A Study on the Development of Evaluation Criteria in the Business Continuity Management System(Focusing on the 'Understanding the organization' in Plan of the ISO 22301)

업무연속성관리체계(BCMS) 평가지표 개발에 관한 연구(ISO 22301 Plan의 '조직의 이해'를 중심으로)

Abstract

Purpose: This paper aims to develop evaluation criteria of Plan- 'Understanding the Organization' in the PDCA(Plan-Do-Check-Act) requirements of ISO 22301 which is a global standard in the area of BCMS(Business Continuity Management System). Method: The group of 20 experts in the BCMS checked for the validity of the evaluation criteria of Plan- 'Understanding the Organization' by the modified Delphi technique and relative importance are surveyed by the group. Results: As a result, the 12 evaluation criteria with relative importance that can be applied for BCMS evaluation of the organizations are developed and proposed. Conclusion: In order to introduce a quantitive evaluation in the BCMS, it was concluded that evaluation criteria need to be chosen and given relative importance, thus the criteria with the importance could be used for effective evaluation

연구목적: 본 연구는 BCMS의 정량적 평가체계 도입을 위해 BCMS 분야의 국제표준인 ISO 22301 (2019)의 PDCA(Plan-Do-Check-Act) 요구항목 중 Plan- '조직의 이해' part의 평가지표를 개발하는 것을 목적으로 한다. 연구방법: 20명의 BCMS 분야 전문가 그룹에 수정 델파이 기법을 활용하여 ISO 22301의 Plan- '조직의 이해'의 세부요건의 타당성을 검토하고, 평가지표의 상대적 중요도를 조사하였다. 연구결과: 효과적인 BCMS 역량평가가 가능하도록 상대적 중요도가 포함된 12개의 평가지표를 개발하여 제안하였다. 결론: BCMS의 정량적인 평가체계 도입을 위해서는 효과적인 평가가 가능하도록 상대적 중요도가 포함된 평가지표를 선별하여야 한다는 결론을 도출하였다.

개요

현대사회는 재난의 발생빈도가 높아지고, 피해가 대형화되면서 재난으로 인한 사회․경제적 비용이 증가하고 있다. 최근 사례를 보면 2019년 12월 중국에서 발생한 COVID-19는 초기에 전 세계에 급속도로 확대되면서 인류에게 공포와 고통을 가져왔다. 유럽과 미국을 비롯한 선진국들이 이동금지와 지역봉쇄로 기본권을 통제하고 제한하고도 COVID-19 확산을 차단하지 못하였으며, 그 결과 사망자, 확진자로 인한 격리, 서비스 중단, 여행 제한, 지역 및 공장폐쇄 등 인적·물적 교류 제한으로 막대한 경제적 피해를 경험하였다(Jang et al., 2021). 그 결과 COVID-19은 사스나 메르스보다 치사율은 높지 않으나, 기업을 도산에 이르게 하는 치명적인 위험 요인이 되었다(Lee et al., 2020). 또한, 2001년 미국에서 발생한 9.11 테러로 인해 뉴욕의 세계무역센터 건물이 전몰되어 건물 안에 있던 기업들의 업무가 중단되었으며 2,763명이 사망하였다. 9.11 테러로 인한 뉴욕시의 경제적 손실은 관광객 출입금지, 월 스트리트 주식시장 폐쇄, 사무공간 유실로 인한 피해 금액과 건물 및 도시 인프라 복구비용 등을 합산하여 약 340억 달러로 파악되었다(New York Office, 2002). 세계 금융의 중심지였던 미국의 세계무역센터가 붕괴하자 많은 경제 전문가들은 미국 경제 전체의 성장률 둔화와 실업률 증가 등의 부정적인 영향이 있을 것으로 예측하였다. 그러나 세계무역센터에 입주해있던 기업들 가운데 모건스탠리는 사건 다음 날 오전 9시부터 전 세계의 지점에서 정상업무를 개시하여, 투자자와 시장의 우려를 불식시켰다. 사건 발생 4일 후에는 뉴욕 선물거래소가 정상적인 영업을 재개하였고, America Bank와 같은 금융기업들도 재해복구시스템을 가동하여 신속히 업무를 재개하고 경제적 피해를 최소화 할 수 있었다(Jung, 2022). 반면 기업이 위기상황에서 업무연속성관리(BCM, Business Continuity Management)에 실패하여 회복하기 어려운 피해를 받은 사례도 있다. 2000년 미국 뉴멕시코주에 위치한 필립스 공장의 화재사고로 핸드폰 생산기업인 노키아와 에릭슨에 반도체 부품 공급이 1개월 이상 중단되었다. 이때 노키아는 비상대응 조치를 가동하여 필립스가 아닌 다른 공급망을 확보하여 제품을 생산하여 시장점유율을 유지하였다. 그러나 에릭슨은 필립스가 조속히 부품을 다시 공급할 거라는 실무진의 보고를 믿고 별다른 비상대응조치를 하지 않아 23억 달러 이상의 영업손실이 발생하였고 결국 전 세계 핸드폰 시장에서 철수하게 되었다(Tokyo Chamber of Commerce, 2013).

