Top
검색버튼 메뉴버튼

Risk Management

발생가능성 5%... 리스크전문가가 필요하다

김중구 | 123호 (2013년 2월 Issue 2)

 

본문

불산 누출사고, 대기업의 법정관리, 그룹 총수의 구속…. 많은 CEO와 경영자들은 자신들의 기업에 이런 이벤트가 발생하지 않은 것에 대해 가슴을 쓸어 내릴 것이다. 그러나 명심해야 할 점은 이와 같은 최악의 리스크 이벤트가 언제 어느 기업에도 발생할 수 있다는 사실이다. 경영자는 사고의 발생 가능성과 영향력을 회사가 감당할 수 있는 수준으로 낮추기 위해 노력할 뿐이다. 그 노력의 시작은 지금 당장 기업리스크관리체계를 실행하고 CRO(Chief Risk Officer·최고리스크담당자)를 선임하는 것이다.

 

경북 구미 불산 누출사고는 작업자가 안전규정을 지키지 않은 것이 원인이었다. CCTV 영상에 의하면 작업자 2명이 불산이 든 20톤 탱크로리 위에서 호스를 연결하다 사고를 당했다. 작업자들이 원료 밸브를 열어 둔 채 에어 호스를 연결하다 원료를 차단하는 손잡이를 발로 밟으면서 불산이 분출된 것이다. 리스크관리에서 이런 것을 운영리스크라고 한다. 운영리스크는 부적절한 기업 내부의 인력, 시스템, 프로세스 등 내부요인과 나아가 외부 인력, 재해 등 외부요인에 의해 발생한 사건으로 인해 손실을 입을 가능성이다. 불산 누출사고는 내부인력인 작업자가 안전규정을 준수하지 않는 실수를 저질러 발생한 사고인 기업운영리스크 이벤트인 것이다. 작은 기업에서 일하는 한 작업자의 실수가 엄청난 재앙을 불러왔다. 이런 리스크 상황이 언제든 발생할 수 있는 현대사회를 독일의 사회학자 울리히 벡은 위험사회(risk society)라고 규정했다.

 

지난해 웅진그룹의 법정관리사태는 이른바 자본리스크 상황의 발생이다. 자본리스크는 손실을 감내할 여력, 즉 경제적 자본이 고갈되는 리스크다. 웅진그룹은 웅진코웨이라는 훌륭한 수익모델을 가진 그룹의 핵심기업이 존재함에도 불구하고 그룹의 신수익 모델로 편입한 건설과 태양광발전 사업의 손실을 감당하지 못해 자본리스크가 발생했다. 이를 유동성리스크라고 오인하기도 한다. 유동성리스크는 일시적인 현금유동성 경색에서 발생하는 리스크인데 웅진그룹은 이미 수차례 유동성리스크를 가까스로 극복하다가 결국 자본리스크라는 수순을 밟게 된 것이다. 신사업 추진에 따른 손실 가능성이 이를 감당해 줄 경제적 자본을 훨씬 상회한 것이다.

 

일반적으로 기업리스크는기업경영에 부정적인 영향을 줄 수 있는 5% 이하의 발생가능성을 가진 모든 사건을 말한다. 일반적인 상황에서 흔히 발생할 (5% 이상) 가능성이 있는 사건은 일상적인 경영활동으로 관리되므로 리스크라고 하지 않는다. 현대의 기업활동은 리스크를 받아들이고 그 대가로 수익을 얻는 것이라고 할 수 있다. 리스크는 현대 기업의 숙명인 동시에 수익모델인 셈이다. 그러나 리스크를 소홀히 생각하고 있다가 막상 리스크 이벤트를 만나면 후회하는 경우가 많다. 소 잃고 외양간 고치기를 되풀이하지 않는 방법이 바로 전사적 기업리스크관리(ERM·Enterprise Risk Management). ERM은 다섯 가지 기본체계인 조직, 전문인력, 규정, 프로세스, 시스템을 구축하는 것이다. 이를 위해 CRO, 즉 임원급 최고리스크관리자를 선임해 CEO를 보좌하며 ERM 체계를 도입하고 현업부서를 컨설팅하도록 해야 한다.

 

미국에서는 1990년대에 ERM이 주목받기 시작했다. 기업뿐 아니라 미국 의회의 위원회인 COSO(Committee of Sponsoring Organizations of the Treadway Commission)에서도 2001년 리스크관리 프레임워크에 관해 연구한 바가 있다. 반면 국내 기업에는 아직 ERM이 널리 도입되지 못하고 있다. 위기관리(Crisis Management), 환리스크관리 등 부분적인 리스크관리는 하고 있는 기업들이 있지만 기업의모든리스크를 빈틈없이 관리하고자 하는 ERM을 구축한 기업은 보기 힘들다.

