- 이해당사자의 ‘이해’ 보호 명심해야
 |
||
| 최영석 BSI매니지먼트시스템즈코리아 선임심사원 | ||
< 재난포커스 - www.di-focus.com >
BS 25999에서는 비즈니스 연속성 관리 체계를 구축하고 운영키 위한 라이프 사이클을 정의하고 있다. 각 라이프 사이클을 간단하게 설명하면 다음과 같다.
BCM 프로그램 관리
프로그램 관리는 BCM 프로세스에 대한 운영 주체를 다루고 있다. 효과적으로 BCM 체계를 관리키 위해 조직 측면에서 필요한 사항을 정의하고 있다. 프로그램 관리는 책임 할당, 조직 내에서의 비즈니스 연속성 구축, 비즈니스 연속성의 지속적 관리를 포함한다.
조직의 이해
 |
||
|
BS 25999 라이프 사이클 |
||
BCM 전략의 결정
조직의 이해단계를 통해 파악한 결과를 기반으로 비즈니스 목적을 달성할 수 있는 적절한 연속성 전략을 선택하게 된다. 결정된 전략은 사람, 영역, 기술, 정보, 공급업체, 이해관계자(stake holders)를 포함하게 된다.
BCM 대응의 개발·구현
비즈니스 연속성 전략이 결정되면 이를 구현하게 되는 단계이다. 제품과 서비스 제공에 필요한 핵심 활동에 대한 연속성 보장과 인시던트 관리를 보장키 위한 적절한 계획과 준비 사항을 개발하고 이행한다. 업무중단에 대응하고 복구키 위한 인시던트 대응 체계의 개발(예:인시던트 관리팀 구성, 미디어 관리 방안 등), 인시던트 관리 계획(Incident Management Plan), 비즈니스 연속성 계획(Business Continuity Plan) 작성
훈련, 유지관리·검토
훈련 및 검토 활동을 통해 BCM 준비가 유효한 지와 적절히 업데이트 됐는지를 검증한다. 인시던트 관리 계획과 비즈니스 연속성 계획의 훈련을 통해 BCM 적격성 및 능력을 증명할 수 있는 증거를 확인하고 BCM 전략을 위해 투자된 시간과 자원이 적절한 지를 검증할 수 있다. 훈련을 통해 다음과 같은 효과를 기대할 수 있다. 인시던트로부터 복구할 수 있는 조직의 능력 훈련, 모든 핵심 활동, 핵심 활동의 의존항목(dependencies) 및 우선순위들이 비즈니스 연속성 계획에 반영됐는지 검증, 시나리오에 대한 의문점 검증
조직문화에의 BCM 내재화
조직의 내부에 BCM 문화를 내재화한다. 성공적인 비즈니스 연속성 구현을 위해서는 비즈니스 연속성이 조직운영방식의 일부가 돼야 한다. 이를 위해 모든 직원들을 대상으로 BCM 인식 제고 교육을 시행해 BCM이 조직에 중요하다는 점을 전 직원에게 이해시킨다.
‘조직의 이해’에 대한 집중 고찰
비즈니스연속성 관련 전문가나 업무 담당자들은 기존에 존재하는 다양한 비즈니스연속성 관련 자료들을 통해 비즈니스영향분석이라든지 위험평가를 포함하는 BCM 개념을 이미 접해 왔다. 그러나 BS 25999를 통해 발표된 BCM의 라이프 사이클은 기존의 BCM 개념에 비해 구분되고 진일보한 방법론을 제시하고 있는 데 이 중 가장 특징적인 부분이 바로 ‘조직의 이해(Understanding the organization)’이다. BS 25999 라이프 사이클 중 ‘조직의 이해’ 부분을 정확하게 이해하는 것은 BS 25999 표준을 받아들이는 데 가장 중요하고 핵심적인 기반이 된다고 하겠다. 그래서 이번 연재에서는 BCM 라이프 사이클 중 ‘조직의 이해’ 부분을 집중적으로 설명해보겠다. ‘조직의 이해’는 12개 정도의 세부 절차로 구성돼 있다.
