A Study on the Framework of Quick-Hit for BIA and RA in BCMS

Chongsoo Cheung; Woonggyu Choi

doi:10.9798/KOSHAM.2019.19.4.81

Abstract

Business Continuity Management System (BCMS) activities include policy development, planning, mitigation, training, and evaluation. Business Impact Analysis (BIA) and Risk Assessment (RA) are necessary for establishing a contingency plan and are traditionally conducted by the staged development approach. However, a general approach requires more time than that scheduled for the BCMS project because it includes imparting education and conducting surveys and analyses. In addition, this will cause a profit aggravation of the organization as a result of the low quality of the plan. The outcome will be revealed after analyzing the BCMS projects of other business firms. A Quick-Hit approach will be introduced in this paper as a recommended alternative when obstacles of any form arise in the RA and BIA on the business environment. This approach comprises its process, components, and outputs, and illustrates the results of the Quick-Hit and staged development approach in terms of BCMS projects. The suggested approach is an efficient alternative method for the RA and BIA when dealing with limitations of time, small project budgets, low quantity of disaster records, and small-sized business firms.

Keywords: BCMS, BIA, RA, Quick-Hit Framework, Staged Development

요지

BCMS 프로세스의 주요목적은 정책수립, 계획수립, 경감활동, 교육과 훈련, 평가 및 관리를 수행하기 위해 업무연속성 관리시스템을 효율적으로 도입하여 핵심 업무의 연속성을 확보하는 것에 있다. BCMS 프로세스 과정에서 RA⋅BIA는 계획 및 전략 수립을 위한 단계로서 주요 위험관리를 수행한다. 이러한 위험관리는 전체 BCMS 프로젝트 및 연구 수행 일정 중에 많은 시간이 소요되고 많은 전문 인력의 투입이 요구된다. 따라서 BCMS 프로세스에 대한 성공적인 목표 달성을 위해서는 수행계획 일정 지연 및 위험관리에 소모되는 자원 과다 등 문제점을 해결하기 위해 위험관리 단계를 효율적으로 구축 및 운영할 수 있는 방안이 필요하다. 본 연구에서는 공공기관 및 민간기업의 위험관리 계획 및 실적을 분석하고, 실제 투입인력에 대한 비용손실 분석을 통해 본 연구에서 제시한 Quick-Hit Framework 모델을 검증하였다. 이는 BCMS 프로젝트 수행 시 많은 시간적 제약의 한계 극복과 예산 감소의 효과를 가지며, 비교적 규모가 작은 중소기업들에 적용 가능 할 것으로 판단된다.

핵심용어: 사업연속성관리시스템, 업무영향분석, 위험평가, Quick-Hit Framework, 전통적 방법

1. 서 론

Cyber-Physical System (CPS) 기반의 융합 혁명 시대(Industry 4.0)를 맞이하여 세계 각 지역에서는 전통적 재난과 사이버 재난 등 다양한 융⋅복합 재난으로 인한 막대한 경제적, 사회적 피해를 입고 있다. 또한, 복합 테러와 같은 비정상적인 사고뿐만 아니라 작은 사고가 대형 참사로 이어질 수 있는 가능성도 매우 커졌다. 국내에서도 고유가로 인한 경제적⋅정치적 문제로 인한 업무연속성의 공백 및 각종 안전사고 등 우리 사회의 안전을 해치는 요소들이 존재하고 있다. 이로 인해 융⋅복합 재난 예방을 위한 노력의 일환으로 국⋅내외 공공 및 민간기관들은 BCMS 프로세스를 기반으로 한 다양한 연구가 진행되고 있다.

