Top
검색버튼 메뉴버튼

ERM 구축 방법론

리스크도 ‘포트폴리오’로 관리하라

고재민 | 6호 (2008년 4월 Issue 1)
고재민 연세대학교 경영연구소 연구원
 
리스크 관리(risk management)에 대한 기업들의 인식이 크게 바뀌고 있다. 예전의 국내 기업들은 리스크 관리는 은행이나 증권사와 같은 금융기관의 영역으로 알고 있는 경우가 대부분이었다. 그나마 경영시스템이 앞서 있는 일부 제조업체의 경우에도 금리나 환율 등 재무 리스크만이 관리의 대상이라고 오해하는 사례가 많았다.

하지만 1990년대 말의 IMF 구제 금융과 이로 인한 세계 경제로의 급속한 편입은 리스크 관리의 중요성을 새롭게 깨닫게 하는 계기가 됐다. 이제 리스크 관리 없이는 아무리 잘나가는 기업도 한 순간에 무너질 수 있다는 사실을 대부분의 기업들이 인식하고 있다. 다만 어떻게 리스크를 찾아내고 관리해야 할지에 대해서는 아직도 전반적인 이해가 부족하다.
 
리스크란 무엇인가?
그렇다면 갈수록 기업 경영에서 중요해지는 리스크란 무엇인가? 전통적인 재무론에서 리스크란 불확실성(uncertainty)을 의미한다. 즉, 기업에 유리한 일이건 불리한 일이건 확정되지 않은 것은 리스크가 된다.

한 기업이 6개월 후에 미국에 수출하기로 계약을 체결했다고 하자. 이 계약만을 두고 볼 때 6개월 후에 환율이 오르면 기업 입장에서는 이익이고, 환율이 떨어지면 손해다. 그러나 전통적인 관점에서는 환율이 오르는 것과 환율이 떨어지는 것 모두가 리스크다. 둘 다 확정되지 않은 불확실한 상황이기 때문이다. 기업들은 이와 같은 불확실성, 즉 리스크를 없애고 경영 성과를 현재의 환율로 고정시키기 위해 파생 상품과 같은 헤지(hedge) 수단을 활용했다.
 
반면 최근의 리스크 관리에서는 전통적인 재무론과 달리, 리스크란 기업의 목표(objective) 달성을 저해할 수 있는 가능성 모두를 말한다. 여기서 말하는 리스크는 기업에 직접적 손실을 입히는 사건(hazard)은 물론이고 더 높은 성과를 얻을 수 있는 ‘기회(opportunity)의 상실’ 측면도 함께 포함하고 있다.
 
리스크 관리, 왜 중요한가?
리스크 관리가 중요해지는 가장 큰 이유는 기업을 둘러싼 경영 환경이 점점 더 불확실해지고 있기 때문. 무엇보다 많은 리스크들이 서로 연관돼 있어 체계적인 관리가 필요하다.
또 세계적으로 정부 및 규제 기관들이 기업의 리스크 관리에 대한 기준을 강화해 리스크 수준을 측정하고 공시하는 것이 의무화되는 추세란 것도 원인으로 꼽을 수 있다.
 
미국 증권 거래 위원회(SEC)는 기업이 경영 리스크의 수준과 이에 대한 관리 활동을 문서화해 사업보고서에 수록하도록 의무화하고 있다. 독일 역시 1998년에 기업이 주요 경영 리스크에 대한 모니터링 체계를 구체화하고 리스크 관리 활동을 감독 기관에 주기적으로 보고하도록 하는 법안을 도입했다.
투자자들도 이미 기업의 리스크 관리를 경영 품질에 대한 중요한 판단 기준으로 삼고 있다. 세계적인 신용평가 기관인 무디스는 2004년 기업의 신용 평가시 리스크 관리 수준을 반영하기로 결정했다.


