위기관리 10대 원칙

당연한 것을 지키는 것,사고 예방의 출발

153호 (2014년 5월 Issue 2)

Article at a Glance - 운영관리

 기업 생존을 위한 10가지 위기 관리 원칙

① 가정을 다시 한번 확인하라. ② 주의와 경계를 늦추지 마라.

 

③ 속도와 모멘텀을 고려하라. ④ 핵심 연결망을 관리하라.

 

⑤ 실패의 원인을 예측하라. ⑥ 정보원천과 정보를 검증하라.

 

⑦ 안전마진을 유지하라. ⑧ 시계를 설정하라.

 

⑨ 적절한 리스크는 충분히 감수하라. ⑩ 운영의 기본 원칙을 반드시 지켜라.

 

 

현명한 사람은 본인이 직접 겪지 않더라도 다른 사람의 경험, 실패로부터 배우고 교훈을 얻는다. 기업도 마찬가지다. 다른 기업이나 조직에서 발생한 여러 형태의 위기, 사건, 사고, 대응 실패 사례 등을 학습하고 분석해서 시정하고 개선해야 한다. 실패 유형을 숙지하면 실패를 예측할 수 있는 능력도 그만큼 높아진다. 유사하거나 동일한 실패를 경험할 확률이 그만큼 줄기 때문이다.

 

많은 기업들은 최근 일어난 대형 사고에서 지적되는 부실, 취약점, 문제점 등을 그대로 안고 있다. 기업에 위기 또는 기회로 영향을 미칠 수 있는 주요 리스크에 대해 상당히 제한적으로 관리하고 있다. 또 리스크에 통합적으로 대응하기보다는 각 부서가 따로 대처하고, 전사적 대응이 필요한 리스크와 위기에 대한 센싱(sensing)은 대부분 최고경영진에서 하향식으로 전달되는 단방향 커뮤니케이션에 그칠 때가 많다. 더욱 심각한 것은 구성원이주도적이고 책임 있는 문제의 예방 및 해결자로 나서기보다는상부 지시를 따르는 충실한 이행자의 역할을 하는 소극적인 방식이 관행적으로 이뤄지고 있다.

 

역동적이고 예측 불가능한 비즈니스 환경에서 기업은 유연성을 발휘하고 변화에 대한 반응속도를 높일 수 있는 다양한 전략과 시나리오를 미리 준비하고 실행에 옮겨야 한다. 전략을 실행하고 위기에 먼저 대응하는 관리역량을 확보하기 위해서는 <그림 1>의 위기 관리 방향성과 목표를 가져야 한다.

 

최근 대형 사건, 사고에서 드러난 것처럼 리스크1  , 위기에 대처할 때타이밍을 놓치면 이후 대처가 더 어려워진다. 타이밍을 놓치는 주된 이유는 과거 사고와 관행을 극복하지 못했기 때문이다. 같은 실수를 반복하는 이유도 관행에서 벗어나지 못했기 때문이다. 이를 방지하려면 미리 리스크와 위기 관리의 범위를 정하고 경영진과 직원의 양방향 프로세스가 이뤄져야 한다. 또 리스크, 위기 관리 업무를전담하는 독립적인 부서도 만들어야 한다. 리스크 관리, 위기대응은 큰 그림에서 전사적으로 이뤄져야 한다. 전사적 리스크 관리 목표를 고려해서 부문별로 어떤 문제가 있는지 통합적으로 점검하는 프로세스를 마련할 필요가 있다. 대책을 수립하고 실행할 때도 각 부문이 유기적으로 협조해야 제대로 된 효과를 기대할 수 있다. 이를 위해서 능동적인 실행 기반은 필수다.

