2.4 운영위원회 책무에 대한 분석

IT 전략위원회

이사회에 다음 문제들에 대한 통찰력과 자문 제공

- 비즈니스 관점에서 IT 개발의 적절성

- 비즈니스 목표와 IT 의 연계

- 전략적 IT 목표의 잘성

- 전략적 목표를 달성하는데 적합한 IT 자원, 스킬 그리고 인프라의 확보

- IT 외주의 역할 및 가치 창출을 포함한 IT 비용의 최적화

- IT 투자의 위험, 수익 그리고 경쟁력 관점

- 주요 IT 프로젝트들의 진행경과

- IT 비즈니스 기여 ( 예 : 약속한 비즈니스 가치 제공 )

- 컴플라이언스 위험을 포함한 IT 위험에 노출

- 위험의 억제

- IT 전략에 관련된 경영진에 대한 지도

- 이사회의 IT 의사결정에 대한 촉매역할

 

권한

 - IT 전략에 대해서 이사회와 경영진에 자문제공

 - 전략에 대해 의견을 제시하고 전략에 대한 승인을 받기위한 준비를 수행하도록 이사회로부터 권한위임을 받음

 - 현재와 미래의 전략적 IT 현안에 초점을 맞춤

 

멤버십

 - 이사회 구성원 및 이사회 구성원이 아닌 전문가

 

IT 운영위원회

- IT 비용지출 수준과 비용할당 방법에 대해 결정

- 기업의 IT 아키택처를 조정하고 승인함

- 프로젝트 계획, 예산을 승인하고 우선순위와 이정표를 정함

- 적절한 자원을 확보하고 할당함

- 프로젝트가 지속적으로 비즈니스 요구사항(사업 타당성)에 대한 재평가 포함)을 충족하도록 함

- 적시에 그리고 주어진 예산 하에서 기대하는 기치 및 성과를 낼 수 있는지 프로젝트 계획을 모니터링 함

- 프로젝트들 간 뿐만 아니라 조직의 타 부문과 IT 부서 간의 자원 및 우선순위 충돌을 모니터링함

- 전략계획(우선순위, 예싼, 기술적 접근방법, 자원 등) 에 대한 수정에 대해서 의견개진 및 요청함.

- 프로젝트 팀에 전략 목표를 전달함

- 경영진의 IT 거버넌스 책무 및 실무에 대한 주요 공헌자 역할을 수행함

 

권한

 - IT 전략의 수행시 최고경영진을 지원함

 - 매일의 IT서비스 제공과 IT 프로젝트를 감독함

 - 구현에 초점을 맞춤

 

멤버십

 - 후원인 자격의 최고경영진

 - 비즈니스 최고경영진(주요 사용자)

 - 최고정보관리책임자(CIO)

 - 필요시 주요 자문역(IT, 감사, 법, 재무)

 

IT 균형성과표(BSC)를 이용하는 것은 IT와 비즈니스의 적절한 연계를 통한 IT 거버넌스를 달성하는데 있어 IT전략위원회와 경영진을 지원하는 가장 효과적인 수단 중 하나이다. IT 균형성과표를 통해 달성하고자 하는 목표는 경영진이 이사회에 보고하는 수단을 마련하고, 주요 이해관계자들간에 IT의 전략적 목표에 대한 합의를 촉진하고, IT의 효과성과 IT가 추가로 창출한 가치를 증명하고, IT의 성과, 위험 그리고 역량에 대해 의사소통하는데 있다.

 

2.3.4 정보보호 거버넌스

(Information Security Governance)

IT 거버넌스 프로세스 내에서, 정보보호 거버넌스는 특정 가치지표에 초점을 맞춘 최고 수준 중의 하나로 떠올랐다. 가치 지표에는 정보의 기밀성, 무결성, 가용성, 서비스의 지속성 그리고 정보자산의 보호가 있다. 글로벌 네트워킹, 급속한 기술혁신과 기술변화, IT 의존성 증가, 위협의 복잡성증가, 전통적 경계를 넘는 기업 확장의 결과로 보안은 중요한 거버넌스 현안이 되어 왔다. 그러므로, 정보보호는 IT 거버넌스의 중요하고 핵심적인 한 부분이 되어야 한다. 이를 등한 시 할 경우 위험을 감소시키고 비즈니스 프로세스 개선을 위해 IT 기회를 활용하는 조직의 능력이 저하될 것이다. 이와 관련하여, 전세계적으로 이사회와 최고경영자들은 정보보호 거버넌스와 연관된 의무와 책임에 대해 인식하고 있다. 이러한 의무와 책임은 정보보호 거버넌스의 이해관계자들이 전사적 IT의 필수 요소로 생각하도록 한다. 최고 경영자는 정보보호 거버넌스를 위한 이사회에 대해 의무가 있으며 관리 하에 있는 최고 경영자와 조직, 자원의 해체에 대해 책임이 있다.

