‘완벽’한 리스크 관리, 때론 재앙이다
편집자주
이 글은 <하버드비즈니스리뷰(HBR)> 2012년 6월 호에 실린 로버트 S. 캐플런(Robert S. Kaplan), 아넷 마이키(Anette Mikes)의 글 ‘Managing risks: A new framework’를 전문 번역한 것입니다.
ⓒ 2012 Harvard Business School Publishing Corp
토니 헤이워드는 2007년 BP CEO로 부임하면서 안전을 최우선 과제로 삼겠다고 선언했다. 그가 도입한 새로운 규칙 중에는 걸을 때는 커피잔에 뚜껑을 덮어야 한다거나 운전 중에는 문자를 보내지 말아야 한다는 항목이 포함돼 있었다. 3년 후 맥시코만의 딥워트 호라이즌 시추선의 폭발로 역사상 최악의 인재가 발생했다. 미국 조사단은 ‘관련자들이 당면한 리스크를 인지하고 적절히 평가하며 대화하고 해결하는 능력’을 빼앗아버린 관리 실패가 이 재앙의 원인이라고 지적했다.
헤이워드 사례는 우리가 흔히 겪는 문제를 보여준다. 리스크 관리에 대한 온갖 미사여구와 자금 투입에도 불구하고 많은 규칙을 세워놓고 직원들이 지키도록 하는 것이 리스크 관리의 전부인 것처럼 다뤄질 때가 많다. 이런 규칙들은 물론 이유가 있으며 기업에 큰 타격이 될 수도 있는 리스크의 일부를 줄여주기도 한다. 하지만 규칙에 기반한 리스크 관리는 딥워터 호라이즌과 같은 재앙이 일어날 가능성이나 그 충격을 줄여주지는 못한다. 2007년부터 2008년 사이의 신용 위기에 수많은 금융기관이 넘어지는 것을 막지 못했듯이 말이다.
이 글에서 우리는 어떤 리스크를 규칙에 기반한 방법으로 해결해야 되고 어떤 리스크들이 다른 식의 접근을 필요로 하는지 새로운 카테고리로 묶을 것이다. 우리는 전략적 선택과 관련된 리스크 관리를 솔직하고 건설적으로 논의하는 것을 막는 개인적 혹은 조직상 어려움을 살펴보고 기업이 전략을 세우고 실행하는 과정에서 이런 논의를 해야만 한다고 주장할 것이다. 이어 기업들의 전략이나 관리 범위 밖에서 일어나는 불가항력적 리스크를 어떻게 인지하고 대응할 것인지 살펴보면서 이 글을 마무리할 것이다.
리스크 관리: 규칙인가, 대화인가?
효과적인 리스크 관리 제도를 만드는 첫 번째 단계는 기업이 부딪치는 리스크 종류별로 어떤 질적 차이가 있는지를 이해하는 것이다. 우리의 연구에 따르면 리스크는 다음 세 가지로 분류할 수 있다. 세 가지 리스크 모두 기업의 전략이나 생존에 치명적일 수 있다.
카테고리 1:예방 가능한 리스크.조직 내에서 발생하는, 관리 가능하고, 제거하거나 피해야 하는 내부 리스크를 말한다. 직원이나 경영진의 승인되지 않은, 불법이거나 비윤리적이거나 옳지 못하거나 부적절한 행동에서 야기되는, 일상적인 프로세스의 실패로 인한 리스크가 그 예다. 물론 회사에 심각한 손해를 끼치지 않거나 완벽하게 막는 것이 어려운 결함이나 잘못에 대해서는 어느 정도 관용의 여지를 둬야 한다. 하지만 일반적으로는 이런 리스크를 감수해서 얻을 전략상 이익은 전혀 없으므로 제거하려고 노력하는 것이 타당하다. 회사의 허가 없이 주식 투기를 하거나 공무원을 매수하는 직원은 단기적으로는 회사에 이익을 가져다줄지 모르지만 장기적으로는 기업 가치를 훼손할 것이다. 이 카테고리에 속하는 리스크는 적극적으로 막아야 한다: 프로세스를 모니터링하고 직원들의 행동이나 결정을 바람직한 방향으로 이끌어 가야 한다. 규칙에 기반한 컴플라이언
스식 해결법에 대해서는 이미 많은 자료가 있으므로 여기에서는 논의하지 않겠다. 관심 있는 독자들은 ‘예방 가능한 리스크를 인지하고 관리하기’를 참고하면 된다.
