ISO 9001: 급변하는 비지니스 환경에 대한 대응
2022년 8월 22이 09:00 ◦21 분
이번 에피소드에서는 LRQA(이전 Lloyd's Register)의 보증 및 품질 부문 이사직을 역임한바 있는 마틴 코텀(Martin Cottam)과 함께 현재 가장 대중적인 품질 관리 시스템 표준 가운데 하나인 ISO 9001에 대한 이야기를 나누어 보았습니다.
특히, 2015년 개정 이후의 성과와 더불어, 최근 빠르게 변화하는 비지니스 환경 속에서ISO 9001은 과연 어떻게 대응하였는지를 살펴보았습니다.
Follow us on Spotify
LRQA의 퓨처 인 포커스 팟캐스트 시리즈에 오신 것을 환영합니다. 이번 에피소드에서는 LRQA(구 Lloyd's Register) 소속으로 보증 및 품질 부문 이사직을 역임한 바 있는 마틴 코텀(Martin Cottam)과 함께 현재 가장 대중적이면서 인증이 많이 된 품질 관리 시스템 표준 중 하나인 ISO 9001에 대한 이야기를 나누어 볼 예정입니다.
2015년 개정 이후 ISO 9001 표준은 어떤 성과를 내었는 지, 최근 빠르게 변화하는 시장 환경에 ISO 9001은 어떻게 대응하고 있는지를 살펴볼 계획입니다.
먼저, 코로나-19 팬데믹 및 각종 기타 요인으로 인해 지난 몇 년 동안 전 세계 거의 대부분의 조직은 산업을 불문하고 상당한 어려움을 겪었습니다. 품질 관리 측면에서는 구체적으로 어떤 문제가 발생했는지 설명해 주시겠습니까?
아마 각 조직은 시장의 위치나 경제 분야 등에 의해 지난 2년 여 동안 서로 상당히 다른 경험을 했을 것입니다. 즉, 제가 오늘 말씀드릴 부분도 상당히 많은 조직에 영향을 미친 문제인 것은 분명하지만, 그렇다고 모든 조직이 제가 말씀드리는 문제를 겪었을 것이라는 보장은 없습니다.
물론, 전 세계적으로 미친 영향의 범위와 규모를 고려했을 때, 가장 먼저 언급을 해야 할 문제는 지금도 여전히 세계 각지에서 맹위를 떨치고 있는 코로나-19로 인한 팬데믹일 것입니다.
저는 코로나-19가 야기한 것과 같은 중차대한 문제에 효과적으로 대비했을 조직은 그 수가 많지 않았을 것으로 보고 있습니다. 대비를 했다고 하더라도 발생 가능성이 극도로 낮거나 현실성이 없는 문제로 간주되어, 대비책을 마련하기 위한 검토는 이루어지지 않았을 가능성이 높습니다.
각 조직은 영위하는 활동과 그 특성에 따라 각기 다른 수준의 어려움을 겪었을 것으로 보이는데, 특히 일부 조직의 경우에는 재택 근무를 기반으로 하는 가상 업무 체계로 신속한 전환을 꾀하면서 관련 통신 및 IT 문제에 직면하게 된 조직도 있었습니다.
사회적으로 필수적인 서비스를 제공하거나, 전기/수도를 관리하는 조직은 업무의 상당 부분을 원격이 아닌 현장이나 다른 소비자의 자택, 공공 장소 등에서 수행해야 할 필요가 있어, 재택 근무를 추진한 조직과는 완전히 떠안아야 했습니다.
물론, 이처럼 코로나-19 기간에도 활동을 이어나간 조직과 달리, 숙박 및 접객업 부문을 포함한 상당수 산업에서 사업을 영위하는 조직의 경우에는 사회적 격리, 이동 제한 등으로 인해 오랜 기간 활동을 전면 중단하고 조직의 존폐 문제를 고민해야만 했습니다.
그렇다고 부정적인 변화만 있었던 것은 아닙니다. 코로나-19 발병 이후 호황을 누리는 조직도 있었는데, 이들 조직에게 가장 중요한 문제는 제품 또는 서비스에 대한 급격한 수요 증가에 효과적으로 대응하는 능력이었습니다.
따라서 품질 관리 및 ISO 9001의 관점에서 우리가 고민해야 할 부분은 각 조직이 처한 상황과 해당 조직의 이해 관계자가 요구하는 사항이나 니즈, 기대치는 어떻게 달라졌는지를 파악하고 이러한 변화를 품질 관리에 반영하는 일입니다.
