ISO 31000을 지침 표준으로 사용하여 전략적 계획에서 위험을 관리하는 실용적인 관점.
2025/2026년 위험 관리 환경을 형성하는 주요 동향
우리는 전략적 계획의 신흥 동향을 적극적으로 추적하고 있으며, 특히 위험 관리에 미치는 영향을 중점적으로 살펴보고 있습니다.
2025/2026년에 예상되는 위험 관리의 변화는 다음과 같습니다:
- 더 많은 규제가 위험 관리 관행 요구 사항을 명시적으로 포함하고 있습니다. 위험 관리에서 이해관계자의 개념이 점점 더 중요해지고 있습니다.
- GRC 동향이 증가하고 있으며, 위험 보고에서 능동적 위험 관리로의 명확한 변화가 있습니다. 예를 들어, 전통적인 위험 레지스터가 더 실용적인 목표 중심 위험 문서화로 보완되고 있습니다.
- AI 거버넌스는 신흥 생성 AI와 관련된 위험을 완화하기 위해 널리 채택되고 있습니다.
- 주요 데이터 유출 사건(예: CrowdStrike 중단)은 제3자 벤더 검증에 대한 관심을 증가시켰습니다.
- 지속적인 경제 및 정치적 불안정 동향은 조직이 특히 공급망 분야에서 위험 모델을 확장하도록 압박하고 있습니다.
- 극단적인 기상 현상은 재해 복구에 대한 관심을 핵심 IT를 넘어 확장시켰습니다.
위험은 전문 커뮤니티에서 화제가 되고 있는 주제입니다. 우리는 미국과 유럽 전역에서 더 많은 위험 및 GRC 회의를 목격하고 있습니다. 계획된 회의 발표를 통해 위험 관리에 대한 우리의 실질적인 경험을 공유할 것입니다.
소개: 가능성과 영향 이상의 위험 정의하기
위험 관리 분야의 지침 표준은 ISO 31000입니다. 시간이 지남에 따라 표준의 위험 정의가 어떻게 진화했는지 살펴보면 흥미롭습니다:
- 이전 ISO의 위험 정의: “손실의 가능성 또는 확률.”
- ISO 31000:2018에 따른 정의: “목표에 대한 불확실성의 영향.”
무엇이 바뀌었습니까?
- 옛 정의는 “손실“을 언급했지만, 새로운 정의는 “영향“이라는 용어를 사용합니다. 이 변화는 잠재적인 긍정적 및 부정적 영향을 암시하며, 고객 인식과 같은 무형 자산의 중요성을 강조합니다.
- 옛 정의는 발생 가능성을 설명하기 위해 “기회“와 “확률“을 사용했습니다. 현대 정의에서는 “불확실성의 영향“을 만나게 되며, 이는 불완전한 지식의 영향으로 설명됩니다. 이 접근 방식은 “확률 x 영향” 모델을 넘어 위험을 정의하는 데 더 많은 유연성을 제공합니다.
- 새로운 정의에 “목표“라는 용어를 추가함으로써 위험이 특정한 맥락 내에서 정의된다는 점을 강조하며, 전체 전략과의 잠재적 불일치를 방지합니다.
ISO 표준의 지침 원칙을 사용하여 전략적 계획에서 위험 관리의 실제 적용을 탐구해 봅시다.
1. 위험 평가: 체계적이고 이해관계자를 고려한 접근
조직의 전략과 이해관계자의 관심사를 고려하여 추진 요인과 초기 징후 지표에 대한 체계적인 분석을 통해 가능한 위험을 도출하십시오.
ISO 표준의 일반 지침은 위험 평가는 체계적이어야 하며 다양한 이해관계자의 관점을 고려해야 한다고 강조합니다.
실제로 이것이 의미하는 바는 무엇입니까?
위험 평가: 체계적
‘체계적’ 위험 평가의 개념은 산업에 따라 다릅니다. 본질적으로, 이는 다음과 같은 정해진 프로세스와 기준을 따르는 것을 포함합니다:
- 위험 평가의 정기성
- 위험의 정량화
- 책임 있는 개인 할당
아래에서는 이것이 운영 수준에서 어떻게 구현될 수 있는지를 논의합니다.
위험 평가: 이해관계자의 관점
다른 비즈니스 영역과 유사하게 (예를 들어, 지속 가능성 보고 지침을 고려하십시오), ISO 표준은 이해관계자 정의에 중점을 두고 위험 관리 시 이해관계자의 관점을 고려할 것을 요구합니다.
실제로 이는 조직이 다음을 수행해야 함을 의미합니다:
- 참여하는 이해 당사자를 정의하기 위해 이해관계자 분석을 수행합니다.