이미지를 클릭하시면 크게 보실 수 있습니다.
전통적 리스크 관리는 ERM으로 진화
리스크 관리는 어느 날 갑자기 등장한 경영 기법이 아니다. 이미 1930년대 미국에서 태동했으며, 1950년대 들어 본격적으로 발전하기 시작했다.
규모의 경제가 강조되고 값싼 노동력과 효율적 설비가 경쟁 우위를 결정하던 1970∼1980년대의 리스크 관리는 ‘방어적 관리’란 개념이 중심이었다. 제조업의 경우 사고가 발생했을 때 손실을 최소화하는 것이 목표였다. 따라서 사전에 경영상 불확실성을 회피하기 위한 보험, 헤징(hedging) 등의 수단이 각광을 받았다. 금융업에서는 수신과 여신 간 규모와 만기의 차이로 인해 발생하는 리스크를 관리하는 자산 부채 종합관리(ALM·Asset Liability Management)가 중심을 이뤘다.
 
1990대 리스크 관리는 기업 성과의 변동성을 최소화할 수 있도록 내부 통제 시스템을 강화하는 방향으로 발전했다. 2000년대에 들어서면서부터는 전사적 리스크 관리(ERM·Enterprise Risk Manage-ment)가 자리를 잡았다. ERM은 리스크의 사전 관리와 리스크 포트폴리오를 통한 통합 관리라는 특징을 갖고 있다.
ERM 이전의 리스크 관리는 기업에서 필요할 때마다 수행하는 경우가 대부분이었다. ‘필요할 때’라는 것은 리스크가 이미 현실화되어 손실이 발생했거나, 이미 손실 발생이 거의 확실시되어 사후적인 대응 차원이 필요한 경우가 많았다.
 
그러나 ERM은 경영 환경의 변화를 지속적으로 모니터링해 손실 발생을 미리 막는 것을 목표로 한다는 것이 차별점이다.
독일의 화학 기업 바스프(BASF)는 기업 내의 모든 리스크를 과거-현재-미래의 3차원으로 관리한다. 이 회사는 BASIKS (BASF Information & Communica-tion System)라는 조기경보시스템을 구축하고, 사전 등록한 리스크 요인이 위험 수준으로 상승하면 즉시 통제 활동을 수행한다.
또한 리스크가 현실화될 경우에는 사전에 준비된 프로그램에 따라 관련 부서가 손실을 최소화하기 위한 대응 활동을 실시한다. 마지막으로는 리스크의 후행 관리에 들어간다. 감사팀과 특별위원회가 중심이 되어 사후 모니터링을 실시, 리스크 관리 활동의 적시성과 효과성 등을 검증한다.
 
ERM의 또 한 가지 특징은 통합적인 리스크 관리를 통해 포트폴리오 효과를 추구한다는 것이다. 원래 투자전략 용어인 포트폴리오 효과란 분산 투자를 통해 개별 투자의 리스크를 일부 상쇄하고 전체 투자의 리스크를 줄이는 것을 의미한다. 같은 원리로 ERM에서는 모든 리스크를 하나의 포트폴리오로 관리하며, 리스크 요인간의 상쇄 효과를 통해 전체 리스크를 줄일 수 있다. 예를 들어 요즘처럼 환율이 떨어지는 상황에서는 기업이 수출 영업 부서에서는 손실을 입을 수 있지만, 원부자재를 해외에서 수입하는 구매 부서의 이익으로 환 손실을 상쇄할 수 있다.
 
ERM 이전의 리스크 관리는 주로 리스크를 생산·영업·R&D·구매·재무 등 부서 내에서 개별적으로 관리하거나 혹은 주로 제품 단위로 분할된 사업부별로 관리하는 방식이었다. 그러나 이런 개별 리스크 관리(Silo-based Approach)로는 기업 내·외부에서 발생하는 다양한 리스크들을 효과적으로 식별하고 대응할 수 없어 리스크 관리의 사각지대가 발생했다.
앞으로의 리스크 관리는 ERM이 성과 평가 시스템 등 비즈니스 시스템과 통합되는 방향으로 진화될 것이다. 결국 리스크 관리가 기업 경영의 핵심적 역할을 수행하면서 기업가치 창출에 크게 기여할 것으로 전망된다.


이미지를 클릭하시면 크게 보실 수 있습니다.
ERM, 어떻게 도입할 것인가?
ERM의 적용 단계는 크게 4가지로 구분할 수 있다. (그림2) 먼저 잠재적으로 발생 가능한 모든 위험요소를 추출하고(식별), 전체 리스크 중에서 우선순위가 높은 것을 골라낸다. (평가) 그리고 리스크의 발생 징후와 정도를 측정할 수 있는 지표(KPI· Key Risk Indicator)를 선정한다. 마지막으로 리스크별로 사전 예방안이나 사후 대응안을 수립한다.
 