더불어, 팬데믹으로 인한 피해가 커질 수밖에 없었던 가장 핵심적인 이유는 공급망에 발생한 변화의 규모와 속도였습니다. 즉, 대부분의 조직은 이렇게 심각한 변화를 한 번도 경험해보지 못했기 때문에 대비를 할 수 없었던 것입니다.
팬데믹으로 인해 상당수의 조직이 공통적으로 겪은 또 한 가지 문제는 바로, 공급망 중단 문제였습니다. 이미 공급망 문제에 대한 대비를 해 두었던 조직도 공급망 중단의 규모가 이렇게 클 것이라고는 예상을 하지는 못했기 때문에 전혀 예상치 못한 문제에 맞닥뜨린 조직도 많았을 것으로 판단됩니다.
일반적인 공급망 중단 문제가 발생한 경우, 기존에 활용하던 공급사에 문제가 발생하면 예비로 선정해둔 공급사를 활용하면 되지만, 이번 팬데믹은 모든 공급사에 영향을 미쳤기 때문에 이 같은 전략을 무용지물로 만들었습니다. 팬데믹 직전만 해도 대부분의 조직은 대체 공급사를 항상 비교적 쉽게 찾을 수 있을 것이라는 가정 하에 공급망을 운영했습니다.
더불어, 위험 평가 측면에서 보면, 이번 코로나-19가 가져다 준 가장 큰 시사점은 저빈도 고심도 이벤트, 즉 발생할 가능성은 매우 낮지만 한 번 발생하면 피해의 규모가 상당히 큰 이벤트의 중요성입니다. 저빈도 고심도 이벤트는 ‘현실성이 없다’고 치부하여 무시하고 대응 방안이나 리스크를 경감할 수 있는 방안을 고민하는 데 시간과 노력을 투자하지 않는 경우가 굉장히 많습니다.
2년 여에 걸쳐 불안정성이 커진 최근 상황에서는 이러한 저빈도 고심도 위험에 대응하기 위한 적극적인 노력이 필요한 것으로 보입니다. 특히, 위험에 더 확실히, 더 빠르게 대응하고 최악의 경우에 발생할 수 있는 피해를 줄일 수 있는 조치를 고민해 보아야 할 필요가 분명 있습니다.
이러한 노력이 필요한 이유는 지금 당장 마련해두면 조직이 보다 탄력적으로 문제에 대응할 수 있게 해주는 실용적이고 비용 효율적인 방안을 대부분의 경우에는 찾을 수 있기 때문입니다.
사회적 격리를 비롯해 여러 변화가 있었던 팬데믹 기간 동안 많은 조직이 직면한 또 다른 주요 과제는 바로, 고객 및 다른 사람들과의 소통 문제였습니다. 물론, IT에 대한 투자를 단행하고 클라우드 기반 데이터 스토리지 등을 사용해 효과적인 소통을 유지한 기업도 있었지만, 대면 활동이 불가능해 소통에 큰 어려움을 겪은 기업도 많았습니다.
최근에는 러시아-우크라이나 전쟁과 점점 더 피해가 커지고 있는 기후 변화 문제 등이 에너지 및 원자재 비용 상승으로 직결되면서 전혀 새로운 문제가 발생하고 있습니다. 더불어, 향후 코로나-19와 같은 팬데믹이 다시금 발생할 확률도 높다는 분석도 전해지고 있는 실정입니다.
따라서 전반적으로 보았을 때, 상당수 조직이 직면한 가장 큰 변화와 과제는 상대적으로 더 불안정해지고 경우에 따라서는 급격하게 변하는 주변 환경인 것으로 보입니다. 이에, 각 조직은 첫째로 변화하는 환경을 정확히 모니터링하는 역량을 길러야 하고 둘째로 변화에 빠르게 대응할 수 있는 능력, 효과적인 대응을 가능케 하는 민첩성을 길러야 할 필요가 있습니다.
최근의 수면 위로 떠오른 문제와 2015년 개정 이후 달라진 세계 시장의 모습을 감안할 때, ISO 9001은 품질 관리 표준으로서 어떤 효과와 성과를 달성했는지 설명해 주시겠습니까?
제가 가장 먼저 강조하고 싶은 부분은 ISO 9001의 경우, 환경과 관련된 ISO 14001이나 산업 보건 및 안전과 관련된 ISO 45001 등 여타 유사한 경영 시스템 표준과 마찬가지로 경영 시스템이 수행해야 하는 작업에 대한 요구 사항을 제시한 표준이지, 경영 시스템이 작업을 어떠한 방식으로 수행해야 하는지 명시한 지침서가 아니라는 사실입니다. 표준이 제시하는 요구 사항을 충족하는 시스템의 구축을 지원하는 권장 사항이 구현 지침의 형태로 별도 제공되는 경우도 물론 있습니다.