- 목표의 맥락에서 위험 모델을 생성할 때 이해관계자의 이익을 고려합니다.
이 표준 요구사항은 우리가 전략 실행 시스템을 통해 권장하는 접근 방식과 잘 맞아떨어집니다.
BSC Designer 사용자는 계정에서 이해관계자 분석 템플릿을 찾을 수 있습니다.
- 이해관계자 목록은 설정 > 조직 > 전략을 통해 정의할 수 있습니다.
- 목록의 이해관계자는 ‘책임자‘ 목록에 포함되며 목표, 위험 또는 위험 완화 계획에 할당될 수 있습니다.
목표의 맥락에서 위험 식별
위험 평가의 다음 단계는 특정 위험을 명명하는 것입니다. 새로운 ISO 표준은 위험을 목표의 맥락에서 정의하도록 요구합니다. 표준의 목표는 위험과 비즈니스 맥락 간의 조화를 개선하는 것입니다.
저명한 GRC 분석가인 Michael Rasmussen은 가치 창출을 위한 위험 관리와 규정 준수를 위한 위험 관리에 대한 자신의 관점을 공유했습니다:
- “[좋은 위험 관리 도구는] 비즈니스의 목표에서 시작하여 그 목표의 맥락에서 위험을 매핑하고 관리합니다(진정한 ISO 31000).”
전략적 계획에서 별도의 위험 실적표를 갖는 대신, 위험을 전략 실적표에 통합하십시오.
가치 기반 전략 분해를 수행할 때, 우리는 이해 관계자의 전략적 야망을 더 구체적인 목표와 하위 목표로 나눕니다. 이 시점에서 우리는 목표를 정량화하고 위험을 정의하여 우리가 다루고 있는 비즈니스 맥락을 더 잘 이해할 수 있습니다.
비즈니스 환경을 스캔하기 위한 도구(다이어그램의 전략 분석 부분 참조) 대부분은 자연스럽게 위험 식별에 도움을 줄 것입니다.
BSC Designer에서 위험을 정의하려면:
- 기존 목표를 선택하거나 새로 만듭니다.
- 추가 버튼 메뉴에서 위험 추가를 선택합니다.
- 설명란에 관련 요소를 입력하고 문서 섹션을 사용하여 지원 문서를 업로드합니다.
위험 분석 결과를 입력하려면:
- 가능성 지표를 선택합니다.
- 초기 위험 추정을 고유 필드에 입력합니다.
- 수용 가능한 위험을 수용 가능한 필드에 입력합니다.
- 현재 위험 추정을 잔여 필드에 입력합니다.
영향 지표에 대해 단계를 반복합니다.
조기 징후 지표 정의하기
위험의 근본 원인은 ISO에서 “불완전한 지식“의 효과라고 언급됩니다.
추진 요인을 고려하여 우리의 위험 모델을 어떻게 개선할 수 있을까요?
확률 지표 외에도 조기 징후 지표를 정의하십시오. 예를 들어, 이는 경제 위기나 심지어 전쟁의 조기 경고 지표가 될 수 있습니다. 일반적인 추진 요인을 보다 구체적인 요소로 변환함으로써 신뢰할 수 있는 조기 경고 지표를 찾을 가능성을 높입니다.
전략 계획에서 우리는 성공 요인과 일치하는 이러한 예측/선행 지표와 결과를 측정하는 지표(후행 지표)를 구분합니다.
BSC Designer에서 예측 조기 징후 지표를 만들려면:
- 새 지표를 만듭니다.
- 컨텍스트 탭으로 전환합니다.
- 지표 유형을 “선행”으로 변경합니다.
Risk Management Example. 이 지표는 상위 목표의 성과를 계산할 때 고려되지 않지만, 이를 추적하고 위험 발견 또는 위험 완화 이니셔티브를 정량화하는 데 사용할 수 있습니다.
2. 위험 분석: 가능성, 영향, 취약성
가능성, 영향, 취약성과 같은 속성을 정량화하여 위험을 보다 구체적으로 만드십시오.
위험 분석은 위험과 조직에 미칠 수 있는 잠재적 영향을 이해하는 데 중점을 둔 광범위한 실천입니다. 아래에서는 전략적 계획의 맥락에서 위험 분석에 대한 제안을 제공합니다.
가능성/확률 지표 정의하기
가능성 지표는 다음과 같이 정의할 수 있습니다:
- 정성적으로, 예를 들어 [낮음, 중간, 높음]의 척도 또는
- 정량적으로, 예를 들어 [0에서 100%]의 척도.
정량적 척도는 위험 사건에 대한 충분한 경험적 데이터가 있어 일정 기간 내 가능성을 추정할 수 있는 경우에 적합합니다.
Risk Management Example. 
