ISO 심사에서 가장 많이 나오는 부적합 사례 5가지 — 현직 심사원이 말하는 실제 현장

“3시간 뒤에 ISO 심사원이 옵니다. 준비할 게 너무 많은데 뭐부터 해야 할지 모르겠습니다.”

ISO 인증 심사를 앞두고 이런 연락을 받은 적이 한두 번이 아닙니다. 심사원으로 활동하면서 수백 건의 ISO 심사를 진행해 왔는데, 매번 비슷한 부적합이 반복되는 것을 보면서 하나의 패턴이 있다는 것을 깨달았습니다.

오늘은 제가 실제 ISO 심사 현장에서 가장 많이 마주치는 부적합 사례 5가지를 정리합니다. 이 글을 읽고 심사 전에 점검만 해도, 중부적합의 절반은 예방할 수 있습니다.

중부적합과 경부적합은 어떻게 다른가요?

본론에 들어가기 전에 한 가지 짚고 가겠습니다. ISO 심사에서 부적합에는 두 등급이 있습니다.

중부적합(Major): 경영시스템의 요구사항 자체를 충족하지 못하는 경우입니다. 예를 들어 내부심사를 아예 실시하지 않았거나, 시정조치 프로세스가 아예 없는 경우입니다. 중부적합은 현장 확인 심사가 필요하고, 심한 경우 ISO 인증 불승인으로 이어질 수 있습니다.

경부적합(Minor): 요구사항은 충족하지만 일부 미흡한 부분이 있는 경우입니다. 예를 들어 교육 기록이 있지만 일부 인원의 기록이 누락된 경우입니다. 서면으로 시정조치 확인이 가능합니다.

문서와 현장이 다르면 어떤 부적합이 나오나요?

심각도: ★★★★★ (Major 확률 높음)

제가 심사했던 한 제조업체 사례입니다. 이 회사는 ISO 품질매뉴얼이 완벽하게 갖춰져 있었습니다. 그런데 현장에 나가 보니, 작업 표준서(SOP)는 2019년에 작성된 버전이었고, 실제 작업자들은 완전히 다른 방식으로 작업하고 있었습니다.

작업자에게 물었습니다. “이 작업 표준서대로 하시나요?” 답변은 “아, 그거요? 예전에 만들어놓은 건데 지금은 아무도 안 봐요.” 이것이 전형적인 중부적합입니다.

예방법: 심사 2주 전에 문서와 현장을 대조해 보세요. 절차서/작업표준서에 적힌 내용과 실제 작업 방식이 다르면, 문서를 현장에 맞게 업데이트하는 것이 정답입니다. 화려한 문서보다 실제로 사용하는 문서가 심사원을 만족시킵니다.

교정·검사 기록이 불완전하면 어떻게 되나요?

심각도: ★★★★ (Major/Minor 모두 가능)

측정 장비의 교정 기록이 없거나, 유효기간이 만료된 상태로 사용하고 있는 경우는 ISO 심사에서 정말 자주 봅니다. 제조업체에서는 캘리퍼스 하나의 교정 만료가 중부적합으로 이어지기도 합니다.

실제로 어떤 회사에서 교정 대상 장비 목록에는 20개가 등록되어 있었는데, 실제 교정 성적서는 15개만 있었습니다. 나머지 5개는 “안 쓰는 장비”라고 했지만, 목록에서 제거하지 않은 상태였습니다. 이것은 기록 관리의 공백이며, 경부적합으로 지적되었습니다.

예방법: 교정 대상 장비 마스터 리스트를 주기적으로 업데이트하고, 각 장비의 교정 유효기간을 달력에 등록해 두세요. 불용 장비는 목록에서 제거하거나 “불용” 표시를 해두세요.

내부심사를 형식적으로 하면 왜 문제가 되나요?

심각도: ★★★★ (Major 확률 높음)

ISO 규격은 내부심사를 요구합니다. 대부분의 기업이 내부심사를 “수행”하긴 합니다. 문제는 그 내용입니다.

내부심사 보고서를 보면 “적합” “적합” “적합”으로만 채워져 있는 경우가 많습니다. 모든 항목이 적합이면 내부심사를 할 필요가 없었다는 뜻이 됩니다. 심사원은 이것을 “형식적 수행”으로 판단합니다.

