ERM 프로그램을 시작하기 전에 이것을 물어보십시오

개인적 결정이든 직업적 결정이든 우리 모두는 지속적으로 위험에 직면합니다.

위험을 피하는 것은 태초부터 삶의 일부였지만 현대 기업은 그 어느 때보다 더 빈번하고 더 복잡한 위험에 직면해 있습니다. 기업과 중소기업 모두에게 위협을 피하기 위해서는 다양한 전문가와 도구가 필요합니다.

예를 들어, "[빅 브랜드를 여기에 삽입]이 데이터 침해를 확인합니다."와 유사한 최근에 본 헤드라인의 수를 고려하십시오. 2019년 4월에 데이터 유출이 발생할 확률은 전년 대비 2%에서 29.6%로 증가했습니다. 데이터 침해, 재정적 손실 및 평판 손상에 초점을 맞춘 헤드라인은 오늘날의 비즈니스 환경에서 흔한 일이며 Marriott, Capital One, DoorDash와 같은 기존 회사에 영향을 미칩니다.

더 늦기 전에 적절한 기술을 마련해야 합니다. 특히 민감한 정보를 처리하는 회사의 경우에는 더욱 그렇습니다. 위험 완화 기술이 기업 IT 시스템의 핵심 구성 요소가 되지 않기에는 너무 많은 위험이 따릅니다.

IBM과 Ponemon Institute가 공동 2019년 데이터 침해 비용 보고서에서 발표한 최근 조사 결과는 무엇이 문제인지에 대해 어느 정도 명확성을 제공합니다. 다른 조사 결과 중에서도 이 보고서는 침해 후 고객 이직으로 인해 기업이 평균 140만 달러의 비용을 지출하는 것으로 나타났습니다. 또한 직원이 25,000명 이상인 회사의 전체 비용은 510만 달러라는 엄청난 비용이 들었습니다. 500~1,000명의 직원이 있는 회사의 경우 비용은 265만 달러였습니다.

데이터 유출과 새롭고 새로운 위험이 발생함에 따라 기업은 위험을 방지하고 모든 이해 관계자를 위한 단일 정보 소스를 구축하기 위해 ERM(엔터프라이즈 위험 관리)을 찾습니다.

기업 위험 관리 프로그램

오늘날의 비즈니스 세계에서 위험을 관리하기 위한 노력의 집합은 그 자체의 기능입니다. 이 기능을 ERM(Enterprise Risk Management)이라고 하며, 대내외 위협으로부터 기업을 보호하는 중요한 역할을 합니다.

G2에 따르면 기업 위험 관리 프로그램은 " 조직의 운영 및 목표에 영향을 미칠 수 있는 모든 위험, 위험 및 기타 재해 가능성을 식별, 평가 및 준비하도록 설계된 비즈니스 전략"입니다.

간단히 말해서 ERM은 조직의 최종 목표를 방해할 수 있는 모든 것에 대한 예방 조치를 포함합니다. 그러나 완전히 간단하지는 않습니다. 효과적인 ERM 프로세스에 들어가는 회사의 많은 구성 요소와 측면이 있습니다.

이것이 후원 조직 위원회(COSO)가 이 정의를 더욱 발전시킨 이유입니다. 이는 모든 단일 수준의 직원을 포함하는 전체 기업에 적용되는 전면적인 전략적 움직임으로 설명됩니다.

효과적인 ERM 전략에는 규율, 문화 및 통제라는 세 가지 식별 가능한 부분이 있습니다. 기업은 기업 수준에서 위험을 지속적으로 모니터링하고 완화하기 위해 이러한 설명자를 통합하는 구조를 갖추고 있어야 합니다.

위험 평가를 위한 5단계

ERM이 왜 중요한가요?

회사가 위험에 직면할지 여부가 문제가 아니라 언제입니다. ERM을 통해 기업은 현재와 미래를 위협하는 위험보다 한 발 앞서 나갈 수 있습니다. 그러나 모든 프로세스를 구현하는 것만으로는 충분하지 않습니다. 비즈니스의 모든 측면을 보호하려면 ERM 시스템을 지능적이고 전략적으로 실행해야 합니다. 그 목표는 노출과 피해를 가능한 한 제한하여 비즈니스와 직원 모두에게 이익이 되는 동시에 위험 문화를 관리하는 것입니다.

