Risk & Opportunity in 2012 - 리스크

위기 관리의 새 패러다임 리스크 인텔리전스 경영

100호 (2012년 3월 Issue 1)

 
 
 

 

‘인생은 짧고 예술은 길다’는 히포크라테스의 명언 후반에는 ‘기회는 쉽게 달아나고 경험에 오롯이 의존할 수 없으니 판단은 어렵기만 하다(Opportunity fleeting, experience misleading, and judgment difficult)’는 말이 이어져 있다. 2012년 현재 기업 경영진의 심정은 당시 히포크라테스의 근심과 크게 다르지 않을 것이다.
 
기업의 최고경영자라면 복잡성을 관리하고 불확실성을 줄이고 싶어하는 것은 물론 예측 불가능한 미래, 특히 언제 다가올지 모르는 치명적 리스크(Next Killer Risk)나 엄청난 기회에 미리 대비할 수 있기를 원한다. 하지만 실제로 리스크 관리가 무엇이냐고, 그리고 이를 위해 무엇을 준비하고 있냐고 물으면 매번 다른 대답을 듣는다.
 
이는 ‘리스크’ 또는 ‘위기’라는 것이 매우 오랫동안 폭넓게 회자돼왔고 기업 비즈니스 영역에서 항상 존재했지만 이에 대한 뚜렷한 기준이나 정의, 그리고 관리를 통해 달성하려는 목표 등이 명확하지 못하기 때문일 것이다. 결국 리스크 관리가 기업의 필수 기능과 경쟁력으로 주목을 받게 된 지 꽤 오래됐는데도 불구하고 아직 많은 기업들이 리스크를 총체적으로 관리하지 못하고 모든 관점과 분야에서 적당히 평가하거나 기회와 가치 창출을 위해 지혜롭게 대처하지 못하고 있다는 것을 반증하는 셈이다.
 
Risk & Opportunity - 기업 가치보호 vs. 가치창출
기업은 이미 갖고 있는 가치를 보호하는 것과 새로운 가치를 창출하는 것 등 두 가지 도전에 항상 직면한다. 가치를 창출하기 위해서는 보상을 가져다줄 수 있는 계산된 리스크를 수용해서 기회를 포착하고 잡을 수 있어야 한다. “미래를 예측하는 가장 좋은 방법은 이를 만들어내는 것이다(The best way to predict the future is to create it)”는 피터 드러커의 말은 이를 잘 설명해준다.
 
가치 보존과 가치 창출은 모두 보상 없는 리스크를 회피하고 보상 있는 리스크를 성공적으로 추구할 수 있는 기업의 능력에 좌우된다. 이런 능력은 결국 두 종류의 리스크와 그 원천을 구분하는 역량에 달려 있다. 일반적으로 보상 없는 리스크(unrewarded risk) 1  는 부정적인 측면만 표현한다. 보상 없는 리스크는 기업을 손실이나 실패 혹은 이익이 수반되지 않는 처벌의 가능성에 노출시킨다. 반대로 보상 있는 리스크(rewarded risk) 2  는 부정적인 측면과 함께 이익을 획득할 수 있는 기회를 동시에 표현한다. 보상 있는 리스크는 가치를 창출하고 새로운 가치를 추구하는 의사결정과정과 거의 항상 함께한다.
 
 
Risk Intelligence Platform, 리스크와 기회를 보는 통합적 관점
전통적인 리스크 관리는 리스크를 전략적인 의사결정에서 분리해서 별도로 관찰하려는 경향을 가진다. 또 재무적 손실 가능성을 주로 고려하며 브랜드 가치나 평판 등 무형의 리스크는 고려 대상에서 제외하려는 경향이 있었다.
 
이러한 경향은 회사 이미지에 부정적인 영향을 미치는 사건이 발생했을 때 리스크 관리 담당자들이 언론매체나 일반대중을 상대로 적절히 대응하지 못하는 원인으로 작용했다. 결국 전통적 리스크 관리는 단편적으로 세분화되고 사업 부문이나 기능별로 격리돼(silos) 전사적인 전략과 실행, 운용 전반에 걸친 통합이 결여됐다.
 