카테고리 2: 전략 리스크.기업은 더 많은 수익을 내기 위해 자발적으로 리스크를 감수하기도 한다. 예를 들어 은행은 돈을 빌려줄 때 신용 리스크를 감수하며 많은 기업들은 연구, 개발 활동에서 리스크를 진다. 전략 리스크는 본질적으로 바람직하지 않은 것이 아니기 때문에 예방 가능한 리스크와는 매우 다르다. 높은 수익을 기대할 수 있는 전략은 일반적으로 상당한 리스크를 동반한다. 이런 리스크를 관리하는 것이 수익을 현실화하는 열쇠다. BP는 가치가 높은 석유와 가스를 뽑아내고 싶어 멕시코만 바닷속 수마일을 파내려가는 커다란 리스크를 감수했다. 전략 리스크는 규칙에 기반을 둔 리스크 관리법으로 다뤄서는 안 된다. 리스크가 실제로 현실화할 가능성을 줄여주고 현실화하더라도 회사가 잘 관리하고 억제할 수 있는 능력을 향상시키는 관리 시스템이 필요하다. 이런 시스템은 기업이 리스크를 감수하는 모험을 하는 것을 막지 않는다. 오히려 반대로 이런 시스템을 갖추지 못한 경쟁업체에 비해 더 리스크가 크고 기대 수익도 높은 모험을 할 수 있게 될 것이다.
카테고리 3: 외부 리스크.어떤 리스크는 회사 밖에서 일어나는 사건에 기인하기 때문에 회사가 영향을 주거나 조정할 수 없다. 이런 리스크의 원인으로는 자연적, 정치적 재난이나 거시경제적 급변을 들 수 있다. 외부 리스크는 또 다른 방식으로 접근해야 한다. 기업이 이러한 사건을 막을 수는 없으므로 리스크를 인지하고 여파를 완화하는 데 초점을 둬야 한다.
기업들은 각 카테고리별로 리스크 관리 프로세스를 갖춰 대응해야 한다. 컴플라이언스에 기반을 둔 방식은 예방할 수 있는 리스크를 다루는 데는 효과적이지만 공개적이고 솔직한 토론을 필요로 하는 전략 리스크나 외부 리스크를 다루는 데는 매우 부적절하다. 이렇게 말하기는 쉽지만 실천하기는 어렵다. 광범위한 행동 관리 및 조직 관리 연구 결과에 따르면 개인들은 강한 인지적 편향이 있어 너무 늦어버릴 때까지 리스크에 대해 생각하거나 논의하지 못한다.
리스크에 대해 논하는 것은 왜 어려운가?
다수의 연구에 의하면 사람들은 실제로는 우연히 결정되는 사건에 자신들의 영향력을 과대평가하는 경향이 있다. 게다가 자신이 내리는 예측이나 리스크 평가에는 지나치게 자신만만하면서도 일어날 수 있는 다양한 결과들은 경시하는 경향이 있다.
또한 가까운 과거의 일을 가지고 매우 불확실하고 변수가 많은 미래를 추정하는 일은 위험한데도 쉽게 구할 수 있는 과거의 증거들을 기반으로 추정한다. 잘될 것이라는 입장을 지지하는 정보를 선호하고 반대되는 것은 억누르곤 하는 확증편향으로 문제를 악화시킬 때가 많다. 일이 기대에서 어긋나면 실패한 방향에 자원을 더 많이 비이성적으로 쏟아부으며 더욱 전념하는 경향도 있다. 조직의 편견 또한 리스크와 실패에 대한 논의를 방해한다. 특히 불확실한 상황에 빠진 팀이 집단 사고를 통해 일을 해결하려 할 때가 많은데 팀 내에서 일단 특정한 행동방향이 지지를 얻으면 아직 합류하지 않은 사람들까지 반대 의견이 타당하더라도 그런 욕구를 억누르며 따라가는 경향이 있다. 충돌이나 지연 또는 자신의 권위에 대한 도전을 최소화하고 싶어 하는 고압적이고 지나치게 자신만만한 관리자가 팀을 이끌 때 집단 사고를 할 가능성이 크다.
개인적·조직적 편견은 왜 그토록 많은 기업들이 모호한 위험요소들을 간과하거나 잘못 해석하는지 설명해준다. 리스크를 완화하는 것이 아니라 사소한 실패나 잘못은 참아 넘기고 초기의 경고 신호들은 잘못된 것으로 치부하는 일탈의 정상화를 통해 리스크를 키우는 것이다.
