리스크 관리 체계
SK바이오사이언스는 경영활동에서 발생할 수 있는 재무/비재무 리스크를 전사적으로 통합하여 관리하기 위해 ERM(Enterprise Risk Management, 전사 리스크 관리) 체계를 운영하고 있습니다. ERM은 당사의 사업과 관련된 위험요인을 중점관리과제로 선별하여 집중적으로 관리함으로써 리스크가 현실화되어 사업에 부정적 영향을 미칠 가능성을 최소화하기 위해 운영합니다. ERM의 총 책임자는 법무특허실장이며, 중점관리과제에 따라 담당부서가 주도적으로 리스크 관리 활동을 수행하고 있습니다.
법무특허실은 ERM의 컨트롤 타워로서 리스크 관리 현황을 파악하고 관리활동을 지원하고 운영 결과를 최고경영진에게 정기적으로 보고하고 있습니다. 그 외에도 ESG와 관련된 비재무 리스크는 ESG위원회를 통해 이사회에 보고됩니다. 아울러 당사는 사업 내/외부 환경에 따라 유동적으로 변화하는 리스크에 대응하기 위해 장기적 관점에서의 ERM 운영에 초점을 맞추고 있습니다.
리스크 관리 조직 구성도
- CEO
- 법무특허실장
-
- 영업비밀보호
- 정보보안
- 법무
- 법률•규정준수
- 연구개발, 생산 품질 관리
- 법무
- Safety 강화
- 임상
- 약물감시
- IP•인력 확보
- 지적재산권
- 채용
- 이사회
- ESG위원회
- ESG위원회 사무국
리스크 보고 프로세스
- 이사회
-
- 법무특허실
- 각 담당부서의 추진실적과 계획 등을 취합, 정리하여 CEO에 보고
-
- 각 담당부서
- 당해 연도 중점 추진사항, 세부 추진계획 및 달성목표 설정
- 추진실적 및 특이사항 보고
리스크 관리 활동
SK바이오사이언스는 국제표준인 ISO31000의 Risk Framework와 COSO Framework에 기초하여 리스크 관리 프레임워크를 구축하고, 기존 중점관리과제 및 향후 새롭게 식별될 과제에 대해 리스크 식별-측정-관리 및 평가로 이어지는 통합 관리를 진행하고 있습니다. 또한, 대내외 경영환경 변화로 인해 발생하는 잠재 리스크(Emerging Risk)를 지속적으로 모니터링하고 이에 대한 사전 대응 방안을 수립하는 등 체계적인 리스크 관리 활동을 하고 있습니다.
리스크 식별 - 측정 - 관리 - 평가로 이어지는 프로세스 정립
리스크 식별&측정을 통한 체계적 리스크 기반 마련
-
리스크 식별
- 리스크의 정의 (oiep)
- 조직의 목표(objective) 달성에 영향(impact)을 끼치는 사건(events)의 발생 가능성(probability)
- 이미 발생한 사건과의 구별
- 사건은 이미 발생하였으므로 리스크가 아님
- 적절한 사후 대응이 최선의 관리(Management)
- 식별, 측정가능성
- 식별과 측정이 가능해야 리스크 관리 가능
-
리스크 측정
- 리스크 측정
- 발생가능성 및 영향도를 기준으로 - Risk level 측정 (High/Medium/Low) - High Risk부터 중점관리과제로 관리
영향도,중점관리과제,발생가능성
-
리스크 관리활동 및 관리효과 평가
- 현재 Risk Level 평가
- 각 과제별로 수행한 리스크 관리활동을 기반으로 현재 Risk Level을 평가
영향도,중점관리과제,발생가능성, 관리전/후 : 평가/의견 구성요소별 평가 및 의견
-
향후 진행 계획 수립
- 향후 관리 주체 설정
- 각 과제의 리스크 영향도, 발생가능성 및 현재 Risk level을 고려하여 - 전사 차원에서의 계속 관리 또는 - 현업부서에서의 관리 여부 결정
- ERM 계속 관리
- 현업부서 관리
- 향후 계획 수립
- 각 과제별 관리주체가 기존 계획 대비 미비점을 분석하고 신규 계획을 주도적으로 수립하여 이행
ERM 운영 및 모니터링 체계
SK바이오사이언스는 ERM 체계를 운영하여 리스크별 담당부서가 업무 수행 중 담당 업무에 내재된 리스크를 식별하는 경우 방지 조치를 취할 수 있게 하였습니다. 전사 차원의 관리가 필요한 리스크는 ERM 중점관리과제로 편입시켜 리스크 관리 수준을 개선하였습니다.