이처럼 재난으로 인해 엄청난 피해가 발생하고 기업이 시장에서 도태될 수도 있지만, 평소 BCMS를 도입하여 업무 연속성을 유지한다면 비상상황에 빠르게 대응하고 오히려 전화위복의 기회로 삼을 수도 있다.

9.11 테러 당시의 모건스탠리 등의 사례를 본받아 2000년대 초반부터 전 세계적으로 BCMS가 도입되었으며, 특히 금융 분야에서 중요한 경영시스템으로 BCMS를 도입하기 시작하였다. 한국도 2006년 10월부터 금융감독원이 ‘BCP모범규준(안)’을 발표하면서 BCMS 도입을 은행에 의무화하였다. 2007년 7월에는 위기상황에서 기업의 핵심활동을 유지하도록 지원하고, 국가의 전체적인 재난관리 역량을 높이기 위해 기업재해경감법이 제정되었다(Park, 2020). 그 이후 2012년 국제표준화기구(ISO)에서 업무연속성관리(이하, BCM, Business Continuity Management) 분야의 국제표준인 ISO 22301이 발간되면서 대기업과 공공부문에 BCM 도입 및 ISO 22301 인증 활동이 시작되었다(Son, 2020).

하지만, ISO 22301 인증평가는 인증평가 항목별로 적합 또는 부적합만을 평가하여 인증 여부를 심사하고 있어서 평가결과가 구체적이지 않다는 한계가 존재한다. 즉, 인증요구 항목에 대해 최소한의 기준만 충족하였는지를 심사하여 인증 수여 여부를 결정하고, 충족하는 정도를 정량화하여 평가하지 못한다는 한계가 있다. 하지만, 인증평가가 업무 프로세스에 대한 성과평가라는 점을 고려하면 인증평가는 기업의 업무, 전략적 목표 및 결과를 구체적이고 명확히 평가할 필요가 있다(Jung et al., 2023). 따라서, BCMS의 인증평가도 정량적인 평가지표를 기반으로 수행되어야 한다(Kim et al., 2016). 조직의 BCMS 역량을 구체적으로 평가하기 위해서는 정량적인 평가체계가 필요하다. 정량적인 평가체계는 BCMS 프로세스에 대한 구체적인 평가결과를 제공하여 조직의 수준을 단계별로 진단할 수 있고, 역량 강화를 위한 영역을 식별할 수 있게 한다. 또한, 정량화된 평가결과는 업무담당자에게 BCMS 활동의 문제점 파악과 개선방안 수립을 위한 판단자료 및 경영진 보고를 위한 실무적인 업무 Tool로 활용될 수 있다. 따라서, 정량화된 평가지표 도입은 국내기업들에 BCMS 구축을 활성화하게 하고, 유지관리 및 개선에 대한 명확한 방향을 제공하여 조직의 재난관리능력을 높이는 효과가 있다(Jung, 2022).

