위험 평가란? 위험 평가는 비즈니스 또는 조직에 대한 유해성과 위험을 식별, 분석, 평가 및 통제하는 체계적인 프로세스입니다. 위험 데모
위험 관리 - GRC 위험 평가란?
위험 평가에 대해 알아야 할 사항
위험 평가의 목표 위험 평가가 수행되는 방식 위험 평가의 기본 유형 위험 평가 차트란? 위험 평가를 수행하는 이유 조직에서 위험 평가를 수행해야 하는 경우 평가를 검토하고 모니터링하는 것이 중요한 이유 ServiceNow를 통한 위험 평가

비즈니스 운영에 내재된 위험으로 인해 위험 평가의 중요성이 점점 커지고 있습니다. 이러한 위험에는 사이버 공격의 증가나 자연 재해와 같은 주요한 유해성도 포함되지만 직원 갈등이나 스트레스와 같은 문제도 포함될 수 있습니다. 위험 평가의 목표는 비즈니스 운영 능력에 영향을 미칠 수 있는 잠재적 유해성을 파악하는 것입니다. 위험 평가를 수행함으로써 기업은 잠재적인 위험을 식별하고 이를 완화하는 전략을 개발할 수 있습니다.

위험 평가는 위험 분석의 주요 구성 요소 중 하나입니다. 위험 분석은 비즈니스에 해로운 모든 잠재적 위험과 문제를 식별하고 분석하기 위한 여러 단계가 포함된 체계적인 프로세스이며, 이는 지속적이고 정기적으로 업데이트되는 프로세스입니다. 위험 분석과 위험 평가는 상호 연결되어 있으며 개별적으로도 사용할 수 있습니다.

위험 커뮤니케이션은 위험에 대한 정보와 의견을 관계자와 주고 받는 과정입니다. 위험 관리는 사고, 불확실성, 오류를 방지하기 위해 위협과 위험을 사전 예방적으로 제어하고 평가하는 것입니다. 위험 평가 외에도 위험 완화와 같은 정보에 입각한 결정을 내리는 데 도움이 되는 중요한 요소입니다.
모두 확장 모두 축소 위험 평가의 목표

위험 평가의 목표는 비즈니스에 영향을 미칠 수 있는 잠재적인 유해성을 사전에 파악해서 분석하고 평가하는 것입니다. 이를 통해 기업은 어려움에 직면했을 때 위험을 완화하고 복원성과 수명을 개선할 계획을 수립할 수 있습니다. 위험 평가의 목표는 다음과 같은 주요 질문에 답하는 것입니다.

  • 어떤 일이 일어날 수 있습니까?
  • 이러한 일은 어떤 상황에서 일어날 수 있습니까?
  • 발생할 수 있는 결과는 무엇입니까?
  • 발생 가능성은 얼마나 됩니까?
  • 이 위험은 이미 통제되고 있습니까, 아니면 추가 조치가 필요합니까?

위험 평가는 크게 세 가지 단계를 거쳐 수행됩니다.

  • 위험 식별
    여기에는 사이버 위협 또는 작업장 사고와 같은 비즈니스의 잠재적 유해성 또는 위험을 식별하는 작업이 포함됩니다.
  • 위험 분석 및 평가
    유해성 또는 위험이 식별되면 다음 단계는 관련 위험을 분석하고 평가하는 것입니다. 여기에는 이로 인해 발생할 수 있는 피해의 잠재적 심각성을 판단하는 작업이 포함됩니다.
  • 위험 통제
    마지막으로 기업은 유해성을 완화하는 방법, 그리고 완화할 수 없을 때는 위험을 통제할 적절한 방법을 판단해야 합니다. 통제에는 새로운 정책이나 절차를 구현하고, 직원을 교육하며, 위험을 낮추기 위한 새로운 기술이나 장비에 투자하는 것이 포함될 수 있습니다.
위험 평가가 수행되는 방식

위험 평가를 수행하려면 몇 가지 주요 단계를 거쳐야 합니다.

  • 비즈니스에 대한 위험 식별
    여기에는 어떤 방식으로든 위험에 처한 비즈니스 영역과 그러한 위험이 무엇인지 판단하는 것이 포함됩니다.
  • 위험의 가능성 및 심각성 판단
    여기에는 위험의 구체화 가능성과 이로 인해 발생할 수 있는 잠재적 심각성 평가가 포함됩니다. 어떤 일이 광범위한 손해를 입힐 수 있다면 발생할 가능성이 적어도 여전히 완화할 가치가 있습니다.
  • 유해성을 제거하거나 위험을 통제하는 데 필요한 조치 파악
    위험을 식별해서 평가하고 나면 평가를 수행하는 사람은 유해성을 제거하거나, 이를 완화할 수 없는 경우 통제할 수 있는 적절한 방법을 판단해야 합니다.
  • 통제 조치의 효과성 평가
    통제 조치가 실행되면 그 효과를 평가하여 유해성이 완화되거나 통제되었는지 확인하는 것이 중요합니다.
  • 통제 수단의 지속적인 효과 모니터링
    통제 수단이 꾸준히 효과적인지 확인하기 위해 위험 평가를 지속적으로 수행해야 합니다. 효과적이지 않다면 전략을 바꿔야 합니다. 모니터링에는 새로운 위험이 발생할 때 이를 식별하는 것도 포함됩니다.
  • 필요한 문서 또는 기록 보관
    문서화에는 위험을 평가하는 데 사용되는 프로세스를 자세히 기술하고, 평가를 요약하거나, 결론을 도출한 방법을 자세히 설명하는 것이 포함될 수 있습니다.