법무특허실은 중점관리과제 관리 현황을 모니터링하고 필요에 따라 지원 활동을 수행합니다. 향후 회사에 부정적인 영향을 미칠 수 있는 사회적 이슈의 발생 가능성을 관측하여 리스크에 대해 경고하고 사전에 조치를 취하며, 동시에 ERM 중점관리과제 중 일부를 수행하고 담당 과제에 대한 리스크 관리 업무도 수행하고 있습니다.
2023년부터는 ERM 리스크 관리 과제를 법무팀에서 집중 관리가 가능한 준법 관련 리스크 위주로 개편하여 리스크 관리의 전문성과 효율성을 제고하였습니다. 기존 중점 관리 과제 중 담당부서의 관리 체계가 수립된 과제는 담당부서에 인계하고, 일부 과제는 중점 관리 과제로 유지하여 담당부서의 리스크 관리 활동을 지원하고 있으며, 각 관리 영역별로 전담 담당자를 배정하여 보다 전문적으로 ERM 운영 업무를 수행하고 전사적 리스크 관리에 만전을 기하고 있습니다.
ERM 운영 관리체계 개편
집중화
- 기존 ERM 9개 중점관리과제 중 담당부서의 일상적 업무 수행 과정에서 관리가 가능한 과제 4개 : 담당부서에 인계하여 관리
- 전사적 관리 및 대응이 필요한 7개 과제 : 준법 관련 리스크 과제는 법무팀이 직접 관리하고, 그 외 과제는 담당부서의 관리 활동 지원
- 향후 회사에 영향을 미칠 가능성이 있는 사회적 사건을 관측하여 리스크를 적시에 경고하고 신규 관리 과제 발굴에 역량 집중
전문화
- ERM Control Tower인 법무팀에서 중점관리과제별 담당자를 배정하여 과제 관리의 전문성 및 효율성 제고
- 기존 중점관리과제 및 신규 발굴 과제를 준법 관련 리스크 위주로 개편하여 법무팀의 리스크 직접 관리 기능 강화
사업연속성계획(Business Continuity Planning) 운영
SK바이오사이언스는 자연재해나 재난과 같은 불가피한 사고가 발생했을 때, 인적·물적·환경적 손실을 최소화하기 위해 비상대응 계획을 수립하였습니다. 비상대응 계획은 사고 발생 시 즉각 신고, 비상대응조직의 결성과 소집, 상황전파, 방재활동, 사업복구 등의 대응을 단계별로 체계적으로 제시하여 위기상황에 신속하게 대처할 수 있도록 합니다. 사내 비상대응 관리규정에 의거하여 조직별 책임과 권한, 대응방침 등을 정하고 있으며, 상황등급에 따라 비상대책위원회 가동 여부가 결정됩니다.
또한 비상 상황에 대응하고 사업 복구역량을 키우기 위해 사업연속성계획(BCP, Business Continuity Planning)을 설계하였습니다. 비상상황을 가정하여 상황별 대응 시나리오를 운영하고 있으며, 일원화된 지시 보고체계에 따라 대응하도록 절차를 마련하여 사업 활동 중단에 따른 피해를 최소화하고 있습니다. 관계사 및 대내외 이해관계자와의 커뮤니케이션 채널을 통해 이해관계자에게 미칠 수 있는 영향을 최소화하고 있습니다. 2023년에는 반기 1회로 총 2회의 비상대응 훈련을 실시하였으며, 2024년에는 실시 주기를 분기별 1회로 확대하여 비상시 대응 역량을 강화할 예정입니다.
