대부분의 평가가 실패하는 지점
같은 패턴이 업종을 가리지 않고 반복됩니다. 조서가 너무 얇다. 최소 보호조치 섹션이 행동강령(Code of Conduct)을 한 줄 인용한 단락 하나로 끝나 있고, 네 가지 주제를 회사의 실제 운영에 대조해서 검증한 흔적은 없습니다. Platform on Sustainable Finance의 2022년 10월 보고서가 명시적으로 경고하는 형식적 체크박스 작업이 바로 이 모습이다.
최소 보호조치는 EU 택소노미 규정(Regulation 2020/852) 제18조에 근거합니다. 제18조는 OECD 다국적기업 가이드라인과 UN 기업과 인권 이행원칙(UNGPs)에 부합하는 절차를 요구하며, ILO 기본 원칙과 권리 선언 그리고 국제인권장전을 추가로 참조합니다. 실무에서 이 참조들은 네 가지 평가 주제로 옮겨집니다. 인권, 반부패, 조세, 공정경쟁.
문서가 정책 인용으로 끝나면 적합 주장은 그대로 노출됩니다. 제18조는 정책 참조가 아니라 주제별 절차를 요구합니다. 담당자가 지정되어야 하고 운영 증거가 있어야 하며 결과 점검까지 따라와야 합니다.
두 단계 검증이 작동하는 방식
Platform on Sustainable Finance가 2022년 10월 최종 보고서에서 제18조의 추상적 참조를 운영 가이던스로 옮겼습니다. 네 가지 주제 각각이 두 차원에서 평가됩니다.
절차 차원은 회사가 적절한 프로세스를 채택했는지 묻습니다. 인권은 UNGPs에 부합하는 실사 절차. 반부패는 문서화된 통제와 교육. 조세는 단순 준법을 넘어선 거버넌스 프레임워크. 공정경쟁은 인식 프로그램과 내부 신고 채널.
결과 차원은 회사를 상대로 한 최종 법원 판결이나 그에 준하는 행정 결정이 존재하는지 점검합니다. 유죄 판결이 자동으로 자격을 박탈하지는 않습니다. 그러나 적절한 절차의 부재는 박탈합니다.
실제 현장에서 일어나는 일은 절차 차원이 주목을 받고 결과 차원은 형식적 검색으로 끝나는 것이다. 필자는 이 우선순위가 거꾸로 되어 있다고 봅니다. 약한 절차에 깨끗한 결과 점검은 아무것도 말해주지 않지만, 강한 시정 조치를 동반한 유죄 판결은 시스템이 작동한다는 신호입니다. 재무제표 감사 중 반뇌물 또는 경쟁법 위반 정황이 식별되면 ISA 250이 적용되며, 이는 최소 보호조치 결론에 영향을 줄 수 있습니다.
인권 실사가 가장 어렵다
인권은 평가의 중심에 있고 대부분의 감사팀이 가장 고전하는 영역입니다. 반부패와 조세 거버넌스는 재무 감사인이 이미 가진 역량과 맞물립니다. 공정경쟁은 반독점 업무에 가까워 적응이 빠릅니다. 인권 실사는 다릅니다.
CSRD 적용 회사라면 ESRS S1(자체 인력)과 ESRS S2(가치사슬 노동자) 공시가 최소 보호조치 평가에 직접 투입할 증거를 제공합니다. CSDDD 적용 회사(옴니버스 I 이후: 직원 5,000명 이상, 매출 €1.5B 이상)는 법정 실사 의무가 인권 항목과 겹칩니다. 그 임계 아래에 있는 다수의 회사도 제18조는 그대로 적용됩니다. 규모가 면제 사유가 되지 않습니다.
막상 해보니까 작은 회사들은 "실사"라는 말을 듣고 자기네 공급업체 행동강령으로 충분하다고 가정합니다. 충분하지 않습니다. Platform 보고서는 문서가 아니라 프로세스를 요구합니다. 프로세스에는 담당자, 위험 식별 방법론, 정기 검토의 증거, 적발 시 문서화된 대응이 필요합니다. 조서는 회사가 자신의 두드러진 인권 위험을 어떻게 식별했고 무엇을 했는지를 이야기 형태로 보여주어야 합니다.
실제 사례: Rossi Alimentari S.p.A.
이탈리아 식품 제조 회사, FY2025, 매출 €67M, IFRS 보고. Rossi는 남부 이탈리아와 북아프리카의 농업 공급업체 40여 곳에서 올리브유와 유제품을 조달합니다. 택소노미 적격 활동 세 가지를 보고하고 있고 이제 적합 단계로 넘어가기 위해 최소 보호조치를 평가해야 합니다.
