전사적 위험관리, 구호에만 그칠 것인가
전사적 위험관리에 대한 관심이 높아지고 있다. 하지만 관심에 비해 실무에서 성과를 창출하 기는 쉽지 않은 것 같다. 전사적 위험 관리 활성화의 장애 요인과 이를 해결하기 위한 실천적 대안을 제시해 본다.
김상일책임연구원sikim@lgeri.com
예기치 못한 리스크가 주는 커다란 손실을 경험 한 경영자들에게 전사적 위험 관리(ERM : Enterprise Risk Management)는 더 없이 매력적인 경영 관리 수단이다. 하지만 초기 도입기를 지난 현재 본격적 인 활성화의 성과를 보는 기업은 상대적으로 적은 것 같다. ERM 활성화의 근본적인 장애 요인은 무엇 인지 짚어보기로 하자.
왜 생각만큼 활성화 되지 못하는가
ERM의 개념을 처음 접하는 경영자 혹은 실무 관리 자들의 반응은 매우 적극적이다. 통상의 기업들이라 면, 과거에 사업상 혹은 오퍼레이션 운영상 크고 작 은 사건 및 사고로 손실을 경험하지 않은 경영자는 거의 없는 탓이다. 글로벌 기업들도 이미 수년 전부 터 도입하여 성과를 거두고 있다는 사례도 풍부하 다. 미국의 권위 있는 기관에서도 ERM의 필요성을 지지하는 등 관심을 끌기엔 충분하다.
● 추상적인 개념이나 이론에 대한 맹신이 문제다 2004년, 미국의 COSO(The Committee of Sponsoring Organizations of the Treadway Commission)는 새로 운 감사 기준을 제시했다. 위험 관리를 위한 새로운 모델의 주요 개념과 방법론을 담은 두툼한 매뉴얼이 었다. 마침 엔론 사태 등 다수의 회계 분식 사태는 기 업 감사(Corporate Audit)에 대한 현장의 문제점을 적나라하게 드러냈다.
전사적 위험관리가 국내에서 주목을 받기 시작
한 것이 바로 이 즈음이다. COSO의 매뉴얼은 명시적 으로 ERM이라는 용어를 소개하면서, 직접적인 기폭 제가 되기도 하였다. 물론 이전에도 CRM(Corporate Risk Management)라는 명칭 등으로 일부 기업에서 간간이 활용되고는 있었다. ERM이 현재의 분명한 개 념으로 자리잡고, 세간의 관심을 끈 데에는 COSO의 덕을 톡톡히 본 것이 사실이다.
물론, COSO 매뉴얼 나름의 가치는 결코 무시 할 수 없다. 기존의 체크리스트 형식의 리스크 관리 한계를 극복했다는 점, 리스크 관리의 범주가 금융 업에 한정되던 한계를 넘어 제조업뿐 아니라 여타 산업에서도 체계적인 리스크 관리가 가능하고, 또 필요하다는 생각을 심어주는 중요한 계기를 제공했 다. 매뉴얼은 리스크 관리의 새로운 패러다임을 소 개하는 상세한 이미지 제시, 다양한 그래프 활용, 대 안적 방법론 등으로 화려하게 제시하고 있다.
하지만, COSO 모델이나 ERM의 개념이 기업 현장에 어떻게 적용될 수 있는가는 또 다른 문제이 다. 처음 ERM을 접할 때는 마치 모든 리스크를 해 결해 줄 것 같은 착각에 빠지기도 한다. 혹은 매력적 인 개념에 사로 잡혀, 어떻게 실행할 수 있을까에 대 한 구체적인 고민이 부족한 경우도 많다. 실제로, 200 페이지에 달하는 COSO 매뉴얼, 기타 시중에 나 와있는 다양한 위험 관리 서적의 내용 중 상당 부분 이 당장 현장에 적용할 수 있는 실행적(actionable) 지침이 부족하다는 ERM 실무자들의 고백은 시사하 는 바가 크다.
●‘Why ERM’에 대한 깊은 고민이 부족하다 언제 어디서 잠재된 리스크가 있을지 전전긍긍하는 경영자들에게 ERM은 더 없이 반가운 소식이다. 하 지만 실무에서‘우리 회사는 왜 ERM을 해야 하는 지’를 고민하는 기업은 많지 않아 보인다. 결과적으 로 도입 과정, 운영 방법론 등에서도 적지 않은 시행 착오를 경험하게 된다.
