ISO 37301:2021에 대한 간단한 평가

명칭

이 표준의 명칭이 Compliance Management Systems인데, 이 명칭은 Compliance&Ethics Program 보다는 좀 더 정확하기도 하고, 한편 ISO에서 경영시스템에 대한 표준을 제정하고 있다는 점에서도 일관성이 있다. 사실 컴플라이언스&윤리 프로그램이란 용어는 그 용어가 쓰이게 된 역사적 배경을 이해하여야 납득이 갈 수 있는 문제가 있다. 물론 그 용어는 미국에서만 사용되는 것은 아니고 글로벌하게 사용되고 있긴 하다. 이론적으로만 접근하면 조직과, 규정, 업무 프로세스, 리더십과 기업문화 등을 모두 아우르는 내용을 담고 있다는 점에서 “프로그램”이란 용어보다 “경영시스템”이란 용어가 더 적절하다는 생각이 든다.

구성

서문(Introduction)에서 이 시스템의 구성요소들을 PDCA라는 기법과 연결하여 표로 잘 정리하고 있다.

1장은 적용범위 2장은 규범적 특징, 3장은 용어와 정의 등 2012년 이후 ISO에서 HLS(Hight Level Structure)기반으로 표준체제를 구성하고 있는 것을 생각하면, 반뇌물경영시스템(ABMS)에 대한 표준인 ISO 37001과 구성이 동일할 것이라는 것을 쉽게 추측할 수 있고, 실제로도 그렇다.

  1. Context of the organization
  2. Leadership
  3. Planning
  4. Support
  5. Operation
  6. Performance evaluation
  7. Improvement

활용의 한계

짧게 훝어 보았지만 상당히 충실한 내용을 담고 있다. 이 표준이 금방 만들어진 것이 아니라 ISO 19600으로 제정되었던 것이 제3자 인증이 가능한 표준으로 대체된 것이고 더 이전으로 거슬러 올라가면 호주의 컴플라이언스 프로그램 표준인 AS3806까지 관련이 있다. 따라서 그 내용의 완결성이나 포괄성 등은 면밀한 분석 없이도 믿을 만한 근거가 있다. 만약 어떤 조직이 이미 컴플라이언스 프로그램을 구축해서 운영중인 경우, 그 수준을 높이기 위해서는 참조할 가치가 있다는 생각이다.

다만 “인증”이라는 점에서는 인증기구의 역량이나 기업윤리가 담보되지 않으면 그저 홍보용으로만 활용될 우려가 있다. 특히 ISO가 제정하는 경영시스템 국제표준은 우리나라 현실에서 보면 그대로 적용하기 어려운 점도 꽤 있고(특히 기업거버넌스가 상당히 다르다는 현실적 문제가 있다) 중소기업들은 이 표준의 요구사항들을 어떻게 충족해야 할 지도 막막할 것이라는 점에서 이 표준은 컴플라이언스 문화를 확산하는데에 오히려 방해가 되지 않을까 염려가 된다.