위기대책/비상대응 조직 구성도
- 위기대책 위원회
- 간사
-
- L House 비상대책본부
- 본사 비상대응 조직
SK바이오사이언스는 사업장에서 발생하는 모든 위험요소를 사전에 관리함으로써 피해를 최소화하기 위해 노력하고 있습니다. 이에 따라 비상대응체계를 구축하고 비상대응절차를 수립하여 사업장 내에서 비상상황이 발생할 경우 즉각적으로 대처하고 있습니다.
당사는 방재 시스템을 구축하여 24시간 현장 비상상황을 모니터링하고 있으며 SHE(안전·보건·환경) 측면에서 발생할 수 있는 비상상황을 예측하여 대응 시나리오를 작성하고 있습니다. 또한 비상상황을 유형화하고 피해범위와 확대 가능성을 고려하여 대응 등급을 구분하였으며, 현장 대응, 지원, 비상연락의 역할을 수행할 담당조직들을 지정하여 업무를 수행하고 있습니다.
한편, SHE 담당부서의 지휘 하에 매분기 1회 이상 사업장 합동 훈련을 실시하여 위기대응 역량을 키우고 있으며, 훈련을 통해 파악한 문제점에 대해서는 개선방안을 수립하여 관리하고 있습니다.
비상대응 방침: 운영원칙
- 인간 생명 보호
- 환경 보호
- 회사의 자산 및 이미지 보호
비상상황 유형
-
비상사태
- 인체상해 사고
- 화재•폭발 사고
- 누유 사고: 육상/해상
- 누출 사고 : 독성/가연성 가스
-
준비상사태
- 태풍•폭우, 지진, 해일 등 자연재해
- 인근지역에서 발생한 사고가 사업장으로 파급될 우려가 있는 경우
- 정전사태
공급망 다각화 전략
SK바이오사이언스는 제품의 안정적 생산 및 차질 없는 재고관리를 위해 공급망 다각화 전략을 수립하고 운영하고 있습니다. 단일 공급업체에 대한 의존도를 낮추고 공급망 다양성 확보를 통해 제품의 제조 및 공급에 차질이 발생하거나 예상치 못한 공급 중단 사태가 발생했을 시 글로벌 수요에 신속하고 유연하게 대응할 수 있도록 안정적, 체계적으로 공급망을 확보하여 운영하고 있습니다.
세무리스크 관리
SK바이오사이언스는 국내외의 조세 정책과 법규를 준수하며 세무 신고와 납세의 의무를 성실히 이행하고 있습니다. 또한, 국가 간의 세법 차이나 국제 조세 제도의 허점을 이용하고자 소득을 타 국가로 이전하는 행위를 하지 않으며, 과세소득이 사업활동을 수행하는 각 국가에서 창출된 가치와 일관성 있게 배분되도록 하고 있습니다. 당사는 세무 리스크를 선제적으로 관리하기 위해 외부 조세 전문가 집단으로부터 세무 처리 방안에 대해 자문을 얻고 있으며 중요성이 높은 세무 이슈에 대해서는 과세 당국에 사전에 질의하여 유권해석을 기반으로 세무 업무를 진행하고 있습니다.
