위험 수준 결정

마지막 업데이트: 2022년 3월 26일 | 0개 댓글
  • 네이버 블로그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 트위터 공유하기
  • 카카오스토리 공유하기
전체메뉴

연구과제 상세정보

이 연구는 기업, 특히 외국인투자기업의 글로벌 가치사슬 참여가 그 기업이 직면하는 정치적 위험에 어떤 영향을 미치는지를 밝히는 것을 목적으로 한다. 경제발전에 있어 제도의 중요성을 밝힌 경제사가 더글라스 노스의 선구적 연구 이래로 많은 학자들이 법치의 확립이 .

이 연구는 기업, 특히 외국인투자기업의 글로벌 가치사슬 참여가 그 기업이 직면하는 정치적 위험에 어떤 영향을 미치는지를 밝히는 것을 목적으로 한다. 경제발전에 있어 제도의 중요성을 밝힌 경제사가 더글라스 노스의 선구적 연구 이래로 많은 학자들이 법치의 확립이나 투명성 등 국내 제도적 특성이 기업의 투자를 촉진해 그 나라의 지속적 경제성장을 가능하게 한다는 연구결과들을 제시해왔다. 특정 제도의 유무와 기업의 투자 성과 사이의 연관성은 주로 재산권 침해와 불확실성이라는 기업이 직면하는 두 가지 차원의 정치적 위험에서 찾아진다. 첫째, 효과적인 법치 제도는 국가의 자의적 권력 행사로 인한 재산의 부당한 몰수나 수용의 위험으로부터 개인의 재산권을 보호해줌으로써 기업의 투자를 진작시킨다. 둘째, 견제와 균형, 수직적 책임성, 언론의 자유 보장 등 민주적 투명성의 기제들은 기업 활동에 직간접적인 영향을 끼치는 정부 정책, 특히 규제 정책에 대한 정보 접근성을 공평하고 예측 가능한 방식으로 보장해주며, 이것이 기업이 직면하는 정부 정책에 대한 불확실성을 낮춰 기업 투자의 촉진에 기여한다.
한편, 정치적 위험을 최소화해주는 이러한 국내 제도가 국가 차원에서 제대로 확립되어 있지 않은 경우, 재산권 보호와 불확실성 해소의 효과를 대신해줄 수 있는 대체제가 존재할 수 있는지에 대한 여러 논의들이 있어왔다. 우선, 국제 수준에서, 국가가 직접 국가 간 투자협정을 체결해 재산권 보호와 관련한 국내 제도적 미비점을 보완해 외국인투자 증진을 도모하기도 한다. 해당 국가 내에서 활동하는 기업들이 주도적으로 추구하는 자기보호 전략에 주목하는 연구들도 존재한다. 우선, 기업이 권력과 직접적인 거래관계를 형성해 뇌물을 지불하고 그 대가로 권력으로부터 정치적 보호와 중요한 정보를 제공받는 경우들은 개발도상국가에서 드물지 않은 일이다. 기업이 저항전략을 사용하는 경우도 있다. 기업의 여러 이해관계자들, 이를테면, 협력업체, 거래처, 지역사회, 노동자들과 함께 기업을 수호하기 위한 동맹을 형성해 기업이 약탈국가의 재산권 침해에 적극적으로 대항하는 방식으로 정치적 위험에 대처하기도 한다.
본 논문은, 기업, 특히 외국인투자기업이 글로벌 가치사슬에 참여함으로써 대외적 연결성과 대내적 생산 연결망을 획득하게 되고, 이것이 해당 기업에 재산권 침해와 정보 불확실성이라는 정치적 위험으로부터 의미 있는 보호 효과를 가져다주며, 따라서 그 기업이 투자 결정을 내릴 가능성을 높인다는 가설을 제시한다. 이와 관련, 존스와 웰하우젠(Jonhs and Wellhausen 2016)은 러시아에 진출해있는 미국 다국적기업들을 설문조사한 결과 이들 기업의 총구매비용 중 현지 공급업체로부터 납품받는 비중이 높을수록 정치적 위험에서 초래된 기업 가치 손실을 경험할 가능성이 낮았다는 결과를 보여주고 있다. 본 논문은, 개념적으로 공급업체들과의 관계에만 주목하고 경험적으로 외국인기업에만 초점을 맞춘 존스와 웰하우젠(2016)의 연구를 확장시켜, 기업의 대외무역 참여도와 대내 특수거래관계망 의존도로 조작화한 글로벌 가치사슬 참여도가 기업의 정치적 위험을 낮춰 그 기업이 투자할 가능성을 높이며, 특히 이 글로벌 가치사슬의 보호 효과는 정경유착이나 다른 사회적 보호 기제를 활용하는 데 불리한 위치에 있는 외국인투자기업들에게서 더 크게 나타날 것이라고 주장한다.

우선 본 연구의 연구 결과는 SSCI 급 저널 논문으로 출판하여 공유할 계획이다. 본 연구의 학술적 기여는 기업 수준 분석을 통해 주어진 정치적 조건 속에서 기업의 생산과 조직, 네트워크적 특성이 정치적 위험에 미치는 영향을 체계적으로 이론화하고 이 이론의 타당성 .

우선 본 연구의 연구 결과는 SSCI 급 저널 논문으로 출판하여 공유할 계획이다. 본 연구의 학술적 기여는 기업 수준 분석을 통해 주어진 정치적 조건 속에서 기업의 생산과 조직, 네트워크적 특성이 정치적 위험에 미치는 영향을 체계적으로 이론화하고 이 이론의 타당성을 경험적으로 검증하는 것이다. 제도와 재산권, 정치적 위험, 투자와 경제발전, 외국인직접투자, 글로벌 가치사슬 등 국제정치경제와 비교정치경제 분야에서 매우 중요하게 다뤄지는 이론적, 경험적 논의에 일조할 수 있을 것이다.
본 연구자는 베트남을 사례로 한 이 연구의 성과를 기반으로 후속 연구를 진행할 계획이다. 동남아시아 지역 10개 국가를 포괄하는 단일지역, 교차국가 비교연구를 통해 본 연구에서 밝혀낸 글로벌 가치사슬의 기업 보호 효과가 상이한 정치적 조건에 따라 어떻게 달라지는지에 대한 체계적인 이론화 작업을 시도하고자 한다.
한편 본 연구는 이미 베트남에 진출해 있거나 진출을 계획하고 있는 한국 기업들에게 베트남 현지에서 일상적으로 대면해야 하는 베트남 국가 및 정치적 위험의 성격에 대해, 그리고 이에 대한 효과적인 기업의 대응 전략에 대해 값진 정보를 줄 수 있을 것으로 기대된다.

이 연구는 기업의 글로벌 가치사슬 참여가 그 기업이 직면하는 정치적 위험에 어떤 영향을 미치는지를 밝히는 것을 목적으로 한다. 이를 위해 본 연구는, 우선, 베트남에서 기업의 대외 연결성과 내부 연계망 특성이 정치적 위험에 미치는 영향에 대한 일련의 가설들을 검 .