불확실성과 혼돈의 시대에 생존하고 번영하기 위해서는 틀에 얽매이지 않은 사고(unconventional thinking)와 계산된 리스크의 수용(calculated risk taking)이 필요하다. 기업은 전사적인 관점에서 이해돼야 하고 살아 있는 유기체로 여겨져야 한다. 리스크는 단순히 비용으로 여겨지는 것이 아니라 최적화하거나 진취적으로 활용할 수 있는 기회로도 인식돼야 하고 상호 연결되고, 그 발생을 억제하기 어려운 것으로 여겨져야 한다. 따라서 리스크 인텔리전스 경영 체계를 도입하기 위한 원칙과 방법론 4   역시 모든 상황에 공통적으로 적용되는, 즉 one size fits all 형태로 적용할 수 있는 것이 아니고 해당 기업의 비즈니스 활동, 조직, 문화의 특성에 맞게 다양한 형태로 가능할 수 있다. 여러 방법 중에 여기서는 리스크를 규제(M, Mandate), 가치(V, Value), 리스크(R, Risk), 프로세스(P, Process) 5  라는 4가지 관점에서 집합적으로 보는 방법 중 하나를 소개한다. (그림 1)
 

 

 
대기업과 같이 어느 정도 규모가 있는 조직은 일반적으로 상상하는 것보다 훨씬 복잡하게 업무가 진행된다. 여러 가지 이유가 있겠지만 회사가 수많은 제약조건에 노출된 비즈니스 환경하에서 운영된다는 점도 이유 중 하나다. 높은 수준의 복잡성은 불확실성 때문에 더욱 증폭된다. 불확실성하에서는 어떤 사실이 일어나기 직전까지 긍정적인 영향을 받을지 혹은 부정적인 영향을 받을지 파악하는 것이 매우 어렵다. 회사가 영향받을 수 있는 모든 상황을 미리 파악하기 위해 리스크 맵(Risk Map)과 같은 방법을 사용할 수 있지만 이것도 완벽할 수는 없다. 왜냐하면 리스크는 진정한 리스크 기반의 의사결정을 하기 위해 계속해서 역동적으로 분석해야 하는, 상호의존적인 변수들로 구성되기 때문이다. (물론 아주 드물게 독립적인 변수로 존재하는 경우도 있다.)
 
<그림1>에서 가운데 빨간색으로 표시된 기업의 리스크(r)를 생각해 보자. 일차적으로 생각해 보면 리스크는 Risk View 관점에서 그림 상단의 리스크 맵에서 정의하고 있는 회사 운영 리스크의 HR 급여(payroll)에만 존재하는 것으로 제한할 수 있다. 하지만 왼쪽 Regulatory View 측면에서 보면 Sarbanes Oxley Act와 같은 법률, 규제와도 뚜렷한 연관성을 가지고 있다. 뿐만 아니라 Enterprise Value 측면에서도 기업 운영비용(SG&A, Selling, General & Administrative Expense) 관련 가치 및 성과지표와 관련성을 찾아낼 수 있다(그림에서 하단 Value View 부문). 마지막으로 Process View를 통해 보수 및 보상관리 프로세스에 있어 정확하지 않은 급여 프로세스로 인한 프로세스 리스크까지 존재한다. 이처럼 규제, 가치, 리스크, 프로세스 관점을 통해 최초 Risk View 관점에서 놓쳤던 법무(Legal) 부문과 재무(Finance & Accounting) 부문 관련 리스크를 재고할 수 있는 효과가 있다는 것을 알 수 있다.
 
