GS칼텍스 지속가능성보고서 살펴보기! 세 번째, 거버넌스(Governance) 편

GS칼텍스 - 2022.11.15

건전하고 책임 있는 경영구조

GS칼텍스는 경영 활동 전반에서 올바른 의사결정과 ESG 내재화를 추구하고 있습니다. 건전한 지배구조를 바탕으로 공정하고 책임 있는 컴플라이언스 경영을 실천하며 급변하는 디지털 환경에 따라 다양한 보안 관리 체계를 구축하고 있습니다. 특히 투명한 기업경영을 위한 윤리경영은 모든 업무영역에서 철저하게 적용되어야하는 가장 바탕이 되는 원칙입니다. 건전하고 책임있는 지배구조 확립을 위해 노력하고 있는 GS칼텍스의 활동들을 함께 살펴보시죠.

컴플라이언스 강화

기업 경영의 투명성과 공정성의 가치가 강조되고 있는 지금, 기업은 적극적인 컴플라이언스 활동을 통해 윤리적·법률적 문제를 예방하고 글로벌 요구 수준에 대응하기 위한 노력이 필요합니다. GS칼텍스는 기업의 윤리적·사회적 책임 이행이 곧 지속 가능한 경영을 위한 선결 과제이자 기업의 핵심 경쟁력임을 인지하고, 글로벌 비즈니스 환경에 부합하는 높은 수준의 컴플라이언스 경영을 강화하고 있습니다.

가. 윤리경영 실천

1) 기업행동규범
2021년 3월 GS칼텍스는 1997년 제정된 GS칼텍스 윤리규범을 전부 개정, 다양한 규정과 정책을 통합하고, ESG등 글로벌 표준을 반영한 「기업행동규범」을 발간하였습니다. 「기업행동규범」에는 GS칼텍스 임직원과 이해관계자 모두가 글로벌 기업 시민으로서의 역할을 다하고 GS칼텍스가 지속가능한 성장을 도모할 수 있는 기준이 되는 각종 컴플라이언스 관련 국내외 법령 및 국제기준 준수를 위한 항목, GS칼텍스의 ESG관리체계 등을 담았습니다.

2) 윤리경영 소통 채널 운영
GS칼텍스는 이해관계자를 위한 윤리경영 홈페이지와 임직원을 위한 컴플라이언스 포털, 그리고 사내 SNS의 컴플라이언스 뉴스레터를 활용하여 컴플라이언스 활동에 대해 소통하고 있습니다. 또한, ‘윤리경영 핫라인‘을 통해 국내외 관련 법령과 사규 위반이 의심되는 경우 및 일상에서 접할 수 있는 윤리적 딜레마 상황 등에 대해 임직원과 이해관계자가 상시 상담하고 제보할 수 있는 소통 채널을 운영하고 있습니다.

3) 윤리경영 실천 문화 확산
GS칼텍스는 임직원의 윤리의식을 제고하여 윤리경영 실천 문화를 확산하고자 임직원 및 고객사, 협력사 등을 대상으로 윤리경영 실천의 중요성을 강조하는 CEO 메시지를 전달하고 있습니다. 또한, 사내 SNS에 윤리경영 이슈를 지속적으로 공유하며 윤리경영을 기업 문화로 정착시키고자 노력하고 있으며, 매년 전 임직원에게 자율준수 서약서 서명 및 제출을 요청하여 전사적으로 윤리경영 실천 시스템을 확고히 구축하고 있습니다.

나. 컴플라이언스 경영

1) 컴플라이언스 운영 조직 및 보고 체계
GS칼텍스는 컴플라이언스 체계의 고도화를 위해 전사 컴플라이언스 프로그램을 총괄하는 전사 컴플라이언스 책임자(CCO: Corporate Compliance Officer)와 조직별로 조직장을 보좌하여 컴플라이언스 활동을 수행하는 조직 별 컴플라이언스 책임자(UCO: Unit Compliance Officer)를 두고 있습니다. CCO와 UCO는 ‘컴플라이언스 운영위원회’를 통해 회사와 관련된 모든 컴플라이언스 이슈 및 활동을 공유하고 컴플라이언스 프로그램 운영 현황을 점검하며, 이러한 컴플라이언스 운영위원회의 활동은 감사위원회를 통해 이사회에 투명하게 보고됩니다. 한편, 컴플라이언스 총괄 부서인 컴플라이언스팀은 CCO를 보좌하여 컴플라이언스 프로그램을 보다 효과적으로 기획하고 실행하는 역할을 수행하고 있습니다.