이 연구는 기업의 글로벌 가치사슬 참여가 그 기업이 직면하는 정치적 위험에 어떤 영향을 미치는지를 밝히는 것을 목적으로 한다. 이를 위해 본 연구는, 우선, 베트남에서 위험 수준 결정 기업의 대외 연결성과 내부 연계망 특성이 정치적 위험에 미치는 영향에 대한 일련의 가설들을 검증하기 위해 세계은행 베트남 기업조사 데이터를 활용한 통계분석을 실시하고, 2단계로 두 차례의 베트남 현지조사를 수행해 인터뷰를 통해 수집한 질적 증거로 양적분석에서 확인된 변수 간 관계의 인과성에 대한 깊이 있는 검증을 시도한다.
법치가 확립되어 있지 않고 민주적 투명성의 장치들이 미약한 베트남에서 기업들은 정치적 연결을 구축함으로써 잠재적으로 높은 정치적 위험에 대처하는 경향이 있다. 정치적 연결이 있는 기업들은 국가권력으로부터 재산권을 효과적으로 보호할 수 있을 뿐 아니라, 정부 정책과 관련된 핵심 정보에 대한 접근성이 높아 이에 대한 불확실성의 위험을 최소화할 수 있는 유리한 위치를 차지하고 있다. 반면, 외국인투자기업의 경우 일단 초기 고정투자가 이루어진 이후에는, 외국인투자기업과 현지 정부 사이의 협상이 전자에게 점차로 불리한 방향으로 전개되는 경향이 존재하며, 외국인투자기업들은 현지의 언어, 문화, 관계망, 정보의 습득 등에 있어 유무형의 장벽에 직면할 수밖에 없기 때문에 정치적 위험을 관리하는 핵심 기제로서 정치적 연결을 만들고 유지하는 데 있어 다른 국내 기업들에 비해 불리한 위치에 놓이게 된다.
가설1: 베트남에 진출해있는 외국인투자기업은 베트남 국내 기업에 비해 상대적으로 높은 정치적 위험에 직면하며 따라서 전자가 추가 투자결정을 내릴 가능성은 후자보다 낮다.
베트남이 세계경제에 적극적으로 편입하기 시작한 1990년대는 상품 생산의 전 과정이 단계별로 세분화되어 각 생산 단계가 가장 효율적으로 수행될 수 있는 지역 혹은 국가에 지리적으로 분산 배치되는 글로벌 가치사슬의 형성되기 시작한 시점이기도 하다. 여기서 베트남은 부품과 소재를 수입해 완제품을 생산한 후 이를 재수출하는, 가치사슬의 하위단계에 적극적으로 참여하게 되었다. 베트남에서 글로벌 가치사슬이 원활히 작동하는 것은 경제성장이 지속되기 위한 핵심 조건이다.
기업의 글로벌 가치사슬 참여수준은, 첫째, 기업이 생산에 사용하는 부품과 소재를 얼마나 수입에 의존하고 생산한 상품의 판매가 얼마나 직간접적으로 수출되는가 하는 대외적 연결성의 측면과, 둘째, 일련의 가치사슬을 형성하는 여러 업체들과의 관계 속에 그 기업이 얼마나 깊숙이 배태되어 있는가 하는 기업 간 생산 연결망의 차원으로 개념화될 수 있다.
가치사슬에 참여하고 위험 수준 결정 있는 어떤 기업이 높은 수준의 대외적 연결성을 지니고 있다고 할 때, 만일 이 기업이 정치적 위험에서 기인한 어떤 정치적 혹은 정책적 공격을 받아 생산이나 판매 활동에 차질이 생긴다면, 그것은 전체 가치사슬의 생산과 수출의 차질로 이어질 공산이 크기에, 가치사슬 내에서 기업이 차지하고 있는 위치와 역할 자체가 정부 행위에서 비롯되는 정치적 위험을 억제하는 효과적인 방어 기제로 작동하게 된다. 또한 한 기업이 가치사슬 내에서 연관 기업들과 상호 신용에 기반 해 구매 계약을 체결하고 상호 대출을 실행하는 긴밀한 협력관계를 형성하고 있다면, 이 역시 해당 기업의 정치적 위험 수준을 크게 낮추는 요인으로 작동하게 된다. 만일 문제의 기업이 심대한 영업상의 손실을 입게 되면 그 손실이 긴밀한 연결망을 이루며 특수 관계로 얽혀있는 기업들에게 전이되는 부대효과가 발생할 수 있고, 또 해당 기업이 높은 대외 연결성을 지닐수록 그 기업에서 기원한 손실의 여파가 수입과 수출의 흐름에 미치는 영향이 높기 때문에, 그러한 위치를 점하고 있는 기업에 타격을 줄 수 있는 정부의 정책 행사는 제약을 받게 된다. 또한 가치사슬 내의 기업 간에 형성된 긴밀한 생산 연결망은 중요한 정보가 흐르는 통로의 역할을 하기 때문에 그러한 가치사슬 내에 깊숙이 배태되어 있는 기업일수록 여러 관련 기업들을 통해 다양한 정보들을 수집할 수 있고, 이것이 정보 부재에 따른 정부 정책 불확실성의 위험성을 낮추게 된다.
가설 2: 글로벌 가치사슬 참여도가 높은 기업일수록 정치적 위험에 대한 보호 수준이 높아 추가 투자를 실시할 가능성이 더 높다.
마지막 가설은 두 변수의 상호작용 효과에 대한 예측에 관한 것이다.
가설 3: 글로벌 가치사슬 참여가 정치적 위험을 낮춰주는 효과는, 정치적 연결을 비롯한 대안적 보호 기제가 존재하는 국내 기업보다 그러한 기제가 없는 외국인투자기업에게서 더 크게 발휘된다. 따라서 외국인투자기업이 글로벌 가치사슬에 참여하는 수준이 높을 때 국내 기업이 그러할 때에 비해 투자결정 가능성이 더 높게 증가한다.

이 연구는 기업, 특히 외국인투자기업의 글로벌 가치사슬(global value chain) 참여가 그 기업이 직면하는 정치적 위험(political risk)에 미치는 영향을 밝히는 것을 목적으로 하였다. 이를 위해, 이 연구는 연구방법으로 양적 질적 혼합방법을 사용했다. 연구는 베트남 .

