Application of the ISO 31000-based Quality Risk Management Process for the ISO 17025-Accredited Testing and Analysis Industry: Toward Enhanced Confidence in Safety and Quality in the Environmental,  Agricultural,  and Food Industries

Jong Myong Park; Su Yeon Hwang; Young Min Cho; Kyoung-Hwa Whang; Sun Young Park; Yeon-Ja Koh; Nam-Soo Jun; Wan-Soon Kwack

doi:10.22698/jales.20240021

Preview

Research Article

Journal of Agricultural, Life and Environmental Sciences. 30 September 2024. 254-277
https://doi.org/10.22698/jales.20240021

Application of the ISO 31000-based Quality Risk Management Process for the ISO 17025-Accredited Testing and Analysis Industry: Toward Enhanced Confidence in Safety and Quality in the Environmental, Agricultural, and Food Industries

ISO 17025 시험분석 산업군에 대한 ISO 31000 기반 품질 리스크 관리 프로세스 적용 사례: 환경산업 및 농식품 산업의 안전성과 품질에 대한 신뢰도 향상을 위하여

Jong Myong Park¹^*

Su Yeon Hwang²

Young Min Cho²

Kyoung-Hwa Whang¹

Sun Young Park²

Yeon-Ja Koh³

Nam-Soo Jun⁴

Wan-Soon Kwack⁴^*

박 종명¹^*

황 수연²

조 영민²

황 경화¹

박 선영²

고 연자³

전 남수⁴

곽 완순⁴^*

¹Public Health Researcher, Water Quality Research Institute, Waterworks Headquarters, Incheon 21316, Korea

²Environment Researcher, Water Quality Research Institute, Waterworks Headquarters, Incheon 21316, Korea

³Public Health Research Officer, Water Quality Research Institute, Waterworks Headquarters, Incheon 21316, Korea

⁴Environment Research Officer, Water Quality Research Institute, Waterworks Headquarters, Incheon 21316, Korea

¹인천광역시상수도사업본부 맑은물연구소 보건연구사

²인천광역시상수도사업본부 맑은물연구소 환경연구사

³인천광역시상수도사업본부 맑은물연구소 보건연구관

⁴인천광역시상수도사업본부 맑은물연구소 환경연구관

^{*Corresponding Author}

License (open-access, https://creativecommons.org/licenses/by-nc/4.0/):

This is an Open-Access article distributed under the terms of the Creative Commons Attribution Non-Commercial License (https://creativecommons.org/licenses/by-nc/4.0) which permits unrestricted non-commercial use, distribution, and reproduction in any medium, provided the original work is properly cited.

ABSTRACT

This case study applies the International Organization for Standardization (ISO) 31000 risk management process to reduce the quality risk of test analysis institutions closely related to the food, agriculture, and environmental industries. A standard operating procedure was adopted as a means of stipulating and implementing the risk management process: 1) procedures were developed so that the essential principles, frameworks, and processes required by ISO 31000 could be implemented and 2) implementation forms and programs for each procedure were developed as annexes. The production of implementation forms and risk treatment programs, ISO 22000 (Food Safety Management System) operating cases, and scientific publications related to risk management were analyzed and applied. An efficient documentation and reporting system reflecting the organizational situation was established to secure risk prevention and a quick response to risk occurrence. Validation and implementation evaluations were established as systemic verification procedures (initial, regular, diary, and special procedures). The Plan-Do-Check-Action (PDCA) cycle was applied to the continuous development of the risk treatment plan by adopting a repetitive cycle of risk treatment plan, monitoring, corrective action, and verification. The PDCA was designed with a dual structure reflecting the trends of ISO standards. Growth-seeking organizations are expected to be able to easily apply the risk management process through this case study, which provides examples of repeated verified risk management processes, detailed annexes for implementation, and scientific evidence.

Keywords

ISO quality standard

ISO 22000 (Food Safety Management System)

ISO 17025

ISO 31000

KOLAS (Korea Laboratory Accreditation scheme)

Quality control

Risk management

Test analysis industry

MAIN

서 론
연구방법
연구배경(리스크관리 프로세스 및 이들의 적용연구 사례 필요성)
연구수행 인력
1단계: 방향 설정(Development direction establishment)
2단계: 초안개발(Draft designation)
3단계: 시뮬레이션 및 확정(Simulation and confirmation)
4단계: 검증 및 보완(Verification and implementation)
결과 및 고찰
명문화 수단 선정
프로세스 구성
검증 프로그램(verification plan)
기록관리 및 보고체계(Record and reporting)
결 론

서 론

우리나라의 환경산업, 농식품 산업군 전반에는 이들에 대한 품질과 안전성을 보증하는 수백여개에 이르는 시험 분석 서비스 기관 혹은 실험실이 존재하며, 이들 중 상당수는 국제표준인 ISO 17025 등을 기반으로 한 KS Q ISO/IEC(KOLAS; Korea Laboratory Accreditation scheme) 공인인정을 유지하고 있다. 국가 간 상호인정 협정(Mutual recognition agreement)에 따라 이러한 국제표준 인정기관에서 환경 및 농식품 시험검사를 진행할 경우 우리나라에서 생산되는 재화의 품질과 안전성을 국제적으로도 보증할 수 있다. 따라서 농식품 산업 및 환경 산업군의 해외 진출 및 무역장벽 해소를 위해서는 이러한 시험 분석 산업군의 유지와 이들이 취득한 국제공인기관 지위는 반드시 필요한 요소이다(Grochau et al., 2017; Handoo and Sood, 2012). 또한 시험분석 산업군의 이러한 공인 유지를 위한 산관학 차원의 노력을 통해 농식품 및 환경산업 생산 품목들을 대상으로 한 시험 분석 결과에 있어 중요한 품질요인인 시험 분석의 적시성, 정확성을 보장할 수 있다.

그러나 농식품 산업, 환경 산업 혹은 이들과 연관된 시험분석 산업군은 최근 들어 다양한 내외부적 리스크에 직면하고 있으며, 과거에는 발생하지 않거나 고려되지 않던 다양한 외부 요인(전쟁, 기후변화, 국제공급망 위기, 감염병으로 인한 품질관리 인력의 부재 등)들이 적정 수준의 품질관리에 부정적 영향을 미치게 된다(Correia et al., 2020; Ferguson and Drake, 2021; Heo et al., 2022). 이와 같이 급변하는 현대사회에서 품질 리스크는 품질관리 부서와 같은 사내 조직만으로는 대응에 한계가 있으므로, 경영자의 직접적 개입의 중요성이 대두되었다. 종래 재화 및 서비스 품질보증을 위해 품질관리 부서의 역할이 강조되었다면(Chung, 1998), 현재는 경영자 역할을 강조한 전사적 품질경영이 요구된다(Park, 2017). 이는 경영자의 강력한 품질 의지를 바탕으로 Top-Down 식의 개입이 발생하는 형태로, 종래의 하위 품질부서가 감당하기 어려운 조직 외부로부터의 영향 요인을 적극적으로 예측하고 대응하여, 품질경영시스템의 안정적 발전을 도모할 수 있다(Chung, 1998; Park, 2017). 한편 이러한 변화는 국제표준에도 반영되기 시작하였는데, 환경 및 농식품 산업이 생산하는 제품의 품질과 안전성을 보증하는 ISO 17025(제품에 대한 시험검사를 실시하는 각종 기관의 운영에 관한 일반요구사항), ISO 22000(식품안전경영시스템)의 버전 전환이 그 예이다.

이러한 표준들은 ISO 9001 품질경영시스템을 모체로 하는데 최근 ISO 기술위원회(International Organization for Standardization Technical Committee)에 의해 ISO 9001이 전환을 거치면서, ISO 9001을 모체로 한 이러한 ISO 시스템들 또한 그들의 품질관리 체계에 리스크관리 프로세스를 도입하거나, 품질 리스크 관리 범위를 확대하도록 규정하였다(ISO, 2017; 2018a; 2018b). 한편 ISO 9001은 품질경영을 위한 표준으로 Plan-Do-Chcek-Action(PDCA) 등 잠재적 리스크 요인 혹은 부적합을 시정하기 위한 절차 및 방법을 제공하지만, 광범위하고 다양해진 품질경영 상의 risk에 대응하기 용이하도록 특성화된 국제표준인 ISO 31000이 제안되기도 한다(KATS, 2023). ISO 31000은 리스크관리에 특성화된 표준으로, 리스크관리의 효율성을 극대화하기 위해 조직 내외부 상황을 적극적으로 반영토록 한다(Aven, 2017; Lalonde and Boiral, 2012; Leitch, 2010). 따라서 자율적인 국제표준으로 평가되지만, 그러한 특성으로 인해 외부 전문가의 도움 혹은 벤치마킹이 어려울 수 있다.

따라서 본 연구에서는 ISO 31000을 도입/적용하고 반복적으로 검증하여 성공적으로 도입한 사례를 소개하고자 한다. ISO 31000 기반 리스크관리 프로세스의 도입을 위하여, 31000에서 요구하는 필수 프레임워크 및 필수 프로세스를 이행할 수 있는 문서체계 개발을 위해 리스크 관리기법와 관련된 학술자료들을 고찰하고, 세부적인 운영요령 및 실무문서들을 개발하기 위해 우리 산업계에 광범위하게 적용중인 ISO 22000 위해관리 프로세스의 운영사례들을 반영하였다. 또한 개발된 프로세스의 효율적인 운용을 위해 조직에 적용중인 ISO 시스템과 융합하여 중복에 의한 낭비를 줄이고, 리스크관리 프로세스의 유효성(validation) 및 실행성(implementation)을 검증하였다. 또한 환경시험 분야의 품질경영을 위협하는 일부 산업 리스크 사례에 대해 처리 프로그램을 개발하고 국제학계에 발표(Park et al., 2022)하여 실행성과 유효성을 재차 검증할 수 있었다.

본 사례는 리스크관리를 위한 국제표준의 필수 요구사항 및 학술적 근거를 통해 개발되고 검증된 리스크 관리 절차 및 방법 들을 사례로서 제시하며, 품질 리스크 관리 프로세스를 도입하려는 품질조직이 자체적인 프로세스 개발 시 참고될 수 있도록 Table과 Figure에 이행을 위한 부속서들의 세부 항목들을 사례로서 제공한다. 특히 이중구조 PDCA cycle 구비 및 이의 반복을 통해 프로세스를 지속적으로 발전시킬 수 있으므로, 지속가능성을 추구하는 품질조직이 용이하게 참고할 수 있다.

연구방법

연구배경(리스크관리 프로세스 및 이들의 적용연구 사례 필요성)

먼저, 품질에 영향을 미치는 리스크에 대한 관리프로세스가 필요한 이유는 다음과 같다. 첫째. 농식품 및 환경산업 분야에 걸친 시험 분석기관이 ISO 17025(KOLAS) 공인기관에 해당하는 경우 법정 의무사항이 되었으므로, 신규인정을 획득하려고 할 경우 품질에 대한 리스크관리 프로세스를 구비해야 한다. 둘째. 시험 분석 기관 중 공인 인정기관이 아닌 경우라도, 변화되고 있는 산업구조는 리스크에 대한 관리를 요구한다.

전자인 공인기관의 경우 ISO 9001이 Ver. 2008에서 Ver. 2015로 전환되면서(ISO, 2015) 이를 기반으로 한 ISO 22000, ISO 17025 등 다수의 국제표준들이 그들의 구성 체계를 고도 구조(High Level Structure; HLS)로 통일하였으며, 리스크 기반 사고(risk based thinking)의 실현을 위해 자체적인 품질리스크에 대한 관리 프로세스를 구축해야 한다. ISO/KSA 9001 혹은 시험분석 산업군의 KS ISO/IEC 17025 인정은 산업보호를 위해 국가에서 관여하는 바가 크므로, 결국 이들에 대한 리스크관리 프로세스의 구비는 국내 법에 의한 법정 의무사항에 해당한다. 이는 여타의 국제표준 인증에서도 동일한 상황인데, 본 연구에서 프로세스를 구성함에 있어 세부적인 운영사례를 벤치마킹 하고자 하는 농식품분야의 ISO 22000 인증은, 이전의 ISO 22000:2005에서는 이의 구성 체계 중 ‘7. 실행(Hazard Analysis Control and Critical Points; HACCP)’ 단계에 대해서만 PDCA cycle을 통한 위험 요인(위해) 관리를 시행했다(Fig. 1-A). 그러나 ISO 22000:2018(Fig. 1-B)부터는 리스크관리의 적용 범위를 ‘7. 실행’ 단계뿐만 아니라 ‘4. 조직 상황(context of organization)’부터 ‘10. 개선(improvement)’까지도 적용하도록 하여 필요시 ‘두 단계 리스크관리’를 실시해야 한다(Fig. 1-B)(ISO, 2018a). 결론적으로 시험분석 산업군이 그들의 국제표준 인증지위를 유지하기 위해서는 리스크관리 프로세스가 법정의무인 것이다.

https://cdn.apub.kr/journalsite/sites/ales/2024-036-03/N0250360307/images/ales_36_03_07_F1.jpg

Fig. 1.

