ERM의 실행력을 높여라

경영환경의 불확실성이 높아지면서 ERM(전사적 위험 관리)에 대한 기업들의 관심이 높아지고 있다.  
많은 기업들이 리스크의 식별, 평가, 개선 대안 마련 등 리스크 관리의 기본 틀을 갖추어 나가고 있다. 외형적인 관리 체계의 완성을 넘어 실행력 제고를 위한 제반 이슈들을 점검해 본다. 
  
  
위험 관리에 대한 인식의 전환이 필요 
 
위험 관리에 대한 관심에 높아지고 있다. 여기에는 다양한 동기들, 환경 변화가 작용하고 있다. 최근 금융기관을 중심으로 활발하게 논의되고 있는 국제결제은행의 ‘바젤Ⅱ’가 하나의 예가 될 수 있다. 미국의 회계, 재무, 감사 분야의 전문가들로 구성된 COSO(Committee of Sponsoring Organizations of the Treadway Commission)에서 발표한 새로운 전사적 위험 관리 프레임워크는 이에 대한 관심을 확대시켰다.  
 
자연스럽게 국내에서도 전사적 위험관리(ERM : Enterprise Risk Management)에 대한 관심이 높아지고 있다. 당장 내일을 예측하기 어려운 기업 경영상의 불확실성도 기업의 위기 관리 니즈를 높이고 있다. 위험 관리에 앞선 글로벌 선진 기업들의 모범적인 사례들은 국내 기업들의 적극적인 시스템 도입에 긍정적인 효과를 주기도 하였다.  
 
최근 들어 국내 기업들도 하나 둘씩 ERM 체계를 갖추어 나가고 있다. 하지만 의욕적으로 출발한 위험 관리 노력이 소기의 성과를 거두지 못하는 상황도 심심치 않게 목격된다. 거창한 전산 시스템이나 빼곡히 찾아낸 리스크 목록들이 ERM의 성공을 보장하는 것은 결코 아니다. 아래에서는 ERM의 실행력을 저해하는 주요 원인들을 살펴보고, 리스크 관리의 단계별 실행력 제고의 고려 포인트들을 알아보기로 한다.  
  
● 당장의 Risk 해결이 전부는 아니다  
 
리스크 관리는 현재 회사의 리스크를 효과적으로 통제하는데 목적을 두고 있다. 중요한 것은 회사의 리스크 풀(Pool)이 변하지 않고 그대로일 수는 없다는 사실이다. 외부적으로 사업 환경이 변하고, 내부적으로도 기존 사업의 철수나 새로운 사업 전개 등 끊임없는 변화가 있을 수밖에 없기 때문이다. 이 과정에서 과거에 중요하던 리스크가 현재는 아무런 의미를 갖지 못할 수도 있다. 이런 관점에서 ERM의 중요한 미션은 두 가지로 구분해 볼 수 있다. 첫 번째가 현재의 리스크 요인들을 찾아내고, 이를 사전적으로 예방할 수 있는 방안을 고민하는 것이다. 두 번째는 리스크 자체보다는 리스크의 식별, 보고 및 사전 모니터링 등 전반적인 리스크 관리(RM : Risk Management) 체계를 바로 세우는 일이다. 초기 ERM 구축 시 중점 관리 대상은 리스크 자체보다는 RM 체계에 집중되는 것이 타당할 것이다. 나아가, 획일적인 구축 방법론보다는 각 사의 상황에 적합한 방식을 채택하는 일도 실행력을 높이기 위한 중요한 과제일 것이다.   
  
● 리스크 관리는 회사의 상황에 적합해야  
 
최근 구축되는 ERM의 중요한 배경은 지난 해 발표한 COSO의 위험 관리에 대한 새로운 모델과 이론이 차지하고 있다. COSO의 새로운 모델은 사업의 목적 달성에 장애가 되는 모든 요인을 리스크로 정의하고 있다. 사전적으로 표준적인 리스크 풀에서 출발하는 기존의 위험 관리 혹은 내부 감사(Internal Audit)와 크게 차별되는 부분이다.  
 
전사 혹은 사업부, 팀의 목적으로부터 출발하여 장애 요인을 찾아내고, 각 원인에 대한 처방을 하는 것이 새로운 COSO 모델의 요지라고 할 수 있다. 이 부분에서 빠지기 쉬운 오류는 어느 회사를 막론하고 사용 가능한 정형화된 구축 프레임워크가 있다고 보는 것이다.  
 
ERM 구축의 각 단계별 활동들인 식별, 평가, 대안 마련 등은 해당 기업의 상황에 따라 얼마든지 유연하게 적용되어야 한다. 리스크 식별 단계를 예로 들어보자. 사실 리스크 식별에는 다양한 방법론이 존재한다(<표1>참조). 이중 많이 사용되는 방법이 인터뷰 혹은 프로세스 분석이다. 하지만 양자 방법의 적용에는 상당한 차이가 있을 수 있다.  
 