효과적인 리스크 관리 프로세스는 이런 편견들에 대응해야 한다. “리스크 완화는 고통스럽습니다. 인간이 하기에 자연스러운 행동은 아니지요.” 미 항공우주국(NASA) 제트추진연구소의 최고 시스템 엔지니어인 젠트리 리가 말한다. 제트추진연구소 프로젝트 팀의 로켓 과학자들은 명문대학의 최우등생들이다. 그들 중 대다수는 학교나 직장에서 실패를 경험해 본 적이 없다. 리는 연구소에 새로운 리스크 문화를 세우려 했는데 가장 큰 걸림돌은 연구원들이 자신들의 훌륭한 설계에 어떤 문제가 있을 수 있는지 생각해보고 말하는 것을 편안하게 느끼도록 하는 것이었다.
무엇을 해야 하고 무엇은 하면 안 되고 하는 규칙들은 이런 상황에 아무 도움이 되지 않는다. 오히려 도전과 토론을 막는 체크리스트 중심의 사고방식을 부추겨 역효과를 낸다. 전략과 관련된 리스크나 외부 리스크를 관리하는 것은 매우 다른 접근법을 필요로 한다. 우선 전략 리스크를 어떻게 인지하고 완화하는지 살펴보자.
전략 리스크 관리
지난 10년간 연구를 통해 우리는 전략 리스크를 관리하는 세 가지 접근법을 정리했다. 기업마다 어떤 모델이 맞는지는 조직이 어떤 상황에서 돌아가는지에 달렸다. 각 방법에 따라 요구되는 리스크 관리 기능의 조직과 역할이 매우 다르지만 세 가지 방법 모두 직원들이 현재의 가정을 당연시하지 말고 리스크에 대해 토론할 것을 장려한다. ‘하나의 방식으로 모든 위기를 관리할 수는 없다’는 우리의 연구 결과는 리스크 관리 기능을 규격화하려는 규제 당국이나 전문 집단의 노력과는 상반된다.
독립적인 전문가.어떤 조직, 특히 앞에서 말한 NASA 제트추진연구소처럼 기술 혁신의 한계를 초월하는 조직들은 장기적이고, 복잡하고, 비용이 많이 드는 제품을 개발하는 프로젝트를 진행하면서 당연히 높은 리스크에 직면하게 된다. 하지만 리스크 대부분이 이미 알려진 자연법칙을 다루는 과정에서 생기므로 시간이 지나도 리스크에는 별 변화가 없다. 이런 조직들은 프로젝트 단계에서 리스크를 관리할 수 있다.
예를 들어 제트추진연구소는 독립된 기술 전문가로 구성된 리스크 검토 위원회를 만들었다. 이들의 역할은 프로젝트 엔지니어의 설계, 리스크 평가, 리스크 경감 대책 등에 의문을 제기해보는 것이다. 이들은 제품 개발 과정 전반에 주기적으로 리스크를 평가한다. 리스크는 상대적으로 큰 변화가 없으므로 위원회는 1년에 한두 번만 만나며 프로젝트 책임자와 위원회장은 분기별로 만난다.
리스크 검토 위원회의는 열정적이다. 젠트리 리는 ‘지성의 대치 문화’를 만들었다고 평하기도 한다. 위원회 구성원인 크리스 르위스키는 “우리는 진행되는 모든 과정에 돌을 던지고 비판적인 말을 하며 서로를 물어뜯는다”고 표현한다. 이 과정에서 프로젝트 엔지니어들은 자신의 업무를 다른 관점에서 볼 수 있다. 르위스키는 “자신의 일에 매몰됐다가 빠져나오는 것이죠”라고 말한다.
건설적이기도 하고 대립적이기도 한 이 회의들은 프로젝트팀이 야심만만한 미션이나 디자인을 추구하지 못하도록 하는 것을 목표로 하지 않는다. 오히려 엔지니어들이 자신의 디자인을 어떻게 설명하고 옹호할지, 실패 가능성이나 결함을 충분히 고려했는지 등을 미리 생각해 볼 수 있게 한다. 위원회는 일부러 반대 입장을 취하는 사람처럼 행동해서 엔지니어들이 원래 갖고 있던 지나친 자신감을 반대쪽에서 당긴다. 균형을 맞춰서 감당할 수준을 넘어서는 정도의 리스크가 있는 프로젝트에 몰입하는 것을 막아준다.
제트추진연구소에서 리스크 검토 위원회는 프로젝트 리스크에 대한 격렬한 토론을 독려할 뿐 아니라 예산에 대한 권한도 갖고 있다. 각 프로젝트의 혁신성 정도에 따라 어느 정도의 자금과 시간을 준비할지 결정한다. 예를 들어 기존 미션을 단순히 확장했을 때는 10∼20%의 예비 자금을 준비해놓는 반면 지상에서 처음 다뤄보는 완전히 새로운 것이라면 50∼75%의 자금을 준비한다. 예비 자금을 준비해두면 프로젝트를 맡은 팀은 불가피한 문제가 발생하더라도 개시일에 차질 없이 문제를 해결할 자금과 시간을 확보할 수 있다. 제트추진연구소는 위원회의 추정을 진지하게 받아들인다. 자금력이 권장 예비 자금에 못 미치면 프로젝트는 연기되거나 취소된다.
