Execution Premium

위험관리 툴로 부상한 3세대 KPI

86호 (2011년 8월 Issue 1)



지난 6월7일부터 9일까지 영국 런던에서 ‘2011년 전략실행 서밋’이 열렸다. 이번 서밋의 최고 주제는 리스크 관리였다. 2008년 금융위기 이후 기존의 전략 수립 및 실행 방법의 실패를 경험한 기업들이 어떻게 리스크를 극복하고 탁월한 성과를 창출할지에 대해 다양한 방법론과 사례가 제시됐다. 이 중 밸런스스코어카드(BSC)의 창시자인 로버트 캐플런 하버드 경영대학원 교수가 서밋에서 제안한 리스크 관리 방안을 정리해 소개한다.
 
KPI의 진화와 리스크 관리
핵심성과지표(KPI·Key Performance Indicator)는 지속적으로 진화하고 있다. 1세대 KPI는 내부 성과 측정이 주 목적으로 재무성과 측정에 많은 비중을 뒀다. 2세대 KPI는 전략실행을 관리하고 전략의 성공 여부를 판단하는 기준으로 활용됐다. 지난 20년간 BSC를 도입한 여러 조직 중 탁월한 성과를 창출한 기업들의 공통점은 재무, 고객, 프로세스, 학습과 성장 등 4가지 관점의 KPI가 모두 ‘BHAG(Big Hairy Audacious Goal·크고 위험하고 대담한 목표)’ 수준을 달성했다는 것이다. 이 조직들은 1세대 KPI를 사용하는 조직보다 약 24% 개선된 성과를 보였다. 그 이유는 바로 전략 실행에 따른 프리미엄 덕택이다.
 
2008년 금융위기 이후 KPI는 리스크 관리를 포함하는 3세대로 진일보한다. 선택과 집중의 전략적 특성을 보유한 KPI 관리 수준을 넘어 다양한 각도에서 전략 성과를 위협하는 요소들을 관리할 수 있는 방향으로 진화한 것이다. 이때 전략이 추구하는 성과를 달성하지 못하도록 위협하는 리스크는 <표1>처럼 3가지 카테고리로 구분할 수 있다.

 

 
카테고리 1 리스크와 KPI
카테고리 1 리스크는 조직 구성원들의 비윤리적 행동이나 규칙 위반에 따라 발생하는 리스크다. 구체적인 예를 들자면 현금 횡령, 회계 부정, 뇌물, 사기, 주요 정보 파괴나 유출 등이 있다. 지멘스의 경우 2007년 전·현직 경영진 6명이 리비아, 나이지리아, 러시아 등 12개국에서 부정한 방법으로 정부 인사들을 매수해 사업을 진행하려던 것이 발각됐다. 회사는 1조6000억원의 벌금을 미국과 독일 정부에 납부했으며 비리에 직간접적으로 연루된 500여 명의 직원이 해고됐다. 지멘스 역사상 처음으로 외부에서 CEO를 수혈하는 일까지 벌어졌다. 이 과정에서 기업의 이미지가 크게 손상을 입은 것은 물론이다.
 
카테고리 1 리스크를 해결하기 위한 방안으로 내부의 감사 체계를 강화하는 방법 외 2가지 대안을 제시한다. 첫째, 신념체계(belief system)로 불리는 조직 내 의사결정 기준을 강화하는 것이다. 미션과 핵심가치를 직원들의 일상생활과 업무에 적용하도록 함으로써 여러 가지 복잡한 의사결정 사항과 주요 이해관계 사항의 충돌이 일어날 때 일관적인 결정을 할 수 있도록 지원하는 것이다. ‘의약품은 이윤이 아닌 사람을 위한 것’이라는 머크(Merck)의 기업 사명(mission)이나 조직구성원, 지역사회, 주주들에 대한 책임을 구체적으로 기술하는 존슨&존슨(Johnson & Johnson)의 기업 강령(credo) 등이 좋은 사례다. 조직 내 명확한 신념체계를 구성하고 지속적으로 직원들과 공유하는 노력이 병행될 때 부적절한 행동에서 발생하는 리스크를 최소화할 수 있다.
 