2) 컴플라이언스 경영시스템(ISO 37301) 인증 획득
GS칼텍스는 2021년 국내 에너지업계 최초로 글로벌 인증기관인 BSI(British Standards Institution)로부터 컴플라이언스 경영시스템에 대한 국제 표준인 ISO 37301을 획득하였습니다. 이를 통해 글로벌 수준에 부합하는 효과적인 컴플라이언스 경영시스템을 구축하여 운영하고 있음을 인정받았습니다.

3) 컴플라이언스 프로그램
GS칼텍스 컴플라이언스 프로그램(CCP: Corporate Compliance Program)은 「기업행동규범」 및 제반 사내 규정, 각종 컴플라이언스 교육 및 컴플라이언스 증진 활동, 보고 체계, 제보 라인, 각종 컴플라이언스 위반 사안에 대한 조사, 모니터링 및 효과성 평가 등으로 구성되어 있습니다. 매년 모든 임직원이 컴플라이언스와 기업행동규범, 공정거래, 정보보안, 안전·보건·환경 총 4개 과정으로 진행되는 ‘컴플라이언스 기본교육’을 의무적으로 이수하고 있습니다.

4) 공정거래 컴플라이언스 활동
GS칼텍스는 공정거래 실천을 생활화하기 위해 공정거래(반독점) 컴플라이언스 프로그램(ACP: Anti-trust Compliance Program)을 통해 공정거래 관련 규정, 교육, 모니터링 등의 활동을 실시하고 있으며, 반독점 컴플라이언스 책임자(ACO : Anti-trust Compliance Officer)를 선임하여 공정거래 관련 교육을 진행하고 임직원 인식을 제고하고 있습니다. 임직원의 공정거래 준수를 위해 공정거래 관련 주요 법령의 제· 개정 사항 및 정책 동향을 모니터링하여 그 결과를 사내에 공유하고, 공정거래위원회 등 유관 기관과도 지속적으로 커뮤니케이션하고 있습니다. 또한, 임직원에게 「기업행동규범 실천 규정」을 통해 공정거래 실천 기준을 제시하고 이를 기반으로 공정거래 관련 이슈에 대한 자문과 교육 프로그램을 운영하며 공정거래 사전 점검을 실시하는 등 공정거래 문화 확산을 위해 지속적으로 노력하고 있습니다. 더불어, 국내 외 공정거래 관련 법령에 저촉이 될 수 있는 내용을 경쟁사와 직·간접적으로 커뮤니케이션하는 것을 금지하기 위해 ‘경쟁사 커뮤니케이션 사전 검토 제도’를 운영하고 있으며, 또 내부거래 시 거래의 공정성을 확보하고자 내부거래심의 제도를 운영하고 있습니다. 내부거래 심의 담당부서는 내부거래 관련 법령(공정거래법, 상법, 세법 등) 준수 여부를 검토하여 사업부서에 거래의 적절성 여부를 통보하고, 사업부서는 내부거래심의 결과에 따라 거래 진행, 거래 변경 등의 후속 절차를 진행하고 있으며 하도급거래심의 제도를 운영하며 이를 통해 공정한 하도급 거래를 수행하고 있습니다

이사회 운영

가. 이사회 구성

1) 이사회 구성 원칙
GS칼텍스는 매년 주주총회를 통해 국내 주주인 GS와 해외주 주인 쉐브론(Chevron) 각 사에서 경영전문성과 위기관리 능력을 고려하여 추천한 후보자 중 이사를 선임합니다. 2022년 2월 기준, 이사회는 대표이사 2인과 사내이사 1인, 그리고 기타비상무이사 7인 등 총 10인의 이사로 구성되어 있으 며 사외이사는 없습니다. 이사의 임기는 취임 후 처음으로 개최되는 정기주주총회의 종결 시까지로 규정하고 있습니다.