조력자.전통적인 에너지나 상수도 회사 같은 많은 기업들은 고객수요가 상대적으로 예측가능하고 기술 및 시장 환경이 안정적인 환경에서 운영된다. 이런 환경에서 리스크는 대체로 조직 전반에 걸쳐 별 관계가 없어 보이는 경영상 여러 선택들이 서서히 축적된 결과로 나타나며 오랜 시간 동안 리스크가 숨겨져 인식되지 않을 수 있다.
어느 스태프 부서 한 곳이 다양한 부서를 망라해 리스크 관리 작전을 수행할 정도의 지식을 갖고 있지 않기 때문에 기업들은 중앙에 규모가 작은 리스크 관리 부서를 둬서 현장 관리자들로부터 정보를 수집한다. 이는 조직 전반에 걸친 관리자들의 리스크 인지를 높일 수 있으며 정책 결정자들이 회사의 리스크 상황에 대한 전체적인 그림을 그릴 수 있게 한다.
우리는 캐나다의 전기회사인 하이드로원에서 이런 모델이 운용되는 것을 봤다. 최고 리스크 관리자인 존 프레이저는 CEO의 확실한 지원 아래 매년 10회 이상 워크숍을 연다. 이 워크숍에는 다양한 직급과 직종의 직원들이 회사의 전략 목표와 관련해 발견한 주요 리스크를 알리고 순위를 매긴다. 직원들은 무기명 투표를 통해 각 리스크의 영향력, 발생가능성, 현재 보유한 관리력 등을 1∼5점으로 평가한다. 리스크별로 순위가 매겨지고 직원들은 각자 인지한 리스크에 의견을 내고 토론한다. 최종적으로는 시각화한 리스크 지도에 합치된 의견을 표시하고 행동계획을 권고하며 주요 리스크별로 책임자를 정한다.
하이드로원은 자금 할당과 예산 결정을 리스크와 연계해서 책임을 강화한다. 회사 차원에서 자금 계획을 결정해 리스크를 효과적이며 효율적으로 줄이는 프로젝트에 수억 달러를 투자한다. 기술 전문가들이 라인 엔지니어들의 투자 계획과 리스크 분석을 되짚어보고 자원 할당 프로세스에 그들의 전문가적 식견을 더해준다. 연간 자금 할당 회의에서 라인 관리자들은 동료 및 최고경영자 앞에서 자신의 제안서를 방어해야 한다. 이런 리스크 기반 자금 계획 프로세스를 운영하면 관리자들은 자신의 프로젝트가 자금을 끌어올 수 있기를 원하기 때문에 책임 영역에 있는 리스크를 감추거나 숨기고자 하는 성향을 극복할 수 있다.
사내전문가.금융 산업은 자산 가격의 변동성 확대와 분권화된 트레이더 및 투자 관리자의 결정력 때문에 독특한 문제에 노출된다. 단 한 건의 거래나 주요 시장의 움직임으로 은행이 노출되는 리스크가 드라마틱하게 바뀔 수 있다. 이런 회사에서는 리스크를 지속적으로 모니터링하는 내부전문가가 필요한데 이들은 새로운 아이디어나 혁신, 리스크를 일으키는 각 라인 관리자들 - 잘되면 수익을 거둘 수도 있겠으나 - 과 함께 일해야 한다.
JP모건 상업은행이 2007년 글로벌 금융위기 발발과 함께 이 모델을 도입했다. 각 조직에 배치된 리스크 관리자들은 라인별 임원 및 중앙에 설치된 독립적 리스크 관리 부서에 보고한다. 라인 관리자들과의 대면을 통해 시장을 잘 아는 리스크 관리자들은 ‘만약 이렇다면 어떨까’ 하는 가정식 질문을 계속하면서 포트폴리오 관리자의 가정에 이의를 제기해보고 그들이 다른 시나리오를 고려한다. 리스크 관리자들은 정상 상황뿐 아니라 극도의 스트레스 상황에서 각 거래 건이 투자 포트폴리오 전체에 어떤 영향을 줄지 평가한다. “포트폴리오 매니저들이 내게 세 가지 거래 건을 들고 왔는데 리스크 모델을 돌려 보니 세 가지 다 같은 종류의 리스크를 추가해준다고 나올 수도 있습니다.” JP모건 리스크 관리자인 Gregoriy Zhikarev가 설명한다. “십중팔구, 리스크 매니저는 ‘이건 내가 원하는 게 아니다’라고 말하겠지요. 그렇다면 우리는 앉아서 거래를 다시 계획해 볼 수 있습니다.”
