이원기(한국컴플라이언스인증원장)
[라포르시안] ESG(환경·사회·지배구조) 경영 도입 및 강화에 따라 국제표준기구(이하 ISO) 인증을 받는 기업이 급증하고 있다. 제약바이오업계 역시 예외는 아니다. 수많은 제약바이오기업이 앞다퉈 ISO 인증을 받고 있는 가운데, ISO 인증의 진정한 가치는 조직 문화에 내재화함으로써 해당 시스템이 운용돼야 한다는 것이 ISO 인증 전문가들의 제언이다.
국내 인증기관의 질 관리도 문제로 지목되고 있다. 수백개에 이르는 인증기관이 과연 프로세스대로 심사 및 인증을 진행하고 있냐는 것이다. 이와 관련해 ‘인증서만을 위한 인증’에 대한 비난도 높은 상황이다. 퍼포먼스만을 목적으로 하는 기업들이 쉽게 인증을 해주는 인증기관을 찾는 상황도 상당수 벌어지고 있다는 것. 라포르시안은 한국컴플라이언스인증원 이원기 원장을 만나 기업이 어떤 인증기관으로부터 ISO 인증을 받아야 할 지, 인증 이후의 운용방안은 무엇인지, 진정한 ISO 인증의 의미는 무엇인지 들어봤다.
- ESG가 기업 경영에서 가장 중요한 키워드 중 하나가 되면서, 제약·바이오 기업들도 경쟁하듯 ISO 인증을 받고 있다. 최근 국내 제약바이오기업의 ISO 인증 추세와 인증별 특징은 어떤가.
= 과거 ISO 인증의 트렌드가 품질 등에 초점이 맞춰져 있었다면 최근에는 법규 기반에 관한 국제 표준 인증이 많이 나오고 있다. 2016년 10월부터 김영란법이 시행됐는데, 공교롭게도 ISO 37001(부패방지경영)도 그 때 나왔다. ISO라는 것을 너무 어렵게 생각할 필요가 없다. 효과적 업무 절차에 필요한 기준을 제시하고, 부패 방지라는 효과를 달성할 수 있게끔 돕는 툴이라고 생각하면 된다. 기존에는 부패 행위들을 관리하기가 어렵고, 어떻게 해야할지 모르다보니 ISO 표준이라는 툴을 활용하게 된 것이다.
최근에는 ESG와 맞물리면서 니즈가 다양화되고 있다. 중대재해처벌법이 대표적이 사례이고 이와 관련해 ISO 45001(안전보건경영)이 부각되기 시작했다. 최근의 컴플라이언스는 이해관계자들의 가치 정립, 즉 규범적 컴플라이언스와, 윤리와 관련된 자발적 컴플라이언스 등 두 개가 혼합된 형태의 컴플라이언스 체계로 확산되고 있다. 이에 필요한 부분이 국제 기준으로 만들어내고 있다.
내부 고발에 관한 인증도 있다. 제약사의 경우 블라인드 웹 등에서 내부 고발 이슈가 많다. 그런 내부 고발에 조직이 어떻게 관리를 해야 되는지에 대한 ISO FDIS 37002(내부고발관리)도 나왔고, 기업의 지배구조라는 거버넌스 측면에서도 ISO FDIS 37000(조직거버넌스)가 나왔다. 무엇보다도 중요한 것은 거버넌스다. 세계경제포럼에서 각 국가 기업들을 평가할 때 과거에는 준법경영 항목을 평가를 했었는데, 지금은 오너 리스크에 대한 부분을 평가하고 있다. 이처럼 최근 ISO 인증의 트렌드는 조직의 거버넌스를 제대로 맞추는 방향이며, 실제 기업들도 이런 인증을 확대하고 있다.
- ISO 인증을 받기 위한 과정도 중요하지만 진정한 가치는 인증 관련 시스템 및 문화의 내재화에 있을 것 같다. 하지만 많은 기업이 인증을 받은 후 실제 내재화까지는 이르지 못하고 있다는 지적이 있다.