통상 프로세스 분석은 주로 내부 운영 리스크(Operation Risk)의 아주 작은 단위까지 식별하는 방법이다. 반면 인터뷰 방식은 이보다는 큰 단위의 리스크 단위로, 비즈니스 리스크에 상대적인 무게를 더 두는 방식이다. 양자간의 선택은 회사 상황에 따라 달라져야 한다.  
 
만약, ERP 등을 통해 내부 프로세스 구축 등이 충분히 이루어져 있다거나, 운영 위험보다는 시장의 경기 변동이나 경쟁사의 전략 운용 등이 중요한 경우에는 인터뷰 중심의 비즈니스 리스크 식별에 집중할 필요가 있다. 비단 식별만의 얘기가 아니다. 평가, 대응 방법 등에서도 COSO는 다양한 대안들을 제시하고 있다. 실제로 ERM의 모범 기업들도 각 회사에 맞는 상이한 방식을 사용하는 것을 확인할 수 있다(<표2>참조).  
  
  
리스크 관리 단계별 실행력 제고 이슈  
 
위험 관리의 실행력을 높이기 위한 첫 단추는 인식의 초점을 당장의 리스크를 넘어 위험 관리 체계(RM)에 집중하는 것이다. 통상 리스크 관리의 단계는 위험 요인의 식별/인지, 원인 분석을 통한 개선 작업, 사후 Follow-Up으로 구분할 수 있다(<그림1>참조). 실행력 있는 ERM 구축의 제반 이슈들을 논의해 보기로 하자.   
  
  
단계1 : 리스크 식별  
 
리스크의 식별은 회사에 존재하는 리스크 사건(Risk Event)들이 적시에 인지 되는가에 대한 문제이다. 실행력 제고를 위한 리스크 식별 단계의 가장 중요한 이슈는 현업 혹은 외부의 잠재 리스크들이 자연스럽게 표면화되는 커뮤니케이션 채널의 확립에 있다. 또한, ERM 체계 구축 단계에서 리스크 식별의 깊이보다는 넓이에 집중할 필요가 있다.   
  
● 현장의 리스크가 자연스럽게 식별되어야  
 
리스크 식별의 실행력이 떨어지는 원인 중의 하나는 현업 혹은 외부 고객, 공급선들이 알고 있는 현장의 문제점들이 의사 결정자에게 전달되지 못하고 있다는 것이었다. 간단한 E-mail 서베이나 구성원과의 짧은 인터뷰를 통해서도 현업의 애로, 업무 개선 이슈들을 어렵지 않게 발견하는 경우가 있었다. 리스크를 인식한다는 것은 회사 내부의 누가 되었건 알고만 있으면 된다는 의미는 아니다. 식별된 리스크의 원인 분석을 통해 해결 방안까지 이어지려면 현장 구성원의 머리 속을 떠나 실제 의사 결정자에게 전달이 되고, 해당 이슈를 해결할 수 있는 자원과 인력 투입에까지 영향을 줄 수 있어야 한다.  
 
사실, 해당 업무를 담당하는 구성원보다 그 분야의 문제점이나 개선 방안을 더 잘 알기는 어렵다. GE의 잭 웰치가 얘기하는 벽 없는 조직의 개념이 여기에 적용된다. 잭 웰치의 자서전 「Jack from the Gut」에는 이에 대한 일화가 등장한다. GE에서 오랫동안 근무한 기계공은 맡은 업무의 모든 문제와 개선 방안까지 꿰차고 있었지만 아무도 묻지 않았고, 따라서 실행으로 연결되지도 못했다. 벽 없는 조직은 이러한 현장의 목소리를 위로, 옆으로 자연스럽게 이동할 수 있는 통로를 만드는 작업이었다. 회사의 문제점을 인지하고 대응하는 ERM 체제 구축 시에 이러한 리스크 식별의 자연스런 의사 전달 통로를 만드는 일은 상당한 중요성을 갖는다.   
  
● 식별의 깊이와 함께 넓이에도 초점을 두어야  
 
리스크 전담 조직의 미션이 아무도 모르는 새로운 리스크를 발견해 내고 독창적인 개선안을 도출해 내는 데 있는 것은 분명 아니다. 외부의 리스크 식별도 프로젝트를 진행하는 컨설턴트가 머리를 짜내 새롭게 창조할 수는 없는 일이다. 해당 분야의 전문가를 찾아가고, 현재 고객 나아가 잠재 고객 뿐 아니라 공급사까지 그들이 인지하는 위험 요인을 발견해 내는 작업에 식별의 의미가 있다.  
 
리스크 식별 단계의 중요 이슈 중의 하나는 리스크 식별의 깊이와 넓이 중 어디에 더 중점을 둘 것인가에 대한 것이다. 흔히 리스크 식별 시 프로세스 분석에 집중하는 경우의 오류 중에 하나는, 발생 가능성이 높지 않은 세세한 리스크까지 찾아내느라 오히려 중요도가 높은 외부 전문가 등 다른 시각의 리스크 식별 통로에 소홀해 질 수 있다는 것이다.  
 
