에쓰오일의 전사적 리스크 관리

“생각못한 위기는 없다…최악의 상황을 늘 시뮬레이션하라”

107호 (2012년 6월 Issue 2)




편집자주

이 기사의 제작에는 동아일보 미래전략연구소 인턴연구원 박철순(서강대 정치학과 4학년) 씨가 참여했습니다.

 

수백, 수천 가지 장비가 들어가는 정유 공장에서핵심 설비는 뭘까. 아마 열에 아홉은 증류탑이나 반응기처럼 정제 공정의 뼈대를 이루는 대형 설비를 꼽을 것이다. 그렇다면 또 다른 질문 하나. 공장 가동 중단처럼 정유사 전체의 손익계산서에 직접적 영향을 끼칠 수 있는핵심 리스크를 관리하기 위해 가장 주목해야 할 설비는 뭘까. 답은 펌프나 컴프레서 같은 회전기계, 세부 공정별 상태 측정을 위한 계전설비 등 이른바 기본 공정에 따라 붙는곁가지장비들이다. 증류탑이나 반응기는 기본적으로 내구성이 좋기 때문에 쉽게 마모되거나 노후화되지 않는다. 문제는 간과하기 쉬운 보조 설비다. 세부 공정별로 수백㎞가 연결돼 있는 파이프를 통해 액체나 기체가 아무 문제없이 제때 흘러 다니도록 하려면 보조 설비들이 끊임없이 작동하며 제 몫을 해줘야 한다. 만약 이런 보조 설비에서사소한문제라도 발생하면 회사에 하루에도 수십억 원의 손실을 가져올 수 있는대형사고로 이어질 수 있다.

 

사업을 하다 보면 매일매일 수없이 많은 위험에 직면하게 된다. 특히 2008년 글로벌 금융위기 이후 리스크의 파급 효과가 증폭되고 리스크 간 동조 현상이 심해지고 있다. 단순히 개별 부서에서 대응할 수 있는 수준을 넘어설 정도로 위기가 복잡다단해짐에 따라 전사적 리스크 관리(ERM·Enterprise Risk Management)의 필요성이 대두되고 있는 것도 이 때문이다. ERM은 리스크가 현실화될 경우 엄청난 영향을 미칠 수 있는 전사적 규모의 핵심 리스크(key risk)를 관리하는 것이다. ERM은 수많은 리스크 요인 중 전사적 역량을 투입해 유기적으로 관리해야 할 위험 요소가 무엇인지를 정하는 것에서부터 출발한다. 한정된 자원을 가지고 모든 위험 요소를 똑같은 수준으로 관리하는 건 가능하지도 않으며 효율적이지도 않기 때문이다. 전사적으로 막대한 영향을 끼칠 핵심 리스크가 무엇인지를 제대로 가려내고 이 리스크를 사전에 감지할 수 있는 지표(indicator)가 무엇인지를 파악해 선제적으로 관리해야만 효과적인 대응책을 마련할 수 있다. 1 365일 아무 사고 없이 공장을 안정적으로 가동하는 게 생명인 정유사에서 전사적으로 주목해야 할 설비는 증류탑이 아니라 회전기계나 계전설비라는 판단도 여기에 해당한다. DBR 2008 ERM 프로그램을 도입해 성공적으로 운영하고 있는 에쓰오일의 사례를 집중 분석했다.

 

 

생산설비 취약성 리스크관리 체계 수립과정

대개 정유사들은 펌프나 컴프레서 같은 회전기계의 경우 일정 정도 여분(stand-by)을 두고 운영한다. 회전기계는 다른 장비에 비해 고장이 잦은 편이다. 만약 갑작스럽게 고장이 났을 때 곧바로 대체할 수 있는 예비 장비가 없으면 대개 주문 제작을 하는 회전기계의 특성상 새로 장비를 조달하는 데까지 상당한 시간이 소요돼 공장은 가동 중단으로 인한 손해를 입게 된다. 그만큼 적절한 유휴설비 수준을 유지하는 건 설비의 안정적 가동을 위해 매우 중요하다.