= 인증 프로세스 상 최초 인증에서 내재화 여부를 평가하진 않는다. ISO 인증을 위한 요구사항의 세팅 여부, 즉 기준과 절차 등이 잘 만들어져 있는지, 리스크 평가는 갖추고 있는 지 등을 심사하고, 국제 기준에 부합하면 인증을 받을 수 있다. 이후 운용이 중요한데, 내재화에 대한 부분은 매년 인증 기관들이 평가한다. 이 때 인증기관 심사원들의 첫 번째 평가는 운영상 실질적으로 기준을 충족하고 있는지 여부이다. 두 번째는 프로세스가 효과적으로 작동하고 있는지다. 이처럼 인증 자체에 대해 결과론적으로만 접근하는 게 아니다보니 이후 평가에서 기준에 미달하면 부적합 평가를 받게 된다. 기업이 최초 인증을 받은 후 3년 정도는 부족한 것이 많다. 걷지도 못하고 기어다니는 수준이기 때문에 효과적으로 개선할 수 있게끔 심사가 이뤄진다. 이후 약 3년 정도 운영했다면 해당 인증이 조직 문화로서 작용하는지의 측면에서 접근한다.
- 최초 인증 이후 사후 관리심사에서 ‘부적합’이 갖는 의미가 반드시 부정적이지만은 않다는 의미인가.
= 기업 입장에서 부적합이 나오면 무조건 시정 조치를 해야 한다. 시정은 문제를 제거하는 개념이라면, 시정조치는 원인을 파악하고 재발 방지를 위한 조치를 취하는 것이다. 인증기관 심사원들이 부적합이라는 의견을 냄으로써 원인을 발굴해내고 개선토록, 즉 기업이 시정조치를 할 수 있도록 돕는 것이다. 그래서 초기에는 부적합이 많이 나올 수 밖에 없다. 그런데 기업이 노력을 기울이다보면 해당 인증에서 요구하는 프로세스가 일상적으로 돌아가게 된다. 그때는 효과성 등 특정 분야에 대해 깊이 있는 심사를 함으로써 개선할 수 있는 기회를 발굴해낸다.
물론, 제한된 시간과 인력으로 심사를 하다보니 전수 심사는 어렵고 샘플링에 의존할 수 밖에 없다. 때로는 심사원이 못 보고 지나가는 경우도 생길 수도 있다. 그래서 인증을 받았다고 해서 해당 경영 시스템에 100% 충족한다라는 점을 보장하는 게 아니다. 따라서 심사원들이 어느 정도 지식을 갖고 어떤 눈높이에서 접근을 하느냐에 따라서 심사의 질이 달라질 수 있고, 이런 결과에 따른 신뢰도도 달라진다고 볼 수 있다.
- 결국 심사의 질을 좌우하는 가장 중요한 요소 중 하나가 심사원의 자질이라는 의미인데, 한국컴플라이언스인증원은 심사원 교육을 어떻게 하고 있나.
= 한국컴플라이언스인증원은 1년에 4번 심사원 워크숍을 진행한다. ISO 표준에 대해 심사원이 인지하고 접근해야 될 내용부터 심사의 방향성, 특히 부적합 사항 발견 후 권고사항에 따른 리뷰 등을 통해서 전체적인 지식 수준이나 눈높이를 끌어올리기 위해 최선을 다하고 있다. 심사원 입장에서 부패방지 인증은 부패와 관련된 몇 개의 법령만 알면 되지만, 컴플라이언스라는 영역은 기업에 적용되는 모든 법규를 알아야 한다. 그래서 한국컴플라이언스인증원에서 이공계 출신 심사원은 몇 명 안 되고 법학 전공자들이 많다. 특히, 기업 법무팀 출신이나 공정거래 업무를 담당하던 경력자들을 직접 섭외해서 심사원으로 활용하고 있다.
품질이나 환경 부문에서 심사하던 분들이 자격 확대 교육을 받으면 심사 자격이 부여되는데, 이렇게 심사원으로 들어오는 것은 한계가 있다. 그래서 한국컴플라이언스인증원은 가급적 관련 분야를 전공한 인재를 채용하고 내가 직접 교육을 진행한다. 다른 인증기관에서 심사원 자격이 있던 사람이라도 나는 인정하지 않는다. 다른 인증기관의 교육 질을 살펴보면 내가 원하는 수준의 교육이 아니다. 한국컴플라이언스인증원에서 심사원으로 활동하려면 무조건 나에게 교육을 다시 받아야 한다는 것이 나의 철학이다.