Choi (2010)은 기업에서의 체계적이고 효과적인 관리전략과 프로세스의 필요성을 언급하고 위기관리 프로세스 구현을 위한 전략모델의 요건을 제시하고 있으며, Choi et al. (2018)이 제시한 재난관리 인공지능 모델 연구에서는 데이터 분석 기반의 의사결정 수준을 프로세스, 데이터, 조직, 시스템 관점의 진단을 통해 분석적 도구의 활용성을 핵심역량으로 언급하고 있다. 하지만, BCMS 수립을 위해서는 각 기관들의 정책, 계획 수립, 경감 활동, 교육 및 훈련 등을 분석 평가하기 위해 많은 시간과 노력의 소요와 더불어 전문 인력이 요구된다. 또한, BCMS 수립이 필요한 비교적 규모가 작은 중소기업이나 중견기업에서는 이러한 사회적 혼란 속에 BCMS 접근에 대한 인식이 더 부족하고 가용 인력의 부족으로 BCMS 수립에 어려움을 겪고 있다.

따라서 본 연구에서는 맞춤형 BCMS 수립을 위해 전통적 방법(Staged Development, SD)을 적용한 각 국가별 BCMS 표준 프로세스를 살펴본다. 그리고 BCMS 프로세스에서 가장 많은 시간과 연구 인력이 요구되는 위험관리(RA/BIA) 프로세스에 대한 계획 대비 실적 운영 분석을 통해 이를 효과적으로 단축 운영할 수 있는 Quick-Hit Framework 모델을 제시한다.

본 연구의 주요 방법은 다음과 같다. 첫째, 전통적 방법(Staged development, SD)의 BCMS 위험관리 프로세스와 Quick-Hit Approach 적용을 위한 이론적 연구를 수행한다. 둘째, 문헌연구를 통해 정리한 연구모델을 기반으로 프로토타입(Prototype)을 선정하고, BCMS 위험관리를 수행하고 있는 대상기관의 필드 데이터를 수집 및 분석한다. 마지막으로 BCMS 프로세스에 따른 전통적인 분석 결과와 Quick-Hit Framework 연구모델의 유사성 검증을 통해 시사점을 정리하였다.

2. 국내⋅외 재해경감활동

국가별 BCMS 프로세스는 Table 1과 같은 절차로 구분되며, 각 국가별 정책 수립, 위험관리, 전략, 계획, 교육과 훈련, 평가 등의 단계별 과정을 거쳐 대상기관들의 중대한 재난사고를 예방하고 실제 재난이 발생할 경우 피해가 최소화될 수 있는 BCMS 핵심요인들을 담고 있다. 더불어 국내⋅외 리스크 평가(Risk Assessment) 활동을 공통적인 전략적 우위 요소로 활용하고 있다.

국내의 기업재해경감활동계획 수립 기준(안)은 계획의 수립과 운영을 통해 기업의 재해경감활동 역량을 강화하고 기업의 사업연속성을 확보하도록 하는데 목적이 있다. 해당 기준은 2016년 6월 제정되고, 2017년 7월 개정되어 운영되고 있다. 이는 기업재해경감활동을 위하여 필요한 재난관리표준 체계, 재해경감활동계획 수립, 재해경감활동, 교육과 훈련, 재해경감활동 평가 및 관리에 대한 정의, 원칙, 범위 그리고 절차를 제시하고 있다. 또한, ISO 22301:2012, ISO 22313:2012는 사업연속성관리시스템에 대한 요구사항 가이드라인과 수립을 위한 가이던스로 관리체계에 대한 인증을 받기 위한 필수적인 내용 요건과 요건해석을 다루고 있다(Blokdyk, 2019).

미국의 NFPA 1600:2019 (2019)는 국제표준처럼 10장으로 구성되어 공공 및 민간분야의 연속성에 초점을 두고 있다. 이와 더불어 RA을 구체적으로 실행하기 위하여 ISO 31000 (2009, Risk Management –Principles and Guidelines)은 위험을 관리하기 위한 일반 원칙을 규정하고 있다. 따라서 Table 1에서처럼 ISO 22301:2012 개발 이전의 ISO/PAS 22399(2007, 사고 대비 및 운영연속성 관리 가이드라인)도 ISO 22301:2012와 동일한 요소(정책, 계획, 구축 및 운영, 성능평가, 경영 관리자 검토 요소)로 구성되어 있다.