이 연구는 기업, 특히 외국인투자기업의 글로벌 가치사슬(global value chain) 참여가 그 기업이 직면하는 정치적 위험(political risk)에 미치는 영향을 밝히는 것을 목적으로 하였다. 이를 위해, 이 연구는 연구방법으로 양적 질적 혼합방법을 사용했다. 연구는 베트남을 단일 사례로 선정하여 베트남 정치경제에 관련된 사료, 정부 공식문헌과 통계자료, 그리고 2차문헌 분석을 통해 베트남 사례에 대한 깊이 있는 이해를 기반으로 했다. 이를 바탕으로 이 연구는 베트남에서 기업의 대외 연결성과 내부 연계망 특성이 정치적 위험에 미치는 영향에 대한 이론을 수립하고 경험적으로 검증 가능한 일련의 가설을 제시했다. 가설 검증을 위해기업수준 데이터(Vietnam Enterprise Survey 2015)를 위험 수준 결정 활용해 통계분석을 실시했고, 그 전후로 2019년 1월(1차)과 7~8월(2차) 두 차례 베트남 현지조사를 통해 5개 지역, 14개 성을 방문, 관료, 현지학자, 그리고 베트남 투자 기업가들에 대한 인터뷰를 진행하였다. 1차 현지조사를 통해 연구 가설의 타당성을 확인할 수 있었을 뿐 아니라 가설의 세부적 내용들을 더욱 세밀하게 정립할 수 있었다. 데이터 분석 후 시행한 2차 현지조사는 양적 위험 수준 결정 변수들 간 통계적 상관관계 이면에 작동하고 있는 실제 인과성의 사슬들을 확인하는 데 초점을 두었다. 그 결과 가설 검증을 통해 확인한 이 연구의 이론적 주장이 현실에서 작동하고 있다는 사실을 확인할 수 있었다.이 연구는 기업의 특성, 즉 국적과 대외연결성, 그리고 기업 간 네트워크 형성 정도가 해당 기업이 직면하는 정치적 위험 수준에, 따라서 그 기업의 투자결정에 체계적인 영향을 미친다는 것을 밝혔다. 구체적으로, 첫째, 기업의 글로벌 가치사슬 참여 수준이 평균 미만일 때, 외국인투자기업이 국내기업에 비해 높은 정치적 위험에 직면해 고정투자를 행할 확률이 낮고, 둘째, 글로벌 가치사슬 참여도의 투자증진 효과는 후자에 비해 전자의 기업에 대해 더 분명하게 나타나며, 셋째, 대외연결성과 네트워크 정도는 상호강화하는 관계에 있어 하나의 값이 높을 때 다른 하나의 투자증진 효과가 유의미하게 나타나며, 마지막으로, 이러한 두 차원의 상호강화 효과는 국내기업에 비해 외국인투자기업에 훨씬 뚜렷하게 나타난다. 이 연구의 결과를 2019년 8월 2차 현지조사 중 베트남국립대 하노이 인문사회대 정치학과 대학원 세미나에서 특강 형식으로 발표한 바 있다. 또 현재 비교국가 데이터를 분석 중이어서 분석 결과가 정리 되는대로 논문을 마무리 지어 국제학술지(Comparative Political Studies)에 투고할 계획이다.

In this research, I analyzed the effects of a firm’s global value chain (GVC) participation
on the political risk that it faces, and thus, on its decision on investment in fixed
capital using field work in Vietnam and World Bank’s Vietnam Enterprise S .

In this research, I analyzed the effects of a firm’s global value chain (GVC) participation
on the political risk that it faces, and thus, on its decision on investment in fixed
capital using field work in Vietnam and World Bank’s Vietnam Enterprise Survey 2015 dataset. Foreign invested enterprises (FIEs) in Vietnam, where the level of political risk remains high, face still higher political risk due to their weaker political connections compared with domestic
firms. By participating GVCs, FIEs forge global linkages on the one hand, and make themselves deeply embedded in inter-firm networks on the other, both of which reduce
the political risk that they face, thereby making it more likely for them to invest in
fixed capital. From a firm-level analysis, I find that FIEs are less likely than domestic
firms to invest when their GVC participation is below average; that the investment
inducing effects of GVC participation are greater for FIEs than for domestic firms;
that global linkage and network, the sub-dimensions of GVC participation, mutually
reinforce each other’s effect on investment promotion; and that such reinforcing effects
are greater for FIEs than for domestic firms.

이 연구는 기업, 특히 외국인투자기업의 글로벌 가치사슬 참여가 그 기업
이 직면하는 정치적 위험에 어떤 영향을 미치는지를 밝히기 위해 베트남 현지조사와 세계은행
의 2015년 베트남 기업조사 데이터를 이용해 베트남 국내 및 외국 기업들
의 투자결정 요인을 분석한 .

이 연구는 기업, 특히 외국인투자기업의 글로벌 가치사슬 참여가 그 기업
이 직면하는 정치적 위험에 어떤 영향을 미치는지를 밝히기 위해 베트남 현지조사와 세계은행
의 2015년 베트남 기업조사 데이터를 이용해 베트남 국내 및 외국 기업들
의 투자결정 요인을 분석한다. 정치적 위험 수준이 높은 베트남에서 정치적
연결이 약한 외국인투자기업은 글로벌 가치사슬 형성과 참여를 통해 대외적
연계성을 획득하고 기업 간 네트워크를 구축하여 재산권 보호와 정보 접근성
을 제고할 수 있고, 따라서 그러한 기업일수록 고정자본 투자를 할 가능성이
높다. 기업수준 데이터 분석을 통해 본 논문은 다음의 결과들을 보여준다. 첫
째, 기업의 글로벌 가치사슬 참여 수준이 평균 미만일 때, 외국인투자기업이
국내기업에 비해 높은 정치적 위험에 직면해 고정투자를 행할 확률이 낮고,
둘째, 글로벌 가치사슬 참여도의 투자 증진 효과는 국내기업에 비해 외국인
투자기업에 대해 더 분명하게 나타나며, 셋째, 대외 연계성과 네트워크 정도
는 상호 강화하는 관계에 있어 하나의 값이 높을 때 다른 하나의 투자 증진
효과가 유의미하게 나타나며, 마지막으로, 이러한 두 차원의 상호강화 효과
는 국내기업에 비해 외국인투자기업에 훨씬 뚜렷하게 나타난다.

이 연구의 결과는 베트남과 같은 후발 개발도상국가가 글로벌 가치사슬에 적극적으로 참여하는 것이 다만 세계 생산 분업 구조고 편입되어 산업화 발전을 이루고 일자리를 창출하는 거시적 차원의 경제성장 효과를 얻는 데에만 그치지 않음을 시사한다.
글로벌 가치사슬 .