하지만 과거 에쓰오일은 적절한 유휴설비 수준을 전사적 위험 요인으로 관리하지 않았다. 2008 ERM 도입 후 에쓰오일 경영진은 이 같은 관행이 자칫호미로 막을 일을 가래로 막는우를 범할 수 있다고 판단했다. 특히 전통적으로 설비 가동률을 극대화하는 전략을 취해 온 에쓰오일의 특성을 고려할 때 더욱 간과할 수 없는 문제라고 봤다. 에쓰오일의 주력 사업인 정유부문의 경우 2000년부터 2007년까지 연간 가동률(연간 가동가능 시간 대비 실제 가동시간 기준)은 무려 107.2%에 달한다. 2007(99.5%) 단 한 해를 제외하고 매년 가동률이 105.1∼110.1%를 오갔다. 이는 안정적인 조업의 결과라고 볼 수도 있지만 설비 효율 극대화를 위해 여분의 펌프나 컴프레서 없이 공정을 초과 가동하고 있을 수도 있다는 뜻이기도 했다.

 

이에 따라 에쓰오일은 공장 가동중단이라는 핵심 리스크를 예방하기 위해 주시해야 할 KRI로 컴프레서나 펌프 같은 회전설비의 가동 대수를 선정했다. 리스크 오우너(생산부서)는 이 KRI에 중점을 두고 일정 여분 설비를 지속적으로 확보함으로써 리스크를 회피하고 줄여나가는 데 노력을 기울이고 있다.


선행관리지표, 예방책, 복구대책으로 구성된 핵심 리스크 프로파일 구성

2007 11월 에쓰오일 재무BL(Business Line)은 딜로이트와 함께 비즈니스 프로세스 리엔지니어링(BPR·Business Process Reengineering) 프로젝트를 시작했다. 프로젝트의 목적은 회계, 자금 등 전통적인 재무 업무에만 집중돼 있는 최고재무책임자(CFO)의 역할을 최고경영진의 주요 의사결정을 지원하는 역할까지 수행할 수 있도록 비즈니스 프로세스를 바꾸는 것이었다. 전 세계적인 장기 저성장 국면, 서브프라임 사태로 인한 글로벌 금융시장 불안 등 위기 상황을 맞아 CFO의 역할도 전통적인관리자(steward)’에서전략가(strategist)’로 확대, 발전해 나가야 한다고 판단했기 때문이다. 이와 관련 BP, 듀퐁(Dupont) 등 선진 기업들의 사례를 벤치마킹하던 중 CFO의 핵심 업무로서 ERM을 도입해 운영 중인 사례를 다수 발견하게 됐고 과거의 전통적인 리스크 관리 접근법과는 다른 전사적 리스크 관리의 필요성이 강하게 대두됐다. 이에 따라 에쓰오일의 BPR 프로젝트는 ERM 도입 프로젝트로 확대됐고 2008 2월 전담 부서로서 리스크관리팀이 신설됐다.

 

류열 수석 부사장 인터뷰


에쓰오일의 리스크 인텔리전스 경영을 한마디로 요약한다면?

에쓰오일에선 리스크 관리가일하는 훈련(working experience)’이 아니라생각하는 훈련(thinking exercise)’이라고 말한다. 실제 벌어지지는 않았지만 우리의 머릿속에서 모든 가능한 상황을 세세하게 시뮬레이션해보는 과정을 통해서 우리가 당해보지 않았던 리스크들을 정리한다. 이 과정을 통해 과거에 우리가 몰랐던 사안, 무시하고 넘어갔던 사안을 다 찾아서 정상적인 상태로 만들어놓는 훈련을 하기 때문에 향후 발생할 수 있는 위험을 최대한 막아줄 수 있다고 생각한다. 리스크 관리의 1차적 목적은 경영 중단을 일으킬 수도 있는 위험 요소를 사전에 발견해 이를 막아줌으로써 안정적인 사업 운영이 가능하도록 하는 데 있다. 이전엔 발견하지 못했던 위험요소들을생각하는 훈련을 통해 파악하고 이를 보완하는 과정에서 만약 보완하지 않았더라면 발생했을 위험과 피해를 최소화한다는 게 리스크 인텔리전스 경영의 핵심이다.

