과를 당국에 공개할지 여부 및 방법을 결정하는 데 대한 지침을 제공하는 것 – 특히 FCPA(미국 해외부패방지법) 맥락에서는, 처벌의 심각성을 완화하거나 집행 당국과의 기소유예 또는 기소불기소 협정 체결을 촉진하기 위한 공개가 포함될 수 있다.
독일 공급망 실사법(SCDDA)
SCDDA는 2023년 초 발효되었습니다. 이는 기업이 잠재적인 인권 침해 및 환경 문제에 대해 책임을 지도록 하는 독일 최초의 규정입니다. SCDDA를 준수하기 위해 기업은 운영 및 공급망 내 관련 위험을 모니터링하기 위한 관리 시스템을 구축해야 합니다. 개발해야 할 주요 프로세스에는 다음이 포함됩니다:
- 인권 및 환경 위험을 모니터링하기 위한 절차와 공급업체 및 직원에 대한 기대 사항을 명시한 정책 선언문
- 직원, 공급업체 및 관련 개인이 잠재적 위반 사항을 신고할 수 있도록 하는 절차
- 정부 당국에 대한 실사 및 조사 결과에 관한 연간 보고.
ISO 37008 인증을 획득하면 조직이 SCDDA(부패방지법) 준수를 더 잘 준비할 수 있습니다. ISO 37008 인증은 SCDDA 준수에 유용한 다음과 같은 여러 프로세스의 구현을 보장합니다:
- 정책을 개정하여 회사의 보고 체계를 통해 부패 및 인적 자원 문제와 같은 기존 사안 외에도 잠재적인 인권 및 환경 침해 사례를 공개할 수 있음을 알릴 것
- 내부 및 외부 이해관계자 모두가 활용할 수 있는 접근 가능한 보고 절차 및 도구 마련
- 인권 및 환경 문제에 대한 조사, 관리 및 보고 절차를 수립하는 것.
SCDDA는 제3자(공급업체, 고객, 관련 개인)가 신고 방법을 알 수 있도록 정보를 제공할 것을 요구하므로, 기업은 조사 절차를 명시한 내부 정책을 유지하면서 웹사이트에 공개 정책을 마련하는 것을 고려할 수 있습니다.
SCDDA 준수는 ISO 37008의 요구사항을 참조함으로써 보다 쉽게 달성할 수 있습니다.
기업지속가능성보고지침(CSRD)
CSRD는 2023년 초에 발효되었으며, 기업들이 자사 비즈니스 관행의 지속가능성에 대해 보고하도록 요구합니다.
CSRD의 첫 번째 주요 섹션은 조직이 지속가능성과 관련된 다양한 전략적 계획 및 목표에 대해 보고할 것을 요구합니다. 여기에는 지구 온난화 제한을 위한 조치, 2050년까지 탄소 중립 달성 전략, 내부 지속가능성 정책은 물론 조직의 비즈니스 모델 회복탄력성과 지속가능성 전략이 포함됩니다.
CSRD의 두 번째 주요 섹션은 실사(due diligence)에 초점을 맞추고 있습니다. 본 지침에서 '실사'란 조직의 운영 및 공급망으로 인해 발생하는 부정적 영향을 파악하기 위한 정보 수집 절차를 의미합니다. 이 조항의 핵심 요소 중 하나는 조직이 자사 활동으로 인한 부정적 영향을 예방, 완화, 시정 또는 종결하기 위해 취하는 조치입니다. ISO 37008을 참조함으로써 조직은 지속가능성과 관련된 문의 사항을 접수하고 관리할 수 있도록 보고 및 조사 절차를 구축할 수 있습니다. 일부에서는 지속가능성 문제를 법적 관점에서 덜 시급하거나 덜 관련성이 있다고 생각할 수 있으나, 지속가능성 문제가 기업의 운영으로 영향을 받는 지역 사회, 현지 시장의 고객 또는 공급업체 등 목소리를 내기 어렵거나 구제 수단에 접근하기 어려운 이들에게 영향을 미칠 수 있음을 기억해야 합니다. 보고 및 조사에 지속가능성 문제를 포함함으로써 조직은 운영으로 인한 부정적 영향을 보다 효과적으로 관리하고 CSRD 준수를 위한 정확한 공시를 보장할 수 있습니다.
결론
ISO 37008은 기업이 보고 및 조사 절차를 표준화하는 방법을 제공함과 동시에, 신규 및 기존 규정 준수 및 ESG 규정의 핵심 요구사항을 관리하기 위해 이러한 프로세스를 맞춤화할 수 있는 프레임워크를 제시합니다. 비즈니스 관점에서 본 표준은 조직이 내부 규정 준수 프로세스가 모범 사례와 부합함을 입증할 수 있는 방안을 제공합니다.