즉 전체적인 프로세스, 가치, 규제, 요구사항 및 리스크를 통합하는 Risk Platform 방법으로 리스크를 어떻게 관리하고 대응해야 할지를 효과적으로 도출할 수 있다. (그림 2)
 
 

 
리스크의 개념을 기업가치 창출의 ‘기회’로 보고 전사적으로 통합된 관점에서 관리하는 활동을 ‘리스크 인텔리전스(Risk Intelligence)’ 경영 3  이라고 한다. 리스크 인텔리전스 개념을 기반으로 이를 모범적으로 실천하는 기업은 일반적으로 다음과 같은 특징을 갖고 있다.
가치와 리스크에 관한 논의를 기업 경영과 분리할 수 없다는 것을 이해한다.
리스크 관리는 기존의 자산을 보호하고 미래의 가치를 창출할 수 있도록 기업 활동에 내재화해야 한다는 것을 이해한다.
강한 불안정성(극단적인 상황을 포함)을 피할 수 없다고 가정해서 예방과 대비를 강조한다.
산업, 전략, 법규 준수, 경쟁상황, 금융, 보안, 재무보고, 운용, 환경, 국가 리스크 등 기업을 둘러싸고 있는 광범위한 기회와 리스크에 경계를 늦추지 않는다.
리스크 관리와 통제 사이에 균형과 합목적성을 유지해야 한다는 필요성과 사업 부문별 전문화의 필요성을 인정한다.
한 가지 리스크나 사건에 집중하기보다는 여러 리스크 간 상호작용을 고려하고 복수의 위협으로부터 발생할 수 있는 영향을 고려한다.
가치와 리스크에 대해 회사 내 모든 임직원들이 이해할 수 있는 공통언어를 개발하고 임직원이 모든 중요한 의사결정과 활동에서 가치와 리스크에 대해 책임지는 문화를 조성한다.
실패에 대한 두려움을 제거해서 리스크를 회피하려고만 하기보다 가치창출을 위해 수용하는 것을 장려한다.
리스크 인텔리전스는 기업이 직면하는 중요한 기회와 리스크를 확인하고 논의하며 측정하고 관리하는 합리적인 접근법을 가능케 한다. 이사회, 최고경영진, 리스크 관리자, 부문 관리자와 직원들의 행동을 조화시켜서 기업이 직면한 리스크에 대한 다양한 관점을 통합하고 이를 통해 보다 나은 통찰력을 제공한다. 이를 통해 최고경영진이 관리대상이 되는 리스크의 우선순위를 결정하고 이에 따라 리스크 관리를 위한 내부 자원을 효과적으로 배분할 수 있도록 한다.
  
출처: Surviving and Thriving in Uncertainty - Creating the Risk Intelligent Enterprise, Frederick Funston, Stephen Wagner, Wiley, Deloitte 2010

 
리스크 인텔리전스 9가지 구축 원칙
1. 리스크 지배구조 Risk Governance: Common Definition of Risk (조직 전반에 걸쳐 일관성 있게 적용되는 공통된 리스크 정의 (기업가치 보전 및 창출 관점)) / Common Risk Framework (적절한 기준(COSO, ISO 등)에 근거한 리스크 관리체계의 수립) / Roles & Responsibilities (리스크 관리와 관련된 핵심 역할, 책임 및 권한의 명확한 정의 및 공유) / Governing Bodies Responsibility (리스크 관리에 대한 효과적인 감독기능 (이사회, 감사위원회))
2. 리스크 인프라 & 관리 Risk Infrastructure & Management: Common Risk Infrastructure (사업부서 단위의 리스크관리 업무를 지원하는 공통의 리스크 관리 기반구조 (인력, 프로세스, 시스템 등) 구축) / Executive Management Responsibility (효과적인 리스크 관리 체계의 설계, 운영 및 유지에 대한 경영진의 책임 정의) / Objective Assurance and Monitoring (리스크 관리체계의 효과성에 대한 객관적 확신을 제공하기 위한 조직 설계(내부감사, 준법관리, 리스크 관리 등))
3. 리스크 오너쉽 Risk Ownership: Business Unit Responsibility (경영진의 지침과 공통의 리스크 관리체계에 따라 관리활동을 수행하기 위한 사업부서 및 업무담당자의 역할 및 책임 정의) / Support of Pervasive Functions (사업부 리스크관리활동을 지원하고 전사적인 리스크 관리 체계와 전략적으로 연계되는 지원기능의 역할 및 책임 정의 (인사, 재무, IT, 세무, 법무 등))
  