 

ERM 도입을 통해 실질적으로 도움을 받은 사례가 있다면?

울산 온산공장의 석유화학제품 생산시설을 대폭 증설하면서 전력을 공급받는 급전선(feeder)에 여분을 둬 정전에 따른 위기를 사전에 막을 수 있었다. 보통 한전이 공장에 전력을 공급할 때 원칙은 공장 한 곳당 급전선 한 개다. 공장에 전력이 끊어지면 문제가 굉장히 심각한데 사실 한전의 정전율은 크고 작은 사고로 인해 꽤 높은 편이다. ERM을 도입하면서 여분의 급전선이 없다는 게 전사적 위험을 높인다고 판단했고 2009년 울산공장 확장 계획을 발표하면서 한전 측에별도의 공장이 증설되기 때문에 급전선을 추가로 설치해야 한다고 주장, 결국 2개의 급전선을 확보하는 데 성공했다. 지난해 공장 증설이 완공된 후 얼마 지나지 않아 울산 산업단지에 대규모 정전 사태가 발생해 인근 경쟁 정유사는 피해를 입었지만 에쓰오일은 예비로 확보해 둔 급전선 덕택에 전혀 피해가 없었다.

 

ERM 도입 후 에쓰오일에 일어난 가장 큰 변화는?

리스크 관리에 대한 조직원들의 인식 전환을 들 수 있다. 과거 에쓰오일에선 문제가 발생하면 사후적으로 대응을 잘하는 게 리스크 관리의 전부라고 봤다. 하지만 지금은 문제가 발생하지 않도록 사전에 예방하는 게 리스크 관리의 핵심이라고 생각한다. 처음 ERM을 도입할 때만 해도 각 부서에서는 리스크 관리를 본업에 더해지는 과외업무로 보고 부담스러워했다. 각 부서의 리스크가 전사적 관리 대상인 핵심 리스크로 분류되면 자신들을 감시하는시어머니들이 많아진다고 생각해이건 내 부서 소관이 아니다며 발뺌하는 경우도 있었다. 하지만 이제 리스크는 당연히 일상적으로 관리해야 할 본연의 업무라는 식으로 조직원들의 생각이 바뀐 것 같다. 심지어이건 개별 부서 단위에서 챙겨야 할 리스크가 아니고 전사적으로 관리해야 할 리스크라며 자발적으로 리스크관리위원회에 안건을 올리는 부서가 생길 정도다. 전사적으로 관리해야 할 핵심 리스크가 무엇인지를 도출하는 과정에서 각 부서 간, 특히 공장에서 근무하는 생산현장 엔지니어들과 본사에서 관리를 담당하는 지원부서 인력들 간 커뮤니케이션이 더욱 원활해진 것도 큰 변화다. 이를 통해 리스크 관리를 위해 소요되는 비용은비용이 아니라투자라는 전사적 공감대가 형성됐다.