하지만 조직 안에 리스크 관리자를 배치하는 것은 그들이 ‘토종화’돼서 각 사업단의 핵심층과 공조, 각 계약 건에 의문을 던지는 것이 아니라 계약 건을 성사시키는 사람이 되게 할 위험이 있다. 이런 위험을 막는 것은 리스크 총괄 관리자의 책임이며 궁극적으로는 회사의 리스크 문화를 결정하는 CEO의 책임이다.
기능의 함정을 피하라
관리자들이 리스크를 활발하게 토론할 수 있는 시스템을 갖췄다고 하더라도 인지행동상 함정이 그들을 기다리고 있다. 대다수 전략 리스크와 일부 외부 리스크가 이미 매우 예측가능하고 친숙하기까지 하기 때문에 기업들은 리스크들에 이름을 붙이고 경영기능 라인별로 구분하려는 경향이 있다. 은행들은 종종 ‘신용 리스크’ ‘시장 리스크’ ‘영업 리스크’라고 명명한 리스크들을 각각 따로 관리한다. 다른 회사들은 ‘브랜드 리스크’ ‘평판 리스크’ ‘공급망 리스크’ ‘인사 리스크’ ‘IT 리스크’ ‘금융 리스크’ 관리를 각각 구분한다.
이러한 사일로(silo) 현상, 즉 부서 이기주의는 효과적인 리스크를 관리하기 위한 정보와 책임을 분산시킨다. 서로 다른 리스크들이 어떻게 상호 작용하는지에 대한 논의를 막아 버린다. 리스크에 대한 제대로 된 논의라면 대립적일 뿐만 아니라 통합적이어야 한다. 기업은 예상치 못한 경로로 상호 작용을 일으키는 일련의 작은 사건들로 쓰러질 수도 있다.
관리자들은 제대로 된 회사라면 대부분 갖추고 있는 프로세스인 전략계획단계에서 논의를 통해 회사의 리스크 전반을 조망할 수 있다. 예를 들어 인도의 IT 서비스 기업인 인포시스는 전략측정 및 커뮤니케이션용으로 사용 중인 균형성과평가제도(Balanced Scorecard)를 통해 리스크를 논의한다. “어떠한 리스크를 살펴봐야 하는지 점검한 후 균형성과평가제도에 구체화된 사업 목적에 관련된 리스크에 서서히 초점을 맞췄습니다.” 리스크 최고 책임자인 M.D. 랜가나스(M.D. Ranganath)가 말했다.
균형성과평가제도를 작성하면서 인포시스는 ‘고객과의 유대 강화’를 핵심 목표로 삼았고 연간 주문액이 5000만 달러 이상인 글로벌 고객 수, 대형 고객으로부터의 연간 수익증가율 등을 성과평가지표로 선정했다. 목표와 성과지표를 동시에 살펴본 경영진은 그들의 전략에 고객의 체납이라는 새로운 리스크 요소가 포함됐음을 깨달았다. 인포시스의 사업이 다수의 작은 고객사를 대상으로 했을 때는 한 곳이 체납해도 회사의 전략이 위태로워지지 않았다. 하지만 5000만 달러짜리 고객사가 체납한다면 큰 차질이 생길 것이다. 인포시스는 모든 대형 고객의 신용부도 스와프율을 체납 가능성 지표로 삼아 모니터링하기 시작했다. 어느 고객사의 신용부도 스와프율이 올라가면 인포시스는 미수금을 신속하게 회수하거나 할부를 요청해 체납 가능성이나 영향을 줄이려고 노력했다.
폴크스바겐의 브라질 자회사인 폴크스바겐 브라질(Volkswagen do Brasil)을 또 다른 예로 들 수 있다. 이 회사의 리스크 관리팀은 전략지도를 통해 리스크에 대한 논의를 시작한다.
지도에 표시된 목표별로 목표 달성을 방해할 만한 리스크들을 찾아본다. 그리고 지도에 표시된 리스크별로 리스크 이벤트 카드를 만들어 회사 운영에 주는 실질적인 효과, 발생 가능성, 선행지표, 완화 방법 등을 적는다. (표 2)
리스크 관리팀은 이를 요약해서 상부에 보고한다. (표 3) 전략 리스크를 인지하고 완화하는 구조적인 프로세스 도입을 넘어 리스크 감독 체계도 세워야 한다. 인포시스는 이중 감독체계를 사용한다. 중앙 리스크 관리팀에서는 일반적인 전략 리스크를 인지하고 정책을 세우며 리스크 특화팀에서 지역 사업팀들과 협의해서 정책을 설계하고 모니터링하며 조정한다. 이 특화팀들은 사업 라인들이 리스크 및 그 변화에 대응하는 것을 도울 권한과 전문성을 갖추고 있으며 예외적인 것들만 중앙 리스크 관리팀에 올려 검토하도록 한다. 예를 들어 고객사를 관리하는 매니저가 신용 리스크가 큰 고객사에 지불 기간을 연장해주고 싶다면 리스크 매니저가 중앙 리스크 관리팀에 이 건을 넘겨 검토를 의뢰할 수 있다.