2) 이사회 활동
GS칼텍스는 이사회 운영의 독립성을 확보하고 이해관계에 따른 충돌을 방지하고자 특별한 이해관계를 가진 이사는 해당 안건에 대해 투표권을 행사하지 못하도록 규정하고 있으며, 이사회의 결의는 회사의 정관에 근거하여 재적이사 2/3 이상의 찬성으로 채택됩니다. 2021년에는 총 9회의 이사회가 개최되었으며 안전, 컴플라이언스, 거버넌스 등 ESG 관련 이슈도 함께 논의되었습니다.

3) 이사회 내 위원회 구성 및 역할
이사회 내에 경영조정위원회(Accountability Committee)와 상법상 감사위원회가 아닌 별도 감사위원회(Audit Committee), LNG 도입관리위원회(LNG Procurement Management Committee)를 설치하여 운영 중이며 각 위원회는 위원회로서 부여 받은 권한과 기능을 투명하고 책임감 있게 수행할 수 있도록 독립성을 보장하고 있습니다.

4) 감사위원 교육
GS칼텍스는 재무제표 감사 및 내부회계관리제도의 운용실태 평가가 원활히 진행될 수 있도록 감사 업무 수행에 필요한 교육을 실시하고 있습니다. 2021년에는 내부회계관리제도 취지 및 회사 내부 프로세스 교육을 진행한 바 있습니다.

디지털 보안 강화

가. 디지털 보안 및 보호 체계

1) 디지털 보안 조직 구성
GS칼텍스는 급변하는 디지털 환경에 대응하고, 디지털 안전 보안을 위한 최고 의사결정 조직으로 CISO(Chief Information Security Officer, 정보보호최고책임 자), 위원장, 각 본부별 임원으로 구성된 ‘디지털 보안 위원회’를 운영하고 있습니다. 디지털 보안위원회는 ICT(Information and Communication Technology) 컴플라이언스, 개인정보보호, IT(Information Technology)·OT(Operation Technology) 보안, 임직원 보안의식 제고 등 전사 디지털 보안 강화를 위한 투자, 활동 및 각종 현안을 논의하고 있습니다.

2) 디지털 보안 관리체계 운영
내부 중요 데이터 및 IT·OT 보안과 관련된 각종 위협에 대비하고 고객 정보를 포함한 회사 유·무형 자산을 안전하게 관리하고 비즈니스 신뢰성을 확보하기 위해 디지털 보안 정책을 체계적으로 수립하였습니다. 또한, 국내외 법령 및 국제표준을 기반으로 한 높은 수준의 보안 관리체계를 운영하고 있습니다. 새로운 보안 위협에 대응할 수 있는 환경을 마련하기 위해 제로 트러스트 보안 모델(Zero Trust Security Model)1)*[efn_note]※ Zero Trust Security Model: 네트워크 경계를 내외부로 구분하여 신뢰하는 전통적인 방식과는 달리 신뢰할 수 있는 영역은 존재하지 않으며, 접근을 위해서는 보다 강화된 인증을 통해 적절한 권한을 받아야 함을 바탕으로 한 보안 전략[/efn_note]을 적용하는 한편, 전문가로 구성된 전담 부서인 ‘Digital 보안팀’이 최신 보안 트렌드를 적시 분석하여 GS칼텍스 디지털 보안 및 관리체계에 반영할 수 있도록 관리하고 있습니다. 이 밖에도 이상 징후 및 보안 위반 사항의 적시 적발과 위험 예측을 위한 보안수준 검증(Security Assurance) 활동을 수행하며, 문제 발생 시 피해를 최소화하기 위해 적발통제(Detection Control) 정책을 수립하여 운영하고 있습니다