BSC Designer 사용자는 소프트웨어가 특정 값으로 변환할 수 있는 정성적 측정 단위(사용자 정의 척도 [“드물다, 가능성이 낮음, 가능성 있음, 가능성 높음, 확실함”])를 정의할 수 있습니다.
Risk Management Example. 위험 영향 지표
가능성 지표와 유사하게, 위험 지표를 0에서 100%까지의 척도로 정량적으로 정의할 수 있습니다.
대안으로 위험 영향 지표에 대해 달러 척도를 사용할 수 있습니다.
Risk Management Example. 가능성 지표와 유사하게, 영향을 위한 사용자 맞춤형 정량 척도를 정의할 수 있습니다:
Risk Management Example. 취약성 지표
위험의 가능성과 그에 따른 영향을 추정할 때 조직의 이러한 위험에 대한 민감도는 고려되지 않습니다.
조기 신호 지표를 논의할 때 특정 추진력을 예측할 수 있는 비즈니스 환경의 측면을 정량화했습니다. 취약성의 경우, 우리는 유사한 분석을 수행하지만 조직과 그 인프라에 중점을 둡니다.
예를 들어, 워게임이나 공격 시뮬레이션을 통해 기존의 사이버 보안 취약성을 평가할 수 있습니다. 더 구체적인 예는 사이버 보안 기사에서 찾을 수 있습니다.
“취약성”은 0에서 10까지의 CVSS 척도와 “최소화” 최적화 기능에 따라 정량화될 수 있습니다.
위험과 내부 통제의 효과성 정렬하기
위험의 가능성이나 영향을 추정하는 한 가지 방법은 내부 통제의 효과성을 평가하는 것입니다.
통제의 효과성은 후행 지표에 의해 검증됩니다. 만약 그것들이 녹색 구역에 있다면, 우리는 더 낮은 위험 추정을 기대할 수 있습니다.
시간 요인 추적
주요 동력의 지속적인 변화와 위험 예방 이니셔티브는 위험 추정의 변화를 초래합니다.
시간에 따른 위험의 변화를 추적하고 학습 및 개선 주기에 관련된 아이디어를 기록하십시오.
BSC Designer에서 이를 자동화하려면:
- 위험 지표에 대한 업데이트 간격을 설정하십시오.
- 내부 달력과 값 필드를 사용하여 새로운 데이터로 지표를 업데이트하십시오.
- 댓글 버튼을 사용하여 업데이트에 관련된 메모를 추가하십시오.
3. 위험 처리: 위험에 대응하는 방법 결정하기
위험에 대한 완화 계획을 실행하고 이니셔티브와 위험 완화 지표의 상태로 실행 성공 여부를 추적하십시오.
수용 가능한 위험의 설정된 임계값에 따라, 그리고 위험 분석 결과에 따라 의사 결정자들은 다음과 같은 가능한 옵션으로 위험에 대한 대응 전략을 수립합니다:
- 관련성이 없는 위험 제거하기
- 기존 위험 모델 내에서 모니터링하기
- 위험 처리 계획 도입하기
- 위험 분석에 의문 제기하기
- 컨텍스트(목표나 이해관계자의 야망)에 의문 제기하기
BSC Designer에서:
- 위험 완화 이니셔티브를 사용하여 위험 처리 계획을 기록하십시오.
- 위험 완화 이니셔티브에 진행 지표를 맞추십시오.
- 수용된 위험 관리 워크플로우에 따라 위험의 현재 상태를 나타내기 위해 위험의 상태 필드를 사용하십시오.
위험 관리 예시. - 이니셔티브 대화 상자를 통해 추가 항목 추가하기 (새로운 위험, 이니셔티브, 근거, 가설, 예상 결과)
- 예산, 일정, 진행 지표, 책임자와 같은 위험 처리에 관련된 데이터를 추가하십시오
- 관련 지원 문서를 업로드하십시오
4. 위험 모니터링: 위험 노출에 대한 새로운 시각
주요 위험 지표와 대시보드를 통해 시간에 따른 위험 노출의 변화를 추적하십시오.
위험을 정의하기 위해 사용된 지표는 특정 업데이트 간격으로 구성되어 있습니다. 위험 지표에 할당된 책임자는 다가오는 업데이트 간격과 누락된 업데이트에 대한 알림을 받게 됩니다.
또한 대시보드에서 제때 업데이트되지 않은 지표를 시각화할 수 있습니다.
모든 업데이트의 세부 사항(업데이트한 사람, 업데이트가 이루어진 시점, 이전 값이 변경되었는지 여부)은 지표의 감사 로그를 통해 시각화할 수 있습니다.