1단계: 리스크 식별(identify) 리스크 관리는 먼저 기업에 어떤 리스크가 있는지를 파악해야 시작할 수 있다. 리스크를 식별하는 방법으로는 워크샵, 브레인스토밍, 인터뷰, 설문 조사, 프로세스 분석, 손실 사례 분석 등이 있다. 어떤 식별 방법을 사용할지는 주로 리스크의 종류에 따라 달라진다.
 
통제 불가능한 외부 원인으로 인해 생기는 비즈니스 리스크를 알아낼 때는 내부뿐만 아니라 외부 인사들을 대상으로 워크샵, 브레인스토밍, 인터뷰를 실시한다. 외부 인사들을 선정할 때는 애널리스트, 산업 전문가, 시민단체 관계자, 정책 담당자, 고객, 협력업체 등 기업과 관련한 모든 관계자들을 포함하는 것이 좋다. 듀폰(DuPont)과 월마트는 기업의 각 부문이 직면한 리스크를 파악하기 위해 정기적으로 워크샵을 연다.

반면 운영 리스크를 식별할 때에는 주로 기업 내부의 실무자들을 대상으로 한 인터뷰, 업무 프로세스 분석, 손실 사례 분석 등을 활용하는 것이 효과적이다. 여기서는 특히 발생 가능한 리스크를 나열하는 데 그치지 않고 각 리스크간의 인과관계까지 파악해 보는 것이 중요하다. 개별 리스크의 유기적 관계를 입체적으로 파악함으로써, 어떤 리스크 요인이 전사 목표 달성에 가장 애로 요인으로 작용할 수 있는지를 한 눈에 파악할 수 있기 때문이다.
 
화학약품을 생산하는 중견기업 A사를 사례로 들어보자. 이 회사는 반도체 제조 대기업에 원자재 가공용 약품을 공급한다. A사 직원들에게 ‘무엇이 위험요인인가?’를 묻자 이직으로 인한 인력 부족(인사부), 환경규제 강화(관리부), 원료 가격 상승(구매부), 중국 업체들의 덤핑 가능성(판매부) 등의 응답이 나왔다. 시민단체는 “환경규제 강화로 대기업의 약품 사용량에 영향이 있을 것 같다”고 답했다. 고객사인 대기업은 “여러 부문에서의 국제원자재가 상승으로 협력사들의 납품가를 올려주기 힘들다”고 말했다.
 
2단계: 리스크 평가(assess) 리스크를 식별한 다음에는 어떤 리스크가 중요한지를 평가하는 과정을 거치게 된다. 이같이 리스크 평가를 실시하는 이유는 제한된 리스크 관리 자원을 중요한 것에 우선적으로 배치하기 위해서다.
 
리스크의 평가는 보통 ‘리스크 지도(risk map)’를 이용해 한다. 리스크 지도는 모든 리스크를 영향력(impact)과 발생빈도(또는 발생 가능성)에 따라 2차원 평면에 배열한다.
A사의 경우 원료 가격 상승을 가장 중요한 리스크로 평가할 수 있다. 주요 원료가 최근 가격이 급등하는 석유화학 제품이기 때문이다. (그림3) 환경규제 강화는 영향력은 크나, 발생 가능성은 낮다. A사 제품의 원료는 안전성이 상당히 높아 선진국에서도 아직 규제 대상이 아니다. 이직으로 인한 인력 부족은 발생 가능성이 낮은 편이고, 실제로 발생한다 하더라도 대체 인력 투입이 가능하므로 영향력이 작다. 중국 업체들의 덤핑은 발생 가능성은 높지만 이들의 품질 수준이 낮아 그다지 큰 영향은 없다.
3단계: KRI(Key Risk Indicator)도출 리스크의 식별과 평가를 마친 다음에는 중점 관리 대상 리스크를 사전에 감지할 수 있는 리스크측정지표(KRI)를 도출해야 한다. 그런데 KRI 관리의 목적은 환경 변화의 징후를 사전적으로 살펴보기 위함이지, 한 치도 틀리지 않는 데이터를 요구하는 것이 아니다. 따라서 구성원들이 쉽게 접할 수 없는 정보라면, 다소 정확성이 떨어지더라도 빨리 획득해 경영상의 판단에 도움을 주는 것이 더 낫다.
 