Incident Preparedness and Operational Continuity Management (IPOCM)는 조직을 위협하는 잠재적 영향을 확인하고 그 영향을 최소화하기 위한 프레임워크를 제공하는 관리 프로세스로 개발이 되었다.

3. 위험관리 프로세스의 정의

BCMS 구축을 위한 프로세스에서 가장 많은 시간과 인력 투입이 요구되는 위험관리 프로세스는 먼저 업무영향분석(Business Impact Analysis, BIA)과 리스크 평가(Risk Assessment, RA)로 세분화되어 있다. 일반적으로 다른 시스템 국제표준에서는 Plan에 있지만 BCMS는 Do에 있는 것이 특징이다. 이는 재난관리측면에서 매우 신중해야 하는 부분과 구축 시 보다 검토를 요하는 부분이기 때문에 Plan에 있지 않고 Do에 있는 것이다.

3.1 위험관리 의미 및 프로세스

위험관리는 대상기관들이 BCMS 프로세스를 단계별로 수행하는 과정 중에 분석을 위한 기초 단계이다. 위험관리 단계에서는 위험요소 식별 및 위험평가, 영향분석, 위험요소 경감 단계로 구성된다(Lee, 2006).

3.1.1 BIA의 의미 및 프로세스

업무영향분석(Business Impact Analysis, BIA)은 “업무중단이 발생하였을 때 조직에 미치는 시간에 따른 파급영향과 허용 한계를 분석하기 위한 일련의 활동”이라고 기업재난관리표준에서 정의하고 있다. 핵심 업무 프로세스에서 단위별 프로세스의 중단으로부터 야기되는 잠재적인 손실을 식별하기 위하여 수행되는 절차이다. 업무영향분석의 목적은 이전 리스크 분석 및 평가 결과에서 중점 관리 대상으로 선정된 리스크가 대상기관의 실제 조직에 발생했을 경우 핵심 업무 기능이 상실될 가능성과 이로 인한 예상 손실의 규모를 예측하여 사업연속성전략 수립을 위한 근거 데이터로써 제공하는 것이다(Lee, 2006). Fig. 1에서처럼 업무영향분석은 재해 발생 시에 업무의 중요도와 신속성 등을 고려한 업무간의 파급효과를 측정하며, 업무의 우선순위를 파악하고, 신속한 복구를 위한 자원의 식별 및 기업의 재정적 손실을 최소화하여 사업의 연속성을 유지하는 것이다.

3.1.2 RA의 의미 및 프로세스

리스크 평가(Risk Assessment, RA)란 “리스크를 식별, 분석 및 평가하고 처리 방법을 도출하는 활동”으로 기업재난관리표준에서 정의하고 있다. Fig. 2에서처럼 경영 환경 내⋅외부의 예기치 못한 변화나 내부관리 시스템의 하자로 인하여 위험관리 대상기관 손익에 불리하게 작용하는 내용을 양적⋅질적으로 평가한 것으로 각종 재난(Disaster), 위험요소(Hazard), 위협(Threat), 취약성(Vulnerability)으로 인해 대상기관의 경영 환경에 영향을 줄 수 있는 것으로 정의한다. 기업재난관리표준의 리스크 평가는 확률에 따라 발생할 수도 있고, 발생하지 않을 수도 있기 때문에 대상기관의 취약성과 발생 가능한 재난 유형 및 위험요소, 위협을 분류하고 정의하여 관리 대상 리스크를 선정한다. 또한, 선정된 리스크에 대해 경감, 예방 및 대응, 복구할 수 있는 방안을 마련해야 한다. 마지막으로 대상기관 운영에 대한 잠재적인 리스크를 도출하여 이에 대한 위험관리 방안(전략, 계획, 경감 방안 등)을 제시하기 위한 기초자료로 사용되는 것이다.