과거 에쓰오일의 리스크 관리는 개별 부서에서 각각 위험 관리를 수행하는 방식이었다. 예를 들어 정제 마진이 급락하면 영업부서가, 환율이 요동치면 재무부서가 파급효과를 분석해 대응책을 마련했다. 거의 모든 리스크가 예측 가능한 범위 안에서 발생했고 리스크가 복합적으로 일어나는 경우도 드물었기 때문에 관련 업무를 담당하는 해당 부서 단독으로 대응방안을 마련해도 큰 무리가 없었다. 속된 말로 소 잃고 외양간을 고쳐도 별 탈이 없는 구조였기에 전사적으로 리스크를 관리하는 별도의 팀은 존재하지 않았다. 하지만 외환, 유동성, 수익성, 신용관리 등 경영 전반에 미치는 리스크의 파급효과와 빈도가 점점 커지면서 예전과 같은 각개격파식 리스크 관리에는 한계가 있으며 전사적 차원에서 유기적으로 협력하는 리스크 관리 시스템 도입을 위해 별도의 상시 위험관리 조직을 만들어야 한다는 게 경영진의 판단이었다.

 

신설된 리스크관리팀은 먼저 사업에 영향을 미치는 리스크를 인식하는 작업부터 시작했다. 이에 따라 전 임직원들이 참여하는 가운데 컨설팅, 벤치마킹, 설문조사, 워크숍 등 다양한 기법을 활용해 총 280여 개의 리스크를 뽑아냈다. 리스크관리팀은 이를 기초로 개별 리스크마다 주관 부서를 11로 매칭, ‘리스크 오우너(Risk Owner)’를 지정했다. 예를 들어원유 유출(oil spill)’이라는 리스크 상황에서는 송유부서가 리스크 오우너가 되는 식이다. 물론 리스크와 주관 부서가 반드시 11 관계로만 이뤄지는 건 아니다. 가령 공장 화재 발생 시에는 안전부서와 생산부서가 모두 관련된다. 이런 경우엔 다수의 리스크 오우너를 지정하면서 동시에 이를 총괄 관리해 유관 부서와의 협조를 이끌어내는 데 주도적 역할을 맡을 리스크 코디네이터(Risk Coordinator·리스크 오우너 부서 중 하나가 됨)를 함께 지정했다. 이와 함께 주관 부서 인력 중 핵심 실무자를리스크 챔피언(Risk Champion)’으로 지정, 리스크 상황 발생 시 지체 없이 관련 부서와 유기적으로 소통하며 리스크를 통합 관리하는 역할을 맡도록 했다.

 

리스크 오우너 및 코디네이터와의 매칭 작업을 끝낸 후 리스크관리팀은 무엇이 전사적으로 관리해야 할 필요성이 있는 리스크인지를 구별하는 선별 작업에 돌입했다. 리스크 각각의 파급효과와 복합성 등을 종합적으로 고려한 결과 총 60개를 전사적 관리 대상 후보군으로 추렸고 나머지는 개별 부서에서 관리해도 충분하다는 판단을 내렸다. 이후 60개 핵심 리스크 후보군의 리스크 오우너 및 코디네이터는 리스크 관리팀의 지원하에 각 리스크에 대한 선행관리지표(KRI·Key Risk Indicator), 예방대비절차(preventive measures), 복구대응절차(recovery measures)를 수립하고 이를 문서화해 매뉴얼로 만들었다.

 

 


전사적 리스크 후보군 및 매뉴얼 작업이 완성되자 에쓰오일은 2008 7월 리스크관리위원회(ERM Committee)를 출범시켰다. 최고경영자(CEO)가 주재하는 리스크관리위원회는 부사장급 이상 각 BL의 최고 임원들로 구성된 기구다. 이들은 월 1회씩 전체 회의를 열고 60개 핵심 리스크에 대한 매뉴얼을 꼼꼼히 분석하며 과연 이 리스크가 회사의 전사적 역량을 투입해 관리해야 할 리스크인지, 그 대응체계는 제대로 수립돼 있는지 등을 놓고 열띤 토론을 벌였고 최종적으로 40여 개를 핵심 리스크로 결정했다.

