경험 중심 1인칭 답변
리스크 관리 프로세스를 구축할 때 가장 먼저 챙기는 것은 식별 범위의 명확화입니다. 어떤 리스크를 다루고 어떤 것은 다루지 않는지를 경계로 정해두지 않으면 프로세스가 무한정 커집니다. 이전 프로젝트에서는 운영 리스크·재무 리스크·규제 리스크 세 영역을 먼저 구분하고, 각 영역별로 발생 가능성과 영향도를 2×2 매트릭스로 점수화했습니다. 그 다음은 대응 책임자 지정입니다. 리스크를 발견해도 누가 조치해야 하는지 불명확하면 아무도 움직이지 않습니다. 팀 내에서 각 리스크 항목마다 오너를 정하고, 분기별로 상태를 업데이트하는 리뷰를 고정했습니다.
실제로 규제 변경을 늦게 인지해 대응이 지연된 경험이 있었는데, 그 이후 외부 모니터링 채널을 프로세스에 포함시켰습니다. 리스크 관리는 한 번 만들고 끝나는 게 아니라 환경 변화에 맞춰 지속적으로 업데이트하는 살아있는 문서여야 한다고 봅니다. 프로세스가 자리 잡혔을 때의 가장 큰 변화는, 문제가 터진 후가 아니라 터지기 전에 팀이 이야기를 시작한다는 점입니다.