1단계 네 가지 주제와 기존 정책 매핑: Rossi의 컴플라이언스 팀이 행동강령, 공급업체 계약, 내부고발 채널, 조세 거버넌스 프레임워크를 네 가지 최소 보호조치 주제에 대조합니다. ILO 핵심 협약을 참조하는 공급업체 강령과 EU 지침 2019/1937에 부합하는 내부고발 절차는 갖춰져 있습니다. 독립적인 인권 실사 정책은 없다. 이것이 실제 격차입니다. 문서화 노트: 조서 G1-01에 네 가지 주제별 정책 매핑 표 작성. 인권 항목은 "정책 부재"로 명시.
2단계 인권 격차 보완: Rossi는 CSDDD 임계(직원 5,000명, 매출 €1.5B) 아래 있어 정식 HRDD 법정 의무가 없습니다. Platform 가이던스는 규모와 무관하게 적절한 절차를 요구합니다. 경영진이 농업 공급망에 대한 인권 실사 정책을 채택하고 조달 이사에게 소유권을 부여하며 위험 상위 12개 공급업체에 대한 연 1회 감사 일정을 수립합니다. 문서화 노트: 조서 G1-02에 신규 정책 채택일과 담당자, 연간 감사 일정표를 첨부. 그러나 막상 해보니까 여기서 깨지는 부분이 따로 있다. 조달 이사는 인권 위험 평가 훈련을 받은 적이 없습니다. 연간 감사 일정은 위험 하위 28개 공급업체를 첫해에 전혀 다루지 않습니다. 정책은 2025년 4분기에 채택되어 적합 평가일까지 3개월도 운영되지 않았습니다. 10월에 채택된 정책이 12월에 "적절한 절차"를 입증할 수 있는지에 대한 감사인 판단이 조서에 명시되어야 합니다.
3단계 결과 점검: 컴플라이언스 팀이 네 가지 주제 어디에서도 Rossi에 대한 최종 법원 판결이나 진행 중인 절차가 없음을 확인합니다. 단, 한 공급업체가 2024년 근로시간 위반으로 노동 감독 과태료를 받았습니다. 문서화 노트: 조서 G1-03에 시정 조치 기록(분기별 준법 인증서 제출을 요구하는 계약 수정). 공급업체의 적발 사실, Rossi의 대응 시점, 후속 모니터링 계획 명시.
4단계 결론 도출: Rossi의 평가는 네 가지 주제 모두에서 긍정 결론을 산출합니다. 1단계의 인권 격차는 2단계에서 보완되었고, 3단계의 공급업체 적발은 문서화된 시정 조치 덕분에 자격 박탈 사유가 되지 않습니다. 적격 활동 세 가지는 환경 적합 평가로 넘어갈 수 있습니다. 문서화 노트: 조서 G1-04에 최종 결론과 한계 명시. "정책이 평가일 직전 3개월 운영되었으므로 차기 연도 검증에서 운영 효과성을 재평가한다." 결론의 방어 가능성은 감사인이 "적절한 절차"를 얼마나 엄격하게 읽느냐에 달려 있다. 정책이 3개월밖에 안 됐는데 왜 충분한지, 채택 이전에는 어떤 임시 통제가 있었는지가 조서에 들어가 있지 않으면 두 번째 검토를 통과하지 못합니다.
감리자와 실무자들이 놓치는 부분
대부분의 조서는 최소 보호조치 섹션을 정책 인용 한 단락으로 끝낸다. 네덜란드 AFM이나 한국에 도입될 ESG 공시 감리에서도 이 패턴이 가장 먼저 걸린다.
- 구조적 모순: 제18조는 적합을 주장하는 모든 회사에 사회 실사를 요구합니다. 그러나 그 실사를 위한 인프라(CSDDD, 의무 HRDD 프레임워크, 표준화된 결과 데이터베이스)는 가장 큰 회사에만 적용됩니다. 중견 이하는 내부 전문성이나 외부 가이던스 없이 동등한 절차를 자발적으로 구축해야 합니다. 시즌을 뛰면서 200명짜리 회사가 15,000명짜리 그룹보다 더 엄정한 최소 보호조치 평가를 만들어내는 사례를 보았습니다. 작은 회사가 자기 위험을 진짜로 생각했고 큰 그룹은 그 일을 컴플라이언스 데이터베이스에 위임했기 때문입니다.
- CSDDD 충족이 자동 통과를 뜻하지 않는다: CSDDD 적용 회사는 인권 항목에서 법정 의무로 거의 자동 충족이 가능합니다. 비인권 주제(반부패, 조세, 공정경쟁과 그 거버넌스 통제)는 OECD 가이드라인 기준으로 별도 평가가 필요합니다. CSDDD는 이 영역을 다루지 않습니다. 한 번의 점검으로 네 주제를 다 덮으려는 시도는 두 번째 검토에서 그대로 노출됩니다.
