리스크 매트릭스 작성 가이드｜우선순위가 잡히는 실무 점검법

리스크 매트릭스(Risk Matrix)를 “그럴듯하게” 만드는 건 어렵지 않습니다. 그런데 현장에서 실제로 쓰이게 만드는 건, 생각보다 까다롭습니다. 문서로는 완벽한데, 회의 끝나면 아무도 다시 열어보지 않거든요.

제가 기억하는 한 장면이 있습니다. 금요일 저녁 7시쯤, 작은 제조업체 회의실에서 대표님이 “리스크 관리표 만들었는데 왜 문제는 계속 터지지?”라고 물으셨습니다. 그 순간 잠시 멈칫했습니다. 표는 있었는데, 우선순위와 담당, 그리고 ‘언제 점검할지’가 비어 있었습니다. 결국 종이만 남은 거죠.

리스크 매트릭스의 목적은 ‘위험을 나열’하는 게 아니라, 지금 당장 손대야 할 3~5개를 합의하는 것입니다.

 

리스크 매트릭스가 필요한 이유: “감”을 회의에서 꺼내기 위해서

리스크는 대개 감으로 알고 있습니다. 다만 감은 사람마다 다르고, 바쁜 날에는 더 왜곡됩니다. 매트릭스는 발생가능성(Probability)과 영향도(Impact)를 같은 언어로 맞추는 장치입니다. 그래서 저는 ‘문서’보다 ‘회의 도구’로 접근합니다.

리스크를 숨기면 분위기는 좋아지지만, 비용은 늦게라도 반드시 청구됩니다.

• 최근 6개월 안에 “한 번 더 터지면 큰일”이라고 느낀 사건이 있었나요?
• 사람 교체, 거래처 변경, 법규 이슈 같은 변화가 겹치고 있나요?

 

작성 순서 5단계: 한 장으로 끝내는 실무 흐름

리스크 매트릭스는 1시간 안에 초안을 만들 수 있어야 합니다. 그래야 다음 회의에서 바로 수정하고 굴러갑니다. 아래 순서는 제가 현장에서 가장 덜 흔들리는 방식으로 정리한 흐름입니다.

리스크 매트릭스 작성 흐름

1리스크 목록 수집

→

2척도(1~5) 합의

→

3점수화·배치

→

4대응전략 지정

→

5담당·기한·점검

초안은 빠르게, 합의는 명확하게. 이 순서가 가장 오래 갑니다.

실수하기 쉬운 지점 요약: 점수는 잘 매기는데, 대응(회피/저감/전가/수용)과 책임자·기한이 빠져 “그림”으로만 남습니다.

1단계: 리스크 목록은 “기능별”로 훑습니다

한 번에 다 떠올리려 하면 누락됩니다. 매출/구매/생산/인력/자금/법무/IT 같은 기능 단위로 한 줄씩만 적어도, 목록 품질이 올라갑니다. 그런데 이상한 건… 대표님이 직접 적을 때보다, 현장 실무자가 한 줄 더 현실적으로 적습니다. 그 한 줄이 돈이더라고요.

• 매출: 핵심 거래처 의존, 반품/클레임, 단가 인하 압박
• 구매/재고: 납기 지연, 원자재 가격 급등, 과잉재고
• 인력: 핵심인력 퇴사, 현장 안전, 인수인계 공백
• 법무/컴플라이언스: 계약서 미비, 개인정보 처리, 표시광고 이슈
• IT/보안: 계정 공유, 백업 부재, 랜섬웨어(악성 암호화 공격)

 

점수 기준(1~5)을 먼저 합의해야 매트릭스가 살아납니다

발생가능성과 영향도는 숫자처럼 보이지만, 사실은 언어입니다. “3점”이 무엇인지 기준이 없으면, 사람마다 다르게 찍습니다. 그래서 저는 점수표를 먼저 합의합니다. 여기서 시간을 쓰면 뒤가 빨라집니다.