- 한국컴플라이언스인증원으로부터 ISO 인증을 받은 제약 관련 기업은 어느 정도인가.
= 휴온스 그룹, 종근당, 보령, 대원제약, 한국콜마 등 ISO 인증을 받은 국내 제약사의 약 90%가 한국컴플라이언스인증원으로부터 인증을 받았고, 유통업을 하는 제약사들 중에선 복산나이스, 임상시험 수탁기관인 LSK Global PS 등도 우리에게 인증을 받았다. 특히, 한국콜마와 휴온스그룹은 그룹 자체에서 계열사까지 모두 한국컴플라이언스인증원의 인증을 받았다. 제약업계 외에 공공기관 중에선 환경관리공단과 신용보증기금 등도 우리와 인증을 유지하고 있다. 보건의료 기업들은 초창기에 우리의 인증을 많이 받아서 현재 80~90% 정도가 유지하고 있으며, 지금도 한국컴플라이언스인증원과 인증을 진행하려는 기업이 늘고 있다.
- 조직 문화나 프로세스 개선이 목적이 아니라 인증서만을 위해 ISO 인증을 받는 기업도 있다고 들었다. 어떻게 가능한가.
= 인증기관을 관리하는 조직이 인정기구인데 국가마다 1곳이 있다. 인정기구가 인증기관에 대해 얼마나 타이트한 기준을 적용하느냐에 따라서 심사의 질이 달라질 수 있다. 국내에 약 260여개의 인증기관이 있다. 한국인정지원센터로부터 자격을 부여받은 곳이 약 60여곳이고 나머지 200개 정도가 외국계 에이전트이다. 이중에 ISO 37001 인증을 할 수 있는 곳은 약 12~13곳, ISO 37301을 할 수 있는 기관은 10곳이 채 안 된다. 법규 기반이다 보니 일반적인 인증기관이 들어오기 어려운 부분이 있다.
외국계 에이전트는 해외의 자격을 빌려서 국내에서 심사를 하고 통과하면 해외 인증기관의 인증서가 나가는 형태이다. 문제는 국내 인증기관은 한국인정지원센터로부터 매년 심사를 받지만, 외국계는 3년마다 받는다. 한국인정지원센터로부터 특정 산업군에 대한 심사 자격을 부여받으려면 이에 대한 심사를 받고, 심사 범위를 확대할 때마다 계속 심사를 받아야 한다. 그러나 외국의 경우에는 하나의 코드만 부여받으면 다른 것도 할 수 있게끔 해주는 형태로 알고 있다. 국내에 있는 외국계 에이전트가 자격을 부여해준 해외 기관으로부터 컨트롤이 되면 관리가 쉬울 텐데, 그렇지 못한 구조적 부분이 한계인 것 같다.
또 다른 하나는 쉬운 인증을 찾는 고객들 때문이다. 모 대기업의 협력업체로 등록해야 하는데 다음달까지 인증서를 해줄 수 있냐며 얼마를 주면 되냐고 묻는 기업들이 있다. 한국컴플라이언스인증원에도 가끔 그런 전화가 오는데 다른 곳을 알아보라고 한다. 정상적인 심사 과정에 따르면 인증신청부터 최초 인증심사까지만 2~3달이 걸린다. 이후에는 연 단위로 시간이 소요된다. 그럼에도 불구하고 수요가 있으니 공급이 생기는 것 같다.
- 하지만 국내 유수의 제약기업 중에서도 외국계 에이전트로부터 ISO 인증을 받은 곳이 꽤 많다. 어떤 인증기관을 선택해야 하나.