이 연구의 결과는 베트남과 같은 후발 개발도상국가가 글로벌 가치사슬에 적극적으로 참여하는 것이 다만 세계 생산 분업 구조고 편입되어 산업화 발전을 이루고 일자리를 창출하는 거시적 차원의 경제성장 효과를 얻는 데에만 그치지 않음을 시사한다.
글로벌 가치사슬로 연결되어 있는 외국인투자기업들을 적극적으로 유치하는 것은 재산권 보호 장치와 투명성의 기제들이 아직 미비한 국내 제도적 여건 속에서 기업의 정치적 위험 수준을 낮추고 추가적 투자를 촉진시키는 미시적 차원의 경제발전 효과 또한 유발할 수 있는 것이다.
베트남이 잠재적으로 대단히 높은 수준의 정치적 위험을 지니고 있음에도 불구하고 지금까지 매년 GDP의 10-15%에 이르는 외국인직접투자를 유치하고 지속적인 수출 지향적 경제성장을 이룰 수 있었던 배경에는 많은 수의 외국인투자기업들이 바로 글로벌 가치사슬 형태로 베트남에 투자해왔다는 사실이 자리하고 있다고 할 수 있다.
이는 북한이나 라오스 등 앞으로 베트남식 경제발전 혹은 개혁개방 모델을 추구하려는 후후발 국가들에게도 중요한 시사점을 던져준다. 이들 국가에소 효과적인 위험 수준 결정 법치 제도의 확립과 같은 제도 개혁은 상대적으로 오랜 시간이 걸리기 마련이고 권위주의 정치체제를 유지하는 한 정치적 위험을 제도적 차원으로 해소하는 데에는 근본적인 한계가 존재할 수밖에 없다. 글로벌 가치사슬 기업의 적극적 유치는 이에 대한 효과적인 중단기적 해결책이 될 수 있다.
이 연구는 정치적 위험과 글로벌 가치사슬 참여도가 아주 높은 베트남을 단일 사례로 분석하였다. 체제의 성격에 따라 정치적 위험의 수준과 양상이 다르므로 앞으로 다양한 정치체제의 비교분석으로 확대해 상이한 정치적 위험 수준에서 기업의 글로벌 가치사슬 참여도의 정치적 보호 효과가 어떻게 달라지는지 살펴볼 필요가 있다. 또한 나라마다 글로벌 가치사슬 참여 수준과 양상 역시 다르다. 이 점에서 다양한 국가들을 포괄해 비교국가 기업수준 분석을 수행한다면, 국가 수준 변수와 기업 수준 변수가 어떤 상호작용을 하는지 체계적인 연구가 가능할 것이라고 생각한다.

“위험물질 대체와 공정개선은 노동자들이 결정할 문제”

노동환경건강연구소는 매일노동뉴스 노동안전보건섹션에 매주 전문가 칼럼을 제공합니다. 본 칼럼은 2010년 10월 4일(월)에 게재되었습니다. 기사 내용과 사진은 상업용으로 이용하실 수 없습니다.

상업적으로 이용되는 수만 가지의 화학물질 중에서 현재까지 발암물질로 밝혀진 물질은 약 1천500가지다. 돌연변이나 생식독성·환경잔류성 등 발암물질과 거의 동등한 수준의 위험을 갖고 있는 물질을 모두 포함한다면 유해성이 높은 물질은 2천종이나 된다.

필자는 금속노조의 발암물질 진단사업에 참여하면서 올 한 해 60여개 사업장에 대한 조사를 진행하고 있다. 국제적 기준에 입각해 노동현장의 발암물질의 취급·관리실태를 파악하고, 외국의 대체사례를 조사해 대안을 제시하는 활동을 하고 있다.

현장을 방문해 교육이나 조사를 진행하면서 발암물질에 대한 노동자들의 관심이 높아진 것을 느끼게 된다.

c_20101004_1577_3580.jpg

▲ 금속노조 발암물질 진단사업. 노동환경건강연구소 진단사업침이 한 제조업 사업장에서 현장에서 사용하는 유기용제 관련 질문을 하고 있다. ⓒ 일과건강 이현정

“대체물질은 있습니까? 대체할 수 없으면 아무 소용 없는 것 아닙니까?” 또는 “안전한 제품을 추천해 주십시오”와 같은 질문과 요구를 많이 받는다.

맞는 말이다. 하지만 이 문제는 다소 다른 관점에서 볼 필요가 있다. 어떤 발암물질은 산업에서 기초 원료로 사용되므로 없어서는 안 되는 경우도 있고, 현존 기술로는 대체가 불가능한 경우도 많기 때문이다. 서구유럽의 사례를 보더라도 발암물질과 같은 고위험물질을 대체할 수 있는 물질을 찾으려는 노력은 지속하되, 현재의 지식과 기술적 한계로 인해 대체물질을 찾기 어려운 경우는 밀폐나 환기를 강화해 노출을 줄이는 방식을 강구한다.

현실적으로 원료로 사용되기 때문에 사용하지 않고서는 생산 자체가 불가능하다면 사용을 허용하되 가능한 노출되지 않도록 관리를 철저히 하는 방식이 필요하다. 반면 이형제·세척제·검사제·각종 스프레이 등 필수원료는 아니지만 생산을 원활하게 하기 위해 사용하는 각종 제품들은 해당 성분이 반드시 필요한 것인지에 대한 검토를 거쳐 대안을 찾아야 한다. 실제로 필자의 금속사업장 현장조사 경험을 볼 때 대다수의 위험한 물질들이 필수원료보다는 생산속도를 빠르게, 작업편의성을 좋게 하기 위한 다양한 부재료에서 발견되고 있었다.

예를 들어보자. 한 사업장을 방문했는데 스프레이 검사제에서 생식독성이면서 신경독성이 강한 노말헥산(수년 전 태국여성노동자들에게 앉은뱅이 병을 일으켜 사회적으로 큰 물의를 일으킨 바 있다)이 함유돼 있었다. 그렇다면 이 제품을 계속 사용해야 할까. 공장 바닥 청소용으로 세척제를 쓰고 있는데 벤젠이 함유돼 있었다. 이 세척제는 반드시 사용해야 할까. 간간이 보수할 때 사용하는 시트개스킷에 석면이 함유돼 있었다(석면은 법적으로 사용이 금지돼 있다). 아주 오래 전에 회사에서 구매한 것이다. 자, 재고를 소진하기 위해 이를 계속 사용해야 할까.

중요한 것은 노동자 스스로 자신이 일상적으로 또는 간헐적으로 쓰는 제품에 위험한 물질이 없는지 확인하고자 노력하는 것이며, 만약에 위험한 물질이 들어가 있다면 그런 성분이 반드시 들어가야 하는가에 대해 의문을 제기할 필요가 있다는 것이다. 이를 통해 노동자 스스로 자신의 문제를 결정해야 한다. 대체물질을 요구할 것인가. 공정개선 요구를 할 것인가. 이도 저도 아니고 그냥 예전에 쓰던 제품을 쓰면서 과거 방식대로 일할 것인가. 모든 결정은 노동자들의 몫이다. 누구도 자신의 환경 문제를 결정해 주지는 못하기 때문이다.

earticle

Risk management should be controlled systematically by effectively evaluating and suggesting countermeasures against the various risks which are followed by the change of the society and environment. These days, enterprise risk management became a new trend in the field. The first step in risk analysis is to recognize the risk factors, that is to verify the vulnerabilities of loss in the security facilities. The second step is to consider the probability of loss in assessing the risk factors. And the third step is to evaluate the criticality of loss. The security manager will determine the assessment grades and then the risk levels of each risk factor, on the basis of the result of risk analysis which includes the assessment of vulnerability, the provability of loss and the criticality. It is of great importance to put the result of risk analysis in mathematical statement for a scientific approach to risk management. Using the risk levels gained from the risk analysis, the security manager can develop a comprehensive and supplementary security plan. In planning the risk management measures to prepare against and minimize the loss, insurance is one of the best loss-prevention programs. However, insurance in and of itself is no longer able to meet the security challenges faced by major corporations. The security manager have to consider the cost-effectiveness, to suggest the productive risk management alternatives by using the security files which contains every information about the security matters. Also he/she have to reinforce the company regulations on security and 위험 수준 결정 safety, and to execute education repeatedly on security and risk management. Risk management makes the most efficient before-the-loss arrangement for and after-the-loss continuation of a business. So it is very much important to suggest a best cost-effective and realistic alternatives for optimizing risk management above all, and this function should by maintained and developed continuously and repeatedly.