 |
||
|
‘조직의 이해’ 세부 절차 |
||
‘중요’ 제품·서비스 식별
기관이나 기업(이하 조직)의 비즈니스 특성(Business nature)에 따라 제품 및 서비스(Product and service)가 분명히 정의된다. 조직은 제품과 서비스를 고객이나 서비스 사용자, 제품 인도자 및 기타 이해당사자에게 제공하게 된다. 제조업체의 경우 ‘제품’, 보험회사는 ‘보험상품’, 공공기관은 ‘대국민서비스’ 또는 법에서 정한 ‘기능’ 등이 제품과 서비스에 해당된다. BS 25999에서는 BCM의 범위에 제품과 서비스가 무엇인지를 명확하게 정의토록 요구하고 있다.
만약 조직이 ‘모든’ 제품과 서비스를 BCM의 범위에 포함시키는 것이 조직이 얻고자 하는 BCM 이득 측면에서 무리가 있다고 판단하는 경우에는 이에 대한 ‘선택과 집중’을 허용하고 있다. 조직의 제품과 서비스들 중에서 중단될 경우 고객과 이해당사자에게 가장 많은 영향을 주는 즉 그들의 제품과 서비스에 주목할 만한 피해를 주거나 불만을 유발할 수 있는 것들을 BCM의 대상으로 선정하는 것이다. 이것이 바로 BS 25999에서 주로 다루고 있는 ‘중요 제품 및 서비스(Key product and service)’이다.
중요 제품·서비스 지원 ‘업무 활동’의 식별
‘중요 제품 및 서비스’가 정해졌다면 다음 단계는 이를 가능하게 하는 우리 조직 내부의 업무 활동(activities)들을 정의하는 것이다. BS 25999에서는 업무 활동을 하나의 프로세스 또는 여러 개의 프로세스라고 정의하고 있다. 일반적으로 조직 내에서는 하나의 제품이나 서비스를 고객이나 공공에 제공키 위한 ‘내부 프로세스’나 ‘기능(function)’ 또는 ‘팀’을 갖추고 있다. 조직의 규모에 따라 파악되는 ‘업무 활동들의 수’는 작게는 10여개 많게는 200~300개까지 분류되는 것으로 알려져 있다.
업무활동 ‘중단’이 미치는 ‘영향’ 식별
중요 제품 및 서비스를 지원하는 업무활동들이 파악됐다면 다음 단계는 개별 업무활동이 ‘중단’됐을 경우의 ‘영향’을 평가하는 일이다. 여기서의 ‘중단’은 ‘어떤 사건’들에 의해 중단 됐는지를 판단하는 것이 아니라 어떤 사건이든 간에 ‘결과적으로’ 중단이 발생했을 경우 우리조직과 앞서 전제한 ‘중요 제품 및 서비스’에 어떤 부정적인 영향을 미치는지를 파악하는 것이다. 영향 평가에는 제품 공급 실패의 비용 같은 재무적인 영향과 이미지 손상 같은 비재무적인 영향이 모두 고려된다. 업무활동 중단의 영향을 평가할 때는 ‘중단 시간의 크기’ 즉 ‘중단 기간’으로 나눠서 평가를 해야 한다. ‘한 시간’의 업무활동 중단의 영향과 ‘하루’, ‘일주일’ 또는 ‘일개월’의 업무활동 중단의 영향은 완전히 그 결과가 다르기 때문이다.
개별업무활동의 ‘최대 중단 허용시간’ 결정
영향을 평가한 이후에는 업무활동 별 ‘최대 중단 허용시간(MTPoD: Maximum Tolerable Period of Disruption)’을 결정하게 된다. 중단 기간에 따른 영향을 평가할 때 업무활동에 미치는 중단의 영향이 심각해지는 시점이 바로 최대 중단 허용시간이다. 업무활동 별로 최대 중단 허용 시간을 결정하는 경우 추가적으로 다음 2가지 사항을 고려해야 한다.