거버넌스 실적표 수준에서는, 정기적인 위험 분석이 전용 지표를 통해 정량화될 수 있습니다:
- “체계적인 위험 평가 수행”을 거버넌스 실적표에 추가하십시오.
- 분기별 또는 연간 업데이트되도록 지표를 구성하십시오.
- 정기적인 위험 분석을 담당하는 사람/팀을 이 지표의 책임자로 지정하여 다가오는 업데이트에 대한 이메일 알림을 받으십시오.
- 특정 영역에서 수행된 위험 평가를 정량화하는 하위 수준의 해당 지표와 이 지표를 정렬하십시오.
대시보드
정기적으로 업데이트되는 지표를 모니터링하는 것 외에도 관련 다이어그램을 포함한 대시보드를 추가하는 것을 고려해 보십시오:
- 위험 목록, 상태, 처리 진행 상황, 책임자 목록이 포함된 다이어그램
- 가장 중요한 위험에 대한 전용 다이어그램
- 위험 지수 및 시간 경과에 따른 변화에 대한 다이어그램
위험 관리 예제. 
가중 위험 지수
위험 사건을 보고하는 인기 있는 방법 중 하나는 가중 위험 지수를 사용하는 것입니다. 간단한 지수는 다음과 같이 보일 수 있습니다:
- 낮은 영향 사건 (가중치 = 5%)
- 중간 영향 사건 (가중치 = 15%)
- 높은 영향 사건 (가중치 = 30%)
- 중요한 사건 (가중치 = 50%)
이 지수의 사용은 고가치 사건을 저가치 수정으로 은폐하여 지표의 조작을 방지하는 데 도움이 됩니다.
위험 관리 예제. BSC Designer에서:
- 추가 버튼을 사용하여 지표의 계층 구조를 만드십시오.
- 성과 탭의 가중치 속성을 사용하여 관련 가중치를 지표에 할당하십시오.
대규모 위험 관리: 위험 등록부 vs. 목표 중심 위험 정의
위험 관련 관행을 확장할 때, 조직은 일반적으로 위험 가시성과 정렬을 균형 있게 맞추기 위해 이 두 가지 위험 관리 방법을 결합합니다:
- 일반적인 위험을 위한 위험 등록부 실적표를 사용하고,
- 더 구체적인 위험에 대해서는 목표 중심 위험 정의에 집중합니다.
Risk Register. 슬라이드
교육 세션: 'BSC Designer와 함께하는 위험 관리'은 저희의 지속적인 학습 프로그램의 일환으로 제공되며, BSC Designer 구독에 포함되어 있습니다.
교육 세션은 매주 Zoom을 통해 제공되며, 실용적인 통찰력과 개인 맞춤형 지침을 제공합니다. 완료 후 참가자는 수료 인증서를 받습니다. 모든 사용 가능한 교육 세션을 여기에서 탐색하십시오.
결론: 전략적 계획에서 위험 통합
우리는 더 이상 위험 관리, 준법, 및 지배구조의 개별적인 분야에 대해 이야기하지 않습니다. 급변하는 비즈니스 환경은 조직이 통합된 GRC 프레임워크를 모색하도록 강제합니다.
우리의 전략 실행 시스템에서 설명된 바와 같이, 실제 구현에는 다음이 포함됩니다:
- 복잡한 문제를 특정 분야로 나누어, 전담 전략과 기능 실적표로 관리합니다.
- 적절한 위험 정의, 지표, 및 이니셔티브와 함께 목표를 수립합니다.
- 준법, 사이버 보안, 또는 공급망과 같은 관심 분야에 실적표를 집중합니다.
Risk Management Example 템플릿 사용하기
BSC Designer는 조직이 복잡한 전략을 구현할 수 있도록 도와줍니다:
- 플랫폼에서 무료 플랜에 가입하세요.
Risk Management Example 템플릿을 시작점으로 사용하세요. New > New 실적표 > More Templates에서 찾을 수 있습니다.- 우리의 전략 구현 시스템을 따라 이해관계자와 전략적 목표를 포괄적인 전략으로 정렬하세요.
오늘 시작하여 BSC Designer가 귀하의 전략 구현을 어떻게 간소화할 수 있는지 확인해보세요!
Alexis는 BSC Designer의 CEO이자 선임 전략 컨설턴트로, 전략 계획 분야에서 20년 이상의 경험을 가지고 있습니다. Alexis는 회사가 그들의 전략을 실질적으로 구현하는 데 도움을 주는 “5단계 전략 실행 시스템”을 개발했습니다. 그는 업계 콘퍼런스의 정기 연사이며, “10단계 KPI 시스템” 책을 포함하여 전략 및 성과 관리에 관한 100편 이상의 기사를 발표했습니다. 그의 작업은 자주 학술 연구에서 인용됩니다.