또한, 조세 정책이 지속적으로 변화함에 따라 발생할 수 있는 세무 리스크와 신규 성장 투자 등의 사업 활동에서 발생할 수 있는 세무 리스크를 평가하여 관리하고 있습니다. 당사는 세법상의 복잡성과 해석 차이로 인해 모든 세무 리스크를 제거할 수 없다는 점을 인지하고 있으며, 불확실한 세무 이슈를 조기에 파악하고 확인하는 것을 리스크 관리 활동의 중점으로 두고 있습니다. 이러한 리스크를 사전에 방지하기 위해 국내외 세법은 물론 각 국가별 세무 동향을 지속적으로 모니터링하며, 세무 전문가와 협력하여 의사소통하고 있습니다.
또한 SK바이오사이언스는 OECD 이전가격 가이드라인과 각국의 법규를 준수하는 정상가격 거래를 원칙으로 하여 특수관계자와의 거래를 진행하고 있습니다. 당사는 국외 특수관계자와 이전가격 거래를 할 때, 필요에 따라 외부 세무 전문가를 활용하여 BEPS(Base Erosion & Profit Shifting, 조세회피) 보고서와 이전가격 보고서를 작성하고, 조세회피나 소득이전을 방지하여 투명하게 조세전략을 이행할 수 있도록 관리해 나갈 것입니다.
세무 관련 의사결정 체계
-
- CEO
- 경영지원본부로부터 세무 관련 결산 내용 및 리스크, 중요 특이사항 등을 보고받음
- 의사결정 최종 승인
세무 관련 결산 내용 및 리스크, CEO 의사결정 필요 특이사항 보고
-
- 경영지원본부
- 재무실로부터 보고받은 세무 관련 리스크 및 중요 특이사항 검토
- 재무실의 세무 전략을 조직 전체 목표에 통합하는 역할
세무 관련 결산 리스크, 중요 특이사항 보고
-
- 재무실
- 회계팀으로부터 보고받은 세무 관련 리스크 및 특이사항 검토
- 당사의 조세정책에 근거하여 납세가 이루어졌는지 점검
세무 관련 리스크 및 특이사항 보고
-
- 회계팀
- 경영조세 전략 관련 실무 전담 조직으로, 세무 관련 사항 조정 및 리스크 관리
- 회계법인에서 주최하는 개정세법 설명회에 주기적으로 참석하여 세금 관리 정책 및 원칙 내재화 추진
정보보호
정보보호 관리체계
SK바이오사이언스는 보안 관련 정책의 제·개정을 시작으로, 정보보호책임자를 지정하고 정보보호 전담 조직을 중심으로 정보보안 관리체계를 구축하였습니다. 또한, 당사의 모든 정보보호와 관련된 규정 및 절차서는 컴플라이언스 규정 및 사내 업무환경 변화에 따라 지속적으로 업데이트하고 있습니다. 2023년에는 현업부서별 보안 담당자를 지정하여 보안 교육 및 보안 점검을 각 부서로 전파하고 정보보안 이슈를 관리하였으며, 2024년에는 변화하는 IT/OT 환경에서의 보안을 강화하고, 클라우드 환경에서의 자산 보호 활동을 한층 고도화하고 있습니다.
정보보호 전담 조직
SK바이오사이언스의 정보보호 전담 조직에서는 C-레벨의 임원이 총괄 관리 및 감독 역할을 수행하며, 세부 영역인 기술보안, 개인정보보안, 물리보안으로 구분됩니다. 각 영역에 책임자가 배치되며, 물리보안의 경우 사업장에 따라 본사와 L House의 책임자가 별도로 지정되었습니다. 당사는 정보보호 전문 지식을 보유한 인력을 정보보안 최고 책임자로 선임하고 국제표준 관리체계에 맞는 수준을 달성하기 위해 노력하고 있습니다.