첫 번째 업무활동이 긴급하게 재개되는 경우 일상적인 제품 및 서비스 제공 수준 대비 저하되는 정도(예:평상시 월 100만개 납품시 재해 발생 후 긴급 복구 시는 월 70만개 납품) 두 번째 저하된 수준이 일상적인 수준으로 상승하는 데까지 걸리는 기간(예:월 70만개 납품 이후 월 100만개로 정상화되는 데 걸리는 기간) 여기서 최대 중단 허용시간(MTPoD: Maximum Tolerable Period of Disruption)이란 조직의 생존 능력을 되돌릴 수 없을 정도로 위협을 받게 되는 제품이나 서비스 제공의 중단 기간(BS 25999-2:2007 2.27)을 뜻한다.
복구우선순위 따른 ‘핵심 업무활동’ 선정
업무활동의 영향과 최대 중단 허용시간을 바탕으로 업무활동들의 우선순위를 결정하게 된다. 우선순위 선정의 목적은 파악한 업무활동들을 ‘줄 세우기’ 위한 목적이다. 모든 업무활동들에 대해서 복구키 위한 대비책을 세우는 것이 이상적이지만 업무활동들이 많은 경우 모든 업무활동들의 재가동 계획과 자원을 확보한다는 것은 BCM 도입의 목적과 이득을 상회할 수 있다.
BS 25999에서는 중요 제품 및 서비스를 지원하는 업무활동들 중에서 중단에 따른 영향이 크고 빠른 시일 내에 복구해야 하는 업무활동들을 추려내서 이를 ‘핵심 업무활동(critical activities)’으로 정의하고 있다. 핵심 업무활동은 ‘우리 조직 내의 입장’에서 중요한 업무활동을 의미하는 것이 아니라 ‘고객’을 포함한 ‘이해당사자의 입장’에서 봤을 때 중요한 업무활동이다. 예를 들면 고객과의 접촉이 빈번하게 일어나는 서비스 센터와 파트너 회사나 부품 공급업체와의 비용 처리 담당 부서가 이해당사자의 입장에서는 핵심 업무활동으로 간주될 수도 있다는 의미다.
핵심 업무활동의 ‘의존항목’ 식별
 |
||
|
BSI의 거북 다이어그램 프로세스 |
||
하나의 업무활동 즉 프로세스가 실행되기 위해서 의존하고 있는 모든 항목들이 ‘의존항목’으로 선정될 수 있다. BS 25999에서는 이러한 의존항목의 목록에 협력업체(supplier)를 포함하는 ‘외부 조직(3rd party)’이라는 중요한 의존항목을 추가했다. 하나의 핵심 업무활동이 ‘우리 조직’이 아닌 ‘외부 조직’에 의존하고 있는 경우 우리 조직의 문제가 아닌 순수하게 외부 조직 스스로의 문제에 의해서도 우리의 핵심 업무활동이 중단될 수 있다는 경험을 고려한 것이다.
외부조직의 ‘업무연속성 수준’ 식별
핵심 업무활동에 대한 의존항목 중 외부조직이 존재하는 경우 해당 외부조직의 비즈니스 연속성 수준을 파악해야 한다. 핵심 업무활동이 외부 조직에 대한 의존도가 높을수록 외부조직의 비즈니스 연속성 수준은 우리 핵심 업무활동의 중단에 직접적인 타격을 입힐 수 있다. 만약 외부조직의 비즈니스 연속성 수준이 우리 핵심 업무활동의 ‘최대 중단 허용시간’을 초과한다면 우리 조직 스스로가 애써 마련해 놓은 핵심 업무활동의 노력들은 허사로 돌아갈 수 밖에 없다.
우리가 흔히 알고 있는 공급망(supply chain)에 대한 이슈가 바로 이 항목과 직접적으로 연계돼 있다. 협력관계에 있거나 향후 협력관계를 가질 외부조직에게는 비즈니스 연속성에 대한 수준을 반드시 확인해야 하며 이들 외부조직이 우리 조직의 ‘특정 핵심 업무활동’에 종사하게 된다면 해당 핵심 업무활동의 ‘최대 중단 허용시간’을 외부조직에게 알려줘야 한다. 만약 외부조직의 비즈니스 연속성 수준이 우리 핵심 업무활동의 최대 중단 허용시간을 수용치 못한다면 우리 조직은 비즈니스 연속성상의 중요한 위험을 안고 가게 되는 것이다. 이것은 위험관리로 해결할 수밖에 없다.
