검증이 끝났다고 운영 리스크가 끝나는 것은 아니다
많은 조직이 CSV를 프로젝트의 종료 조건으로 이해합니다. 계획을 수립하고, 테스트를 수행하고, 승인 문서를 정리하면 검증은 완료됩니다. 그러나 운영 리스크는 그다음부터 다시 시작됩니다.
실제 현장에서는 사용 권한 변경, 예외 처리, 데이터 보정, 반복 승인, 협업 누락처럼 시스템 사용 과정에서 새로운 리스크가 발생합니다.
점검해야 할 5가지
1. 권한 변경이 기록으로 남는가
운영 중 가장 자주 바뀌는 것은 권한입니다. 누가 어떤 이유로 권한을 받았고 언제 회수됐는지가 남지 않으면 통제 공백이 생깁니다.
2. 예외 처리가 표준 흐름 안에 있는가
현실의 운영에는 항상 예외가 있습니다. 중요한 것은 예외를 없애는 것이 아니라, 예외 요청, 승인, 처리 이력이 표준 흐름 안에 남는가입니다.
3. 상태 변경의 근거가 남는가
검토 완료, 승인 완료, 반려, 수정 같은 상태 변화가 근거 없이 바뀐다면 나중에 설명할 수 없습니다.
4. 문서와 데이터가 분리되지 않는가
운영 설명 문서와 실제 데이터가 따로 놀면 대응 품질이 떨어집니다. 문서와 실행 근거는 연결돼야 합니다.
5. 운영 중 누락을 볼 수 있는가
검증 당시에는 준비가 철저해도, 운영 중 누락이 보이지 않으면 결국 다시 사람 기억에 의존하게 됩니다.
운영 리스크의 전형적 징후
아래와 같은 상황이 반복된다면 검증 이후의 운영 관리가 약하다는 뜻입니다.
- 승인 없이 상태가 바뀌는 건이 있다.
- 권한 요청과 회수가 메일로만 처리된다.
- 변경 사유를 설명하려면 여러 시스템을 뒤져야 한다.
- 감사 시점마다 근거 자료를 다시 모은다.
- 예외 건은 별도 파일에서 관리된다.
운영 점검은 화면이 아니라 흐름을 봐야 한다
많은 경우 운영 리스크 점검은 화면 기능 점검으로 끝납니다. 하지만 실제로 점검해야 하는 것은 아래 흐름입니다.
- 요청이 어떻게 발생하는가
- 누가 검토하고 승인하는가
- 상태가 어떻게 바뀌는가
- 근거와 이력이 어디에 남는가
- 누락과 지연을 누가 어떻게 보는가
이 흐름이 보이지 않으면 시스템이 있어도 운영 통제는 약합니다.
결론
CSV는 중요한 시작점이지만 운영 품질의 끝은 아닙니다. 검증 이후의 운영 리스크는 권한, 상태, 예외, 근거, 누락 관리에서 계속 발생합니다.
따라서 조직은 "검증이 끝났는가"만 보지 말고, "운영 중 어떤 리스크가 다시 발생할 수 있는가"까지 함께 점검해야 합니다.