 

리스크관리는 사전(事前), 체계적, 효율적이어야 한다. 체계적이란 기업활동에 영향을 주는 모든 리스크를 빈틈없이 관리해야 한다는 의미이며 효율적이란 리스크 대응과 관련한 비용(cost)-효익(benefit)에 대한 감안이다. 비용을 고려하지 않는다면 모든 리스크는 완벽하게 대응이 가능하다. 그러나 효율성을 무시한 리스크관리는 의미가 없다. 불산 누출사고가 발생한 휴브글로벌은 위험물질인 불산을 취급해 수익을 남기는 기업인데도 수익모델의 근간인 자신의 리스크와 리스크관리를 제대로 인식하지 못했다.

 

 

 

리스크 프로필을 확인하라

사람에게는 각자의 프로필이 있다. 기업은 그 기업의 수익모델 등에 의해 기업의 리스크 프로필이라는 것이 있다. 나의 기업은 어떤 리스크 프로필을 가지고 있는지 잘 알아야 한다. 위의 휴브글로벌 CEO는 과연 그 기업의 리스크 프로필을 잘 알고 있었을까 하는 의문을 가져 본다. 위험한 물질을 취급하는 기업은 작업자의 작업과정 하나하나가 곧 리스크 프로필인 셈이다. 법정관리를 신청한 웅진홀딩스의 CEO지나친 욕심이 화를 불렀다고 자성하는 말을 했다. 리스크 관점에서 이지나친 욕심이란 기업확장 전략에서 스스로 감내하기 힘든 자본리스크를 떠 안은 것이라고 할 수 있다. 웅진이 극동건설 인수, 태양광 산업 진출 등 단계를 밟아가는 순간 그 이전에는 생각할 필요가 없었던 자본리스크라는 리스크 프로필을 새로이 감내하게 된 것이다.

 

이처럼 기업은 수익모델은 날마다의 전략적 의사결정에 따라 다양한 리스크 프로필을 갖게 된다. 따라서 내부 프로세스에 잠재해 있는 리스크를 인식하는 것은 반드시 필요한 과제다. 리스크는 리스크의 개념, 손해발생과정, 리스크관리기법 등에 따라 분류할 수 있다. 우선 ERM의 대상에 따라 재무리스크와 비재무리스크로 분류해 살펴보자.

 

재무리스크는 측정과 관리가 비교적 용이하다. 어느 기업이나 공통적으로 경영활동 과정에서 재무리스크를 안고 있다. 대표적인 재무리스크로는 자본리스크, 신용리스크, 유동성리스크, 금리리스크, 외환리스크, 투자리스크 등이 있다. 자본리스크의 실패를 맛본 사례는 최근 웅진그룹을 비롯해 주로 M&A 후 승자의 저주에 시달리던 기업들을 들 수 있다. 신용리스크는 대부분의 중소기업들에 매우 심각하다. 건설사의 부도로 신용리스크에 노출된 하청기업들이 좋은 예다. 유동성리스크는 만성적으로 자금부족에 시달리는 기업뿐만 아니라 세계적인 경제위기로 인한 시나리오 상황에서 건실한 기업도 안심할 수 없다. 금리리스크는 국내 기업들은 IMF 외환위기 과정에서 경험했고, 독일통일과정에서 기준금리가 3배나 상승한 사례도 있다. 이는 북한리스크를 안고 있는 한국 기업인들이 염두에 둬야 할 사항이다. 외환리스크 역시 IMF 외환위기, 2008년 금융위기에서 큰 교훈을 얻었다. 하지만 KIKO 파생상품 사태와 같은 어이없는 기업피해사례가 계속 나오고 있다.

 

한편 비재무리스크는 계량화가 어려운 부문이며 기업의 수익모델에 따라 매우 다양한 형태를 띠고 있다. 대표적인 비재무리스크로는 운영리스크, 전략리스크, 보안리스크, 비즈니스 연속성 리스크 등이 있다. 매일 발행되는 신문의 기업란에는 운영리스크 사례가 등장한다. 구미 불산가스누출 사건은 전형적인 운영리스크 이벤트라고 할 수 있다. 2008년 발각된 강원랜드의 환전담당 여직원 수표 절도사건, 2009년 밝혀진 전 동아건설 재경팀 P부장의 수백억 원에 달하는 횡령사건 등을 예로 들 수 있다. 전략리스크 관리실패 사례는 디지털 카메라의 출현에 대응하지 못한 코닥필름을 들 수 있다. 보안리스크는 인터넷 환경에서 모든 기업이 직면하고 있다. 비즈니스 연속성 리스크 관리의 성공사례는 9·11 테러 사태로 피해를 입는 투자금융회사들이 3일 만에 업무를 재개한 예가 있다.

