‘인생은 짧고 예술은 길다’는 히포크라테스의 명언 후반에는 ‘기회는 쉽게 달아나고 경험에 오롯이 의존할 수 없으니 판단은 어렵기만 하다(Opportunity fleeting, experience misleading, and judgment difficult)’는 말이 이어져 있다. 2012년 현재 기업 경영진의 심정은 당시 히포크라테스의 근심과 크게 다르지 않을 것이다.
기업의 최고경영자라면 복잡성을 관리하고 불확실성을 줄이고 싶어하는 것은 물론 예측 불가능한 미래, 특히 언제 다가올지 모르는 치명적 리스크(Next Killer Risk)나 엄청난 기회에 미리 대비할 수 있기를 원한다. 하지만 실제로 리스크 관리가 무엇이냐고, 그리고 이를 위해 무엇을 준비하고 있냐고 물으면 매번 다른 대답을 듣는다.
이는 ‘리스크’ 또는 ‘위기’라는 것이 매우 오랫동안 폭넓게 회자돼왔고 기업 비즈니스 영역에서 항상 존재했지만 이에 대한 뚜렷한 기준이나 정의, 그리고 관리를 통해 달성하려는 목표 등이 명확하지 못하기 때문일 것이다. 결국 리스크 관리가 기업의 필수 기능과 경쟁력으로 주목을 받게 된 지 꽤 오래됐는데도 불구하고 아직 많은 기업들이 리스크를 총체적으로 관리하지 못하고 모든 관점과 분야에서 적당히 평가하거나 기회와 가치 창출을 위해 지혜롭게 대처하지 못하고 있다는 것을 반증하는 셈이다.
Risk & Opportunity - 기업 가치보호 vs. 가치창출
기업은 이미 갖고 있는 가치를 보호하는 것과 새로운 가치를 창출하는 것 등 두 가지 도전에 항상 직면한다. 가치를 창출하기 위해서는 보상을 가져다줄 수 있는 계산된 리스크를 수용해서 기회를 포착하고 잡을 수 있어야 한다. “미래를 예측하는 가장 좋은 방법은 이를 만들어내는 것이다(The best way to predict the future is to create it)”는 피터 드러커의 말은 이를 잘 설명해준다.
가치 보존과 가치 창출은 모두 보상 없는 리스크를 회피하고 보상 있는 리스크를 성공적으로 추구할 수 있는 기업의 능력에 좌우된다. 이런 능력은 결국 두 종류의 리스크와 그 원천을 구분하는 역량에 달려 있다. 일반적으로 보상 없는 리스크(unrewarded risk) 11기업활동과 관련된 제반 법규를 준수한다거나 정확하고 완전한 공시정보를 적시에 투자자에게 제공하는 것은 전형적으로 보상없는 리스크에 대한 관리에 속한다. 회사 자산의 횡령이나 유용 등 부정행위를 예방하고 적시에 적발할 수 있는 부정방지 프로그램을 운영하는 활동 역시 기업가치 보전을 위한 리스크 관리에 해당된다.닫기는 부정적인 측면만 표현한다. 보상 없는 리스크는 기업을 손실이나 실패 혹은 이익이 수반되지 않는 처벌의 가능성에 노출시킨다. 반대로 보상 있는 리스크(rewarded risk) 22보상 있는 리스크의 관리는 새로운 제품이나 서비스, 사업 모델, 프로세스를 개발하고 새로운 시장에 진출하거나 다른 기업과의 전략적 제휴나 인수합병을 통해 기업의 기존 역량을 보완하는 활동으로 추가적인 가치를 창출하고자 하는 ‘기회’를 관리하는 것과 같다.닫기는 부정적인 측면과 함께 이익을 획득할 수 있는 기회를 동시에 표현한다. 보상 있는 리스크는 가치를 창출하고 새로운 가치를 추구하는 의사결정과정과 거의 항상 함께한다.
Risk Intelligence Platform, 리스크와 기회를 보는 통합적 관점
전통적인 리스크 관리는 리스크를 전략적인 의사결정에서 분리해서 별도로 관찰하려는 경향을 가진다. 또 재무적 손실 가능성을 주로 고려하며 브랜드 가치나 평판 등 무형의 리스크는 고려 대상에서 제외하려는 경향이 있었다.
이러한 경향은 회사 이미지에 부정적인 영향을 미치는 사건이 발생했을 때 리스크 관리 담당자들이 언론매체나 일반대중을 상대로 적절히 대응하지 못하는 원인으로 작용했다. 결국 전통적 리스크 관리는 단편적으로 세분화되고 사업 부문이나 기능별로 격리돼(silos) 전사적인 전략과 실행, 운용 전반에 걸친 통합이 결여됐다.