핵심 업무활동의 복구 목표시간 식별
핵심 업무활동의 의존항목을 식별했고 또 그 중 외부조직의 비즈니스 연속성 수준도 확인했다면 이제 핵심 업무활동에 대한 복구 목표 시간(Recovery time objective)을 결정할 차례다. 핵심 업무활동의 ‘최대 중단 허용시간’이 ‘24시간’이라고 가정하고 외부조직의 비즈니스 연속성 수준이 ‘20시간’을 보장하고 있다고 확인된다면 우리는 복구 목표시간을 ‘20시간에서 24시간 사이’에 설정할 수 있다. ‘최대 중단 허용시간’과 ‘복구목표시간’을 혼동해 사용하고 있는 경우를 많이 발견할 수 있는 데 위의 논리적인 전개를 충분히 이해한다면 그런 혼동은 더 이상 발생치 않게 된다. 결론적으로 복구 목표시간은 최대 중단 허용시간을 초과할 수 없다.
핵심 업무활동재개 위한 자원산정
핵심 업무활동의 복구목표시간이 결정되게 되면 이에 따른 자원을 산정해야 한다. 복구목표시간이 짧아질수록 요구되는 자원이 많아질 것이라는 것은 충분히 예측할 수 있는 사항이다. 예를 들어 ‘고객대응’을 담당하는 서비스센터가 핵심 업무활동으로 선정됐고 복구목표시간이 6시간 이내로 결정됐다면 필요한 자원은 무엇일까? 이 경우 서비스센터와 동일한 기능과 역할을 하는 ‘대체 서비스센터’가 상시 준비돼야만 복구목표시간을 달성할 수 있다는 것을 예측할 수 있다. 결국 필요한 자원은 대체 서비스센터를 ‘상시 준비’하는 데 필요한 모든 자원이 될 것이다. 일반적으로 비상시의 용도로 대체 서비스센터를 상시 준비하는 것은 비용 측면에서 수용키 어려운 경우가 대부분이므로 회사 내의 다른 서비스센터를 활용하거나 타회사의 서비스 센터를 통해 활용하는 방안을 찾게 된다.
위험평가방법의 정의
비즈니스영향분석을 통해 핵심업무가 선정됐으므로 이제 위험평가를 시작해야 한다. 위험평가를 시행하기 앞서 위험평가의 방법을 결정해야 한다. 위험평가는 금융, 환경/안전, 정보보안 등의 여러 분야에서 두루 사용하고 있는 공통적인 방법론 중의 하나다. 비즈니스 연속성 분야에 있어 위험평가도 방법론 상으로는 유사한 위험평가 방법을 사용하게 된다.
 |
||
|
위험평가 및 위험관리 활동들 |
||
따라서 현실적이고 심층적인 핵심 업무활동의 분석과 핵심 업무활동이 처해 있는 환경들을 잘 이해하는 것이 실질적인 위험과 위험 조치 방안을 도출하는 유일한 방법이다. 복잡한 위험평가방법은 방법론 자체에 몰입하게 돼 알맹이가 없어질 가능성이 크므로 쉽고 간단하지만 현실을 잘 반영할 수 있는 위험평가방법을 선택하는 것이 위험평가 분야의 잘 알려진 베스트 프랙티스이다.