즉, ISO 9001이 제시하는 요구 사항은 실제로 품질 관리를 지원하기 위해 조직이 갖추고 있어야 하는 필수 프로세스와 이러한 프로세스가 시스템을 형성하기 위해 상호 작용하는 방식을 정의해 주기는 하지만, 개별 프로세스를 어떻게 설계해야 하는지 알려주지는 않습니다.
저는 효과적인 품질 관리 시스템에 필요한 요구 사항은 시간이 지나더라도 변할 일이 없다고 생각합니다. 다만, 조직이 처한 상황이 변하고 시간이 지나면서 품질 관리 시스템에 요구되는 사항을 구현하기 위한 방법에는 종종 변화가 필요합니다.
ISO 9001과 같은 ISO 요구 사항은 시간이 많이 지나도 크게 변하지 않는다는 사실은 이러한 특성을 잘 반영하는 것이라고 볼 수 있습니다. 모든 관리 시스템 표준을 지원하는 Annex SL의 공통 프레임워크도 실제로는 큰 수정이 없었습니다.
일례로, 각 조직은 품질 관리를 위해 적절한 리소스를 제공해야 한다는 ISO 9001의 요구 사항은 처음 수립 당시와는 시간과 상황이 상당히 많이 바뀌었음에도 불구하고 큰 변함 없이 그대로 유지되고 있습니다.
그러나 해당 요구 사항을 달성하기 위해 필요한 프로세스는 조직이 운영되는 상황에 따라 정기적인 검토 및 조정이 필요할 수 있습니다. 예를 들어, 리소스를 매년 검토해야 하다가 상황이 바뀌면 분기별 또는 월별로 검토하는 조직이 있을 수 있습니다.
공표된 표준에 대한 개정이 있는 경우에도 이러한 변경이 실제로 관리 시스템에 대대적인 변경을 필요로 하는 개정인지, 표준을 작성한 담당자나 기관이 표준 본연의 목적을 더 명확하게 설명하기 위한 개정인지를 물어 보아야 할 필요가 있습니다.
제 경험상 개정 작업의 대부분은 후자의 범주에 속하기 때문에 시간이 지남에 따라 처음 표준에 사용된 단어나 문구가 의도한 본연의 의미를 제대로 전달하지 못하는 문제가 있는 것은 분명해 보입니다.
이는 표준을 도입한 사용자가 표준이 의도한 내용을 놓치고 있거나, 요구 사항을 의도한 것보다 과대해석하고 있을 가능성이 있다는 뜻입니다. 이 같은 문제가 있는 것으로 판단되면, 표준을 작성한 담당자나 기관은 내용을 더 명확하게 하기 위해 해당 단어나 문구를 수정하게 되는데, 내용 자체에는 변화가 없기 때문에 표준이 전하고자 하는 본연의 의미를 올바르게 해석하고 반영한 대부분의 조직은 시스템을 별도로 개정하지 않아도 됩니다.
이와 관련하여 한 가지 좋은 예는 문서화에 대한 요구 사항입니다. 문서화 요구 사항에는 그 동안 여러가지 변화가 있었는데, 과거와 달리 이제는 구체적으로 문서화가 필요한 부분을 보다 정확히 명시하고 중요도에 따라 비례하는 수준으로 꼭 필요한 문서만 보관하는 것을 권장하는 방향으로 문서화 요구 사항이 진화한 것을 볼 수 있습니다.
별도의 개정 없이도 ISO 9001 표준의 필수 요구 사항이 여전히 그 유효성을 유지한다면, 품질 관리 시스템을 표준에 맞게 운영하고 관련 요구 사항을 충족하고자 하는 조직은 다양한 변화 속에서 어떻게 대응해야 할까요?
조직이 시간이 지남에 따라 ISO 9001의 표준에 부합하기 위해 변화를 주어야 하는 가장 큰 이유는 조직이 운영되는 내외부 환경과 관련 이해 관계자의 요구 사항에 변화가 발생하기 때문이라고 봅니다.
즉, 각 조직은 주변 환경과 주로 활동하는 시장에서 조직이 추구하는 시장 포지션 등에 맞게 관리 시스템을 적절히 유지해야만 하기 때문에 변화를 준다는 의미입니다.