 

보안정책을 승인한 최고경영자의 멤버는 기업 전반에 걸쳐 공정한 대표성을 보증하기 위해 회사의 다양한 운영 및 직원 역할의 범위 안에 있어야 한다. 이것은 잠재적으로 특정 업무 우선순위나 기술 오버헤드, 또는 보안 관심사 등의 방향으로 치우침을 최소화하기 위함이다. 일반적으로, 보안 정책을 승인한 이사 수준의 위원회는 임원, CEO, COO, CFO, 최고위험 책임자(CRO), CIO, CTO, 인사관리자, 감사책임자(여기서 감사인의 독립성 고려 수준은 낮다), 법률책임자등을 포함하곤 한다. 정책의 승인은 가능한 한 큰 범위에서 의견 일치를 기반으로 하여야 한다.

 

정보는 모든 기업의 핵심 요소이며 정보가 생성 또는 수신되는 시점에서부터 파기될 때까지 기술은 중요한 역할을 수행한다. 정보 기술은 점점 발전하고 기업, 사회, 공공 그리고 비즈니스 환경에 확산되어 왔다. 그 결과 과거 그 어느때보다 오늘날 기업과 최고경영진은 다음을 위해 노력하고 있다.

  - 비즈니스 의사결정을 위해 높은 품질의 정보유지

  - IT 기반 투자를 통해 비즈니스 가치를 창출 ( 예: 효과적이고 혁신적으로 IT를 활용하여 전략적 목표를 달성하고 비즈니스 이익을 실현)

  - 신뢰할 수 있고 효율적으로 기술을 이용하여 뛰어난 기업 운영 달성

  - IT 관련 위험을 수용가능한 수준으로 유지

  - IT 서비스 및 기술 비용을 최적화

  - 지속적으로 증가는 관계 법령, 규정, 계약 및 정책 준수

 

최근까지 정보보호의 초점은 정보자체보다는 정보를 수집, 처리, 저장하는 정보시스템에 있었다. 이러한 접근방법은 너무 한정적이어서 이를 통해 종합적인 보안을 달성하기는 어렵게 되었다. 정보보호는 정보, 지식뿐아니라 기반이 되는 데이터가 생명주기(생성, 수신, 처리, 전송 및 저장, 폐기 등) 전체에 걸쳐 적절히 보호되어야 한다는 보다 넓은 관점을 취하고 있다. 이러한 관점은 블로그, 뉴스피드, P2P, 소셜네트워크 또는 웹사이트를 통해 인터넷으로 쉽게 데이터가 공유되는 상황에 특히 적합하다. 따라서, 정보 보호 노력은 정보를 생성하는 프로세스뿐만 아니라 통제된 프로세스를 통해 생성된 정보의 지속적인 보호까지 포함하여야 한다.

 

전통적으로 IT 보안은 기술 보안을 다루며 CIO 레벨에서 관리되어 왔다. 그란, 정보 프라이버시 및 정보 보안 자체는 정보와 관련된 방대한 위험, 이익, 프로세스를 다루므로, 최고경영진(예: CEO, CFO, CTO, CIO)에 의해 관리되며 이사회로 부터 지원받아야 한다.

 

정보보호 거버넌스는 이사회와 경영진의 책임이다. 정보 보호 거버넌스는 기업 거버넌스의 필수적인 한 부분이어야 한다. 정보보호 거버넌스는 정보를 보호하는 리더십, 조직적인 구조와 프로세스로 구성되어 있다.

 

효과적인 보안 거버넌스의 기본적인 성과에는 전략적 연계, 위험관리, 컴플라이언스 그리고 가치제공이 포함되어야 한다. 이러한 성과를 달성하기 위해서 개발이 필용한 사항은 다음과 같다.

