모든 조직은 IT(Information Technology)를 활용하고 있다. 조직 목표를 달성하는데 IT경영이 핵심 수단이 되어 있다. IT경영을 위한 기법으로 다양한 방법론 및 프레임워크 등이 개발되어 적용되고 있다. 프로젝트 관리에는 PMBOK, SW개발은 CMM, IT서비스관리는 ITIL, SW 테스팅에는 TMMi, 시스템 관리의 BCP, 내부 통제에서는 COSO 프레임워크, 안정적인 IT서비스를 제공하기 위한 SLA 등이 있다.
* PMBOK(Project Management Body of Knowledge), CMM(Capability Maturity Model), ITIL(Information Technology Library), TMMi(Test Maturity Model Integration), BCP(Business Continuity Planning), COSO(Committee of Sponsoring Organization of the Treadway Commission), SLA(Service Level Agreement).
위 방법론 및 프레임워크에 공통으로 포함되어 있는 영역은 리스크 관리이다. 이는 어떻게 보면 당연하다고 할 수 있을 것이다. 리스크 관리없이 원래의 목표를 달성할 수 없기 때문이다. 대규모 프로젝트에서 도입하고 있는 PMO(Project Management Office, 프로젝트 관리 조직)의 핵심 활동은 리스크 관리이다.
리스크의 뜻
리스크는 위험이라고 번역한다. 위험의 어감은 ‘danger’에 가깝다. 하지만, 리스크는 나쁜 상황 그 자체를 의미하지는 않는다. 나쁜 상황이 발생할 확률을 알고 있는 경우와 알지 못하는 경우가 있다. 확률을 알고 있다면 리스크이다. 확률을 모른다면 이는 불확실성(uncertainty)이다. 경영 활동에서는 리스크보다 불확실성이 문제가 된다. 확률을 알 수 있다면, 사전에 대비책을 세울 수 있기 때문이다.
리스크는 문제(problem)와 비교된다. 문제는 원하는 상태를 달성하지 못하게 된 상황을 뜻한다. 문제가 이미 발생하여 관리해야 되는 대상이라면, 리스크는 아직 발생하지 않았지만, 발생하면 문제가 될 수 있는 상황 또는 사건을 의미한다. 리스크 관리에서는 리스크가 발생할 가능성과, 발생했을 때 영향의 범위와 크기가 중요하다.
이슈(issue)는 문제의 원인이 될 수 있는 사건 또는 상황을 의미한다. 이슈는 잘 해결하지 못하면 문제로 발전한다. 이슈가 문제로 될 수 있다고 판단되면, 이는 리스크관리의 대상이 된다. 예를 들어 보자. 환율의 변동이 심할 것으로 예상된다면 이는 환리스크가 크다고 이야기한다. 이런 경우 환율 변동이 이슈가 된다. 실제로 환율이 상승하여 피해가 발생하게 되면 이는 문제라고 부른다.
기업은 이슈를 파악해서, 리스크를 측정하고 사전에 대비책을 준비하여 문제를 해결할 수 있어야 한다. 모든 리스크가 문제로 되는 것은 아니다. 리스크를 파악하고 측정하는 이유는 문제로 발전하기 전에 준비해야만 피해를 최소화할 수 있기 때문이다. 이러한 상황은 IT경영에서도 마찬가지이다.
리스크 관리 프레임워크
1) 리스크 체계
거의 대부분의 리스크 관리는 발생가능성(likelihood)과 영향도(Impact)를 기준으로 평가하고 있다. 이를 표로 도식화하면 다음과 같다.
위와 같이 리스크를 파악한 후 해당 기업/기관이 감내할 수 있는 Risk Tolerance(리스크 허용 수준)의 밑으로 리스크를 줄이기 위한 노력을 해야 한다. 이를 위해 적정한 Risk Tolerance의 선정이 이루어져야 하고, 이는 해당분야의 전문가를 통하여 선정하는 것이 일반적이다.
2) 리스크 관리 대응 방법
리스크가 식별되었다면 이에 대응해야 하는 방법이 존재해야 한다. 대부분 리스크 대응을 위한 대응 방법은 크게 4가지이다.
3) 리스크 관리 프로세스
일반적으로 리스크와 관련된 프로세스가 타 방법론과 다른 큰 특징은 반복해서 수행된다는 것이다. 프로젝트이든 관리이든 정해진 목표가 달성되기 전까지 리스크 관리는 계속 반복되어야 하기 때문이다. 리스크에 대한 대응은 위에 언급했던 바와 같이 완화, 회피, 전가, 수용 4가지로 분류될 수 있다.
위와 같이 리스크 관리에 있어 공통적으로 적용되는 기본적인 개념에 대해 알아보았다. 구체적인 어떻게 활용되는지 적용사례 몇 가지를 간단히 살펴보고자 한다.
사례 1. 프로젝트 관리 분야의 리스크 관리 방법
프로젝트 관리 분야에서 가장 많이 쓰이는 관리방법은 PMBOK(www.pmi.org)이라 할 수 있다. PMBOK에서는 리스크 관리를 아래와 같은 프로세스로 관리하고 있다.
위에 언급한 프로젝트 관리기법과 다른 것은 위험 분석을 정량적 분석과 정성적 분석으로 프로세스를 분리해서 관리하고 있다는 것이다. 그 이외의 내용은 위에 언급한 리스크 관리기법의 내용과 크게 다르지 않다.
사례 2. SW 테스팅 중 리스크 기반 테스트 기법
리스크를 정량적으로 판단하여 우선순위가 높은 부분에 주어진 테스팅 자원을 집중적으로 투자하는 테스팅 전략을 리스크 기반 테스트 기법(Risk-based Test)이라 한다. 이 테스팅 기법은 한정된 자원과 시간의 한계를 극복하기 위해 최단시간 내 최대의 효과를 보기 위해 수행하는 기법이다.
테스트를 수행해야 하는 대상을 리스크 관점에서 4가지로 분류하여 SW제품의 전략에 따라 테스트의 방법을 달리 할 수 있다.
Low Level Test 기법은 개발테스트 관점으로, 기술적 리스크를 중점적으로 다루며, 구조기반(Structure-Based)의 테스트 기법에 주로 사용된다. High Level Test 기법은 인수테스트 관점으로, 사업적 리스크를 중점적으로 다루며, 명세기반(Specification-Based)을 주로 사용하는 테스트 기법이다.
위에서 살펴본 것처럼 리스크를 바라보는 관점과 대응방법에 대한 기본적인 골격을 이해한 후 각각의 세부 분야에 적용한다면, 좀 더 세밀하고 체계적인 관리기법을 도출할 수 있을 것으로 기대할 수 있다.