위험 평가가 중요한 역할을 하는 한 가지 사례로는 제조업을 들 수 있습니다. 위험 평가를 수행하는 제조업체는 다음을 고려해야 합니다.

  • 제품, 프로세스 또는 서비스의 수명주기.
  • 노동자들이 받은 교육과 훈련.
  • 특정한 상황에서 사람이 반응하는 방식. 특정 기계가 오작동할 경우 가장 일반적인 반응.

평가 시에는 작업 공간, 사람, 기술, 공급자 및 프로세스의 현재 상태 뿐만 아니라 잠재적인 상황도 고려해야 한다는 점을 기억해야 합니다. 고용주와 건강 및 안전 위원회(해당되는 경우)는 유해성과 관련된 위험 수준을 판단하여 통제 프로그램의 필요성 여부와 복원성이 뛰어난 조직에 필요한 수준을 결정할 수 있습니다.
위험 평가의 기본 유형

위험 평가에는 다음과 같이 다양한 접근 방식이 있습니다.

  • 위험 관리 자체 평가
    이러한 평가는 보통 비즈니스 자체의 경영진과 팀이 직장의 위험을 식별하고 평가하기 위해 수행합니다.
  • 프로젝트 위험 평가
    이러한 평가는 기업이 특정 시점에 달성하고자 하는 특정 프로젝트에 중점을 둡니다. 해당 프로젝트와 관련된 위험을 파악해서 관리하고 프로젝트가 원활하게 진행되도록 지원하는 데 이러한 평가를 사용합니다.
  • 애플리케이션 위험 평가
    이러한 평가는 특정 소프트웨어 애플리케이션에 중점을 두고 있으며 해당 애플리케이션과 관련된 위험을 식별하고 관리하는 데 사용됩니다.
  • 외부 공급업체 위험 평가
    이러한 평가는 벤더, 공급자 또는 회사의 정보나 자산에 액세스할 수 있는 기타 외부 공급업체에 대해 수행됩니다. 외부 공급업체는 회사에 위험을 초래할 수 있으므로 이러한 위험을 평가하면 회사를 보호하는 데 도움이 될 수 있습니다.
  • 특정 법률에서 요구하는 구체적인 평가
    유해 물질 취급(1998년 COSHH 규정에 따름) 및 인력 작업(1992년 인력 작업 운용 규정에 따름)과 같이 일부 위험에 대한 법적 요구 사항이 있습니다.
위험 평가 차트란?

위험에는 가능성과 영향도라는 두 가지 기본 차원이 있으며, 위험 평가 차트는 이 두 차원을 각각 차트의 한 축에 표시한다는 원리에 기반합니다. 여기에서 기업은 차트에 위험을 표시하여 우선순위와 자원 할당을 결정할 수 있습니다. 일반적으로 차트에는 낮음, 중간, 높음 등 다양한 수준의 위험이 포함됩니다. 위험 평가 차트를 사용하면 기업은 즉각적인 주의가 필요한 위험의 우선순위를 지정하고 그에 따라 자원을 할당할 수 있습니다.

위험의 영향도가 높고 가능성은 낮은 경우 회사는 이러한 위험의 수준을 결정할 수 있습니다. 가능성은 높지만 영향도가 매우 낮은 위험인 경우 다른 위험과 비교하여 평가할 수도 있습니다.
위험 평가를 수행하는 이유

위험 평가 프로세스를 사용하여 위험을 식별하는 것은 비즈니스의 원활한 운영, 복원성 및 성공을 보장하는 핵심 요소입니다. 인시던트는 비즈니스 운영을 방해하므로 가능한 한 많은 인시던트를 예방하고 완화하면 비즈니스를 원활하게 운영할 수 있습니다. 기업은 위험 평가를 수행하여 다음과 같은 이점을 얻을 수 있습니다. 

  • 잠재적 위험과 유해성에 대한 인식을 제고합니다. 이를 통해 기업은 운영에 영향을 미칠 수 있는 잠재적인 위험과 유해성을 파악하고, 이를 완화하기 위한 사전 조치를 취할 수 있습니다. 위험에 대한 경영진의 인식도 높일 수 있습니다.   
  • 복원성을 향상합니다. 잠재적인 위험과 유해성에 대비하면 복원성과 중단으로부터 신속하게 복구하는 기업의 능력을 향상시킬 수 있습니다. 위험 관리 및 복구 계획을 마련하면 기업이 위험과 유해성으로부터 회복하는 데 도움이 됩니다.  
  • 규정을 준수합니다. 의료, 재무, 건설 등 특정 산업 및 활동에는 정기적인 위험 평가를 요구하는 규제가 적용될 수 있습니다.  

