A Study on Standard Process of Risk Management for Defense Systems Test Works

Taeheum Na; Dongeun Heo; Youngmin Kim; Jooyeoun Lee

doi:10.9766/KIMST.2024.27.3.364

Abstract

Today, risks created by uncertainty must be managed for successful project execution. From this perspective, applying a risk management process is very important for successful defense systems test works. This paper describes ‘the implentation of risk management process for test work’ carried out by DTERI's process improvement activities. In this study, the concept of risk management process, and details of the risk management process are examined through PMBOK and ISO/IEC/IEEE 15288, CMMI. After that, we defined ‘Standard Process for Risk Management’ of defence systems test works. And, we describe ‘Risk Management Function’ of DTERI's Project Management System(PMS) and the risk management process of DTERI. Finally, the effectiveness of the risk management standard process is verified through quantitative analysis.

Keywords: Risk Management(리스크관리), Threat(위험/위협), Opportunity(기회), Issue(현안), Project Management System(과제관리시스템), Defense Systems Test Works(무기체계시험업무)

서 론

프로젝트는 프로젝트 내·외부의 구성요소들이 상호작용하는 복잡성, 요구사항 또는 구현 기술을 정확하게 이해하지 못할 수 있다는 모호성, 미래는 원래 예측하기 힘들다는 변동성 등으로 인해 불확실성이 발생하고, 불확실성은 리스크(Risk)를 만든다고 할 수 있다^[1]. 모든 프로젝트는 미래의 불확실성을 내포하여 리스크 없는 프로젝트는 없으며, 리스크는 꼭 관리해야 하는 대상이다^[2]. 우리가 인식하는 프로젝트의 리스크는 실제로 프로젝트가 안고 있는 모든 리스크가 아니다. 또한 프로젝트에 내재된 모든 리스크를 인지하고, 해소할 방법도 없기 때문에 리스크는 제거하는 것이 아니라 관리해야 하는 것이다^[3].

오늘날 무기체계 시험업무는 무기체계의 고도화, 복합화, 대형화 추세에 따라 무기체계의 성능검증을 위해 그 중요성이 더욱 부각 되고 있다. 특히 대형 무기체계의 경우, 시험수행 시 대규모의 인력과 예산이 투입되고, 무기체계의 성능검증을 위한 객관적 정보를 확보하기 위해 다수의 계측장비와 시험 인프라가 활용된다. 성공적인 시험수행을 위해서는 기술, 예산, 일정 또는 공헌도 관점에서 시험업무 수명주기와 시험조직의 운영 등 시험업무의 특성을 고려한 체계적인 리스크 관리가 필수적이다. 국방시험연구원(이하 시험원)은 2006년부터 CMMI 모델의 위험 및 기회관리 프랙티스의 적용을 통해 수행하는 여러 시험 프로젝트 및 기본 업무에 대해 리스크를 관리하고 있다. 그러나 CMMI 모델은 일반적인 성공사례 등에서 제시하는 “어떻게 일을 수행하는가?”에 대한 내용보다 “무슨 일을 수행하는가?”에 대한 내용 위주로 정의되어있어, 시험업무에 대한 체계적인 리스크 관리를 위해서는 시험업무의 특성을 반영한 방법론으로써 표준 프로세스 개발이 필요하다.

우주발사체와 같은 대형복합시스템 연구개발에서의 리스크 관리는 2000년대 중반 우주발사체 개발의 본격 추진에 따라 SECM(Systems Engineering Capability Model)을 적용한 리스크 관리 프로세스를 개발하여 적용하고 있다^[4-6]. 소프트웨어 개발 및 IT 프로젝트 분야에서는 2010년대 초반 CMMI(Capability Maturity Model Integration) 모델의 프랙티스를 적용하여 리스크 관리 프로세스를 구축하고 있다^[7-9]. 최근에는 국방 분야에서도 체계적인 리스크 관리를 위해 연구가 이루어지고 있다. 2010년대 후반부터 무기체계 획득 및 체계개발 분야에 리스크 관리 개념을 적용하여 방위력 개선 사업 수행 시 리스크 관리를 위한 절차와 방법을 정의하고, 연구개발주관기관의 관점에서 체계개발 단계의 리스크 관리 고려사항에 대해 기술한 가이드북을 발간하는데 이르렀다^[10-12]. 그러나 이러한 연구는 획득과 연구개발에 국한되어, 무기체계 시험업무 영역의 특성을 고려한 관련 연구는 전무한 실정이다. 또한, 앞서 기술한 산업계의 선행 연구들은 리스크의 부정적인 불확실성만을 관리의 대상으로 고려하고, 긍정적인 불확실성인 기회에 대한 관리는 적용하지 않는 한계점을 지니고 있다.

이러한 관점에서 본 연구의 목적은 성공적인 시험업무 수행을 위해 부정적 불확실성인 위협과 긍정적 불확실성인 기회 모두를 관리하고, 무기체계 시험업무의 특성을 반영한 통합 리스크 관리 표준 프로세스의 개발에 있다. 또한 표준 프로세스를 효율적으로 수행하고 관리하기 위한 전산지원도구 활용에 대한 실증적인 적용 방안을 연구하였다. 이를 위해 리스크의 개념을 살펴보고, 리스크 관리와 관련한 표준, 프레임워크, 모델의 프로세스를 비교 분석하였다. 이후, 무기체계 시험업무의 특성을 반영한 리스크 관리 표준 프로세스를 정의한다. 또한 앞에서 정의한 리스크 관리 표준 프로세스의 적용 결과에 대한 정량적 분석을 통해 리스크 관리 표준 프로세스의 효용성을 인식한다.

