By: adminPosted on

리스크 관리 프로세스란 무엇이며 왜 필요한가?

위험은 목표 달성 능력을 향상 시키거나 감소시킬 수있는 모든 종류의 불확실성을 나타냅니다. 프로젝트,재정,보안 및 개인 정보 보호 및 환경에 영향을 미치는 위험을 포함하여 다양한 형태를 취할 수 있습니다. 긍정적 인 위험(기회)또는 부정적인 위험 모두에 대해 위험과 보상 사이의 균형을 이해하기위한 의도적 인 접근 방식이 필요합니다. 이 문서에서는 조직에 부정적인 영향을 미칠 수 있는 위험을 관리하는 프로세스에 초점을 맞추고 있습니다.

최근 역사는 위험 요소가 기업과 개인이 어떻게 운영되는지에 미칠 수있는 영향을 강조했습니다. 경쟁사보다 위험을 더 잘 탐색 할 수있는 능력은 확실히 기업의 성공에 기여할 것입니다. 그렇게하지 않으면 아마도 복구를 넘어 재앙을 불러올 수 있습니다.

이러한 이유로 검증되고 일관된 위험 관리 프로세스를 적용하는 것이 중요합니다. 조직의 목표,목표 및 내부/외부 컨텍스트를 이해하는 견고한 기반 위에 구축되면 위험 관리 프로세스가 조직의 성공을 보장하는 데 도움이됩니다.

위험 관리 프로세스의 5 단계는 무엇입니까?

많은 지식 기관들이 위험 관리를 문서화했지만,아마도 가장 잘 알려진 것은 국제 표준화기구일 것이다. 위험 관리 지침에는 다양한 위험에 대해 의사 소통,관리 및 모니터링하는 방법에 대한 광범위한 정보가 포함되어 있습니다. 이 프로세스는 본질적으로 모든 유형의 엔티티에 대해 동일하며 다음 5 단계로 구성됩니다:

이 기사는

의 일부이며 위험 관리 란 무엇이며 왜 중요합니까?

  • 또한 다음을 포함합니다:
  • 거버넌스,리스크 관리 및 규정 준수
  • 리스크 회피
  • 리스크 맵(리스크 히트 맵)

  1. 위험을 식별하십시오.
  2. 각각의 가능성과 영향을 분석합니다.
  3. 기업 목표에 따라 위험 우선 순위 지정.
  4. 위험 조건을 치료(또는 대응)하십시오.
  5. 결과를 모니터링하고 필요에 따라 조정하는 데 사용합니다.

이러한 단계는 간단하지만 모든 비즈니스에는 위험을 관리하고 모니터링하는 방법에 영향을 미치는 고유 한 요소가 있습니다. 이러한 요소를 결정하고 적용하려면 다양한 위험의 전반적인 관리를 계획,실행 및 추적하는 포괄적 인 접근 방식의 일환으로 위험 관리 프레임 워크를 적용하는 것이 도움이됩니다.

위험 관리 프로세스의 다섯 단계
그림 1. 효과적인 위험 관리 프로세스에는 이 다섯 단계가 필요합니다.

또한 광범위한 프레임 워크의 맥락에서 위험 관리 프로세스의 목표는 모든 위험을 완전히 제거하는 것이 아니라 목표를 고려하여 허용 가능한 위험 수준을 결정한 다음 이러한 위험 요소를 합의 된 범위 내에서 유지하는 것임을 명심하는 것이 중요합니다. 아래 단계는 결정 하 고 그렇게 할 특정 작업을 적용 하는 데 도움이 됩니다.

위험 식별

첫 번째 단계는 잠재적 위험 자체를 결정하는 것입니다. 그것은 어떤 맥락을 요구한다:잘못될 수 있던 무슨이 고려하기 위하여,사람은 바르게 가야 하는 무슨으로 시작할 필요가 있다.

목표와 목적 및 이를 가능하게 하는 다양한 자원 또는 자산을 검토하여 프로세스를 시작합니다. 위험 실무자는 종종 하향식,상향식 접근 방식을 적용하여 이러한 목표를 방해 할 수있는 것에 대해 생각합니다.

하향식 부분은 손상되어서는 안되는 미션 크리티컬 프로그램(예:소매점에서의 판매 거래 또는 공장의 제조 프로세스)을 고려합니다.

상향식 부분의 경우 지진,랜섬웨어 공격 또는 경제 침체와 같은 다양한 알려진 위협 요소를 고려하고 이들이 기업에 어떤 영향을 미칠지 숙고 할 수 있습니다.

위험은 정의상 목표에 영향을 미치는 불확실성이기 때문에 위험은 영향을 미치는 경우에만 위험입니다. 위험이 더 영향력이 클수록 우선 순위가 높아집니다. 그 우선 순위의 분석은 다음 단계에서 발생하지만,먼저 측정 할 수있는 시나리오를 만들기 위해 다양한 위험 요소를 고려해야합니다.”기업 리스크 관리를 위한 사이버보안 리스크 식별 및 추정”-리스크 시나리오 개발에 대한 지침을 제공한다. 이 보고서에 따르면 부정적인 위험을 설명하기 위해 다음 네 가지 요소가 필요합니다(그림 참조 2):

  1. 영향을 받는 귀중한 자산 또는 리소스;
  2. 그 자산에 대해 행동 할 위협 행동의 소스;
  3. 그 위협 소스가 행동 할 수 있도록 기존의 조건(또는 취약점);그리고
  4. 그 취약점을 악용 위협 소스에서 발생하는 몇 가지 유해한 영향.