 

 

 

 

 

 

리스크 관리의 5계명

각 기업은 개별적인 특징이 있으므로 일괄적으로 해결책을 적용할 수 없으나 다음과 같은 5가지 기본적인 ERM의 콘셉트를 공유하는 것이 필수적이다.

 

1)변동성을 고려하라

‘리스크량(R) = 익스포저(E) x 변동성(V)’으로 표현될 수 있다. 기존 사고의 틀이 E(exposure·리스크노출규모)에 머물러 있었다면 이를 R(risk)로 확장하는 것이다. 노출규모 만이 아니라 V(volatility·변동성)을 감안하면 더 정교한 지표인 리스크량으로 더 정확한 의사결정을 하게 된다. 예를 들어 외환리스크를 고려할 때 노출된 액수만이 아니라 환율변동성까지 감안한 외환리스크량을 판단의 기준으로 하는 것이다.

 

2)두 명의 눈으로 보라(4 Eyes Principle)

기업의 현업 부서는 일상적인 업무활동을 통해 프로세스에 내재된 리스크를 자체적으로 인식하고 관리한다. 그러나 리스크는 5% 이하의 발생 가능성에 대한 대비책이므로 일상업무에서 완벽하게 관리할 수 없는 특성이 있다. 현업 부서에만 맡기면 리스크는 무시되기 십상이다. 효율적인 리스크관리는 전문가에 의해 이뤄질 수 있다. 많은 선진기업들은 독립된 리스크관리 조직과 CRO(Chief Risk Officer·최고리스크관리자) 제도를 도입하고 있다.리스크자체관리(risk management)와 리스크통제(risk control) 기능을 분리하는 것이 바로 ‘4 Eyes Principle’ 이다.

 

그리스 신화에 카산드라(Cassandra)라는 예언자가 있다. 이 예언자는 <개미>의 작가 베르나르베르베르의 소설 <카산드라의 거울>로 널리 알려지게 됐다. 카산드라는 나쁜 일에 대해서만 예언할 수 있기 때문에 만인에게 미움을 사고 클리타임네스트라에게 살해되는 비운의 주인공이다. CRO는 스트레스 시나리오에 관해 경고할 수밖에 없는 카산드라와 같은 숙명을 가진다. 불확실성이 어느 시기보다 높아진 현대의 경영환경에서 적어도 한 사람의 임원쯤은 리스크에 대해 CEO를 보좌하는 직무가 필요하다. 그리고 CRO를 카산드라와 같은 비극의 주인공으로 만드느냐, 불확실성에 대한 탁월한 예언자로 만드느냐는 CEO의 리더십에 달려 있다.

 

물론 기업의 리스크 규모에 따라 독립적인 CRO를 두지 않고 기획담당임원이나 CFO가 이를 겸임하기도 한다. 그러나 이런 경우라도 CRO의 독립된 직무를 부여해야 한다.

 

 

 

3)리스크를 한정된 자원으로 생각하라

기업은 인력, 예산, 설비 등 한계자원을 가지고 계획실행모니터링하는 경영활동을 한다. 마찬가지로 전사적 리스크량 또한 한계자원으로 생각해볼 수 있다. 금리, 환율, 원자재 가격 등 재무리스크처럼 비재무리스크 역시 위에서 말한 리스크량의 개념을 도입해 금액으로 환산해 전사적으로 정해진 특정 한도를 넘지 않도록 관리한다.

 

4)적절한 대응 방안을 찾아라

리스크을 인식하고 분석한 후에는 대응방안을 수립해야 한다. 리스크 대응 방법에는 리스크 수용, 리스크 전가, 리스크 통제, 그리고 리스크 회피 등이 있다. 리스크가 감당할 만한 한도 안에 있다면 내부적으로 수용하면 된다. 수용하기에는 너무 큰 리스크라면 이 리스크를 전가하거나 경감할 수 있는 대응방안을 찾는다. 보험가입, 금융상품 계약 등으로 리스크를 전가하는 것이 일반적이다. , 이러한 일반적인 방법으로 전가가 불가능한 리스크라면 다른 대안을 찾아야 한다. 파트너십 체결, 조인트벤처 설립, 아웃소싱 계약, 지분매각과 같은 방안도 이에 속한다. 이도 저도 대응방안이 없다면 리스크를 회피하도록 해야 한다.