핵심 업무활동에 대한 위협의 ‘피해’ 식별
핵심 업무활동이 수행되는 지리적인 위치에 따라 핵심 업무활동은 자연재해, 화재, 테러, 시위 및 위험시설 폭발 등의 위협에 직면하게 된다. 이 단계에서는 개별 위협들이 ‘현실화’되는 경우 이들이 핵심 업무활동에 미치는 영향(impact)를 평가하게 된다. ‘조직의 이해’ 초반에 수행되는 업무활동의 중단 영향을 평가하는 것과는 구분된다. 현실화된 위협은 ‘전체’ 핵심 업무활동의 중단을 초래할 수도 있고 ‘일부’ 핵심 업무활동의 중단을 초래할 수도 있으며 또는 핵심 업무활동의 중단까지는 이르지 못하게 할 수 있다. <표1>
 |
||
|
<표1> 위협의 평가 예 |
||
핵심 업무활동의 위험 줄이기 위한 통제결정
위협은 핵심 업무활동의 취약점을 통해 현실화될 수 있다. 현실화될 수 있는 잠재적인 위협을 ‘위험’이라고 부른다. 핵심 업무활동에 대한 ‘위험의 크기’는 ‘위협’과 핵심 업무활동의 ‘취약점’의 크기와 비례하게 된다. 핵심 업무활동의 ‘위험’을 줄이기 위해서는 ‘위협’의 발생 가능성을 줄이거나 또는 핵심 업무활동의 ‘취약점’을 보완해서 중단의 기간과 영향을 줄여야 한다. 이와 같은 통제의 선택을 ‘손실 감소(loss mitigation)’ 전략이라고 한다. 그러나 특정 위험이 핵심 업무활동의 중단을 초래할 수 있음에도 불구하고 위협의 발생 가능성을 낮추거나 ‘취약점’을 보완할 수 없다고 판단한다면 위험 통제의 하나로 최대중단허용시간 내에 핵심 업무활동을 재개할 수 있는 ‘비즈니스 연속성’을 선택해야 한다.
만약 핵심 업무활동의 비즈니스 연속성 계획을 구현하는 것이 기술적으로 또는 비용적으로 수용키 어렵다고 한다면 해당 위험에 대한 아무런 조치를 취하지 않는 ‘무 대응(do nothing)’ 또는 ‘수용(acceptance)’ 전략을 선택할 수 있다. 위험이 높은 핵심 업무활동은 외부 전문조직에 이관할 수가 있다. 또 위험으로 인한 피해를 보험으로 처리할 수 있다. 이러한 전략을 위험의 전가(transfer)라고 부른다. 보험의 경우 특정 사고나 이미지 손상들에 대해서는 그 피해를 모두 보상받지 못할 가능성이 있으므로 가능하면 다른 위험 통제 전략들과 상호 조합으로 사용하는 것이 바람직하다.
이해당사자 이해관계 파악의 중요성
BCM 라이프사이클 중 특히 ‘조직의 이해’ 부분을 성공적으로 실행키 위해서는 우리 조직을 둘러싼 ‘이해당사자의 이해 관계(interest)’를 우선적으로 파악하는 것이 중요하다. 우리 조직과 제품과 서비스를 주고 받거나 또는 지켜보고 있는 이해당사자들은 우리 조직에게 어떤 것을 요구하고 있을까? ‘평상시’의 요구사항과 우리 조직이 ‘중대한 위기’에 직면했을 때의 요구사항이 동일할까? 아니면 우리의 위기 상황을 잘 이해해서 고맙게도 우리 상황이 끝날 때까지 기다려주거나 또는 우리가 위기상황에서 수용할 수 있는 요구사항으로 알아서 변경해줄까? 기본적으로 ‘고객’과 같은 이해당사자들은 우리 조직 내부 속사정을 모르며 또 알려고 하지 않는 경우가 많다.
 |
||
| 이해당사자 파악을 위한 STEEPLE(Social, Technological, Economic, Ethical, Political, Legal, Environmental) analysis | ||
만약 재해 발생 도중에 이러한 이해당사자들과의 소통에 실패한다면 이해당사자들은 우리 조직에 대해 불만이나 비난을 퍼붓게 된다. 결국 ‘조직의 이해’ 단계를 통해서 이끌어내야 하는 ‘핵심 활동’들에는 이해당사자의 입장에서 중요한 활동들이 반드시 포함돼야 하며 재해가 발생한 상황에서는 이해당사자와의 소통 전략이 면밀하게 수립돼 있어야 한다. 내부 직원과 협력회사도 중요한 이해당사자에 포함된다는 점을 감안하면 안정적인 현금 흐름을 보장하는 업무활동도 하나의 ‘핵심업무활동’에 포함될 수 있다. 비즈니스 연속성의 근본적인 목적 중의 하나가 이해당사자의 ‘이해’를 보호하는 것이라는 점을 다시 한번 명심할 필요가 있다.
최영석 선임심사원