 

 - 성과 측정 -SMART(구체적이고(Specific), 측정가능하고(Measurable), 달성가능하고(Attainable), 실제적이며(Realistic), 적시적인(Timely)) 목표를 달성하기 위해 정보보호프로세스를 측정, 모니터링 및 보고한다. 성과측정을 위해 다음이 달성되어야 한다.

- 전략목표와 적절히 연계하여 정의되고, 합의된 의미 있는 측정 지표

- 현안을 해결하는 과정에서 결점을 식별하고 피드백을 제공하는 것을 도와주는 측정 프로세스

- 외부 평가와 감사에 의해 제공되는 독립적인 보증

 

자원관리 - 인프라와 정보보호 지식을 효과적이며 효율적으로 활용한다. 자원관리 목표를 달성하기 위해 경영진은 다음 사항을 고려한다.

- 지식이 수집되고 가용되도록 한다.

- 보안프로세스와 실무방법을 문서화한다.

- 인프라 자원을 정의하고 효율적으로 활용하도록 보안 아키텍처를 개발한다.

 

- 프로세스 통합 - 프로세스 통합은 보안에 대한 조직의 경영진의 보증 프로세스에 초점을 두고 있다. 보안 활동은 때때로 조직 안에 각기 다른 보고체계로 분리, 운영된다. 이러한 분리 운영은 조직의 보안활동을 완벽히 통합하는 것을 어렵게 만든다. 프로세스 통합은 전반적인 보안과 운영 효율성 개선에 도움이 된다.

 

효과적인 정보보호 거버넌스

비느니스의 전략적 방향은 비즈니스 목표에 의해 정의된다. 정보보호는 비즈니서 활동이 조기에 가치를 창출할 수 있도록 지원해야 한다. 정보보호 거버넌스는 기업 거버넌스의 부분집합으로서 보안 활동의 전략적 방향을 제공하고 목표를 달성할 수 있도록 해주며, 정보보호 위험이 적절히 관리되고 기업의 정보자원이 책임감 있게 사용되도록 한다. 다음은 국립표준기술연구소(NIST)의 Special Publication 800-100, 정보보호 핸드북:관리자를 위한 가이드 문서의 일부이다.

 

정보보호 거버넌스는 프레임워크를 수립하고 유지하며 정보보호전략이 비즈니스 목적에 연계되고 지원함을 보증하기 위해 경영구조와 프로세스를 지원하는 과정으로 정의될 수 있으며, 정책 및 내부통제의 고수를 통한 적절한 법률 및 규제와 일맥상통한다. 그리고 모든 리스크를 관리하기 위한 노력으로 책임의 할당을 규정한다.

 

효과적인 정보보호 거버넌스 달성을 위해, 경영진은 비즈니스 목적을 지원하는 통합 정보보호 프로그램을 개발, 관리하기 위한 프레임워크를 수립, 유지해야 한다.

 

정보보호 거버넌스프레임워크는 일반적으로 아래 사항들로 구성된다.

 - 비즈니스 목표에 본질적으로 연계된 광범위한 보안 전략

 - 전략, 통제, 규정의 각각의 측면을 다루는 보안 관리정책들

 - 절차와 가이드가 정책에 부합하도록 각 정책을 위한 완전한 표준들의 집합

 - 이해상충이 발생하지 않도록 하는 효과적인 보안조직 구고

 - 효과성에 대한 피드백을 제공하고 컴플라이언스를 보장하기 위한 제도화된 모니터링 프로세스

 

이러한 프레임워크는 또한 조직의 비즈니스 목표를 지원하기 위한 비용효과적인 정보보호 프로그램 개발을 위한 토대를 제공한다. 보안 프로그램 구현은 제3장 정보시스템 도입, 개발 및 구현에서 다룬다. 정보보호 프로그램의 목표는 조직에 미치는 가치 혹은 위험에 비례하여 정보자산에 대해 적절한 수준의 보호가 이루어진다는 것을 보장하는 활동을 수립하는데 있다.

 

경영진과 이사회의 역할과 책임

정보보호 거버넌스는 전략적 방향제시와 추진력을 요구한다. 정보보호 거버넌스는 이사회가 계획이 달성되었지를 판단하는 수단 뿐만 아니라 정보보호 관리를 위한 경영진의 참여와 자우너투입 그리고 책임 할당을 요구한다.