대부분의 경우, ‘글로벌 유수의 기업들이 한다고 하니까, 시대의 조 류니까’등의 이유로 무작정 ERM을 들여온다. 이러한 자세는 진정으로 ERM이 필요한 영역, 실천적인 방법 론의 핵심을 놓치는 오류를 낳는다.
나름대로 좋아 보이는 글로벌 기업의 방법론을 추종하거나, 외부 컨설팅에 의존하여 다른 기업에서 적용하였던 방법론을 사용하기도 한다.
KRI(Key Risk Indicator)에 관련된 경험을 나 누어 보자. ERM에서 빠지지 않는 용어인 KRI는 위 험 수준을 선행적으로 알려주는 바로미터 구실을 하 는 지표이다. ERM을 도입하는 어느 기업이나 KRI 를 강조하고 있지만, 사실 모든 기업에서 동일한 중 요성을 갖지는 않는다.
실제로 필자는 현장에서 수 십 개의 KRI 지표 를 관리하던 실무자에게 최근에 지표 모니터링을 더 이상 하지 않겠다는 이야기를 들은 적이 있다. 해당
기업은 반도체, LCD 등 IT 경기지수에 민감한 산업 에 속해 있었다. 하지만 ERM 구축 당시의 KRI 지표 들은 품질 관리, 내부 핵심 인재의 이직 등 주로 오퍼 레이션 차원의 지표가 대다수였다.
그 결과, 글로벌 IT 경기의 흐름, 국내 및 주요 해외 경쟁사의 움직임, 주요 원자재 가격의 예측 등 기업 외부 시장에 대한 깊이 있는 분석을 놓치고 있 었다. 이러한 내용들은 결코 단순한 지표 몇 개를 모니터링 한다고 해결 되는 것이 아니다. 최근 경쟁사에서 파악된 전략적 변화의 원인은 무엇 인지, 새로운 대체재는 향후 우리 기 업에 얼마만큼의 손실을 줄 수 있는 지, 예상되는 원자재 가격의 하락폭 은 얼마인지 등에 대한 깊이 있는 분 석과 통찰력이 오히려 핵심이 된다.
회사의 특성을 고려하지 않고, 지표 모니터링에 치 중해서는 결코 답을 얻을 수 없음은 물론이다.
● 당장의 성과에 너무 조급하지는 않은가
ERM 활성화의 또 다른 장애 요인은 성과에 대한 조 급증이다. 수 개월의 프로젝트를 통해 주요 리스크 를 선별하고, 전담 조직을 구성하며, 꽤 쓸만한 모니 터링 지표(KRI)도 갖추었다. 헌데 이상하다. 이 정도 투자 했으면 이제 뭔가 나와야 하는데 도대체 이전 과 달라진 게 보이지 않는다. 경영자의 고개가 갸우 뚱해진다. 시간이 갈수록 ERM에 대한 의문이 끊이 질 않고, 서서히 경영자의 관심에서도 멀어져 간다.
몇 해전 부서별 성과 측정지표를 개발하는 균 형성과 기록표(BSC:Balanced Score Card) 프로젝 트는 이렇지 않았는데. 당시의 결과물인 성과측정 지표(KPI:Key Performance Indicator)는 매월, 매 분기 실적이 모니터링 되는 등 나름의 효용성을 충 분히 인정받고 있다. 혹은 직원들의 성과급 보상 체 계 강화를 주제로 한 최근의 프로젝트의 결과, 좀 더 적극적으로 구성원을 몰입시키는 등의 효과가 분명이 보인다.
통상 조직 내에서 추진된 프로젝트가 지속적인 관심을 받으려면, 일정 기간 안에 가시적인 성과를
단기적 시각의 막연한 기대는 ERM 활성화의
중요한 장애가 될 수 있다.
COSO 매뉴얼은 기업 현장의 위험 관리 가이드로는 다소 부족해 보인다
통해 그 가치를 창출해야 한다. ERM에서는 이 부분 이 힘들다. 대부분 기업들의 경우 커다란 사건, 사고 가 매년 몇 건씩 발생하지는 않기 때문이다.
ERM의 가치 증명과 관련하여 현장의 담당자들 을 괴롭히는 두 가지 골치거리가 있다. 첫째는 ERM 이 사고 예방에 얼마만큼 도움을 주었는지를 어떻게 보여줄 수 있는가에 대한 것이다. 한 해 동안 아무런 리스크가 발생하지 않았다고 하자.
