9.11테러 후 7년의 세월이 흘렀다. 하지만 아직도 그 때의 충격은 미국인의 삶과 잠재의식 속에 깊게 박혀있다. 오는 11월 미국 대선에서도 무시할 수 없는 핫 이슈로 여전히 자리 잡고 있다. 9.11테러 7주기를 계기로 또다시 미국 정부의 국토안보(Homeland Security)와 대 테러정책이 재조명되고 있다. 하지만 실제로 9.11테러로 인해 가장 피해를 많이 입은 대상은 민간 기업들이었다. 또 선진 글로벌 기업들은 이를 기회로 삼아 재해, 재난 및 위기상황으로 인한 심각한 충격과 영향에 대응하는 준비를 해오고 있다.

최근 들어 테러와 같은 비정상적 사고뿐 아니라 경제, 사회가 고도화되면서 작은 사고도 대형 참사로 이어질 수 있는 가능성이 매우 커졌다. 예측과 예방이 어려운 재난발생 가능성이 점점 증가되고 있다. 또 전기, 수도와 같은 에너지 인프라와 국가경제의 근간을 이루는 금융산업과 지급, 결제망 등의 금융 인프라가 자연재해, 인위적 테러 등 위기상황으로 인해 치명적인 손실을 입는 경우 겪게 될 국가경제뿐 아니라 개별 기업운영 마비와 대혼란은 불 보듯 뻔하다. 9.11 테러 7주기를 맞아 이를 보다 더 진지하게 검토해 볼 때가 아닌가 생각한다.

기업과 조직의 위기관리 국제표준
현재까지 기업과 조직의 위기관리(Crisis Management)에 대한 정형화된 국제수준의 표준 수립 활동은 지난해 11월 인증규격(part 2)이 발표된 영국표준(British Standard) 비즈니스연속성 관리 BS 25999와 표준규격으로 가기 전 단계인 PAS(Publicly Available Specification) 수준의 ISO/PAS 22399(Societal Security - Guideline for Incident Preparedness and Operational Continuity Management) 등이 있다. 위기관리계획의 수립에 있어서 고려해야 할 사항은 매우 많다.

위기관리계획에서 다뤄야 하는 대상과 범위를 정하는 정의(Definition)로부터 시작해 위기관리 계획이 가져야 하는 속성(Attributes), 계획과 체계 운영 조직(Organization), 관련 역할과 책임(Responsibilities), 계획/체계의 구성(Formation), 위기발생 시 초기대응(Immediate Response), 조직에 적절한 대응 전략(Strategies), 위기관리 통제와 지휘를 위한 위치(Locations), 계획실행을 위한 통제활동(Control Activities), 긴급재원 조달 등 관련 재무활동(Financial Activities), 대내외 이해관계자/채널 간 의사소통 및 조직(Communications/ Communication Groups), 임직원 및 관계기관/서비스 비상연락망(Contacts), 뉴스/신문 등 미디어 통제(Media Control), 관련 법적 이슈(Regulation), 대응/복구 중심의 비즈니스연속성계획과 연계(Business Continuity Planning), 경영진 참여/승인 및 예산 등 체계운영과 행정(Administration), 관련 대내외 규정, 법률 준수(Compliance), 계획문서의 열람/접근용이성(Accessibility), 계획에 담겨야 하는 내용 및 문서화(Documentation) 등이 빠짐없이 고려돼야 한다.

위기관리계획 수립과 운영
영국 금융감독청(FSA, Financial Service Authority)에서 60개 금융회사를 대상으로 조사한 위기관리에 대한 모범실천사례(best practice)를 통해 앞에서 언급한 위기관리계획 수립과 운영에 있어서의 고려사항을 확인해 보자. 고려사항은 위기관리 문화, 위기관리 팀, 위기관리 커뮤니케이션 부분이다.

지난 3월 삼성생명과 기업은행이 국내 최초(세계에서는 4번째)로 위기관리 능력을 인정받은 국제인증을 획득했다. 이는 화재, 테러 등 대형재해나 위기상황 발생시에도 회사의 핵심업무와 서비스가 지속적으로 제공할 수 있는 역량확보 및 대응체계 구현을 위한 BCM 국제표준인 BS 25999에 부합하는 선진 리스크관리체계를 대내외적으로 입증한 것으로 평가 받고 있다.