3.1.3 Staged Development and Quick-Hit Framework in terms of BCMS projects.

Fig. 3 Staged Development란 단계적 개발에 접근을 두고 있다. 이러한 접근의 이점은 단계별 개발 절차에 따라 개발이 수행됨으로써 고객의 요구 사항을 단계별로 반영하여 최대한 만족시킴으로서 개발 시 발생할 수 있는 위험을 최소화할 수 있다. 또한, 각 단계를 확실히 매듭짓고 다음 단계로 넘어가기 때문에 단계가 명확하고 관리가 쉽다. 하지만, 요구 분석에 상당한 시간이 소요되며, 분석이 끝나면 수정이 어렵다는 단점을 지닌다(Sprague and Carlson, 1982).

따라서 Quick-hit Framework 모델은 고객의 요구 사항들을 짧은 시간 내에 명확하게 밝힐 수 있다. 그리고 일반적인 분석방법을 취할 경우 양자 간에 서로 다른 이해를 가져올 수 있다. 그러나 고객과 수행자 간의 의사소통을 원활히 할 수 있기 때문에 프로젝트 위험을 최소화하고 신규 기술을 쉽게 적용할 수 있는 이점이 있다.

4. 연구 설계

4.1 대상기관 자료수집 및 실적 분석

BCMS를 구축 및 운영하고 있는 기관을 대상으로 Fig. 3과 같이 전통적 단계적 개발(Staged Development, SD) 방안을 토대로 수행한 작업 분할 구조도(Work Breakdown Structure, WBS)와 단계 별 운영 실적 등을 수집하였다.

수집된 데이터를 대상으로 BCMS 프로세스 단계별 프로젝트 목표를 달성하기 위해 필요한 활동과 세분화된 업무 과정을 분석하였다. 단계별 실적 분석을 위해 첫째, 프로젝트 전체 범위(정책, 위험관리, 전략, 계획, 교육 및 훈련)를 선정하였다. 둘째, 각 대상기관들의 WBS 대비 실적에 대한 운영 관리 상세내역을 검증하였다. 그 결과 프로젝트 전체 범위에서 위험관리에 대한 일정이 전체 연구 및 프로젝트 관리 일정에 약 50.3%를 차지하고 있으며, 위험관리 단계는 최초 계획 대비 WBS 보다 약 11.6%로 프로젝트 수행 일정에 차질을 주고 있어 다른 BCMS 프로세스(정책, 전략, 계획, 교육 및 훈련)에 영향을 미치고 있었다. 따라서 수행계획 일정 지연 및 위험관리에 소모되는 자원 과다 등 문제점을 해결하기 위해서는 위험관리 단계를 효율적으로 구축 및 운영할 수 있는 새로운 대안이 필요하다. 때문에 본 연구에서 짧은 시간 내에 핵심적인 위험요소를 식별 및 평가하고 영향분석을 수행할 수 있는 Quick–Hit Framework 모델을 제시하였다.

4.2 연구 모델

효율적인 위험관리를 위해서는 전통적 BCMS 프로세스 위험관리 방식인 실무 담당자 설문조사 방식, 단계별 접근 방식에서 벗어나 언제 어디서나 빠르고 효과적으로 적용할 수 있는 Quick-Hit Framework 모델의 적용이 필요하다. Fig. 4는 Quick -Hit Framework 절차에 따라 위험관리 대상 선정 등 프로세스 간소화로 위험관리 단계를 수행함으로써 빠른 의사결정을 지원하는 연구모델이다.

4.2.1 위험관리 조직

위험관리 조직은 BCMS 연구 및 프로젝트를 수행하기 원하는 위험관리 대상 기관을 선정하고 대상기관에 존재하는 위험요소를 식별하는 단계이다. 위험요소 식별은 재난 범위를 한정하기 위하여 위험요소를 파악하고 선정된 위험요소에 대한 취약성 분석을 통해 기업에 중대한 영향을 미칠 수 있는 위험요소를 식별한다. 따라서 위험관리 조직 단계에서는 대상기관의 조직도, 업무 구성도, 위험요소로 한정하여 분석하였다.

