brunch

You can make anything
by writing

C.S.Lewis

by 김병호 Dec 26. 2019

111. 신상품 위험대응전략 수립

성공적인 소프트웨어 신상품 개발가이드

위험을 식별하고 나면 위험을 분석하고 대응전략을 수립해야 한다. 이번 섹션에서는 위험의 우선순위를 결정하는 방법, 위험 대응전략 수립의 유형, 경영층에게 이슈보고시 유의사항을 설명한다. 


1) 위험대응의 우선순위를 결정하는 방법

우선순위 결정은 위험관리를 위한 수단이지 목적은 아니다. 위험에 대한 경우의 수를 명확하게 정의하고 각 경우의 수에 대하여 발생 가능성과 영향력을 분석할 수도 있지만 그것을 위한 시간이나 정보가 부족할 수도 있다. 따라서 위험의 영향력과 발생 가능성을 정성적으로 판단하여 위험의 심각성을 결정해도 위험관리의 목적에 크게 위배되지 않는다


중요한 것은 위험예방활동이지 위험심각성을 정확히 평가하는 것이 아니다. 심각성을 정확하게 평가한다고 위험이 줄어드는 것이 아니다. “양의 몸무게를 자주 정확하게 측정한다고 양이 살찌는 것은 아니다”는 서양 속담이 있다. 경우에 따라 정량적인 위험분석이 필요한 프로젝트도 있지만 대부분은 정성적인 위험분석만으로도 위험의 우선순위를 설정할 수 있다. 대부분의 조직이나 프로젝트에서는 복잡한 위험관리 프로세스보다 단순한 위험관리 프로세스를 적용하는 것이 더 효과적일 수 있다.


- ‘발생 가능성 × 영향력’으로 평가하는 방법

위험대응의 우선순위를 결정하기 위해서는 위험의 심각성을 파악해야 한다. 위험심각성은 위험 노출도(risk exposure)라고도 하며 발생가능성과 영향력을 고려하여 결정한다. 가장 직관적인 방법은 ‘발생 가능성 × 영향력’으로 계산하는 것이다. 발생 가능성은 확률의 개념이므로 0에서 1 사이의 값을 부여할 수 있으며(실제 적용은 쉽지 않다). 영향력은 수익성, 기업 이미지 등으로 결정한다. 


위험의 영향력 평가는 익숙한 5점 척도(매우 심각 → 심각 → 보통 심각 → 조금 심각 → 전혀 심각하지 않음) 중 하나를 선택하는 것이 일반적이다. 그러나 많은 사람이 정성적인 위험분석에 참여할 때는 평가의 객관성을 높이기 위해, 5점 척도에 대한 기준을 제시하는 것이 바람직하다.


위험등급을 활용하여 위험심각성을 평가하는 방법

위험심각성을 간편하게 평가하기 위해서는 발생 가능성이나 영향력을 종합하여 상・중・하와 같이 몇 개의 등급으로 구분하여 평가할 수 있다.  아래 그림은 위험 노출도 등급을 네 가지 그룹으로 관리하는 예이다.

쌍대비교법을 활용하여 위험 노출도를 평가하는 방법

사람들은 두 가지를 비교하여 그중에 하나를 고르는 것을 가장 쉽게 여긴다. 예를 들어 아래 그림과 같이 위험 1과 위험 2를 비교하여 위험1이 상대적으로 더 위험하다고 생각되면 위험 1은 1점을, 위험 2는 0점을 부여하고 두 가지 위험이 비슷하다고 생각되면 두 위험 모두 0.5점을 부여하여, 특정 위험이 획득한 점수의 합이 가장 높은 위험을 가장 심각한 위험이라고 판단하는 것이다. 이러한 위험분석 방법을 쌍대비교법이라고 한다 (위험 1의 점수를 0.7, 위험 2의 점수를 0.3과 같이 부여할 수도 있다).

2) 위험대응 계획수립시 유의사항


위험대응 계획수립의 산출물은 식별된 위험에 대한 대응계획을 6하원칙으로 정리한 것이다. 즉 식별하고 분석한 위험에 대하여 누가, 언제, 무엇을, 어떻게 할 것인가가 위험대응 계획수립의 내용이다. 위험대응계획을 수립하기 위해서는 실천을 염두에 두고 계획을 수립해야 한다. 위험대응 계획 수립 시 유의할 사항은 다음과 같다.


위험은 제거하는 것이 아니다

위험은 제거하는 것이 아니라 일정 수준 이하로 줄이는 것이 바람직하다. 왜냐하면 위험예방은 시간과 비용이 필요한 작업이기 때문이다. 물론 매우 심각한 위험이면 제거할 수도 있지만 대부분의 위험은 일정 수준 이하로 줄이는 것이 목표다. 이 경우 식별된 위험의 완료(마감)에 대한 객관적인 기준을 사전에 정의해야 한다.