불확실성과 혼돈의 시대에 생존하고 번영하기 위해서는 틀에 얽매이지 않은 사고(unconventional thinking)와 계산된 리스크의 수용(calculated risk taking)이 필요하다. 기업은 전사적인 관점에서 이해돼야 하고 살아 있는 유기체로 여겨져야 한다. 리스크는 단순히 비용으로 여겨지는 것이 아니라 최적화하거나 진취적으로 활용할 수 있는 기회로도 인식돼야 하고 상호 연결되고, 그 발생을 억제하기 어려운 것으로 여겨져야 한다. 따라서 리스크 인텔리전스 경영 체계를 도입하기 위한 원칙과 방법론 44딜로이트의 리스크 인텔리전스 경영 구축 방법론 참조:The Risk http://www.deloitte.com/view/en_US/us/Services/additional-services/governance-risk-management/acec60d68fe2e210VgnVCM3000001c56f00aRCRD.htmIntelligent Enterprise닫기역시 모든 상황에 공통적으로 적용되는, 즉 one size fits all 형태로 적용할 수 있는 것이 아니고 해당 기업의 비즈니스 활동, 조직, 문화의 특성에 맞게 다양한 형태로 가능할 수 있다. 여러 방법 중에 여기서는 리스크를 규제(M, Mandate), 가치(V, Value), 리스크(R, Risk), 프로세스(P, Process) 55일반적으로 다음과 같이 정의할 수 있으나 반드시 이에 한정되지 않는다. - 규제(M, Mandate): 법률/규제, 표준, IT 관련 법적/감독 요구사항 DB(Requirement Library) 등 / 가치(V, Value): 기 정의된 전사적 가치 사슬 또는 Enterprise Value Map 형태의 가치 정의 내용/ 리스크(R, Risk): 리스크 맵이나 프로파일, pool 등 기업에서 기 정의한 리스크 목록 / 프로세스(P, Process): 내부 통제, 감사 목적으로 주요 비즈니스 프로세스나 사이클, 흐름 상에서 발생 가능한 리스크의 정의 (Control Assurance and Internal Audit focus on risk associated with business processes, cycles)닫기라는 4가지 관점에서 집합적으로 보는 방법 중 하나를 소개한다. (그림 1)
대기업과 같이 어느 정도 규모가 있는 조직은 일반적으로 상상하는 것보다 훨씬 복잡하게 업무가 진행된다. 여러 가지 이유가 있겠지만 회사가 수많은 제약조건에 노출된 비즈니스 환경하에서 운영된다는 점도 이유 중 하나다. 높은 수준의 복잡성은 불확실성 때문에 더욱 증폭된다. 불확실성하에서는 어떤 사실이 일어나기 직전까지 긍정적인 영향을 받을지 혹은 부정적인 영향을 받을지 파악하는 것이 매우 어렵다. 회사가 영향받을 수 있는 모든 상황을 미리 파악하기 위해 리스크 맵(Risk Map)과 같은 방법을 사용할 수 있지만 이것도 완벽할 수는 없다. 왜냐하면 리스크는 진정한 리스크 기반의 의사결정을 하기 위해 계속해서 역동적으로 분석해야 하는, 상호의존적인 변수들로 구성되기 때문이다. (물론 아주 드물게 독립적인 변수로 존재하는 경우도 있다.)
<그림1>에서 가운데 빨간색으로 표시된 기업의 리스크(r)를 생각해 보자. 일차적으로 생각해 보면 리스크는 Risk View 관점에서 그림 상단의 리스크 맵에서 정의하고 있는 회사 운영 리스크의 HR 급여(payroll)에만 존재하는 것으로 제한할 수 있다. 하지만 왼쪽 Regulatory View 측면에서 보면 Sarbanes Oxley Act와 같은 법률, 규제와도 뚜렷한 연관성을 가지고 있다. 뿐만 아니라 Enterprise Value 측면에서도 기업 운영비용(SG&A, Selling, General & Administrative Expense) 관련 가치 및 성과지표와 관련성을 찾아낼 수 있다(그림에서 하단 Value View 부문). 마지막으로 Process View를 통해 보수 및 보상관리 프로세스에 있어 정확하지 않은 급여 프로세스로 인한 프로세스 리스크까지 존재한다. 이처럼 규제, 가치, 리스크, 프로세스 관점을 통해 최초 Risk View 관점에서 놓쳤던 법무(Legal) 부문과 재무(Finance & Accounting) 부문 관련 리스크를 재고할 수 있는 효과가 있다는 것을 알 수 있다.