 

기업 생존을 위한 10가지 원칙

재해 등 큰 스트레스가 발생하면 인간의 몸은 즉각 반응한다. 몸에 선천적으로 저장된방어기제(defense mechanism)’가 작용하기 때문이다. 여기에다 경험과 훈련을 통해 배우는 후천적으로 만들어진 뛰어난 방어기제가 가세한다. 경찰, 군인, 우주비행사를 훈련시키는 전문가들은실제 위협은 준비 수준에 미치지 못한다고 입을 모은다. 그만큼 미리 준비하고 대처하는 게 매우 중요하다. 더 많이 준비할수록 비상상황에서 잘 대처할 수 있다는 의식이 강해져서 사람들에게 공포심을 덜 발생하게 한다. 9·11 테러 당시 미국 뉴욕의 세계무역센터에서 비상계단의 위치를 알거나 대피훈련에 한 번이라도 참여한 사람이 그렇지 않았던 사람보다 부상을 덜 당했다. 장기적인 건강문제에 시달리는 확률이 훨씬 적었다. 이런 상황을 기업에 적용할 수 있다. 기업의리질리언스(resilience)’는 갑작스런 충격에서 벗어나서 일상적인 활동으로 돌아갈 수 있는 능력과 속도를 의미한다. 리질리언스는 기업에 경험, 훈련, 준비 등을 통해 만들어진2의 방어기제라고 할 수 있다. 리질리언스를 갖고 있는 기업은 예측이 가능한 사건, 사고뿐만 아니라 불확실한 상황에서도 업무 재개와 정상화가 빠르게 이뤄진다.2  기업 생존을 위한 10가지 위기 관리 원칙을 주요 사례와 함께 알아보자.

 

그림 1 기업 리스크, 위기 관리의 한계와 향후 개선 방향 및 위기 관리 원칙

 

1. 가정을 다시 한번 확인하라 (Check your assumptions at the door)

기업은 매년 정해진 일정에 따라 경영환경을 분석하고 예측한다. 과거부터 해오던 방식대로 사업계획을 세우고 전략을 수정한다. 또 사내 자원을 파악하고 배분하며 내년도 사업을 확정하고 예산을 배분한다. 대체로 기업은 이런 절차를 거치면 모든 사업과 전략 등이 완성된 것으로 생각하기 쉽다. 문제는 타성에 젖은 방식이 구조적으로 잘못됐을 때다. 매년 같은 방식으로 일을 해왔으나 결과는 실망스러울 때가 많다. 시스템 과신으로 위기에 빠지는 기업의 사례는 적지 않다. 물론 모든 것을 완벽하게 예측한 뒤 전략을 실행하기는 어렵다. 그래서 기존에 해오던 방식에도 의구심을 가지고 매뉴얼을 다시 점검하는 노력이 필요하다.

 

NTSB학습, 조정(Learn and Adapt)’ 접근법

 

1. 대비하라(Be Prepared)

훈련은 완벽하게 만든다. 위기가 발생할 때 반응하면 이미 늦다.

 

2. 조직하고 가용성을 확보하라(Be organized and be available)

최악을 가정하되 최선의 상황을 희망한다. 어떤 상황에서도 대응할 준비를 한다. 핵심 전력(key players)이 사용 불가능할 때를 대비해서 컨틴전시 계획을 세운다.

 

3. 경험이 풍부한 리더를 활용하라(Have experienced leadership)

위기대응 경험을 가지고 있으며, 무엇을 하고, 조직을 어떻게 이끌지 아는 사람들을 확보한다.

 

4. 관찰하고 평가하라(Monitor and assess)

임직원, 경쟁사, 고객의 변화에 주의를 기울이고 우리 조직에 대해 어떤 말을 하는지 미리 모니터링을 한다.

 

5. 빠르게 대응하라(React quickly)

상황을 이해할 시간을 충분히 가진다. 대응은 빠르고 효율적으로 한다.

 

6. 위기에 대해 디브리프하라(Debrief a crisis)

사고를 통해 배운 교훈을 향후 프로세스 개선에 활용한다.