 

이사회 / 경영진

효과적인 정보보호 거버넌스는 정책을 승인하고, 적절한 모티터링을 보장하며, 평가지표, 보고서 및 추세분석 결과를 검토하는데 있어 이사회와 경영진의 참여에 의해서만 달성될 수 있다.

 

이사회의 구성원들은 조직의 정보자산과 지속적인 비즈니스 운영에 있어 이들 정보자산의 중요성을 이해할 필요가 있다. 이사회에 포괄적인 위험평가 및 비즈니스 영향 분석(BIA)의 결과를 정기적으로 제공함으로써 이를 달성할 수 있다. 정보 자산에 대한 비즈니스 의존도 평가도 이사회의 이해를 넓히는데 도움이 된다. 이러한 활동을 통해 결과적으로 이사회 구성원들이 보호되어야 할 핵심 자신의 평가와 결과를 승인하고 승인된 보호 수준 및 우선순위가 정당한 주의의무(due care)의 표준에 부합하게 된다.

 

최고 경영진은 솔선하여 효과적인 보안 거버넌스를 조직내로 전파하여야 한다. 경영진이 보안지침을 실천하지 않으면서 하위 직급의 직원들에게 이를 따를 것을 기대하는 것은 사리에 맞지 않는다. 최고 경영진이 조직 고유의 보안 요구사항을 승인하는 것은 모든 직급에서 보안 상 기대수준을 충족 시키는 토대를 제공한다. 우반 시 불이익이 이사회에서부터 시작하여 아래로 명확히 정의되고, 공지되며 강제되어야 한다.

 

최고경영진

한 조직의 효과적인 보안 거버넌스를 구현하고 전략적 보안 목표를 정의하는 것은 복잡하고 힘든 과제이다. 다른 주요 추진과제의 경우와 마찬가지로 보안 거버넌스가 성공하기 위해서는 최고 경영진으로부터 리더십과 지속적인 지원이 필요하다. 효과적인 정보보호 전략을 개발하는데에는 비즈니스 프로세스 책임자들과 통합과 협력이 필요하다. 보안 거버넌스 성공의 결과는 바로 비즈니스 목표를 지원하는데 있어 정보보호활동이 비즈니스 목표와 연계되는데 있다. 비즈니스 정보 및 프로세스에 대해서 예측 가능하고 정해진 수준의 확신을 제공하고 조직에 나쁜 상황(예: 사고)이 발생했을 때 수용할 수 있는 수준에서 영향이 미치도록 하는 보안 거버넌스의 기대 목표를 달성하는데 있어 보안 프로그램이 얼마나 비용효과적인지를 정보보호 활동이 얼마나 비즈니스 목표와 연계되어 있느냐에 따라 결정된다.

 

정보보호 표준위원회

정도는 다르겠지만 보안은 조직의 모든 측면에서 영향을 미친다. 보안이 효과적이기 위해서는 조직 내에 널리 퍼져 있어야 한다. 보안과 관련된 고려사항에 영향을 받는 모든 이해관계자가 참여하도록 하기 위해 많은 조직들은 관련된 각 집단의 대표들로 구성된 운영위원회를 이용한다. 이를 통해 우선순위 및 교섭조건에 대한 합의도출이 촉진된다. 또한 운영위원회는 효과적인 의사소통 채널의 역할을 수행하며 보안 프로그램이 비즈니스 목표와 연계되도록 하는 지속적인 토대를 제공한다. 그리고 모범적인 보안을 추구하는 조직문화로의 조직 구성원의 태도변화를 이끌어 내는데 도움이 될 수 있다.

 

최고정보보호책임자(CISO)는 기본적으로 이행, 감사 그리고 보안과 관련된 성과 균형을 만족하는 실질적인 정책, 표준 절차와 프로세스를 갖기 위해 정보보호프로그램을 만든 것이다. 그러나 정보보호표준위원회(ISSC)라고 하는 심의위원회의 영향을 받는 그룹을 포함할 필요가 있다. ISSC는 IT, 응용프로그램 소유자, 업무프로세스 소유자, 운영, 인적자원 감사, 법률등의 C-레벨 경영관리자 및 고위경영진을 구성원으로 포함한다. 위원회는 OS 및 데이터베이스의 보안 설정을 포함한 조직 내 권고 통제사항과 모범사례의 적합성을 심의할 것이다. 감사인의 존재는 적절한 감사추적 및 로그를 제공함으로써 시스템이 감사에 적합하도록 한다. 법률부서는 법률이슈에 대한 책임과 갈등에 대해 조언하도록 한다. 이것은 ISSC에 포함된 규정된 구성원 목록이 아니다. 위원회의 구성원은 조직에 적합하게 변경될 수 있으며, 논의되고 있는 통제 목적에 맞게 적절한 다른 구성원이 선출될 수도 있다.