제가 ISO 심사를 한 어떤 회사는 내부심사 결과 부적합이 0건이었습니다. 그런데 제가 1시간 심사하는 동안 3건의 부적합을 발견했습니다. 이런 경우, 내부심사 자체의 효과성에 대해 중부적합이 발행됩니다.

예방법: 내부심사에서 의도적으로 개선사항을 1~2건 찾아내세요. 사소한 것이라도 괜찮습니다. “개선 기회”를 발견하고 그에 대한 조치를 취한 기록이 있으면, 심사원은 오히려 “이 회사는 ISO 시스템을 제대로 운영하고 있구나”라고 평가합니다.

경영검토가 제대로 이루어지지 않으면 어떻게 되나요?

심각도: ★★★ (Major 가능)

ISO 규격은 “경영검토”를 요구합니다. 최고경영자가 경영시스템의 성과를 검토하고, 방향을 제시하는 자리입니다.

실제로 많은 중소기업에서 경영검토 기록을 보면, 담당자가 작성하고 대표이사 도장만 찍어 놓은 경우가 많습니다. ISO 심사원이 대표이사에게 “지난 경영검토에서 어떤 의사결정을 하셨나요?”라고 물었을 때, 대표이사가 답변하지 못하면 문제가 됩니다.

예방법: 경영검토는 거창하지 않아도 됩니다. 30분짜리 회의라도 충분합니다. 핵심은 대표이사가 실제로 상황을 인지하고, 판단을 내리고, 지시한 내용이 기록에 남아 있는 것입니다. 결국 심사원이 보고 싶은 건 화려한 서류가 아니라, 일상 업무에서 시스템을 실제로 돌리고 있다는 기록입니다.

시정조치에서 근본원인 분석이 왜 중요한가요?

심각도: ★★★ (Minor 축적 → Major)

전회 ISO 심사에서 부적합이 나왔고 시정조치를 했는데, 이번 심사에서 똑같은 유형의 부적합이 다시 나오는 경우입니다. 이것은 시정조치가 “그때그때 때우기”였다는 뜻이고, 근본원인을 분석하지 않았다는 의미입니다.

예를 들어, 전회에 “교육 기록 누락”이 나왔을 때 “담당자가 까먹었음, 향후 주의하겠음”이라고만 적는 것이 전형적입니다. 이건 근본원인 분석이 아닙니다. “왜 까먹었는가?”를 3~5회 파고들어야 합니다.

예방법: 시정조치 시 5 Why 기법을 사용하세요. “왜?” “왜?” “왜?”를 반복해서 근본원인에 도달하고, 그 원인을 제거하는 조치를 취하세요. 이렇게 하면 재발 방지가 되고, ISO 심사원도 만족합니다.

ISO 심사 대비 체크리스트는 무엇인가요?

위 5가지를 기반으로, ISO 심사 전에 점검해야 할 핵심 항목을 정리하면 이렇습니다.

• ☐ 절차서/작업표준서와 실제 현장 작업 방식이 일치하는가?
• ☐ 측정 장비 교정 기록이 완전하고, 유효기간 내인가?
• ☐ 내부심사에서 개선사항이 1건 이상 도출되었는가?
• ☐ 경영검토 기록에 대표이사의 실제 판단과 지시가 포함되어 있는가?
• ☐ 전회 심사 부적합의 시정조치에 근본원인 분석이 포함되어 있는가?

정리하면 — ISO 심사 부적합 예방의 핵심은?

ISO 심사에서 부적합이 나오는 근본적인 이유는 하나입니다. 문서는 있지만 실행이 없거나, 실행은 하지만 기록이 없는 것. 화려한 매뉴얼보다 일상적인 업무 기록이 심사원을 설득합니다.

ISO 인증 준비, 어디서부터 시작해야 할지 막막하시면 → 무료 상담 신청하기 (현재 상황에 맞는 최적의 방법을 안내해 드립니다)

본 글은 ISO 인증기관과 컨설팅 회사를 운영하며, 수백 건의 심사 경험을 가진 박성훈 경영지도사가 작성했습니다.