ISO9001 [9.2] 내부심사 (Internal Audit)

이번 시간에는 9.2항 내부심사에 대해서 한번 알아보겠습니다.

​

"9.1 모니터링, 측정, 분석 및 평가"를 통해서 우리는 품질경영시스템의 성과와 효과성에 대한 여러 가지를 관찰하고 나아가 고객으로부터 우리가 어떻게 평가받고 있느냐까지 모니터링하도록 요구받았습니다.

​

이번 요구사항에서는 각 조직으로 직접 들어가 ISO9001 또는 조직의 요구사항대로 잘 운용되고 있는지 직접 확인하는 행위를 통해서 품질경영시스템 운용 건전성을 확인하는 것이라고 보시면 될 것 같습니다.

​

내부심사 관련해서는 아주 자세하고 친절하게 별도로 "경영시스템 심사 가이드라인(ISO19011)"이 제정되어 있습니다 (e-나라 표준인증 사이트에서 "19011"로 검색하시면 됩니다)

---

9.2.1 조직은 품질경영시스템이 다음 사항에 대한 정보를 제공하기 위하여, 계획된 주기로 내부심사를 수행하여야 한다.

품질경영시스템의 요구사항이 적합하게 조직에 반영되었는지 또는 효과적으로 실행되고 있는지를 확인하는 것이 내부심사의 목적입니다. 그리고 이를 확인하기 위해서 조직마다의 상황을 고려하여 주기적으로 내부심사를 실시하는 것이 중요하죠.

여기서 애매한 것이 아마 어떤 주기로 심사를 하냐인데, 통상적으로 경영검토의 입력사항으로 심사결과가 필요하기 때문에 연 1회 경영검토 하기 전에 실행되는 경우가 많습니다. 사실 1년보다 더 짧은 주기로 내부심사를 수행하는 조직들도 있습니다만, 대부분은 통상적인 수준에서 요구사항을 만족하려 하고 그 정도가 딱 적당해 보이기도 합니다. 다만, 고려할 사항은 주기라는 것은 대상 부서를 어디까지로 할 것인지와 어떤 항목을 검토할 것인지도 고려에 필요합니다.

​

주기를 선정할 때는 다음 내용에 대한 고려가 필요합니다.

• 내부심사 수검 대상 부서 범위
• 심사수준(수검시간, 수검범위 등)
• 주관부서 또는 수검부서의 여력 등

(심사를 주관하는 조직도 수검을 받는 조직도 여유가 없으면 형식적으로 흘러갑니다)

​

a) 다음 사항에 대한 적합성 여부 ― 품질경영시스템에 대한 조직 자체 요구사항

- 품질경영시스템에 대한 조직 자체 요구사항

품질경영시스템을 운영하기 위해서 자체적으로 수립한 규정 또는 ISO9001 요구사항이 모든 프로세스에서 적합하게 반영되어 정상적으로 실현되고 있는지 확인해야 합니다.

​

굳이 ISO9001에서 요구한 사항이 아닐지라도 ISO9001 요구사항을 좀 더 적합하게 실현하기 위해, 혹은 조직 관리나 성과를 위해 정해놓은 규정이나 기준도 각 회사마다 있을 수 있습니다.

예를 들어, ISO9001에서 문서화된 정보의 유지/보유를 요구받은 업무에 대해서만 문서화를 하는 것이 아니라 모든 영역이나 언급되지 않은 영역에서까지 효과적인 조직운영을 위해 문서화한다던지 등이 그 맥락입니다.

​

• 제품에 대한 품질보증계획
• 국제, 국가 또는 지역규정의 식별 및 이행
• 프로세스 및 절차
• 공정계획도 (공정도, 다이어그램 등)
• 공정이 목표를 달성하는지 여부 등 (공정의 모수가 유효하고 출력이 예상대로 인지 확인)

​

- 이 표준의 요구사항

ISO9001 요구사항을 적절히 반영하고 있는지, 실현하고 있는지 확인합니다.

• 문서화된 정보의 유지/보유
• 리스크 및 기회 관리 등등

​

여기서 중요한 점은 심사를 할 때 굳이 모든 요구사항을 한 번에 전부 점검해야 하는 것은 아닙니다.

주기에 따라, 심사할 수준과 목적을 정하고 그에 준하는 내용만 확인해도 전혀 문제없습니다.