듀폰(DuPont)의 리스크 인텔리전스 경영 - 생존과 성장의 펀더멘털
혁신의 대명사, 트랜스포머와 같은 변신의 귀재 등으로 잘 알려져 있는 글로벌 기업 듀폰(DuPont)은 2004년 당시 매출의 4분의 1을 차지하고 있던 섬유사업 매각을 선언하면서 209년이라는 초장수 기업 역사상 가장 큰 도박을 했다. 화학기업에서 벗어나 바이오, 대체에너지사업에 집중 투자해서 결국 종합과학기업으로의 대변신에 성공한 것이다.
 
물론 2009년 금융위기의 한파로 공장 100개를 폐쇄하고 직원의 15%를 줄이는 가혹한 구조조정을 단행하는 시련도 겪었지만 이때도 흔들림 없이 신사업 투자에 대한 리스크를 줄이지 않았다. 회사의 명운이 걸릴 정도로 굵직굵직한 전략적 행보가 가능했던 배경에는 바로 리스크 인텔리전스 경영이라는 강력한 펀더멘털이 있었다.
 
듀폰 리스크 관리의 특징으로는 첫째, 리스크 관리가 전사 차원의 전략이며 회사의 모든 임직원이 리스크 관리에 책임을 진다는 통합적 리스크 관리의 관점(An Integrated View of Risk Management)을 들 수 있다. 또한 방대한 지식을 갖춘 수천 명 임직원의 리스크 관리 경험을 데이터베이스화하며 이런 내용들이 모여 다시 새로운 가치를 창출해내는 지식경영 시스템이 갖춰져 있다.
 
 
둘째, 주요 정보자산과 임직원 안전을 아우르는 전체적인 개념의 보안과 ‘무사고’를 최고의 목표로 하는 안전성, 환경보호, 그리고 인간 존중을 기반으로 하는 높은 윤리성 원칙을 기업 가치와 문화로 확고히 하고 모든 임직원이 같은 가치를 공유하는 지속가능성(sustainability)의 내재화다.
 
셋째, 복잡성 관리다. 듀폰은 리스크 맵을 통해 기업이 영향을 받을 수 있는 가능한 모든 상황을 파악하고 이를 통해 기업의 운영과 리스크의 복잡성 및 연계성을 정리하고 관리한다. (그림3)
 

100_pic7
 
[그림3] 듀폰 리스크 맵 7

넷째, 평상시 리스크 관리뿐 아니라 위기상황에서 실질적으로 작동될 수 있는 대응역량의 확보다. 기계 및 시설 운영, R&D, 공급망 관리, 고객 관리 등 Value Chain상 발생하는 예상치 못한 사건, 사고에 가장 효과적으로 대비할 수 있는 복원력(Resilience)과 시장, 기업환경의 급격한 변화에 대한 신속하고 유연한 대응을 하는 민첩성(Agility), 그리고 위기를 최대한 예방하되 이를 넘어서는 상황이 발생하는 경우 가동되는 강력한 위기관리계획(Crisis Management Plan, 실제로 9.11 사태와 2009년 금융위기에서 가동된 바 있다. 실제로 위기상황을 감지하게 되면 듀폰은 각자의 책임에 따른 전문 경영진으로 구성된 17개의 위기대응팀이 필요 시 30분 이내 바로 가동된다고 한다)의 고도화다.
 
다섯째, 복잡성과 불확실성을 관리하면서 얻을 수 있는 교훈에 대한 학습을 적극 활용하여 실수가 재발하지 않도록 막고 목표달성의 가능성을 증가시키는 교훈습득(lesson learned) 체계다.
 
