운영 위험 관리자는 사람, 내부 프로세스, 시스템 또는 외부 이벤트로 인한 오류, 위반 또는 손상으로 인한 손실과 같은 운영 위험을 관리합니다. 운영 위험은 사소한 인적 오류로 인한 손실 위험과 같은 작은 것부터 심각한 사기로 인한 파산 위험과 같은 큰 것까지 다양합니다.

운영 위험 관리자

운영 위험 관리자는 조직의 위험 태세를 관리하는 운영 위험 팀의 일원입니다. 위험 태세는 회사의 현재 위험 프로필입니다. 운영 위험 관리자는 다음 작업을 수행해야 합니다.

운영 위험 프레임워크 정의

강력한 위험 관리 프레임워크를 정의하여 조직의 운영 위험을 효과적으로 관리합니다. 이 프레임워크는 위험을 식별하고 이러한 위험을 완화하기 위한 통제 프레임워크를 정의하는 데 도움이 됩니다. 위험 관리 프레임워크는 다음 구성요소로 구성됩니다.

• 위험 식별
• 위험 측정 또는 점수 산정
• 위험 완화
• 위험 보고 및 모니터링

라이브러리 설정

다음을 수행하여 포괄적인 라이브러리를 설정합니다.

• 위험 설명 생성: 위험 설명은 모든 사람이 위험의 심각도 또는 상대적 우선순위에 대해 공통의 합의에 도달할 수 있는 방식으로 위험을 기록하는 데 사용됩니다.
• 통제 목표 생성: 통제 목표는 위험 완화 통제의 목적을 정의합니다. 이러한 통제는 지속적인 모니터링이 필요합니다.
• 엔터티 클래스, 엔터티 유형 및 엔터티 정의: 엔터티에 대한 자세한 내용은 엔터티 이해를 참조하세요.
• 업스트림 및 다운스트림 엔터티 정의

첫 번째 단계는 팀이 위험에 대한 구체적인 아이디어를 알 수 있도록 위험 설명을 설정하는 것입니다. 예를 들어, 단순히 위험을 사이버 보안 위험이라고 부르는 것은 구체적이지 않습니다. 사이버 보안 위험은 사람마다 다른 의미를 가질 수 있습니다. 따라서 사이버 보안을 정의하는 공통 설명이 위험 설명으로 생성됩니다. 위험 보고서와 해당 계층 구조를 만들려면 위험 영향, 위험에 처한 자산 및 위험 소스를 명확하게 정의하십시오. 위험 설명을 정의하고 계층 구조를 생성하면 위험 점수가 집계되어 전체 위험 상태를 제공할 수 있습니다.

주기적으로 위험 평가 수행

조직의 정책에 따라 연간 위험 평가를 수행합니다. 또한 위험 레지스터가 업데이트되고 정확한지 확인합니다. 위험 평가 범위를 생성하고 평가를 예약합니다. 위험 레지스터에 대한 자세한 내용은 다음 문서를 참조하십시오 위험 작업 공간의 위험 등록.

위험 이벤트 기록 및 모니터링

위험 이벤트는 조직 내에서 발생하는 잠재적 또는 실제 재무 및 비재무 손실, 아차사고 및 이익입니다. 위험을 효과적으로 관리하려면 위험 이벤트를 모니터링하고, 근본 원인 분석을 수행하고, 정정 작업을 추적하는 것이 필수적입니다. 조직은 위험 이벤트를 사용하여 손실을 이해하고 개선 영역을 분석하여 추가 손실을 줄입니다. 손실 이벤트 레지스터를 유지관리하여 완전한 이벤트 정보를 캡처하고 향후 위험을 완화하기 위한 추가 통제를 제안해야 합니다.

주요 위험 표시기 정의

기업의 위험 태세를 지속적으로 모니터링합니다. 위험 및 통제에 대한 지속적인 모니터링에는 주요 위험 및 통제 표시기를 식별하고 만드는 작업이 포함됩니다. 자동 데이터 수집 또는 수동 작업을 통해 이러한 표시기에 대한 지원 정보를 수집할 수 있습니다. 그런 다음 표시기 결과를 사용하여 통제 문제를 생성하고, 위험 태세의 변화를 알리고, 감사 활동 및 통제 테스트에 대한 지원 정보를 제공합니다. 표시기 임계치를 위반하는 경우 해당 이해 관계자에게 에스컬레이션해야 합니다.

문제 및 인시던트 관리

위협을 가하는 환경, 프로세스 또는 시스템에 변경이 있을 때 문제가 생성됩니다. 문제의 경우 인시던트 또는 손실을 방지하기 위한 조치가 필요합니다. 인시던트는 부정적인 영향을 미치는 성공적인 결과 또는 이벤트입니다. 운영 위험 관리자는 문제와 인시던트를 보고, 생성하고, 관리할 수 있습니다. 문제 및 인시던트의 추적, 적절한 종결, 정정 및 모니터링을 보장합니다.

운영 위험 태세 전달

데이터를 효과적이고 정확하게 보고하도록 대시보드를 정의합니다. 운영 위험 팀의 임원 및 책임자와 공유할 수 있는 필수 보고서를 생성해야 합니다. 보고서와 대시보드는 조직 전체에서 집계된 평가 결과가 기업의 주요 운영 위험을 식별하는 데 도움이 되도록 합니다.

다음 표에는 운영 위험 관리자 역할에서 수행하는 주요 작업이 나열되어 있습니다.

표 1. 운영 위험 관리자의 작업

활동	작업
운영 위험 프레임워크 정의	위험 설명서 생성 위험 작업 공간에서 위험 프레임워크 생성 위험 작업 공간에서 위험 설명을 통제 목표와 연결
운영 위험 태세 전달	위험 작업 공간의 고급 위험 평가에 대한 운영 위험 히트맵 클래식 위험 평가를 위한 위험 히트맵
중요한 인시던트 및 문제 모니터링	문제 보기, 생성 및 관리
주요 위험 표시기 정의	위험 표시기, 통제 표시기 및 표시기 템플릿
연간 위험 평가 프로세스 수행	위험 평가 방법론 구성 요소 생성 위험 평가 범위 생성 위험 작업 공간에서 위험 평가 예약 위험 작업 공간에서 고급 위험 평가 수행
손실 이벤트 기록 및 학습 촉진	위험 이벤트 관리 위험 작업 공간에서 위험 이벤트 생성 위험 작업 공간에서 위험 이벤트 분석 다음에서 위험 이벤트 항목 생성 위험 작업 공간
집계된 위험 보고서 생성	위험 관리 애플리케이션의 보고서

다음 이미지는 운영 위험 관리자의 뷰를 보여줍니다.