4.2.2 인터뷰 대상 선정

인터뷰 대상단계는 대상기관에 위험요소를 식별한 후 위험관리를 위한 조직의 인터뷰 대상을 선정하였다. 선정된 대상은 대상기관의 의사결정자, 최고 경영진 등 핵심 업무 의사결정을 수행하는 주요 담당자를 선정하였다. Quick-Hit Framework 모델에서는 인터뷰 대상자를 의사결정자, 최고 경영진으로 한정하고 대상자의 역할과 책임을 명확히 규명하였다.

4.2.3 위험관리 인터뷰 수행

위험관리 인터뷰 수행은 인터뷰 대상자에게 식별된 위험요소에 대한 위험관리 질문을 수행하는 단계이다. 인터뷰는 리스크 존재(What can wrong?), 발생확률(What is the likelihood that would go wrong?), 결과(What are the consequences if it goes wrong?)의 과정을 순차적으로 진행하였다. 인터뷰 수행은 인터뷰 수행일정을 사전에 계획하고 선정된 주요 질문 리스트를 토대로 진행하였다.

4.2.4 결과분석

결과 분석 단계에서는 위험요소 식별 결과, 위험평가 결과, 업무영향분석 결과를 확인한다. 본 연구 모델에서는 데이터 분석의 정량적 수치의 예측 한계를 극복하고 대량의 빅데이터 분석 가능성을 고려하여 Choi et al. (2018)이 제시한 Hit ratio 향상성, Data driven decision making 방안을 병행 검증하였다. Quick-Hit Framework 모델의 정성적인 평가 결과와 정량적 데이터를 분석의 통합분석 결과는 업무진행 현황(Work Progress), 계획 대비 차이(Deviation From Plan) 등 프로젝트를 감독하거나 수행하는데 필요한 업무(Labor Intensive Task)의 많은 시간과 리소스를 줄이고 업무 정합성 및 체감도를 높일 것으로 판단된다.

4.3 실증 검증(Pilot Test)

본 연구모델 검증을 위해서 8개 대상기관을 선정하여 기관들의 BCMS 위험관리 조직 별 최고 경영진 및 핵심 업무 관계자들을 인터뷰 대상으로 선정하고 정제된 위험지표를 기반으로 업무영향 및 위험분석을 수행하였다. 연구결과 업무영향분석 시 Staged Development와 Quick-Hit Framework 모델은 거의 차이가 없으며, Fig. 5와 같이 유사도가 매우 높게 측정 되었다. 최고의사결정자, 경영진 관점에서 BCMS의 전략적 활용이 기업의 총체적인 전략에 포함되었거나, 기업전략의 통합적 사고 가능성과 실행가능성을 보여주는 것으로 파악된다. Quick-Hit Framework 모델은 도입 및 운영시 기업전략과의 효율적으로 연계성을 가져야 할 것이다.

5. 결론 및 제언

본 연구는 위험관리 프로세스에서 전통적 방법론과 또 하나의 대안으로 제시한 Quick -Hit Framework 모델을 설계하고 검증하였다. 본 연구는 국내⋅외 8개 기관 및 기업에서 수행했던 실제 프로젝트 데이터를 토대로 업무진행 현황(Work Progress), 계획 대비 차이(Deviation From Plan) 등 Pilot Test를 수행하고 Case study 결과를 토대로 실증 검증하였다. Quick-Hit Framework 모델은 BCMS 프로젝트 수행 시 많은 시간적 제약의 한계와 예산 감소의 효과를 가지며, 비교적 규모가 작은 중소기업들에 적용 가능하다는 것이다. 이는 기업 규모에 적합한 위험관리 모델을 선택 적용하여 연구 및 프로젝트를 수행할 수 있을 것으로 판단된다. 향후 연구에서는 Pilot Test 대상의 표본 집단 수를 산업별로 구분하고 표본수를 늘려 검증하고, Choi et al. (2018)이 제시한 재난관리 AI 모델의 적합도를 높여 병행 검증함으로써 예측 정확도, 분석시간 단축, 비정형데이터의 처리가 가능할 것으로 판단된다. 기업뿐 아니라 국가 재난관리 등 각 산업 특성에 맞도록(Tailoring) 연계하여 분석할 수 있는 다양한 사례의 추가 연구를 진행하고 국가재난, 국가기반시설보호 등의 분야에서 활용될 수 있기를 기대한다.