마지막으로 이러한 리스크 인텔리전스 경영의 주요 요소를 공고히 할 수 있도록 오랜 기간 체득한 모범실천관행(Best Practice)을 기반으로 업무원칙과 표준을 수립하고 이를 지속적으로 훈련하는 강력한 운영원칙(Operating Discipline)이 있다. 더불어 전사적 리스크 관리 역량을 공고히 하기 위해서 올바른 방향성을 제시하는 중장기적 목표 설정이 핵심가치 및 원칙과 일관돼야 한다는 점을 강조한다.
 
히포크라테스가 우리에게 일깨워 준 것처럼 판단은 언제나 어려운 일이다. 국내 기업들 역시 리스크 경영, 위기관리를 화두로 삼고 많은 고민을 하고 있지만 크게 흔들리는 시장과 기업환경 변동에 대응하기는 만만한 일이 아니다. 그리고 이런 상황은 당분간 크게 바뀌지 않을 것이다. 적어도 듀폰과 같이 강력한 리스크 인텔리전스 경영의 펀더멘털을 강화하는 노력을 꾸준히 하지 않는다면 말이다.
 
리스크 인텔리전스 경영을 실천하면서 기업은 시시각각 변하는 불확실한 환경에 미리 대비할 수 있다. 위기상황에서는 보다 나은 판단을 내리고, 이를 통해 시장에서 경쟁우위와 기회를 확보할 수 있다. 나아가 경쟁회사들에 ‘블랙스완(Black Swan)’과 같은 존재로 느껴지게 할 수도 있을 것이다.
 
 

 
기업의 리스크 인텔리전스 수준을 평가할 때 참고할 수 있는 하나의 방법을 소개한다. 정교한 과학적 방법에 근거한 진단이라기보다는 사고체계를 구조화하고 기업의 현황을 논의할 수 있는 출발점으로 어떤 부문에 문제가 있는지 짚어내는 데 유용하게 활용할 수 있다. 각 영역에 대한 기업의 역량을 1∼5의 척도로 평가해서 완성하는데 1∼5의 점수가 의미하는 바는 다음과 같다.
 
1. 역량 부족 Lacking the capability
2. 일부 역량을 보유 Somewhat capable
3. 보통 수준 Fairly capable
4. 상당한 역량을 확보 Quite capable
5. 높은 수준 Highly capable
 
 
위 표를 적용한 평가결과는 대략 아래와 같이 해석할 수 있다:
20∼36=초기수준 Initial. ‘초기’ 단계의 기업은 다음과 같은 특징이 있다:
리스크에 대한 임시변통적 대응 혹은 혼돈에 빠져 적절한 대응 불가
구두로 전해 내려오는 관행이 있으나 명확히 정의된 정책 및 절차가 거의 없음
기회를 포착하지 못한 경험이 존재하며 반복되는 문제에 대해 일관성 없는 대응
개인의 능력이나 역량 혹은 구두로 전해 내려오는 과거의 방식에 기반한 대응
경험으로부터 교훈을 거의 얻지 못함
생존 자체가 위험에 처할 수 있음
 
37∼53=부문별 관리 Fragmented. ‘부문별’로 관리하는 기업은 다음과 같은 특징이 있다:
부정적인 사건이나 기회에 대한 개인 혹은 개별 전문가 차원의 대응
일부 리스크에 대해서만 정의된 제한적인 경영진의 역할
조직적인 대응의 부족
리스크와 가치에 대한 공통언어의 부족
학습은 주로 부문별로 이뤄지며 전사적인 차원에서 지식공유가 이뤄지지 않음
하나의 위기 후 또 다른 위기로 이어지는 등 다수의 위기를 경험할 가능성
생존할 수는 있으나 장기적으로 성공할 가능성은 낮음
 