경영환경의 변화에 따른 다양한 위험들을 효과적으로 파악하고 이에 대응할 수 있는 위험관리 시스템을 갖추는 것이 기업의 성공과 실패를 결정하는 필수 조건으로 부각됨에 따라, 다양한 위험들을 효과적으로 평가하고 대응책을 제시함으로써 체계적인 위험관리가 이루어져야 하며, 이제는 전사적 위험관리가 새로운 트렌드로 자리잡아가고 있다. 위험요소 분석의 첫 번째 단계는 위험요소를 인지하는 작업으로, 이는 모든 경비시설내에서 손실에 대한 취약성을 확인하는 것을 말한다. 두 번째 단계는 위험요소에 대한 사정이 있어서 손실의 발생가능성을 고려하는 것이고, 세 번째 단계는 손실의 위험성을 평가하는 것이다. 취약성을 평가하고, 손실발생가능성을 측정하고, 그 손실로 인한 위험성을 계량화(수치화)한 위험분석의 결과를 토대로 위험요소별 평가등급을 정하고 최종적으로 위험수준을 결정하게 된다. 위험수준은 경비안전시스템에 대한 보완대책 수립의 기초가 된다. 손실에 대비하고 손실을 최소화하기 위한 위험관리대책을 수립함에 있어 보험이 가장 주요한 수단이기는 하나, 모든 위험을 다 보험에 맡길 수는 없다. 오히려 경비의 비용효과를 고려하고, 경비화일을 활용하여 발전적인 위험관리대안을 제시해야 한다. 이 때 위험요소의 원천을 제거하는 것이 최상의 방책이며, 그 경로를 차단하는 것이 차선이다. 아울러, 안전에 관한 회사내규를 강화하고, 안전과 위험관리에 관한 교육을 지속적이고 반복적으로 실시하여야 한다. 위험관리는 사업의 손실후 연속성을 위해 가장 효율적인 손실전 준비를 하는 것이다. 따라서 가장 비용효과적이고 생산적인 위험관리 방안을 제시하는 것이 무엇보다 중요하며, 이 기능은 지속적으로 유지 발전되어야 한다. 경영환경의 변화에 따른 다양한 위험들을 효과적으로 파악하고 이에 대응할 수 있는 위험관리 시스템을 갖추는 것이 기업의 성공과 실패를 결정하는 필수 조건으로 부각됨에 따라, 다양한 위험들을 효과적으로 평가하고 대응책을 제시함으로써 체계적인 위험관리가 이루어져야 하며, 이제는 전사적 위험관리가 새로운 트렌드로 자리잡아가고 있다. 위험요소 분석의 첫 번째 단계는 위험요소를 인지하는 작업으로, 이는 모든 경비시설내에서 손실에 대한 취약성을 확인하는 것을 말한다. 두 번째 단계는 위험요소에 대한 사정이 있어서 손실의 발생가능성을 고려하는 것이고, 세 번째 단계는 손실의 위험성을 평가하는 것이다. 취약성을 평가하고, 손실발생가능성을 측정하고, 그 손실로 인한 위험성을 계량화(수치화)한 위험분석의 결과를 토대로 위험요소별 평가등급을 정하고 최종적으로 위험수준을 결정하게 된다. 위험수준은 경비안전시스템에 대한 보완대책 수립의 기초가 된다. 손실에 대비하고 손실을 최소화하기 위한 위험관리대책을 수립함에 있어 보험이 가장 주요한 수단이기는 하나, 모든 위험을 다 보험에 맡길 수는 없다. 오히려 경비의 비용효과를 고려하고, 경비화일을 활용하여 발전적인 위험관리대안을 제시해야 한다. 이 때 위험요소의 원천을 제거하는 것이 최상의 방책이며, 그 경로를 차단하는 것이 차선이다. 아울러, 안전에 관한 회사내규를 강화하고, 안전과 위험관리에 관한 교육을 지속적이고 반복적으로 실시하여야 한다. 위험관리는 사업의 손실후 연속성을 위해 가장 효율적인 손실전 준비를 하는 것이다. 따라서 가장 비용효과적이고 생산적인 위험관리 방안을 제시하는 것이 무엇보다 중요하며, 이 기능은 지속적으로 유지 발전되어야 한다.

위험 수준 결정

닫기

이 사이트(www.kiri.or.kr)는 보험연구원의 소유 입니다.

개인정보의 수집목적 및 이용

보험연구원은 회원에게 서비스 제공을 위해 필요한 고객정보 외에는 불필요한 정보 수집을 하지 않습니다. (단, 필수 기재 항목 외에 선택항목에 대한 정보 수집은 예외로 합니다.) 회원으로부터 취득한 정보는 회원가입 및 이용 ID 발급, 회원 개인정보를 이용하는 서비스, 회사가 제공하는 서비스 및 계약의 성립 또는 인구 통계학적 분석 (회원의 연령별, 성별, 지역별 통계 분석), 회원의 서비스 이용에 대한 통계를 수집하고, 이를 서비스 방침에 반영 (서비스 개편 및 확대) , 기타 새로운 서비스, 행사나 자료 정보 안내에만 사용될 것입니다. 회원으로 가입할 때 수집된 모든 정보는 해당 서비스 제공이나 회원님께 사전에 밝힌 목적 이외의 다른 어떠한 목적으로도 사용되지 않습니다.

개인정보의 수집 항목

필수정보 : 아이디, 비밀번호, 성명, 전화번호, 직업, 직급, 부서, 이메일, 뉴스레터 수령여부
기타 : 홈페이지 가입경로, 흥미사항, 보험연구원이 필요하다고 인정하는 구분사항

회원의 개인정보 보호를 위한 안전조치

회원의 개인 정보는 회원이 로그인 했을 경우에만 보이며, 이것은 회원의 아이디 및 패스워드에 의해 관리되고 있습니다. 따라서, 회원에게 부여된 회원아이디 및 패스워드의 관리책임은 회원에게 있습니다. 특수한 경우, 허가 받은 관리자만이 회원 정보를 수정, 조회하고 있습니다.