Criteria of Disaster Mitigation Activity plan	ISO 22301:2012	ANSI/NFPA 1600	ASIS SPC.1-2009	IPOCM	ISO 31000
2.1.6 Arrangement of Disaster Mitigation Related	BCM Policy	Chapter 1. Administration	0. Introduction	5. Policy	1. Scope
·	·	·	·	·	·
·	·	·	·	·	·
·	·	·	·	·	·
2.2 Disaster Mitigation Activity Operational	2. Understand of Organization	5.2 Laws and Authorities	3. TERMS AND DEFINITIONS	6. Planning	5.1 General
2.2.1 Disaster Mitigation Activity	2.1 Business Impact Analysis	5.3 Risk Assessment	4. ORGANIZATIONAL RESILIENCE	6.1 General	5.2 Communication and Consultation
2.2.2 Function of Disaster Management	2.2 Indispensable Requistes Understanding for Continuity	5.4 Incident Prevention	4.1 General Requirements	6.2 Legal and other Requirements	5.3 Establishing the Context
2.2.3 Disaster Management Administration & Financial	2.3 Risk Assessment	5.5 Mitigation	4.1.1 Scope of OR Management System	6.3 Risk Assessment and Impact Analysis	5.3.1 General
		5.6 Resource Management and Logistics	4.2 Organizational Resilience (OR) Management	6.3.1 Hazard, Risk and Threat Identification	5.3.2 Establishing the External context
		5.7 Mutual Aid/Assistance	4.2.1 Policy Statement	6.3.2 Risk Assessment	5.3.3 Establishing the Internal context
3. Disaster Mitigation Activity plan Establishment		5.8 Planning	4.2.2 Management Commitment	6.3.3 Impact Analysis	5.3.4 Establishing the Context of the Risk Management Process
3.1 Disaster Risk Management		5.9 Incident Management	4.3 Planning		5.3.5 Defining Risk Criteria
3.1.1 Hazard Distinguish		5.10 Communications and Warning	4.3.1 Risk Assessment and Impact Analysis	·	5.4 Risk Assessment
3.1.2 Risk Assessment		5.11 Operational Procedures	4.3.2 Legal and other Requirements	6.4 Incident Preparedness and operation continuity	5.4.1 General
3.1.3 Impact Analysis		5.12 Facilities	4.3.3 Objectives, Targets, and Program(s)	7. Implementation and Operation	5.4.2 Risk Identification
3.1.4 Mitigation of Disaster Hazard		5.13 Training	4.4 Implementation and Operation	7.1 Resources, roles, responsibility and authority	5.4.3 Risk Analysis
3.2 Disaster Mitigation Activity Plan Establishment		5.14 Exercises, Evaluations, and Corrective Action	4.4.1 Resources, Roles, Responsibility and authority	7.2 Building and embedding IPOCM in the organization’s culture	5.4.4 Risk Evaluation
·	·	·	·	·	·
·	·	·	·	·	·
6.2 Maintenance	5. BCM Test		4.6.3 Review output	8.5 Maintenance	5.7 Recording the Risk Management Process

BCMS에서의 BIA와 RA를 위한 Quick-Hit Framework에 관한 연구