 

5)성과평가에 리스크를 포함하라

성과평가 기준은 기업을 올바른 방향으로 가도록 하는 가장 중요한 수단이다. 리스크를 감안한 성과평가(RAPM·risk adjusted performance measurement) ‘Do the right thing’의 전략적 행동기준을 제시해 준다. 성과평가 기준의 오류는 최선을 다하는 구성원의 노력이 오히려 기업이 망하는 길로 가는 결과를 초래한다. 아래 그림은 성과관리와 리스크관리를 통합하는 현대적 성과평가 방향을 제시해 주고 있다.

 

기업 현장에서 ERM의 중요성을 인식하고도 쉽게 구현하지 못하는 이유는 비용일 것이다. 이를 위해 단계적인 접근이 유용하다. 우선 리스크관리 조직은 4-Eyes Principle을 감안하여 현업부서와 독립된 직무를 만드는 것이 기본이지만 처음에는 기존 기획부서나 재무부서에 이 역할을 부여해도 된다. 예를 들어 대리급 직원의 2분의 1의 직무로 시작해 점차 확대해 나가는 것을 생각해 볼 수 있다. 여기서 중요한 것은 리스크관리 전문인력은 기업의 내부 프로세스를 잘 알아야 한다는 것이다. 그러므로 외부에서 영입하기보다는 내부 인력에게 리스크관리 교육을 이수케 해 전문가로 양성하는 것이 좋다.

 

그 다음은 리스크관리에 관한 내부규정을 제정해 문서화하는 작업이 필요하다. 초기 도입단계에는 간단하게 정하고 점차 보완, 개선하면 된다. 다음 단계로는 기업 내부에 리스크 식별, 분석, 대응 및 모니터링에 대한 업무프로세스를 공식화하도록 해야 한다. 또한 리스크관리는 대량 데이터를 수집하고 분석해 리스크지표를 산출해야 하므로 수작업으로서는 불가능하다. 기존 내부 시스템과 연계된 통합리스크관리 시스템을 구축, 손쉽게 업무수행이 가능하도록 해야 한다.

 

 

 

손실데이터 관리

구미 불산 누출사고로 인해 우리는 사회적으로 큰 손실을 감당해야 하지만 한편으로는 이는 리스크사례로서 우리의 소중한 자산이 될 수 있다. 이것이 리스크관리 기법의 하나인손실데이터관리. 손실데이터관리는 실제 발생한 리스크사례뿐 아니라 손실로 이어지지는 않았던 유사리스크(near miss) 사례까지 체계적으로 정보를 수집하고 관리해 리스크발생의 예방에 활용하는 것이다. 이러한 유사손실은 실제 손실이 발생하지 않은 것 외에는 손실사건과 동일한 성격을 가지므로 반드시 관리돼야 한다. 손실데이터관리에 대한 체계가 없을 때는 손실을 불명확한 장부처리, 수익과 상계, 충당금 등으로 처리되는 경향이 있다. 이렇게 되면 사건유형분석, 사건정보 등에 대한 정보가 관리되지 못한다. 이번에 불산 누출사고가 발생한 회사에서는 2009년에도 유사한 사고가 발생했었다. 이때의 사고사례를 손실데이터로 관리하고 이로부터 통제체계를 정리했더라면 대형 리스크 이벤트에 미리 대응할 수 있었을 것이다.

 

필자가 자문위원으로 참여했던 서울시 리스크관리 체계 구축의 사례에서는 방대한 조직이 진행하는 수많은 프로젝트의 리스크를 효율적으로 관리하기 위해 손실데이터 DB화를 시도했다. 또 위험범주를 재난, 갈등, /규제, 홍보/평판, 경제, 재정, 보건, 안전 등으로 상세하게 구분하고 인터뷰와 워크숍을 통해 각 업무에 내재된 위험을 발견했다. 이를 강도-빈도 분석을 통해 각 직위별 리스크관리 대상을 선정했다.

 

위험사회에서 수익의 기회를 찾아라

메슬로에 의하면 사람의 욕구는 단계적으로 높아진다. 가장 낮은 단계는 생리적 욕구 단계이며 가장 높은 단계는 자아실현 욕구 단계이다. 1 단계에서는 생존에 필요한 물리적 기본 욕구를 충족하는 수준이며 이 단계가 지나면 안전의 욕구를 추구하게 된다. 생명의 위협이나 현재의 생활수준을 위협하는 리스크로부터 벗어나고자 하는 욕구이다. 기업경영도 마찬가지로 수익모델이 안정화 단계에 접어들면 생존이나 수익변동성 안정에 대한 관심이 커진다.