High level structure of the International Organization for Standardization (ISO) 22000 Food Safety Management System (FSMS).

후자에 해당하는 시험분석 기관이 반드시 ISO 17025 인증을 보유하는 것은 아니므로, 품질 리스크관리 프로세스의 도입을 적용하는 것은 그들의 선택일 뿐이다. 그러나 현대 산업환경에서는 다양해지고 예측이 어려워지는 외부기인 리스크들 때문에 전통적인 PDCA cycle를 통한 지속적인 개선만으로는 대처하기 어려워지고 있다(Park, 2017). 예를 들어, 지정학적 위기에 따른 곡물가 상승으로 원료 농산물의 원산지가 변경될 경우 품질관리 조직은 이전에 없던 식품 안전 및 품질상의 문제를 새롭게 고려해야 한다. 특정 항로를 운행하는 수입 선사가 전쟁 등으로 인해 정상적인 수입활동이 어려울 경우 이로부터 원료를 공급받던 다수의 식품업체가 품질유지 상의 어려움을 감내해야 한다. 시험분석 산업군의 경우 전쟁 등으로 분석용 표준물질 혹은 분석용 가스의 확보가 지체되는 경우 시험분석 활동의 적시성과 정확성을 보장할 수 없다. 이러한 시험분석 결과의 지체는 농식품 및 환경산업군에서 생산한 제품의 적시 수출을 지연시켜 경제적 피해를 야기할 수 있다. COVID-19 사태와 같은 감염병으로 인한 시험분석 시설 품질관리 인력의 부재는 그러한 심각한 피해를 야기할 가능성이 크다.

상기 예시들은 본 연구에서 주로 다루게 되는 ISO 9001, ISO 17025, ISO 22000의 관점에서 다음과 같이 풀이될 수 있다. ISO 9001은 품질경영시스템으로서 대부분의 ISO 품질시스템의 모체가 된다. ISO 22000은 ISO 9001 품질경영시스템을 바탕으로 농식품 및 먹는물의 안전성과 품질을 보증하기 위해 원료, 제조, 가공, 보관, 운반, 소분, 유통 등 전 과정에 대하여 적용할 수 있는 국제표준이며, 이를 바탕으로 농식품 유통망을 구성하는 주체 간 상호신뢰를 확보할 수 있도록 한다. 제조업 위주로 발달된 이 ISO 품질시스템은 주로 물리적, 화학적, 생물학적 위해 관리 및 이를 가능하게 하는 조직운영체계에 대한 개선 및 관리에 중점을 둔다. 이 산업군에 대해 사고적 리더쉽 역할을 하는 주체들은 이러한 목적에 최적화된 프로세스와 운영사례들을 제공해 왔는데, 최근의 사회변화(예: ESG경영에 대한 요구 증가), 인구감소(예: 작업자의 부재), 감염병(예: 품질관리 인력의 상실), 지정학적 리스크(예: 원료 안전성 이슈) 등 조직 내외부 환경의 예측할 수 없는 급격한 변화 및 이로 인한 신규 리스크에의 대응은 느릴 수 있다. 물론 COVID-19 사태와 같은 감염병으로 부터 식품생산 품질인력을 보호하기 위하여 식품의약품안전처는 산업군 특성에 최적화된 감염관리 방안을 개발하기도 하였다(US FDA and OSHA, 2020; WHO and UN FAO, 2020). 그러나 발생 가능한 모든 품질관련 내외부적 리스크에 대해 몇몇 사고적 리더쉽 주체에 의존할 수는 없으며, 각각의 품질시스템을 도입한 업체들이 주체적으로 내외부의 상황을 반영하여 리스크에 대응할 필요가 있다.

한편 이들이 생산한 최종 제품에 대하여 안전성 및 품질을 보증하는 것이 ISO 17025 시험분석 공인기관이다. 역시 ISO 9001에 모체를 두고 있으며, 시험분석 결과로서 제품에 대한 안전성과 품질이 입증되므로 수출입 및 국제통상 과정에서 중요한 위치를 차지한다. 결론적으로 과거에 비해 예측할 수 없는 리스크가 발생하는 현재 산업군의 상황을 감안하면, 산업계의 최말단에 위치한 시험분석산업군의 역할을 적정하게 수행하기 위하여 법정 의무사항 여부와 관계없이 품질 리스크 관리 프로세스의 구비가 필요한 상황이다.

한편 품질 관련 리스크관리 프로세스에 대한 연구사례가 확보되어야 하는 이유는 다음과 같다.

첫째. 리스크 관리를 위한 전문화된 국제표준인 ISO 31000의 특성 때문이다. ISO 31000은 별도의 인정취득을 위한 심사 체계가 없으며, 광범위한 산업에 자율적 적용이 가능하도록 리스크 관리의 필수 프레임과 프로세스를 제공할 뿐이다(ISO, 2018b). 그러나 그만큼 조직상황을 명확히 반영한 프로세스를 구비하도록 한다. 따라서 이를 우리 조직에 어떻게 용이하게 도입할 수 있는지 절차 및 방법의 적용 사례가 이들에게 제공되어야 한다. 참고로 ISO 31000에 기반한 리스크관리 프로세스는 의료나 공학 등 다양한 산업분야에서 적용 사례가 학술적으로 보고되고 있으나, 시험분석 산업군에서는 사례가 없다(Kaya et al., 2019; Moon et al., 2021; Pascarella et al., 2021; Wilbanks and Byrd, 2020; Zhou et al., 2018).

둘째, 시험분석산업군이 산업군 내에서 차지하는 독특한 역할 때문이다. 시험분석산업군을 구성하는 기관들은 타 ISO 산업군에 비해 상대적으로 영세한 규모의 기관들의 비중이 높지만, 현실적으로 다수의 수출제품 생산업체들이 인근 지역에 근거를 둔 소수의 시험 분석 기관들에 그들이 생산한 제품 품질 및 안전성 보증을 위한 시험서비스를 의뢰하고 있는 상황이다. 이러한 상황은 특정 ‘A’ 시험분석 기관의 품질상의 리스크가 발생될 경우 이들과 연계된 ‘B’, ‘C’, ‘D’, ‘E’ 등 다수의 생산 기업들이 동시에 영향을 받게 되는 구조로서, 시험분석 기관의 품질 리스크 관리 실패에 따른 파급력은 크다고 볼 수 있다. 또한 우리나라에서 생산된 재화의 수출 프로세스에 있어 가장 말단에 위치하여 품질보증의 역할을 수행하므로, 시험분석 활동에 대한 적정수준 이상의 품질관리가 늘 가동되고 있어야 하며, 이러한 상황은 시험분석 활동을 저해하는 리스크에 대한 철저한 예측과 대비가 필요함을 의미한다.

따라서 본 연구는 이러한 ISO 31000 리스크관리 국제표준에 기반하여 시험분석 기관(특히, ISO 17025 공인조직)의 리스크관리 프로세스를 개발, 도입하고 반복 검증한 사례이다.

연구수행 인력

상기의 개발 방향에 따라 설정된 각 단계의 달성을 위해 관련 경력이 있는 인력이 각 단계를 수행하였다. 각 단계(Fig. 2)에 필요한 경력 사항은 다음과 같다:

1단계(방향설정)에서는 ISO 22000 및 관련 국제표준에 기반한 심사경력을 보유하며, ISO 22000의 운영사례를 다수 보유해야 하고, ISO 31000에 대한 전문화된 교육을 이수한 자로 한다.

2단계(초안개발)에서는 표준에서 요구하는 요건을 충족하기 위해 SOP, 표준문서, 매뉴얼, 지침서 등의 이행서류를 개발한 경력이 있어야 한다.

3단계(시뮬레이션 및 초안확정)에서는 ISO 31000의 적용 대상이 되는 기존의 조직시스템인 ISO 17025의 운영경력을 보유하고 전문화된 교육을 이수한 자여야 한다.

4단계(검증 및 보완)에서는 ISO 31000의 적용 대상이 되는 기존의 조직시스템인 ISO 17025에 대한 공인된 외부 심사인력이 요구된다. 이는 기존의 ISO 17025와 같은 품질시스템 내에서 리스크관리가 구동되어야 하기 때문이다.

https://cdn.apub.kr/journalsite/sites/ales/2024-036-03/N0250360307/images/ales_36_03_07_F2.jpg

Fig. 2.

Detailed procedures for developing, simulating, confirming, and verifying the risk management process.

1단계: 방향 설정(Development direction establishment)

ISO 3100의 도입을 위한 1단계(방향 설정)은 다음과 같다. ISO 31000은 여타의 ISO 표준과 달리 효율적인 리스크관리를 위해 조직상황의 철저한 반영을 요구한다. 또한 연구배경에서 설명한 바와 같이, ISO 31000의 적용대상이 될수 있는 기관들은 기존 국제표준을 도입한 기관일수도, 아닐수도 있는데, 기존에 ISO 국제표준을 운영하던 기관은 ISO 31000의 추가 적용으로 인한 부담이 발생되어서는 안된다(Crandall et al., 2014). 따라서 ISO 31000에서 필수요소로 규정한 프레임워크와 프로세스 이외에는 효율적이고, 정확하고, 신속한 리스크 관리를 위해 조직이 기존에 운영하던 ISO 표준이나 조직경영 형태에 최적화되도록 설정해야 한다(ISO, 2018b).

따라서 본 연구에서는 ISO 31000의 필수 프레임워크와 프로세스를 이행하기 위하여 기존에 산업계에서 광범위하게 사용하여 왔던 ISO 22000(Food Safety Management System; FSMS)의 위해요소 평가, 위해요소 관리 방식, 운영 요령, 부속서 문서양식 등을 차용하였다. 이는 기존에 알려진 대로 표준의 적용 시 발생할 수 있는 ‘기존 구성원의 문서화된 절차에 대한 피로도’와 ‘효율적이지 않은 문서구조에 따라 발생할 수 있는 문제’들을 고려한 것이다. 이처럼 산업적으로 통용되던 사례에 더하여 리스크관리와 관련된 국내외 학술연구 사례들을 종합하여 ISO 31000을 기반으로 한 리스크관리 프로세스를 효율적으로 개발할 수 있을 것으로 판단하였다.

이에 따라 도출된 품질리스크 관리 프로세스의 전체 개발과정(1단계 방향설정, 2단계 초안개발, 3단계 시뮬레이션 및 초안 확정, 4단계 검증 및 보완)이 결정되었다(Fig. 2): 1단계(방향설정)에서는 ISO 22000(Fig. 1) 및 ISO 31000(Fig. 3, 4)에 대한 표준을 고찰하고, 필수 이행사항을 선별하며, 그의 이행에 필요한 명문화 수단을 선정한다. 2단계(초안개발)에서는 ISO 31000 프레임워크 및 프로세스를 이행 가능하도록 하는 프로그램들과 툴 들을 설정하고 이들의 이행을 위한 절차서 초안과 부속서를 개발한다. 3단계(시뮬레이션 및 초안확정) 에서는 절차서와 부속서로 구성된 프로세스 초안을 기존의 조직 시스템 문서와 병합하고, 실질적으로 조직을 대상으로 운영하여 유효성(validity)과 실행성(implementation)(Bartoo, 2003; ISO, 2018b)을 확인하고 개선한다. 4단계(검증 및 보완)에서는 문서화된 최종 확정된 프로세스 초안과 문서화된 초안을 바탕으로 한 리스크관리 프로세스의 가동 결과를 내외부 전문가를 통해 검증하고, 지적사항에 대해 보완하여 프로세스를 최종 도입한 것으로 한다. 부가적으로, 실제로 운영하고 일부 사례를 국제학술지에 게재하여 재차 검증할 수 있었다(Park et al., 2022). 이와 같이 프로세스의 개발을 위한 단계적 절차는 산업계에서 특정한 프로세스의 보완을 위한 통상적인 절차이기도 하지만, 학술적 연구를 통해 특정의 새로운 프로세스가 도출된 경우에도 이와 같은 절차를 통하여 프로세스가 검증되기도 한다(Park et al., 2018; 2020).

https://cdn.apub.kr/journalsite/sites/ales/2024-036-03/N0250360307/images/ales_36_03_07_F3.jpg

Fig. 3.