ERM 프로그램을 구현하면 운영 및 직원 효율성이 향상되어 회사에 비용과 시간을 절약할 수 있는 많은 이점이 있습니다. 특히 현재 프로세스가 수동 추적 및 조정을 통해 수행되는 경우 자동화된 솔루션을 통해 기업은 위험, 보안 및 규정 준수 범위의 격차를 좁힐 수 있습니다.

직원과의 투명성은 위험 완화가 비즈니스 운영의 최전선에 있을 수 있도록 하며, 특히 제3자 및 IT 보안 위험이 회사 성과의 핵심인 의료, 금융 서비스, 기술 및 에너지와 같은 산업에서 필요합니다.

ERM 프로그램을 시작하기 전에 3가지 질문

ERM 프로그램을 수립하기 전에 올바른 질문을 하는 것이 중요합니다. 프로그램의 핵심 목표를 식별하면 모든 이해 관계자의 기대치를 공고히 하는 데 도움이 됩니다.

현재 상태는 무엇입니까?

회사의 거버넌스, 위험 관리 및 규정 준수 프로세스에 대한 지속적인 평가 프로세스가 있어야 합니다. 기존 시스템 및 인벤토리의 현재 상태(공식 도구 및 기술, 임시 접근 방식 모두)를 알아야 하므로 이 단계에서 여러 사람을 포함하는 것이 중요합니다.

이러한 프로세스에 관련된 모든 사람을 인터뷰하고 그들의 관점, 목표 및 문제점을 이해하면 ERM 프로그램을 수립할 때 더 많은 정보를 얻고 궁극적으로 더 나은 판단을 내릴 수 있습니다. 특히 위험 완화와 관련하여 자신의 관행을 분석하는 것은 어려울 수 있습니다.

다음과 같은 질문을 하면 도움이 될 수 있습니다.

• 어떤 종류의 개인 식별 정보(PII) 또는 민감한 데이터를 처리합니까?
• 위험을 수집할 때 업계의 규제 환경을 고려했습니까?
• 우리의 위험은 얼마나 복잡합니까?
• 우리의 조직 ​​구조는 얼마나 복잡합니까?
• 개별적으로 또는 전체적으로 위험의 가능성과 영향 점수는 얼마입니까?

회사가 가고 싶은 곳은?

이 질문을 하면 이상적인 미래 ERM 시나리오를 형성할 수 있습니다. 결과적으로 이는 회사 및 산업에 따라 크게 다를 것입니다. 그러나 합리적이고 구체적으로 말하는 것이 여전히 매우 중요합니다. Specific, Measurable, Achievable, Relevant and Time-bound를 나타내는 "SMART" 방법론에 따라 목표를 모델링하는 것을 고려하십시오. 그러나 규정, 법률 및 계약과 같은 외부 영향도 의사 결정에 영향을 미칠 수 있음을 기억하십시오.

여기에서 저기로 어떻게 갑니까?

이 단계는 전체 프로그램의 로드맵입니다. 1단계에서 2단계로 이동하려면 비즈니스의 현재 및 잠재적인 미래 상태를 분석하고 앞으로 나아가기 위한 게임 계획을 고안해야 합니다. 시스템의 갭을 식별하고 이러한 갭을 메우기 위해 작동하는 ERM을 찾는 데 의존합니다.

올바른 질문을 하는 것을 두려워하지 마십시오.

기업 위험 관리 프로그램을 개발하는 것은 어려운 작업일 수 있습니다. 많은 기업이 프로그램을 유지 관리하기 위해 수동 입력 및 스프레드시트에 의존하는 반면, 다른 기업은 클라우드 기반 솔루션에 의존하여 조직 전체에 단일 정보 소스를 생성하여 프로세스를 디지털 방식으로 변환하고 있습니다.

ERM이 무엇인지, ERM의 중요성, 프로그램을 시작하기 전에 스스로에게 물어봐야 할 질문에 대해 스스로 교육하는 것은 시작할 수 있는 건전한 기반을 마련합니다. 위험을 두려워하는 대신 ERM 프로그램은 기업이 지속적인 걱정을 피하면서 더 큰 위험을 감수할 기회를 식별하는 데 도움이 될 수 있습니다.

이제 ERM과 ERM의 용도에 대해 잘 알고 있으므로 G2에서만 필요에 따라 사용할 수 있는 최고의 재무 위험 관리 소프트웨어 솔루션을 찾아보십시오.