리스크 매트릭스(위험도 매트릭스)는 ‘멋진 표’가 아닙니다. 대표님이 어떤 위험을 먼저 잡아야 하는지, 어떤 일에 사람과 돈을 써야 하는지 우선순위를 정하는 도구입니다. 그리고 솔직히, 이게 한 번 제대로 돌아가기 시작하면 회의가 달라집니다.
몇 달 전, 인천 쪽 공장 사무실에서 오후 4시쯤 미팅을 했습니다. 현장팀장님이 “요즘 문제요? 다 문제죠”라고 웃으셨는데, 그 말이 더 무겁게 들리더군요. 이럴 때 리스크를 ‘전부’ 나열하면 아무것도 못 합니다. 그래서 매트릭스를 꺼내게 됩니다.
리스크 매트릭스가 필요한 순간
실무에서 리스크 매트릭스가 특히 힘을 발휘하는 상황은 꽤 명확합니다. 일정이 밀리고, 비용이 새고, 고객 클레임이 늘고, 직원들이 “이건 왜 안 해요?” “저건 왜 해요?”를 반복할 때요. 그때는 논리보다 기준이 필요합니다.
매트릭스가 실패하는 흔한 이유
대부분은 기준이 너무 추상적이거나, 점수만 있고 ‘행동’이 없습니다. 빨간 칸이 많아도 아무도 책임을 안 지면, 결국 장식이 됩니다. 그런데 이상한 건… 이게 한 번 장식이 되면, 다음에는 아예 안 하게 됩니다.
“리스크 매트릭스는 작성하는 순간보다, 작성 후 아무 일도 하지 않을 때 더 위험합니다.”
작성 전 준비: 범위와 정의부터 잡습니다
매트릭스를 만들기 전에 먼저 정해야 하는 게 있습니다. 범위입니다. 전사(전체)로 할지, 프로젝트 단위로 할지, 특정 프로세스(구매/생산/납품/회계) 단위로 할지요. 범위가 흔들리면 리스크가 섞이고 비교가 안 됩니다.
- 이번 매트릭스의 범위는 전사/사업부/프로젝트/프로세스 중 어디인지
- 평가 기간은 분기/반기/연간 중 무엇인지
- 리스크 정의는 “목표 달성을 방해하는 사건·상태”로 통일할지
- 리스크를 기록할 최소 단위(한 문장 규칙)를 정했는지
리스크 매트릭스의 뼈대: 발생가능성×영향도
가장 많이 쓰는 형태는 5×5입니다. 이유는 단순합니다. 너무 촘촘하면 현장이 못 쓰고, 너무 거칠면 차이가 안 보입니다. 3×3은 빠르지만 우선순위가 뭉개지고, 4×4는 설명이 애매해지는 경우가 많았습니다. (물론 업종과 규모에 따라 조정됩니다.)
5단계 기준 예시(현장 친화형)
| 등급 | 발생가능성(Probability) 기준 예시 | 영향도(Impact) 기준 예시 | 메모(현장 관점) |
|---|---|---|---|
| 1 | 거의 없음(연 1회 이하) | 업무 지연 거의 없음, 비용 영향 미미 | 관찰만 해도 되는 수준 |
| 2 | 드물게(반기 1회 수준) | 반나절~1일 지연, 소액 비용 발생 | 담당자 체크리스트로 관리 |
| 3 | 가끔(분기 1회 수준) | 1~3일 지연, 고객 불만 발생 가능 | 프로세스 개선 후보 |
| 4 | 자주(월 1회 이상) | 매출/납기 영향, 재작업·폐기 발생 | 경영진 보고 대상이 되기 쉬움 |
| 5 | 매우 자주(주 1회 이상) | 계약/법적 분쟁, 큰 손실·중단 가능 | 즉시 조치가 필요 |
점수화와 색 구간: 우선순위를 ‘행동’으로 바꿉니다
일반적으로 점수는 발생가능성×영향도(1~25)로 계산합니다. 여기서 중요한 포인트는 색깔이 아니라, 색깔마다 무엇을 할지를 미리 정해두는 겁니다. 그 순간 잠시 멈칫했습니다. “빨강이면 뭐 하지?”가 바로 안 나오면, 매트릭스는 곧 멈춥니다.