회원 정보의 열람 및 정정 방법과 절차

회원은 자신이 제공한 회원 정보를 열람 할 수 있으며, 수정을 요구할 권리와 삭제를 할 권리(탈퇴의 권리포함)가 있습니다. 회원 정보의 열람 및 수정은 회원정보 수정을 통해 정해진 순서에 따라 언제든지 하실 수 있습니다. (단, 회원정보 수정의 경우, 아이디나 성명, 주민등록 번호의 변경은 가입회원 실명제 정책에 따라 회원님께서 직접 수정하실 수 없으나, 보험연구원(http://www.kiri.or.kr)의 관리자 ([email protected]) 에게 메일로 요청하면 24시간 내에 처리됩니다.

개인정보 수집에 대한 동의

보험연구원에서는 회원가입을 원하시는 고객에게 보험연구원의 개인정보취급방침 또는 이용약관 내용에 대해 혹은 버튼을 클릭 할 수 있는 절차를 마련하여, 버튼을 클릭한 경우에만 개인정보 수집에 대해 동의 한 것으로 봅니다.

회원가입 가입과 탈퇴의 자유

회원가입은 반드시 이용약관의 동의 절차를 거치며, 회원 탈퇴 시에도 탈퇴에 따른 개인정보의 폐기와 회원으로서 권리소멸 등을 명확히 고지하는 절차를 거칩니다. 탈퇴를 희망할 시에는 사이트의 회원탈퇴 메뉴를 통해 정해진 순서에 의해 처리할 수 있습니다. 또는 보험연구원의 관리자 ([email protected])에게 메일로 요청하시면 처리 됩니다. (* 주의 : 회원 탈퇴를 하시면 그 즉시 모든 고객정보와 기록이 재생 불가능 하도록 폐기되며, 아이디 및 기타 정보 사항의 권리도 함께 사라집니다.따라서 복구 요청 시 불가능 하므로 신중하게 하셔야 합니다.)

개인정보의 보유 및 이용기간과 공유 및 3자 제공

회원의 개인정보는 보험연구원 회원으로서 서비스를 받는 동안 계속 보유하며, 서비스 제공을 위해 이용합니다. 회원의 정보는 회원 탈퇴 시 재생이 불가능 하도록 완전 삭제 됩니다. 회원님의 개인정보는 정보통신망이용촉진 및 정보보호 등에 관한 법률 제24조의 규정에 따라 타인에게 제공, 활용시 본인의 동의를 얻어야 하는 정보입니다. 보험연구원은 법률에서 정하는 경우를 제외하고는 회원님의 동의 없이 회원님의 개인정보를 제3자에게 제공하지 않습니다.

개인정보 관리

보험연구원은 개인정보 보호 및 서비스 이용에 대한 각종 활동에 대하여 회원들의 의견과 불만을 제기 할 수 있는 창구를 개설하고 있습니다. 개인 정보와 관련한 불만이 있으신 분은 보험연구원의 관리자 ([email protected])에게 의견을 주시면 즉시 접수,조치하여 처리결과를 통보해 드립니다.

개인정보보호책임자

성명 : 김형길
직위 : 담당역
전화 : 02-3775-9119
주소 : 서울시 영등포구 국제금융로6길 38 (여의도동 35-4)
이메일 : [email protected]

평일 : 09:00~ 18:00
토요일 및 휴일 제외

닫기

제1장 총칙

제1조 목적

이 약관은 보험연구원에서 운영하는 사이트(이하 "KIRI"라 합니 다)에서 제공하는 인터넷 관련 서비스의 이용조건 및 절차에 관 한 사항과 기타 필요한 사항을 규정함을 목적으로 합니다.

제2조 정의

(1) "KIRI"이란 보험연구원이 운영하는 사이트 ( http://www.kiri.or.kr )를 말합니다.
(2) "이용자"란 KIRI에 로그인하여 본 약관에 따라 "KIRI"가 제공 하는 서비스를 받는 회원 또는 비회원을 말합니다.
(3) "회원"이라 함은 "KIRI"에 개인정보를 제공하여 회원등록을 한 자로서 "KIRI"의 정보를 지속적으로 제공받으며, "KIRI"가 제공하는 서비스를 계속적으로 이용할 수 있는 자를 말합니 다.
(4) "비회원"이라 함은 회원에 가입하지 않고 "KIRI"가 제공하는 서비스를 이용하는 자를 말합니다.

제3조 약관의 효력과 변경

(1) 본 약관은 이용자에게 공시함으로써 효력을 발생합니다. (2) 보험연구원은 본 약관을 변경할 수 있으며 변경된 약관은 "KIRI" 화면에 별도 공지하게 됩니다.
이용자가 변경된 약관에 동의하지 아니하는 경우 이용자는 본인의 회원등록을 취소할 수 있으며, 계속 사용하는 경우는 약관 변경에 대한 동의로 간주됩니다.
변경된 약관은 전항과 같은 방법으로 효력을 발생합니다.

제4조 약관 외 준칙

이 약관에 명시되지 않은 사항이 국내 관계법령에 규정되어 있 을 경우에는 그 규정에 따릅니다.

제2장 회원 가입과 서비스 이용

제1조 이용 계약의 성립

(1) 이용 계약은 이용자의 이용 신청에 대한 보험연구원의 이용 승낙과 이용자의 약관 내용에 대한 동의로 성립됩니다. (2) 회원에 가입하여 서비스를 이용하고자 하는 희망자는 보험 연구원에서 요청하는 개인 신상정보를 제공해야 합니다. 이 용자가 제공한 개인정보는 본 약관에 따라 철저히 보호됩니 다.

제2조 이용 신청의 제한

(1) 보험연구원은 다음 각 호에 해당하는 이용계약신청에 대하 여는 이를 승낙하지 아니합니다.
① 다른 사람의 명의를 사용하여 신청하였을 때
② 이용 계약 신청서의 내용을 허위로 기재하여 신청하였을 때
③ 사회의 안녕 질서 혹은 미풍양속을 저해할 목적으로 신청하 였을 때
④ 부당한 목적으로 회원의 가입 탈퇴를 월 3회 이상 반복하는 경우
⑤ 기타 보험연구원이 정한 이용 신청 요건이 미비되었을 때

제3조 서비스 이용

(1) 서비스 이용은 보험연구원의 업무상 또는 기술상 특별한 지 장이 없는 한 연중무휴, 1일 24시간을 원칙으로 합니다.
(2) 제1항의 이용시간은 정기점검 등의 필요로 인하여 보험연구 원이 정한 날 또는 시간은 적용하지 아니합니다.
(3) 제2항의 경우에는 사전에 중단 사유와 기간을 공고합니다. 다만, 불가피한 사정이 있는 경우 사전공고는 생략될 수 있 습니다.

제3장 책임

제1조 보험연구원의 의무

(1) 보험연구원은 이 약관에서 정한 바에 따라 계속적, 안정적 으로 서비스를 제공할 의무가 있습니다.
(2) 보험연구원은 이용자의 개인신상정보를 본인의 승낙없이 타 인에게 누설, 배포하지 않습니다.
다만, 전기통신관련법령 등 관계법령에 의하여 관계 국가기 관 등의 요구가 있는 경우에는 그러하지 아니합니다.
(3) 보험연구원은 이용자로부터 제기되는 의견이나 불만이 정당 하다고 인정할 경우에는 즉시 처리합니다.
다만, 즉시 처리가 곤란한 경우에는 이용자에게 그 사유와 처리일정을 통보합니다.
(4) 보험연구원은 이용자가 원하지 않는 영리목적의 광고성 전 자우편을 발송하지 않습니다.

