. 이전 기사위험 식별을 위해 개발된 하향식(Top-down) 및 상향식(Bottom-up) 접근 방식에 대해 논의했습니다. 이 글에서는 대안적인 접근 방식을 제시합니다. 이 접근 방식은 프로세스 맵을 사용하여 위험을 식별한다는 점에서 상향식 접근 방식과 유사합니다. 그러나 프로세스 맵을 보는 방식과 위험 식별에 사용되는 방법론은 상당히 다릅니다.

운영 위험 노출

위험 노출은 특정 프로세스나 사건으로 인해 발생할 수 있는 미래 손실 가능성을 측정하는 것으로 정의됩니다. 노출은 활동 자체와 관련이 있는 반면, 위험은 해당 활동을 수행하는 동안 부정적인 사건이 발생할 확률입니다.

기업은 사업 운영 과정에서 운영 위험에 대한 노출을 증가시키는 다양한 활동을 수행하는 경향이 있습니다. 이러한 활동 중 일부는 다음과 같습니다.

• 기업들은 주요 유통 채널을 통해 제품을 시장에 출시할 수 있습니다. 따라서 기업들은 이러한 유통 채널에 크게 노출되어 있습니다. 이는 향후 운영상의 위험을 초래할 수 있습니다. 예를 들어, 유통업체가 스스로 사업을 중단할 수도 있고, 더 높은 마진을 얻을 수 있는 다른 회사의 유통을 시작할 수도 있습니다. 또한, 지정학적 사건이나 정부 규제로 인해 기업이 유통업체가 제공하는 서비스를 효과적으로 활용하지 못할 수도 있습니다.

• 회사는 매출의 대부분을 소수의 고객에게 의존할 수 있습니다. 이는 해당 고객에게 노출되는 기회를 제공합니다. 이러한 고객이 파산하거나 대체 공급업체를 찾을 가능성이 있습니다. 또한, 이러한 고객이 협상력을 활용하여 회사에 매우 낮은 가격을 제시하여 이익률에 부정적인 영향을 미칠 가능성도 있습니다.

• 많은 경우, 기업들은 일부 공급업체 및 주요 제3자의 서비스에 의존합니다. 이러한 경우에도 기업은 유사한 어려움에 직면합니다. 공급업체가 당사에 적시에 공급하지 못할 수도 있고, 가격을 인상하여 회사의 이익 마진에 차질을 빚을 수도 있습니다.

• 기업들은 일부 중요한 IT 시스템에 노출될 수도 있습니다. 이러한 IT 시스템을 통해 제공되는 정보 흐름이 사업의 주요 동력이 될 수 있습니다. 이러한 시스템 공급업체가 지원을 중단할 경우, 기업은 신제품으로 전환하는 데 많은 비용과 시간이 소요될 수 있습니다.

• 또한, 규제와 관련된 운영상의 위험도 항상 존재합니다. 중국과 거래하는 미국 기업들은 최근 효율적이고 최적화된 사업 모델이 자신들의 잘못 없이 완전히 붕괴되거나 뿌리째 흔들릴 수 있다는 사실을 알게 되었습니다. 기업의 사업 이익에 부정적인 영향을 미칠 새로운 규제 체계가 만들어질 위험은 항상 존재합니다.

운영 위험 노출을 위험 매트릭스에 매핑하려고 하면, 영향도가 높고 발생 가능성이 낮은 영역에 매핑될 것입니다. 즉, 위에서 언급한 사건들이 발생할 확률은 매우 낮다는 것을 의미합니다. 하지만 만약 발생한다면 그 영향은 상당할 것입니다.

운영 취약성

반면 운영 취약점은 영향이 적고 빈도가 높은 사건입니다. 이러한 사건은 발생 가능성이 훨씬 높고 기업의 일상 생활에서 지속적으로 발생하기도 합니다. 하지만 재정적 영향은 그다지 크지 않습니다. 운영 취약점은 종종 모든 비즈니스 프로세스에서 가장 약한 고리로 정의됩니다.

회사의 일상 업무 프로세스의 결함이나 단점은 운영적 취약성이라고 합니다.예를 들어, 어떤 회사가 결함 있는 제품을 생산하거나 잘못된 고객에게 잘못된 제품을 배송할 가능성이 매우 높습니다. 이러한 상황이 발생하면 회사는 신속하게 제품을 교체하고 고객에게 올바른 주문을 제공할 수 있습니다. 심지어 고객 만족을 위해 무료 혜택을 제공할 수도 있습니다. 따라서 비용이 절감될 것입니다. 하지만 이러한 상황은 일부 회사에서는 매우 자주 발생합니다.

회사의 정보 시스템이 데이터 부하가 높아 다운될 가능성은 항상 존재합니다. 정보 시스템 결함으로 인해 몇 시간 또는 며칠 동안 운영이 중단되는 경우도 드물지 않습니다. 이러한 중단으로 인한 재정적 영향은 비교적 적지만, 더 자주 발생하는 경향이 있습니다.

무능한 인력 또한 사업 운영에 있어 위험 요소입니다. 경험이 부족한 인력을 정기적으로 고용하여 교육하는 기업들이 있습니다. 이러한 경우, 경험이 부족한 인력이 서비스를 제공함으로써 회사 서비스 수준이 저하될 가능성이 매우 높습니다. 이는 장기적으로 회사에 손실을 초래할 수 있는 또 다른 중요한 운영상의 취약점입니다. 각 회사에는 소수의 인력이 적절한 위험 관리 프로토콜을 준수하지 않고 무분별하게 운영되는 사일로(silo)가 존재할 가능성이 매우 높습니다.

운영 리스크 관리의 목표는 노출과 취약성을 철저히 평가하는 것입니다. 일단 노출과 취약성이 파악되면, 그 노출을 최소화하는 것이 목표입니다. 노출을 완전히 없앨 수는 없다는 점을 인지하는 것이 중요합니다. 하지만 동시에 취약성을 제거하는 것도 중요합니다. 다국적 기업들은 프로세스가 6시그마 기준을 준수하고 운영상의 취약성을 완전히 제거하기 위해 많은 시간과 비용을 투자합니다.