이러한 좋은 모범사례 등을 바탕으로 하여 우리나라도 이제 한층 업그레이드 된 선진 위기관리와 리스크관리체계 도입을 촉진하는 기회가 되었으면 하는 바람이다. 다음 호(재난포커스 11월호)에서는 위기의 단계와 관리절차에 따른 위기커뮤니케이션조직, 위기관리 지휘본부, 위기관리계획에 대한 모의훈련에 대해서 포괄적으로 정리하고 위기관리체계에 대한 성숙도 측정과 도입 시 고려 사항에 대해서 알아본다.

위기관리계획 수립과 운영에 있어서의 고려사항(영국 금융감독청)

1. 위기관리 문화
 1.1 전략
  1) 상세한 위기관리계획이 수립돼 있다.
  2) 위기관리계획에는 사상자에 대한 대응, 조치 상세 매뉴얼이 포함돼 있다.
  3) 위기관리전략은 연속성확보를 위해 생산량(처리량)에 있어서 약간의 감소를 감수한다. 생산량(처리량) 감소없이 연속성을 확보할 수 있게 설정돼 있다.
 1.2 감사 및 검토
  1) 위협요인에 있어서 중대한 변화가 있는 경우 계획에 대한 조정, 수정이 수행된다.
 1.3 계획서의 열람/입수가능 정도
  1) 혼합된 형태의 전달매체(종이 문서, 전자 문서(softcopy, 파일형태), 웹(인터넷)상에서 접속 가능한 계획서, 비상행동(개인임무)카드소지를 통해 효과적으로 위기관리계획을 열람할 수 있게 한다.
 1.4 경영진 조직, 역할
  1) 위기관리조직에서 경영진 역할(비상대책위원회 등)을 인식하고 있다.
  2) 경영진은 위기 시 해야 할 의무와 과제를 알고 있으며, 사전에 협의와 계획서 승인을 통해서 의사소통 하고 있다.
  3) 위기관리계획에 위기 시 경영진의 역할이 포함되어 있으며, 관련 내용은 담당 임원을 통해 승인을 획득한다.
  4) 경영진(비상대책위원회 참여)이 해외에 있는 경우, 본사에서는 위기관리를 위한 비상대책위원회의 계획에 대해서 인지해야 한다.

2. 위기관리 팀
 2.1 위기관리팀
  1) 위기관리팀은 대내외 주요 이슈 해결에 책임을 갖는다.
  2) 위기관리팀은 공식적인 체계를 갖추고 있다.
  3) 모든 역할에는 책임과 대직자가 임명돼 있다.
  4) 위기관리팀원, 파견자의 최소 70% 정도가 지난 12개월 동안 모의훈련 참여 또는 사고 대응 경험을 보유하고 있다.
  5)  사고의 형태, 규모, 심각성에 따라서 잘 훈련된 전문가들이 위기관리팀에 보충될 수 있게 준비한다.
  6) 위기관리팀은 모의훈련에서 주요역할을 담당하며 역량을 증명해야 한다.
  7) 위기관리팀 인원변동은 조직변경에 있어서도 최소화돼야 한다.
 2.2 팀 활성화(편성, 발동)
  1) 위기관리팀 발동 기준이 마련돼 있다.
  2) 이미 정의된 보고체계에 의해 활성화된다.
  3) 위기관리팀 발동 직후, 상황에 따라 다음의 형태로 팀이 구성된다. 정의된 집결(회의)장소에 모여 회의(필요 시 다른 장소와 연결하여 컨퍼런스 콜)
 2.3 팀 특성(위기 시)
  1) 일단 팀이 활성화되면 위기관리팀은 모든 의사결정에 대한 권한을 갖는다.
  2) 위기 발생 시 위기관리팀은 사전에 승인 받은 사용목적과 범위 내에서 예산집행을 할 수 있다.
 2.4 타 부서/팀 지원 관련
  1) 위기관리팀 운영 지원을 위한 지원인력에 대해 미리 지명돼 계획서에 기술돼 있다. 위기관리팀의 운영을 위해 미리 파악해 놓은 직원(행정지원, 분석전문가, 감사인력 등)을 제공받을 수 있다.
 2.5 위기관리팀 업무 시설/장비 관련
  1) 사업장 접근이 불가능하게 되는 경우를 대비, 위기관리팀은 다소 떨어져 있는(너무 멀지 않은, 수 km 정도 떨어져 있는) 회의장소(종합상황실과 같은)를 미리 준비한다.
  2) 사업장 접근, 사용이 가능하더라도, 위기관리팀은 준비돼 있는 위기관리를 위한(종합상황실, 지휘센터와 같은) 장소에 위치한다.
  3) 위기관리팀이 업무를 수행하는 지휘센터는 위기관리 전용으로 필요 장비가 갖춰져 있다.