위험 평가가 완전하고 정확한지 확인하는 것이 중요합니다. 또한 비즈니스의 혁신, 혁신 이니셔티브 또는 변화가 새로운 위험을 초래하거나 이전에 낮은 우선순위로 평가되었던 위험을 높은 우선순위로 변하게 하지 않는지도 확인해야 합니다. 통제 방법이 효과적인지 확인하기 위해 정기적으로 평가를 수행하는 것이 좋습니다. 위험은 항상 변화하기 때문에 기업은 위험을 평가하고 이에 따라 발전해야 합니다. 
ServiceNow 거버넌스, 리스크 및 컴플라이언스 가격 정보 디지털 비즈니스를 위해 엔터프라이즈 위험을 실시간으로 관리하고 우선순위를 지정해 주는 ServiceNow GRC(거버넌스, 리스크 및 컴플라이언스)의 가격 정보를 받아보세요. 가격 정보 확인 조직에서 위험 평가를 수행해야 하는 경우

위험 평가가 필요할 수 있는 여러 가지 이유 또는 상황이 있습니다. 

  • 새로운 프로세스, 서비스 또는 활동이 도입되기 전. 새로운 프로세스, 서비스 또는 활동을 구현하기 전에 위험 평가를 수행하여 잠재적인 위험과 유해성을 파악해야 합니다.  
  • 기존 프로세스, 서비스 또는 활동이 변경되기 전. 기존 프로세스, 서비스, 활동 또는 도구가 변경되면 위험 평가를 수행하여 이러한 변경과 함께 발생할 수 있는 잠재적인 위험을 파악해야 합니다.  
  • 유해성이 식별된 경우. 작업장에서 유해성이 식별되면 위험 평가를 수행하여 해당 유해성과 관련된 위험을 판단하고 적절한 통제 조치를 개발해야 합니다. 
평가를 검토하고 모니터링하는 것이 중요한 이유

통제 조치를 유효하게 유지하려면 위험 평가에서 계산된 위험 점수를 모니터링하는 것이 중요합니다. 또한 새로운 위험이 발생할 때 이를 파악할 수 있도록 정기적인 위험 평가를 수행합니다. 비즈니스는 위험을 지속적으로 파악함으로써 다음과 같은 이점을 얻을 수 있습니다. 

  • 통제 조치의 효과를 보장합니다. 정기적인 검토를 통해 위험 관리 계획 및 통제 조치가 실행될 때 효과적으로 작동할지를 확인할 수 있습니다.  
  • 변화하는 위험을 식별합니다. 비즈니스가 발전하고 혁신적인 기술, 프로세스 또는 활동이 도입되면 새로운 위험이 나타날 수 있습니다. 위험을 모니터링하면 기업이 새로운 위험을 식별하고 위험을 통제하기 위한 조치를 취하는 데 도움이 될 수 있습니다. 
ServiceNow를 통한 위험 평가
ServiceNow® 위험 제품은 통합 엔터프라이즈 위험 관리 프로그램의 일환으로 위험 평가를 사용하여 비즈니스 위험 및 외부 공급업체 벤더에 대한 초기 평가와 지속적인 모니터링을 제공합니다. 기업은 이러한 제품을 사용하여 위험을 평가하고 새로운 위험을 지속적으로 모니터링할 수 있습니다. 새로운 애플리케이션이 온보딩되거나 구매 요청을 충족하기 위해 새로운 벤더를 평가할 때 ServiceNow 시스템을 사용하면 규정을 준수하는 방식으로 위험 평가를 수집하고 평가할 수 있습니다.
Alt
ServiceNow 거버넌스, 리스크 및 컴플라이언스 시작하기 ServiceNow를 통해 위험과 복원성을 실시간으로 관리하세요. GRC 살펴보기 문의하기
리소스 기사 ServiceNow란? 위험 관리란? 데이터 개인정보 보호란? 분석 보고서  Forrester, GRC 부문 리더로 ServiceNow 선정  ServiceNow, 외부 공급업체 위험 관리 부문 리더로 선정  EMA - 실제 인시던트 응답, 관리 및 예방 데이터 시트  거버넌스, 리스크 및 컴플라이언스 전사적 IT 및 비즈니스 위험 관리 정책 및 준수 관리 전자책  IT 위험 관리가 디지털 혁신에 중요한 이유  오늘날의 동적 위험 환경에서 선제적인 위험 인식 방어 체계 구축 디지털 혁신이 통합 위험 관리에 달려 있는 이유 백서  거버넌스, 리스크 및 컴플라이언스 OCEG Think Tank 백서: 필수 운영 복원성 ServiceNow의 통합 위험 제품이 선사하는 총 비즈니스 가치