이런 예들은 리스크 관리 기능의 규모와 범위가 회사의 크기에 따라 정해지는 것은 아님을 보여준다. 하이드로원은 대기업이지만 상대적으로 작은 리스크 담당 그룹에서 리스크를 인지하고 커뮤니케이션을 담당하며 리스크에 따른 자원 배분에 대해 경영진에게 조언한다. 반면 상대적으로 규모가 작은 JPL이나 JP모건은 프로젝트 레벨의 리스크 검토 위원회나 전문성을 갖고 사업 결정에 따른 리스크를 평가하는 사내 팀을 다수 갖고 있다. 규모도 크고 사업이나 전략의 범위도 큰 인포시스는 강력한 중앙 리스크 관리 기능뿐 아니라 지역 사업 결정을 지원하고 중앙 조직과의 정보 교류를 원활하게 하는 리스크 매니저가 곳곳에 존재한다.
막을 수 없는 것을 관리한다
리스크 종류 중 세 번째인 외부 리스크는 예방 가능 리스크나 전략 리스크 관리 방법으로는 감소시키거나 없앨 수 없다. 외부 리스크는 회사의 컨트롤에서 벗어나 있다. 그러므로 회사는 외부 리스크를 인지하고 영향력을 평가하고 현실화됐을 때 그 영향을 어떻게 완화할지 생각해야 한다.
어떤 외부 리스크는 곧 현실이 될 것이기 때문에 전략 리스크 다루듯 관리할 수 있다. 예를 들어 글로벌 금융위기 후 경제 침체기 동안 인포시스는 글로벌 노동력 개발이라는 목표에 포함될 새로운 리스크를 인지했다. 보호주의 증가로 인포시스가 고객들을 많이 갖고 있는 OECD 회원국에서 외국인에 대한 고용비자 및 허가 발급이 엄격해질 수 있다는 점이었다. 보호주의적 입법은 회사가 컨트롤할 수 있는 것이 아니므로 외부 리스크라고 할 수 있지만 인포시스는 전략 리스크로 보고 리스크 이벤트 카드를 작성했다. 이 카드에 이중 국적을 갖고 있거나 인도 외에 고용 허가를 갖고 있는 직원의 숫자와 비율이라는 새로운 리스크 지표를 포함했다. 만약 이 숫자가 직원들의 이직으로 줄어든다면 인포시스의 글로벌 전략은 위기를 맞게 되는 것이다. 인포시스는 이런 외부 리스크의 영향을 완화하기 위해 직원모집 및 유지 정책을 세웠다.
하지만 대부분의 외부 리스크는 발생가능성이 매우 낮거나 일상적인 전략 프로세스상에서 구체화하는 것이 어렵기 때문에 다른 접근법을 필요로 한다. 우리는 외부 리스크의 원인을 몇 가지로 정리했다.
자연재해 또는 즉시 영향을 주는 경제위기.대개 이런 리스크는 발생시기를 알 수는 없지만 일반적인 예측은 가능하다. (캘리포니아에 언젠가는 대지진이 날 수 있지만 정확히 어디에서 언제 일어날지는 알 수 없다.) 이런 리스크에는 상대적으로 약한 신호만 있을 뿐이다. 유럽의 항공로를 일주일간 마비시킨 2010년 아이슬란드의 화산 폭발 같은 자연재해나 자산가격 폭락 같은 경제적 재난을 예로 들 수 있다. 2011년 일본 대지진과 쓰나미로 인한 파괴에서 나타났듯 이런 리스크가 현실화할 때 그 영향은 극단적이고 즉각적이다.
지정학적 변화 또는 장기적인 효과가 있는 환경 변화.주요한 정책 변화, 쿠데타, 혁명, 전쟁과 같은 정치적 격변, 지구온난화와 같은 장기적인 환경변화, 담수와 같은 주요 자연자원의 고갈을 포함한다.
중기적 효과가 있는 경쟁리스크.인터넷, 스마트폰, 바코드 같은 파격적 기술의 등장, 아마존의 도서 소매업 진출이나 애플의 휴대전화 및 소비자 가전 산업 진출과 같은 산업주자들의 극단적인 전략적 움직임을 포함한다.