이러한 빌딩 블록을 사용하여 분석,분류 및 처리 할 광범위한 위험 시나리오를 구성 할 수 있습니다. 위험을 시나리오로 설명하는 것은 위험 조건을 전달하고 위험의 가능성과 영향을 분석하는 데 도움이됩니다. 그것은 또한 쉽게 응답하는 방법을 고려 할 수 있습니다. 예를 들어,”제조 공장은 열대성 폭풍으로 인한 정전의 영향을 받아 며칠 동안 공장 운영을 방해합니다.”

부정적인 위험의 속성
그림 2. 부정적인 위험은 이러한 네 가지 특성을 갖는 것으로 정의됩니다.

돌이켜 보면 결코 완벽하지 않지만 미래에 어떤 위험 이벤트가 발생할 수 있는지에 대한 유용한 통찰력을 제공합니다. 특히,유사한 기업이 직면 한 위험,이를 가능하게하는 조건 및 위험이 조직에 미치는 영향에 대한 헤드 라인을 검토하는 것이 도움이 될 수 있습니다.

위험 범주

다양한 유형의 위험을 고려할 때 범주로 구성하는 것이 도움이 될 수 있습니다. 이러한 분류를 통해 특정 주제에 익숙한 개인 또는 팀이 각 유형의 위험을 고려하고 추적 할 수 있습니다. 예를 들어,트레드웨이 위원회,위험 관리 지침을 제공 하는 전문 단체의 공동 이니셔티브의 후원 조직의 위원회 위험을 다음과 같은 4 개의 영역으로 구성 될 수 있습니다 제안 했다:

  • 전략적 위험(예:평판,고객 관계,기술 혁신);
  • 재무 및 보고 위험(예:시장,세금,신용);
  • 규정 준수 및 거버넌스 위험(예:윤리,규제,국제 무역,개인 정보 보호);및
  • 운영 위험(예: 정보 및 기술 보안 및 개인 정보 보호,공급망,노동 문제,자연 재해).

위험 범주는 또한 관리자가 위험 대응에 대해 의사 소통,추적 및 조정할 때 정보를 통합하는 데 도움이됩니다. 각 위험 범주에 대해 시나리오를 개발하기위한 의도적 인 프로세스는 목록이 충분히 포괄적임을 보장합니다. 시나리오를 시각화하고 평가하는 데 도움이되는 많은 도구를 사용할 수 있습니다. 예를 들면 다음과 같습니다:

  • 프로젝트 위험에 대한 위험 분석 구조(예: 사이버 보안 위험에 대한 위협 트리(예:카네기 멜론의 옥타브 알레그로 방법론);그리고
  • 투자 위험을 고려하기위한 델파이 연습.

이 첫 번째 단계의 최종 구성 요소 인 위험 식별은 결과를 위험 등록부에 기록하는 것입니다. 위험 레지스터는 후속 단계를 통해 다양한 위험을 전달하고 추적하는 수단을 제공합니다. 위에 인용된 니스티르 8286 보고서는 위험 관리 프로세스 단계의 많은 결과를 기록하는 샘플 위험 세부 템플릿과 함께 이러한 레지스터의 예를 제공한다.

위험 가능성 및 영향 분석

위에서 언급한 바와 같이,위험은 영향이 있는 경우에만 위험이므로 위험 관리 프로세스의 두 번째 단계는 위험이 발생할 가능성을 분석하고 측정 가능한 영향을 미칠 것입니다.

위험 분석에 대한 전체 과학이 있지만 본질적으로 이 단계는 위험 이벤트가 발생할 확률을 계산하고 그 결과가 발생할 경우의 영향을 추정하는 것입니다. 종종 즉각적인 영향이 있지만 다른 후속 결과가있을 수 있으므로 계산에서 이러한 각 요소를 고려하는 것이 중요합니다. 참을성 있는 건강 기록을 포함하는 휴대용 퍼스널 컴퓨터의 손실을 고려하십시오–즉시 재산 손실이 있을 것입니다,그러나 그 참을성 있는 정보의 손실은 분실된 장치의 비용을 멀리 초과하는 벌금,소송 및 명망 손상 귀착될 수 있었습니다.

위험 분석은 시간 요인을 계산의 일부로 포함해야합니다. 재무보고 시스템은 종종 중요한 것으로 간주되지만 세금 준비 시간 동안 무결성 및 가용성 요구 사항이 특히 중요 할 수 있습니다. 위험 이벤트의 빈도는 고려해야 할 또 다른 시간 기반 요소입니다.