Framework of International Organization for Standardization (ISO) 31000:2018.

https://cdn.apub.kr/journalsite/sites/ales/2024-036-03/N0250360307/images/ales_36_03_07_F4.jpg

Fig. 4.

High level structure of the International Organization for Standardization (ISO) 31000:2018.

2단계: 초안개발(Draft designation)

초안의 개발은 ISO31000 원문과 함께 ISO 31000의 번역본을 검토하여 필수 요구사항을 선별하고, 이를 구현하기 위한 절차와 툴을 ISO 22000 운영사례 및 학술자료들에서 추출하였다. 예를들어 matrix 모델의 경우 ISO 22000 실행 파트의 위해평가 방식에서 차용할 수 있다. SWOT(Strengths, Weaknesses, Opportunities, Threats) 분석의 경우 본 연구에서 인용한 학술자료 사례들에서 채택할 수 있다. 이러한 내용은 결과 및 고찰에서 다룬다.

3단계: 시뮬레이션 및 확정(Simulation and confirmation)

상기와 같이 개발된 리스크관리 프로세스 절차서 초안을 그대로 시뮬레이션 하여 기존의 품질 시스템 내에서 품질에 영향을 미치는 몇 가지 리스크를 식별, 분석, 평가, 처리하고 실질적으로 도출된 리스크가 감소하는지 모니터링(본 원고 Table 1의 2) 하였다(Fig. 2).

Table 1.

Annex components for implementation of risk management processes developed in this study

Annex list		Items of each annex
1	SWOT analysis	Step 1. Internal (strengths, weaknesses) and external environment (opportunities, threats) Step 2. S/O strategy (active response), W/O strategy (phased implementation) S/T strategy (differentiation strategy), W/T 0trategy (defensive strategy)
2	Monitoring	∙ Performer, date and time of execution ∙ Risk scope, target, content, cause, result (effect) ∙ Risk size, likelihood of occurrence, risk level (listed in the Table 4) ∙ Risk treatment option (listed in the Table 5)
3	Check-list
4	PDCA	Step 1. Plan (quality activity plan) Step 2. Do (improvement action activities, scheduling) Step 3. Check (result measurement, monitoring) Step 4. Action (evaluation and follow-up plan)
5	FOCUS -PDCA	Step 1. Find (topic selection) Step 2. Organization (team configuration) Step 3. Clarify (materialize current issues and problems) Step 4. Understand (selection of key indicators and collection of data) Step 5. Select (analysis and interpretation of results) Step 6-9. Plan, Do, Check, Action
6	Corrective action	∙ Place of occurrence, date of occurrence, type of risks ∙ Details of improvement
7	Scenario	Step 1. Risk prediction (Issue and its effects) Step 2. Goals for risk response Step 3. Create the concrete scenario (roles of CEO, manager, and employees) Step 4. Implementation of the scenario (roles of CEO, manager, and employees) Step 5. Define milestones(goals) (Implementation of scenario should be immediately kick offed as the approval of the scenario) Step 6. Crisis simulation exercises
8	Verification report	∙ Verification purpose, scopea and member ∙ Verification results (verification method, review results description) ∙ Due date of corrective action, corrective result and the person in charge of corrective action
9	Identification of risk or risk sources	∙ Organizational members, risk details, and expected risk occurrence results ∙ Likelihood of risk occurences, Severity of risk result, magnitude of risk
10	Risk Management Committee a business logbook	∙ Date and time of operation, signature, internal and external meeting members (name, affiliation) ∙Prepared business discussion materials, meeting records (agenda, contents, follow-up measures, logbook-writer)

시뮬레이션은 실제 리스크관리 프로세스가 적용될 조직을 대상으로 실시하였으며, 본 연구에서 그 조직은 ISO/IEC 17025 인정 시험 분석 기관이다. 시뮬레이션은 보완사항이 발생할 경우 즉각 보완할 수 있도록 절차서와 프로그램을 개발한 자가 직접 수행하였으며, 필요한 경우 즉각적인 수정 및 보완이 수행되었다.

수정 및 보완이 필요하다고 판단하는 기준은 다음과 같다: 1) 리스크관리 프로세스의 절차를 정상적으로 수행할 수 있으며, 수행하기에 용이하고 문서상의 중복이나 효율성을 저해하는 불필요한 절차가 있는가(실행성 점검), 2) 프로세스 가동을 통해 도출된 품질 리스크가 실제로 감소하거나, 공유될 수 있는가(유효성점검) 이다. 한편 이러한 기준을 바탕으로 최초의 수정 및 보완 이후 시뮬레이션을 재차 수행하여 더 이상 보완사항 발생이 없을 때 까지 절차서 초안을 보완하였다.

시뮬레이션의 이행 시 사용된 프로그램과 툴 들은 절차서에 규정된 대로 그 내용을 작성하여 문서화 하였으며, 절차서 초안에 규정된 방식대로 보고 절차를 완료하고, 절차서에 규정된 대로 문서를 보존하여 이 문서를 바탕으로 시뮬레이션 결과에 대한 내외부 전문가에 의한 검증 및 보완(verification and implementation)이 가능하도록 준비하였다. 이는 개발된 리스크관리 프로세스 절차 중 본 원고에 기재된 ‘최초검증(primary verification)’에 해당한다.

4단계: 검증 및 보완(Verification and implementation)

품질상의 리스크는 조직 구조에서 기인되는 경우가 다수이며, 따라서 ISO 31000에서는 리스크 관리의 전 절차에 대해 내외부 인원의 참여를 요구한다. 본 연구에서는 개발된 ‘리스크관리 프로세스 초안’ 및 ‘초안의 시뮬레이션 결과’를 조직 내부 인원 및 외부 전문가를 활용하여 검증하였다(Fig. 2). ISO 31000은 별도의 검증체계를 구성하지 않으며, ‘연구배경’에서 전술한 대로 기존의 품질 체계와 무리없이 융합하여 운영되어야 한다. 따라서 공인된 외부 ISO 17025 심사평가자에 의해 ISO 17025에서 요구하는 수준 이상으로 리스크관리 프로세스가 작동하고 있는지 실행성과 유효성을 반복적으로 검증하였다.

이후 외부전문가는 리스크 관리 프로세스에 대한 별도의 검토 결과 및 보완이 필요한 사항을 이 절차서의 부속서 상의 ‘검증결과보고서(verification report)(본 원고 Table 1의 8)’에 작성한다. 다음 단계로, 본 연구를 수행한 인력은 검증결과보고서를 바탕으로 프로세스의 보완을 수행하였다. 다음 단계로, 보완 결과를 절차서의 부속서에 포함된 개선조치 보고서(본 원고 Table 1의 6)에 작성한다. 최종적으로 외부전문가의 확인을 거쳐 품질 리스크 관리 프로세스의 도입을 완료하였다.

결과 및 고찰

명문화 수단 선정

프로세스를 개발하고 이행하기 위해 효율적인 명문화 수단이 설정되어야 한다(Bartoo, 2003). 이를 위해 적용하려는 표준의 요구사항에 더불어 조직 상황을 고려해야 하며, 이는 ISO 31000의 5.4.1항 및 6.1항에서 특히 강조하고 있다(Fig. 4). 통상 가이드라인 개발, 기준서(절차서), 지침 등이 포함된 매뉴얼 등이 고려될 수 있다. 이러한 수단들은 이미 잘 알려진 대로 전통적인 ISO 22000(FSMS)를 채택하거나 지향하는 조직들에서 광범위하게 활용하고 있지만, ISO 31000 표준 자체에서는 명문화 수단에 대한 별도의 언급이 없다.

선행연구에 따르면 ISO 22000(FSMS)에서 광범위하게 채택한 수단인 선행요건관리기준서(Pre-requisite standard operating procedures), Hazard control plan(혹은 HACCP plan)는 조직 내외부에서 기인되는 리스크에 신속하게 대응할 수 있는 유연한 체계를 보장하며, 산업군이 처한 환경 변화 및 그에 따른 리스크의 가변성에 대처해 신속한 개정 및 현장 적용이 가능하고 체계적인 업무를 지원하여 효율성을 높이며 재난 상황에서 불확실성이 극복되어 조직 안정성이 제고된다(Freeman et al., 2021; Koo and Baek, 2014; Lalonde and Boiral, 2012; US FDA and OSHA, 2020).

이러한 점은 ISO 31000의 궁긍적인 목표인 위험 요인을 사전에 예측하고, 리스크 처리 프로그램을 설계･실행하고 예방 관리 하는것과 같은 맥락으로, 리스크관리 절차 및 방법을 구체적으로 정의하기 위해 기준서(절차서)를 명문화 수단으로 결정하였다. 또한 ISO 31000의 의무 프로세스(리스크 식별, 분석, 판정, 처리) 이행을 위한 부속서(annex)가 개발되었으며, 프레임워크에서 요구하는 사항을 이행할 수 있도록 각각의 부속서 별로 항목을 구성하였다. 이때 기준서 및 부속서의 세부 기술 방식, 문서구조 및 운영 요령은 ISO 31000에서 별도로 정의되지 않은 경우 ISO 22000의 운용 사례들을 차용하여 제작하였다. 기준서의 주요한 목차들은 ISO 31000 고도 구조(HLS)와 동일하게 설정되었으며, 이에 대한 고찰은 하단의 프로세스 구성, 검증 프로그램, 기록관리 및 보고체계에서 기술한다. 한편 완성된 리스크관리 프로세스 초안에 대한 최초 검증 이후, 조직에 기존 적용한 ISO 시스템의 일부가 되도록 기술문서 혹은 표준문서로 구성하였다. 이는 새로운 프로세스의 추가로 인해 기존의 운영시스템과 중복되거나 이로 인한 낭비를 최소화하기 위함이다.

프로세스 구성

1단계: 리스크 식별(Risk identification)

ISO 31000에서의 리스크관리 프로세스로서 리스크 및 리스크 원천의 식별(identification), 분석(analysis), 평가(evaluation), 처리(treatment)의 4단계를 필수적으로 갖추어야 한다(Fig. 3, 4). 또한 이에 앞서 리스크의 범위(scope), 맥락(context), 기준(criteria)이 설정되어야 한다(Fig. 3, 4). 그에 이어 프로세스 첫 단계로서 리스크 혹은 리스크 원천의 체계적인 식별 및 구분이 있는데, 이는 1) 외부기인, 2) 내부기인 리스크로 구분하였다(Table 2). 프로세스 수행에 앞서 범위, 맥락, 기준을 우선적으로 설정한 이유는 최근 전환된 ISO 시스템의 종류에 따라 각기 상이한 리스크의 범주를 관리하기를 요구하였기 때문에, 각각의 품질조직은 리스크관리를 위한 리스크의 범주를 명확히 해야 한다. 예를 들어, 본 사례연구가 이루어진 기관은 KS Q ISO/IEC 17025가 적용되는 공인기관으로서 품질경영시스템의 운영과 관련된 내외부 리스크 구분에(Table 2) 더하여 품질에 대한 실험적 시험 및 분석 활동의 공평성과 관련된 3) 관계 기반 리스크가 추가될 수 있다. 그러나 ISO를 인용하는 기관 이외에 리스크관리를 개발하고자 하는 다양한 품질조직들은 리스크가 발생할 것으로 예상되는 범위에 맞추어 범위, 맥락, 기준을 자체적으로 설정하고 그에 적합한 리스크관리 프로세스를 구비할 수 있다. 리스크 혹은 리스크 원천을 식별(도출)하는 다양한 방법들은 Table 2와 같으며, 이들은 ISO 22000등 통상적인 위해관리를 위한 산업표준에서 전통적으로 활용되어 왔다(Card et al., 2012; Ragoler et al., 2023; Warm et al., 2021).