둘째, 의사 결정의 경계를 명확히 하는 것이다. 이는 보다 명확하게 의사결정 및 권한위임의 자유도를 제한하는 가이드라인을 제공하는 것을 의미한다. 가장 대표적인 사례로 성경의 10계명을 들 수 있다. 10가지 계명 중 9가지 계명이 “무엇을 하지 말라(예: 도적질하지 말라, 살인하지 말라 등)”라는 부정적인 표현으로 구성돼 있다. 이런 방법을 활용함으로써 의사결정 시 넘어서는 안 되는 경계를 명확히 제시해줄 수 있다.

카테고리 1 리스크를 관리하는 KPI는 크게 두 가지를 생각해볼 수 있다. 우선 선행 지표 역할을 할 ‘윤리지수’다. 조직원들의 규칙에 대한 △지식 수준(직원들은 옳고 그름을 명확히 아는가? 신념체계에 대한 이해도가 높은가?) △인지 수준(타협해도 되는 수준을 아는가?) △행동 양식(문서화된 비윤리적 행동을 하고 있지는 않는가?) 등을 종합적으로 측정할 수 있는 지수를 개발해 리스크를 지속적으로 관리할 수 있다. 또 다른 하나는 결과 지표로서 ‘비윤리적 행동(절도, 거짓말, 정책위반)등으로 인해 해고된 인력 수’를 활용할 수 있다.

 

카테고리 2 리스크와 KPI
카테고리 2 리스크는 전략이 목표로 하는 성과를 달성하지 못하게 만드는 리스크를 의미한다. 카테고리 2 리스크 관리의 목적은 리스크를 회피하려는 게 아니라 높은 리스크의 위험도 받아들여 그에 따르는 탁월한 성과를 창출하는 고위험 고수익에 초점을 맞추고 있다. 다시 말해 대단히 위험한 프로젝트를 진행하면서 발생 가능한 리스크를 받아들이고 관리함으로써 높은 수익을 창출하는 게 목적이다.
 
이와 같은 개념을 대변하는 좋은 사례는 미국항공우주국(NASA)의 화성탐험 프로젝트다. 화성탐험의 성공 확률은 뉴욕에서 투수가 공을 던져 시카고의 포수가 스트라이크로 받을 수 있는 확률과 비슷하다고 한다. 이렇게 낮은 확률의 프로젝트를, 그것도 천문학적인 예산을 사용하면서 추진하는 이유는 무엇일까? 그것은 이 프로젝트를 성공시키는 것이 NASA의 미션이고 이와 같은 고위험 프로젝트를 성공시켰을 때 보상이 크기 때문이다.
 
NASA는 화성탐험 프로젝트를 추진하면서 화성의 대기권에 진입해 착륙까지 소요되는 7분이 프로젝트에서 실패의 위험도가 가장 높은 구간임을 인식하고 이에 대한 리스크 관리를 진행했다. 먼저 우주산업 분야의 많은 경험과 깊은 전문성을 보유한 임원을 선정해 최고 시스템 엔지니어(CSE·Chief System Engineer)로 임명하고 프로젝트의 위험을 관리하게 했다. CSE는 프로젝트 위험관리의 첫 단계로서 NASA의 탁월한 과학자들에게 리스크를 받아들이도록 하는 조직문화와 구조를 구축했다. 그 이유는 뛰어나고 실력이 있지만 상대적으로 경험이 부족한 전문가일수록 리스크에 따른 실패를 받아들이기 어렵기 때문이다. 즉 자신이 계획·설계·결정한 사안에 위험 요소가 있다거나 실패 가능성이 존재한다고 생각하지 않는다는 게 전문가들의 특성이라는 점을 파악하고 변화를 추구한 것이다. 이 문제를 해결하기 위해 CSE는 리스크관리위원회(Risk Review Board·프로젝트와 독립된 조직으로 과거 우주산업 프로젝트 관리 경험이 있는 NASA 내·외부 12명의 전문가 집단으로 구성)를 조직해 프로젝트 기간 동안 총 3회에 걸쳐 이틀씩 화성탐험 우주선을 만드는 전문가들의 결정에 위험요소와 실패요소가 무엇인지 물어보고 이에 대해 대응하게 했다. 이런 구조를 만들어놓음으로써 프로젝트에 참여한 모든 과학자들은 자신이 만든 모델과 결정의 실패 가능성에 대해 생각하게 됐고 이에 따른 대안을 만드는 게 프로젝트 내 정규 프로세스로 정착하게 됐다.
 