이러한 결과가 ERM의 적극적 역할 때문이지, 원래 그렇게 큰 리스크가 아니었는지 증명하기가 어렵다는 것 이다. 두 번째 고민은 더욱 부담스럽 다. ERM을 운영 이후에, 특정 리스 크 발생으로 막대한 손실을 입은 경 우에‘ERM은 도대체 무엇을 한 것인
가’라는 책임 추궁에 대답하기가 참으로 난감하다.
ERM이 모든 리스크를 예방할 수 있는 것은 아 니다. 당장의 성과가 나지 않아서, 모든 사고를 막지 못한다고 ERM 활동을 무의미한 것으로 과소평가하 고 투자를 축소한다면 문제이다. ERM은 속성상 장기 적인 인프라의 개념으로 보아야 한다. 성과 달성에 치 우쳐, 만약에 발생할 수 있는 리스크를 경시하는 경영 관행을 보완하는 기능을 담당해야 하는 것이다.
성과 창출을 위한 활성화의 실천적 대안들
ERM 활성화의 장애는 개념상의 혼선, 실행상 장애 등 복합적인 요인이 작용하고 있다. ERM이 도입기 를 지나 본격적으로 활성화되기 위해서는 올바른 개 념 정립과 함께, 성과 중심적 해결 방안도 필요하다.
‘전사적’위험 관리에 대한 올바른 이해, 우리의 필 요와 상황을 종합적으로 고려한 대안 제시, 외형적 인 틀보다 현장의 필요에 집중하는 운영 방식의 전 환 등이 중요해진다.
●‘전사적’이 의미하는 바를 놓쳐서는 안 된다 이러한 관점에서 개별 부서 단위의 위험 관리가 전 혀 이루어지지 않는 회사는 없다. 많은 회사들의 개 별 부서에서는 이미 일상적인 활동 중에 나름의 리 스크 관리를 수행해 오고 있다.
통상 주요한 리스크의 예로는 인재 관리, 정보 보안, 고객 신용도 관리 등의 운영 리스크와 대체재 의 출현 위협, 원자재 가격 급등 등의 비즈니스 리스 크가 있다. 분명 이러한 업무들은 이미 인사 담당 부 서, 신용 관리 부서, 전략 담당 부서의 중요한 업무로 서 수행되고 있다. 어느 회사가 핵심 인재 관리에 방 관하며 혹은 원자재 가격 급등에 민감하지 않을 수
있을까.
그렇다면 ERM은 왜 필요한가?
우선, 전사 차원의 리스크 관리 와 현업의 관리 포인트는 다를 수 있 다는 것이다. 실제로 핵심 인재 관리 가 리스크 차원보다는 인재 육성을 통한 주요 포스트의 차기 리더 관리 에 치우친 경우를 적지 않게 관찰할 수 있었다. 해당 인재에게 부족한 것은 무엇인지, 이 를 메우기 위해 어떤 육성 프로그램을 제공해야 하 는지에 관심이 쏠린다. 더불어 핵심 인재 이탈을 막 기 위해 추가 인센티브 부여 등 다양한 유인을 제공 하는데 골몰한다.
하지만 리스크 관점은 고민의 출발점부터가 다 르다. 특정 인재가 이탈하는 경우, 우리 회사가 입을 수 있는 예상 손실의 크기를 추정한다. 이제, 핵심 인
본격적인 활성화에는 올바른 개념 정립과 성과 중심적 해결안이 요구된다.
A. KRI, 시장 모니터링 등을 통한 선행 관리
B. 개별 부서의 위험 관리 취약점 보완
Monitoring (기획팀)
Innovation (혁신팀) Market Intelligence
(전략팀)
Operation Mgt.
품질, 법무, HR etc.
Audit (진단팀) C. Risk 관리 활동의 적정성 사후 검증
<그림 1> 개별 부서의 업무와 ERM의 협력 구도
주 : ERM은 개별 부서의 업무를 전사적 차원에서 챙겨주는 역할을 수행한다.
자료 : LG경제연구원
재의 정의도 달라질 수 밖에 없다. 인재 육성 차원에 서는 대부분 업무 역량이 뛰어난‘우수 사원’을 찾는 데 골몰한다. 하지만 리스크 관점에서는 해당 구성 원 이탈 시, 손실의 크기가 큰 후보를 우선적으로 고 려한다. 업무 성과가 뛰어나지는 않아도, 우리 회사 만의 생산 기술 노하우를 알고 있는 1~2년 차 신입 직원이 오히려 대상자가 될 수 있다는 얘기다.