= 어려운 문제다. 쉬운 인증을 받고 싶으면 쉽게 인증을 해주는 곳을 찾아가는 것이고, 제대로 된 인증을 받고 싶다면 이름이 알려진 곳을 선택할 것이다. 외국계 에이전트를 선택하는 것은 인식의 차이도 존재한다. 과거 국내 품질경영시스템이나 환경경영시스템 인증을 두고 종이 장사라는 지적도 많았다. 속된 말로 한국은 돈만 주면 인증서가 나온다고 할 정도였다. 그러다보니 외국과 비즈니스 관계를 맺을 때 해외 바이오 파트너사에서 한국의 로컬 인증을 원하지 않았고, 결국 외국이나 자신들이 지정하는 곳에서 인증을 받아라고 했던 것이다. 이처럼 해외 인증기관으로부터 인증을 받자는 문화를 대기업들이 따라가게 된 것이다.
그런데 사람들이 잘 모르는 것이 있다. 영국의 경우 부패방지경영시스템인 ISO 37001이나 준법경영시스템인 ISO 37301에 대해 어떤 인증기관에 대해서도 자격을 부여하지 않았다. 당연히 준수해야 할 것을 굳이 인증을 해줄 필요가 없다는 판단에서였다. 그런데 영국에 본사를 두고 있는 A인증원의 경우 부패방지경영시스템에 대해 한국인정지원센터로부터 자격 부여를 받았다. 그럼에도 글로벌 인증기관이라는 점을 내세운다. 국제인정기구포럼(IAF)에서는 각 국가의 인정기구들이 자격을 부여한 인증기관으로부터 인정을 받으면 서로 보장해주자는 다자간 협약이 체결돼 있고 한국인정지원센터도 가입이 돼 있다. 결국 한국인정지원센터에서 자격을 받은 인정기관과 해외 에이전트 간의 차이가 없음에도 불구하고 외국계 기업들은 글로벌을 내세워 홍보하고 있는 것이다. 중요한 것은 인증의 신뢰도이다. 인정기구로부터 타이트한 관리와 심사를 받는 인정기관으로부터 인증을 받는 것이 더 효과적일 것이다.
- 기업에게 ISO 인증은 필수적인가에 대한 물음이 있다. 국내 제약바이오업계에선 아직까지 ISO 인증을 받지 않는 곳이 상당수이다.
= 솔직하게 기업에게 ISO 인증이 필수적이라고 생각하진 않는다. 컴플라이언스를 향한 의지는 ISO를 통해서 구현할 수도 있지만, 자발적으로 조직 내부의 문화를 만들어서 구축할 수도 있기 때문이다. 다만, 기업이 접근법을 모를 때 ISO 인증이라는 바람직한 도구를 참고하면 도움이 될 것 같다.
무엇보다 최근 우리나라도 ISO 인증과 관련한 판례가 바뀌고 있다. 모 건설사의 경우 담합 사건으로, 주주들이 대표를 상대로 손해배상 청구를 했는데 최종심에서 사외이사들에게까지 책임을 묻는 판례가 나왔다. 여기서의 쟁점은 해당 건설사가 ISO 37001이라는 인증을 이미 받았음에도 담합행위에 대한 내부 통제 기능을 제대로 작동시키지 못했다는 점이다. 그래서 사외이사한테까지 처벌을 내린 것이다.
제약기업도 많은 사외이사를 두고 있다. 이사회에서 주의 감독을 기울이는 역할을 제대로 못했다는 이유로 사외이사한테까지도 처벌을 할 수밖에 없는 상황을 만드는 해당 기업은 국민으로부터 외면받고 글로벌 비즈니스에서 도태될 수밖에 없다. 결국에는 준법경영이나 컴플라인 체계의 구축은 본인과 임직원을 보호하고, 사외이사들을 보호할 수 있는 문화를 만드는 효과도 있다. ISO 인증에 대해 고민을 하는 기업이 있다면 문화로 접근하라고 권유하고 싶다. ISO 인증을 퍼포먼스로 접근하면 심사받을 때만 대응할 뿐 제대로 된 운용 실적은 나오지 않는다. 그래서 보여주기식으로 ISO 인증을 받는 것은 절대 반대한다. ISO 인증을 조직의 문화로 수립할 때 가치가 있고 인증의 진정한 효과도 기대할 수 있다.