하나의 조직이 경영 시스템을 개발하고 운영, 유지하는 과정에서 주변 상황과 이해 관계자의 요구 사항을 고려하는 것은 ISO 9001이 필수적으로 요구하는 사항입니다.
이 같은 변화는 팬데믹 초기에 많이 나타났는데, 상당수의 조직은 업무 방식을 조정하고 공급망을 개편하는 동시에, 고객의 소통과 참여를 유도하는 방식을 새롭게 마련하는 등의 노력을 기울이는 모습이었습니다.
ISO 9001을 도입한 조직이 업무 수행 방식과 ISO 9001의 요구 사항을 충족하는 방식에 변화를 주는 이유는 다양합니다. 우선, 프로세스의 효용성이나 효율성을 향상시키거나 실제로 프로세스를 보다 탄력적이거나 지속 가능하게 만들기 위한 시도일 수 있습니다. 여기에는 프로세스의 효용성 또는 효율성을 개선하거나 프로세스를 개정함으로써 더 탄력적이거나 지속 가능하게 만드는 작업이 포함될 수 있습니다.
예를 들어, 최근에는 상품 가격, 에너지 가격 및 이자율이 상승하고 있는데, 대부분의 조직은 이러한 인상을 소비자 가격에 모두 반영할 수 없기 때문에 생산성과 효율성을 높일 수 있는 다른 방안을 모색할 가능성이 높습니다.
새로운 위험과 조직이 지닌 위험 성향의 변화에 더 잘 대응하기 위해 프로세스를 조정하는 경우도 있습니다. 예를 들어, 저는 팬데믹으로 인해 공급망과 관련된 위험 수준을 검토하고 현재의 접근 방식이나 과거의 접근 방식이 미래의 공급망 중단 위험을 높이는지 낮추는지 평가해보는 조직이 늘어났다고 생각합니다.
이에, 자연스럽게 공급망에 다양성과 회복력을 더하고 잠재적으로 파급 효과가 큰 기후 변화의 영향에 대한 취약성을 보완할 수 있는 부가적인 방법을 모색하기 시작한 조직도 많아지고 있는 것으로 보고 있습니다. 최근 폭염으로 인해 런던 소재 병원의 주요 IT 시스템에 오류가 발생했다는 소식까지 들려온 만큼 기후 변화의 영향은 커지고 있습니다.
품질 관리 시스템을 변해가는 주변 환경에 맞게 개정하기 위한 노력 가운데 경영 시스템을 인증해 주는 기관이 관심 깊게 보아야 할 부분은 무엇일까요?
경영 시스템을 인증해 주는 기관의 주된 책임은 ISO 9001의 요구 사항에 대한 경영 시스템의 적합성을 검증하는 일입니다. 앞서 말한 바와 같이, ISO 9001의 내용 자체에는 그동안 큰 변화가 없었습니다.
다만, 하나의 조직이 경영 시스템을 개발하고 운영, 유지하는 과정에서 주변 상황과 이해 관계자의 요구 사항을 고려하는 것은 ISO 9001이 필수적으로 요구하는 사항입니다. 이에, 인증 기관은 ISO 9001을 도입한 조직이 변화하는 상황과 이해 관계자의 요구 및 기대치에 따라 시스템을 발전시키는 정도와 프로세스를 예의주시하고 관심을 가져야 합니다.
따라서 인증 대상인 조직이 변화하는 상황을 모니터링하고 있는지 여부와 그 방법, 이해 관계자가 기대하고 필요로 하는 니즈가 무엇인지, 그리고 해당 정보를 바탕으로 인증 대상 기관이 어떤 조치를 취했는지를 조사하지 않은 인증 기관은 결코 자신의 임무를 다했다고 할 수 없습니다.
인증 기관이 이러한 변화를 검토해야 하는 이유에는 여러 가지가 있습니다. 첫째, 인증 기관은 평가 대상인 기관이 방금 설명한 요구 사항을 충족하고 있다는 증거를 확보하기 위해 이 같은 검토 작업을 실시해야 합니다.
둘째, 프로세스를 변경하는 작업은 일정 수준의 위험을 동반하기 때문에 철저한 변경 관리 프로세스에 따라 작업이 진행되어야 하며, 이는 검증해야 하는 품질 관리 시스템 내에서 하나의 중요한 프로세스이기도 합니다. 셋째, 새로운 버전의 프로세스가 효과적으로 기능을 발휘하고 목표를 달성하고 있는지 확인해야 합니다.