전사적 위험관리란‘체계적’이 고‘선행적’인 관리 수단을 갖춘다는 것이다. ERM은 리스크의 중요성에 따라 체계적으로 선별하고, 선행 모 니터링 지표를 선정하며, 주기적으로 관리하는 기능을 보다 내실있게 정비 해 준다. 전사적인 시각으로 현업이 성과 중심적 사고에 치우쳐 있을 때,
혹시 놓칠 수 있는 부분을 챙겨주는 역할을 하는 것 이다.
● 우리 회사만의 맞춤식 위험 관리가 필요하다 ERM은 사업의 성격, 시장 환경, 내부 관리 수준의 격차 등에 따라 탄력적인 운영이 가능해야 한다. 흔 히 이러한 내용을 무시하고 획일화된 운영, 방법론 을 보이는 경우가 많다. 이에 대한 원인은 크게 두 가 지로 나누어 볼 수 있다.
이에 대한 첫 번째 원인은‘어디에서, 어떻게’
가치를 낼 수 있는지에 대한 이해가 부족하기 때문이다. 대표적으로 시 장 외부 환경에 대한 비즈니스 리스 크(Business Risk)와 내부의 운영 리스크(Operation Risk)를 살펴보 자. 각각의 영역에서 ERM이 가치를 제공하는 메커니즘은 상이하다. 대 개 정형화되어 있는 운영 리스크는 유형별로 적합한 선행 지표를 선정 하고, 이를 주기적으로 모니터링 하 는 방식으로 대처할 수 있다. 반면, 비즈니스 리스크는 공급선 신용도 모니터링과 같은 일부 선행 지표를 통해 관리 가능하지만, 시시각각 변 하는 시장 상황에 따른 예측이 곤란한 리스크 관리 가 보다 핵심적인 부분이다.
두 번째 원인은 우리 회사의 리스크 특성에 대 한 이해가 부족한 탓이다. 대개 전통 산업, 거대 장치 산업 등에서는 운영 리스크가, 시장 경기 및 경쟁에 민감하거나 제품의 수명 주기가 짧은 산업은 비즈니 스 리스크가 중요한 경우가 많다.
실제 ERM에 앞선 글로벌 기업 들은 고유의 니즈별로 차별화된 모 습을 보여준다. 전세계에 포진한 할 인 매장을 관리하는 월 마트(Wal Mart)는 비교적 정형화된 리스크가 주종을 차지한다. 이에 따라, 굴뚝 산업에 특징적인 형태로 주요한 선 행 관리 지표를 KRI로 선정하고, 실 시간 모니터링에 집중하고 있다. 전형적인 오퍼레이 션 리스크 관리의 모습이다.
소프트웨어 제품이 주력인 마이크로소프트 (Microsoft)는 상황이 다르다. 전세계 사용자들을 대 상으로 사전에 예측하기 어려운 시스템 불량, 보안상 헛점, 각종 바이러스의 피해 등이 발생할 수 있다. 월 마트와 달리, 사건 발생 시 본부로의 즉시 통보, 주요 사건인 경우에 적극적인 대응 등 활동(activity) 위주 의 위험 관리가 체계화되어 있다. 이러한 활동의 중심 에는 적극적 활동을 즉시 담당하는 30~40명의
전사 차원에서 우리 회사에 맞는 위험 관리 체계를
갖추어야 한다.
구분 개념 및 중요성 관리 포인트
- Risk Cause(=KRI)가 기업 내부의 주요 기능(function)에 존재하는 Risk 요인들
- 내부 통제 여지가 높으나, 통제 수준이 떨어지는 경우 큰 손실로 이어질 가능성
선행 관리가 용이한 Risk群 - 원재료가 상승, 공급선 재무상태 등 Risk Cause가 외부에 존재하나, 사전 예측 가능
선행 관리가 어려운 Risk群 - 사업 속성, 시장 환경의 예상하지 못한 변화들
- 지속적인 시장 모니터링이 중요 내부의
운영 리스크
외부의 비즈니스
리스크
- 이미 알려진 Risk 대부분으로 식별의 중요성이 낮음.
- 이보다는 주요한 Risk를 충분히 포함하는가의 완전성, KRI의 적합성, 위기 시 즉시 적절한 대응 여부가 중요
- 시장의 변화를 선견하는 전문성 있는 시장 통찰력 역량이 중요
- 잠재 Risk의 '식별' 기능이 가장 중요한 프로세스
<표> 리스크 속성 별 특성과 관리 포인트
자료 : LG경제연구원
ERM 전담 인력이 있다고 한다.