 

 

출처: Brand Resilience: Managing Risk and Recovery in a High-Speed World,

Jonathan R. Copulsky, Palgrave Macmillan

 

 

 

2. 주의, 경계를 늦추지 마라 (Maintain constant vigilance)

경영환경에서는 다양한 변화 신호들이 제기된다. 하지만 정작 기업은 이런 변화 신호를 알아채지 못할 때가 많다. 또 변화 신호를 감지해도 미세한 변화의 신호가 해당 기업에 어떻게 영향을 끼치고 의미를 주는지를 알지 못할 때가 많다. 만일 변화를 일찍 발견해서 리스크를 사전에 대처한다면 손실을 크게 줄일 수 있다. 그래서 각종 주의 신호 등을 효과적으로 살피는 방법이 필요하다. 짐 홀(Jim Hall) 전 미국 국가교통안전국(NTSB) 국장에 따르면 과거 NTSB가 사고 현장에 도착하기 전에 이미 24시간 뉴스방송채널인 ‘Today Show’ 등 미디어들이 먼저 사고 관련 기사를 보도할 때가 종종 발생했다. NTSB는 경찰, 소방서 등의 네트워크를 활용할 수 있음에도 불구하고 언론매체보다 훨씬 늦게 정보를 취합하고 있었다. 홀 전 국장은 이런 상황을 감지하고 워싱턴 NTSB 본사에 ‘24시간 통신 센터를 세웠다. 이 센터는 경찰, 소방서 등을 통해서 사건, 사고 등과 관련된 정보를 실시간으로 모니터링한다. NTSB는 실시간으로 모은 생생한 정보를 기반으로 사건, 사고 현장에 긴급 파견수사반을 보낸다.

 

3. 속도와 모멘텀 요소를 고려하라 (Factor in velocity and momentum)

어떤 위기가 발생했을 때 생각보다 빨리 확산될 때가 발생한다. 또 어떤 상황에서는 예상하지 못했던 방향으로 위기가 확산되기도 한다. 그래서 위기에 대처하는 사람들은해당 사건이 일어날 가능성은 어느 정도인가라고 스스로에게 묻기보다는얼마나 긍정적으로 또는 부정적으로 전개될 수 있으며, 얼마나 빨리 진행될 수 있는가라는 생각으로 위기에 대처해야 한다. 이런 관점에서 일을 처리해야 위기 상황에서 기업이 빠르게 정상으로 복귀할 수 있다.

 

4. 핵심 연결망을 관리하라 (Manage the key connections)

글로벌 비즈니스가 복잡해지고 기업의 상호 의존도가 높아지면서 한 사건이 다른 사건에 영향을 끼칠 때가 빈번하다. 그래서 각종 위기에 영향을 끼칠 수 있는 주요 요소를 면밀하게 분석하는 노력이 중요하다. 기업에서 위기에 영향을 끼칠 수 있는 주요 요소는 공급자(Supplier), 투입자원(Input), 프로세스(Process), 산출물(Output), 고객(Customer) 등이다. SIPOC 분석은 공급자와 투입자원 등을 분석하는 방법이다. 이 방법은 특정 프로세스, 산출물 등이 다른 프로세스, 산출물과 어떻게 연관되는지 파악하고 한 부문에서 발생한 문제가 전체 시스템에 어떻게 확산되는지 분석한다. 또 기업은 위기에서 살아남기 위한 기본 요소를 미리 정의해야 한다. 구체적으로 생존을 위한 필수요소, 필수요소 없이 생존할 수 있는 기간, 회사가 감내할 수 있는 손실, 피해 수준, 비상상황 대비 수준 등에 대한 내용을 미리 살펴야 한다. 전체를 아우르는 시스템에 대한 해법이 필요하다. 결국 공급자, 투입자원 등에서 어떤 문제가 발생했을 때 회사에 어떤 피해나 손실이 발생할지를 따져서 시나리오를 만들어야 한다.

 

5. 실패의 원인을 예측하라 (Anticipate causes of failure)

