Offcanvas

CIO / CSO / How To / 보안

기고 | 위험 선호도·위험 감내도·위험 임계값 이해하기

2021.02.08 레이첼 쿠란  |  CIO
위험 전문가로 일하면서 다양한 조직들을 만났다. 그간의 경험에서 깨달은 분명한 사실이 하나 있다. ‘위험’이 현명한 의사결정을 이끌어내는 데 활용될 수 있는 기회로 간주되는 경우가 있는가 하면, 반드시 피해야 할 발전을 가로막는 큰 장애물로 간주되는 경우도 있다는 것이다. 

위험 관리에 대해 이해하면, 기술 부서를 미래로 이끌고 진보적인 속도로 발전시키는 데 이용할 수 있다. 

선호도(Appetite)와 감내도(Tolerance), 임계값(Threshold)의 의미
위험을 기회삼아 효과적으로 의사결정을 내리기 위해서는 위험 선호도, 감내도, 임계값의 차이를 이해하는 것이 아주 중요하다. 이 3가지 요소 각각에 대해 기준이 필요하다. 기술 부서가 이해를 할 경우 효과적으로 의사결정을 내리고, 자원을 극대화하고, 과감히 발전을 이룰 수 있다. 

위험 선호도
위험 선호도는 기업의 목표 달성을 위해 위험을 감수하려는 조직의 전반적인 태도나 의지를 의미한다. 일반적으로는 (예를 들어) 매출을 10% 증대시키거나, 고객 기반을 10% 확대시키기 위해 기업이 수용할 의지가 있는 위험의 정도를 의미한다. 

위험 선호도는 2가지 중요한 이유에서 중요하다. 

1. 현재 대부분 기업은 조직에서 도입해 적용하고 있는 위험 관리 체계, 기업이 직면한 위험과 관련된 생각 및 고려사항들을 규제기관에 보여줘야 한다.

2. 경영진 수준에서 조직의 위험 선호도를 명확히 규정해야 한다. 그러면 전사적으로, 그리고 실제 기술 부서 내에서 의사결정자들이 특정 상황에 감수해야 할 위험의 정도에 대해 결정을 내릴 수 있다.

기업이 수용할 의지가 있는 위험의 정도를 이해하면, CIO는 핵심 전략 이니셔티브, 새로운 기술 위험에 대한 노출, 자원이 한정되어 있을 때의 우선순위에 대해 결정을 내릴 수 있다. 

위험 감내도 
위험 선호도가 위험을 수용하려는 의지라면, 위험 감내도는 기업이 견딜 수 있는 최대 위험이다.  위험 선호도는 조직이 한 기업으로 감수하는 위험에 대한 태도, 선호도이다. 반면 위험 감내도는 맬웨어나 데이터 무단 액세스 등으로 인한 비즈니스 방해 등 특정 위험, 이 부분에서 수용할 수 있다고 판단되는 위험의 정도에 대한 것이다. 

CIO 입장에서 해석하면, 조직의 위험 선호도가 중간 정도이고, 의사결정으로 경쟁자를 앞설 수 있다는 점을 감안해 위험을 기꺼이 감수할 수 있는 경우에도 평판과 관련된 위험 분야에서는 위험 감내도가 낮을 수도 있다. 이것이 기업의 근간이 될 수 있기 때문이다. 

따라서 평판 관련 위험 감내도가 낮은 경우라면, 평판 위험을 높이는 기술 관련 계획이나 새로운 기술 위험 노출은 다시 고려할 필요가 있다. 최소한 CIO는 조직의 전폭적인 지원을 받기 위해, 위험을 줄일 추가 통제책에 대해 생각해야 한다. 

위험 임계값
위험 임계값은 위험을 수용할 수 없게 되는 특정 지점이다. 

위험이 감내할 수 있는 정도를 벗어날 때 선택지는 2가지 밖에 없다. 기술 리소스를 적용해 위험을 수용할 수 있는 수준으로 경감하거나, 조직의 운영 위험 관리 프로세스를 통해 위험을 공식적으로 수용하는 것이다. 이 부분이 중요하다. 

CIO(그리고 기술 부서 전원)가 수용할 수 있는 위험의 정도, 즉 임계점에 대해 더 많이 알수록, 이런 이해가 모든 기술 기반 이니셔티브에 대한 의사결정에 더 많이 반영될 수 있다. 

CIO와 기술 리더들은 적합한 질문을 묻고, 이런 기술 관리 프레임워크를 이용해 비즈니스 측면에서 기술 위험의 의미를 이해해야 한다. 그러면 기업의 위험 선호도, 위험 감내도에 대한 이해를 바탕으로 리소스와 시간, 노력을 적용할 부분에 대해 좋은 결정을 내릴 수 있다. 

위험 관리 체계를 통해 떠들썩할 지라도 실제 기업에 큰 위험을 초래하지 않는 문제들을 선별할 수 있다. 이들은 감내할 수 있는 위험이며, 따라서 경감이 요구되지 않는다. 아울러 CIO들은 위험 전략을 더 효과적으로 활용해 주요 비즈니스 이해관계자들이 이해하는 ‘언어’로 기술 부서 내에서 우려되는 주요 분야를 명확히 규정해 설명할 수 있다.

예를 들어, 구형 자산에 내재된 현재 위험, 이것이 비즈니스 위험에 미치는 영향을 명확하게 설명, 비즈니스 이해관계자들과의 대화를 건설적으로 주도해 기업이 직면한 기술 위험을 해결할 수 있다.
 
* 레이첼 쿠란은 기술 위험 관리 분야 전략가이자 컨설턴트다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.