 

40여 개 핵심 리스크는 크게전략시장운영준법 리스크 등 크게 네 가지로 구분했다. (그림 1) 에쓰오일은 각각의 핵심 리스크에 대해 1 365 KRI를 상시 모니터링함으로써 리스크가 가능한 발생하지 않도록 예방(preventive measures)에 심혈을 기울이되 실제 위기 상황이 발생했을 때에는 미리 정해진 절차에 따라 지체 없이 복구(recovery measures)가 이뤄지도록 시스템을 구축했다. 실제로 지난해 말 서방 국가와 이란 간 긴장으로 인해 이란이 호르무즈 해협을 봉쇄할 수도 있다는 뉴스가 나오자 전략 핵심 리스크 중 하나인중동 정정 불안리스크를 담당하는 용선부서에 곧바로 빨간 불이 켜졌다. 리스크 코디네이터인 용선부서는 수급/영업/물류/대관 부서 등 관련 부서들과 함께 긴밀히 협조, 위기 징후에 따른 대응 작업에 들어갔다. (그림 2)

 


ERM
체계 구축에 2년 소요

40여 개 핵심 리스크를 대상으로 ERM 체계 구축을 최종적으로 마무리하는 데까지는 우여곡절이 많았다. 리스크 인식, 핵심 리스크 선정, KRI 도출, 대응체계 문서화, 리스크관리위원회 심의, ERM 전용 IT 인프라 구축 등 ERM 체계 전반을 구축하는 데만 꼬박 2년이 걸렸다. 이렇게 긴 시간이 소요된 데에는 무엇보다 리스크를 전사적 역량을 투입해 관리함에 따라 부서별 리스크 관리 역할의 조정에 많은 노력이 필요했기 때문이다. 특정 리스크를 심의하는 과정에서 해당 리스크를 전사적 관리대상으로 봐야 할지 여부를 두고 다양한 의견들이 표출됐다. 리스크에 대한 관리 책임을 누가 맡을 것인가와 관련된 문제에 대해서도 말들이 많았다. 대표적인 예가 운영 리스크 중 하나인내부 커뮤니케이션이다. 40여 개 최종 리스크 중 하나로 지금은 별도의 전담 부서(조직문화 및 커뮤니케이션 활성화팀)까지 새로 만들어 전사적 역량을 투입해 관리하고 있지만, 실제 내부 커뮤니케이션이 최종 리스크로 꼽히는 과정은 순탄치 않았다. 임직원들 간 워크숍 및 설문조사 등을 통해 원활치 못한 내부 커뮤니케이션이 핵심 리스크 중 하나라는 의견이 많아 리스크 후보 60개 중 하나로 올렸지만 리스크관리위원회 심의 과정에서는핵심 리스크로 보기에는 중요도가 낮은 것 아니냐?” “커뮤니케이션을 누가 어떻게 관리한다는 말인가?” 등 이견이 만만치 않았기 때문이다.

 

핵심 리스크로 누구나 인정한다 하더라도 선행관리지표의 적절성 등 각론으로 들어가서는 의견이 엇갈리는 경우도 많았다. 대표적인 예가 시장 리스크 중 하나인정제마진 악화. 정제마진이 전체 수익성에 영향을 주는 대표적 전사 관리 대상이라는 데에는 누구도 이견이 없었다. 문제는 이 정제마진 관리를 어떻게 하는지에 대한 세부 기준을 정하는 단계에서 벌어졌다. 위기 징후로 인식해야 할 정제마진 하락은 어느 수준인지, 또 이를 모니터링한다면 1, 일주일, 한 달 등 얼마 단위로 살펴야 하는지처럼 경고 시그널 기준을 어떻게 정할 것인지와 관련해 세부적인 기준을 설정하는 일은 절대적으로 필요하지만 동시에 매우 민감한 사안이기 때문이다.

