2025년 11월에 발표된 IATF 규정 6판의 제재 해석은 기존 요구 사항의 적용에 대한 추가 지침을 제공했습니다.
감사에서 실질적인 영향은 감사인이 명확해진 기대치를 해석하고 적용하는 방법, 문서와 증거의 공백이 드러나는 경향, 위험 기반 사고가 점점 더 감사의 초점과 깊이를 주도하는 방식에서 나타납니다.
Loading...
최신 IATF 업데이트가 감사 기대치에 대해 알려주는 내용
Loading...
업데이트 내용 자체에 대한 자세한 내용을 알아보기 위해 DQS의 자동차 부문 매니저인 호르헤 코레아와 이야기를 나누었습니다. 자동차 조직 및 감사 팀과 긴밀히 협력하는 호르헤는 현재 IATF의 기대치가 어떻게 적용되고 있으며 조직이 가장 자주 어려움을 겪는 부분에 대한 실질적인 통찰력을 제공합니다.
호르헤는 변경 사항을 다시 설명하는 대신 감사자들이 무엇에 집중하고 있는지, 조직이 기대치를 과소평가하는 경향이 있는지, 이행 격차가 가장 자주 발생하는 부분에 대한 인사이트를 공유했습니다. 다음은 최근 감사 및 고객과의 상호 작용에서 그가 관찰한 내용을 반영한 주요 내용입니다.
Loading...
6차 개정판
자세한 IATF 인증 규정
IATF 인증 규정 6판과 이미 시행 중인 주요 구조적 변경 사항에 대한 자세한 개요는 이전에 게시된 블로그, IATF 인증 규정 6판의 주요 변경 사항과 국제 자동차 태스크포스(IATF)를 통해 제공되는 공식 지침을 참조할 수 있습니다.
비상 계획은 더 이상 이론적인 것이 아닙니다.
최신 IATF 제재 해석에서 가장 명확하게 강조된 분야 중 하나는 비상 계획입니다. 요건 자체는 새로운 것이 아니지만, 범위, 테스트 및 증거에 대한 기대치가 더욱 명확해졌으며 감사 과정에서 더욱 엄격하게 평가되고 있습니다.
특히, 최근 IATF의 제재 해석 개정과 감사 관행은 이전에는 암시되었지만 명확하게 명시되지 않았던 시나리오, 특히 팬데믹과 사이버 관련 중단을 점점 더 강조하고 있습니다.
감사에서 주목받고 있는 것은 단순히 이러한 위험이 비상 계획에 나열되어 있는지 여부가 아니라 조직이 계획을 테스트하고 실행할 수 있음을 입증할 수 있는지 여부입니다.
감사관들은 테스트가 훈련 완료를 넘어 학습과 개선으로 이어진다는 증거를 점점 더 많이 찾고 있습니다.
"어떤 유형의 테스트를 수행했으며, 그 테스트 결과에 따라 어떤 조치를 취했는지 보여주는 보고서 또는 그에 상응하는 객관적인 증거가 필요합니다."
호르헤 코레아에 따르면, 조직이 의미 있는 활동을 수행하지만 이를 완전히 문서화하거나 위험 기반 의사 결정에 다시 연결하지 못하는 경우가 많다는 것이 일반적인 문제입니다.
"때때로 그들은 자신이 한 일에 대한 공로를 인정하지 않거나 문서화하지 않습니다."
다가오는 감사를 준비하는 조직에게 이는 현재의 위험을 반영하고, 현실적인 테스트를 통합하고, 후속 조치를 입증하는 살아있는 프로세스로서 비상 사태를 평가해야 함을 의미합니다.
사이버 보안에 대한 기대치가 IT를 넘어 확장되고 있습니다.
조직에서 감사에 대한 관심이 높아지고 있는 또 다른 영역은 사이버 보안입니다. 사이버 보안은 한동안 IATF 논의의 일부였지만, 최근의 해석은 사이버 보안이 더 이상 고립된 IT 문제로 간주되지 않는다는 점을 강조합니다.
대신 사이버 보안은 특히 제조 장비, 생산 시스템 또는 연결된 기술이 관련된 경우 운영 및 비즈니스 연속성 위험으로 점점 더 많이 평가되고 있습니다.
호르헤 코레아는 "사이버 공격은 항상 계속 진화하는 영역으로, 모든 사람이 최신 정보를 파악하고 있는지 확인하기 위해 더 자주 검토해야 할 필요가 있습니다."라고 설명합니다 .
감사 관점에서 조직은 사이버 관련 위험에 대한 지속적인 인식과 검토를 입증해야 합니다. 감사인은 사이버 보안 고려 사항이 광범위한 위험 분석 및 비상 계획에 통합되어 있다는 증거를 찾고 있으며, 특히 중단이 제품 적합성 또는 배송에 영향을 미칠 수 있는 경우 더욱 그렇습니다.
