본문 바로가기
ISO 규격 해설

리스크 기반 사고란 무엇인가

by talk03738 2026. 7. 1.

 리스크 기반 사고는 문제를 미리 예방하기 위해 위험과 기회를 사전에 파악·관리하는 접근입니다. ISO 9001:2015 이후 경영시스템 표준의 핵심 원리로 자리 잡았습니다.

ISO 9001을 공부하다 보면 "리스크 기반 사고(risk-based thinking)"라는 표현을 자주 만납니다. 말은 어렵게 들리지만 그 취지는 단순합니다. "문제가 터진 뒤 수습하지 말고, 미리 위험을 보고 대비하자"는 것이지요. 이 글에서는 리스크 기반 사고가 무엇이고 ISO 경영시스템에서 왜 중요한지 쉽게 정리해 드립니다.

APCB 자격인증원(이하 APCB)은 IAS(International Accreditation Service) 인정 개인자격 인증기관으로, 14개 스킴의 심사원 자격을 운영합니다.


■ 리스크 기반 사고란 무엇인가요?
리스크 기반 사고란 조직이 목표 달성을 방해할 수 있는 위험(risk)과 도움이 될 기회(opportunity)를 미리 파악하고, 그에 따라 우선순위를 정해 대응하는 사고방식입니다. 사후 대응이 아니라 사전 예방에 무게를 둡니다.
여기서 리스크란 '불확실성이 목표에 미치는 영향'을 뜻합니다. 꼭 나쁜 것만 가리키는 게 아니라, 부정적 영향(위험)과 긍정적 영향(기회)을 모두 포함합니다. 리스크 기반 사고는 이 둘을 함께 보고, 큰 위험에는 더 많은 관리를, 작은 위험에는 적은 관리를 배분하자는 실용적 접근입니다.

■ ISO 9001은 왜 리스크 기반 사고를 강조하나요?
2015년 개정에서 ISO 9001이 '예방조치'를 별도 조항 대신 시스템 전체에 녹아든 리스크 기반 사고로 바꿨기 때문입니다. 예방을 특별한 활동이 아니라 평소 운영의 기본으로 만든 것입니다.
과거 표준에는 '예방조치(preventive action)'라는 별도 항목이 있었습니다. 2015년판부터는 이를 없애고, 대신 기획 단계에서부터 위험과 기회를 다루도록 요구합니다. 즉 시스템을 설계할 때부터 "무엇이 잘못될 수 있는가", "어떤 기회를 살릴 수 있는가"를 따져 보게 한 것입니다. 그 결과 예방은 시스템 곳곳에 스며든 일상적 사고방식이 되었습니다.

■ 실제로 어떻게 적용하나요?
위험과 기회를 찾아내고, 평가해 우선순위를 정하고, 대응책을 실행한 뒤 그 효과를 점검하는 흐름으로 적용합니다. 거창한 기법보다 '미리 보고 대비하는 습관'이 핵심입니다.

대략 다음 순서로 진행됩니다.
· 식별: 목표 달성에 영향을 줄 위험·기회를 찾아냄
· 분석·평가: 발생 가능성과 영향의 크기를 따져 우선순위를 매김
· 대응: 큰 위험은 줄이거나 없애고, 기회는 살릴 방법을 마련함
· 점검: 대응이 효과가 있었는지 확인하고 필요 시 보완함

이 흐름은 앞서 설명한 PDCA 사이클과도 자연스럽게 맞물립니다. 다만 표준은 정형화된 리스크 관리 기법을 반드시 쓰라고 요구하지는 않습니다. 조직 규모와 상황에 맞게 적용하면 됩니다.

■ 심사원은 리스크 기반 사고를 어떻게 확인하나요?
 조직이 위험과 기회를 실제로 파악해 관리하고 있는지를 증거로 확인합니다. 문서 한 장이 아니라, 위험을 다루는 활동이 시스템에 녹아 있는지를 봅니다.
예를 들어 심사원은 "어떤 위험을 식별했고, 그에 따라 무엇을 했는가", "그 대응이 효과가 있었는가"를 질문하고 증거를 확인합니다. 형식적인 리스크 목록만 있고 실제 운영과 연결되지 않으면 의미가 약하다고 보지요. APCB 연수기관 교육과정에서도 리스크 기반 사고를 비롯한 경영시스템 핵심 원리를 다룹니다.

■ 정리하면
리스크 기반 사고는 위험과 기회를 미리 파악해 우선순위에 따라 대응하는 예방 중심의 접근으로, ISO 9001:2015 이후 경영시스템 표준의 핵심 원리가 되었습니다. 예방을 별도 활동이 아니라 시스템 전반의 기본 사고로 삼은 것이 가장 큰 변화입니다. APCB는 IAS 인정 개인자격 인증기관으로 14개 스킴의 심사원 자격을 운영하며, 자세한 내용은 APCB로 문의하시기 바랍니다.

■ 자주 묻는 질문 (FAQ)
Q. 리스크 기반 사고를 하려면 복잡한 위험관리 기법이 꼭 필요한가요?
A. 아닙니다. ISO 9001은 특정 기법을 강제하지 않습니다. 조직 규모와 상황에 맞게 위험과 기회를 파악해 관리하면 되며, 간단한 방식부터 시작할 수 있습니다.

Q. 리스크는 나쁜 것만 의미하나요?
A. 아닙니다. 리스크는 불확실성이 목표에 미치는 영향으로, 부정적 영향(위험)과 긍정적 영향(기회)을 모두 포함합니다. 리스크 기반 사고는 둘 다 다룹니다.

Q. 예방조치 조항이 사라졌으면 예방은 안 해도 되나요?
A. 반대입니다. 예방조치가 별도 조항에서 빠진 이유는, 예방을 시스템 전체에 스며든 기본 사고(리스크 기반 사고)로 격상했기 때문입니다. 예방은 더 중요해졌습니다.

 

더 자세한 내용은 APCB 자격인증원 홈페이지를 참고해 주시기 바랍니다.
http://www.iso114.net/default/

 

출처: 국제표준화기구(ISO, iso.org) ISO 9001:2015 리스크 기반 사고 및 위험·기회 관련 개념, APCB 자격 운영 정보.

※ 본 글은 2026년 6월 기준으로 APCB 자격인증원이 작성했습니다. 표준 해설·자격 활용의 세부 사항은 APCB 공지를 확인하시기 바랍니다.

반응형