 

안전에 대한 욕구를 충족시키기 위해 전혀 새로운 산업이 생겨나기도 하고 불가피하다고 여겼던 리스크요인의 변동성을 오히려 경영혁신의 수단이나 수익모델로 삼는 경우가 늘고 있다. 시스템보안산업, PC보안산업, 건강검진 전문기관 등이 안전의 욕구를 충족하기 위한 수익모델로 생겨난 산업이다. 최근 침체된 건설산업계에서는 건설사업관리(CM) 비즈니스가 호황을 누리고 있다. CM은 건축주의 사업리스크 관리를 수익모델로 하는 분야이다. 기상은 관리가 불가능한 리스크요인으로 간주됐다. WRM(Weather Risk Management) 솔루션의 발달로 기상 변화로 인한 수익의 불안정성에 대한 관리 가능성을 높이거나 오히려 수익 모델화하고 있다. 조선업에서는 옥외 작업의 비효율성을 개선하고 편의점 체인은 일기예측에 따른 상품의 신속한 재배치로 매출을 신장시킨다. 리조트와 골프장들은 일기예보 정보를 실시간으로 고객과 공유하는 체계구축으로 예약취소율을 현격하게 개선하기도 한다.

 

이처럼 업무에 내재된 운영리스크를 경감하는 통제 전문성이 기업의 핵심 역량이 됐다. 또한 기업의 안정성에 관심이 많은 정부, 증권거래소, 신용평가기관 등으로부터 ERM에 대한 인센티브와 압박도 가해지고 있다. 무디스나 S&P와 같은 평가기관은 리스크관리 체계를 갖춘 기업에 우호적인 평가를 하고 있으며 우리나라 정부와 증권거래소도 환리스크를 관리하는 기업에 다양한 형태의 인센티브를 제공하고 있다. 이는 곧 기업의 영업외비용과 자본조달비용의 감소로 이어진다. 리스크관리가 더더욱 중요한 이유다.

 

 

참고문헌

[1] COSO(2006), 전사적 리스크 관리통합 프레임웍, 삼일회계법인 번역, 하이북스, 2006

[2]김동식외(2006), 날씨경영, 김동식/김정현 지음, 매일경제신문사, 2006

[3]김중구(2009), 위험관리가 회사의 미래를 결정한다, 원앤원북스, 2009

[4]김중구(2010), 전사적 위험관리 (ERM), 생산성본부/e러닝/일반직무/재무회계/재무

[5]금감원(2006), BASEL II와 리스크관리, 금융감독원 신BIS, 2006

[6]매슬로(2011), 인간욕구를 경영하라, 에이브러햄 H. 매슬로 지음, 왕수민 옮김, 리더스북, 2011

[7](2006), 경영리스크관리, 제임스 램 지음, 권영상, 이기원, 이오성 옮김, 세종서적, 2006

[8]류근옥(2012), 경영리스크관리, 문영사, 2012

[9]박은희(1998), 리스크관리론, 박은희/정영동 공저, 무역경영사, 1998

[10]서울시(2007), 서울시에 적합한 통합위험관리시스템 구축방안, 서울특별시 감사관. 2007

[11]쉴러(2003), 새로운 금융질서 21세기의 리스크, 로버트 쉴러, 정지만/황해선/도은진 옮김, 민미디어, 2003

[12](2009), 불확실성 시대의 리스크관리, 도널드 H. 츄 엮음, 이현주 옮김, 비즈니스맵, 2009

 

 

김중구 유니타스 부회장 33jgkim@hanmail.net

김중구 유니타스 부회장은 독일 아헨공과대에서 경영학 학사를, 쾰른대에서 경영학 석사를 취득했다. 회계법인 Coopers & Lybrand( PWC)와 도이치한일은행을 거쳐 코메르츠은행 서울사무소 부소장, 외환은행 리스크관리부장, 교보증권과 NH투자증권의 최고리스크관리자(CRO)를 역임하는 등 리스크관리 전문가로 활동해왔다.

 

 

 

  • 김중구 김중구 | -(현) 유니타스 부회장
    -코메르츠 은행 서울사무소 부소장 역임
    -외환은행 리스크관리부장 역임
    -교보증권 최고리스크관리자 역임
    -NH투자증권 최고리스크관리자 역임

    이 필자의 다른 기사 보기
관련기사