Table 2.

Tools and programs for each classified risk

Risk sources	Tools / Programs
Risks from external factors	∙ Delphi survey, Interview, Survey aimed to stake-holders ∙ Information disclosure, academic data, and statistical data of state agencies ∙ Third party audit ∙ Education or training result
Risks from internal factors	∙ Field observation by insiders (process, materials, worker, environment) ∙ Assessment on suppliers ∙ SWOT (strengthes, weaknesses, opportunities, threats) ∙ SWIFT analysis ∙ Cause and consequence analysis ∙ Intelligence collection ∙ Internal audit and check-list development ∙ Analysis of internal standard operating procedures ∙ Fishbone diagram, mind mapping, brain storming ∙ ISO Management review

사고예상 질문분석(what if)기법은 공정에 잠재하고 있는 위험 요인에 의해 야기되는 사고를 사전에 예상 및 정리하여 공정의 리스크 및 사고의 영향을 최소화하기 위한 대책을 제시하는 방법이다(Card et al., 2012). 특성요인도는 fishbone diagram 등을 활용하여 리스크에 대한 다양한 원인을 도출하고 원인에 적합한 리스크 처리 방법과 목표를 제공할 수 있다(Warm et al., 2021). Brainstorming은 내외부 구성원의 자유발언에 의한 최대한의 리스크를 예상할 수 있다(Ragoler et al., 2023). 이러한 방식들을 독립적으로 혹은 융합하여 사용할 수 있도록 하였다. 내부심사(internal audit), 경영검토(management review)는 기존의 ISO 시스템에서 통상적으로 적용되던 품질검토 방식이나, 리스크관리를 위한 차원으로 확장될 수 있도록 구성하였다. 이렇게 도출된 다양한 리스크 및 리스크 원천들은 체크리스트화(Table 1)(Park et al., 2020)하여 리스크관리 사례가 축적될 수 있다. 본 연구에서 제시된 Table들은 리스크관리 절차, 방법, 세부실행문서 및 각 문서의 항목을 제공한다. 따라서 리스크관리 프로세스를 도입하고자 하는 품질조직들은 본 연구의 Table들을 체크리스트화하여 개발 시 참고할 수 있다.

2단계: 리스크 분석(Risk analysis)

리스크 종류별로 효율적인 처리 방법과 기준을 설정하기 위해 식별된 리스크를 특성화하고 정량화를 시도하는데, 이를 리스크 분석이라 한다(Fig. 3, 4). 정량의 목적은 리스크의 발생가능성(likelihood)(Table 3), 강도(strength)(Table 4) 및 이들을 고려하여 도출된(Khan et al., 2020; Politis, et al., 2022; Setty et al., 2019) 리스크의 크기(Table 5)에 따라 본 사례연구에서 제시된 개념인 차등 관리, 중점 관리의 원칙을 적용하기 위함이다.

Table 3.

Probability of risk occurrences (likelihood): An example from an KS Q ISO/IEC 17025 accredited organization

Score	Description	Examples of frequency
5	Very definitely	∙ Occurrence more than 4 times a year
4	definitely	∙ Occurrence 1-3 times within a year
3	Moderate	∙ Possible occurrence within 2 years
2	slim chance	∙ Possible occurrence within 3 to 4 years
1	Very slim chance	∙ Possibility of occurrence once every 10 years

Table 4.

Strength of risks: An example from an KS Q ISO/IEC 17025 accredited organization

Score	Description	Examples of severity
5	Very serious	∙ Decreased reliability of test analysis results and subsequent problems ∙ Suspension of working (test and analysis service) for more than 6 months ∙ Losses of 50% or more in organization and net assets ∙ Non-conformity with proficiency tests ∙ Negative media coverage
4	Serious	∙ Suspension of working (test and analysis service) for 1 to 6 months ∙ Irreparable failure and loss of instruments, equipment and laboratorial environments ∙ Financial damages of 30% to 50% of the organization’s net assets ∙ Negative media coverage
3	Concern	∙ Suspension of working (test and analysis service) for 15 to 31 days ∙ Poor equipment and laboratorial conditions for 15 to 31 days ∙ Financial damages of 15% to 30% of the organization’s net assets
2	Moderate	∙ Suspension of testing for less than 7 to 15 days ∙ Poor equipment and laboratorial conditions for 7 to 15 days
1	Minor	∙ Suspension of examination for less than 7 days ∙ Poor equipment and laboratorial conditions for less than 7 days

Table 5.

Stratification of risks according to matrix analysis: An example from an ISO 17025 accredited organization

Grade (Score)	Description
Acceptable (1－2)	∙ If the impact of the risk is minimal and acceptable ∙ A stage where members of the organization and stakeholders can accept it
Attention (3－4)	∙ If the impact on the test results and related matters is minor ∙ It means that the individual employees can immediately correct at the risk occurances ∙ The steps where risk treatment processes need to be developed
aution (5－11)	∙ In the event of periodic nonconformities of stage 1 and stage 2 ∙ The effectiveness and fairness of the work (test and analyze) results may affected ∙ The steps where risk treatment processes need to be developed
Warning (12－25)	∙ If nonconformities continue to occur, errors occur in core tasks, or subsequent tasks are interrupted ∙ The steps that allow immediate risk management committees to be formed for risk handling ∙ The steps to direct the CEO/CRMO to conduct FOCUS-PDCA and implement the RMC to expedite risk response
Serious	∙ When the warning stage risk is repeated ∙ Continuous improvement (Plan- Do- Check- Action cycle) was carried out through risk treatment, but non-conformities occurred repeatedly ∙ The steps to enable CEO/CRMO to immediately establish and implement risk response scenarios ∙ The steps that are extremely unlikely to occur, but the risk intensity is too high, so that the CEO/CRMO can directly declare it as a serious risk

전통적으로 리스크를 다루던 ISO 22000에서는 관리의 효율화를 위해 위해 요인에 대해 차등 관리, 중점 관리의 원칙을 적용해 왔다. 감수할 수 있는 정도의 위해에 대해서는 control point(CP)로서, 최종 품질에 중대한 영향을 미치는 경우 critical control point(CCP)로서 지정하여 관리하며, 이 두 요소는 차등적으로 관리된다. 이는 다양한 위해를 동일한 강도로 통제하려고 노력하는 것은 자칫 모든 위해관리의 실패를 야기할 정도로 비효율적이기 때문이며, 따라서 리스크의 크기가 큰 경우 차등관리와 중점관리를 하는 것이 과학적인 관리가 된다고 본 연구도 평가하였다. 이는 ISO 31000에서도 유사하게 강조하는 바로서 리스크를 등급화하고 무시할 수 있는 리스크는 리스크처리 옵션(Table 6)에서 리스크 공유 등의 수준으로 관리를 시행하게 한다.

Table 6.

Direction (options) for risk treatment

Directions	Methods
Risk source elimination	∙ Terminate with simple cause elimination
Alteration of likelihood	∙ Using check-lists (Reduce risk level through monitoring) ∙ Using PDCA cycle (monitoring and reducing risk level) ∙ Using FOCUS-PDCA (monitoring and reducing risk level)
Risk taking
Risk sharing	∙ Internal Members and Stakeholders

리스크의 위험도는 무시할 수 있는 것부터 매우 중대한 것까지 다양한 수준으로 산출될 수 있는데, ISO 31000 6.5.2항(Fig. 4)에서 제안한 바와 같이 경감할 수 있는 리스크는 리스크 원천의 제거(elimination of risk or source)를, 조직 차원에서 수용할 수 있는 리스크는 리스크 공유(risk sharing)로서 처리하고 반드시 허용수준 이하로 억제하거나(경감의 원칙) 제거되어야 하는 리스크에 대한 중점관리 전략을 취하는 것이 품질경영에 있어 효율적이다.

본 연구에서는 리스크의 정량방식으로 내외부 이해관계자 및 구성원에 의한 brainstorming 및 matrix model을 적용하였다. Matrix model(Burns and LaKind, 2021; Khan et al., 2020; Politis et al., 2022; Setty et al., 2019)은 전통적으로 위험요인을 다루던 다양한 ISO 표준에서 적용해오던 방식이며, 오늘날 과학적 연구 혹은 산업안전 분야에 있어 사업장에 존재하는 다양한 위험을 예측하고 관리하는데 적용되고 있다. 리스크의 발생가능성(L) 및 강도(S)는 내외부 이해관계자 혹은 전문가들을 대상으로 델파이(패널 대상 리스크 반복측정을 조직구성원에 적용하여 발생 가능성과 강도를 결정) 혹은 brain-storming으로서 결정하고 이를 Matrix에 적용하여 등급화 하도록(Fig. 5) 설정하였다.

https://cdn.apub.kr/journalsite/sites/ales/2024-036-03/N0250360307/images/ales_36_03_07_F5.jpg

Fig. 5.

Matrix model for risk quantification.

그러나 Matrix 모델을 적용하는 경우에 특정한 한계가 존재하는데, 리스크의 강도(S)가 너무 커서 최대값 이상이 되지만 발생 가능성(L)이 너무 낮아 0에 수렴하는 경우 정량이 어렵다는 것이다. 이러한 결과가 도출되는 경우 ‘심각’ 단계로 지정하고 차별적인 리스크 처리 전략(예: Scenario, FOCUS-PDCA(Table 1))을 갖출 수 있도록 하였다. 기존의 ISO 22000에서는 빈발하지 않으나 강도가 매우 큰 리스크(예: 제품 안전 혹은 품질 불량에 의한 긴급 회수, traceability)에 국한하여 시나리오가 적용되어 왔다. 이처럼 발생 빈도, 강도 및 그에 따른 등급화를 실시하였으며 도출된 리스크 혹은 리스크 원천들은 정량화되고 등급화되어 우선순위를 식별함으로서 차등 관리, 중점 관리의 대상이 될 수 있다.

3단계: 리스크 평가(Risk evaluation)

정성, 정량화 혹은 등급화된 리스크에 대하여 확정하는 단계로서(Fig. 4, clause 6.4) 내부 구성원 및 조직 외부의 이해관계자들과 함께 공유되고 합의하되 추가적인 조치가 필요하다면 수용되고 개선되어야 한다.

4단계: 리스크 처리(Risk treatment)

리스크 처리 원칙

리스크 처리는 리스크관리의 지향점으로, ISO 31000 제6.5항의 요구에 따라 정량 혹은 층상화된 리스크의 각 단계 혹은 리스크의 특성을 반영하여 리스크 처리 프로그램(risk treatment plan)을 도출해야 한다. 본 연구에서 아래와 같이 제시한 몇 가지 리스크 처리 원칙은 ISO 31000의 요구사항을 반영한다.

첫째. 6.5.1항 및 4항과 관련된 경감의 원칙이다(Fig. 4). 조직 내외부에서 발생 되었거나, 발생 가능한 것으로 평가된 리스크 혹은 기회 요인에 대하여 위험성을 경감하고 위기의 기회화를 위하여 반드시 수행해야 할 리스크 관리의 지향점이다. 이를 위해 우선적으로 리스크처리 전략(risk treatment options)을 ISO 31000에서 제공하는데, 식별, 정량 및 등급화된 리스크들에 대해 리스크 원천 제거(Risk source elimination), 발생가능성 변경(Alteration of likelihood), 리스크 감수(Risk taking), 리스크 공유(Risk sharing)로 구분될 수 있다(Table 6).

둘째. 6.5.3.항에 따른 리스크처리 플랜의 운용이다(Fig. 4). 리스크 감수를 제외하고는 리스크를 경감하기 위해 처리(관리) 프로그램을 개발해야 한다. 등급화 결과를 고려하여 일정 수준(점수 및 등급) 이상의 리스크에 대해서는 허용수준 이하로 감소되거나, 제거되거나, 하위 단계의 리스크로 경감될 수 있도록 리스크 처리 프로그램을 개발하고 6.6항(Fig. 4)에 제시된 바와 같이 검증(verification)되어야 한다.