3. 위기관리 커뮤니케이션
 3.1 전략
  1) 위기관리커뮤니케이션계획에서 직원, 유관부서, 미디어, 고객 등 이해관계자에 대한 대내외 채널을 모두 다루고 있다.
  2) 위기상황 발생 시 미디어와 PR을 응대하는 절차가 있으며, 모의훈련을 통해 실행가능성 등이 검토된다.
  3) 주요 커뮤니케이션 담당 직원, 일반경영진은 위기관리커뮤니케이션계획에 대해서 잘 숙지하고 있다. 위기발생 시 역할을 할당 받은 모든 관련 직원은 위기관리커뮤니케이션계획을 잘 숙지하고 있다.
 3.2 내부/외부 커뮤니케이션
  1) 외부 커뮤니케이션 또는 PR 계획은 위기를 상정한 모의훈련을 통해 테스트된다.
  2) 위기상황발생 시 행동요령과 상황을 직원에게 통지하는 유무선 비상연락망 또는 관련 자동통지시스템 등이 사용된다. 비상 시 접근 가능한 대체 웹 홈페이지나 녹음된 메시지, 콜 센터 연결 등이 추가적으로 활용된다.
  3) 비상 시 직원이 걸 수 있는 긴급전화번호가 있고, 이는 24시간 응대가 가능하다.

위기관리계획 점검을 위한 확인사항
(출처: BS 25999-1 Assessment Tool, BSI(British Standards Institution))