따라서, 본 논문은 ISO 22301의 세부요건들의 타당성 정도를 검토하여 BCMS 인증평가지표로 선정하였다. 그 후 각각의 인증평가지표의 상대적 중요도를 산정하여 정량적인 BCMS 평가지표를 개발하였다. 연구범위는 Plan의 ‘조직의 이해’ part 의 세부요건을 대상으로 하였다. ISO 22301은 요구항목과 각 항목에 해당하는 세부요건으로 구성되어 있다. 따라서, 세부요건의 상대적 중요도를 산정하기 위해서는 상위단계를 구성하는 요구항목의 상대적 중요도가 먼저 산정되어야 한다. 요구항목의 상대적 중요도는 Jung(2022)의 선행연구 「은행 산업의 BCMS 성숙도모델에 관한 연구」에서 연구된 내용을 반영하였다. 연구방법은 아래와 같다.

첫째, 20명의 전문가 그룹을 대상으로 델파이 조사를 하여 ISO 22301 세부요건을 평가하여 평가지표를 선정하였다.

둘째, 전문가 집단을 대상으로 AHP 설문조사를 하여 평가지표의 상대적 중요도를 산정하였다.

셋째, Plan의 ‘조직의 이해’ part의 평가를 위한 평가지표 및 배점을 구성하여 제시하였다.

BCMS 인증평가지표

전문가 집단

본 연구에서 선정한 20명의 전문가는 BCMS 분야에서의 전문성과 연구목적의 이해도 등을 고려하여 ISO 22301 심사원, 박사급 연구원, 은행의 BCMS 관리자를 기준으로 선정하였다. 연구 참여자인 전문가 집단의 구성은 Table 1과 같다.

Table 1. The composition of a group of experts

ISO 22301 요구항목과 세부요건

ISO 22301은 PDCA에 따라 요구항목을 구분하고 있으며, 해당 항목들은 3개의 계층으로 이루어져 있다. 또한, 제3 계층의 요구항목들은 각각의 세부요건들로 구성되어 있다. 본 연구의 대상인 ‘Plan - 조직의 이해 ’ part의 요구항목 및 세부요건의 구성은 Table 2와 같다.

Table 2. ISO 22301 requirements and details​​​​​​​

델파이 설문 및 평가지표 선정

본 연구의 목적은 ‘Plan - “조직의 이해” part에서의 정량적인 평가지표를 개발’하는 것이며, 이를 위한 첫 번째 연구문제는 ‘BCMS 인증평가로서 타당성 있는 평가지표는 무엇인가?’이다. 이를 조사하기 위해 Table 2와 같이 ISO 22301에서 정의한 세부요건들을 추출하였다. 그리고, Table 1의 전문가 집단을 대상으로 총2회의 델파이 조사를 통해 평가지표로서의 타당성을 검토하였다. 델파이 분석을 위한 기준인 수렴도, 합의도 및 안정도를 검토하였고, 내용 타당도 검증을 위해 Lawshe(1975)의 답변자 수에 따른 CVR(Content Validity Ratio) 최소 값(20명/ 0.42)을 적용하였다(Lee, 2021). 위의 델파이 분석 및 인정 범위를 정리하면 Table 3과 같다.

Table 3. Recognition scope of Delphi analysis​​​​​​​

델파이 1라운드 결과

델파이 1라운드 설문은 20명의 전문가를 대상으로 ISO 22301(2019)에서 개발된13개의 세부요건의 평가지표로서의 타당성 평가를 진행하였다. 5등급 리커트 방식을 적용한 설문을 사용하였으며 조사결과는 Table 4와 같다.

Table 4. Results of the first round of Delphi analysis​​​​​​​

Table 4의 델파이 분석결과를 살펴보면 Plan - 조직의 이해 - BCMS의 범위 결정에서는 ‘BCMS 범위에 조직의 내외부 이슈를 고려하고 있는가’는 내용 타당도와 합의도 기준에 부합하지 못하였고, ‘BCMS 범위에 BCMS의 목표 및 대내외적인 임무를 고려하고 있는가’는 수렴도와 합의도 기준에 부합하지 못하였다. 해당 평가지표들은 하나의 평가지표로 통합하는 것이 효과적이라는 의견을 반영하여 이를 델파이 2라운드에서 하나의 지표로 포함하였다.