모든 위험에 대응하는 것이 아니다

식별된 모든 위험에 대응하는 것은 거의 불가능하다. 경우에 따라 일정 수준 이하의 위험은 그대로 수용할 수 있다.


위험은 상호 연계되어 있다

위험은 대부분 상호 연계되어 신상품개발에 영향을 미친다. 따라서 개별 위험으로 분리하여 관리할 것이 아니라, 신상품개발 전체의 입장에서 종합 위험대응계획을 수립해야 한다.


비용 대비 효율적이어야 한다

위험심각성에 따라 대응계획 이행과 위험 모니터링 활동에 자원을 할당해야 한다. 위험관리 수행 결과 더 큰 위험을 만들면 안 된다. 위험관리는 신상품개발 목표달성을 위한 수단이다. 


대응계획 수립 시기를 놓쳐서는 안 된다

위험 노출도가 높아지기 전에 대응계획을 수립하고 조치해야 한다.


실현할 수 있는 현실적인 계획이어야 한다

할 수 있는 것 이상의 계획을 수립하는 것은 잘못이다. 화려한 계획보다 작은 실천이 중요하다.


위험 대응계획에 대하여 이해관계자들의 합의를 얻어야 한다

수립된 대응계획은 이해관계자들이 합심하여 이행해야 한다. 그러기 위해서는 위험을 식별・분석할 때뿐 아니라 대응계획을 수립할 때도 이해관계자들이 참여하고 공감대를 형성해야 한다. 


3) 위험대응전략 결정을 위한 원칙


식별된 위험의 분석정보가 충분하지 않으면 의사결정을 내리지 않는다.

예를 들어 스폰서 역할을 하는 경영층이 변경된다는 정보는 입수했지만 후임 경영층이 아직 결정되지 않은 경우, 의사결정을 내리기에는 정보가 부족하다. 이 경우 분석정보가 확실해질 때까지 별도의 목록으로 관리해야 한다. 위험에 대한 정보가 충분히 파악되지 않은 상태에서 성급하게 위험에 대응하는 것은 설익은 과일을 따거나 충분히 곪지 않은 상처를 치료하는 것과 같다. 너무 빨리 위험을 해결하고자 하다가 결과적으로 시기를 놓치거나 위험을 더 크게 만들 수도 있다.


심각한 위험은 위험의 발생 가능성을 원천적으로 제거한다

심각한 위험은 계획 자체를 변경하여 그것의 발생 가능성을 제거한다. 특정 아키텍처가 시스템 다운의 위험이 있는 경우 기술 아키텍처를 바꾸어 시스템 다운의 위험을 원천적으로 제거하는 것이 이에 해당한다.


일정 수준 이하의 위험은 수용한다

정성적 위험분석의 결과 위험 노출도가 일정 수준 이하인 경우엔 별도의 대응계획을 수립하지 않고, 위험이 실제로 발생한 경우에만 대응한다.


통제 불가능한 위험에 대비한다

위험에 대한 통제가 불가능한 경우에는 정량적 분석을 통하여 예비비, 예비일정을 확보했는지 확인한다.


위험대응을 외부 전문가에게 위임한다

프로젝트 팀 외부에서 위험에 대응하는 것이 더 효과적일 경우 위험예방 활동을 외부 전문조직에 위임한다. 보험도 이러한 유형이다.


경영층에서 대응해야 하는 위험이 있다

프로젝트 관리자의 통제범위를 벗어나 경영층이 대응해야 하는 위험이 있다(톰 드마르코는 이러한 위험을 프로젝트를 중단시킬 수 있는 show stopper라 하였다). 프로젝트 관리자가 통제하기 힘든 위험은 대부분 프로젝트에 결정적인 영향을 끼치는 것이 일반적이다. 이러한 위험은 식별되는 즉시 경영층에게 보고하여 경영층이 대응하도록 해야 한다.

위험대응의 적기가 있다. 

신상품 개발의 위험은 너무 빨리 행동해도, 너무 늦게 행동해도 위험이 커진다. 대표적인 예가 상품출시의 시점이다. 많은 상품들이 너무 빨리 출시하여 실패하였다. 불확실성을 줄이고 싶은 것은 인간의 본성이다. 이로 인해 너무 빠른 결정을 하는 경우가 많다. 빠를수록 좋고, 빠른 조직이 느린 조직을 이긴다고 생각하는 믿음은 위험할 수도 있다. 


- PMBOK에서 제시하는 부정적 위협에 대한 대응전략은 다음과 같다. 

• Avoid 

심각한 위험인 경우, 프로젝트 계획변경을 통해 위험의 발생 가능성을 제거한다. 일정 연장, 프로젝트 중단, 상품요건 변경 등이 해당한다.