● 현장에서 당장에 필요한 일부터 시작하자
새로운 경영관리 수단으로서 ERM을 접하고 나면, 이전과는 다른 거창한 뭔가가 있어야 하는 것으로 착각하는 경우가 많다. 이전에 모르던 새로운 리스 크를 찾아내고, 수십, 수 백 개의 선
행 지표(KRI)도 갖추어야 하고, 제 대로 된 새로운 전산 시스템이나 조 직도 필요해 보인다.
하지만 이러한 것은 어쩌면 전 사적 위험관리의 겉모습에 불과할 수 있다. 흡사 딱딱한 골격으로 둘러 싸인 부자연스런 갑각류와 같이 될
수도 있다. 실제 성과를 낼 수 있는 일이 눈에 보이 는 데, 매 분기 수 십 개의 지표 모니터링에 시간을 투입하는 것은 낭비가 아닌지 점검할 일이다. 조직 에서 ERM이 활성화되기 위해서는, 우선 그 존재 가 치를 입증해야 할 것이다. 그렇다면, 당장에 실행 가 능한 가치 창출 영역을 놓쳐서는 안 된다.
한 번쯤 이런 질문을 던져보는 일은 어떨까. ‘5 년 전 터졌던 대형 고객사의 부도 사태 이후 만들어 진 대비책이 지금도 유효한가’‘신입 직원부터 CEO 까지 누구나 중요하다고 생각하고 있는 핵심 기밀에
대한 보안 문제는 왜 수년이 지나도록 해결하지 못 하고 있는가’‘영업부서의 김과장만 알고 있는 중대 한 리스크가 공론화될 채널은 확보되어 있는가’등.
이런 일은 당장에 손을 대면 답이 나오는 영역이다.
알고는 있지만 제대로 대응하지 못했던 부분이다.
굳이 일일이 모든 사람들에게 리스크 식별을 위해 인터뷰할 필요도 없다. 주요 부서에 서 잔뼈가 굵은 몇몇 관리자에게 물 으면 당장에라도 취약점을 쏟아낼지 도 모른다. 때로는 ERM 팀을 갖추 고, 전산 시스템에 투자를 하는 등의 거대한 외형 갖추기보다, 이러한 물 음에 대한 답을 찾는 작업이 훨씬 더 의미가 있을 수 있다.
여타의 경영 관리 수단과 마찬가지로, ERM는 모든 문제를 해결하는 도깨비 방망이가 아니다. 하 루 아침에 완성될 수도 없다. ERM의 활성화를 위해 서는 새로운 경영 관리 수단이 줄 수 있는 효익과 한 계에 대한 명확한 이해가 선행되어야 한다. 여기에 우리 회사의 실질적인 필요를 분명히 하고, 성과 중 심적인 접근도 필요하다. 이러한 과정을 통해 전사 차원의, 선행적 위험 관리가 비로소 그 가치를 드러 낼 수 있을 것이다.
ERM의 효익과 한계를 이해하고, 실질적인 성과 도출에
집중해야 한다.
www.lgeri.com
중점 관리 Risk
기타 Risk
KRI 모니터링
개선 대산(C.A) 도출 및 실행
Y/R* 등 이상 징후 시 대응
현업 실행력 사후 진단
(N+1) 년
(N+2) 년
(N+3) 년 주요 활동
- ERM 초기 식별 활동 外, 새로운 Risk 식별 활동이 미흡 - 내부 구성원 뿐 아니라 외부 전문가 대상 식별 부족
- Risk 선행 관리가 KRI
모니터링에 한정되어 수행 - KRI 이상 징후 시, 추가 원인 분석, 개선안 도출 활동 부족 - 개선안이 현업에서 실행되는지에 대한 사후 검증 부족
관리 수준이 높은 영역 관리 수준이 낮은 영역
* Yellow/Red 등 KRI 이상 징후 시의 조기 경고(Early Warning)
실행상 한계
지속적인 선순화적 운영 필요
Risk 식별 Risk별 관리 체계 구축 운영 및 사후 관리
<그림 2> ERM의 전체 운영 이미지와 관리 한계
주 : ERM 활성화가 미흡한 기업은 전체 운영 모습 중 일부에 치중된 경우가 많다.
자료 : LG경제연구원