즉 전체적인 프로세스, 가치, 규제, 요구사항 및 리스크를 통합하는 Risk Platform 방법으로 리스크를 어떻게 관리하고 대응해야 할지를 효과적으로 도출할 수 있다. (그림 2)
리스크의 개념을 기업가치 창출의 ‘기회’로 보고 전사적으로 통합된 관점에서 관리하는 활동을 ‘리스크 인텔리전스(Risk Intelligence)’ 경영 33성공적인 리스크 인텔리전스 경영을 위한 10가지 기법에 대한 상세한 내용과 관련 사례는 ‘리스크는 가치창출의 원천이다’ 불확실성의 시대에 기업 생존 및 성장을 위한 리스크 접근법은? 77호(2011.03.15), 동아비즈니스리뷰 [Deloitte Review] Risk Intelligent Decision-Making: Ten essential skills for surviving and thriving in uncertainty / ‘질주하는 기업에 리스크는 필수, 피하지 말고 부딪쳐라’ 불확실성 시대, 기업의 리스크 접근법은? 동아일보 DBR 스페셜 2011년 3월26일자 참조.닫기이라고 한다. 리스크 인텔리전스 개념을 기반으로 이를 모범적으로 실천하는 기업은 일반적으로 다음과 같은 특징을 갖고 있다.
● 가치와 리스크에 관한 논의를 기업 경영과 분리할 수 없다는 것을 이해한다.
● 리스크 관리는 기존의 자산을 보호하고 미래의 가치를 창출할 수 있도록 기업 활동에 내재화해야 한다는 것을 이해한다.
● 강한 불안정성(극단적인 상황을 포함)을 피할 수 없다고 가정해서 예방과 대비를 강조한다.
● 산업, 전략, 법규 준수, 경쟁상황, 금융, 보안, 재무보고, 운용, 환경, 국가 리스크 등 기업을 둘러싸고 있는 광범위한 기회와 리스크에 경계를 늦추지 않는다.
● 리스크 관리와 통제 사이에 균형과 합목적성을 유지해야 한다는 필요성과 사업 부문별 전문화의 필요성을 인정한다.
● 한 가지 리스크나 사건에 집중하기보다는 여러 리스크 간 상호작용을 고려하고 복수의 위협으로부터 발생할 수 있는 영향을 고려한다.
● 가치와 리스크에 대해 회사 내 모든 임직원들이 이해할 수 있는 공통언어를 개발하고 임직원이 모든 중요한 의사결정과 활동에서 가치와 리스크에 대해 책임지는 문화를 조성한다.
● 실패에 대한 두려움을 제거해서 리스크를 회피하려고만 하기보다 가치창출을 위해 수용하는 것을 장려한다.
리스크 인텔리전스는 기업이 직면하는 중요한 기회와 리스크를 확인하고 논의하며 측정하고 관리하는 합리적인 접근법을 가능케 한다. 이사회, 최고경영진, 리스크 관리자, 부문 관리자와 직원들의 행동을 조화시켜서 기업이 직면한 리스크에 대한 다양한 관점을 통합하고 이를 통해 보다 나은 통찰력을 제공한다. 이를 통해 최고경영진이 관리대상이 되는 리스크의 우선순위를 결정하고 이에 따라 리스크 관리를 위한 내부 자원을 효과적으로 배분할 수 있도록 한다.
출처: Surviving and Thriving in Uncertainty - Creating the Risk Intelligent Enterprise, Frederick Funston, Stephen Wagner, Wiley, Deloitte 2010
리스크 인텔리전스 9가지 구축 원칙
1. 리스크 지배구조 Risk Governance: Common Definition of Risk (조직 전반에 걸쳐 일관성 있게 적용되는 공통된 리스크 정의 (기업가치 보전 및 창출 관점)) / Common Risk Framework (적절한 기준(COSO, ISO 등)에 근거한 리스크 관리체계의 수립) / Roles & Responsibilities (리스크 관리와 관련된 핵심 역할, 책임 및 권한의 명확한 정의 및 공유) / Governing Bodies Responsibility (리스크 관리에 대한 효과적인 감독기능 (이사회, 감사위원회))
2. 리스크 인프라 & 관리 Risk Infrastructure & Management: Common Risk Infrastructure (사업부서 단위의 리스크관리 업무를 지원하는 공통의 리스크 관리 기반구조 (인력, 프로세스, 시스템 등) 구축) / Executive Management Responsibility (효과적인 리스크 관리 체계의 설계, 운영 및 유지에 대한 경영진의 책임 정의) / Objective Assurance and Monitoring (리스크 관리체계의 효과성에 대한 객관적 확신을 제공하기 위한 조직 설계(내부감사, 준법관리, 리스크 관리 등))
3. 리스크 오너쉽 Risk Ownership: Business Unit Responsibility (경영진의 지침과 공통의 리스크 관리체계에 따라 관리활동을 수행하기 위한 사업부서 및 업무담당자의 역할 및 책임 정의) / Support of Pervasive Functions (사업부 리스크관리활동을 지원하고 전사적인 리스크 관리 체계와 전략적으로 연계되는 지원기능의 역할 및 책임 정의 (인사, 재무, IT, 세무, 법무 등))
닫기