- 유죄 판결이 자동 박탈은 아니다: Platform의 2022년 10월 보고서는 결과 차원을 적색 신호로 다루며 명시적 박탈선으로 다루지 않습니다. 핵심은 회사가 적절한 절차를 갖추고 있었는지, 판결이 최근이라면 어떤 시정 조치가 따랐는지입니다. 2019년 경쟁법 과징금을 받고 컴플라이언스 프로그램을 전면 개편한 회사가 그것을 무시한 회사보다 더 강한 위치에 있다. 솔직히 이 기준이 처음부터 명확했다면 작년 시즌 한 번은 덜 깨졌을 것이다.
비교: 최소 보호조치 vs DNSH
| 차원 | 최소 보호조치(제18조) | DNSH(제17조) |
|---|---|---|
| 초점 | 사회·거버넌스 실사 | 환경 피해 방지 |
| 평가 기반 | 절차(정책과 프로세스) + 결과(판결과 위반) | 위임법령이 정한 기술적 스크리닝 기준 |
| 범위 | 회사 전체, 네 가지 주제 | 활동별, 환경 목표별 |
| 준거 기준 | OECD 가이드라인, UNGPs, ILO 선언 | Delegated Regulation (EU) 2021/2139 |
| CSRD 연계 | ESRS S1, S2, G1 공시가 보조 증거 | ESRS E1~E5 공시가 보조 증거 |
택소노미 적합을 위해서는 둘 다 충족되어야 합니다. DNSH 환경 스크리닝을 모두 통과해도 인권 실사 최소 보호조치에서 막히면 적합으로 보고할 수 없다. 사회 측면이 환경 측면을 거부할 수 있다는 뜻이며, 이 설계 원칙이 첫 보고 회사들을 자주 당황하게 만듭니다.
관련 용어
- EU 택소노미(EU Taxonomy): 지속가능 경제활동 분류 체계. 적합 판정의 상위 프레임워크. - DNSH(Do No Significant Harm): 한 환경 목표에 기여하면서 다른 목표에 중대한 피해를 주지 않는다는 요건. - 택소노미 적합 활동(Taxonomy-Aligned Activity): 네 가지 적합 기준을 동시에 충족한 활동. - CSRD: 기업 지속가능성 보고 지침. 최소 보호조치 평가의 주요 증거 출처. - CSDDD(지속가능성 실사): 옴니버스 I 적용 범위에서 인권 부분과 겹치는 법정 실사 의무.
자주 묻는 질문
최소 보호조치는 적격(eligible) 활동에도 적용되나요, 아니면 적합(aligned)에만 적용되나요? 적합 단계에서만 적용됩니다. 회사는 적격 활동을 보고할 때 최소 보호조치 평가 없이도 보고할 수 있습니다. 적합을 주장하는 순간 Regulation 2020/852 제3조에 따라 네 가지 기준(중대한 기여, DNSH, 최소 보호조치, 기술적 스크리닝)이 동시에 충족되어야 하므로 평가가 의무가 됩니다.
최소 보호조치 평가를 어떻게 문서화하나요? 네 가지 주제를 각각 별도로 문서화합니다. 각 주제별로 절차 요소(어떤 정책이 있는지, 언제 채택되었는지, 누가 소유하는지)와 결과 요소(유죄 판결 점검, 규제 데이터베이스 검색, 미디어 스크리닝, 내부 사고 보고)를 기록합니다. Platform on Sustainable Finance는 두 요소의 증거를 택소노미 적합 파일에 보관할 것을 권고합니다. 필자는 절차, 담당자, 결과 점검, 증거 참조 네 열로 구성된 매트릭스가 가장 명확하다고 봅니다.
CSDDD 준수가 최소 보호조치를 자동으로 충족시키나요? 완전히는 아닙니다. CSDDD 적용 회사(옴니버스 I 이후: 직원 5,000명 이상, 매출 €1.5B 이상)는 인권 항목과 겹치는 법정 실사 의무를 가집니다. 그러나 비인권 주제(반부패, 조세, 공정경쟁과 관련 거버넌스 통제)는 OECD 가이드라인 기준으로 별도 평가가 필요합니다. CSDDD가 이를 다루지 않기 때문입니다.
평가 중에 유죄 판결이 드러나면 어떻게 되나요? 유죄 판결이 자동으로 자격을 박탈하지는 않습니다. Platform의 2022년 10월 보고서는 결과 요소를 박탈선이 아니라 적색 신호로 다룹니다. 중요한 것은 회사가 적절한 절차를 가지고 있었는지, 판결이 최근이라면 어떤 시정 조치가 따랐는지입니다.
---