‘리스크’라는 말을 들었을 때 무슨 생각이 떠오르는가? 보통 BCP/BCM 및 재난복구 전문가는 리스크란 경감해야 하고 없애야 하는 ‘나쁜’ 그 무엇이라고 말할 것이다. 그런데 회사의 최고경영진도 이와 같이 생각에 동의할까? 리스크 경감을 위한 것이라고 비용집행을 요청할 때마다 최고경영진은 거리낌 없이 언제나 승인해주고 이를 당연한 것으로 생각할까? 혹시 담당자가 가지고 있는 리스크에 대한 이러한 고정관념이 혹시 최고경영진의 전폭적인 지원을 이끌어내는데 어려움으로 작용하는 건 아닐까? 리스크에 대해서 완전히 다른 관점에서 생각해보는 기회를 가져보자.
Risk. What comes to mind when you hear that word? If you’re like most business continuity and disaster recovery professionals, you probably work from the perspective that risk is a “bad” thing to be reduced or eliminated. Sounds like a noble cause. But is that how the executives in your organization think? Are they willing to fund your risk mitigation requests every time you submit one simply because it’s the “right” thing to do? Is our perspective the very reason many of us have difficulty generating solid senior management support for our efforts? This article will take you on a journey that may challenge everything you have been taught about risk. By the end, I hope to have you thinking about “risk” in a whole different way.

부정적 사건, 효과적 관리
DRJ 용어사전에서는 리스크란 “정성적 또는 정량적 측정방법에 의해 결정되어질 수 있는 손실에 노출될 가능성”으로, 리스크관리란 “발생가능성이 있는 부정적인 사건을 효과적으로 관리할 수 있도록 하는 문화, 프로세스 그리고 구성체계”라고 정의하고 있다. 미국 DRII협회의 BCP/BCM 전문가를 위한 지침에서는 리스크 평가와 통제(risk evaluation and control)를 “재해 그리고 이로 인한 피해로 조직·시설의 파괴, 충격을 주는 사건과 외부환경을 정의하고 이러한 발생가능한 손실의 영향을 막거나 최소화하는데 필요한 통제활동을 결정하는 것”으로 정의하고 있다. 미국재난관리표준인 NFPA 1600에서도 역시 비슷하게 정의하고 있는데, “종합적인 리스크 평가란 조직, 주변지역 또는 조직을 지원하고 있는 주요 인프라에 충격을 주는 일련의 발생가능한 위험, 위협 또는 재난을 식별하는 것이다”라고 기술하고 있다. 이처럼 대부분 리스크에 대한 정의에서는 안 좋은 것, 어둡고 암울한 것으로만 말하고 있어, 최고경영진들이 BCP/BCM, 재난관리에 대해서 다루기 싫어하는 것은 어쩌면 당연한 것일지 모르겠다.
Traditional Definitions of Risk
The DRJ Glossary defines risk as, “The potential for exposure to loss which can be determined by using either qualitative or quantitative measures” and risk management as, “The culture, processes, and structures that are put in place to effectively manage potential negative events.” The DRII Professional Practices for Business Continuity Planners defines the practice of risk evaluation and control as, “Determine the events and external surroundings that can adversely affect the organization and its facilities with disruption as well as disaster, the damage such events can cause, and the controls needed to prevent or minimize the effects of potential loss.” Similarly, NFPA 1600’s Explanatory Material Annex states, “A comprehensive risk assessment identifies the range of possible hazards, threats, or perils that have or might impact the entity, surrounding area, or critical infrastructure supporting the entity.” Wow, that sure sounds like a lot of doom and gloom. It’s no wonder that many in senior management hate to see us coming down the hall (assuming they even know who we are).