그리고 마지막으로 인증은 내외부 환경의 변화로 촉발된 잠재적인 영향에 대한 조직의 자체적인 평가를 해당 조직이 재검토하게 끔 함으로써 가치를 더할 수 있습니다.
그동안 수 없이 많은 조직이 ISO 9001을 인증하고 있으며, 지금도 상당히 많은 기관이 고도화 된 품질 관리 시스템을 구축하고 있습니다. 그런데 ISO 9001의 표준이나 관련 인증이 시간이 지남에 따라 ISO 9001을 도입한 조직과 갖는 연관성이 약해지지는 않았을까요?
ISO 9001 인증은 고도화 된 품질 관리 시스템을 완성하기 위한 여정의 첫 단계일 뿐입니다. 이에, 최초 인증 후에도 시스템의 효용성과 효율성을 개선하기 위한 노력을 꾸준히 기울여야만 합니다. 이때, 조직의 운영 역량을 최적화 할 수 있도록 시스템을 세부적으로 조정할 것인지의 여부는 어디까지나 각 조직의 선택에 달려 있습니다.
ISO 9001의 품질 관리 프레임워크는 시스템의 기반을 제공하고 미세 조정 및 시스템 고도화를 위한 후속 프로세스의 토대가 될 수 있는 기반을 제공합니다. 이러한 기반은 그 어느 때보다도 중요하기 때문에 그 기능을 잘 발휘하고 있는지 철저한 모니터링과 정기적인 점검이 반드시 필요합니다.
ISO 9001 프레임워크를 비롯해 모든 유사한 경영 시스템 표준의 궁극적인 목표는 조직이 자체 경험에서 지속적인 학습을 이어가고 해당 경험과 학습을 반영하도록 프로세스를 조정 및 미세 조정하는 폐쇄식 개선 프로세스를 개발할 수 있도록 지원하는 것입니다.
물론, 시스템 개발 및 구현의 초기 단계에서 조직은 무엇이 잘 작동하고 무엇이 주의가 필요한지 파악하기 위해 외부 평가자의 피드백에 크게 의존해야 할 수도 있습니다. 그러나 시스템이 고도화 됨에 따라 조직은 자체적으로 시스템의 성능을 측정하고 효율성을 평가할 수 있는 역량이 점차 증가하게 됩니다.
이처럼 품질 관리 시스템을 평가할 수 있는 역량이 꾸준히 개선될 경우, 자체적으로 문제를 감지할 수 있는 역량 또한 증가할 것이기 때문에 외부 감사 결과에서 예상치 못한 결과를 받아들일 일도 줄어들게 됩니다.
그렇다고 해서 시스템 성능의 자체적인 평가가 정확한지 여부를 검증하고 잠재적인 ‘사각지대’를 찾아 주거나, 시스템이 조직의 상황과 새롭게 변한 고객 및 기타 이해 관계자의 요구 사항을 해결하기 위해 실질적으로 조정되고 있는지 여부를 확인하는 데 도움이 될 수 있는 안전 장치가 필요하지 않은 것은 품질 관리자 및 조직 관리 시스템을 사용해본 경험에 비추어 보았을 때 결코 아닙니다.
더불어, 인증 절차에 포함되어 있는 상시 모니터링은 검증 결과를 한 번 더 보증하고 가치를 더할 수 있습니다. 상당히 오래 된 이야기이기는 하지만, 저는 그룹 품질 담당 이사가 되기 전에 Lloyd's Register의 품질 관리를 책임진 바 있는데, 상시 모니터링의 효과는 이때 경험을 통해 확실히 알고 있습니다.
당시 식별한 각각의 문제에 대해 철저한 조사를 진행하고 그에 맞는 조치도 취했기 때문에 문제가 없는 것으로 간주하고 있었는데, 시정 조치 프로세스가 실제로는 별다른 효과를 내지 못하고 있다는 사실을 지적한 외부 감사가 지금도 기억이 납니다.
그때 심사원과 함께 일정 기간 동안 경과를 살펴보았는데, 취해진 조치 덕분에 지속적인 개선이 이루어지기 보다는 동일한 문제가 약간씩 다른 형태로 계속 반복된다는 사실을 알 수 있었습니다.
이처럼 문제나 기능 악화가 점진적으로 나타나는 경우, 기관은 이를 놓치고 넘어갈 가능성이 충분히 있습니다. 따라서 고도화 된 품질 관리 시스템을 갖춘 조직이라도 독립적인 감시인의 역할을 해줄 모니터링 시스템은 상당히 큰 도움이 될 수 있습니다.