델파이 2라운드 및 평가지표 선정결과

두 번째 델파이 설문은 첫 번째 설문에서의 평가된 값을 반영하여 도출된 총 12개의 평가지표의 타당성을 검증하였으며, 조사결과는 Table 5와 같다.

Table 5. Results of the second round of Delphi analysis​​​​​​​

Table 5에서 보는 바와 같이 1라운드 대비하여 평가지표에 대해 합의를 더 이루어 전반적으로 타당성 검증도가 개선되었다, 또한, 지표를 통합하기로 한 Plan - 조직의 이해 - BCMS의 범위 결정의 ‘BCMS 범위에 조직의 내·외부 이슈, BCMS의 목표 및 대내외적인 임무를 고려하고 있는가’ 항목의 내용 타당도, 수렴도, 합의도 및 인정도의 기준에 부합하였다. 이에 Table 5의 세부요건을 평가지표로 최종 선정하였다.

평가지표의 상대적 중요도

선정된 평가지표의 상대적 중요도를 산정하기 위해 델파이 설문으로 검증한 평가지표들을 대상으로 상대적 중요도를 도출할 수 있는 계층별 의사결정 방법(이하 AHP, Analytic Hierarchy Process)를 적용하였다. Table 5의 제1~3계층 요구항목의 상대적 중요도는 Jung(2022)의 “은행 산업의 재해경감활동관리체계(BCMS) 성숙도모델에 관한 연구” 결과를 적용하였다. 또한, 평가지표의 상대적 중요도는 델파이 설문에 참여한 연구 참여자를 대상으로 조사하였으며, 비일관성 비율(inConsistency Ratio)는 0.1 미만으로 기준을 정하였다. AHP 조사결과에 따른 평가지표의 상대적 중요도 및 비일관성 비율은 Table 6과 같다.

Table 6. Results of relative importance and CR of evaluation indicators​​​​​​​

BCMS 평가지표 및 배점

Table 6의 상대적 중요도는 1,000점 만점으로 전환하여 개별 평가지표의 배점으로 적용하였다. 그 이유는 정부의 민원 서비스 우수기업 인증, 중소벤처기업부의 이노비스 인증평가 등에서 동일한 평가지표를 사용하고 있으며, 소수점 배점을 사용하지 않기 위해서이다(Jung, 2022). 이에 ISO 22301- Plan의 ‘조직의 이해’ 및 ‘리더십’ part의 평가지표 및 배점을 아래 Table 7과 같이 정리하였다.

Table 7. Score of evaluation indicators​​​​​​​

결론

효과적인 BCMS 인증평가를 위해서는 정량적인 평가지표가 포함된 평가방식이 필요하다. 하지만, 현재 인증평가는 정성적인 평가방식이어서 BCMS 성과를 정량적으로 평가할 수 없으며, 개선에 대한 방향성을 제시할 수 없다. 본 연구는 정량적인 평가지표 선정을 위해 전문가 집단을 대상으로 ISO 22301 세부요건의 타당성을 조사하여 분석하였다. 그리고, 세부요건의 타당성 검토를 통해 평가지표를 선정하였으며 각각의 상대적 중요도를 산정하여 ISO 22301의 Plan의 ‘조직의 이해’ part 평가를 위한 정량적인 평가지표를 개발하여 제시하였다. 연구결과 평가지표는 12개가 선정되었으며, 평가지표의 총배점은 ‘조직의 이해’의 평가지표는 140점으로 조사되었다.

본 연구는 정성적 평가체계의 한계를 개선하기 위해 정량적인 BCMS 평가지표를 개발하여 제시한 점에서 의의가 있으며 이를 통해 좀더 실효적인 평가체계를 도입할 수 있을 것으로 기대된다. 그러나, 본 연구의 범위가 ISO 22301의 조직의 이해 part에 한정되어 있어 다른 part 세부요건에 대한 상대적 중요도를 검토할 필요가 있다. 또한, 본 연구에서 제시한 정량적 평가를 구체화하기 위해서는 평가 시 기준이 되는 증빙자료 및 평가 기준 등에 관한 후속 연구가 필요하다.