A사의 경우 가장 대표적인 리스크측정지표로 원료(석유화학계 제품)의 ‘시장 평균 단가’를 꼽을 수 있다. 동종 업계의 가격 스프레드(spread)도 중요한 지표다. 스프레드는 제품의 가격에서 핵심원재료의 가격을 뺀 것이다. 제품 가격보다 정확하게 수익성의 변동을 보여준다.
석유화학계 제품의 가격에 결정적 영향을 미치는 원유 가격과 원료의 수급 균형도 리스크측정지표로 활용 가능하다. 수급 균형은 원료에 대한 수요와 업계의 생산 능력에 따라 달라진다. 원료의 수요는 늘고 있는데 생산 설비는 그대로라면 원료 가격이 오를 수밖에 없다.
 
A사의 분석 결과, 주요 원료 중 하나가 태양전지 셀의 제조과정에 원재료나 공정용 화학약품의 재료로 쓰일 수 있는 것으로 나타났다. 이에 따라 A사는 수요가 폭증할 수 있는 가능성을 상정하고 ‘향후 10년 동안의 원료 수요량’을 선행 지표로 설정했다. 특히 이 같은 선행 지표를 제때에 알아내려면 단순히 2차 자료에 의존하는 것을 벗어나 납품 업체와의 상시적인 의사소통을 통해 시장 상황을 파악하는 것이 좋다.
 
4단계: 관리 방안 수립 마지막은 관리 방안 수립 단계로서, 리스크별로 사전 예방안이나 사후 대응안을 수립하는 작업을 실시한다. 이와 같은 대응 방안 수립은 2단계(리스크 평가) 결과를 기초로 해 이뤄지게 된다. 즉 발생빈도나 영향도에 따라 사전 예방이나 사후 대응 등 리스크 관리 활동은 서로 달라진다.(그림3)
 
관리 방안을 수립할 때는 하나의 사건에 대해 여러 가지 결과가 발생할 수 있다는 사실을 염두에 두는 것이 좋다. 마이크로소프트(MS)와 같은 기업은 시나리오 분석을 활용해 하나의 사건에서 일어날 수 있는 여러 가지 파급효과를 찾아내고 그에 대한 대응책을 강구한다. 실제로 MS는 지진과 같은 자연재해에 대비, 일본 고베 대지진 발생시 고베 제철의 피해와 대응 사례를 참고해 여러 개의 대응 시나리오를 마련해 뒀다.
 
A사의 경우 원료 가격과 수요량 등의 KRI를 통해 구매 전략을 수립할 수 있을 것이다.
현재 구매 단가가 높아지고 있더라도 앞으로 시장 수요가 감소한다면, 장기적으로는 가격 협상을 통한 구매가 유리하다. 반면 현재의 구매 단가가 높더라도 앞으로 시장 수요가 늘어난다면, 구매 단가를 다소 희생하더라도 안정적인 물량 확보에 힘을 쓰는 것이 바람직하다.
A사는 앞으로 원료의 시장 수요가 늘어날 것으로 판단했다. 따라서 현재의 단가보다 약간 높은 수준으로 장기 공급 계약을 맺거나, 주요 공급 업체에 전략적으로 지분투자를 하는 전략을 수립했다.


이미지를 클릭하시면 크게 보실 수 있습니다.
리스크 관리 성공도 리더십이 관건
리스크 관리를 위한 조직이나 제도만 갖춰놓는다고 해서 성공을 보장할 수 있는 것은 결코 아니다. 한때 세계 최고의 리스크 관리 기업이라고 불리던 엔론이 대표적인 사례다. 이 회사는 CRO(Chief Risk Officer) 산하에 150여 명이나 되는 인원을 두고, 연간 3000만 달러의 예산을 투입하는 등 리스크 관리에 막대한 자원을 쓰고 있었다. 그러나 정작 자사의 운명을 좌우할 정도의 큰 위기가 닥치자 리스크 관리 시스템이 작동하지 않았다.
 