1912 412일 타이타닉호의 선장 에드워드 스미스는 출항하기 직전타이타닉호를 침몰시키는 상황은 그 어떤 것도 상상할 수 없다. 인류 역사상 이렇게 훌륭한 기술이 사용된 적이 없었다. 제어 장치는 완벽하다. 문제가 발생할 소지가 전무하다고 말했다. 하지만 타이타닉호는 침몰했고 큰 사상자가 발생했다. 기업도 마찬가지다. 잠재적인 실패 가능성을 미리 찾아서 논의하고 필요한 조치와 대응책을 마련해야 한다. 구체적인 방법으로는 현재 기업의 취약점을 공격하는 방식으로 찾아내는 것이다. 이런 방법은 새로운 게 아니다. 미군은 자신의 취약점을 적보다 미리 발견하기 위해 과거부터레드팀(Red Teams)’을 활용했다. 레드팀의 역할은 주로 특수부대인 네이비실(Navy Seal)이 맡았다. 레드팀은 훈련에서 적군의 역할을 맡아 아군의 약점을 찾아내고 공격했다. 이런 방식은 스스로 문제점을 찾아내는 데 매우 유용하다. 기업들도 자체적으로 레드팀을 구성해서 스스로 자신들의 약점을 찾아낸다면 실패의 원인을 사전에 차단할 수 있다. 듀폰(DuPont)은 프로젝트를 추진할 때 취약점을 발견하기 위해서 레드팀을 활용한다. 레드팀을 통해서 해당 프로젝트에 대한 취약점이 발견되면 프로젝트 자체를 무산시키거나 보완책을 강구한다.이와 비슷한 또 다른 사례가 선의의 해커인화이트 햇(White Hats)’이다. 화이트 햇은 컴퓨터 시스템, 네트워크가 외부 해커들에게 공격당하기 전에 취약점을 찾아내기 위해서 미리 해당 시스템을 공격해보는 해커들이다.

 

 미 해군 잠수함부대의 철저한 운영원칙 준수

 

미 해군 잠수함부대는 리스크, 위기 인식에서 매우 보수적인 문화를 가지고 있다. 잠수함부대 사령부는 리스크를 수용하는 방법을 알고 있어야 한다. 그렇지 않으면 시야가 제한된 상태에서 원자로를 실은 잠수함이 신속하게 운영되기 어렵다. 잠수함 부대원들은 운영의 기본 원칙, 리스크 관리, 사전 준비 등을 매우 철저하게 따른다. 아래는 잠수함부대가 운영원칙을 준수하는 4가지 방법이다.

 

 

운영 절차를 표준화하라

환경에 대한 사람들의 반응은 지속적인 교육 훈련과 사전 준비를 통해 단순화하거나 최적화할 수 있다. 기관실에서 모든 운영 절차는 핵연료봉의 안전에 초점이 맞춰져 있다. 모든 업무에 표준 운영 절차를 마련하는 것은 어렵지만 원자력 발전과 관련해서는 잠재적인 문제를 99% 이상 설정해서 관리한다. 세부적인 표준 운영절차가 적용되고 있다. 비일상적인 사건의 사전 징후, 이런 상황에서 취해야 할 행동, 후속 조치 등에 대해 평소 훈련한다.

 

끊임없이 경계를 유지하라

훈련은 강의실에 앉아서 내용을 암기하는 것만이 아니다. 잠을 자고 있을 때도 갑작스럽게 모의 소방훈련을 실시한다. 훈련은 반복된다. 물론 훈련을 반복하는 것은 매우 고통스러운 일이다. 그러나 핵잠수함을 운항하기 위해 꼭 필요하다는 것을 모든 사람들이 잘 알고 있다. 예행연습을 하는 것은 핵심 리스크를 정의하고 관리할 때 경계심을 늦추지 않도록 만드는 훌륭한 방법이다. 다만 훈련과 예행연습을 언제 할 것인가 하는 시점의 문제는 선택할 필요가 있다.

 

 

사후평가를 시행하라

잠수함부대는 사건이 발생한 뒤 무엇이 발생했는지, 왜 발생했는지, 앞으로 대응책을 개선하기 위한 교훈은 무엇인지를 분석한다. 함장은 사후평가제를 시행하고, 무슨 일이, 왜 일어났으며, 향후에는 무엇을 다르게 대처해야 하는지를 모든 승조원이 이해할 수 있도록 모두에게 발표한다. 사후평가제는 극단적인 사건에 한정돼 적용되는 것이 아니라 일상적인 훈련이나 정비과정에서도 실시된다.