[문서작성]
 Is all Crisis Management Plan (CMP) written in a clear and concise way so that it can be easily interpreted by those with Crisis Management responsibilities (as defined in the plans)?
[관련 직원의 문서접근의 용이성]
Are up-to-date plans accessible to those with Crisis Management responsibilities (as defined in the plans)?
[계획서, 관련 역할/책임 숙지]
Do all those persons with Crisis Management responsibilities (as defined in the plans) understand both the plans and their responsibilities?
[계획서 관리 담당자 지정]
Has the organization nominated a primary owner for each plan?
[주기적으로 검토, 수정, 갱신]
Has the organization identified and documented who is responsible for reviewing, amending and updating the plan(s) at regular intervals?
[계획서의 목적, 범위 정의]
Is the purpose and scope of each of the plans defined?
[계획서 관련 직원, 부서에 대한 정의]
Are persons or groups covered by each plan clearly defined?
[계획서 발동 절차]
Does each plan have a clear invocation procedure that includes the method of invocation, identifies the person with the relevant authority to invoke the plan, and the circumstances under which the plan would be invoked?
[직원이동배치, 집결지, 대체사업장 선정]
Where the invocation process requires immediate mobilization of resources, do plans include a clear and precise description of: a) how to mobilize the team(s); b) immediate rendezvous points; c) subsequent team meeting locations and details of alternative meeting locations?
[비상호출/근무 해제, 복귀 절차]
Has the organization developed and documented a clear process for standing down the team(s) and returning to business-as-usual?
[관련 활동에 대한 우선순위 설정여부]
Do all plans set out prioritized objectives, in terms of: a) the critical activities to be recovered; b) the timescales in which they are to be recovered; c) the recovery levels needed for each critical activity; d) the situation in which each plan can be utilized?
[이해관계자, 관계직원 비상연락망]
Does each plan contain or provide reference to the essential contact details for all stakeholders and participants (team members)?
[의사결정 담당자의 책임과 역할]
Are roles and responsibilities of people and teams having authority to make decisions during and following an crisis clearly documented in plans?
[예산집행자 역할과 책임]
Are roles and responsibilities of people and teams having authority to spend during and following an crisis documented in plans?
[다른 문서와의 관계]
Are relationships between plans and other documents within the organization clearly referenced along with the method of accessing this information (noting specific locations and document owners)?
[버전, 변경관리]
Has a system of version control been employed for all plans and other documentation ensuring that all parties are formally notified of any changes and up-to-date distribution records maintained?
[경영진 승인]
Have all Crisis Management Plans (CMPs) and specifically the purpose and scope been agreed and signed-off by top management
[위기대응/관리팀 존재여부]
Does your organization have an Crisis Management Team (CMT)?
[위기대응 관련내용 포함]
Does your organization's Crisis Management Plan (CMP) describe how the crisis response will be activated, operated, coordinated and communicated?
[유연성, 실행가능성, 조직 요구사항에 대한 적절성]
Is the Crisis Management Plan (CMP) compiled in a way that it is: a) flexible in order to cope with the widest range of incident/crisis types; b) feasible, in that it can be delivered using the organization's resources; c) relevant to the needs of the organization?
[이해용이성, 가독성]
Is the Crisis Management Plan (CMP) easy to read and understand?
[다루고 있는 이슈]
Does the Crisis Management Plan (CMP) provide the basis for managing all possible issues that may face your organization during a crisis, including stakeholder and external issues?
[경영진 지원]
Does the Crisis Management Plan (CMP) have support from top management?
[경영진 지원, 참여]
Does the Crisis Management Plan (CMP) have a specific senior/board sponsor from top management?
[예산 지원]
Is your Crisis Management Plan (CMP) supported by an appropriate budget for development, maintenance and training?
[구체성(체크리스트 존재여부)]
Does your organization's Crisis Management Plan (CMP) include task lists and action checklists?
[수행기준, 상황 설정]
Does the CMP contain a description of how, and under what circumstances, the organization will communicate with staff, their relatives, friends and emergency contacts?
[직원 비상연락망(가족, 친척)]
Is next-of-kin and emergency contact information for all personnel kept up-to-date and available for prompt use by your organization?
[직원 복지, 인명보호 등]
Does your organization's Crisis Management Plan (CMP) satisfy the interests of those whose welfare might be put at risk as a result of the incident/crisis, addressing the possible need for site evacuation, safety and first aid, accounting for people, and taking into account relevant social and cultural considerations?
[위기발생 시 직원 복지 이슈]
Does the CMP identify the person(s) who will discharge responsibility for welfare issues following an incident/crisis?
[외부 긴급서비스와의 연락/협조]
Has the organization identified senior staff with the appropriate levels of authority to liaise with the emergency services during and following an incident/crisis?
[직원 카운슬링, 정보공유]
Has your organization considered services to debrief and/or counsel staff after an incident/crisis (or exercise)?
[미디어 대응]
Does the CMP document your organization's planned media response?
[이해관계자와의 의사소통]
Does your Crisis Management Plan (CMP) include a process for identifying and prioritizing communications with other stakeholders?
[위기대응을 위한 집결(회의)장소 선정, 마련]
Has your organization established a robust, predetermined location from which an crisis and incident will be managed by the Crisis Management Team (CMT)?
[위기대응을 위한 집결(회의)장소 선정, 마련]
Has an alternative meeting point at a different location also been nominated to cater for the situation where access to the primary pre-determined location is denied?
[집결(회의)장소 관련]
At both the primary and alternative location, are appropriate resources accessible for use by the Crisis Management Team (CMT) so that they may initiate effective Crisis Management activities without delay?
[집결(회의)장소 관련]
Are both the Crisis Management locations fit-for-purpose and equipped with effective primary and secondary means of communication?
[집결(회의)장소관련]
Does each of the Crisis Management team locations contain facilities for accessing and sharing information and for monitoring the news media?
[자원 이동/배치관련 최신정보]
Does the Crisis Management Plan (CMP) include up-to-date contact and mobilization details for any relevant agencies, organizations and/or resources that might be required to support your organization's Crisis Management response?
[기록, 양식]
Does your organization's Crisis Management Plan (CMP) include logs and forms for use by the Crisis Management Team (CMT) to record information and decisions throughout the incident/crisis?
[문서화 절차 개발, 수행여부]
Have the individual(s) tasked with maintaining Crisis Management devised and implemented a process for maintaining all Crisis Management documentation?
[조직 규모와 복잡성에 적합여부]
Is your Crisis Management documentation appropriate to the size and complexity of your organization?