많은 조직에서 이러한 가치를 표현하기 위해 일반 또는 질적 용어를 사용합니다. 예를 들어,우리는 종종”높은 위험”또는”낮은 확률”과 같은 용어를 사용하여 위험을 전달하거나 빨간색-노란색-녹색 색 구성표를 사용합니다. 조직은 위험 분석에 대한보다 과학적이고 구체적인 정량적 접근 방식의 혜택을 누릴 수 있습니다. 예를 들어,오픈 그룹의 오픈 페어 표준에서 인스턴스화 된 정보 위험(공정)접근 방식의 요인 분석은 추정에 대한 색상보다 더 도움이 될 수있는 자세한 위험 계산을 수행하는 데 사용할 수 있습니다.

질적 및 양적 위험 분석을 수행하는 방법에는 수십 가지가 있으며,그 중 다수는 국제 전기 기술위원회 표준 31010″위험 관리-위험 평가 기술”에 설명되어 있습니다.”이 간행물은 기술”이 위험 평가 단계에서 사용되어 위험을 식별,분석 및 평가하고,보다 일반적으로 불확실성과 그 영향을 이해할 필요가있을 때마다 사용됩니다.”

기업 목표에 따라 우선 순위 지정

위험 분석 결과를 통해 위험을 중요성에 따라 분류하고 순위를 매길 수 있습니다. 자원이 제한 될 가능성이 있기 때문에 우선 순위 지정은 가장 가능성이 높고 가장 영향력있는 위험을 강조하는 데 도움이됩니다. 이러한 결과를 위험 맵에 반영하면 각 위험의 상대적 중요성을 시각화하는 데 도움이되며 다른 이해 관계자,특히 이러한 위험에 대응할 수있는 자원을 제공(또는 승인)하는 사람들과 위험 관찰을 공유하는 데 도움이 될 수 있습니다.

위험의 초기 우선 순위는 가능성과 영향의 조합을 기반으로 할 수 있지만 최종 순위는 이해 관계자에게 중요한 요인에 의해 영향을받을 수 있습니다. 예를 들어,리더십이 고객의 신뢰가 기업의 핵심 가치라고 표현한 경우 고객에게 영향을 줄 수있는 위험이 강조 될 수 있습니다.

비용 효율적인 방식으로 위험 처리

우선 순위가 지정된 위험 목록을 사용하여 다음 단계는 이러한 위험을 치료하는 데 사용할 수있는 옵션을 평가하고 허용 가능한 수준의 위험을 달성하기 위해 다양한 방법과 통제를 적용하는 것입니다. 다음과 같은 몇 가지 옵션을 사용할 수 있습니다:

  • 리더십의 위험 식욕에 기반한 위험이 이미 수용 가능한 수준 인 경우 추가 치료가 필요하지 않습니다.
  • 영향의 일부를 다른 엔티티와 공유 할 수있는 경우(예:,보험 회사,외부 서비스 제공 업체),그런 다음 위험 중 일부는 그러한 방식으로 이전 될 수 있습니다.
  • 각 위험의 가능성 또는 영향을 수용 가능한 수준으로 줄이는 데 도움이되는 실용적이고 다양한 관리,기술 및 행정 위험 통제가 적용될 수 있습니다.
  • 이러한 위험 대응 방법 중 어느 것도 적용할 수 없는 경우,위험 관리자는 고려 중인 시나리오를 가능하게 하는 활동이나 노출을 제거하여 위험을 피해야 합니다.

적용되는 방법이 효과적이고 비용 효율적인지 확인하는 것이 중요합니다. 이 방법은 은행이 현금 보유를 보호하기 위해 잉크 펜과 백만 달러짜리 금고를 보호하기 위해 20 센트 체인을 사용할 수있는 이유를 설명합니다. 위험을 치료하는 데 필요한 자원은 보호되는 자산에 상응해야합니다.

리스크 관리 결과 모니터링

위의 각 단계를 거친 후에도 리스크가 조직의 리더가 정한 한도 내에서 유지되도록 결과를 추적하고 모니터링하는 것이 중요합니다. 위험 조건은 빠르게 변할 수 있고 자산 가치는 변동될 수 있으며 이해 관계자 선호도가 바뀔 수 있습니다. 모니터링의 중요한 부분은 관리자와 고위 지도자에게 위험 목표를 향한 진행 상황과 조직에 영향을 미칠 수 있는 변경 사항에 대한 정보를 제공하는 것입니다. 이 사이클은 에드워즈 데밍 박사에 의해 대중화 된 계획-연구-법)사이클과 유사하여 위험 관리 프로세스를 지속적으로 개선 할 수 있습니다. 조직 전체의 다양한 팀이 위험을 식별,분석 및 대응하기 위해 조치를 취함에 따라 결과는 다음 반복을 알리고 구체화합니다.

결론

이러한 단계들의 적용을 통해,보다 광범위한 지배구조 및 관리 프레임워크의 맥락에서,조직들은 해로운 영향을 미칠 가능성이 있는 위험들을 일관되게 식별한 다음,비용 효율적인 치료의 우선 순위를 정하고,지속적인 개선을 유지하기 위해 결과를 모니터링할 수 있다.

답글 남기기

이메일 주소는 공개되지 않습니다.