ISO 매뉴얼 만들기 – (5) 리스크와 기회

 

 

 

2015년판으로 개정되면서 리스크기반 사고(Risk-based thinking)라는 개념이 새로 도입되었다. 리스크기반 사고란 기존의 ‘예방조치’를 포함하는 개념으로 기획단계에서부터 조치의 실행, 검토 및 시정조치까지 품질경영시스템 전반에 걸쳐 고려되어야 한다는 의미이다.

 

다시 말하면, 품질경영시스템의 핵심 목적 중 하나는 ‘예방조치’이며, 리스크기반 사고는 이러한 예방조치를 효과적으로 달성하기 위한 수단이다. 리스크와 기회를 다루기 위한 이러한 조치는 품질경영시스템의 프로세스에 통합되어 실행되어야 하며, 실행 이후에는 그 효과성까지 평가되어야 한다(ISO 9001:2015, 6.1.2)

 

이렇듯 품질경영시스템 전반에 걸쳐 리스크기반 사고가 영향을 미치며 그와 관련된 문서화된 정보를 보유해야 한다고 규정하고 있지만, 리스크 관리를 위한 공식적인 방법 또는 문서화된 리스크 관리 프로세스에 대한 요구사항은 없다(ISO9001:2015, A.4). 따라서 각자의 조직에 맞는 방법을 개발해 적용하기만 한다면 방법론에 따른 가부(可否)를 말할 수는 없는 것이다.

 

그러나 현실적으로 일선 조직의 담당자 입장에서는 시간과 자원의 한계로 인해 일정한 가이던스가 절실히 필요할 것이다. 따라서 여기서는 ISO 31000 리스크 매니지먼트와 KOSHA guide 리스크관리 절차를 참고로 하여 설명하고자 한다.

 

1. 상황 설정(Establishing the Context)

리스크 평가 프로세스를 수립해야 한다. 평가도구와 평가기준, 담당부서, 리스크 관리의 목표, 평가범위 등을 설정한다. 리스크 관리를 위한 준비 절차라고 생각하면 된다. 일반적으로 FMEA (Failure Mode and Effects Analysis)툴을 이용하는 경우가 많다.

 

<리스크 평가표>

 

 

2. 리스크 식별(Risk identification)

조직상황(4.1)과 이해관계자의 니즈(4.2)를 참고하여 조직의 내외부이슈를 결정한 후 다루어야 할 필요성이 있는 리스크와 기회를 정한다(6.1.1). 방법론으로는 브레인스토밍이나 어골도 등 상황에 맞는 방법을 사용할 수 있으며, 위에서 언급된 이슈들을 바탕으로 발생가능한 리스크 및 기회의 포괄적인 목록을 작성하도록 한다.

 

3. 리스크 분석(Risk analysis)

작성된 리스크 목록을 바탕으로 리스크의 원인과 잠재영향을 파악하며, 관리가능한 리스크를 식별한다.

 

4. 리스크 평가(Risk evaluation)

발생가능성과 심각도를 기준으로 리스크 수준을 결정한다. 각각의 기준은 매트릭스 기법을 사용하여 작성한다. 발생가능성은 빈도를 고려하여 작성하면 되고, 심각도는 규제, 환경, 운영, 재정, 명성 등의 요소를 고려하여 작성토록 한다. 리스크 평가를 통해 리스크의 처리여부 및 이행순서를 결정할 수 있다.

 

<발생가능성 매트릭스>

<심각도 매트릭스>

 

<리스크 수준 매트릭스>

 

5. 리스크 처리(Risk Treatment)

 

리스크 처리방법에는 회피(Avoid), 감소(Reduce), 분배(Share), 유지(Retain)의 4가지 방법이 적용된다(ISO 31000:2009). 물론 조직의 상황에 따라 위 4가지 방법 외에 다른 합리적 방법이 있다면 적용해도 좋다.

 

1) 회피 (AVOID)

- 위험을 유발하는 비즈니스/ 제품을 재배치

- 위험한 고객 (세분화) 및 공급자 (선호 공급자 리스트) 관계 정리

- 신규 기술 도입 금지, 예. 휴대폰 기술

 

2) 감소 (REDUCE)

- 가능성을 감소시키기 위한 선행적 통제 도입 및 결과를 줄이기 위한 반응적 통제 도입

- 위험 분산을 위해 제품/고객의 다각화.

- 경영진 활동이 필요한 사항에 대한 기준 제한 수립( KRI: 핵심 위험 지표)

- 부주의로 발생하는 위험을 줄이기 위한, 위험 대응 훈련 및 교육 개선

 

3) 분배 (SHARE)

- 보험 가입; 예. 부동산과 시스템

- 공급자와 위험 분배, 예. 성과 계약

 

4) 유지 (RETAIN)

- 위험 획득/허용(상세한 평가 이후, 지속적인 ‘잔여 위험’ 모니터링)

- 자체 보험, 예. 위험의 손실을 대비한 재무적 준비금 마련

 

지금까지 설명한 리스크 관리의 전체 프로세스를 도표로 표현하면 다음과 같다.