본 논문의 구성은 다음과 같다. 서론에서는 연구의 목적과 필요성을 제시하였고, 2장에서는 리스크 및 리스크 관리의 개념과 리스크 관리에 관한 프레임워크와 표준, 모델에 대해 분석하였다. 3장에서는 본 연구의 연구대상인 무기체계 시험업무에 대한 리스크 관리 표준 프로세스를 정의하고, 전산지원도구 활용에 대하여 기술한다. 4장에서는 정량적 분석을 통한 리스크 관리 표준 프로세스의 효용성을 검증하며, 5장에서는 본 논문의 결과를 정리 및 요약하였다.

리스크 관리의 개념 및 분석

2.1 리스크와 현안

전통적으로 ‘리스크’라는 단어는 부정적인 의미로 사용된다. 또한, ‘리스크’를 ‘위험’이라 번역하고 있는데, 위험이라는 단어는 부정적인 의미로 한정되는 경우가 대부분이다. 그러나 리스크라는 단어가 부정적인 의미를 지니고 있기는 하지만 철저한 사전 준비와 예측을 통해 관리할 수 있는 리스크는 위협이 아닌 기회가 될 수 있다^[3]. 이러한 이유로, 과거의 리스크는 프로젝트, 과업 및 사업에 부정적인 영향을 미칠 수 있는 발생하지 않는 사건으로 정의하고 관리해 왔으나, 현재의 리스크는 ‘부정적인 영향(위험/위협; Threat)’과 ‘긍정적인 영향(기회; Opportunity)’을 미칠 수 있는 사건들을 모두 리스크로 관리하여야 한다. 따라서, 리스크는 위험과 기회를 모두 포함하는 용어로 이해하는 것이 타당하다. 이런 사항을 고려할 때 프로젝트에 부정적인 영향을 미칠 수 있는 불확실한 사건은 위험으로, 프로젝트에 긍정적인 영향을 미칠 수 있는 불확실한 사건은 기회로, 위험과 기회를 모두 포함하는 개념으로 리스크를 정의해야 한다^[13,14]. 프로젝트에서 리스크 관리의 목적은 프로젝트의 긍정적 사건의 확률과 영향을 높이고, 부정적 사건의 확률과 영향은 낮추는 것이다.

리스크와 비슷하게 사용하는 용어로 ‘현안(Issue)’이 있다. 그러나 리스크와 현안은 반드시 구분해야 할 개념이다. 리스크와 현안은 프로젝트의 성공에 매우 중요하며, 방치되거나 부적절하게 관리될 때 프로젝트 목표 달성에 큰 영향을 미친다. 리스크와 현안을 구분하는 가장 큰 차이점은 발생 여부이다. 리스크는 아직 일어나지 않았고, 앞으로 일어날 수도 있고, 일어나지 않을 수도 있는 잠재적인 문제이다. 프로젝트 관리자는 이러한 상황을 광범위하게 계획하여 리스크가 발생할 경우를 대비하여 미리 계획한 완화 계획을 수행할 수 있다. 이러한 계획을 수행함으로써 리스크가 프로젝트에 크게 영향을 미치지 않도록 한다. 반면에 현안은 이미 발생하여 프로젝트에 영향을 미치는 사건이다. 현안은 해결에 대한 즉각적인 관심을 요구한다. 추가적인 영향을 완화하기 위해 바로 조치해야 할 사건이다. 현안을 조치하기 위한 계획을 수립하여 실행해야 한다. 미리 식별된 리스크로부터 문제가 발생하면, 사전에 계획한 리스크 대응계획을 적용하며, 발생한 리스크는 현안으로 취급하여 바로 조치해야 한다.

2.2 리스크 관리 프레임워크와 표준, 모델

리스크 관리에 관한 프레임워크와 표준, 모델은 다양한 형태로 제시되고 있다. 대표적으로 ‘PMBOK’, ‘PRINCE2’ 및 ‘ISO/IEC/IEEE 15288’, ‘ISO 21502’ ‘CMMI’ 등은 프로젝트의 전반적인 관리 범위 안에서 리스크 관리를 다루고 있는 프레임워크와 표준, 모델이다. 반면, ‘ISO 31000’은 프로젝트 관리론의 일부가 아닌 리스크 관리 자체에 대한 독립적인 표준이다. 본 절에서는 프레임워크, 표준, 모델을 대표하는 PMBOK, ISO/IEC/IEEE 15288, CMMI에 대해 분석하고자 한다.

2.2.1 PMBOK Guide

PMBOK Guide 제6판에서 정의하고 있는 리스크 관리 프로세스는 모두 7개의 프로세스로 구성되어 있는데, Table 1과 같이 프로젝트 관리의 계획, 수행, 통제 단계로 구분할 수 있다. 총 7개의 리스크 관리 프로세스 중에서 5개의 프로세스는 계획 단계에 포함되며, 수행 단계와 통제 단계에 해당하는 프로세스는 각 1개씩이다. 이는 리스크 관리는 계획 단계의 준비가 매우 중요하다는 점을 강조하고 있다^[14].

Table 1.