3) 고객정보 보호 체계 및 보호 활동
GS칼텍스는 2013년 업계 최초로 정부에서 지정한 ‘개인정보보호 관리체계(PIMS : Personal Information Management System) 인증’을 획득하였으며, 개인정보의 안전한 관리체계를 위해 강화된 ‘정보보호 및 개인정보보호 관리체계(ISMS-P : Personal Information & Information Security Management System) 인증’을 유지하고자 매년 관계 기관으로부터 엄격한 심사를 받고 있습니다. 중요 정보의 저장 및 전송 시 암호화 조치를 통해 고객 개인정보의 안정성을 확보하고, 고객정보 저장 시 별도의 시스템을 통해 최소 한의 인원만이 업무를 수행할 수 있도록 제한하고 있습니다. 뿐만 아니라 개인정보 접근통제 시스템을 운영하여 개인정보취급자의 처리 이력 관리 및 이상 징후 모니터링을 실시하는 한편, 매년 개인정보 처리부서와 수탁업체를 대상으로 정기·비정기 진단 활동을 통해 불필요한 개인정보 취급이나 오남용 등의 프라이버시 침해 및 법규 위반 사항이 발생하지 않도록 사전 대비하고 있습니다. 또한, 국내 개인정보 관련법은 물론 EU 일반 개인정보보호법(GDPR: General Data Protection Regulation)을 철저히 준수하고 있습니다. GS칼텍스는 고객에게 연 1회 이상 고객 개인정보 처리 현황을 통지하여 고객의 자기정보 결정권과 권리를 보장하며, 다양한 정보 보안 활동을 통해 개인정보 보호역량을 강화하고 있습니다.

나. 디지털 보안 활동

1) 디지털 보안 위험관리
GS칼텍스는 비즈니스 전반에 걸친 디지털 트랜스포메이션 (Digital Transformation)이 가속화됨에 따라 IoT(Internet of Things), OT(Operation Technology) 등 새로운 디지털 환경을 포함하는 다양한 형태의 보안 위험을 관리하고자 노력하고 있습니다. 이를 위해 정보보호 전문가로 구성된 전담조직을 구성하여 수시로 발생하는 국내외 보안 이슈를 검토하는 등 디지털 보안 관리체계를 강화해 나가고 있으며 각종 보안 솔루션을 활용하여 인가받지 않은 접근 시도 등 네트 워크 이상 징후에 대한 모니터링 및 로그 분석을 실시하며, 물리적 보안강화를 위해 불시 보안점검, 사업장 침투테스트 등을 진행하여 디지털 보안에 대한 위험관리 및 통제 수준을 점검하고 있습니다. 또한, 여러 위험을 사전 식별하여 예방하고자 자체 위험평가 방법론을 활용함으로써 취약점 진단 및 모의 해킹 등 기술적 인 보안 강화활동을 지속하고 있습니다.

2) 정보보호 교육 활동
GS칼텍스는 임직원의 정보보호 인식 제고 및 역량을 강화하고자 매년 전 임직원에게 정보보호 및 개인정보보호 교육을 실시하고 있습니다. 악성메일 훈련 등 최신 동향을 반영한 시나리오 기반의 모의훈련과 보안 캠페인, 세미나 등 다양 한 보안 교육 및 홍보 활동을 진행하고 있으며 자회사에 대한 정보보안 진단 및 교육을 진행하는 등 GS칼텍스 전반의 보안 수준 유지 및 향상을 위해 노력하고 있습니다. 특히, GS칼텍스 여수공장은 국가보안시설의 특성상 공장에 출 입하는 모든 인원에 대하여 보안 및 안전 준수사항과 제한 사항에 대한 교육을 실시하고 있습니다

3) 출입관리·방문 예약 시스템
국가보안시설인 GS칼텍스 여수공장은 공장 전 지역은 통제구역, 제한구역 및 제한지역으로 구분되어 출입 인원은 승인된 장소만 출입할 수 있으며, 방문 시 방문예약시스템을 통해 임직원의 승인을 받아야 출입이 가능하도록 모든 출입 인원 과 차량을 출입관리시스템을 통해 관리하고 있습니다.

GS칼텍스, 공정하고 투명한 윤리경영을 약속합니다

GS칼텍스는 글로벌 윤리 규범을 더 민감히 준수하기 위해 컴플라이언스 강화는 물론 윤리 경영을 실천하기 위한 일련의 활동들을 지속적으로 실천하고 있습니다. 뿐만 아니라 디지털 트랜스포메이션이 강화됨에 따라 디지털 체계 및 보안 활동을 강화하여 위험 관리로부터 시스템을 보호하고, 다양한 형태의 보안 위험으로부터 대응하고자 더 체계적으로 고민하고 노력해 나가겠습니다.

더 많은 내용이 궁금하시다면, 아래 링크에서 GS칼텍스의 2021년 지속가능성 보고서를 확인해 보세요!