NASA의 리스크 관리 방법은 전례 없는 글로벌 금융위기를 초래한 월스트리트의 사례와 정반대되는 것이다. 사람이 의사 결정을 할 때 객관적 통계와 수학적 증명이 뒷받침되면 대개 큰 의심 없이 숫자만 따라가는 경우가 보편적이다. 수학 모델의 가설에 대해 의심을 품는 경우도 매우 적다. 월스트리트도 그랬다. 금융공학의 힘을 빌려 수학적으로 성공할 모델을 만들었고 이를 맹신했다. 그 결과 엄청난 파국을 맞았고 현란한 수학 모델의 허상을 목도하게 됐다. 이 같은 실패는 누구도 이 금융 전문가들이 만들어낸 모델의 가정이 보유한 약점과 위험요소에 대해 시스템적으로 접근해 도전하지 않았던 데에 일차적 문제가 있었다. 또한 월스트리트에 리스크관리위원회가 존재했음에도 불구하고 이런 문제가 발생할 수밖에 없었던 것은 위원회 구성에도 문제가 있었다. 전문가들이 분석하고 설계해 내린 의사결정에 담대히 ‘질문’할 수 있는 힘이 없는 사람들의 모임이었던 월스트리트의 리스크관리위원회는 리스크를 적절히 관리할 힘이 없었고 참담한 결과를 초래했다.

 

다시 NASA의 사례로 돌아오자. NASA의 리스크관리위원회는 발견된 리스크를 발생 가능성과 발생 시 영향력에 따라 구분했다. 리스크 이벤트를 관리하기 위해 시간과 비용을 따로 구분해 보유(reserve)하는 정책도 도입했다. 고위험 리스크 이벤트의 경우 70∼100%의 추가 예산을 배정해 리스크가 발생했을 때 대응하도록 했다. 시간과 비용에 대한 보유 규모가 통제할 수 있는 예산의 범위를 넘어간 경우 프로젝트가 멈추게 되는 정책도 같이 만들었다. 리스크와 관련된 문제를 해결하기 위해 외부의 전문조직을 투입하는 단계도 마련했다. 프로젝트 내 전문가들이 “우리가 해결 못할 문제가 있다”라고 말하지 않는 특성 때문에 특별히 고안된 제도다. 이미 높은 위험도를 보이는 이벤트는 내부 전문가가 통제하기 어려운 범위를 넘어선 것이다. 따라서 외부의 전문가팀을 투입함으로써 이 문제를 보다 빠른 시간 안에 해결하도록 한다는 취지다. 이처럼 외부 팀을 투입할 수 있는 배경에는 시간과 비용을 보유한 이전 단계의 정책이 있기 때문에 가능했다. 이와 같은 리스크 관리를 통해 NASA는 화성탐험에서 우주선을 안전하게 착륙시킬 수 있었다.
 
NASA의 리스크 관리를 요약하면 리스크를 받아들이도록 하는 조직문화를 먼저 만들고 이후 리스크를 판별했으며 시간과 비용의 보유를 통해 주요 리스크를 외부전문가와 함께 해결하는 방안으로 진행했다.
 