리스크 관리, 경감활동 우선순위 고심

	(그림1) 리스크관리의 전통적인 관점

<그림 1>에서 볼 수 있는 것처럼, 전통적으로 리스크관리에서는 위협의 발생가능성과 영향(충격) 수준의 조합을 만들어 평가하며, 이를 통해 가장 발생가능성이 높으면서 큰 영향을 주는 부분에 집중하고 이에 대한 경감활동에 우선순위를 매기고 대응책 마련에 고심한다. 대응책은 일반적으로 다음과 같은 내용을 포함 한다:

●회피 - 설계, 계획을 통해 위협을 제거하거나 또는 해당 프로세스 운영을 중단하여 위험을 피함
●대체 - 동일한 기능수행이 가능하면서 상대적으로 덜 위험한 대체방안 마련
●전가 - 대표적 예는 보험이며, 이를 통해 해당 리스크에 대한 책임을 넘김
●경감 - 발생가능성과 영향 수준을 줄이는 방안을 마련
●수용 - 어떤 리스크인지를 정확히 이해하고 있으며, 이의 대응을 위해서 추가적인 활동이나 통제를 하지 않음

조직에 노출되어 있는 부정적인 위험에 대해 경감하려는 활동이 분명 가치 있는 것임에는 분명하지만, 이러한 생각은 기껏해야 전체 상황의 절반에만 집중하고 있는 것에 불과하며, 이러한 일차원적인 접근법은 BCP/BCM, 재난관리가 조직 내의 중요한 의사결정이 이루어지는 조직인 이사회의 관심을 끌지 못하는 원인 중 하나로 작용한다. BCP/BCM, 재난관리활동 주관부서가 조직 내에서 수익창출을 하지 않고 비용만 낭비하는 부서(코스트 센터, cost center)라는 오명에서 벗어나려면 현 활동에 비즈니스 가치를 접목시키는 것이 필요하다.
Managing Threats
As seen in Figure 1, practitioners using the traditional view of risk management frequently generate a matrix to plot the likelihood and impact of threats to the organization. Whether you utilize three, four, or five categories on each axis really doesn’t matter. The idea is to focus attention on the highest probability and highest impact areas so that prioritized mitigation efforts can be developed. Once identified and prioritized, management needs to decide what to do in response to these threats. Their choices include:
●Avoid - Eliminate the risk through careful design or planning, or discontinue the process entirely.
●Substitute - Find a less risky alternative to perform the same function.
●Transfer - Remove liability for the risk by making someone else accountable for it, e.g., through insurance.
●Reduce - Find a way to reduce the likelihood and/or impact of the threat.
●Accept - Understand what the risk is and decide that no further action is desired or possible.
While there is certainly tremendous value in reducing our organization’s exposure to negative consequences, at best we’re focusing on only half the story. I believe this one-dimensional view is what keeps many in our profession out of the boardroom level discussions within our respective organizations. In order to increase our level of influence, we need to be seen as adding business value rather than as just a scare mongering cost center.

위험, 활용 잘하면 수익창출 기회
국제표준기구 ISO/IEC Guide 73 지침에서는 리스크를 “사건의 발생가능성과 이의 발생을 통한 영향과 결과의 조합”으로 정의하고 있다. 즉 리스크란 불확실성에 대한 것은 맞지만 항상 나쁜 것을 의미하는 것은 아니라는 것이다. 즉, 많은 BCP/BCM, 재난관리 전문가들이 보고 있는 전통적인 접근방식과 이러한 사고방식의 차이는 한 조직의 비즈니스 목표달성과 관련하여 사건의 영향과 결과는 긍정적일 수도 그리고 부정적일 수도 있다.

	(그림2) 통합된 리스크관리 매트릭스

부정적이고 암울하게만 생각되었던 위협, 위험 등이 잘만 활용된다면 오히려 수익창출 등 조직에 이득이 되는 기회로 작용할 수 있다. <그림 2>에서는 왼편은 전통적인 위협 기준의 리스크 관점이, 그리고 오른편은 ‘기회’라는 관점을 기준으로 한 도표를 통합하여 보여주고 있다. 즉 이러한 리스크를 보는 통합된 접근방식은 높은 발생가능성과 영향뿐만 아니라 조직에 커다란 수익을 가져올 가능성이 큰 부분에 대해서도 최고경영진의 관심을 동시에 집중시킬 수 있게 해준다. 이러한 접근방식에서는 앞에서 언급한 회피, 대체, 전가, 경감, 수용의 선택과는 다른 아래와 같은 그 무엇이 있다.