Process of risk management(PMBOK Guide, 6th Ed)

단계	프로세스
Planning	11.1 Plan Risk Management
	11.2 Identify Risks 11.3 Perform Qualitative Risk Analysis
	11.4 Perform Quantitative Risk Analysis
	11.5 Plan Risk Responses
Executing	11.6 Implementation Risk Responses
Monitoring & Controlling	11.7 Monitoring Risks

2.2.2 ISO/IEC/IEEE 15288:2015

ISO/IEC/IEEE 15288의 시스템 라이프 사이클 프로세스 4개 그룹 중 기술관리 프로세스에서 제시하는 리스크 관리 프로세스는 리스크 관리 계획, 리스크 프로파일 관리, 리스크 분석, 리스크 처리, 리스크 모니터링으로 구분되며, 세부 내용은 Table 2와 같이 정의한다^[15].

Table 2.

Process activities of risk management process (ISO/IEC/IEEE 15288)

프로세스	내용
Plan Risk Management	• 리스크 전략의 정의 및 문서화
Manage the Risk Profile	• 리스크의 컨텍스트, 확률, 영향, 리스크 한계선, 우선순위 등 리스크 프로파일의 구축 및 유지
	• 리스크 한계선, 수용 가능/불가 리스크 조건의 정의 및 문서화
	• 리스크에 관해 주기적 의사소통
Analyze Risks	• 리스크 상황 정의 및 리스크 식별
	• 발생 가능성과 영향을 분석하여 리스크의 규모와 처리 우선순위 결정
	• 리스크별 처리계획, 자원 정의
	• 리스크 상황의 상태 평가 담당자 식별
Treat Risks	• 리스크 수용 기준 고려한 리스크 처리 대안 검토
Treat Risks	• 리스크 한계선이 허용 수준을 초과할 때의 조치 계획 수립
Monitor Risks	• 리스크 항목, 처리 방법의 기록/유지
Monitor Risks	• 의사소통을 투명하게 유지

2.2.3 CMMI V2.0

CMMI 모델에서의 리스크 관리는 관리(Managing) 범주의 사업 탄력성 관리(Managing Business Resilience) 역량 영역 내에 위험 및 기회 관리(RSK; Risk and Opportunity Management) 프랙티스 영역으로 제시되고 있다. CMMI 모델에서는 앞서 살펴본 바와 같이 리스크를 위험과 기회를 모두 포함하는 개념이 아닌 리스크를 부정적인 영향을 미치는 위험으로 정의한 것으로 보인다. 본 논문에서는 편의상 CMMI 모델의 “Risk and Opportunity”를 “리스크” 또는 “위험 및 기회”로 표현하였다. 리스크 관리 프랙티스는 다섯 단계 성숙도(ML; Maturity Level)에 대해 ML3까지의 프랙티스를 포함하고 있다. CMMI 성숙도 3단계(ML3) 이상의 인증을 획득하기 위해서는 리스크 관리의 모든 프랙티스를 충족해야 한다. CMMI 모델 성숙도 단계별 프랙티스의 구조를 살펴보면 영역별로 ML1∼ML5의 프랙티스 그룹으로 구성되는데, 상위 프랙티스 그룹은 하위 프랙티스 그룹을 포함하며, 상위 프랙티스는 하위 프랙티스 그룹에 추가되거나 변형되어 정의된다.

CMMI 모델의 리스크 관리 프랙티스에서도 ML1의 프랙티스는 “리스크를 식별, 기록 및 갱신한다”라는 하나의 프랙티스로 구성되어 있으며, 이는 리스크 관리에 대한 선언적 의미로 받아들일 수 있다. ML2와 ML3의 프랙티스들은 ML1에서 선언한 프랙티스를 보다 구체화하고 점진적으로 발전시키는 개념으로 볼 수 있으며, 세부 내용은 Table 3과 같이 정의한다^[16].

Table 3.

Maturity levels of RSK CMMI

구분	내용
ML1	RSK1.1 리스크를 식별, 기록 및 갱신한다.
ML2	RSK2.1 식별된 리스크를 분석한다.
ML2	RSK2.2 식별된 리스크를 모니터링하고, 영향을 받는 이해관계자들과 현황을 공유한다.
ML3	RSK3.1 리스크 범주를 식별하고 활용한다.
	RSK3.2 리스크의 분석과 처리를 위한 파라미터를 정의/활용한다.
	RSK3.3 리스크 관리 전략을 수립/갱신한다.
	RSK3.4 리스크 관리 계획을 개발/갱신한다.
	RSK3.5 계획된 리스크 관리 활동을 이행하여 리스크를 관리한다.

시험업무 리스크 관리 표준 프로세스

3장에서는 시험원에서 관리하는 기존 현안과 리스크 관리 현황을 분석하여 개선사항을 도출하고, 시험업무 리스크 관리 표준 프로세스를 구축하고자 한다. 리스크 관리 표준 프로세스는 2장에서 논의한 프레임워크, 표준, 모델의 연관관계를 분석하여 제시한다.

3.1 시험업무 특성

시험원에서 수행하는 모든 시험업무는 사업/과제 형태로 수행하고, 사업/과제의 수명주기는 ｢요구-계획-수행-결과｣로 정의한다^[17]. 사업/과제는 대부분 반복적인 형태로 수행되고, 이에 따라 사업/과제별 비교적 반복되는 현안이 발생한다. 이러한 특성에 따라 시험업무의 수명주기와 반복적으로 발생하는 현안의 효율적인 대응을 위한 리스크 관리의 측면이 더욱 중요하다.

또한 사업/과제 기반의 시험업무는 공통의 시험 인프라와 조직을 활용하여 수행함에 따라 특정 사업/과제에서 발생하는 현안보다는 조직운영 차원의 공통된 리스크에서 발생하는 현안의 발생 비율이 높다. 이에 따라 조직의 효율적인 운영을 위한 조직운영 측면의 리스크 관리 또한 중요하다.