정보보호 총괄 임원
-
- 기술보안
- 정보보호 책임자 (CISO)
- 정보보호관리자
-
- 개인정보보안
- 개인정보보호 책임자 (CPO)
- 개인정보보호관리자
-
- 물리보안
- 본사 물리보안 책임자
- 본사 물리보안 관리자
- 물리보안
- L House 물리보안 책임자
- L House 물리보안 관리자
정보보호 목표
SK바이오사이언스는 정보보호를 통해 정보유출 경로를 통제하고, 필요한 보안조치가 취해질 수 있도록 절차와 책임자의 역할 및 권한을 명시함으로써 효과적이고 안정적인 기업의 자산 보호를 수행합니다. 당사는 GMP 등 국제기준에서 요구하는 기준을 충족하는 정보보호 활동을 전개하고, 정보보호 및 개인정보보호 관리체계인 ISO 27001 기준 사항을 반영하여 IT 보안통제 시스템 및 외부자료 보안을 강화하였습니다.
2022년부터 ISO 27001 인증을 유지하며 정보보안 분야의 위험 요소를 파악하고, 국내 상장사 기준에 맞춰 매년 정보보호공시를 통해 투명한 보안 활동을 공개하고 있습니다. 이처럼 당사는 국제표준 인증을 획득하여 글로벌 수준의 보안 역량을 강화하고 글로벌 파트너사의 신뢰도를 높이기 위해 노력하고 있습니다.
보안사고 예방 및 대응
SK바이오사이언스는 보안사고의 예방 및 대응을 위해 주요 시스템 정기점검을 시행하고 신규 보안 솔루션 도입 시 보안 검토 프로세스를 강화합니다. 또한, 매년 상·하반기에 악성메일 모의훈련을 실시하여 취약점을 진단하고 지속적인 관리를 통해 안전한 업무 시스템을 구축하고 있습니다. 모의훈련에서는 각 훈련별로 총 2회 악성코드 감염자에게 경고 메일을 발송하고 PC 점검을 실시합니다. 또한, 매년 하반기에 DDoS 모의훈련을 실시하며 알려진 공격이나 신규 공격 유형으로 구성된 3차례의 모의공격을 진행함으로써 당사 보안시스템의 탐지, 차단, 보안장비의 가용성 등을 확인하고 있습니다.
DDoS 모의훈련 절차
- 공격장비 방어장비 구성
- DDoS 훈련대상 선정
- 공격 유형 설정
- 1차, 2차, 3차 공격 시도
- 탐지 및 차단 결과 확인
정보보안 활동 및 교육
SK바이오사이언스의 전사 IT시스템은 보안 전문업체의 원격 보안관제 서비스를 통해 정보 유출 등 보안을 위협하는 사항으로부터 안전하게 유지됩니다. 당사는 구성원의 보안 생활화 정착 및 내부정보유출 사전 통제를 위해 연 1회 ‘전사 보안의 날’을 지정하여 생활보안, 문서보안 상태 및 업무용 기기에 대한 자가점검을 수행하고 있습니다. 위반자에게는 페널티를 부가하여 재발하지 않도록 관리하고 있으며 그 결과, 2022년 30.8%였던 보안점검 위반율이 2023년에는 10.9%로 대폭 감소할 수 있었습니다. 또한 당사 공지 게시판에 매월 악성메일 동향 및 신규 보안 위협 사례 등을 공유하여 정보보호 문화 조성을 위해 노력하고 있습니다.
아울러, 당사 임직원 및 신규 입사자, 협력사 직원을 대상으로 개인정보보호 및 보안 교육을 정기적으로 실시하여 보안 의식을 강화하고 정보 유출에 대한 경각심을 높이고 있습니다. 교육 프로그램은 매년 업데이트되어 맞춤형 개인정보보호 및 정보보안 교육이 이루어집니다.
| 구분 | 내용 | 시간 |
|---|---|---|
| 개인정보보호 교육 | 개인정보보호 컴플라이언스, 최소한의 개인정보처리, 정보주체 선택권 보장 등 | 1 |
| 정보보안 교육 | 동향 및 사례, 당사 정보보안 현황 및 프로세스 등 | 1 |
| 개발보안 교육 | 웹 시큐어 코딩, 컴포넌트 보안, 정보유출 방지 등 | 2.5 |