• Transfer 

이전한다는 것은 위험예방이나 위험관리의 책임을 이전하는 것이지, 위험 자체를 이전하는 것이 아니다. 재무 위험관리에 가장 적합하다. 위험을 이전하기 위해서는 비용을 부담해야 하며, 이를 ‘risk premium’이라고 한다. 신상품 개발 시 아웃소싱을 활용하는 것이 이에 해당한다.


• Mitigate 

위험의 발생 가능성이나 영향력을 줄여서, 허용할 수 있는 수준으로 위험의 노출도를 줄이는 것이다. 위험이 실제 문제로 변하기 전에 줄여야 초과 비용을 줄일 수 있다. ‘테스트 강화’, ‘적격업체 선정’과 같이 발생 가능성과 영향력을 동시에 줄이는 방법과 ‘시스템 장애 발생 시 백업을 위한 여유 준비’와 같이 영향력만 줄이는 방법 등이 해당한다.


• Accept 

모든 위험을 제거하는 것은 불가능할 뿐 아니라 바람직하지도 않다. 만일 그렇게 하려고 하면 그 시도 자체가 큰 위험이 된다. 소극적 수용은 위험을 문서화만 하고 아무 조치를 취하지 않는 것이며, 적극적 수용은 예비 원가와 일정을 편성하는 것이다


4) 경영층에게 위험(이슈)보고 시 유의사항


신상품개발 도중 위험상황에 따라 프로젝트 정상화를 위해 상품관리자나 프로젝트 관리자가 주요 이슈에 대해 경영층을 설득해야 하는 상황을 직면할 수 있다. 이때 유의할 사항은 다음과 같다. 


프레젠테이션의 형식보다 소수의 대면보고가 적합하다

납기 연장 혹은 자원의 추가 투입과 같이 경영층이 불편해할 주제를 굳이 여러 사람 앞에서 프레젠테이션 형태로 보고할 이유가 없다. 부득이 그런 자리를 피할 수 없다면 핵심 스폰서는 사전에 찾아가 대면보고를 하는 것이 바람직하다.


과거에 대한 핑계보다 미래에 대한 대책 중심으로 보고한다

상품관리자나 프로젝트 관리자는 계획을 준수하지 못한 이유를 외부로 돌려 자기 잘못이 아니라는 주장을 하고 싶을 것이다. 그러나 경영층은 그런 이야기보다 프로젝트 정상화 방안이 궁금하다. 관리자의 관리미흡을 깔끔하게 시인하고 남은 기간 동안 어떻게 정상화하겠다는 의지와 구체적인 실천계획을 보이는 것이 바람직하다.


체계적인 분석 틀을 활용한다

상품관리자나 프로젝트 관리자는 해당 프로젝트 내용을 잘 알고 있고, 경영층은 그렇지 않은 경우가 많다. 경영층의 프로젝트 이해수준을 고려해서 보고서를 작성해야 한다. 숲에 비유하자면 전체 숲의 구조, 나무의 특성, 그리고 나뭇가지, 나뭇잎의 순서로 설명하는 것이 바람직하다.


프로젝트 현상을 설명할 때는 전체를 아우르면서도 중복되지 않는 분류체계를 설정하여 어디는 나쁘고 어디는 좋다고 설명하는 것이 바람직하다. 보고를 받는 사람의 머리를 맑게 해주는 보고인지, 머릿속을 복잡하게 만드는 보고인지에 따라 경영층의 참여도가 다르다.


프로젝트에서 할 일과 지원을 요청하는 일을 명확하게 구분한다.

프로젝트 위험이나 이슈보고는 불편한 이야기를 하는 힘든 자리이다. 불편한 이야기는 한꺼번에 모두 정리하여 보고하는 것이 바람직하다. 프로젝트 팀원들이 해야 할 일도 있지만, 지원조직에 요청하는 일도 있을 것이다.

지원요청은 육하원칙에 따라, 누가, 언제, 무엇을, 어떻게 도와달라고 구체적으로 요구해야 한다. 물론 그렇게 하면 얼마만큼 좋아지는지를 명확히 설명할 수 있어야 한다. 다시는 지원요청을 하지 않는다는 자세로 신중하지만 충분히 요청한다.


현실적인 계획을 보고한다

보고하는 불편한 순간을 피하고자, 장밋빛 계획을 보고해서는 안 된다. 대책 뒤에 따라올 실행을 고민해야 한다. 특히 프로젝트 후반부에 남은 결함이나 이슈들은 해결하기 어렵거나 여러 조직이 협업해야 하는 일인 경우가 많다. 보고하는 시점까지의 생산성, 이슈를 종합적으로 고려해 달성할 수 있는 계획을 보고해야 한다.


https://brunch.co.kr/@kbhpmp/160
 


작가의 이전글 110. 신상품 개발의 위험식별
브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari