[2week 8day] 리스크(Risk) 관리 기초 – 위협과 기회, 리스크 등록부, 대응 전략

1장. 리스크(Risk)란 무엇인가?

1-1. PMP에서 말하는 리스크의 정의

리스크 = 미래에 일어날 수도 있는 불확실한 사건(또는 조건) +
그게 발생했을 때 프로젝트 목표에 미치는 영향

여기서 포인트:

• 아직 일어나지 않은 일 → “문제(issue)”와 다름
• 발생하면 일정/비용/품질/범위/만족도 등에 영향을 준다.

1-2. 위협(Threat)과 기회(Opportunity)

리스크 = 나쁜 일만이 아니라 좋은 일도 포함합니다.

• 위협(Threat)
  • 발생하면 프로젝트에 부정적 영향
  • 예: 인력 이탈, 핵심 벤더 파산, 규제 강화, 기술적 난이도 과소평가 등
• 기회(Opportunity)
  • 발생하면 프로젝트에 긍정적 영향
  • 예: 더 좋은 오픈소스/클라우드 서비스 등장, 파트너사가 무상 지원 제안, 자동화 툴 도입으로 일정 단축 가능 등

시험에서 “Risk = threat only” 식의 보기를 자주 함정으로 던집니다.
“위협 + 기회 둘 다” 라는 걸 꼭 기억해두면 좋아요.

---

2장. 리스크 관리 프로세스 큰 그림

이름만 잡고, 흐름 위주로 보겠습니다.

1. Plan Risk Management
   • 리스크를 어떻게 식별/분석/대응/모니터링 할지 계획 세우기
2. Identify Risks
   • 브레인스토밍, 체크리스트, 인터뷰, 과거 사례 등으로 리스크 목록 만들기
3. Perform Qualitative Risk Analysis
   • 각 리스크의 발생 가능성(Probability) 과 영향(Impact) 을 등급/점수로 평가
   • 우선순위 정하기
4. Perform Quantitative Risk Analysis (필수는 아님)
   • 수치화된 기법(시뮬레이션, 의사결정나무, 기대값 등)으로 더 깊이 분석
   • 대형·복잡 프로젝트에서 주로 사용
5. Plan Risk Responses
   • 우선순위 높은 리스크에 대해 어떻게 대응할지 전략 수립
6. Implement Risk Responses
   • 정해둔 대응 전략을 실제로 수행 (계약 변경, 일정 조정, 버퍼 설정 등)
7. Monitor Risks
   • 리스크 상태 추적, 신규 리스크 발굴, 대응 계획 효과 검토, 문서 업데이트

현실적으로는 2 + 3 + 5 + 7 을 많이 반복한다고 생각하면 됩니다.

---

3장. 리스크 등록부(Risk Register) 기본 구조

리스크 관리를 하면 결국 결과물로 리스크 등록부(Risk Register) 를 만들어 관리합니다.

3-1. 핵심 항목들

프로젝트마다 다르지만, 보통 이런 정보들이 들어가요.

• ID: R-001, R-002 등 고유 번호
• 리스크 설명
  • “만약 ~한다면, ~가 발생해서 ~에 영향을 줄 것이다” 형태로 쓰면 좋음
  • 예: “핵심 개발자가 중간에 이탈한다면, 일정 지연과 품질 저하가 발생할 수 있다”
• 분류(Category)
  • 기술, 인력, 범위, 일정, 외부환경 등
• 원인(Cause)
  • 왜 이런 리스크가 생길 수 있는지
• 발생 가능성(Prob.)
  • High/Medium/Low 또는 1~5 점수
• 영향(Impact)
  • 일정/비용/품질에 대한 영향 크기 (High/Medium/Low 등)
• 우선순위 또는 Risk Score
  • 예: 가능성(1~5) × 영향(1~5) = 점수
• 대응 전략(Response Strategy)
  • 아래 4장에서 배울 내용
• 리스크 소유자(Risk Owner)
  • 이 리스크를 “지켜보고 대응 책임지는 사람”
• 트리거(Trigger)
  • 리스크가 현실화될 조짐/신호
  • 예: “2개월 연속 개발 생산성 50% 이하” 등
• 상태(Status)
  • Open, In-progress, Closed 등

3-2. “문제 목록”과의 차이

• 리스크 등록부: 아직 안 일어난 일(위협/기회) + 사전 대응
• 이슈 로그(Issue Log): 이미 발생해버린 문제 + 해결 방안

PMP 문제에서 “이건 이슈냐, 리스크냐?” 를 구분하는 경우가 꽤 많습니다.

---

4장. 리스크 대응 전략 – 위협 vs 기회

4-1. 위협(Threat)에 대한 대응 전략

1) 회피(Avoid)

• 리스크가 아예 발생하지 않도록 근본 원인을 제거
• 예:
  • 기술 리스크가 너무 크면, 해당 기술 사용을 포기
  • 일정 리스크가 크면, 범위를 줄이거나 마감일을 조정

2) 완화(Mitigate)

• 발생 가능성이나 영향을 줄이는 조치
• 예:
  • 사전 PoC 수행으로 기술 실패 가능성 감소
  • 핵심 인력에 백업 멤버를 미리 교육

3) 전가(Transfer)

• 리스크가 발생했을 때의 영향(비용)을 다른 곳에 넘김
• 예:
  • 보험 가입
  • 계약상 패널티/보증 조항으로 벤더에 위험 일부 넘기기
• “위험 자체가 사라지는 것”은 아니고, 재무적 부담을 옮기는 것에 가깝습니다.

4) 수용(Accept)

• 별도의 적극적 조치를 하지 않고, 발생하면 그때 대응하기로 하는 전략
• 수동 수용: 그냥 알고만 있고, 나중에 대응
• 능동 수용: 대비 예산/버퍼를 미리 준비해두는 경우

5) 에스컬레이션(Escalate)

• 리스크가 프로젝트 레벨을 넘어서는 이슈일 때
  → 상위 조직/포트폴리오/프로그램 레벨로 넘기는 것
• PM이 해결 권한/범위를 넘어서는 경우 사용

---

4-2. 기회(Opportunity)에 대한 대응 전략

이름 비슷하지만, 방향이 반대인 애들도 있습니다.

1) 활용(Exploit)

• 기회를 확실하게 현실로 만들기
• 예:
  • 성과가 좋은 인력을 프로젝트에 더 많이 투입해서 일정 단축
  • 좋은 조건의 파트너 제안을 바로 수락

2) 강화(Enhance)

• 기회의 발생 가능성·영향을 더 키우는 전략
• 예:
  • 실험적 기능에 추가 지원을 붙여 성공 확률 높이기

3) 공유(Share)

• 다른 조직/파트너와 기회와 수익을 함께 나누는 방식
• 예:
  • 공동 개발/공동 사업 구조로 세팅

4) 수용(Accept)

• “오면 좋고, 아니어도 어쩔 수 없다” 수준으로
  별도 비용을 들여 적극적으로 만들려고 하지는 않는 전략

5) 에스컬레이션(Escalate)

• 기회 규모가 커서 상위 조직 의사결정이 필요한 경우
  포트폴리오/경영진 레벨로 올려서 다루게 함.

---

5장. 오늘 내용 5줄 요약

1. 리스크는 미래의 불확실한 사건/조건으로, 위협(나쁜 영향)과 기회(좋은 영향) 를 모두 포함한다.
2. 리스크 관리는 식별 → 분석(정성·정량) → 대응 계획 → 실행 → 모니터링 흐름으로 반복적으로 수행한다.
3. 리스크 등록부에는 ID, 설명, 가능성/영향, 우선순위, 대응 전략, 소유자, 트리거, 상태 등이 정리된다.
4. 위협에 대한 대응 전략: 회피, 완화, 전가, 수용, 에스컬레이션 / 기회에 대한 대응 전략: 활용, 강화, 공유, 수용, 에스컬레이션.
5. PMP 문제에서는 “이건 리스크냐 이슈냐?”, “어떤 대응 전략이 가장 PMP스럽냐?” 를 많이 묻기 때문에, 정의 + 전략 이름 을 정확히 기억해두면 좋다.

---

반응형

6장. 연습문제 (Day 8 Check)

객관식·O/X 8문제 + 서술형 2문제

문제 1

다음 중 리스크(Risk) 에 대한 설명으로 가장 적절한 것은?

A. 이미 발생한 문제를 의미하며, 해결 방안을 찾아야 한다.
B. 미래에 발생할 수 있는 불확실한 사건이나 조건으로, 프로젝트 목표에 긍정·부정 영향을 줄 수 있다.
C. 항상 프로젝트에 나쁜 영향만 주는 요소를 의미한다.
D. 프로젝트 예산 초과 상황만을 의미한다.

---

문제 2

다음 중 기회(Opportunity) 의 예로 보기 가장 적절한 것은?

A. 핵심 개발자가 퇴사할 가능성이 있다.
B. 정부 규제가 강화되어 추가 인증 절차가 필요해질 수 있다.
C. 경쟁사가 프로젝트를 방해할 가능성이 있다.
D. 새로 발표된 클라우드 서비스 덕분에 인프라 비용을 30% 절감할 수 있을 수 있다.

---

문제 3

다음 중 리스크 등록부(Risk Register) 에 일반적으로 포함되지 않는 항목은?

A. 리스크 ID와 설명
B. 리스크 발생 가능성/영향 및 우선순위
C. 리스크 소유자와 트리거
D. 프로젝트 팀원의 개인별 연봉 내역

---

문제 4 (O/X)

“이슈 로그(Issue Log)는 아직 발생하지 않은 리스크를 정리해 두는 문서이고,
리스크 등록부는 이미 발생한 문제를 기록하는 문서이다.”

---

문제 5

다음 중 위협(Threat)에 대한 대응 전략으로 보기 어려운 것은?

A. 회피(Avoid)
B. 완화(Mitigate)
C. 전가(Transfer)
D. 활용(Exploit)

---

문제 6

다음 상황에서 PMP 관점에서 가장 적절한 대응 전략은?

“신규 프레임워크를 사용하면 개발 생산성이 크게 올라갈 수 있지만,
아직 검증이 부족해 실패 가능성도 있다.
PoC(개념 검증)를 먼저 소규모로 수행하여 리스크를 줄이기로 했다.”

A. 회피(Avoid)
B. 완화(Mitigate)
C. 전가(Transfer)
D. 수용(Accept)

---

문제 7 (O/X)

“기회(Opportunity)에 대한 활용(Exploit) 전략은,
그 기회가 반드시 발생하도록 적극적인 조치를 취하는 것을 의미한다.”

---

문제 8

다음 중 리스크 관리에 대한 PMP 스타일의 행동으로 보기 어려운 것은?

A. 프로젝트 초기에 주요 이해관계자들과 함께 리스크 식별 워크숍을 진행한다.
B. 우선순위 높은 리스크에 대해 소유자를 지정하고 대응 계획을 문서화한다.
C. 리스크를 관리하는 데 시간이 많이 드니, 큰 문제가 생길 때까지는 따로 목록을 만들지 않는다.
D. 프로젝트 진행 중에도 신규 리스크가 있으면 등록부를 업데이트하고, 기존 리스크 상태를 정기적으로 점검한다.

---

서술형

문제 9 (서술형)

최근에 했거나 하고 있는 프로젝트/업무를 떠올리고,
위협 리스크 2개 + 기회 리스크 1개 를 적어보세요.

각각에 대해:

• 리스크 설명
• 발생 가능성(높음/보통/낮음)
• 영향(높음/보통/낮음)
• 한 줄짜리 대응 전략(예: “완화 – PoC 먼저 수행”, “수용 – 발생 시 예비비 사용” 등)

---

문제 10 (서술형)

다음 문장을 자신의 상황에 맞게 완성해보세요.

“PMP 리스크 관점을 적용해보면,
내가 지금 하는 프로젝트에서 가장 신경 써야 할 리스크는 ____ 이고,
이를 위해 우선 ____ 를(을) 해보려고 한다.”

---

7장. 정답 & 짧은 해설

문제 1 정답: B

• A는 이슈 설명, C는 위협만 본 경우, D는 비용만 본 경우 → 모두 불완전.
• B가 PMP 정의에 가장 가깝습니다.

---

문제 2 정답: D

• D: 발생 시 비용 절감이라는 긍정적 영향 → 기회.
• A, B, C는 모두 위협에 해당.

---

문제 3 정답: D

• 개인 연봉 정보는 리스크 등록부와 무관.
• A, B, C는 보통 리스크 등록부에 들어가는 정보입니다.

---

문제 4 정답: X

• 반대로 되어 있음.
  • 리스크 등록부: 아직 발생하지 않은 리스크 목록
  • 이슈 로그: 이미 발생한 문제·이슈 목록.

---

문제 5 정답: D

• 활용(Exploit)은 기회(Opportunity) 에 대한 전략.
• A/B/C는 위협에 대한 전형적인 대응 전략.

---

문제 6 정답: B

• PoC를 통해 실패 가능성을 줄이는 것은 전형적인 완화(Mitigate) 전략입니다.
• 회피라면 “해당 프레임워크 자체 사용 안 함”에 가깝겠죠.

---

문제 7 정답: O

• 활용(Exploit) = 기회를 “확실하게 잡기 위해” 적극적 행동을 취하는 것.

---

문제 8 정답: C

• C는 “문제 생길 때까지 아무것도 안 한다”는 태도라 PMP 관점에서 가장 좋지 않습니다.
• A/B/D는 모두 바람직한 리스크 관리 행동.

---

문제 9·10 (서술형)

• 정답은 없고,
  • 실제 프로젝트에 위협/기회 리스크를 붙여 보는 것,
  • “지금 내가 바로 할 수 있는 한 가지 대응”을 떠올려 보는 것이 핵심입니다.