3.2 현안 및 리스크 관리 현황 분석

과거 현안으로 발생한 내용을 분석하고, 그 결과를 리스크 관리에 반영한다면, 효율적인 리스크 관리가 가능할 것이다. 이를 위해 시험원에서 운용하고 있는 과제관리시스템에 등록된 2015년에서 2021년까지의 현안 데이터 2,611건 중 리스크 관리를 통하여 개선 효과를 높일 수 있을 것으로 판단되는 시험관리, 고객요구, 기술, 일정/비용과 관련한 현안 469건을 집중관리 대상으로 선정하고, 시험원 10개 부서에서 관리하고 있는 리스크 항목 75건을 대상으로 분석하였다.

분석 결과 리스크가 실제 발생했음에도 불구하고 현안으로 이관, 관리되는 경우가 적음을 확인하였다. 집중관리 대상 현안 469건 중 리스크 관리를 통해 식별된 현안은 10건(2.1 %) 수준이었다. 리스크 관리와 현안 관리가 연동되지 않는 원인으로는 리스크 관리와 현안 관리를 별도의 활동으로 인식하는 경향이 있으며, 리스크를 식별하고 관리하기 위한 구체적인 기법에 대한 이해가 부족한 상황에서 리스크의 식별보다는 주기적인 재평가 활동을 중시하는 경향을 확인할 수 있었다. 또한, 현안 관리는 주로 보고/지시 관리와 검토 결과 관리 용도로 사용되었다.

기존 현안 데이터를 기반으로 리스크를 식별할 수 있다면, 현안 발생 전 리스크를 식별하여 위험 대응 전략에 따라 효율적으로 현안을 관리할 수 있을 것으로 판단하였다. 이에 따라 기존의 현안을 분석하여 리스크 항목 식별이 가능하도록 질문지 형태의 체크리스트로 정리하였다. 식별된 리스크 체크리스트 44개 항목 중 4건 이상의 현안과 관련된 체크리스트 14개 항목을 우선 적용하였다. 리스크 식별 체크리스트 14개 항목을 적용하여 집중관리 대상 현안 469건에 대한 연관관계를 분석할 경우, 352건(75 %)의 현안을 식별할 수 있어, 체크리스트 활용을 통한 리스크 관리의 효용성과 현안과의 연계성을 확인하였다.

Fig. 1은 리스크 식별을 위해 개발한 조직 관리 분야 체크리스크 이다.

Fig. 1.

Checklists for Identify risks

이러한, 리스크 관리 체크리스트를 활용하여 리스크 항목을 식별, 평가 및 재평가함으로써 현안의 조기 식별 및 대응을 기대할 수 있을 것이다. 리스크 식별 체크리스트는 조직 운영 및 관리 업무와 사업/과제에 모두 활용할 수 있도록 조직 관리, 사업관리의 두 가지 분야로 나누어 작성하였으며, 체크리스트와 함께 사례를 제공하여 리스크 항목을 효율적으로 식별할 수 있도록 구성하였다.

3.3 리스크 관리 프로세스 분석

시험업무 특성을 반영한 리스크 관리 표준 프로세스 도출을 위해 2장에서 살펴본 프레임워크, 표준, 모델에서의 리스크 관리 프로세스의 연관관계를 분석하고자 한다. Table 4는 ISO/IEC/IEEE15288, PMBOK Guide 의 리스크 관리 프로세스와 CMMI V2.0 리스크 관리 성숙도 단계별 활동의 연관관계를 정리한 것이다. 리스크 관리 프로세스와 활동사항을 매핑하여 확인한 결과 상호 프로세스를 모두 충족하는 것으로 판단된다^[18]. 리스크 관리 프로세스를 분석한 결과 시험업무 리스크 관리 공통 프로세스는 리스크 계획, 리스크 식별, 리스크 분석, 리스크 대응 계획 수립 및 대응, 리스크 감시로 정의하고자 한다.

Table 4.

Comparison of risk management process

PMBOK Guide	ISO/IEC/IEEE15288	CMMI V2.0
11.1 Plan Risk Management	6.3.4.3.a) Plan Risk Management	3.2 리스크 분석/처리 파라미터 정의/활용
		3.3 리스크 관리 전략 수립/유지
		3.4 리스크 관리 계획 개발/유지
11.2 Identify Risks	6.3.4.3.b) Manage the Risk Profile	1.1 리스크 식별, 기록 및 유지관리
11.2 Identify Risks	6.3.4.3.b) Manage the Risk Profile	3.1 리스크 범주 식별활용
11.3 Perform Qualitative Risk Analysis	6.3.4.3.c) Analyze Risks	2.1 식별 리스크 분석
		3.1 리스크 범주 식별활용
		3.2 리스크 분석/처리 파라미터 정의/활용
11.4 Perform Quantitative Risk Analysis		2.1 식별 리스크 분석
11.4 Perform Quantitative Risk Analysis		3.2 리스크 분석/처리 파라미터 정의/활용
11.5 Plan Risk Responses	6.3.4.3.d) Treat Risks	3.4 리스크관리계획 개발/유지
11.6 Implementation Risk Responses	6.3.4.3.d) Treat Risks	3.5 리스크 관리활동 이행/리스크 관리
11.7 Monitoring Risks	6.3.4.3.e) Monitor Risks	2.2 리스크 모니터링/이해관계자 공유

3.4 시험업무 리스크 관리 표준 프로세스

3.3절에서 분석한 리스크 관리 공통 프로세스를 바탕으로 시험업무 리스크 관리 표준 프로세스를 정의하고, 구체적인 방법론을 제시하고자 한다.

Fig. 2는 시험업무 리스크 관리 프로세스를 새롭게 정의한 것이다. 시험업무 리스크 관리 프로세스의 활동 영역은 리스크 계획, 리스크 식별, 리스크 분석, 리스크 대응 계획수립 및 대응, 감시영역으로 구분한다. 리스크 감시와 리스크 식별 활동은 현안 관리 활동과 연계하여 수행하고, 추적성을 확인한다. 시험업무 리스크 관리 프로세스는 3.2절에서 정의한 리스크 식별 체크리스트를 활용하여 리스크를 식별하는 것으로부터 시작한다. 이후, 리스크 분석, 리스크 대응 계획 수립, 리스크 대응 실행을 거쳐 다시 리스크를 식별하는 단계를 반복하여 수행한다. 이러한 과정에서 리스크 감시를 지속적으로 수행하며, 리스크가 실제 발생할 경우 현안관리로 이관하여 관리한다. 또한 현안관리를 참고하여 리스크를 식별하는 단계로 반영하여야 한다.

Fig. 2.

Risk management process of defense systems test works

이러한 일련의 과정은 리스크 관리 지침과 계획에 따라 수행되며, 이 모든 과정은 과제관리시스템에서 지원한다.

3.4.1 리스크 관리 지침 및 계획

시험원은 시험업무에 대한 프로세스 분석 활동을 통해 공통으로 적용하는 사업/과제 및 시험업무 흐름도를 바탕으로 시험원의 통합된 표준 프로세스를 구축하였다. 통합된 표준 프로세스는 시험원의 방침/지침으로 구성하여 시험원 전 조직에 적용하였다^[17].

시험원의 통합된 시험업무 표준 프로세스는 ‘시험업무 수행지침’과 ‘시험업무 관리지침’ 두 가지로 구성되었다. 이 중 시험업무 관리지침의 목적은 각 부서에서 수행하는 시험업무 및 제반 시험지원 업무를 연간 단위로 통합 관리하기 위한 세부 활동과 표준절차를 규정하는데 있으며, 시험원에서 실시하는 연간 부서별 업무관리에 지침이 정하는 바를 따른다. 시험원의 리스크 관리와 관련한 지침은 시험업무 관리지침에서 정의한다.

시험원 각 부서는 업무과제에 대해 리스크를 관리하기 위한 계획을 수립하고, 수립한 리스크 관리 계획은 부서별 ‘시험업무관리계획서’에 작성하여 상위관리자에게 보고한다. 이후 시험업무관리계획서를 바탕으로 업무과제에 대한 리스크를 관리한다. 시험업무관리계획서에는 크게 일반적인 리스크 관리 계획과 발생 가능성(Probability) 및 영향(Impact)에 대한 기준이 설정되어 있다. 리스크 관리 계획은 과제관리시스템의 리스크 관리 기능을 활용하여 ‘리스크 목록표’를 작성하고 관리함으로써 지속적으로 리스크를 감시하고 통제한다. 필요시 부서장 및 모든 구성원은 리스크 대응전략을 수정하고 이해당사자간 원활한 의사소통을 위해 분야별 측정자료, 산출물 등을 과제관리시스템을 이용하여 공유한다.

Table 5에는 시험업무에 대한 리스크 관리 기준을 정의하고, P-I 매트릭스를 표현하였다. P-I 매트릭스에서 영향도는 영향도 조합의 최솟값인 0.2부터 최댓값인 1.0까지 0.1 간격으로 구분하였다. 실제 영향도의 계산 시에는 27개의 조합이 가능하지만, 간결한 매트릭스 표현을 위해 9개의 조합으로 표현하였다. 국가적으로 활용되는 무기체계 시험인프라와 시험업무의 특수성을 고려할 때, 조직의 수익창출이 요구되는 일반 기업과 달리 시험업무 수행 가능 여부에 절대적인 영향을 미치는 기술 영향도가 일정과 비용의 영향도 보다 상대적으로 중요하다. 이러한 특성을 고려하여 기술, 일정(또는 공헌도), 비용의 순서로 영향도 비중을 고려하였다. 가능성은 리스크의 발생 확률로써 리스크 평가 시 0.3, 0.6, 0.9로 구분하여 적용한다. 리스크의 평가는 비용, 기술, 일정 또는 공헌도, 발생 가능성에 대한 평가기준을 바탕으로 ‘리스크 변수(Risk Score)’를 계산한다. 리스크 관리 기준표에 따라 발생 가능성과 리스크 영향의 곱으로 표현하는 리스크 변수의 표현 범위는 최소 0.06에서 최대 0.90이며, 나타날 수 있는 모든 리스크 변수의 평균은 0.36이고, 표준편차는 0.20이다. 이때 평균으로부터 표준편차만큼 큰 리스크 변수(0.56 이상)를 고위험군(High Risk), 표준편차만큼 작은 리스크 변수(0.16 이하)를 저위험군(Low Risk)으로 분류하고, 고위험군과 저위험군 사이의 평균을 포함하는 범위의 리스크 변수를 중간 위험군(Moderate Risk)으로 분류하여 관리한다. 시험원은 고위험군으로 분류되는 리스크 항목과 함께, 중간 위험군의 리스크 항목 중 리스크 변수가 평균(0.36) 이상인 리스크 항목을 집중관리 하기로 정책적으로 결정하였다. 즉, 리스크 변수의 값이 0.36 이상인 항목에 대해서는 상세 대응전략, 위협 완화전략, 기회 실현전략 등을 수립하여 집중관리 한다.