제2조 이용자의 의무

(1) 아이디와 비밀번호에 관한 모든 관리의 책임은 이용자에게 있습니다.
(2) 자신의 아이디가 부정하게 사용된 경우, 이용자는 반드시 보 험연구원에 그 사실을 통보해야 합니다.
(3) 비밀번호 분실시 통보는 e-mail로 안내하며, 제 2항의 규정 에도 불구하고 회원의 e-mail 주소 기입 잘못 등 본인 과실 및 본인 정보 관리 위험 수준 결정 소홀로 발생하는 문제의 책임은 회원에게 있습니다.
(4) 이용자는 이 약관 및 관계법령에 규정한 사항을 준수하여야 합니다.

제4장 계약 해지 및 서비스 이용제한

제1조 계약 해지 및 이용제한

이용자가 이용 계약을 해지 하고자 하는 때에는 이용자 본인이 직접 온라인을 통해 회원탈퇴 메뉴를 선택하여 해지 신청을 하 여야 합니다
보험연구원은 이용자가 다음 사항에 해당하는 행위를 하였을 경 우 사전 통지 없이 이용 계약을 해지하거나 또는 기간을 정하여 서비스 이용을 중지할 수 있습니다.

(1) 공공 질서 및 미풍 양속에 반하는 경우
(2) 범죄적 행위에 관련되는 경우
(3) 이용자가 국익 또는 사회적 공익을 저해할 목적으로 서비스 이용을 계획 또는 실행할 경우
(4) 타인의 서비스 아이디 및 비밀번호를 도용한 경우
(5) 위험 수준 결정 타인의 명예를 손상시키거나 불이익을 주는 경우
(6) 같은 사용자가 다른 아이디로 이중 등록을 한 경우
(7) 서비스에 위해를 가하는 등 서비스의 건전한 이용을 저해하 는 경우
(8) 기타 관련법령이나 보험연구원이 정한 이용조건을 위배하는 경우

제2조 이용 제한의 해제 절차

(1) 보험연구원은 제1조의 규정에 의하여 이용제한을 하고자 하 는 경우에는 그 사유, 일시 및 위험 수준 결정 기간을 정하여 서면 또는 회 원등록시 기재한 전화나 e-mail 등의 방법에 의하여 해당 이용자 또는 대리인에게 통지합니다.
다만, 보험연구원이 긴급하게 이용을 정지할 필요가 있다 고 인정하는 경우에는 그러하지 아니합니다.
(2) 제1항의 규정에 의하여 이용정지의 통지를 받은 이용자 또 는 그 대리인은 그 이용정지의 통지에 대하여 이의가 있을 때에는 이의신청을 할 수 있습니다.
(3) 보험연구원은 제2항의 규정에 의한 이의신청에 대하여 그 확인을 위한 기간까지 이용정지를 연기할수 있으며, 그 결과 를 이용자 또는 그 대리인에게 통지합니다.
(4) 보험연구원은 이용정지 기간 중에 그 이용정지 사유가 해소 된 것이 확인된 경우에는 이용정지 조치를 즉시 해제합니다.

제3조 이용자의 게시물

보험연구원은 이용자가 "KIRI"에 게시하거나 등록하는 내용물이 다음 각 사항에 해당된다고 판단되는 경우에 사전 통지없이 삭 제 할 수 있습니다.

(1) 다른 이용자 또는 제 3자를 비방하거나 중상모략으로 명예 를 손상시키는 내용인 경우
(2) 공공질서 및 미풍양속에 위반되는 내용인 경우
(3) 범죄적 행위에 결부된다고 인정되는 내용인 경우
(4) 제3자의 저작권 등 기타 권리를 침해하는 내용인 경우
(5) 기타 관계 법령이나 보험연구원에서 정한 규정에 위배되는 경우

제5장 저작권의 귀속

(1) "KIRI"에서 제공하는 모든 저작물의 저작권 및 기타 지적재산 권은 보험연구원에 귀속합니다.

(2) 이용자는 "KIRI"(이메일서비스 포함)를 이용함으로써 얻은 정 보를 보험연구원의 사전 승낙없이 복제, 송신, 출판, 재배포, 방송, 기타 방법에 의하여 영리목적으로 이용할 수 없습니다.

(3) "KIRI"에서 링크를 통해 제공하는 다른 사이트의 비밀 보장과 그 사이트의 내용에 위험 수준 결정 관해서 보험연구원은 책임지지 않습니 다.
보험연구원은 이용자가 "KIRI"에 게시하거나 등록하는 내용 물이 다음 각 사항에 해당된다고 판단되는 경우에 사전 통지 없이 삭제할 수 있습니다.

제1조 시행일
이 약관은 2008년 6월27일 부터 시행합니다.

닫기

보험연구원은 정보통신망법 제50조의 2, 제50조의 7 등에 의거하여 본 웹사이트에 개제된 이메일주소가 전자우편 수집 프로그램이나 그 밖의 기술적 장치 등을 이용하여 이메일 주소를 무단으로 수집하는 행위를 거부합니다.

이를 위반시 정보통신망법에 의해 형사처벌됨을 유념하시기 바랍니다.

닫기

전체메뉴

위험 수준 결정

최근 IT 부문의 위험관리에 대한 관심이 급증하면서 주요 기관, 기업들이 IT 위험관리 체계구축 및 시스템 도입을 추진하고 있다. 예기치 못한 손실로 인해 기업의 비즈니스가 중단되고, 심각한 타격을 입는 상황을 방지하기 위해서다. IT위험관리의 기본 개념에 대해 알아본다.

연재순서
1회 : 일반적인 정보보안 위험관리(이번호)
2회 : KRI 이용한 강화된 위험관리 방안
3회 : 개인정보보호에 특화된 위험관리 방안

‘위험’이란, 목적에 도달하는데 방해가 되거나 직접적으로 손실을 초래할 수 있는 잠재 사건을 의미한다. 이에 비춰보면 위험관리는 위험 수준에 따라 비용 대비 효과를 고려해 효율적이고 효과적으로 대응할 수 있도록 하는 일련의 프로세스를 말하며, 위험의 사전식별과 위험 수준 평가 등이 이뤄져야 한다.


위험관리 활동은 경영, 금융, 신용, 도로/항만 등 다양한 부문에서 이미 활성화돼 있으며, 위험의 종류나 내용은 다르더라도 위험을 식별, 평가, 대응을 하는 방법론적인 측면에서는 큰 차이가 없다. 이와 마찬가지로 정보보호 부문을 포함한 IT위험관리도 식별된 각 위험에 대한 영향과 발생가능성을 평가, 위험 수준을 도출하고, 도출된 위험의 수준과 비용대비 효과를 고려한 차별화된 개선 대책을 수립·이행하는 일련의 프로세스를 따른다.