셋째. 차등관리의 원칙이다. Matrix를 통해 도출된 정량결과를 바탕으로 등급화하여 차별을 둘 수 있다. 예를 들어 수용 단계 리스크의 경우 리스크 감수를 통해 일정 수준으로 허용할 수 있다. 관심, 주의 등의 단계에서는 감소가능하거나 제거가능한 경우로서 통상적인 PDCA 싸이클을 통해 리스크를 저감하도록 해야 한다. 그러나 경계 혹은 심각 단계의 경우 PDCA 싸이클을 적용하기에 시급성이 있거나 한번 발생한 리스크의 결과가 회복하기 어려운 결과를 야기할 경우에 해당되므로, 집중적인 관리를 통해 빠른 시간에 해결할 필요가 있어 FOCUS-PDCA를 적용할 수 있다. 이처럼 ‘경계’ 및 ‘심각’ 단계 리스크는 본 연구의 하단에서 서술한 바와 같이 신속한 조치를 위해 별도로 절차 및 방법을 별도로 규정하도록 하였다.

넷째. 소통의 원칙이다. 이는 5.4.5항 및 6.2항과 관련된 리스크 공유(risk sharing) 및 리스크 커뮤니케이션(risk communication)과 관련이 있다. 다양한 현대 조직 혹은 사고적 리더쉽을 수행하는 국가기관들은 다양하고 적극적인 리스크 커뮤니케이션 채널 확보를 통해 리스크 공유의 방식을 고도화하고 있다(Lee et al., 2019; 2024; MacDiarmid and Pharo, 2003). 리스크처리 전략 중 리스크 감수란 리스크의 강도(S)와 발생가능성(L)이 품질경영에 미치는 영향이 미미하여 더 이상 확산되지 않도록 하는 차원에서 이해관계자(stakeholders) 간에 공유하는 것이다(Table 6). 이는 리스크의 강도가 실제보다 불필요하게 확산되어 산업계에 치명적인 영향을 미치지 않도록 국가기관에 의해 주도되기도 한다(McEntire and Boateng, 2012). 그러나 제품 및 서비스 품질에 있어 리스크가 일정이상 영향을 미친다고 판단될 경우 리스크 모니터링과 함께, 리스크 커뮤니케이션을 통해 어떻게 대처해 나갈지 이해관계자와의 공유를 통해 공급망 내에서 신뢰관계가 구축되어야 한다.

한편 리스크 커뮤니케이션을 이행하기 위해 리스크관리 위원회(Risk Management Committee)가 프로세스 상에 명시되고 이행되도록 하였다. 본 연구에서는 ISO 17025 조직에 품질리스크 관리 프로세스를 적용하였는데, 17025를 포함한 다양한 표준들은 품질경영시스템의 운영과 직결된 환경, 공정, 인력 등 주요 변화가 있을 때에는 정해진 직무자들이 대내외적 채널을 통해 적격성을 재검토하도록 절차를 요구하고 있다. 그러나 17025 표준 혹은 관계 법령 에서는 별도 협의체나 회의기구 수립에 대해 명시적으로 요구하지 않으므로(KATS, 2023) ISO 31000이 아닌 ISO 17025에서 요구하는 수준의 리스크관리를 적용할 경우 품질조직에서 디자인한 리스크 처리 프로그램의 실행성, 유효성 및 이행의 진위성을 검증하기 어렵다. 다수 전환된 ISO 시스템에서는 risk based thinking을 중시하며, 이러한 필수 프레임워크(Fig. 3)를 이행하고 검증할 수 있도록 회의기구의 실존이 요구된다.

다섯째, 사전관리의 원칙이다. 리스크를 예측할 수 있는 경우 리스크를 유발하는 원천(혹은 원인)을 원인과 결과분석 방법 등을 통해 파악하고 원인별로 대책을 설정하여 리스크발생 시 신속한 대응이 가능하도록 구성되어야 한다.

리스크 처리 프로그램 설정

리스크 식별, 처리(관리)를 위한 기법들이 국제학계에 지속적으로 보고되고 있다. 본 연구의 목적은 리스크 처리 기법의 고찰이 아니라 리스크관리 표준의 필수 프레임, 프로세스를 특정분야의 산업현장에 적용하기 위한 사례연구이다. 따라서 리스크 처리 프로그램을 고찰하는데에 집중하지 않고, ISO 31000에서 제시하는 필수 요구사항을 충족하기 위한 리스크 처리 방법 및 절차를 구성한 사례를 제시한다.

전술한 바와 같이 현대사회의 리스크는 통상적인 PDCA 만으로 극복되기 어려운 점이 존재하며, 이는 ISO 표준들이 리스크관리의 범위를 확대하도록 전환된 것과 같은 맥락이다. 따라서 다양한 리스크에 대응하기 위해 A) 체크리스트 및 모니터링, B) 개선조치, C) SWOT 분석, D) 원인과 결과분석, 검증프로그램, FOCUS-PDCA(Find, Organization, Clarify, Understand, Select, PDCA), 시나리오 기법을 채택하고(Table 1), 실행을 위한 부속서를 개발하였다(Saud and Chris, 2012).

① 수용, 관심, 주의 단계 리스크 처리

수용, 관심, 주의 단계 리스크 처리를 위해 아래와 같은 도구를 사용하도록 하였다.

A) 체크시트라고도 불리는 체크리스트(Table 1, 2) 개발은 리스크관리 프로세스 운용에 있어 ISO 31000의 5.7.1항(Fig. 4) ‘지속적인 개선·발전’을 이행하는 데 있어 두 가지 효용성을 갖는다. 첫째. 절차서는 조직 구성원들의 행동 지침을 구체적으로 명문화한 것이지만, 이의 이행을 확인하는 데 있어 절차서의 내용을 기반으로 개발된 체크리스트를 활용할 수 있다. 즉. 실행성을 검증하고 즉각적인 개선을 수행할 수 있다. 둘째. 리스크 처리 프로그램을 통해 관리되는 리스크 및 리스크 원천이 적정수준 이하로 감소하는지 혹은 제거되었는지 확인하기 위해 과거의 리스크들을 체크리스트화 하여 모니터링 하는 수단으로 사용할 수 있다. 즉 체크리스트는 PDCA 싸이클에 있어 Check에 해당하며, 모니터링을 위한 도구가 될 수 있다. 체크리스트를 통한 검정결과 실행성에 문제가 있었을 경우 개선조치(Table 1)를 통해 교정할 수 있다. 또한 체크리스트의 특성은 최대한의 리스크를 목록화한 것이며, 발생되거나 발생가능한 리스크의 목록을 경험에 의해 도출하고 정리하고 확인하는 도구이다. 리스크 도출, 정량, 등급화 결과를 지속적으로 체크리스트에 업데이트 하여 조직 고유의 리스크 목록을 제정 및 개정할 수 있으며, 과거로부터의 데이터와 함께 미래에 예상되는 다양한 리스크에 대응하도록 하여 지속적인 개선·발전을 가능케 한다.

B) 5.7 및 5.7.2항(Fig. 4)과 관련된 개선조치를 이행하는 데에는 다음 원칙을 적용할 수 있다. 첫째, 리스크 관리 담당자는 모니터링 결과에 따른 개선조치를 수행하고 구성원과 공유한다. 둘째, 리스크 발생 시 즉각적인 대응이 가능한 경우 ‘선조치 후보고’ 원칙을 택할 수 있도록 절차서가 규정되어야 한다. ‘사전예방의 원칙’을 구현하기 위해 리스크가 예상되는 경우 신속한 대응조치가 이루어지도록 CCA(cause - consequence analysis; 원인과 결과분석) 분석을 통해 도출된 리크스 발생 원인별 개선조치 방법을 사전에 설정하고, 훈련하도록 절차서가 규정되어야 한다.

C) 특정 리스크에 대응하기 위한 조치가 필요한 경우 ISO 31000 6.3.1.항 및 6.3.3. 항(Fig. 4)의 요구사항과 같이 내·외부적 상황을 반영하여 조직이 현실적으로 실현가능한 최적의 대안을 찾기 위해 SWOT 분석이 적용된다(Gaffar et al., 2020; Teoli et al., 2023). 내부요인(internal factor)으로 강점(strengths)/약점(weaknesses)을, 외부요인(external factor)으로 위기(threat)/기회(opportunities)를 분석하고, 이들을 조합하여 SO 전략(적극적 대응; active response). WO 전략(점진적 수행; phased implementation), ST 전략(차별화; differentiation), WT 전략(방어; defensive strategy)를 도출하여 조직 상황을 철저히 반영한 옵션을 제공 한다(Park et al., 2022).

D) 원인-결과분석은 논리 다이어그램의 귀납적/연역적 추론(예: event tree analysis 또는 fault tree analysis)을 통해 잠재적 사고의 근본 원인과 그에 따른 결과를 식별하므로(You and Tonon, 2012) 위험작업을 포함하는 조직에 적용 되어왔다. 발생 된 사고의 표면적 원인은 가시적일 수 있으나, 근본적인 원인을 분석해 보면 인사, 교육, 구매, 감사 등 경영과 조직 차원의 문제로 귀결되는 경우가 다수이며(Park et al., 2015), 이는 리스크관리의 본원적 주체가 사람(품질 인력)이기 때문이다. 한편 원인-결과 분석을 통해 도출된 품질 리스크를 제거하기 위한 프로그램의 개발 및 시행을 필요로 할 수도 있고, 때로는 리스크관리 프로세스의 운영방식의 변경을 요하는 경우가 발생 될 수 있으므로, 본 연구에서 제안하는 리스크관리 프로세스는 PDCA cycle의 범위를 최근의 ISO 경향과 같이 이중구조로 설정하였다. 즉, 본 사례연구에서 개발한 standard operating procedure의 순서는 Fig. 4에서 제시된 ISO 31000의 고도 구조와 유사하게 설계하였는데, 이중 PDCA cycle의 협소한 적용 범위는 ‘6. Process’에 국한하며 그 대상은 관심, 주의 단계 리스크 처리 프로그램의 이행시에 적용될 수 있다. 확장된 PDCA cycle의 적용 범위는 ‘5. Framework’까지 포함한 것으로서, 더 효율적인 리스크관리를 위한 조직 상황의 변경이 필요한 경우 이행될 수 있다.

② 경계, 심각 단계 리스크 처리

리스크의 강도가 크면서도 발생 가능성이 낮은 위기가 발생된 경우, 이러한 긴급 상황에 대응하기 위해서는 스트레스가 많고 역동적인 조건에서 신속한 결정이 요구된다. 효과적으로 대응하기 위해서는 리크스관리 책임자는 긴급 상황에 따라 제기되는 위험을 고려하여 취할 수 있는 올바른 조치를 사전에 설정해야 하며, 과학적인 방식으로 설정되어 있어야 한다. 기존의 위험 관리에 대한 연구들은 위험이 정적인 환경에서 발생 된 상태에서의 의사 결정에 초점을 맞추고 있지만, 이러한 척도는 의사 결정자의 시간과 정신적 자원이 제한된 조건의 리크스 에서는 부적절할 수 있고 실제 위험 확률이 알려지지 않은 경우 실행 불가능할 수 있다(Yu et al., 2012).

이러한 경우 리스크가 발생 된 상황을 가정하고 그에 최적화된 scenario를 emergency response procedures(ERP)로서 설정해 두어야 하며(Cranmer et al., 2014; Park et al., 2018; 2022) 기능별 업무 분담, 기능별 실행 사항을 시나리오에 포함하여 작성하는데, 목적, 적용, 범위, 업무분장, 리스크 유형, 리스크 등급, 실행 시나리오, 사후 조치 사항을 포함하도록 하였다(Table 1). 또한 시나리오의 실제 이행에 있어 리스크가 경감되어 가는지 모니터링 및 측정이 가능한 지표를 객관적으로 기록하도록 하였다. 또한 시나리오는 통상적인 검증 과정에 의해 유효성을 평가하기 어려운 점이 있으므로, crisis simulation exercises(CES)의 반복을 통해 실제적인 이행에 문제가 없는지 평가하고 보완되어야 하며(Park et al., 2018) 책임자와 조직원들이 체득하도록 해야 한다(Jacquinet et al., 2022). 또한 절차서 상에서는 최고경영자의 결정을 통해 신속하게 발효되도록 의사결정 체계를 준비해야 하며 FSMS에서 적용하던 ‘선조치 후보고’의 방식을 차용할 수 있다. 이는 아래 ‘4.4 기록관리 및 보고 체계’와 관련이 있다.

리스크관리에 있어 scenario가 필요한 이유는 ISO 22000의 관점에서 살펴볼 수 있다. 발생 가능성이 높고 리스크 강도가 낮아 수용 가능한 위해 요인의 경우 PDCA cycle의 지속적인 반복을 통해 리스크를 저감하거나 제거할 수 있다. 그러나 결코 발생 되어서는 안 될 위해 즉, 발생 가능성은 매우 낮으나 리스크의 강도가 매우 커 치명적일 경우 PDCA cycle의 적용은 적절하지 않으며, 그러한 경우 과학적 데이터나 전문 학술자료를 근거로 하여 리스크의 특성에 대하여 정확히 이해하고, 이를 바탕으로 사전에 시나리오를 준비하는 것이 올바른 방법이다. ISO 22000에서는 product liability(PL) 혹은 traceability 운영에 시나리오 기법이 제한적으로 활용되었다. 제품 혹은 서비스에 대한 심각한 결함 발생 시 품질조직이나 경영진의 미숙하고 느린 대응은 품질 조직 뿐만 아닌 조직의 경영 전반을 위협하며, 이는 비상 상황에 대해 scenario를 준비하지 않았거나, CES 이행을 등한시한 결과이다.

한편 scenario는 예상되는 중대 리스크에 대한 대비 방안이 될 수 있으나, 사전에 예측되지 않은 심각 단계 리스크가 발생한 경우, FOCUS-PDCA로서 대응하도록 설정하였다(Table 1). FOCUS-PDCA 방식은 통상 PDCA에 비해 시급히 해결해야 할 필요한 경우에 적용하는 것으로(Hoskins et al., 1994; Huang et al., 2023; Junjia et al., 2023), 특정의 문제가 발생하였을 경우 Find(주제 선정) → Organization(팀 구성) → Clarify(현안 및 문제점 구체화) → Understand(핵심 지표 선정, 자료수집) → Select(결과 분석 및 해석) → Plan(활동 계획) → Do(개선 활동 일정) → Check(결과 측정) → Action(평가 및 후속 계획) 과 같은 일련의 준비된 프로세스에 의해 문제를 해결하고, 그 결과를 모니터링할 수 있도록 한다. 긴급한 상황에 대한 대처 수단인 특징으로 인하여 주로 의료 및 보건 분야에서 적용되어 왔으나(Choi et al., 2023), 본 연구를 통해 ISO 17025 시스템에서 적용가능한 scenario 사례는 Table 7과 같다.

Table 7.

Example scenario for a test and analysis (ISO 17025 KOLAS) service laboratory under a serious risk level, such as pandemic or infectious disease propagation

Scenario for treatment aimed to serious level risk
Step 1	Risk prediction	Issue	∙ Definition of critical, urgent, and embodied risk issues (e.g., Absence of quality control personnel and failure of quality control due to infectious diseases)
		Effect	∙ Negative consequences for risk issues (e.g., KOLAS test analysis activities are not allowed)
Step 2	Goals for risk response		∙ Specifying the scope of the measures (e.g. maintaining normal test analysis capabilities and quality control)
Step 3	Create the concrete scenario	Role (CEO/ CRMO)	∙ Analysis of institutional influence by the spread of infectious diseases ∙ Determining when the scenario is up and running, and instructions needed to implement the scenario
		Role (manager)	∙ Check if the scenario is up and running ∙ Additional measures if necessary
			∙ Establishment of the person in charge of each test analysis item (workers in charge) and (vice worker)
		Role (employee)	∙ In the case of equipment with high operation rate, priority is given to interlaboratory comparison or round robin testbetween a worker in charge and a vice worker ∙ Detailed operation method for each equipment is on-site ∙ Identification of pre-manufactured working standard material storage areas
Step 4	Implementation of the scenario	Role (CEO/ CRMO)	∙ Objective judgment of the situation of infectious diseases (quarantine guidelines, etc.)
		Role (manager)	∙ Review the business division table
		Role (employee)	∙ Report and authentification of robin test result
Step 5	Define milestones (goals)	Role (manager)	∙ Normal implementation of test analysis activities
		Role (employee)	∙ Normal implementation of quality control of test results
		This scenario shall be implemented immediately after approval.

ISO 체계전환으로 인해 확장된 조직운영 차원의 리스크 관리에서는 필요할 수 있을 것으로 예상된다. FOCUS-PDCA를 통해 도출된 내용은 scenario를 작성하여 리스크의 재발 가능성에 대비할 수 있을 것이다. 한편 RMC는 FOCUS-PDCA 실행을 위한 팀 구성에 활용될 수 있는 동시에, 리스크관리 프로세스 전체 단계의 이행에 있어 리스크 공유에 구성되고 운영되어야 하는 비상시 기구이다.

검증 프로그램(verification plan)

복잡한 공급망 특성을 보이는 현대 산업계에서, 품질조직은 다양한 수급자로부터 개별화된 심사에 노출되거나, 그들의 요구에 따라 다양한 인증을 적용해야 한다. 이는 중복에 의한 낭비를 초래하며, 최근 들어 특정의 산업 분야에서는 이를 저감하기 위한 노력이 강조되고 있으며(Crandall et al., 2014), 또한 ISO 31000 제6.5.1항(Fig. 4)과도 유사한 맥락이다. 따라서 본 연구에서 리스크관리 프로세스 개발 시의 주요 목표로서 조직에서 채택한 기존 시스템의 운용을 방해하지 않고, 시스템 간 중복에 의한 낭비를 최소화하면서도 유효한 리스크관리 프로세스 실적을 도출해 낼 수 있어야 한다. 이는 리스크 처리 플랜의 실행성 확보와도 관련이 있을 것으로 사료 된다. 기존 시스템과의 중복이나 충돌은 실행성을 방해할 가능성이 있기 때문이다. 이러한 이유로 ISO 31000에서는 외부 뿐만이 아니라 조직 내부 전문가의 검토 또한 요구하고 있다. 이러한 다양한 관점들을 고려하여 아래와 같이 검증 프로그램으로서 검증 내용을 설정하고, 검증의 주기별로 어떠한 검증 내용을 적용할지 결정하였다(Table 8).

Table 8.

Verification program, strictly reflecting ISO 22000 Food Safety Management System (FSMS)

Kinds	Targets		Subject, period and method of verification
Primary verification	Validity	Document review	∙ Internal or 3rd party audit ∙ Chief risk management officer (CRMO) approval
		On-site inspection
Routine verification	Validity	Document review	∙ Confirmation of the head of the department in charge of setting up a specific risk handling program
		On-site inspection
	Implementation	Document review	∙ CRMO checks the results each time the program is executed
		On-site inspection
Periodic verification	Validity	Document review	∙ Verification of risk treatment plans by external experts
		On-site inspection
	Implementation	Document review	∙ External auditor confirm actual implementation of the risk treatment plan
		On-site inspection
Special verification	Validity	Document review	∙ In case of revision of operatinf procedures ∙ When a particular risk has occurred
		On-site inspection

첫 번째, 검증 내용에 따른 구분은 유효성 평가와 실행성 평가로 구분하였다. ISO 22000에서는 선행요건관리(PRPs), Hazard control plan(혹은 HACCP plan)의 검증을 위해 유효성 평가 및 실행성 평가를 실시한다(ISO, 2018a). 본 연구에서 제시한 리스크관리 프로세스에서의 ‘유효성 평가’란 리스크관리 플랜 들이 실질적으로 리스크를 저감할 수 있는지 그 효과성을 확인하는 것이다. ‘실행성 평가’ 란 구성된 프로그램을 조직 차원에서 실질적으로 이행되는지를 확인하는 것이다.

본 연구에서 유효성에 영향을 미치는 요인은 크게 2단계로 구분될 수 있는데, 1단계는 ISO 31000 표준원문의 핵심 절차와 방법들이 운영 기준서에 잘 반영되어야 한다는 것이며, 2단계는 조직 고유의 경영 체계 혹은 기존의 ISO 인증과 중복되거나 상충하지 않도록 운영되어야 한다는 것이다. 따라서 유효성을 검증하는 전문가들은 조직 내외부의 인력이 적절히 참여되어야 할 것이다. 또한 1단계에 해당하는 유효성 검증은 서류의 검증으로, 2단계에 해당하는 유효성 검증은 설정된 서류를 바탕으로 한 현장검증으로 구분하였다.

실행성 평가는 객관적 검증을 위해 외부 인력에 의한 검증이 필요하며, 동시에 일상적인 실행 여부와 실질적인 개선 조치 이행 여부를 모니터링하기 위해 내부 인력으로부터의 검증이 필요하다. 이는 ISO 22000 등 전통적인 시스템들의 검증프로그램과 유사하다(Scapin et al., 2015). 따라서 도출된 유효성, 실행성 검증의 구분은 Table 8와 같으며, 실행성 검증은 이들에 대한 문서검증, 실제 개선 여부를 확인하기 위한 현장 검증으로 구분할 수 있다.

두 번째로, 검증 주기는 최초 검증, 정기 검증, 일상 검증 및 특별 검증으로 구성하였다. 최초 검증은 내외부 전문가에 의해 개발된 리스크관리 프로세스의 유효성을 검증하는 것으로서, 검증 결과를 부속서인 검증보고서(Table 1)에 기록하고, 기록된 검증 내용을 바탕으로 프로세스 초안을 개선하여 프로세스 개발이 완료된 것으로 설정하였다. 본 연구에서 외부 전문가에 의한 최초 검증 시 리스크 처리 프로그램에 대한 유효성 평가는 다음과 같은 관점에서 심사되었다: A) 도출된 리스크 처리 프로그램은 구성원이 이해하기 쉽도록 구성 되었는가, B) 적용이 편리한가, C) 목표가 명확한가, D) 프로그램 시행 시기, 주기, 방법 및 시행 결과는 구성원에 공유 되었는가, E) 리스크 처리 플랜 이행 및 결과 확인(체크리스트, 개선 조치 등)을 통해 리스크 및 리스크 요인이 저감 되었는가, F) 리스크 처리 프로그램의 목표 달성에 실패한 경우 PDCA cycle을 통해 프로그램을 재구성하고 실행하는가 이다.

정기 검증은 조직 내에서 프로세스의 이행 결과에 대한 외부 전문가의 반복적 정기검증을 통해 실행성과 유효성이 지속적으로 평가되도록 하는 것이다. 이러한 주기적/반복적 검증을 통해 개선점을 도출하고, 이를 바탕으로 PDCA cycle을 이행하여 리스크관리 프로세스는 지속적으로 발전될 수 있도록 하였다. 외부 전문가 검증은 외부 환경에서 기인 되는 리스크를 예측하고 대응하는 데에 중요한 기회가 될 수 있다. 일상 검증은 리스크 처리 프로그램에 따라 리스크가 효과적으로 관리되는지 실행성을 평가하는 것으로, 내부 책임자가 이행 서류(부속서) 및 현장 확인을 통해 평가할 수 있다.

기록관리 및 보고체계(Record and reporting)

ISO 31000 6.7항에서는 조직에 적합한 기록 및 보고 체계를 요구한다(Fig. 4). ISO 9001를 기반으로 한 국제표준들은 PDCA cycle의 실질적 이행을 통한 지속개선을 요구하는데, 과거 혹은 현재의 위험 요인이 재발하지 않도록 하는데 있어 문서화가 핵심적인 역할을 한다. ISO 22000은 기록관리(Fig. 1)를 통해 동일 리스크 재발을 억제하고, 유효성과 실행성을 입증할 수 있으며, 그를 통해 지속적인 품질시스템 개선발전이 가능하다. 또한 리스크관리의 관점에서는, 추후 유사한 리스크 발생되거나 발생할 것으로 예상될 경우 신속하게 참고할 수 있어야 한다.