리스크 매트릭스 절차 요약표

구분	1점	3점	5점	메모(현장 기준)
발생가능성	거의 없음(연 1회 이하)	가끔(분기 1회 수준)	자주(월 1회 이상)	최근 6개월 실제 빈도로 맞추면 현실적입니다
영향도	작은 불편/재작업	매출·비용에 체감 영향	중단/법적 분쟁/큰 손실	금액(예: 손실액) 또는 멈추는 시간으로 정의합니다

가장 많이 막히는 단계는 “영향도 4~5점”을 합의하는 순간입니다. 이때는 감정이 섞이기 쉬워서, 금액 또는 중단시간 같은 기준을 하나 붙이면 정리가 됩니다.

 

매트릭스에 올린 뒤, ‘대응전략’까지 붙여야 끝입니다

배치만 하면 멋있습니다. 하지만 실행은 안 됩니다. 매트릭스는 대응전략(회피/Avoid, 저감/Mitigate, 전가/Transfer, 수용/Accept)을 붙이는 순간부터 ‘작업 지시서’가 됩니다.

리스크 매트릭스 가로=영향도(1~5), 세로=발생가능성(5~1)

발생가능성 5

재고누락

납기지연

 

클레임폭증

 

발생가능성 4

 

핵심인력공백

 

 

개인정보사고

발생가능성 3

 

 

원가급등

 

 

발생가능성 2

 

 

 

대금미회수

 

발생가능성 1

 

 

 

 

중대사고

이럴 때 A / 이럴 때 B (대응전략 빠른 선택)

A(저감)이 필요한 건 “자주 터지는데, 영향도도 큰 것”입니다. 매뉴얼, 체크리스트, 이중확인 같은 내부통제가 효과를 냅니다. 반대로 B(전가)는 “발생 확률은 낮지만 터지면 끝장”인 것들이고요. 보험, 계약 조항, 외부 전문업체 활용이 현실적입니다.

• 저감: 재고·발주 오류, 납기 지연, 반복 클레임(프로세스 개선)
• 전가: 개인정보 사고, 중대재해(보험/외주/계약 구조)
• 회피: 법 위반 가능성이 큰 사업 방식(구조 자체 변경)
• 수용: 비용 대비 효과가 낮은 잔리스크(모니터링만)

리스크 대응 실행 실무 점검표

우선순위	리스크	대응전략	즉시 액션(30일)	책임/점검
상	재고누락/발주오류	저감	기준 재고표 1장, 알림/이중확인 도입	담당: 운영 / 점검: 주 1회
상	개인정보 사고	전가+저감	계정 분리, 권한 정리, 백업/접속기록	담당: 총무/IT / 점검: 월 1회
중	원가 급등	저감	대체 공급처 2곳, 단가 협상 근거 정리	담당: 구매 / 점검: 분기 1회
중	대금 미회수	저감+전가	여신 기준, 계약서/담보/보증 옵션 정리	담당: 영업 / 점검: 월 1회

 

마무리: “한 번 만든 표”가 아니라 “매달 업데이트되는 습관”

리스크 매트릭스를 처음 만들면, 솔직히 좀 피곤합니다. 논쟁도 생기고요. 그런데 한 달만 지나도 체감이 옵니다. 회의에서 감이 아니라 근거로 말하게 되고, 무엇보다 대표님이 마음이 조금 가벼워지십니다.

저는 결국 리스크 관리가 ‘불안의 관리’라고 느낍니다. 보이지 않던 걸 보이게 만들면, 당장 해결이 안 돼도 방향이 잡힙니다. 그리고 그 방향이 잡히는 순간, 이상하게 실수가 줄어듭니다.

현재 회사 상황에 맞는 리스크 항목과 점수 기준이 헷갈리신다면, 리스크 매트릭스를 실무 점검표 형태로 함께 정리해 보셔도 좋겠습니다.