●추구(Pursue) - 조직과 이해관계자(주주) 가치 극대화를 위해 반드시 활용해야 하는 높은 발생가능성과 높은 영향/기회 부분 추구
●공동작업/소싱(Partner) - 특정분야 전문가가 내부에 없는 경우 외부 제3자/기관을 통해 기회의 영향과 발생가능성을 높임
●개발(Develop) - 기회의 발생가능성과 영향 증대를 위해 내부자원 결집, 활용
●무시(Disregard) - 발생가능성, 수익 등이 너무 낮아 이와 관련된 대응, 활동을 할 가치가 없는 것에 대해서는 아무런 조치를 취하지 않음

그렇다면 어떻게 통합된 리스크 매트릭스에서 위협과 기회를 같이 식별하고 평가할 수 있을까? 많은 경영전략 툴이 있지만 여기서는 가장 많이 사용되면서 이해하기 쉬운 SWOT 분석(특정기업 경쟁력을 기업 내부에서 강점(Strength)과 약점(Weakness), 외부환경에서 기회(Opportunity)와 위협(Threat) 요소를 분석하는 방법)을 적용해 보자.

SWOT 분석은 궁극적으로 약점과 위협(<그림 2>통합 리스크관리 매트릭스에서의 왼편)을 최소화하고 강점과 기회를 최대화(<그림 2>에서 오른편) 시킬 수 있는 요소를 식별하는데 도움을 준다. SWOT 분석은 조직의 비즈니스를 잘 이해할 수 있는 방법 중 하나로 많은 경우에 기본적인 SWOT 분석 후에는 보다 정교한 방법론과 툴을 통해 보다 구체적인 분석으로 들어가야 한다.
There’s Another Side to Risk
ISO/IEC Guide 73 defines risk as, “The combination of the probability of an event and its consequences.” Simply put, risk is all about uncertainty and it’s not always a bad thing. What distinguishes this from the traditional approach used by many BC/DR planners is that the outcome of an event can either be positive or negative in relation to the achievement of business objectives. Along with the “threats” that can lead to a negative business impact or loss, there are also “opportunities” which, if exploited successfully, lead to an improved outcome or business benefit. To help illustrate this concept, Figure 2 represents an integrated matrix that shows both the traditional threat-based view of risk on the left side, along with opportunities represented on the right. By placing the two matrices next to each other in a mirror view, management’s attention can be focused not only on the highest likelihood/highest impact threats, but also on those opportunities where there is a high likelihood of delivering significant business benefits. Just as management needs to decide what to do about threats, they similarly need to make decisions about what to do with opportunities. These choices may include:
●Pursue - High likelihood/high impact opportunities that must be exploited to deliver shareholder value.
●Partner - When a particular expertise is not in-house, work with an external third party to increase the impact or likelihood of an opportunity.
●Develop - Work with internal resources to increase the impact or likelihood of an opportunity.
●Disregard - Take no action, the likelihood and/or benefit is too low to make it worthwhile.
So, how do you go about identifying and evaluating both threats and opportunities to populate this integrated risk matrix? There are numerous thought-provoking business strategy tools out there that can guide you toward looking at risk in a more balanced, strategic, executive-level way. One of the simplest ways to get started understanding the big picture is a method known as a “strengths, weaknesses, opportunities and threats” (SWOT) analysis. The SWOT analysis takes into consideration many different internal and external factors, and is designed to help you identify elements that minimize the impact of weaknesses and threats (evaluated on the left side of the integrated risk matrix) while maximizing the potential of strengths and opportunities (evaluated on the right). SWOT analysis is merely one of the structured methodologies used to better understand your business and many times the basic SWOT analysis is followed up with more sophisticated methodologies and tools. How you choose to go about brainstorming ideas and evaluating probability vs. impact is up to you, but there’s a good reason why you should consider adopting this expanded view of risk.

전략적 리스크 수준 접근
최고 경영진은 회사를 운영하면서 매일같이 리스크의 양면성을 다루고 있으며, 이는 수익창출을 위해 감수해야 하는 회사의 수용 가능한 전략적 리스크 수준을 정하는 일이다. 어떤 산업 군에 속해 있든 회사가 제공하는 제품 또는 서비스와 관련된 리스크는 항상 존재한다. 불확실성을 수용하고 새로운 제품을 개발하지 않았다면 인류는 석기시대를 넘어 진보하지 못했을 것이다.