54∼70=경영진 주도Top-Down. ‘경영진이 주도’해서 관리하는 기업의 특징은 아래와 같다:
최고경영진의 확고한 의지 및 명확한 가치관 존재
정책, 절차 및 리스크 권한에 대해 잘 정의되고 공유되는 공식적인 체계가 존재
리스크 관리에 대한 사업 부문별 책임의 정의
리스크 평가 시 질적인 요소를 중요하게 고려
일부 지식의 공유와 사전대응을 제외하고는 대부분 사후 대응
생존하고 성장할 수 있는 가능성 높음
 
71∼86=통합적 관리수준 Integrated. ‘경영진 주도’로 관리하는 기업의 특징에 더해 ‘통합적’인 조직은 다음과 같은 특징이 있다:
정적인 사건과 기회가 되는 사건 모두에 대해 통합된 사전예방적 대응
성과와 연계된 리스크 및 가치 평가지표 (비계량 및 계량)
리스크와 기회에 대한 시의적절하고 신속한 보고
문화적인 변환 진행 중
하향식뿐만 아니라 상향식 의사소통
생존하고 성장할 수 있는 가능성 매우 높음
 
87∼100=리스크 인텔리전트 Risk Intelligent. ‘경영진 주도’와 ‘통합적’ 관리조직의 특성에 더불어 ‘리스크 인텔리전스에 기반한’ 기업은 다음과 같은 특징이 있다:
● ‘감성(Felt)’ 리더십과 경영진과 중간관리자를 비롯한 전임직원의 적극적인 의지
중요한 리스크와 가치요인이 모든 중요한 의사결정과정에 내재화(리스크 관리와 가치창출을 모든 임직원의 업무로 인식)
리스크 인텔리전스 기법을 도입하고 그 결과 높은 수준의 경계와 대비수준을 유지
환경 혹은 사업 내 잠재적 변화의 신호를 효과적으로 감지
리스크 대응활동을 인센티브와 연동
생존하고 성공하는 가능성을 높이는 지속 가능한 사업모델 및 리스크 관리절차
 
위의 평가를 실무 담당자뿐 아니라 경영진과 이사회 구성원들의 평가결과도 함께 고려하는 것을 강력하게 권고한다. 이를 통해 기업의 현재 역량에 대한 공통적인 이해기반을 다져나갈 수 있으며 리스크 인텔리전스를 개선시키기 위한 변혁을 할 때 우선 순위에 대한 공통적인 시각을 확보할 수 있기 때문이다. 6 
 
 
 
 
유종기 딜로이트 기업리스크자문본부 이사 jongkiyoo@deloitte.com
고려대 국제대학원을 졸업하고 전국경제인연합회 산업전략 조사역을 거쳐 IBM에서 전략 컨설팅 업무를 담당했다. 현재 딜로이트에서 기업 위기관리와 지속가능경영 컨설팅 서비스를 담당하며 국내 주요 그룹사와 대기업을 자문하고 있다.
 
참고문헌
● Global Risks 2012 Seventh Edition, World Economic Forum
● The Risks of 2012, Risk and Insurance Management Society (RIMS)
● Surviving and Thriving in Uncertainty - Creating the Risk Intelligent Enterprise, Frederick Funston, Stephen Wagner, Wiley, Deloitte 2010.04
● The Risk Platform: 360 Degree View of Risk, Deloitte
● Excellence in Risk Management VIII: Greater Expectations, Greater Opportunities, April 2011, MARSH, RIMS
● The Upside: The 7 Strategies for Turning Big Threats into Growth Breakthroughs, Adrian J. Slywotzky
● How to Build Risk into Your Business Model, Harvard Business Review(HBR), Karan Girotra, Serguei Netessine, 2011.05
● Globalization and Risks for Business, Lloyd’s 360 Risk Insight, Lloyds and The James Martin 21st Century School, University of Oxford, 2011
● OECD Reviews of Risk Management Policies - Future Global Shocks, 2011
● ISO 31000: Risk Management Principles and Guidelines
● Manage Risk and Achieve Resilience, The Council on Competitiveness, U.S.
 
동아비즈니스리뷰 348호 The New Chapter, Web 3.0 2022년 07월 Issue 1 목차보기