| 구간(예시) | 점수 범위 | 기본 대응 원칙 | 결재/보고 기준(권장) |
|---|---|---|---|
| Red(즉시) | 16~25 | 즉시 완화(감소) 계획 수립 + 주간 추적 | 대표/임원 보고, 담당자 지정 |
| Amber(계획) | 9~15 | 30일 내 개선안 확정 + 월간 추적 | 부서장 결재, 일정/예산 반영 |
| Green(유지) | 1~8 | 현행 유지 + 분기 점검 | 현장 체크리스트로 관리 |
작성 순서: 6단계로 끝냅니다
리스크 매트릭스는 방법만 알면 빠르게 만들 수 있습니다. 대신 순서를 지켜야 쓸모가 생깁니다. 아래 6단계를 그대로 따라가시면 됩니다.
- 1) 목표/범위/기간 확정(전사·프로세스·프로젝트 중 1개)
- 2) 리스크 후보 수집(현장/회계/고객/품질/법무 관점으로)
- 3) 리스크 문장 정리(“무엇이 발생하면 어떤 손실이 난다” 형태)
- 4) 발생가능성·영향도 기준 합의(숫자·시간·금액으로)
- 5) 점수화 후 상위 5~10개 선별(집중 대상)
- 6) 상위 리스크별 대응계획(담당·기한·예산·지표) 연결
리스크 매트릭스 체크리스트 표
| 점검 항목 | 통과 기준 | 자주 생기는 실패 | 현장 처방 |
|---|---|---|---|
| 리스크 정의가 통일되어 있는가 | 한 문장 규칙으로 정리됨 | 불만/문제/원인/해결이 섞임 | “사건→손실” 문장으로 재작성 |
| 기준이 수치로 잡혀 있는가 | 시간·금액·빈도 기준 있음 | “높음/낮음” 주관만 존재 | 연/분기/월 빈도 + 금액 범위로 고정 |
| 색 구간별 행동이 정의됐는가 | 즉시/계획/유지 규칙 명확 | 빨강만 많고 아무도 안 움직임 | 보고 라인과 담당자 지정부터 |
| 상위 리스크가 KPI와 연결됐는가 | 지표 1개 이상 연결 | 문서로 끝남 | 주간/월간 회의 의제로 고정 |
마무리: 매트릭스는 한 번 만들고 끝나는 게 아닙니다
리스크 매트릭스는 ‘정답표’가 아니라, 회사가 커지면서 생기는 복잡함을 다루는 방식입니다. 처음엔 어색합니다. 점수도 튀고, 의견도 갈립니다. 그런데 그 과정 자체가 가치가 있습니다. 기준이 생기고, 합의가 생기고, 책임이 명확해지거든요.
저는 현장에서 “우리가 뭘 먼저 해야 하는지 이제 알겠네요”라는 말을 들을 때가 가장 좋았습니다. 작은 회사일수록 한 번의 정리가 큰 차이를 만듭니다. 오늘은 상위 5개만 뽑아도 충분합니다. 진짜로요.
중소기업·소상공인 맞춤 컨설팅이 필요하다면 한국경영컨설팅으로 문의하세요.
출처
- ISO: ISO 31000 Risk management(원칙과 프레임워크 개요)
- COSO: Enterprise Risk Management(ERM) 프레임워크 개요
- NIST: Risk Management Framework(RMF) 및 가이드 문서
'5. 운영관리·시스템화' 카테고리의 다른 글
| 매출 변동 대비 탄력 근무표 만드는 법|소상공인 인건비 리스크 줄이기 (1) | 2026.01.29 |
|---|---|
| 재고·발주 로테이션 주기 최적화로 과잉재고 줄이는 법 (0) | 2026.01.28 |
| 외주·협력업체 계약서 핵심 조항, 분쟁 막는 체크리스트 (0) | 2026.01.22 |
| 간편 데이터 수집 파이프라인으로 중소기업 운영이 달라지는 이유 (0) | 2026.01.22 |
| 면담·경고장·해지 절차, 중소기업 인사 리스크의 기준선 (0) | 2026.01.21 |