이는 대출, 보험 등 금융업뿐 아니라 제조업, 판매, 유통서비스 등 회사에서 시장에 제공하는 모든 것에 있어서 전략적 리스크 내에서 찾을 수 있는 기회에 대한 균형잡힌 의사결정이 요구되어 왔다. 물론 때로는 새로운 기회 추구에 대한 의사결정이 성공적인 경우도 있지만, 그렇지 않은 대 실패를 경험하는 경우도 있을 수 있다.

하지만 리스크를 기회측면에서 수용하고 수익창출을 위해 과감히 신제품, 서비스를 출시하고 관련 마케팅 활동을 하는 것이 경영진이 생각하는 일상의 비즈니스 활동이라면 이러한 생각에 BCP/BCM, 재난관리 활동의 코드를 같이 맞추어 보는 것은 어떨까?
What Goes on in the Boardroom?
Dealing with both sides of the risk equation is what your executives do every day in running the company. Their job is to determine the acceptable amount of strategic risk to take in order for the company to make a profit. No matter what your industry, there is risk (uncertainty) associated with every product or service that your company provides. Think about it ... somebody had to be willing to accept some uncertainty and develop new products; otherwise, we wouldn’t have progressed beyond the Stone Age. A mortgage company uses credit scores but still takes a chance by loaning out money assuming they are going to get their principle back plus interest. Insurance companies use complex actuarial tables to manage their risk exposures while still making opportunity profits off the premiums collected from their customers. Automakers face uncertainty every time they introduce a new model, hoping it will become a top seller. Hollywood movies. New television shows. Electronic devices. Anything offered on the Home Shopping Network. Everything your company sells can be traced back to a balanced decision made about the opportunities found within strategic risk. Sometimes the decision to pursue a new business opportunity works out well (e.g., the invention of radio, the cell phone, computers), and sometimes it doesn’t (new Coke, the Edsel), but what all these items have in common is a company embracing the opportunity side of risk and believing that marketing their new product or service will generate increased revenue and shareholder value. So, if these are the kinds of business case analyses our executives are using to make decisions every day, why aren’t more of us speaking to them in a language they understand?

보다 나은 비즈니스 케이스(business case)를 위하여
BIA나 리스크평가를 수행할 때, 비효율적이거나 이해가 가지 않는 비즈니스프로세스를 파악하고, 어떻게 하면 효과적이고 더 나은 프로세스로 갈 수 있을 지 생각해 본적이 있는가? 아마도 이러한 생각이나 활동이 BCP 업무에서 벗어나는 것으로 다른 부서나 다른 프로젝트에서 다루어야 한다고 대부분의 BCP/BCM, 재난관리 전문가들은 행동할 것이다.

하지만 보다 나은 방법이 있다. 예를 들어, 조류인플루엔자와 같은 전염병에 대한 대응계획을 준비 중이라고 가정해보자. 임직원 결근, 손실로 인해 영향을 받을 수 있는 생산력 감소 위험을 경감하기 위해 비상 시 흩어져 있는 임직원과 무선통신을 포함한 다양한 네트워크 연결방식을 도입하여 임직원 의사소통과 업무연속성을 확보하고자 하는 것이 대응방안으로 파악되었다. 나쁘지 않은 방법으로 들린다.

하지만 정보보호에 매우 민감하거나 이러한 대응방안을 충족시키기에 회사의 기술력이나 무선 광대역 네트워크 인프라가 뒷받침될 수 없는 경우에는 앞서 언급한 비즈니스 케이스(business case)의 도입은 비현실적일 뿐 아니라, 이렇게 단순히 위협에 대한 경감목적 달성을 위해서만 제안된 전략이 회사의 다른 비즈니스 관련 전략들과 비교했을 때 상대적으로 경쟁력이 있을까 하는 의구심마저 든다.