한국 정부에 의한 국내인증제도인 HACCP(식품안전관리인증기준)은 ISO 22000:2018 ‘실행(operation)’ 부분인 hazard control plan이나 ISO 22000:2005(HACCP)과 대칭된다. 한국 FSMS와 ISO ‘실행’ 부분이 비교분석 되기도 하였는데(Moon et al., 2005) ISO 22000에서 제시하는 실행 부분은 국내 HACCP 기준과 기록관리에 있어 차별적인 양상을 보인다. 이는 한국 특유의 산업 상황을 반영하기 때문이다. 다수 ISO 시스템의 경우 문서화된 절차를 기반으로 운영되고 있으나, 식품안전관리인증기준(HACCP) 혹은 우수제조관리기준(Good Manufacturing Practice) 인증 등의 경우 AI(Artificial Intelligence), IoT(internet of thing)를 활용한 스마트 공정관리 개념을 시도하고 있다(Lim et al., 2021; Oh et al., 2021). Smart HACCP/GMP는 공정에서 끊임없이 발생하는 품질 데이터들을 실시간 수집하여 gateway로 전송하며, 품질관리자는 방대한 데이터를 수집 할 수 있다. 이는 정보기술 발달, 스마트 팩토리 확산과 같은 한국 산업군 고유의 상황을 반영한다(Chong et al., 2020). 기존의 ISO 체계에서 리스크 모니터링을 수기로 작성하는 방식은 문서관리로서의 한계가 있다. 기존 체계에서 문서의 보존 기한이 정해져 있으며, 인정심사가 이루어졌거나 보존 기한을 넘겼을 경우 보관관리의 의무가 감소한다. 이 때문에 과거에 발생한 리스크 및 관리 방안들은 망각 될 수 있고, 과거에 발생한 리스크에 대한 주의는 경감되고 재발할 위험이 있다. ISO 31000의 제5.7.2항(Fig. 4)과 같이 리스크관리 프로세스의 반복 적용과 개선을 통해 지속 발전해야 하며, 따라서 전술한 문서화에 의한 리스크의 재발 방지 기능은 오히려 전산화된 데이터를 통해 신속하게 검색되고 대응할 수 있다. 리스크관리의 유효성을 결정하는 요인은 표준서가 조직의 상황을 잘 반영하고 있는가 하는 것이지만, 상기 이유로 통상적인 ISO 체계와 달리 전자문서시스템 등 기존의 조직 상황을 반영하도록 문서 보관 및 보고 절차를 구성하였다.

본 연구는 국제표준에서의 의무 이행 조항으로 인한 강제적 동기에 의하여 추진되어, 표준을 적용하지 않는 기관들은 리스크관리에 대한 동기가 부족하다는 한계를 가진다. 그러나 현시점에서 리스크관리 의무에 적용되지 않는 민관 조직들은 아래와 같은 사유로 인해 리스크관리 체계의 도입을 고려할 필요가 있다.

첫째, 우리 사회에는 리스크를 평가하고 관리하는 공공조직(보건위생, 식품안전, 환경안전, 산업안전)이 다수 존재하는데, 본 연구의 사례처럼 글로벌 표준에 입각한 리스크관리 프로세스 적용 및 수행을 통해 품질 리스크에 대응하는 공공자원의 효율적 운영이 가능할 것이다. 실무 차원에 있어 리스크 모니터링 등 기획 사업을 추진 할 경우 경험과 직관에 의한 막연한 리스크 원천 도출 혹은 그에 대한 대책 설정으로 인해 제한된 행정자원의 낭비가 발생할 수 있다. 리스크관리 글로벌 표준을 이해하고 제시된 원칙과 절차를 존중하여 우리 사회를 위협하는 리스크를 적시에 관리할 수 있을 것이다.

둘째, 한국 소재 농수산물 및 식품관련 글로벌 기업들은 회사 간 시너지 효과를 위한 수직계열화가 진행되면서, 유사한 제품군을 생산하는 다수 계열사가 하나의 그룹사 내에서 운영되는 경우가 다수이며, 이러한 그룹사들은 일관성 및 효율성 측면에서 품질 및 안전성을 관리하는 조직을 별도로 운영한다(Shin, 2010). 이들은 수직계열화된 회사들을 심사평가하면서 축적된 리크스 정보를 보유하며, 따라서 제품 품질 및 제품 안전성과 관련하여 리스크 예측 및 대응에 유리한 위치를 차지한다. 최근 농식품 산업 혹은 환경 산업군 내외부 상황 및 공급망 복잡화로 인해 품질관련 리스크의 예측은 어려워지고, 과거에 고려되지 않던 상황들이 실질적인 품질을 저해하는 리스크로 확인되기도 한다. 이러한 상황은 기존의 제품 회수, 시험검사 혹은 체크리스트 등을 바탕으로 한 통상적인 내부 심사 위주의 관리방식으로는 품질상의 리스크에 대응하는 데에 한계가 있다. 이러한 방식들은 통상적인 수용, 감수, 주의 단계 품질 리스크에 조금 더 효율적이기 때문이다. 본 연구를 통해 제시된 다양한 리스크관리 전략을 참고하여, 단순 내부 심사 조직에서 탈피하여 글로벌 그룹사 내에서 리스크관리에 있어 사고적 리더쉽을 담당할 수 있을 것으로 사료된다.

본 연구가 가질수 있는 의의는 다음과 같다. 농업, 식품 및 환경산업에서 기초 과학적 연구를 통해 기능성이 확보된 신규 소재를 발굴하고, 신규 소재의 특허를 기술이전 하거나, 파일럿 공정을 통해 시제품을 만들어 그 효능을 검증하며, 대량생산 체제를 갖추고, 공인기관의 시험분석 활동을 통해 생산된 제품에 대한 적정 품질을 보증하는 전 과정이 원활하게 이루어져야만 결과적으로 국가차원의 연구비가 투입된 기초 소재와 최종 제품에 대한 충분한 경쟁력을 확보할 수 있다. 또한 안전성과 품질이 보증된 최종 제품으로부터 확보되는 부가가치는 기초적인 연구개발을 더욱 촉진하는 선순환을 가능케 한다. 따라서 개발된 제품의 안전성 및 품질을 보증하는 ‘시험분석 활동’에 대한 품질 리스크관리 프로세스의 효율적 구성은 제품의 대량생산 및 수출을 통해 규모의 경제를 달성하기 위한 초석이 된다.

본 연구를 참고할 수 있는 독자의 범위는 다음과 같다. 본 연구가 ISO 17025 시험분석 공인기관에 대한 의무사항 증가에 대응하기 위하여 수행되었지만, 시험분석 결과의 품질을 안정적으로 보장할 수 있다는 점에서 최종 제품 품질 검정하는 공정에만 적용될 수 있는 것은 아니다. 시험분석 활동은 최종 제품에 대하여 뿐만 아니라 기초 과학적 연구개발 단계, 시제품에 대한 유효성 검증, 상용화된 제품의 품질 보증 단계 등 제품개발 및 생산의 전 주기에서 광범위하게 필요할 수 있는 활동이므로, 본 연구 사례는 산업적 측면 뿐만 아니라 기초 연구 단계 등 전반에 참고될 수 있다.

본 연구에 대한 적용가능성과 지속가능성에 대한 고찰은 다음과 같다. 우리나라 산업계의 원활한 수출입 및 우리 제품의 안전성 및 품질에 대한 신뢰를 강화하기 위해 다양한 산업군에서 ISO 9001, 22000 혹은 ISO 17025같은 국제표준을 적용하고 있다. 또한 교역 대상이 되는 국가가 자국의 규격을 강요하는 등 무역장벽이나 그에 따른 분쟁에 대비하기 위해 정부에서는 적극적으로 국제표준을 채택하도록 지원하기도 한다. 그러나 ISO 기술위원회(ISO technical committee)에서 십 수년 만에 한번씩 발생하는 규격의 전환(즉, 개정)은 본 연구의 주제인 ‘품질 리스크 관리 의무도입’과 같은 부담이 되는 새로운 절차의 구비를 요구하기도 한다. 영세한 업체들의 경우 새로운 요구사항을 구비하는 데 막대한 비용이 필요할 수도 있으므로, 기존에 그들이 어렵게 보유하던 국제표준 인정 지위를 포기하기도 하며, 결과적으로 산업계의 경쟁력 약화 요인이 되기도 한다. 본 연구는 이러한 상황의 해소에 도움이 되기 위함이다. 본 연구 사례는 그러한 영세업체들이 품질 리스크관리 프로세스를 적용하는데에 직접적인 참고자료가 될 수 있으므로, 적용가능성이 높다. 그러나 본 프로세스의 지속가능성을 위해 다음과 같은 부분이 고려되어야 한다.

본 연구에서 제시한 것은 품질리스크 관리 프로세스 확립 자체에 대한 것이다. 품질리스크 관리 프로세스를 도입한 시험분석 기관들은 본원적으로 도입한 프로세스를 가동하여 그들의 고유한 시험분석 활동에 대해 부정적 영향을 미칠 수 있는 리스크 요인을 지속적으로 도출해야 하고, 해결할 수 있는 품질 프로그램을 고민해야 하며, 끊임없는PDCA 활동을 통해 그 효과를 검증함으로서 지속가능한 품질시스템을 확립할 수 있다. 그러나 품질 리스크 프로세스 확립이 난해한 만큼, 이제까지 존재하지 않던 운영 사례 확보도 노력이 필요하다. 더군다나 이러한 과정은 일부 공인기관에서는 법정 의무사항이지만, 의무사항이 아닌 시험분석 기관도 존재한다. 공익적 차원에서, ISO 22000 혹은 식품안전관리인증기준과 같은 특정(농식품) 산업군의 대표적 품질 시스템의 경우 이러한 사례들을 확보하고 공유하는 데에 사고적 리더쉽을 담당하는 공적 주체들이 명확히 존재하며, 이들 공적 기관들은 수많은 리스크(위해 요소)의 도출 및 관리 대책에 대한 연구를 수행하고 학계에 보고하고 있다. 따라서 본 연구의 대상이 되는 ISO 17025또한 품질 리스크에 대한 사례와 그 처리 프로그램을 확보하는 데에 있어 사고적 리더쉽의 주체가 필요할 것이며, 이와 더불어 더욱 다양한 연구 사례들이 확보되어야 할 것이다.

결 론

본 연구에서는 우리나라 환경산업 및 농식품 산업의 품질 발전 및 해외 진출에 필요한 시험 분석 산업군의 품질관리 체계에 적용할 수 있는 품질 리스크 관리 프로세스를 개발하고 검증하였다. 리스크 관리에 전문화된 국제표준인 ISO 31000은 별도 인증심사 체계가 없으므로 본 연구에서는 효율적이고 사용하기 쉬운 절차를 완성하기 위하여 광범위하게 운영되는 ISO 22000 FSMS의 세부 운영문서 및 사례들을 차용하여 ISO 31000의 필수 요구사항을 이행 가능하도록 절차서와 함께 부속서를 구성하였으며, 리스크 처리에 필요한 프로그램들은 리스크 관리와 관련된 국내외 연구결과들을 고찰하여 적용하였다. ISO 22000이나 식품안전관리인증(HACCP)은 산업군 내에서의 광범위한 연구 활동을 통해 품질리스크 관리가 용이해져 온 것처럼, 시험 분석 산업군(ISO 17025 인정조직)에서도 본 연구와 같은 사례가 축적될 경우 품질리스크 관리가 더욱 용이해질 것으로 사료된다.

References

Aven, T. (2017) The flaws of the ISO 31000 conceptualisation of risk. Proceedings of the Institution of mechanical engineers. P I MECH ENG O-J RIS 231:467-468.

10.1177/1748006X17690672

Bartoo, G. (2003) Risk management. IEEE Eng Med Biol 22:166-70.

10.1109/MEMB.2003.1237528

Burns, C. J., LaKind, J. S. (2021) Using the Matrix to bridge the epidemiology/risk assessment gap: a case study of 2,4-D. Crit Rev Toxicol 51:591-599.

10.1080/10408444.2021.1997911

Card, A. J., Ward, J. R., Clarkson, P. J. (2012) Beyond FMEA: the structured what-if technique (SWIFT). J Healthc Risk Manag 31:23-9.