이는 조직에게 사이버 보안이 더 이상 정책이나 IT 제어만으로 평가되지 않는다는 점을 강조합니다. 점점 더 위험 기반 사고, 운영 영향 및 대비라는 렌즈를 통해 사이버 보안을 바라보고 있으며, 최신의 관련성이 있고 실제 시나리오와 연결될 수 있는 검토가 이루어지기를 기대하고 있습니다.
Loading...
문서 격차로 인한 감사 결과 도출
감사 전반에 걸쳐 조직이 직면하는 가장 일반적인 문제 중 하나는 현재 수행 중인 작업과 객관적인 증거를 통해 입증할 수 있는 것 사이의 격차입니다.
위험 기반 사고와 효과성에 대한 기대치가 계속 강화됨에 따라 감사관들은 어떤 조치를 취했는지, 왜 취했는지, 효과가 어떻게 평가되었는지 명확하게 보여주는 문서에 더욱 중점을 두고 있습니다.
호르헤 코레아에 따르면, 많은 조직에서 의도치 않게 감사 리스크를 야기하는 분야가 바로 이 부분입니다. 실제로 조직은 문제를 해결하거나 테스트를 실행하거나 제어를 조정할 수 있지만 일관된 문서화나 그에 상응하는 객관적인 증거가 없으면 감사 중에 이러한 노력을 검증하기 어렵습니다.
"고객이 "그래, 우리가 이렇게 하고 있긴 한데 이를 뒷받침할 정보가 없다"고 주장할 수 있습니다."
이러한 단절은 감사자가 위험 식별, 시정 조치 및 후속 조치 간의 명확한 연결을 기대하는 고위험 영역에서 더욱 두드러지게 나타납니다. 이러한 연결이 누락되면 근본적인 의도나 노력이 건전하더라도 부적합이 발생할 가능성이 높아집니다.
감사를 준비하는 조직에게 주는 메시지는 간단합니다. 좋은 의도만으로는 충분하지 않다는 것입니다. 중요한 것은 위험 기반 기대치 및 감사 증거 요건에 부합하는 방식으로 의사 결정, 조치 및 효과를 입증할 수 있는 능력입니다.
감사 깊이와 초점을 형성하는 위험 기반 사고
최신 IATF 해석을 관통하는 공통점은 감사 집중도와 깊이를 위한 실질적인 동인으로서 위험 기반 사고에 대한 강조가 증가하고 있다는 점입니다.
감사인은 위험이 가장 높은 곳과 과거에 성과 문제가 발생한 곳을 기준으로 시간과 조사의 우선순위를 정해야 합니다.
호르헤 코레아는 이러한 변화로 인해 이미 최소한의 요건을 충족하는 조직과 선제적으로 위험을 관리하는 조직 사이에 명확한 구분이 생기고 있다고 말합니다.
"어떤 조직은 최소한의 규정만 준수하고, 어떤 조직은 그 이상으로 나아가는 두 가지 유형의 조직을 볼 수 있습니다."
감사 관점에서 보면 이는 위험이 높거나 성능이 약하거나 제품 적합성 및 납품에 미치는 잠재적 영향이 큰 프로세스에 더 많은 주의를 기울인다는 것을 의미합니다.
"IATF는 항상 조직이 자신의 위험이 무엇인지 잘 인지하고 있는지 확인하고자 합니다."
Loading...
IATF의 효율성
모든 프로세스를 동일하게 취급하는 대신 우선순위를 설정하세요.
조직은 모든 프로세스를 동일하게 취급하는 대신 위험 및 성과 추세를 기반으로 우선순위를 설정하고 리소스를 할당하며 제어를 조정하는 방법을 입증해야 하는 경우가 점점 더 많아지고 있습니다.
"가장 높은 위험에 집중하세요. 성과가 부진한 영역에 집중하세요."
위험 기반 사고는 더 이상 이론적인 원칙이 아닙니다. 이는 감사를 계획, 수행 및 평가하는 실용적인 렌즈로서, 점점 더 강력한 시스템과 취약한 시스템을 구분하는 기준이 되고 있습니다.
미래 전망
최신 IATF 제재 해석은 조직이 해야 할 일을 근본적으로 바꾸지는 않지만, 감사에서 기대치가 얼마나 명확하고 일관되게 적용되는지는 바꿉니다.
비상 계획, 사이버 보안, 문서화 및 위험 기반 사고 전반에 걸쳐 조직은 위험을 이해하고, 우선순위를 효과적으로 정하며, 객관적인 증거를 통해 후속 조치를 입증해야 한다는 메시지는 일관적입니다.
IATF 인증을 받은 조직과 인증을 고려 중인 조직에게 성공의 시작은 비즈니스 프로세스와 절차를 마련하고 이러한 절차를 효과적으로 사용하여 실제 위험을 관리하고 지속적인 개선을 추진하는 것으로 정의할 수 있습니다.
저자
Megan O'Connor
Loading...