Table 5.

Probability-impact matrix of defense systems test works

* Risk score = Probability × Impact			Matrix		Probability
* Impact = C + T + (S or CM)			Matrix		0.9	0.6	0.3
Cost	Technology	Schedule(Threat) CM(Opportunity)	Impact	1.0	0.90	0.60	0.30
Cost	Technology	Schedule(Threat) CM(Opportunity)		0.9	0.81	0.54	0.27
위협: > 20 % 조정기회: 수시사업(0.2)	위협: 불가기회: 가능(0.5)	위협: 1개월 이상 지연기회: 매우 도움(0.3)		0.8	0.72	0.48	0.24
위협: > 20 % 조정기회: 수시사업(0.2)	위협: 불가기회: 가능(0.5)	위협: 1개월 이상 지연기회: 매우 도움(0.3)		0.7	0.63	0.42	0.21
위협: > 10 % 조정기회: 통합예산(0.12)	위협: 일부 불가기회: 일부 가능(0.3)	위협: 1개월 이내 지연기회: 도움(0.18)		0.6	0.54	0.36	0.18
				0.5	0.45	0.30	0.15
				0.4	0.36	0.24	0.12
위협: < 10 % 조정기회: 중기반영(0.04)	위협: 사소한 미비기회: 불가(0.1)	위협: 1주일 이내 지연기회: 보통(0.06)		0.3	0.27	0.18	0.09
위협: < 10 % 조정기회: 중기반영(0.04)	위협: 사소한 미비기회: 불가(0.1)	위협: 1주일 이내 지연기회: 보통(0.06)		0.2	0.18	0.12	0.06

리스크 발생 시 각 부서는 리스크 요소 중 실제로 발생한 사항을 주요 현안으로 분류하여 대응하고 그 결과를 기록, 관리한다. 또한 리스크 모니터링을 위해 각 부서에서는 매월 1회 이상 위험 및 기회에 대한 항목, 발생빈도, 영향 등에 대한 재평가 활동을 통해 식별한 리스크를 모니터링한다. 또한, 최소 주기로 반기 말마다 리스크를 재식별하여 관리하여야 한다.

3.4.2 리스크 항목의 식별

조직 관리 업무와 사업 관리에 대한 리스크를 식별하는데 활용할 수 있는 체크리스트는 Table 6과 같이 활용할 수 있으며, 체크리스트를 활용한 리스크 항목의 식별, 재식별 활동을 권장 주기에 맞춰 수행할 것을 권고한다. 식별한 리스크 항목은 과제관리시스템의 ‘위험/기회 관리’ 기능을 활용하여 다양한 리스크 관리 프레임워크에서 명시하고 있는 ‘리스크 관리대장(Risk Resister)’을 작성, 유지한다. 식별한 리스크 항목을 등록하거나 등록 이후 편집할 수 있는 기능은 리스크 보고서(Risk Report)의 역할도 수행한다.

Table 6.

Utilizing checklists for risk identification

구분		주기	상세활동
식 별	조직	매년	• 전체 체크리스트를 참고하여 리스크 항목 식별
식 별	사업	사업시작	• 리스크 항목 별로 비용, 기술, 일정 및 발생 가능성 평가
재 식 별	조직	반기	• 리스크 항목 별로 리스크 대응 전략 수립
재 식 별	사업	매년	• 리스크 변수 0.36 이상인 경우 상세 리스크 대응 전략 수립

리스크 관리 계획이 포함된 시험업무관리계획서에는 이해당사자간 원활한 의사소통을 위해 분야별 측정자료, 산출물 등을 과제관리시스템을 이용하여 공유하도록 정의하고 있다.

3.4.3 리스크 분석

시험원에서 수행하는 리스크 관리 프로세스에서는 PMBOK이 제시하는 정성적, 정량적 분석 프로세스 중에서 ‘정성적 리스크 분석’을 기본적으로 수행한다. 시험업무의 특성을 살펴보면 ‘정량적 리스크 분석’을 수행할 만큼 규모가 크거나, 복잡하지 않고 정량적 분석을 수행하는 것이 효율적이지 않기에 지금은 리스크 항목에 대한 정량적 분석은 수행하지 않는다. 리스크 항목을 식별하여 리스크 관리대장에 등록할 때, 각 리스크 항목에 대해 리스크 범주를 설정한다. 리스크 범주는 차후 리스크 관리 프로세스의 개선을 위해 관리 결과의 분석 및 평가를 수행할 때 활용된다.

리스크 항목에 대한 리스크 범주는 Table 7과 같은 기준에 따라, 과제관리시스템에서 설정한다. 리스크 범주는 범주1과 범주2의 두 가지로 구성되어 있다. 각각의 범주는 서로 종속적이지 않고 독립적이다.

Table 7.

Risk categories for defense systems test works

범주1	범주2
요구/계획	인력
요구/계획	기술
수행/결과	안전/보건
수행/결과	규정/지침
조직운영	일정/비용
조직운영	행정/보안

범주1인 시험업무 수명주기(Lifecycle)인 요구/계획/수행/결과에 대한 분류와 함께 조직운영의 분류를 사용하며, 범주2는 식별한 리스크의 성격을 지정하며, 시험업무의 특성과 집중관리 대상의 영역을 고려하여 선정하였다. 예를 들어 ‘OOO’이라는 리스크 항목은 사업의 ‘수행/결과’ 단계에서 발생 가능성이 있으며, ‘기술’적인 리스크일 경우, 범주1은 ‘수행/결과’, 범주2는 ‘기술’로 설정하면 된다.