 

 

포괄적인 프로그램을 수립하라

가끔 연결고리를 더 꽉 조일 필요가 있다. 1963년 최초 항해에 들어간 잠수함인 USS Thresher가 유실된 이후 잠수함 안전 프로그램이 새로 도입됐다. 이 프로그램의 일환으로 해당 잠수함을 건조한 조선소의 대표는 처녀 항해에서 반드시 승조원과 동행해야 한다. 리스크 수용을 결정하는 사람들이 해당 리스크에 개인적으로 노출돼야 착실한 판단을 내릴 수 있다. 이런 연결관계가 존재하지 않으면 잠재적으로 잘못된 결정을 내릴 가능성이 있다.

 

6. 정보 원천과 정보를 검증하라 (Verify sources and corroborate information)

정확한 정보를 이용해서 대응하지 못하면 엉뚱한 결과를 초래하기도 한다. 그렇기 때문에 정보를 미리 검증하는 작업은 매우 중요하다. 군대에서는 정보를 검증하는 방법을 오래 전부터 활용해오고 있다. 군대에서는 Command(지휘), Control(통제), Communication(통신), Intelligence(정보)를 연결해 ‘C3I’라고 불렀다. 최근에는 여기에다 자동화요소(Computer)를 추가해 ‘C4I’라는 개념으로 표현한다. C4I의 체계는 군대 지휘부가 군대를 움직이기 위해 필요한 각종 정보를 모으는 시스템이다. 군대가 일사분란하게 움직이기 위해서는 각종 정보들이 수집되고 융합돼야 한다. 그 과정에서 불필요하거나 잘못된 정보는 걸러져야 한다. 군부대들은 C4I의 체계를 통해서 4∼5개 분야에서 크로스 체크를 하면서 정보를 철저하게 검증한다. 기업에서도 이런 시스템을 마련해서 정보를 최대한 면밀하게 검증하는 과정이 필요하다.

 

7. 안전마진을 유지하라 (Maintain a margin of safety)

갑작스러운 자연재해 등으로 하청기업에 어려움이 생겨서 부품 확보 등이 어려울 때도 발생한다. 규모가 제법 큰 기업이라도 이런 상황에서는 별다른 자구책을 마련하기 어려울 때가 많다. 부품이 제시간에 확보되지 못하면 완제품을 생산할 수 없다. 그렇기 때문에 평소 최소한의 안전마진을 잘 따져봐야 한다. 2003 SARS가 아시아에서 발생했을 때 반도체 산업의 애널리스트들은 SARS가 반도체 생산에 끼칠 영향에 대해 우려했다. 글로벌기업들의 아시아 지역 임직원들이 SARS에 감염될 가능성이 제기됐고 아시아 지역에서 실시될 예정이던 각종 전시회는 취소됐다. 2003 4월에는 전자제품 생산기지마저 중단될 위기에 놓였다. 모토로라의 싱가포르 공장은 직원 한 명이 SARS에 감염되자 공장 문을 닫았다. 그러나 인텔은 아시아 지역의 공장인 중국 상하이공장을 중단해도 피해가 크게 발생하지 않을 것이라고 자신했다. 인텔은 당시 미국뿐만 아니라 아일랜드, 이스라엘, 중국에서 공장을 운영하고 있었다. 인텔은 당시정확한 카피(Exact Copy)’ 전략에 따라 전 세계 반도체 제조공장들을 같은 사양으로 건설했다. 공장의 위치가 달라도 모든 제품과 시설이 같았다. 인텔의정확한 카피정책은 1980년대 중반 반도체 제조공정의 복잡성을 대처하는 수단으로 만들어졌다. 반도체의 경우 온도, 압력, 화학구성 등에서 사소한 문제만 발생해도 쓸모 없는 제품이 될 수 있다. 매우 예민한 제품이기 때문이다. 그래서 인텔은 전 세계 모든 공장에서 재빠르게 오류를 시정할 수 있는 방법을 고안했다. 이런 방법의 하나로 전 세계 모든 공장의 제품과 시설 등이 호환될 수 있도록 만들었다. 이런 정책이 위기의 상황에서 한 공장에 문제가 발생할 때 다른 공장에서 대체해서 제품을 추가로 생산할 수 있도록 만든 것이다.