 

정보보호 최고 책임자

모든 조직은 정보보호 최고책임자(CISO: Chief Information Security Officer)를 두고 있다. 정보보호 부서나 담당이사가 존재하더라도 CIO, CTO, CFO 혹은 경우에 따라서 CEO가 CISO의 역할을 수행할 수도 있다. 오늘날 정보보호의 범위가 이와 같아서 CISO에게 요구되는 책임과 권한이 불가피하게 상위 도는 최고경영진의 책임에 맞먹는다. 이에는 위험최고책임자(CRO: Chief Risk Officer)나 컴플라이언스 최고책임자(CCO: Chief Compliance Officer)와 같은 지위가 포함될 수 있다.

 

법적 책임은 기본적으로 조직의 명령체계에 따라 조직의 상부로 이어지며 결국 경영진과 이사회에 귀속된다. 이러한 사실을 인지하지 못하거나 적절한 거버넌스 체계를 확립하지 못할 경우 경영진은 이러한 책임을 인지하지 못하게 된다. 또한 보통 이러한 경우 비즈니스 목표와 보안 활동의 효과적인 연계가 미흡하게 된다. 조직이 정보에 대한 의존도와 정보에 대한 위협이 증대됨을 이해하기 시작함에 따라 현명한 경영진은 보안 책임자의 지위를 경영진의 위치(예: CISO) 까지 점점 높이고 있다.

 

성과 및 책임 매트릭스

효과적인 보안 거버넌스의 성과와 관리 책임사이의 관계는 도표에서 확인할 수 있다. 이 매트릭스는 모든것을 포함하는 것은 아니며 다만 과업 책임의 일부 주요 직무와 경영수준을 보여준다. 이들 직무의 명칭은 조직의 특성에 따라 다양할 수 있다. 그러나, 다른 직무의 명칭을 사용하더라도 관련 역할과 책임은 명확히 마련되어 있어야 한다.

 

2.3.5 전사적 아키텍쳐 (Enterprise Architecture)

점차 주목을 받고 있는 IT 거버넌스 영역 중의 하나는 전사적 아키텍쳐 (Enterprise Architecture: 이하 EA) 이다. EA는 조직의 IT 자산을 구조적인 방법으로 문서화하여, IT투자에 대한 이해, 관리 및 계획 수립을 도와준다. EA는 흔히 현행 상태와 최적화된 미래의 상태를 나타낸다(예, 로드맵)

 

현재 EA에서 중점을 두는 것은 점차 증가하는 IT의 복잡성과 오늘날 조직의 복잡성에 대응하고, IT와 비즈니스 전략을 연계하며, IT투자가 실직적인 이익을 제공하도록 하는것이다.

EA분야에서 혁신적인 연구결과는 1980년대 후반 John Zachman에 의해서 최초로 발표되었다. Zachman 프레임워크는 오늘날 많은 EA프로젝트의 출발점으로 계속 사용되고 있다. Zachman은 IT 시스템을 구축하는 것이 빌딩을 짓는 것과 상당한 유사점이 있다고 추론하였다. 두 가지 경우 모두, 프로젝트 각 단계에 다양한 인력들이 참여한다. 빌딩을 지을 때, 모델과 도면 (예: 청사진, 평면도, 배선도)을 이용하여 추상적인 것에서 점차 물리적인 빌딩을 건축해 나간다. IT 부문에서도 이와 유사하게 다양한 산출물(예: 다이아그램, 흐름도, 데이터/클래스 모델, 코드)을 이용하여 조직 시스템의 다양한 측변들을 점차 세부적인 형태로 구축해 나간다.

 

기본적인 Zachman 프레임워크는 도표 2.7과 같다.