리스크 항목의 분석을 위해 시험업무관리계획서에서 정의한 ‘발생 가능성 평가기준’과 ‘위험 영향 평가기준’, ‘기회 영향 평가기준’을 사용하여 ‘위험변수’ 및 ‘기회변수’를 산출한다. 리스크의 변수는 과제관리시스템이 자동으로 계산한다.

각각의 위험 및 기회 항목마다 발생 가능성과 영향을 평가하여 리스크 변수를 계산하면, 리스크 변수의 값에 따라 각 리스크 항목의 우선순위가 결정된다. 리스크 항목의 변수를 계산하여 우선순위를 결정하는 이유는 리스크 항목의 관리에 투입할 수 있는 자원과 노력의 양이 제한되어 있기 때문이다. 프로젝트를 수행하면서 가능한 많은 리스크 항목을 식별하기 위해 노력하는데, 프로젝트에 투입되는 인력, 비용 등의 자원 제약 때문에 식별한 모든 리스크를 관리할 수는 없다. 따라서, 리스크 관리의 선택과 집중이 필요하며, 높은 리스크 변수를 가진 리스크에 관리 역량을 집중할 수밖에 없다. 리스크 변수가 크다는 것은 리스크가 발생할 경우 프로젝트에 미치는 영향도 크고, 발생 가능성도 높다는 의미이다.

3.4.4 리스크 대응 계획 수립

식별한 리스크 항목에 대하여 대응 전략 등을 포함한 대응 계획을 수립한다. 리스크 분석 결과 ‘리스크 변수’의 값이 0.36 이상인 항목에 대해서는 상세 대응전략, 위험 완화전략 및 기회 실현전략 등을 수립하여 집중관리 한다.

리스크 대응 전략은 위험과 기회에 대한 전략으로 나누어 볼 수 있으며, 일반적으로 Table 8과 같은 전략을 바탕으로 계획을 수립한다.

Table 8.

Response strategies for risks

위험 대응 전략	기회 대응 전략
에스컬레이션(escalation)	에스컬레이션(escalation)
회피(avoid)	활용(exploit)
전가(transfer)	공유(share)
완화(mitigate)	증대(enhance)
수용(accept)	수용(accept)

3.4.5 리스크 대응 실행

식별한 리스크 항목에 대하여 대응 전략 등을 포함한 대응 계획을 수립한 후에는 리스크가 발생하지 않았을 경우 리스크 관리 계획에 따라 위험 완화전략 및 기회 실현전략 등을 실행하고, 리스크가 실제로 발생했을 경우에는 발생한 위험 항목 및 기회 항목을 ‘현안 관리표(Issue Register)’에 등록하여 리스크 대응방안을 실행하고 이를 추적, 관리한다.

다시 정리하면, 리스크가 발생하지 않았을 경우에는 위험에 대해서는 발생 가능성과 영향을 낮추기 위해 노력하고 기회에 대해서는 발생 가능성과 영향을 높이기 위해 노력해야 하며, 리스크가 발생했을 경우에는 현안으로 설정하여 대응 계획을 실행함으로써 현안을 바로 처리하도록 노력해야 한다.

3.4.6 리스크 감시

각 부서에서는 정기적으로 위험요소 및 기회요소를 재평가하여 리스크 관리 목록을 최신화한다. 리스크를 재평가한다는 것은 식별된 리스크 항목에 대해 정기적, 주기적으로 비용, 기술, 일정 또는 공헌도, 발생 가능성을 분석 및 평가하는 것이다. 분석 및 평가 등 재평가 활동을 통해 리스크 변수의 변화와 우선순위의 변화를 관찰하고, 수립된 리스크 대응 전략을 수정하며, 재평가 결과 리스크 변수가 0.36 이상이 되면 상세 리스크 대응 전략을 수립하는 활동을 반복한다.

식별한 리스크는 언제 발생할지 알 수 없기 때문에 항상 주시하고 있어야 한다. 그러나, 프로젝트 수행에 있어 리스크만 바라보고 있을 수는 없기에 정기적 또는 주기적으로 리스크 항목을 관리하는 노력이 필요한 것이다. 리스크의 재평가 주기는 매월 1회 이상으로 권고한다.

3.4.7 현안 관리

현안은 해결에 대한 즉각적인 관심을 요구한다. 추가적인 영향을 완화하기 위해 바로 조치해야 할 사건이다.

시험원에서는 시험업무 관리지침을 통해 위험요소 및 기회요소로 식별하지 않은 중요한 현안이 발생하면 발생한 현안을 ‘현안 관리표(Issue Register)’에 등록하여 대응방안을 수립 및 실행하고 이를 추적, 관리하도록 규정하고 있다. 또한, 이미 식별한 위험과 기회에 대해서도 리스크가 발생하면 현안으로 등록하여 처리하도록 규정하고 있다. 현안관리 또한 과제관리시스템에 기능이 구현되어 있다. 과제관리시스템을 활용한 현안의 관리는 현안의 식별(발생원 및 범주 식별, 현안 내용 파악), 원인 분석, 대책 수립, 처리 담당자지정 및 처리 경과 기록 등의 절차로 수행한다.

3.5 전산지원 도구 활용

리스크 관리의 핵심 영역인 리스크 식별, 리스크 분석, 리스크 대응 및 현안관리와의 추적성 및 연계성 확인 등은 전산지원 도구의 활용 없이 문서 작성을 통한 방식으로는 실질적인 관리가 어렵다.

