ISO 사후심사 vs 갱신심사 — 인증 유지를 위한 심사 주기와 준비 방법
ISO 인증 취득 후 받게 되는 사후심사와 갱신심사의 차이, 심사 주기, 심사 범위, 준비 방법을 인증기관 관점에서 안내합니다.
목차
ISO 인증, 취득 이후가 더 중요합니다
ISO 인증을 취득한 조직은 인증서 유효기간인 3년 동안 두 종류의 심사를 받습니다. 매년 실시하는 사후심사(Surveillance Audit)와 3년 만료 전에 받는 갱신심사(Recertification Audit)입니다.
두 심사는 목적, 범위, 심사일수가 모두 다릅니다. 차이를 정확히 이해하면 불필요한 부적합을 예방하고, 심사 준비에 드는 시간과 비용을 줄일 수 있습니다. KAI인증원이 실제 심사 현장에서 자주 마주치는 사례를 바탕으로 정리했습니다.
인증 주기의 전체 구조
ISO 인증은 3년을 하나의 주기(Certification Cycle)로 운영합니다. 이 구조는 ISO/IEC 17021-1(적합성 평가 — 경영시스템 심사 및 인증 기관에 대한 요구사항)에 명시된 국제 표준입니다.
| 시점 | 심사 유형 | 비고 |
|---|---|---|
| 0년차 | 최초 인증심사 (1단계 + 2단계) | 인증서 발행 |
| 1년차 | 제1차 사후심사 | 인증 후 12개월 이내 |
| 2년차 | 제2차 사후심사 | 인증 후 24개월 이내 |
| 3년차 | 갱신심사 | 인증 만료 전 실시 |
갱신심사를 통과하면 새로운 인증서가 발행되고, 다시 3년 주기가 시작됩니다.
사후심사(Surveillance Audit)란
사후심사는 인증된 경영시스템이 계속 유효하게 운영되고 있는지를 확인하는 정기 점검입니다.
사후심사의 특징
심사 범위 — 전체 표준 조항 중 일부를 표본(샘플링) 방식으로 심사합니다. 다만 다음 항목은 매회 필수로 포함됩니다.
- 내부심사 및 경영검토
- 이전 심사 부적합에 대한 시정조치
- 불만 처리 현황
- 경영시스템의 효과성과 의도한 결과 달성
- 지속적 개선 활동의 진행 상황
- 법규 준수 현황
심사일수 — 최초 인증심사의 약 1/3 수준입니다. 예를 들어 최초 인증심사가 3일이었다면 사후심사는 1일 정도입니다.
심사 시기 — 인증일로부터 12개월 이내에 제1차 사후심사를 실시해야 합니다. 이후 매 12개월마다 반복됩니다. 인증기관에 따라 ±3개월 정도의 유연성이 있으나, 지나치게 지연되면 인증 정지 사유가 됩니다.
사후심사에서 자주 발생하는 부적합
- 경영검토 미실시 또는 형식적 운영 — 경영검토 기록은 있으나 입력사항(심사 결과, 고객 피드백, 목표 달성 현황 등)이 누락된 경우
- 내부심사 독립성 미확보 — 자기 업무를 자기가 심사한 경우
- 이전 부적합 시정조치 미완료 — 전년도 부적합에 대한 근본 원인 분석이나 효과성 검증 기록이 없는 경우
- 목표 모니터링 부재 — 목표는 수립했으나 달성 현황을 추적하지 않는 경우
갱신심사(Recertification Audit)란
갱신심사는 3년 인증 주기가 끝나기 전에 경영시스템 전체를 재평가하는 심사입니다. 통과하면 새 인증서가 발행됩니다.
갱신심사의 특징
심사 범위 — 최초 인증심사와 마찬가지로 표준의 전체 조항을 대상으로 합니다. 사후심사처럼 표본 심사가 아닙니다.
심사일수 — 최초 인증심사의 약 2/3 수준입니다. 최초 심사가 3일이었다면 갱신심사는 2일 정도로, 사후심사보다 확연히 많습니다.
심사 시기 — 인증 만료일 이전에 완료되어야 합니다. 보통 만료 2~3개월 전에 실시하여, 부적합 발생 시 시정조치 기간을 확보합니다.
추가 평가 항목 — 갱신심사에서는 사후심사에서 다루지 않는 항목을 추가로 확인합니다.
- 3년간 경영시스템의 전반적 효과성
- 인증 범위의 변경 사항(사업장 추가·축소, 제품 라인 변경 등)
- 조직 환경 변화에 대한 시스템의 대응
- 3년간의 부적합 이력과 시정조치의 패턴
갱신심사 실패 시
갱신심사에서 중대한(Major) 부적합이 발견되면, 기한 내 시정조치를 완료해야 합니다. 인증 만료일까지 시정조치가 확인되지 않으면 인증이 만료되며, 재인증을 위해 최초 인증심사부터 다시 진행해야 할 수 있습니다.