10.1002/jhrm.20101

Choi, H. C., Seo, S. K., Byun, S. K., Chang, H. J., Park, S. C. (2023) A Study on Quality Improvement and Advancement of Negative Pressure Isolation Stretcher: Using FOCUS-PDCA. J Korean Soc Qual Manag 51:715-734.

Chong, H. R., Bae, K. H., Lee, M. K., Kwon, H. M., Hong, S. H. (2020) Quality Strategy for Building a Smart Factory in the Fourth Industrial Revolution. J Korean Soc Qual Manag 48:87-105.

Chung, K. S. (1998) The Intended Strategy of TQM by Developing Stages. J Korean Soc Qual Manag 26:1-27.

Correia, S., Luck, S., Verner, E. (2020) Pandemics depress the economy, public health interventions do not: Evidence from the 1918 flu. J Econ Hist 82:917-957.

10.1017/S0022050722000407

Crandall, P. G., Mauromoustakos, A., O'Bryan, C. A., Thompson, K. C., Yiannas, F., Bridges, K., Francois, C. (2014) Impact of the Global Food Safety Initiative on Food Safety Worldwide: Statistical Analysis of a Survey of International Food Processors. J Food Prot 80:1613-1622.

10.4315/0362-028X.JFP-16-481

Cranmer, H., Chan, J. L., Kayden, S., Musani, A., Gasquet, P. E., Walker, P., Burkle, F. M., Jr Johnson, K. (2014) Development of an evaluation framework suitable for assessing humanitarian workforce competencies during crisis simulation exercises. Prehosp Disaster Med 29:69-74.

10.1017/S1049023X13009217

Ferguson, M. E., Drake, M. J. (2021) Teaching supply chain risk management in the COVID‐19 Age: A review and classroom exercise. Decis Sci J Innov Educ 19:5-14.

10.1111/dsji.12230

Food and Drug Administration (US FDA), Occupational Safety and Health Administration (OSHA) (2020) Employee health and food safety checklist for human and animal food operations during the COVID-19 pandemic. Food and Durg Administration, Silver Spring, State of Maryland, USA.

Freeman, K. P., Cook, J. R., Hooijberg, E. H. (2021) Standard operating procedures. J Am Vet Med Assoc 258:477-481.

10.2460/javma.258.5.477

Gaffar, B., Alhumaid, J., Alhareky, M., Alonaizan, F., Almas, K. (2020) Dental facilities during the new corona outbreak: A SWOT analysis. Risk Manag Healthc Policy 25:1343-1352.

10.2147/RMHP.S265998

Grochau, I. H., Caten, C. St., de Camargo Forte, M. M. (2017) Current American landscape in laboratory accreditation according to ISO/IEC 17025. Accredit Qual Assur 22:57-62.

10.1007/s00769-017-1248-x

Handoo, A., Sood, S. K. (2012) Clinical laboratory accreditation in India. Clin Lab Med 32:281-92.

10.1016/j.cll.2012.04.009

Heo, J. C., Yeon, W. H., Kim, S. B., Kim, Y. K., Kim, H. K., Pak, S. B., Lee, S. J., Lee, J. K., Lee, W. H. (2022) Geopolitical risk in the era of U.S.-China strategic competition and economic security. pp. 22-35. in World Economy Brief, KIEP (Korea Institute for International Economic Policy), Sejong, Republic of Korea.

Hoskins, E. J., Abdul al-Hamid Noor, F., Ghasib, S. H. (1994) Implementing TQM in a military hospital in Saudi Arabia. Jt Comm J Qual 20:454-64.

10.1016/S1070-3241(16)30090-6

Huang, Y., Huang, Y., Yi, L., Pan, W., Chen, Y. (2023) A FOCUS-PDCA quality improvement model for reducing the distribution defect rate of sterile packages. Sci Rep 13:15016.

10.1038/s41598-023-42295-8

ISO (International Organization for Standardization) (2015) ISO 9001:2015 international standard(E). ISO technical committee, Canton of Geneva, Switzerland.

ISO (International Organization for Standardization) (2017) ISO/IEC 17025 International standard, General requirements for the competence of testing and calibration laboratories. ISO technical committee, Canton of Geneva, Switzerland.

ISO (International Organization for Standardization) (2018a) ISO 22000 Food Safety Management System. ISO technical committee, Canton of Geneva, Switzerland.

ISO (International Organization for Standardization) (2018b) ISO 31000:2018(E) International standard for risk management. ISO technical committee, Canton of Geneva, Switzerland.

Jacquinet, C., Blin, M., Vaillancourt, J. P. (2022) Lessons learned from three avian influenza simulation exercises in the southwest of France. Prev Vet Med 201:105595.

10.1016/j.prevetmed.2022.105595

Junjia, Y., Alias, A. H., Haron, N. A., Abu Bakar, N. (2023) Identification and analysis of hoisting safety risk factors for IBS construction based on the AcciMap and cases study. Heliyon 10:e23587.

10.1016/j.heliyon.2023.e23587

KATS (Korean Agency for Technology and Standards) (2023) Manual for KS Q ISO/IEC 17025. Ministry of Trade Industry and Energy, Sejong, Republic of Korea.

Kaya, G. K., Ward, J. R., Clarkson, P. J. (2019) A framework to support risk assessment in hospitals. Int J Qual Health C 31:393-401.

10.1093/intqhc/mzy194

Khan, S. Z., Ashfaq, M. A., Awan, M. U., URehman, H., Kamal, S. A., Hoa, N. T. X., Shafiq, M. (2020) Investigating supply chain issues in the food processing industry. IOP Conf Ser Mater Sci Eng 847:1-9.

10.1088/1757-899X/847/1/012071

Koo, W. H., Baek, M. H. (2014) A Study on the development of the standard operation procedures for disaster response at occurring the urban forest fire. J Korean Soc Hazard Mitig 14:169-176.

10.9798/KOSHAM.2014.14.6.169

Lalonde, C., Boiral, O. (2012) Managing risks through ISO 31000: A critical analysis. Risk Manag 14:272-300.

10.1057/rm.2012.9

Lee, B. M., Bearth, A., Tighe, R. M., Kim, M., Tan, S., Kwon, S. (2024) Biocidal products: Opportunities in risk assessment, management, and communication. Risk Anal 44:493-507.

10.1111/risa.14160

Lee, B. M., Kwon, S., Cho, Y. M., Kim, K. B., Seo, K., Min, C. S., Kim, K. (2019) Perspectives on trace chemical safety and chemophobia: risk communication and risk management. J Toxicol Environ Health A 82:186-199.

10.1080/15287394.2019.1575625

Leitch, M. (2010) ISO 31000:2009-The new international standard on risk management. Risk Anal 30:887-92.

10.1111/j.1539-6924.2010.01397.x

Lim, M. C., Woo, M. A., Choi, S. W. (2021) Current status of food safety detection methods for Smart-HACCP system. Food Sci Ind 54:293-300.

MacDiarmid, S. C, Pharo, H. J. (2023) Risk analysis: assessment, management and communication. Rev sci tech 22:397-408.

10.20506/rst.22.2.1408

McEntire, J., Boateng, A. (2012) Industry challenge to best practice risk communication. J Food Sci 77:R111-7.

10.1111/j.1750-3841.2012.02630.x

Moon, H. I., Han, S. W., Shin, S., Byeon, S. H. (2021) Comparison of the qualitative and the quantitative risk assessment of hazardous substances requiring management under the occupational safety and health act in South Korea. Int J Environ Res Public Health 2:1354.

10.3390/ijerph18031354

Moon, J. S., Lee, C. G., Yoo, W. J. (2005) A Korean Food Safety Management System (FSMS) based on the premises of ISO 22000. J Korean Soc Qual Manag 33:41-46.

Oh, S. W., Jeong, J. P., Park, J. S. (2021) Design and implementation of smart factory system based on manufacturing data for cosmetic industry. J Inst Internet Broadcast Commun 21:149-162.

Park, J. M., Cho, H. M., Kim, J. M., Ghim, S. Y. (2018) New procedures for food handlers under infectious gastrointestinal disease to control emerging microbial problems. J Food Saf 38:e12481.

10.1111/jfs.12481

Park, J. M., Cho, J. H., Jun, N. S., Bang, K. I., Hong, J. W. (2022) Worker protection scenarios for general analytical testing facility under several infection propagation risks: scoping review, epidemiological model and ISO 31000. Int J Environ Res Public Health 19:12001.

10.3390/ijerph191912001

Park, J. M., Kim, J. M., Hong, J. W., You, Y. H. (2020) Microbial control measures for soft ice cream in franchise brands: A comparative analysis of microbial analysis and manufacturing practices. Food Sci Nutr 21:1583-1595.

10.1002/fsn3.1446

Park, J. M., Kim, J. M., You, S. M., You, Y. H., Kim, H. W., Rhee, M. S., Kim, Y. W., Yun, A. R. (2015) The survey on origin indication statue of agriculture and fishery products at food cafe. J Agric Life Sci 49:343-353.

10.14397/jals.2015.49.5.343

Park, Y. T. (2017) The Future of Quality Management: Challenge and Response. J Korean Soc Qual Manag 45:761-768.

Pascarella, G., Rossi, M., Montella, E., Capasso, A., De Feo, G., Botti, G., Nardone, A., Montuori, P., Triassi, M., D'Auria, S., Morabito, A. (2021) Risk analysis in healthcare organizations: Methodological framework and critical variables. Risk manag healthc policy 14:2897-2911.

10.2147/RMHP.S309098

Politis, Y., Krokos, F. D., Papadakis, I., Chatzistelios, G. (2022) Managing control measures according to the ISO 22000:2018. Int J Sci Res 5:1-14.

10.37502/IJSMR.2022.5101

Ragoler, M., Radomislensky, I., Dolev, E., Renert, L., Peleg, K. (2023) Rethinking the Current "Stage-and-Wait" Paradigm. Prehosp Disaster Med 38:185-192.

10.1017/S1049023X23000079

Saud, Y. E., Chris, I. (2012) Applications of cause-consequence diagrams in operational risk assessment. ASSE Professional Development Conference and Exposition, Denver, Colorado, USA.

Scapin, Jr W. S., Salvetti, T. C., Longo, G. C. (2015) Proposal for implementation risk management according ABNT NBR ISO 31000 standard applied to internal audit process of integrated management system of IPEN. INAC 2015, São Paulo, SP, Brazil.

Setty, K., McConnell, R., Raucher, R., Bartram, J. (2019) Comparative evaluation of risk management frameworks for U.S. source waters. AWWA Water Science 1:e1125.

10.1002/aws2.1125

Shin, D. H. (2010) Proposal for food quality and safety control center in food cluster located at Iksan. Safe food 5:3-7.

Teoli, D., Sanvictores, T., An, J. (2023) SWOT Analysis. In: StatPearls (Internet). Treasure Island (FL): StatPearls Publishing.

Warm, E. J., Ahmad, Y., Kinnear, B., Kelleher, M., Sall, D., Wells, A., Barach, P. A. (2021) Dynamic Risk Management Approach for Reducing Harm From Invasive Bedside Procedures Performed During Residency. Acad Med 96:1268-1275.

10.1097/ACM.0000000000004066

Wilbanks, D. W., Byrd, T. (2020) The relevance and benefit of ISO 31000 to OSH Practice. Prof. Saf 65:32-38.

World Health Organization (WHO) and Food and Agriculture Organization of the United Nations (UN FAO) (2020) COVID-19 and food safety: guidance for food businesses. United Nations, Geneva, Switzerland.

You, X., Tonon, F. (2012) Event-tree analysis with imprecise probabilities. Risk anal 32:330-44.

10.1111/j.1539-6924.2011.01721.x

Yu, M., Lejarraga, T., Gonzalez, C. (2012) Context-specific, scenario-based risk scales. Risk anal 32:2166-81.

10.1111/j.1539-6924.2012.01837.x

Zhou, L. J., Cao, Q. G., Yu, K., Wang, L. L., Wang, H. B. (2018) Research on occupational safety, health management and risk control technology in coal mines. Int J Environ Res Public Health 15:868.

10.3390/ijerph15050868

Journal of Agricultural, Life and Environmental Sciences ISSN:2233-8322(Print) 2508-870X(Online) 농업생명환경연구