리스크 관리의 최고 모범사례로 꼽히는 듀폰의 사례는 엔론과 좋은 대비를 이룬다. 듀폰은 리스크 관리만을 전담하는 조직도 없고, 다른 기업이 쉽게 흉내낼 수 없는 방대한 데이터베이스나 전산 인프라를 갖추고 있지도 않다. 위원회나 워크숍, 세미나 등 우리가 이미 기업 경영에서 일상적으로 활용하고 있는 회의체가 전부다. 모범사례라고 부르기에는 너무도 단순한 체계를 지니고 있는 것이다.
듀폰이 주는 교훈은 조직이나 제도가 아닌 리스크를 함께 공유할 수 있는 ‘열린 문화’가 성공적 리스크 관리의 핵심 요인이란 점이다. 리스크 관리는 ‘보고 싶지 않은 현실’에 대해 회사 내부에서 끊임없이 문제를 제기하고, 이런 문제 제기를 긍정적으로 용인할 수 있는 기업문화가 있어야 성공할 수 있다.
 
이런 조직문화를 이끌어내려면 조직 내 커뮤니케이션을 원활하게 하는 리더십이 있어야 한다. 특히 우리나라 경영자들은 리스크에 대해 부정적인 인식을 가지고 있어, 업무 중에 리스크 요인이 있다고 보고하는 사람에게 먼저 추궁부터 하는 경우가 많다. 따라서 리스크는 노출되지 않은 채 자꾸 안으로 숨어들게 되고, 결국 호미로 막을 일을 가래로 막게 되는 상황이 생기게 된다.
강력한 카리스마로 구성원들을 바짝 긴장하게 만들고 주눅 들게 만들면 리더의 생각에 반하는 논의는 싹을 틔우지도 못하고 사그라지고 만다. 결국 리스크 관리의 성패는 리더의 손에 달려 있는 것이다.

[DBR TIP] 리스크 요인별로 대응 전략 달라져야

기업의 리스크에 대해 학자마다, 또 기업마다 유형을 서로 다르게 구분하는 경우가 많다. 하지만 리스크 유형을 구분하는 데에도 일반적으로 통용되는 기준이 있다. 바로 통제 가능성(controllability)이다.
기업이 통제할 수 있는 내부 프로세스 상에서 발생하는 리스크는 ‘운영(operation) 리스크’, 기업이 통제 불가능한 외부적인 원인으로 인해 발생하는 리스크는 ‘비즈니스(business) 리스크’로 구분한다.
그리고 비즈니스 리스크는 다시 예측 가능성(predictability)을 기준으로 두 가지로 나눈다. 첫째는 기업을 둘러싼 법규, 경쟁자, 공급자, 고객 등 합리적으로 예측할 수 있는 경영 환경상의 문제로 인해 발생하는 리스크이고, 둘째는 재해, 전쟁, 테러와 같이 사전에 발생 가능성을 예측하기 어려운 사건·사고로 인해 발생하는 리스크다.
 
이와 같이 리스크의 유형을 구분하는 이유는 각 리스크 유형에 따라 기업의 대응 방안과 리스크 관리 운영 방식이 달라지기 때문이다.
먼저 비즈니스 리스크 중 경영 환경상의 변화로 인해 발생하는 리스크에 대해서는 사전에 정보를 수집하고 변화 발생 추이를 예측한 뒤 전략을 수정해 대응하는 ‘전략 중심의(strategy-oriented) 리스크 관리’를 운영해야 한다.
 
반면 자연 재해, 전쟁 등으로 발생하는 리스크에 대해서는 주로 사건 발생 후의 피해를 최소화하는 ‘지속경영계획(BCP·Business Continuity Plan)’이나 ‘재해복구계획(DRP·Disaster Recovery Plan)’, ‘비상계획(Contingency Plan)’ 등 위기 관리에 초점을 맞춤 리스크 관리가 필요하다.
 
마지막으로 내부적으로 통제 가능한 운영 리스크는 조직을 정비하고 프로세스를 효율적으로 구축하며 구성원의 역량을 끌어올리는 등 내부 통제(control) 혹은 감사 중심(audit-oriented)으로 리스크 관리를 운영할 수 있다.

관련기사