기업들은 이런 외부 리스크 원인별로 각각 다른 분석적 접근을 한다.
꼬리 리스크(Tail-risk) 스트레스 테스트.기업들은 스트레스 테스트를 통해 비록 정확히 언제 일어날지 예측할 수는 없지만 그 효과는 크고 즉각적일 수 있는 주요한 변화를 평가해 볼 수 있다. 예를 들어 금융회사들은 스트레스 테스트를 통해 국제유가가 세 배 상승하거나 환율이나 금리가 크게 요동칠 때, 혹은 큰 금융기관이나 국가의 부도가 트레이딩 포지션이나 투자에 어떤 영향을 미칠지 평가한다.
하지만 스트레스 테스트의 효과는 다루고 있는 변수가 어떻게 변할지에 대한 가정에 달려 있는데 가정 자체가 잘못될 수 있다. 예를 들어 2007년에서 2008년 사이 여러 은행에서 행한 꼬리 리스크 스트레스 테스트는 미국 주택가격이 오랜 기간 변화 없이 안정적일 것을 최악의 시나리오로 가정했다. 가격이 떨어지기 시작하면 어떤 일이 일어날지 테스트해봐야 겠다고 생각한 은행은 거의 없었다. 이는 최근의 데이터, 손에 넣을 수 있는 데이터에만 기초해 가정하는 경향을 잘 보여주는 예다. 대부분 은행들이 가까운 과거의 미국 주택 가격을 토대로 추론했
는데 이는 지난 수십 년간 하락 추세를 보인 적이 없었다. 그 결과 지나치게 낙관적으로 시장을 평가하고 말았다.
시나리오 기법(Scenario planning).이는 보통 5년에서 10년 이상 걸리는 장기적 분석에 적합하다. 1960년대 셸오일에서 처음 개발한 시나리오 분석은 미래에 세계가 어떻게 될지를 생각해보기 위한 체계적인 프로세스다. 참가자들은 정치적, 경제적, 기술적, 사회적, 규제 및 환경적인 요소들을 살펴보고 회사에 가장 큰 영향을 줄 몇 개의 동력(통상 4개)을 선정한다. 어떤 기업들은 고문위원회의 전문가들에게 시나리오에서 고려해야 할 회사 및 산업의 일상 관심사 이외의 트렌드에 대해서도 알려달라고 한다.
선정된 각각의 동력에 대해 참가자들은 향후 5∼10년간 예상되는 가치의 최대치와 최소치를 구한다. 이 네 가지 동력의 양 극단을 경우의 수로 결합해보면 16가지의 시나리오를 얻을 수 있다. 이 중 절반 정도는 가능성이 거의 없으므로 버린다. 참가자들은 남은 시나리오 상황에서 회사의 전략이 어떤 결과를 낳을지를 평가한다. 만약 전략이 낙관적인 상황을 조건으로 한다고 판단된다면 전략을 수정해 비관적인 시나리오에서도 통하도록 하거나 상황이 불리해질 가능성이 커짐을 보여주는 초기 신호가 보였을 때 전략을 어떻게 수정할지 계획을 세워야 한다.
워게이밍(War-gaming).워게이밍은 파격적인 기술이나 경쟁업체의 전략 수정에 기업이 얼마나 취약한지 평가하는 것이다. 워게이밍에서 기업은 3∼4개 팀에 경쟁업체 혹은 앞으로 등장할 만한 경쟁자가 향후 1, 2년 안에 도입할 만한 단기 전략이나 행동을 생각해보도록 맡긴다. 시나리오 분석보다 짧은 시간을 다루는 셈이다. 팀들은 만나서 경쟁업체가 어떻게 영리하게 회사의 전략을 공격할 수 있을지 살펴본다. 이런 과정을 통해 경영진은 경쟁업체가 자사 전략을 무력화하기 위해 취할 수 있는 행동을 비롯해 현재 믿음에 반하는 증거를 무시하려는 편향성을 극복할 수 있다.
