(1) 개정 의의50)
2017년 9월 COSO는 2004년의 전사적 리스크관리 구조를 개정하여 발 표하였다. 개정에 있어서 제목에 변화51)를 주었고 그 이유를 COSO는
“회사의 전략 및 성과와 리스크관리 사이에 중요성을 인식했다”고 밝 혔다. 즉 전략 설정 과정 및 강력한 성과 창출시 리스크를 고려하는게 중요하다는 것이다. 또한 개정 사유를 다음과 같이 밝혔다. 2004년 이후 리스크는 복잡하게 변화하였고 많은 새로운 리스크들이 나타났으며, 이 사회는 개선된 보고서를 필요로 하며 리스크 관리에 대한 인식과 그 감 독을 강화하고 있다.
이번 개정은 전사적 리스크 관리로부터 더 좋은 가치를 얻을 수 있도 록 현재 진화하고 있는 개념 및 전사적 리스크 관리의 적용을 반영하고
48) 삼일회계법인 譯, 전게서, 17-18면.
49) 정대, “내부통제제도와 기업지배구조(Corporate Governance)”, 「내부통제제도의 법 제 개선방안(워크샵 자료집)」, 한국법제연구원, 2006, 116-117면.
50) Enterprise Risk Management-Integrating strategy and performance, Executive Summary (June 2017), Foreward.
51) ERM – Integrated Framework 에서 ERM – Integrating with Strategy and Performance로 변화를 주었다.
있다.
명확하게 그것은 전략의 설정 및 실행에 있어 전사적 리스크관리의 역 할에보다 많은 통찰을 제공하고 있으며, 회사의 성과와 전사적 리스크관 리의 연계성을 강화하였다.
(2) 개정 내용52)
1) 전략을 설정하고 실행시 전사적 리스크관리 가치에 보다 큰 통찰을 제공
2) 성과 목표의 설정 및 성과에 미치는 리스크의 영향에 대한 이해를 개선하기 위해 성과와 전사적 리스크관리 사이의 부합성을 강화
3) 보다 큰 투명성을 바라는 주주에 대한 보고의 확장
4) 복잡한 사업구조하에서 목표의 설정 및 달성시 리스크를 바라보는 새로운 방안 제시
5) 전사적 리스크관리 설계, 실행과 관련된 모든 단계의 경영진을 위한 핵심정의, 구성 요소 그리고 원칙을 설정
6) 전사적 리스크관리 수행에 있어 기업문화 역할의 중요성 강조 7) 구성요소와 원칙의 이분화된 구조를 채택
(3) 구성요소 및 원칙53)
1) 지배구조 및 조직문화(Governance and Culture)
지배구조는 조직의 성향을 설정하며 전사적 리스크관리의 중요성 보강 및 전사적 리스크관리에 대한 감독책임을 만든다. 기업문화는 윤리가치, 바람직한 행동규범 그리고 회사에서의 리스크에 대한 이해와 연관이 있
52) Id.
53) Id., p. 6-7,10.
다.
관련 원칙으로는 5가지가 있다
① 이사회의 리스크에 대한 감독
② 운영 구조 설립
③ 이상적인 조직문화 정의
④ 핵심가치 연관 내용 기술
⑤ 능력있는 구성원의 유치, 계발, 유지
2) 전략과 목표 설정(Strategy and Objective-Setting)
전사적 리스크관리, 전략 그리고 목표 설정은 전략 기획 과정에서 함 께 어울러진다. 리스크 선호도는 전략에 부합되어서 만들어진다. 리스크 대응, 평가 그리고 인식에 대한 작업이 이루어지는 동안 사업목표에 대 한 실행전략을 세운다. 관련 원칙으로는 4가지가 있다.
① 사업 개념 분석
② 리스크 선호도 정의
③ 대안 전략에 대한 평가
④ 사업목표 설정 3) 성과(Performance)
전략과 사업 목표 달성에 영향을 미칠 수 있는 리스크들을 확인 및 평 가해야 한다. 리스크들은 리스크 선호도 관점에서 엄격하게 우선순위가 정해져야 하며 그 후에 회사는 리스크 대응방안을 선택하고 리스크 양에 대한 포트폴리오 관점을 택한다. 또한 이 과정의 결과는 핵심 리스크 책 임자에게 전달되어야 한다. 관련 원칙으로는 5가지가 있다.
① 리스크 정의
② 리스크 심각성 평가
③ 리스크 우선순위 선정
④ 리스크 대응방안 시행
⑤ 리스크 포트폴리오 관점의 개발 4) 검토 및 수정 (Review and Revision)
회사는 성과에 대한 검토를 통해 상당한 변화들을 감안했을때 어떻게 전사적 리스크관리 요소들이 작동되며 어떤 수정이 필요로 되는지 고려 할 수 있다. 관련 원칙으로는 3가지가 있다.
① 상당한 변화의 측정
② 리스크 및 성과에 대한 검토
③ 전사적 리스크관리 수정의 실행
5) 정보, 의사소통 및 보고 (Information, Communication and Reporting)
전사적 리스크관리는 외부에서 얻는 정보 및 회사 전반에 소통되는 내 부정보 등 필요한 모든 정보를 공유하고 습득하는 지속적인 과정을 필요 로 한다. 관련 원칙으로는 3가지가 있다.
① 정보와 기술의 활용
② 리스크 정보에 대한 의사소통
③ 리스크, 문화, 성과에 대한 보고
구분 2004 ERM 2017 ERM
제목 ERM – Integrated Framework ERM – Integrating with strategy and performance
구조
8개의 요소로 구성 1. 내부 환경 2. 목표 설정
3. 사건 발견 및 규명 4. 리스크 평가 5. 리스크 대응 6. 통제활동 7. 정보 및 소통 8. 감시활동
5개 요소와 20개 원칙으로 구성 1. 지배구조 와 기업문화 2. 전략 과 목표 설정 3. 성과 창출
4. 검토 및 수정 5. 정보, 소통 및 보고
목표 전략, 운영 , 보고, 법령준수 사업목표, 성과 창출
조직문화 언급 없음 ERM 전략, 실행에 있어 조직
문화의 중요성 인식 회사가치 회사 가치의 손상 방지 및 부담
가능한 수준에서 리스크 최소화
회사가치를 창출하고, 지키고, 현실화 하는데 ERM 역할 강조
의사결정 리스크 대응관련 의사결정 능력 향상
가치사슬(Value Chain)의 매 단계별 리스크 인식관련
의사결정 능력 향상 (4) 전사적 리스크관리의 2004년과 2017년 COSO보고서상의 차이점54)
54) PFC, ERM UPDATE 2017 - What do you need to know about the framework changes to Enterprise Risk Management , PFC Accounting Tax Consulting, p 4-5 (2017).
제3장 미국 델라웨어주 회사법상 전사적 리스크관리와 이사의 감시의무
제1절 전사적 리스크관리의 입법적 수용