 

 

에쓰오일에서는 이 같은 의견 차이를 극복하기 위해 최고경영층이 직접 나섰다. 임직원을 포함한 전사 리스크 관리 교육을 위해 2009년 당시 CEO였던 아흐메드 A. 수베이 대표는 비디오 촬영도 마다 하지 않고 ERM의 필요성과 중요성을 강조했다. 특히 ERM의 주 목적은 조직에서 발생한 실수나 과오에 대한 책임을 묻기 위해 운영하는 게 아니라 리스크가 현실화되기 전에 미리 알려줌으로써 자체적으로 대비하는 데 있음을 역설했다. 무엇보다 핵심 리스크에 대한 KRI, 예방 및 대응체계 등을 리스크관리위원회가 면밀히 검토, 합의를 도출함으로써 ERM이 회사의 핵심 운영체계라는 메시지를 전달했다. 최고경영층의 노력과 더불어 중간관리층에서도 리스크 관리에 요구되는 원활한 의사소통 증진을 위한 노력을 함께 수행했다. KRI 선정과 대응체계 수립에 있어서 의견 차이는 과거의 데이터를 기반으로 수차례의 시뮬레이션을 반복함으로써 리스크 징후로 포착해야 하는 수준이 어느 정도인지 머리를 맞대며 결론을 도출하는 데 힘썼다. 이후에도 이러한 노력을 보다 확대해 울산 온산공장에서 매월 개최하는 운영분석회의에 본사 재무부서 실무자들이 참석, 현장의 목소리를 최대한 반영하고자 노력했다. 이 같은 노력에 힘입어 최근 에쓰오일은 Dow Jones Sustainability Index(DJSI) 리스크 관리 분야에서 최고 수준을 인정받는 등 리스크에 강한 조직(risk-intelligent enterprise)으로 거듭났다는 평가를 받고 있다.

 

성공 요인

시중에 나와 있는 수많은 위기 관리 이론서들이 리스크 관리 관련 베스트 프랙티스를 다루고 있지만 실제 운영 사례를 확보하기는 만만치 않다. 이 때문에 ERM 도입을 검토한 기업들도 중도 포기하거나 기존에 구축한 리스크 관리 시스템도 제대로 활용하지 못하고 사장시키는 경우가 많다. 에쓰오일은 리스크 인텔리전스 경영을 위해 수차례의 시행착오 과정을 통해 장기간에 걸쳐 회사의 자원과 노력을 투입, ERM을 경영 선언문이 아닌 실용가능한 경영의 툴로 도입하고 안정시켜왔다.

 

에쓰오일이 ERM을 성공적으로 도입함으로써 리스크 인텔리전스 경영(risk intelligence management)을 성공적으로 구현한 데에는 무엇보다 CEO를 포함한 최고경영진의 전폭적인 지지 덕이 컸다. 리스크 인텔리전스 경영의 최고 기구인 리스크관리위원회는 회사의 최고 협의체인 경영위원회(management committee) 멤버들이 전원 참석하고 있다. 최고경영진이 전면에 나서 유기적, 통합적, 전사적인 리스크 관리 체계를 운영하고 있음을 방증하는 사례다. 리스크관리위원회는 지금도 한 달에 한 번씩 CEO의 주재로 모여 심각성이 보이는 핵심 리스크에 대한 원인 분석과 대응 방안을 점검하고 있으며 개별 리스크에 대해 시나리오별 대응방안을 심의하고 있다.

 

리스크 인텔리전스 경영이 본격화되기 전만 해도 리스크 상황 발생 시 담당부서가 이를 사내에 적극적으로 알리고 통합적인 대응을 요청하기보다는 크게 상황이 확산되지 않기를 바라면서 상황을 방치하거나 자체 대응하는 경향이 일반적이었다. 하지만 에쓰오일의 리스크관리팀은 이와 같은 리스크 담당 부서의 소극적 대응을 적극적 대응으로 유도하는 촉매제 역할을 수행했다. 또한 리스크 관리를 위한 총괄 및 통합부서가 제대로 기능을 함으로써 리스크 인텔리전스 경영이 뿌리 내리는 데 실무적 차원에서 역할을 톡톡히 했다.