그러면 카테고리 2 리스크에서 KPI는 어떻게 도출하며 관리할 수 있는가? 먼저 전략의 핵심 성공요소와 이를 가능케 하는 동인(driver)을 정리하는 데에서부터 출발해야 한다. 병원에서 활용할 수 있는 KPI의 사례를 예로 든 <그림 1>을 참조하자. 환자의 내원을 확대하기 위해서는 △진료 예약시간 △환자 입원 수속 △응급실의 수용능력과 업무흐름관리가 가장 중요한 성공요소다. 이 중 진료 예약시간이 효과적으로 운영되기 위한 동인은 △예약 가능상태에 대한 정보제공 △진료 예약 소요시간 △적절한 진료예약 등을 꼽을 수 있다. 이렇게 요소별 주요 동인이 도출되면 각 동인별로 KPI 풀(pool)을 구성해 제시한다. 예를 들어 예약 가능 상태에 대한 정보 제공 동인을 측정하기 위한 KPI는 △진료 과목별 회의시간 안내 △일일 환자 통계 등이 될 것이다. 또 적절한 진료예약 여부를 측정하기 위해서는 △진찰 예약 시도 횟수 △진료과목별 수용 능력 등을 KPI로 활용할 수 있다.
 

 

다음 단계로 각 동인별 발생 가능한 위험 사건(risk event)을 도출하고 개별 위험 사건 관리를 위한 지표를 설정해 핵심리스크지표(KRI·Key Risk Indicator)로 지정한다.(그림 2) 이렇게 해놓으면 조직에서 관리되는 KPI를 달성하지 못했을 때 어떤 위험 사건과 연계돼 있는지 분석할 수 있어 전략 성과관리를 위한 KPI와 전략 성과를 방해하는 리스크 관리를 동시에 진행할 수 있게 된다.
 
카테고리 3 리스크와 KPI
카테고리 3 리스크는 경영진이 예측할 수 없고 영향력을 미칠 수도 없는 외부 환경 리스크를 의미한다. 하지만 발생할 경우 전체 전략을 붕괴시킬 수 있고 조직의 존폐에 영향을 미칠 수 있기 때문에 관리할 필요성이 있는 영역이다.
 
카테고리 3 리스크는 크게 두 가지 방향으로 관리할 수 있다. 첫 번째는 시나리오 경영이다. 미래에 발생할 수 있는 상황을 시나리오별로 예측하고 이에 따라 어떻게 대응해야 할지를 결정한다. 특히 시나리오 경영에 워게임(war game)을 적용하면 더욱 효과적으로 리스크를 관리할 수 있다. 경쟁자의 움직임을 예측하고 이에 대응하는 과정을 통해 현재 보유한 전략의 문제점 및 약점을 보완할 수 있는 기회를 얻을 수 있기 때문이다.
 
또 다른 방법은 전략회의에서 발생 가능성이 낮고 예측하기 어렵지만 일단 위험이 발생하면 큰 영향을 끼치는 ‘꼬리 리스크(tail risk)’를 정기적으로 점검해보는 방식이다. 이 방법은 KRI를 점검하면서 높은 위험도를 보인 사안을 적절히 관리하고 있는지, 새롭게 등장한 위험요소는 없는지를 확인하는 데 유용하다. 또한 주요 외부환경 변수에 따라 시나리오를 점검하고 수정할 필요성은 없는지를 결정하는 데도 도움이 된다.
 
카테고리 3에서 KPI 관리는 외부 환경의 주요 동인을 관리하는 방법으로 진행한다. 정치, 경제, 사회, 기술 분야에서 사업에 영향을 미치게 될 주요 동인을 설정하고 지속적으로 변화 상태에 대한 보고서를 작성해 시나리오와 비교 분석하는 작업이 필요하다. 활용 가능한 지표로는 ‘각 동인별 보고서 작성 수’ ‘동인 분석 회의 수’ 등을 꼽을 수 있다.
정종섭 웨슬리퀘스트 대표이사 jungjs@wesleyquest.com
김정윤 웨슬리퀘스트 매니저 jykim@wesleyquest.com
동아비즈니스리뷰 350호 Smart Worcation 2022년 08월 Issue 1 목차보기