 

8. 시계(視界)를 설정하라 (Set your enterprise time horizons)

기업이 단기적인 생존에만 매달리면 장기적인 성과를 내기 어렵다. 장기적 성과보다 단기수익을 선호하는 기업은 궁극적으로 성장과 생존이 불가능하다. 물론 단기적인 생존이 중요하지 않은 것은 아니다. 그래서 단기 성과와 중장기 성과에 대한 안목을 모두 가져야 기업이 지속가능하게 성장할 수 있다.3  위기를 대처할 때도 마찬가지다. 눈앞에 보이는 사안에만 매달리면 근본적인 대안을 찾기 어렵고 결국 위기에 노출되기 마련이다.

 

9. 적절한 리스크는 충분히 감수하라 (Take enough of the right risks)

리스크는 항상 발생하기 마련이다. 그래서 모든 리스크를 피할 수는 없다. 기업은 자신들이 감내할 수 있는 리스크가 무엇인지 판단하고 적절하게 대처해야 한다. 그래서 때로는 리스크를 감내하는 전략도 필요하다. 물론 여기에는 치밀하게 계산된 리스크 수용 전략이 필요하다.

 

10. 운영의 기본원칙을 반드시 지켜라 (Sustain operational discipline)

기업이 지속적으로 성공하려면 엄격한 원칙과 규율이 필요하다. 명확한 원칙과 규율이 없으면 위기를 가정하는 것 자체가 어렵다. 그래서 위기 경고의 신호마저 발견할 수 없다. 로마인들은 새로 다리가 완공돼 다리를 받치기 위해 임시로 설치한 나무 지지대를 제거할 때면 해당 다리를 설계한 기술자들을 다리 아래 서 있도록 했다. 만일 다리가 무너지면 다리를 설계한 기술자는 죽는다. 이런 조치를 취한 이유는 다리를 설계한 사람이 책임감을 가지고 다리를 만들게 하기 위해서다. 당시 완성된 다리들은 2000년이 지난 지금까지도 끄떡 없이 유지되고 있다. 미군은 낙하산을 포장하는 대원들을 무작위로 선정해서 포장한 낙하산을 직접 착용하고 하늘에서 뛰어내리게 한다. 만일 낙하산을 포장하는 대원이 업무를 소홀하게 했다면 자신은 숨질 수밖에 없다. 그래서 더 꼼꼼하게 낙하산을 포장하게 된다.모든 기업에 이런 정도로 책임과 역량을 발휘하라고 강요하기는 어렵다. 하지만 기본적인 운영 원칙을 지키는 것만큼은 강제해야 한다. 사고예방은 대부분 당연한 사안을 지키는 것에서 출발한다.4

 

위기는 더 이상 한시적이거나 특별한 현상이 아니다. 영속성을 추구하는 기업이라면 항상 잊지 말아야 할 시장의 기본 요소다. 위기 극복 능력은 평소 기업 경쟁력만큼이나 중요한 요소다. 외부 시장변화와 조직 내부에서 발생한 위기를 모두 이겨내고 다시 원래의 기업 가치를 회복할 수 있는 역량이 결국 기업의 미래를 좌우한다. 이제는 정말로 달라져야 한다.

 

 

유종기 한국IBM GTS(글로벌테크놀로지서비스)사업부 실장 yjongk@kr.ibm.com

유종기 실장은 고려대 국제대학원을 졸업하고 전국경제인연합회 산업조사본부 경쟁력강화팀 조사역, 딜로이트 기업리스크자문본부 Director를 지냈다. 2018 평창동계올림픽조직위원회 리스크관리 부문 전문위원(비상근)을 맡고 있으며, 현재 한국IBM에서 Business Continuity & Resiliency Services(비즈니스연속성, 재해복구서비스)를 담당하며 리스크관리 자문을 하고 있다. 저서로는 비즈니스연속성관리> 구축전략> 등이 있다.

 

정덕훈동국대 경영대학 교수 duke@dongguk.edu

정덕훈 교수는 미국 조지워싱턴대에서 정보관리학 박사 학위를 받았다. 국가핵심기반 보호체계 진단, 국가안전관리계획 기능 강화, 재난관리표준(ISO 22301 및 기업재난관리표준), 기후변화대응 등에 대한 연구와 정책자문을 하고 있다.

동아비즈니스리뷰 347호 New Look at Gen X 2022년 06월 Issue 2 목차보기