 

ERM을 성공적으로 구현하려면?

리스크 관리에 실패한 수많은 사례와 그 심각성에도 불구하고 일부 경영진은 여전히 리스크 관리를 개선할 필요성을 느끼지 못하고 있다. 일부는 리스크의 사전 예방과 대응계획이 주는 가치를 아직 이해하지 못하고 있으며, 특히블랙 스완(불가능하다고 인식된 상황이 실제로 발생)’의 범주에 해당되는 사건에서 이런 경향이 더욱 두드러진다. 심지어는 모든 리스크를 극복할 수 있다거나 리스크의 영향을 받지 않을 것이라고 계속 믿고 있는 경영진도 있다. 리스크를 효과적으로 관리하는 걸 가치 있는 것으로 이해하더라도 체계적인 접근법을 적용하고자 하는 경영진이 이를 어떻게 실행해야 하는지 모를 수도 있다. 체계적인 접근법은 ERM의 도입 초기에 성공을 거두면 그 가치를 입증할 수 있고 아직 도입하지 않은 기업이 그 필요성을 인식할 수 있기 때문에 매우 중요하다.

 

일반적으로 ERM이 실패하는 이유는 다른 전략이나 업무 프로세스와동떨어진별개의 프로젝트로 구현하기 때문이다. 사람들은 ERM을 도입하려는 노력을 꼭 필요하고 체계적이며 지속 가능하다고 느끼기보다는 관료적이고 업무에 부담이 되는 일시적인 프로젝트라고 생각하는 경향이 있다. 또한 다양한 분야의 다양한 전문가들이 리스크와 리스크 관리에 대해 각기 다른 견해를 가지고 있기 때문에 부서 간에 공감대가 형성되지 않거나 협업이 제대로 이뤄지지 않을 수 있다. 경영진의 적극적인 참여와 실현 가능한 목표 및 기대 수준, 구체적인 이행계획과 측정지표, 원활한 의사소통 및 충분한 자원으로 구성된 기업의 전사적인 노력과 적절한 관리 프로그램이 없으면 ERM은 성공할 수 없다. 균형 있고 체계적인 ERM 구현을 위해서는 다음의 9가지 리스크 인텔리전스 경영 원칙을 근간으로 하는 게 바람직하다.


일상 오퍼레이션 속에 리스크 관리를 내재화했다는 점도 ERM을 성공적으로 정착시킬 수 있었던 요인 중 하나다. 에쓰오일은 핵심 리스크 40여 개마다 각각의 KRI를 설정해 365일 모니터링한다. 이는 조직원들이 ERM을 일과성 이벤트(one-off event)가 아니라 회사의 지속적 성장을 위한 경영 도구(management tool)로 인식하도록 하는 데 큰 역할을 했다. 핵심 리스크로 관리하는 40여 개가 고정불변의 것이 아니라 기업 내·외부의 상황 변화에 따라 언제라도 수정·보완될 수 있는 시스템이라는 점도 특징이다. 예를 들어주가 하락리스크의 경우 초기에는 전사적 관리 대상 리스크로 구별해 관리했지만 기업활동의 결과인 주가보다 다른 사업 관련 리스크 요소들이 보다 선행적으로 관리돼야 한다고 판단, 1년 후 핵심 리스크에서 제외시켰다. 이처럼 에쓰오일은 기존 핵심 리스크의 잔류 여부나 새로운 리스크 추가 여부, 선행 지표의 적절성 여부 등을 상시 모니터링하고 작동 가능한 대응체계를 모색하면서 ERM을 진화시켜 나가고 있다.

 

 

 

이방실 기자 smile@donga.com

유종기 딜로이트 기업리스크자문본부 이사 jongkiyoo@deloitte.com

동아비즈니스리뷰 329호 Fly to the Metaverse 2021년 09월 Issue 2 목차보기