사후심사 vs 갱신심사 비교 정리
| 구분 | 사후심사 | 갱신심사 |
|---|---|---|
| 영문명 | Surveillance Audit | Recertification Audit |
| 주기 | 매년 1회 | 3년마다 1회 |
| 심사 범위 | 표준 일부(표본) | 표준 전체 |
| 심사일수 | 최초 심사의 약 1/3 | 최초 심사의 약 2/3 |
| 비용 | 최초 심사의 약 1/3 | 최초 심사의 약 2/3 |
| 필수 확인 항목 | 내부심사, 경영검토, 시정조치, 법규 | 전체 조항 + 3년간 실적 |
| 미실시 시 | 인증 정지 → 취소 | 인증 만료 |
| 결과물 | 심사보고서 | 새 인증서 발행 |
심사별 준비 요령
사후심사 준비 (심사 4주 전)
- 전년도 부적합 시정조치 완료 확인 — 근본 원인 분석과 효과성 검증 기록이 핵심입니다
- 내부심사·경영검토 기록 정비 — 이 두 가지는 매번 반드시 확인하는 항목입니다
- 목표 달성 현황 정리 — 미달성 목표에 대한 원인 분석과 대응 조치를 준비합니다
- 법규 목록 현행화 — 최근 1년간 개정된 관련 법규를 반영합니다
갱신심사 준비 (심사 8주 전)
- 3년간 심사 이력 검토 — 반복되는 부적합 유형이 있는지 확인하고, 재발 방지 대책을 수립합니다
- 전체 표준 조항 대비 자체 점검 — 사후심사에서 다루지 않았던 조항을 중점적으로 확인합니다
- 인증 범위 변경 사항 정리 — 사업장, 인원, 제품·서비스 범위의 변동을 문서화합니다
- 경영시스템 성과 데이터 종합 — 3년간의 목표 달성률, 고객 만족도, 부적합 건수 추이 등을 정리합니다
- 문서 전수 현행화 — 매뉴얼, 절차서, 양식이 현재 운영 상태와 일치하는지 전체 점검합니다
자주 하는 실수
사후심사를 너무 가볍게 여기는 것이 가장 흔한 실수입니다. “작년에 통과했으니 올해도 괜찮겠지”라는 생각으로 준비 없이 심사에 임하면, 예상치 못한 부적합이 발생합니다.
반대로 갱신심사를 사후심사 수준으로 준비하는 것도 문제입니다. 갱신심사는 전체 조항을 다시 평가하므로, 그동안 사후심사에서 한 번도 다뤄지지 않았던 영역에서 부적합이 발견되는 경우가 많습니다.
마무리
사후심사와 갱신심사는 ISO 인증을 유지하기 위한 필수 과정입니다. 두 심사의 범위와 깊이가 다르다는 것을 이해하고, 각각에 맞는 준비를 하면 인증 유지에 큰 어려움이 없습니다.
핵심을 정리하면 다음과 같습니다.
- 사후심사: 매년 1회, 표본 심사, 핵심 항목 집중 점검
- 갱신심사: 3년마다 1회, 전체 심사, 최초 인증심사에 준하는 준비 필요
- 두 심사 모두 내부심사·경영검토·시정조치는 빠지지 않음
KAI인증원은 IAS 인정 인증기관으로서 ISO/IEC 17021-1 요구사항을 준수하며, 사후심사와 갱신심사를 일관된 기준으로 진행합니다. 인증 유지에 대해 궁금하신 점이 있으면 언제든 문의해 주십시오.
ISO 인증 전문가 상담이 필요하신가요?
IAS 인정 인증기관 KAI인증원에 무료로 상담받으세요.
자주 묻는 질문
사후심사를 빠뜨리면 어떻게 되나요?
사후심사 기한을 초과하면 인증이 일시 정지(Suspension)됩니다. 정지 기간 내에 심사를 완료하면 인증이 회복되지만, 6개월 이상 경과하면 인증이 취소되어 신규 인증 절차를 다시 밟아야 합니다.
갱신심사와 최초 인증심사의 차이는 무엇인가요?
갱신심사는 3년간의 운영 실적과 개선 이력을 종합적으로 평가합니다. 최초 인증심사와 심사 범위는 비슷하지만, 이전 심사 부적합 이력, 시정조치 효과성, 시스템 성숙도를 중점적으로 확인합니다.
사후심사와 갱신심사 비용은 어떻게 다른가요?
사후심사는 최초 인증심사의 약 1/3 수준이며, 갱신심사는 최초 인증심사의 약 2/3 수준입니다. 다만 조직 규모, 인증 범위, 사업장 수에 따라 달라질 수 있습니다.
갱신심사를 사후심사처럼 간단히 넘길 수 있나요?
갱신심사는 사후심사보다 심사 범위가 넓고 심사일수도 많습니다. 전체 표준 조항을 다시 평가하므로, 최초 인증심사에 준하는 수준으로 준비해야 합니다.
