리스크 및 ISO 규격 통합
일부 조직은 개선을 위한 수단으로 리스크를 수용하는 방법을 아는 것을 다른 조직보다 더 잘하며 종종 자신도 모르게 그렇게 합니다. 실제로 정보 보안과 같이 익숙하지 않은 특정 측면에서 리스크를 두려워하는 조직은 속임수를 놓칠 수 있습니다. 리스크를 회피하고 안전하게 행동한다는 것은 조직이 차선책으로 운영되고 있음을 의미할 수 있습니다.
조직이 리스크를 감수해야 한다고 말하기는 쉽지만 리스크가 높을 때는 그렇게 하기가 쉽지 않습니다. 이것이 바로 ISO 경영시스템 표준이 조직에 가치를 분명히 추가하는 이유입니다. 이는 지속적인 개선을 위한 리스크 기반 프레임워크를 제공합니다. 바로 위험이 기회라는 좋은 예입니다.
ISO 표준은 몇 가지 방법으로 조직을 돕습니다. 첫째, 옳지 않은 것을 다루지 않거나 그 반대인 기회 비용이 있습니다. 바로 실패 비용입니다. 예를 들면 다음과 같습니다. 현재 작동하는 IT 시스템 – 오래되었지만 안정적이고 잘못되지 않습니다 – "고장이 아니라면". 그리고 그것은 조직의 존재 이유를 뒷받침하므로 매우 중요합니다. 하지만 하드웨어와 운영체제가 더 이상 지원되지 않아 가용 대체품도 적고 보안 패치도 공개되지 않아 취약합니다. NQA는 종종 이러한 예를 접합니다. 해결되지 않은 리스크이지만 실패 비용은 매우 높을 가능성이 있습니다.
둘째, 리스크에 대처하는 것은 단순히 변화를 통해 기회를 열 수 있습니다. 그러나 이러한 기회가 발생하는 리스크를 적극적으로 관리해야 합니다. ISO 경영시스템 표준의 리스크 경영 프레임워크를 사용하면 조직이 상황에 따라 리스크를 검토하여 상황을 개선할 수 있습니다. 이는 실패 비용을 줄이거나 변화의 이점을 수용하는지 여부에 관계없이 지속적인 개선입니다.
모든 ISO 경영시스템 표준은 Annex SL로 알려진 공통 구조로 운영합니다. 이러한 공통점으로 인해 조직에서 표준을 훨씬 쉽게 통합할 수 있습니다. 이는 품질, 환경 및 에너지 관리와 같은 여러 표준에 대해 인증된 조직이 단일 리스크 프레임워크에서 여러 분야에 걸쳐 이점을 얻을 수 있음을 의미합니다. Annex SL 표준에 대한 자세한 내용은 여기에서 확인할 수 있습니다.
NQA의 정보 보증 책임자인 Tim Pinnell은 최근 IIRSM 웨비나에서 리스크 관리에 대한 ISO 경영시스템의 이점에 대해 말했습니다. 그는 Risk Evolves 컨설팅 기관 이사인 Helen Barge와 AJ Gallagher Corporate Insurance의 Ian McKinney와 함께했습니다.
궁극적으로 우리는 동일 주제에 대해 3가지 관점이 있습니다:
-
Tim - 경영시스템 심사원으로써
-
Helen - 경영시스템 실행 조직의 컨설턴트로써
-
Ian - 2가지 조직 유형을 위한 보험 브로커 - 경영시스템을 실행하거나 실행하지 않는 조직
압도적인 결론은 경영시스템에 대한 인증을 받은 조직이 효율성, 낮은 실패 비용, 기회 증가, 공급망의 리스크 감소, 규모가 더 큰 내부 및 외부 보증을 포함하여 리스크와 이점을 훨씬 더 잘 관리한다는 것입니다.
작성자 - Tim Pinnell, NQA 정보보안 보증 책임자