​

형식적으로 모든 요구사항을 봤다고 하기보다는 차라리 정확한 수준과 목적을 정해서 효과적으로 실행하는 것이 낫습니다.

​

b) 품질경영시스템이 효과적으로 실행되고 유지되는지 여부

품질경영시스템의 유효성은 프로세스의 목표가 달성된 정도를 의미하여, 얼마나 개선되었는지 알 수 있습니다.

​

• 품질목표: 품질목표를 달성했는지 확인해야 하고, 품질목표를 달성하기 위한 조치사항은 어떤 프로세스와 연관이 되어 있고 품질목표의 모니터링, 측정 및 평가방법이 적절한가를 확인한다.
• QMS의 개선: 측정과 조치가 QMS의 개선을 위해 이행되었는지 그리고 그 조치는 효과가 있었는지 확인한다.

​

단순이 프로세스가 잘 이행되고 있느냐만을 보는 것이 아니라, 효과적인지를 보는 것입니다.

​

9.2.2 조직은 다음 사항을 실행하여야 한다.

다음의 요구사항은 내부심사를 적합하게 수행하기 위해 반드시 필요한 사항에 대한 언급입니다.

​

a) 주기, 방법, 책임, 요구사항의 기획 및 보고를 포함하는, 심사 프로그램의 계획, 수립, 실행 및 유지, 그리고 심사프로그램에는 관련 프로세스의 중요성, 조직에 영향을 미치는 변경, 그리고 이전 심사 결과가 고려되어야 한다.

일단 각 조직에서는 심사프로그램을 만들어야 합니다. 프로그램이라고 거창하게 표현하긴 하는데 내부심사를 하는 절차를 만들라 라는 말이랑 동일하게 보시면 됩니다.

​

b) 심사기준 및 개별 심사의 적용범위에 대한 규정

심사의 기준은 보통 각 사에서 보유하고 있는 매뉴얼이 되는 경우도 있고, ISO9001 요구사항이 그대로 적용되는 경우도 있습니다. ISO9001:2015에서는 품질경영매뉴얼을 만들어야 한다는 요구사항이 없기는 한데, 보통 15년도 이전부터 만들어진 매뉴얼과 절차서를 사용하는 회사가 많다 보니 아직 매뉴얼이 많이 보이긴 합니다.

이 매뉴얼에는 사실상 ISO9001 요구사항 원문이 그대로 들어가 있는 경우가 많아서 해당 매뉴얼로 내부심사를 한다고 하더라도, 큰 문제는 없으리라 보입니다.

​

심사기준에는 다음과 같은 것들이 있을 수 있습니다.

• 방침, 프로세스, 절차, 목표, 법적 및 규제 요구사항, 경영시스템 요구사항 등

​

어쨌든, 내부심사는 품질경영시스템의 성과와 효과성에 대한 부분이므로 품질경영시스템 요구사항을 기준으로 운용하면 됩니다.

​

개별심사의 적용범위에 대한 규정이란 내부심사를 수행하는 소단위를 구분하여 각각에 대해서 무엇을 볼 것인가를 정해놓은 것으로 이해됩니다. 예를 들어, 회사에는 기능별로 부서들이 만들어져 있고 내부심사를 할 때 보통 부서별로 이뤄지기 때문에 각 부서별로 무엇을 심사할 것인지 범위를 결정해 놓습니다. (하기 표 참조)

 

​	설계	생산	구매	품질
8.1~	O	​	​	O
8.2~	​	O	O	​

만약 부서별로 심사를 하는 것이 아니라 특정 요구사항별로 심사를 한다면 해당 요구사항이 적용되는 부서 중에 전체를 볼 것인지 아니면 일부만 볼 것인지를 결정하는 것도 범위를 결정하는 행위에 해당될 수 있습니다.

​

c) 심사 프로세스의 객관성 및 공평성을 보장하기 위한 심사원 선정 및 심사 수행

• 객관성: 주관에 좌우되지 않고 언제 누가 보아도 그러하다고 인정되는 성질
• 공평성: 한쪽에 치우치지 않고 고른 성질

조직 내에서 상기와 같은 객관성과 공평성을 지킬 수 있는 인원이 있는지 찾아보아야 합니다.

​

수검받는 조직과 이해가 상충되지 않는 인원이라면 객관성과 공평성 확보에는 큰 문제가 없어 보입니다.