시험원은 리스크 관리를 시험업무에 효과적이고 효율적으로 수행하기 위해 과제관리시스템을 개발하여 활용하였다. 시험원에서 운용하는 과제관리시스템은 2010년 개발을 시작하여 몇 차례 개선을 거치며 발전하였으며, 현재 운용 중인 시스템은 시험업무 리스크 관리 표준 프로세스를 반영하여 구축하였다.

Fig. 3은 리스크 관리 기능이 반영된 과제관리시스템의 화면이다. 검색조건은 식별일자, 범주1/2, 관리구분, 대상조직이다. 위험 관리 목록과 기회 관리 목록 우측 상단에 추가, 삭제, 다운로드 버튼이 있으며, 추가 버튼을 클릭하면 위험/기회 항목의 추가 화면이 표시되고, 삭제 버튼은 해당 항목을 삭제하며, 다운로드 버튼을 활용하여 해당 목록을 내려받을 수 있다. 목록의 내용을 클릭하면 위험/기회 항목의 편집 화면이 표시된다.

Fig. 3.

Risk management function of PMS

Fig. 4는 위험 관리, 기회 관리의 내용을 조회/편집할 수 있는 화면이다. 범주1/2, 위험/기회 식별일자, 식별된 위험/기회 요소, 위험/기회 변수 등을 입력할 수 있고, 위험대응 기록에서 그 이력을 확인할 수 있다. 관리 중인 위험/기회가 현안으로 발생하면 현안 등록 버튼을 클릭하여 현안으로 연동시킬 수 있다. 위험/기회 해제 버튼을 클릭하여, 위험/기회를 해제할 수 있다^[19].

Fig. 4.

Opportunity management function of PMS

리스크 관리 표준 프로세스의 정량적 분석

이제까지 무기체계 시험업무의 특성을 반영한 시험업무 리스크 관리 표준 프로세스의 정의와 전산지원도구의 활용에 대한 내용을 다루었다. 이번 장에서는정량적 분석을 통한 리스크 관리 프로세스의 효과성을 검증하고자 한다.

앞서 3.1절에서 논의한 바와 같이, 시험업무의 현안은 수명주기에 따라 반복적인 형태로 발생한다. 따라서 체크리스트 활용에 기반한 시험업무 리스크 관리 표준 프로세스를 적용함으로써 리스크 항목을 식별, 평가, 재평가하여 현안의 조기 식별 및 대응을 기대할 수 있다. 리스크 관리 프로세스 적용 이후 현안관리 항목 중 리스크 관리를 통해 식별된 현안의 비율을 분석하여, 시험업무 리스크 관리 프로세스의 효과성을 검증하고자 한다.

Fig. 5는 리스크 관리 표준 프로세스 구축 이전 7년 동안, 리스크 관리를 통해 식별된 현안의 비율과 리크스 관리 표준 프로세스의 적용 이후의 리스크 관리를 통해 식별된 현안의 비율을 나타낸다. 표준 프로세스 구축 전 과제관리시스템에 등록된 현안 469건 중 10건이 리스크 관리를 통해 현안으로 식별되었으나, 표준 프로세스 구축 후 1년 동안 과제관리시스템에 등록된 현안 234건 중 53건이 리스크 관리를 통해 현안으로 식별되어, 리스크 관리를 통한 현안 식별 비율은 10배 이상 향상되었다. 따라서 리스크 관리 표준 프로세스의 적용으로 리스크와 연계하여 현안 발생 시 효과적인 대응이 가능함을 의미한다.

Fig. 5.

Percentage of issues identified through risk management

결 론

프로젝트의 성공적인 수행을 위해서는 부정적 사건인 위험의 확률과 영향을 낮추고, 긍정적 사건인 기회의 확률과 영향을 높여야 한다. 이를 위해 모든 조직과 프로젝트는 리스크 관리를 하여야 한다.

본 논문에서는 무기체계 시험업무의 성공적 수행과 안정적인 조직운영을 위해 위험과 함께 기회를 포함하는 리스크 관리 개념을 적용하고, 시험업무의 특성을 반영한 시험업무 리스크 관리 표준 프로세스의 개발과 전산지원 도구를 활용한 효율적인 관리 방안을 제안하였다. 시험업무 리스크 관리 표준 프로세스는 기존의 리스크 관리와 현안 관리 현황을 분석하여 리스크 식별 체크리스트의 개발을 통해 효과적인 리스크 식별을 가능하게 하였으며, 리스크 관리 계획 및 지침을 기반으로 시험업무와 시험조직의 특성을 반영한 리스크 식별, 리스크 분석, 리스크 대응 계획 수립 및 대응 실행, 리스크 감시, 리스크와 현안과의 추적성 관리에 대한 구체적인 절차와 방법을 제시하였다. 제시한 시험업무 리스크 관리 프로세스 적용으로 현안 발생 전 리스크를 식별하여 관리함으로써 리스크가 실제 현안으로 발생시, 리스크 대응 전략에 따라 효율적으로 현안을 관리 할 수 있었다.

본 연구를 통해 무기체계 시험업무의 체계적인 리스크 관리 활동을 위한 기반을 마련하였으며, 성공적인 시험업무 수행과 효율적인 조직운영의 가능성을 향상시키는데 기여할 수 있을 것으로 기대한다. 또한,리스크 관리를 수행하는 각 조직의 실무자는 위험과 기회를 모두 관리하는 리스크 관리 개념을 인식하고, 효율적인 리스크 관리를 위한 전산지원도구의 활용과 현안과 연계한 리스크 식별 사례를 통해 각 조직의 리스크 관리 프로세스 개선에 모범 사례로 활용될 수 있을 것이다.