기업들은 꼬리리스크 테스트, 시나리오 기법, 워게이밍 등과 같은 방법을 통해 인지된 리스크들이 현실화될 가능성에 영향을 줄 수는 없다. 하지만 그 효과를 줄이기 위한 구체적 행동은 취할 수 있다. 예방이 불가능한 일에는 모럴해저드가 없으므로 기업들은 어떤 리스크를 완화하기 위해서 보험이나 헤지를 사용할 수도 있다. 항공사가 금융파생상품을 이용해 유가의 급작스런 상승으로부터 스스로를 보호하듯 말이다. 지금 투자해서 향후 훨씬 큰 비용을 피하는 방법도 있다. 예를 들어 지진이 발생하는 지역에 생산시설을 둔 제조업체라면 건축비를 더 들여 심각한 지진으로부터 주요 시설물을 보호할 수 있을 것이다. 서로 다르지만 비슷하기도 한 리스크에 노출된 기업들은 리스크 완화를 위해 힘을 합칠 수 있다. 예를 들어 노스캐롤라이나의 어느 대학 IT 데이터센터는 허리케인 위험에 노출된 데 비해 캘리포니아 샌안드레아스폴트의 어느 대학은 지진에 취약할 수 있다. 허리케인과 지진이 같은 날 일어날 확률은 매우 낮으므로 두 대학은 매일 밤 서로의 시스템을 백업해서 리스크를 줄일 수 있다.
리더십 과제
리스크 관리는 전략 관리와는 매우 다르다. 리스크 관리는 기회와 성공보다는 위협과 실패 같은 부정적인 면에 초점을 둔다. 전략을 실행할 때 대부분의 리더십 팀에서 북돋으려고 노력하는 ‘할 수 있다’ 정신과는 정확히 반대된다. 많은 리더들은 미래를 가볍게 보는 경향이 있다. 그들은 향후 일어날 수도 있는 불확실한 미래의 문제를 피하기 위해 다른 누군가가 지켜보는 가운데 현재의 시간과 돈을 쓰는 것을 달갑지 않게 여긴다. 게다가 리스크 완화는 대개 자원 분산과 투자 다각화를 포함하는데 이는 강력한 집중을 내용으로 하는 성공적인 전략과 정반대다. 관리자들은 전략 수립을 도왔는데 이제는 그 전략에 수반되는 리스크를 찾아내는 프로세스를 옹호해야만 하는 것이 문화에 안 맞는다고 여길 수 있다.
이런 이유 때문에 대부분의 기업들은 전략과 외부 리스크 관리를 별도의 조직에서 다뤄야 한다. 리스크 담당 조직의 크기는 회사마다 다르겠지만 이 조직은 최고경영진에게 직접 보고할 수 있어야 한다. 사실 고위 경영진과 가까운 관계를 만드는 것이 리스크 관리 조직의 가장 중요한 임무다. 기업이 폭풍우를 이겨내는 능력은 태양이 빛나고 하늘에 구름 한 점 없을 때 경영진이 얼마나 진지하게 리스크를 관리하느냐에 달려 있다.
이것이 금융위기에 쓰러진 은행과 살아남은 은행의 운명을 갈랐다. 실패한 은행들은 리스크 관리를 컴플라이언스 조직에 맡겼다. 리스크 관리자와 고위 경영진 및 이사회의 접촉 기회는 제한돼 있었다. 게다가 임원들은 과도한 차입이나 몰아주기식 투자에 대한 리스크 관리자의 경고를 일상적으로 무시했다. 반면 금융위기를 잘 넘긴 골드만삭스와 JP모건체이스에는 강력한 사내 리스크 관리 조직이 있었고 고위 경영진은 회사의 다양한 리스크를 잘 이해하고 관리했다. JP모건체이스의 최고리스크담당자인 배리 주브로는 “직책은 내가 가지고 있지만 CEO인 제이미 다이몬이 우리 회사 최고리스크담당자입니다”라고 우리에게 말했다.
리스크 관리는 직관적인 것이 아니다. 이는 많은 개인 및 조직의 편견을 극복해야 하는 것이다. 규칙과 컴플라이언스가 몇몇 중요 리스크를 완화할 수는 있지만 전부를 그렇게 하지는 못한다. 적극적이면서도 비용 대비 효용이 큰 리스크 관리를 위해 관리자들은 당면하는 다양한 종류의 리스크를 체계적으로 생각하고 각각에 맞는 프로세스를 만들어내야 한다. 사람에게는 세상을 실제 모습이나 향후 가능성이 있는 모습이 아니라 원하는 모습대로 바라보는 편향성이 있는데 이런 프로세스는 편향성을 중립화할 수 있을 것이다.
번역 |윤자영 pompomy@gmail.com
로버트 S 캐플런, 아넷 마이키
로버트 S. 캐플런은 하버드 비즈니스 스쿨의 교수며 균형성과평가제도(Balanced Scorecard)의 공동개발자다. 아넷 마이키는 하버드 비즈니스 스쿨 조교수다.
-
로버트 S. 캐플란(Robert S. Kaplan) | - 하버드 비즈니스 스쿨의 교수
- 균형성과평가제도(Balanced Scorecard)의 공동개발자
이 필자의 다른 기사 보기