다만, 수검받는 조직의 업무와 기능에 대한 이해가 필요하기 때문에 관련은 없으나 해당 조직의 업무내용은 충분히 이해하고 있는 사람이면 가장 적합합니다. 보통 규모 있는 회사에서는 비슷하거나 동일한 직무를 수행하는 조직이 많은데 이 경우 조직 간 교차해서 심사를 하곤 합니다.

​

상기와 같은 조건으로 심사원을 선정하는 것이 일단 시작이고, 심사가 진행되는 과정에서 최초에 고려된 범위와 기준에 따라 실제로 확인되는 문서와 인터뷰 내용을 근거로 적합성을 객관적으로 판단하면 되겠습니다.

​

추가로 특정 조직에 과도한 심사범위나 심사시간이 집중되지 않도록 공평한 진행이 되도록 해야 합니다.

또, 특정 직무에 대한 지식이 필요한 경우 심사원이 해당 조직인원일 경우도 있는데 이런 경우에는 심사한 내용을 관리자가 한번 더 검토하여 결과가 공정할 수 있도록 해야 합니다.

​

심사원의 역량에 대한 내용은 ISO19011를 보시면 나와 있지만, 다음과 같은 소양이 필요합니다.

• 윤리적, 개방적, 외교적, 관찰력, 통찰력, 적응성, 끈기, 결단력, 자립적 수행 등등 총 13가지 항목

​

d) 심사결과가 관련 경영자에게 보고됨을 보장

심사결과는 반드시 경영자에게 보고 될 수 있어야 합니다. 우리가 준수해야 할 기준에 대해서 얼마만큼 잘 지키고 있는지, 효과는 있는 것인지가 객관적으로 확인되고 나면, 이후에 어떤 점을 시정/ 시정조치해야 하는지까지 이어져야 하므로 각 회사의 경영자는 이러한 내용을 잘 검토해서 필요한 의사결정을 해야 합니다.

이러한 내용은 "5.1 리더십과 의지표명" 요구사항과 관련이 있죠.

a) 품질경영이 스템의 효과성에 대한 책무를 짐

b) 품질경영시스템 요구사항이 조직의 비즈니스 프로세스와 통합됨을 보장

c) 품질경영시스템이 의도한 결과를 달성함 보장

d) 개선을 촉진 등...

​

e) 과도한 지연 없이 적절한 시정 및 시정조치 실행

부적합한 사안이 있다면 조기에 적절한 시점에 시정 또는 시정조치가 되어야 합니다.

조직의 시스템은 내부심사를 하고 있는 동안에도 그리고 내부심사 결과를 검토하고 있는 시간에도 계속 운영되고 있기 때문에 그러한 부적합한 시스템에 따라 출력되는 출력물이 더 많아질 뿐이다.

그래서 최대한 빠른 시일 내에 처리하되, 석마 받는 부서와 해당건에 대한 시정/시정조치의 완료일정에 대해서 합의를 하는 과정을 거치는 것도 중요합니다. 수검부서의 상황을 고려하지 않고 완료일자를 정할 경우 의미 없는 시정조치로 이 저리 가능성이 매우 농후합니다.

​

---

내부심사와 관련된 요구사항을 알아보았습니다.

사실 외부심사를 수검받는 것보다 힘든 것이 내부심사를 수행하는 것입니다.

​

규모가 큰 회사들은 그나마 일면식이 없는 사람들과 심사를 객관적으로 수행하는 것이 가능한데, 규모가 작은 회사는 자주 얼굴을 맞대고 일하는 사람들에게 기준이며 절차며 물어보고, 자칫 시정조치까지 발행할 수 있으니깐 말이죠.

​

그런 경우에는 경영층에서 직접 심사를 하는 것도 방법이 될 수 있습니다.

당연히 대부분은 회사는 경영층에서 ISO9001은 그저 돈만 주면 유지되는 단순한 요식행위 정도로만 보실 수 있으나, 내가 주는 월급을 받고 있는 직원들이 얼마나 정해진 기준과 절차에 따라 일을 잘하고 있는지 판단할 수 있는 객관적인 척도이거든요.

​

많은 경영기법과 툴이 있겠지만, 우리 회사가 가지고 있는 기준이나 절차를 따르지 않는다면 그 어느 누가 좋은 걸 가져다줘도 인상적인 효과를 내는 것은 힘듭니다. (항상 누가 뭐래도 기본이 중요 :)

​

그럼 이만,

​