앞에서의 전염병 대응계획 관련 비즈니스 케이스에 대해서 다른 시각으로 접근해보자. 회사 네트워크 시스템 인프라를 새로 구축하지 않더라도 여러 지역에 분산되어 있는 임직원이 노트북, 랩탑 등을 통해 회사 네트워크에 접속할 수 있도록 hot spot (공항, 호텔 및 도심 주요 건물에서 사용 가능한 무선인터넷 접근 가능지점, 역자 주)을 활용하는 것은 어떨까?

이러한 다른 시각의 비즈니스 케이스에 대한 제안은 직접적인 ROI(투자대비수익율)를 가시화할 수 있으며 업무중단시간을 감소시키면서 임직원 생산성 향상에도 기여하며 궁극적으로 전염병 창궐 등 비상 시 임직원에게 추가적인 네트워크 연결 대안을 제시하는 효과를 가져올 수 있다.

이러한 통합된 접근방식을 통해 만들어진 비즈니스 케이스는 최고경영진의 승인을 받을 확률 또한 높으며, 이제 BCP 담당자는 더 이상 나쁜 소식만 전달하는 사람이 아닌 조직의 비즈니스 가치를 증대시켜주는 전문가로 위상이 바뀔 것이고 궁극적으로 그러한 수익을 통해 원래 목표로 진행하고자 하였던 경감활동도 가능케 될 것이다.
Building a Better Business Case
When conducting a business impact or risk assessment, have you ever identified business processes that were inefficient or just simply didn’t make sense? Did you ever come up with ideas on how to make things better? What did you do with that information? If you’re like many in this profession, you considered that out of scope for your department and either simply moved on or let somebody else handle it. There is a better way. Let’s explore a hypothetical situation. During your pandemic planning efforts, you identified one possible mitigation to the likely threat of workforce disruption was to provide your employees with as many network connectivity choices as possible, including wireless. Sounds good, but suppose you’re extremely security conscious or not so technologically advanced company doesn’t yet have or allow wireless broadband capabilities on the laptop computers in use by your company’s distributed workforce. If you just stopped there and submitted a business case whose sole justification is mitigation for a threat that may occur at some undetermined time in the future, do you think your proposal would effectively compete against other corporate initiatives and receive funding? Maybe, but not likely. Suppose you performed a very different kind of analysis that focused on delivering positive business benefits as the primary objective. What if your business case instead focused first on enabling your workforce to connect to your company network via wireless “hot spots” while they were sitting at an airport waiting for a plane or staying in a hotel? You can calculate a direct Return on Investment (ROI) in the business case, and your proposal now becomes one focused primarily on reducing downtime and increasing worker productivity on a daily basis. Now, as part of this new business case, you throw in the added benefit of also providing your company’s staff with additional connectivity options in the event of a pandemic. With this combined approach, there is a much higher probability of getting the business case approved. Suddenly, you’re seen as someone adding business value, not just the constant harbinger of bad news. In the end, the business benefits and you get the mitigation that you wanted in the first place.

재난관리 전문가, 인정받는 전략가
최고 경영진이 보는 관점과 시야로 다시 시작해 보자. 이제 리스크가 새로운 의미로 다가올 것이다. 리스크 매트릭스의 위협과 기회, 그 양면을 바라보자. 매일매일의 비즈니스 가치를 창출하려는 비즈니스 케이스와 기존의 경감활동을 서로 잘 엮는 방안을 발견할 때, BCP/BCM 및 재난관리 전문가는 조직 내에서 그 가치를 인정받는 전략가로 인정받을 수 있을 것이다.
Conclusion
Risk. What comes to mind when you hear that word? We’ve reached the end of our little journey, and my hope is that now “risk” has a whole new meaning for you. Take the steps necessary to start thinking, speaking, and acting like an executive by focusing on the big picture. Look at both sides of the risk matrix. When you find ways to tie mitigation efforts into business cases where the primary focus is on delivering daily business value, you’ll be recognized as a valued strategic thinker and professional success will soon follow.

기고자: 제임스 G. 캘라한
번역: 유종기, 영국 BCI(Business Continuity Institute) 한국대표, Deloitte 안진회계법인 기업리스크자문본부 매니저 The Author:
James G. Callahan, CBCP, has more than 17 years experience in security, safeguards, BC/DR and risk management. He is currently a senior process manager for business continuity and risk management at AstraZeneca Pharmaceuticals LP.