IT 위험관리는 접근방식에 따라 ‘IT 자산과 관련된 기술적 위험’에 대한 관리와 ‘IT 관련 업무 프로세스와 관련된 관리적 위험’으로 구분될 수 있으며, 기술적 위험과 관리적 위험, 이 두 가지 방식이 함께 수행돼야 효과적인 위험관리가 이뤄질 수 있다.

- IT 자산(서버, 데이터베이스, 네트워크, 애플리케이션 등)과 관련된 기술적 위험은 주요 IT 서비스 제공에 이용되는 IT 자산에 대해 취약점 평가를 통해 수행된다.
- IT 관련 업무 프로세스 (기획, 개발, 유지보수, 운영 등)와 관련된 관리적 위험은 IT 부서의 각 업무 프로세스에 대해 통제 수준의 평가를 통해 수행된다.

위험관리의 가장 큰 목적은 한정된 예산을 가지고 기업의 위험을 효과적으로 대응하기 위함이다. 위험관리는 최근 이슈가 되고 있는 ‘유효성(Effectiveness)과 효율(Efficiency)을 통한 IT 가치창출’을 목적으로 하는 IT 거버넌스(IT Governance)와도 연관될 수 있어 IT 부문에서도 위험관리의 필요성 인식이 점차 확대되고 있는 상황이다.
IT 위험관리 활동의 수행을 통한 기대 효과로는 ▲처리되는 정보의 보안성 및 정확성 확보 ▲IT 서비스의 안정성 및 가용성 확보 ▲효율적이고 효과적인 IT 서비스 제공 및 품질 향상 ▲각종 IT관련 규제에 대한 대응수준 향상 ▲한정된 IT 예산의 효율적 이행을 위험 수준 결정 위한 의사결정 지원 등을 꼽을 수 있다.
이러한 IT 위험관리는 다양한 국제표준, 지침 및 규약에서 의무화하고 있는데, 이러한 표준, 지침 및 법규를 정리하면 과 같다.

● 바젤 위원회(Basel Committee) 정의
바젤(Basel)은 운영리스크를 대상으로 한다.


운영리스크는 부적절한 내부 프로세스, 사람 및 시스템과 외부 사건들로 인해 손실이 발생할 수 있는 가능성을 의미하며, 와 같은 과정을 거쳐 위험 수준이 결정된다. 이러한 정의는 내부통제 국제표준인 ‘COSO 인터널 콘트롤 프레임워크(COSO Internal Control Framework)’, 미국 연방정부 정보시스템 위험관리 표준인 ‘NIST SP800-30’ 등 다양한 국제표준 및 지침에서 널리 채택돼 사용되고 있다.

● ISO 보안관리 표준 정의
IT 보안 위험은 특정 위협이 자산의 취약성을 이용해 조직에 손실이나 손상을 끼칠 수 있는 잠재성을 의미한다.

기술적 위험관리
기술적 위험이란 IT 서비스 제공에 이용되는 서버, 데이터베이스, 네트워크 및 응용프로그램에 대해 수행돼야 하며, 은행에 악영향을 끼칠 수 있는 다양한 잠재 취약점에 의해 발생할 수 있는 위험을 말한다. 이러한 기술적 위험을 식별하기 위해서는 하드웨어, 소프트웨어 공급업체의 기술 문서, 각종 보안/운영 지침과 가이드라인 등을 참조해 취약점 평가 체크리스트를 작성해야 한다.
궁극적으로 위험의 제거 혹은 완화를 위한 활동을 수행해야 하는데, 구성/설정의 변경을 통해 ‘빠른 교정(Quick Fix)’이 가능한 위험에 대해서는 비용과 시간을 최소화할 수 있도록 즉각 교정을 수행하고, 빠른 교정을 수행할 수 없는 위험에 대해서는 효과/효율적인 개선 대책의 수립을 위해 위험 평가를 실시하는 것이 바람직하다.


위험 평가가 필요한 경우에는 위험 수준을 도출하기 위해 위험의 영향과 발생가능성을 평가한다. 이러한 평가는 조직의 비전 및 목적, 사업부문, 규모 등에 따라서 다소 달라질 수 있지만, 통상적으로 와 같은 표를 이용해 등급을 부여하는 방식으로 이뤄지게 된다.


이러한 평가표를 통해 각 기술적 위험에 대해 평가된 영향 및 발생가능성 평가 등급으로부터 최종적인 위험의 수준을 도출하게 된다. 최종적인 위험 수준 도출에는 와 같은 리스크 레벨 매트릭스(RISK LEVEL MATRIX)를 이용할 수 있다.
위험 수준에 따라 차별화된 위험 대응방안을 수립해야 하며, 위험의 수준에 따른 적합한 개선안을 선택함으로써 효율적이고 효과적인 개선 대책을 수립·이행할 수 있다. 즉, 매트릭스 상에서 3, 4, 5에 해당하는 위험은 반드시 사전에 예산을 확보해서라도 예방위주의 대응이 필요하며, 1에 해당하는 위험은 위험을 보험회사에 전가하거나, 조직적으로 수용하는 것이 검토될 수 있다.


관리적 위험이란 IT 업무 프로세스에서의 통제상 취약점을 위험 수준 결정 의미한다. 이러한 취약점의 식별은 현재의 업무 프로세스와 COBIT 등에서 제시된 선진사례(통제 목적 및 통제 사례)와의 차이(Gap) 분석을 통해 이뤄진다. COBIT에서는 34개 프로세스에 대해 318개의 통제 목적(Control Objectives)을 정의하고 있으며, 각 통제 목적은 여러 통제 사례(Control Practice)를 예시로서 포함하고 있다. IT 업무 프로세스에 대한 통제 취약점의 식별은 이러한 통제 목적과 통제 사례를 업무 프로세스 현황과 비교함으로써 이뤄진다.
관리적 위험의 평가 과정은 기술적 위험의 평가 과정과 동일하다. 기술적 위험의 경우와 동일한 방식으로 만약 식별된 관리적 위험 중 빠른 교정이 가능한 항목이 있다면, 이러한 위험은 위험 평가 대신 빠른 교정이 수행된다. 관리적 위험에 대한 개선 대책의 수립 및 이행 역시 기술적 위험관리에서의 과정과 동일하다.


관리적 위험과 이에 대한 개선 계획은 과 같은 과정으로 진행되게 된다. 은 관리적 위험에 대한 개선 계획 수립의 예다.
지금까지 IT위험관리의 기본 개념에 대해 설명했다. IT위험관리를 통해 기업은 보다 한정된 IT 예산을 보다 효과적으로 사업의 연속성을 보장하는데 사용할 수 있을 것이다. 다음호에서는 이러한 IT위험관리를 보다 실질적으로 보여줄 수 있는 ‘핵심위험지표(KRI)를 이용한 위험관리 방안’에 대해서 살펴보도록 하겠다.


0 개 댓글

답장을 남겨주세요