 

궁국적인 목적은 표의 모든 공란을 채우는 것이다. EA 프로젝트의 초기에는 대부분의 조직들이 각 공란을 세부적인 내용으로 작성하기 어렵고, 특히 최상위 수준은 더욱 어렵다.

EA를 완벽하게 구축하는 과정에서 조직은 기술적인 관점이나 비즈니스 프로세스 관점에서 접근할 수 있다.

 

기술 주도적인 EA에서는 오늘날 조직들이 당면한 복잡한 기술적인 대안들을 명확하게 정의하려 한다. 기본적인 아이디어는 다양한 현안에 대한 지침을 제공하는 것이다. 이러한 현안의 예로는 애플리케이션 개발에 Java EE, .Net과 같은 고도화된 기술 환경을 사용할 지의 여부와 언제 사용할지, 조직 내외시스템들 간의 더 나은 연결방법을 어떻게 구현할지, 기존 시스템과 ERP 어플리케이션을 가능하면 프로그램의 과다한 재작성이 없이 어떻게 웹환경으로 전환할 수 있을지, IT 기능을 자체 전산부서를 통할지 아니면 외주할지, 그리고 가상화나 클라우드 컴퓨팅과 같은 솔루션을 사용할지, 사용한다면 언제할지 등이다.

비즈니스 프로세스 주도적인 EA는 가치를 창출하는 핵심 프로세스와 이를 지원하는 프로세스 관점에서 조직을 이해하려 한다. 이 아이디어는 상황이 점차 바뀌기 때문에 프로세스와 프로세스 구성요소 그리고 프로세스를 지원하는 기술을 이해해야만 비즈니스 개선을 달성할 수 있다는 것이다.

 

이러한 서고방식의 기원은 1980년대 발표된 하버든 교수 Michael Porter의 연구-특히 비지니스 가치 체인보델 로 거슬러 올라간다. 비즈니스 프로세스를 모델링하는 노력에 의해 산업 전반에 다양한 모딜이 등장하였다. 예를 들면, 통신산업에서는 강화된 통신운영맵(Telecom Operations Map (eTOM))과 공급사슬운영 참조모델(Supply Chain Operation Reference(SCOR))모델 등이 그것이다. 비즈니스 프로세스 모델의 내용은 Zachman 프레임워크의 상위계층에 매핑될 수 있다. 이르 완성하고 나면 조직은 비즈니스 프로세스를 지원하는데 필요한 최적의 기술 조합을 생각해 볼 수 있다.

 

예를 들어 미국 연방조직은 법에 의해 EA를 개발하고, EA 거버넌스 구조를 구축하여 모든 시스템 기획과 예산 수립활동에서 참조하고 유지하도록 하고 있다. 이러한 프로세스를 지원하기 위해, 연방 EA(Federal Enterprise Architecture:FEA)가 개발되었다. FEA는 "정부 기관 간의 협력, 혁신, 정보 전반의 개선을 지원하는 비즈니스 및 성과기반의 프레임워크로 설명된다. FEA는 다음과 같은 5개의 참조모델의 계층 구조로 되어 있다.

- 성과 참조모델 - 주요 IT 투자의 성과와 이들이 프로그램 성과에 기여한 정도를 측정하는 프레임워크

- 비즈니스 참조모델 - 실제 기능을 수행하는 기관과 독립적인 정부에 수행되는 기능 또는 하부 기능을 기술한 기능 중심의 프레임워크

 - 서비스 컴포넌트 참조모델 - 비즈니스와 성과목표를 지원하는 서비스 컴포넌트를 분류하는 기능지향 프레임워크

 - 기술 참조모델 - 서비스 컴포넌트의 제공, 개발, 교환 방법을 기술한 프레임워크

 - 데이터 참조모델 프로그램(프로젝트)과 현업의 운영을 지원하는 데이터 및 정보를 기술한 프레임워크

 

기업 아키텍처와 FEA에 관한 매뉴얼은 IT 부서가 관리하는 기술을 지속적을 ㅗ설명 및 평가함으로써 회사의 정보기술의 일관성을 유지하고 설명하는데 주로 이용된다.

 

IT부서 관리에 대한 IT 거버넌스의 적절한 방향은 전략적인 기술의 변화에 사용되는 선택 및 방법론을 위한 프로세스이다. 이 관련 주제는 경영 의사결정에 영향을 미칠 수 있으며 큰 비즈니스 위험에 영향을 받을 수 있다.