하지만 외부의 산업 전문가, 애널리스트, 고객, 공급선 등 다양한 시각을 반영하는 것은 중요한 의미를 갖는다. 내부의 한정된 시각이 보지 못하는 회사의 잠재 위험을 알 수도 있으며, 이 과정에서 리스크의 중요도에 따른 관리의 우선 순위 결정의 균형감을 가질 수 있기 때문이다.  
  
  
단계2 : 원인 분석 및 개선 대안 
 
리스크 관리에서 개선 대안 선정 단계의 미션은 명확하다. 해당 리스크를 일으키는 원인(Cause)을 밝혀내고 원인 별 해결 대안을 마련하는 일이다. 이 부분에서 흔히 발견되는 리스크 관리의 오류는 사건/사고 등 주요 리스크의 대응이 사후 결과 보고에 집중되어 있다는 점이다. 나아가, 사업 전략 등 비즈니스 리스크에 대해서 내부 운영 리스크(Operation Risk)와는 구분된 접근이 필요하다.   
  
● 사고/사건의 사후 보고에 머무르면 곤란  
 
이 부분에서 기업 현장의 리스크 관리 체계상의 허점이 종종 발견된다. 통상적으로 회사의 중요 리스크 혹은 사건/사고에 대한 사후적인 결과 보고는 철저하게 이루어지는 편이다. 하지만 왜 그 문제가 발생했는지, 향후 재발을 막기 위한 방안은 무엇인지를 고민하는 부분에서는 미진한 점이 종종 발견된다. 매출채권 사고나, 인재 이탈 시 이탈율 등의 결과 보고나 사건 담당자에 대한 문책 등은 있으나 근본 원인의 깊이 있는 분석을 통해 개선 대안을 마련하는 모습이 부족한 것이 일반적이다.  
 
나아가, 개선 대안 마련 시 획일화된 유형의 해결안을 마련하는 점도 경계해야 할 것이다. ERM의 선행 관리가 중요해지면서 다양한 개선 대안 유형 가운데 리스크의 원인을 사전적으로 인지하기 위해 정의한 KRI(Key Risk Indicator) 선행 지표에 대한 관심이 높아지고 있다. 하지만 모든 리스크를 KRI 선행 지표만으로 해결할 수는 없는 일이다. 특정 리스크에서는 구체적인 KRI 지표를 선정하기 어려운 경우도 있으며, KRI만으로 해결안을 한정하는 경우 실효성 없는 지표들로 시스템을 가득 채울 우려도 존재한다.  
 
● 사업 전략 이슈에 대한 차별된 접근  
 
비즈니스 리스크의 경우는 개선 대안을 마련하기 보다는 이슈가 되는 리스크의 현상을 보다 정확하게 인식하도록 하는 것이 더 가치가 있는 일일 수 있다. KRI, 프로세스 개선 등 구체적인 해결안보다는 전사 전략 회의 등에서 해당 리스크의 영향도, 향후 대응 등이 충분히 논의될 수 있는 기본 정보를 제공하는 것이 더욱 중요할 수 있다는 얘기다.   
 
반도체 부품을 제조하는 기업의 사례를 들어보자. 이 기업이 직면한 리스크 가운데 가장 중요한 부분으로 꼽을 수 있는 것은 부품 원재료 가격의 인상, 반도체 선행 경기의 침체 등이다. 이러한 리스크들은 이미 산업 내의 대부분의 기업들에게 정교한 형태로 공유되고 있다. 이 경우, 해당 리스크 발생 시 회사에 미칠 수 있는 영향력을 매출, 수익, 현금흐름 등의 관점에서 추정(projection)하는 과정에서 보다 효과적인 리스크 대응이 가능할 수 있다.  
 
사실상 비즈니스 리스크의 경우, 리스크 속성이 안정적인 운영 리스크와 달리, 자사에 미치는 영향력이 경우에 따라 다르기 때문에 보다 효과적인 대응을 위한 경영의사 정보 제공의 중요성이 커질 수밖에 없는 것이다 .  
  
  
단계3 : 사후 Follow-Up 
 
회사의 중요한 리스크가 식별 되고, 원인 분석을 통해 개선 대안까지 마련 되었다고 리스크 관리가 완성된 것은 아니다. 리스크의 식별과 개선 대안 마련은 어찌 보면 리스크 관리를 위한 기본 장비를 갖추었다는 이상의 의미를 부여하는 것은 곤란하다.  
 
발견된 리스크 개선 이슈가 실제 리스크 발생 가능성을 낮출 수 있는가는 현장의 실행력에 달려있기 때문이다. 이 과정에서 흔히 간과하는 오류는 현업, 전산 시스템에 대한 과신이다. 나아가 KRI 선행 지표 등을 통해 이상 징후가 발견된 리스크에 대한 사후 대응의 충실성도 중요한 과제이다.   
  
● 현업, 시스템의 한계를 직시해야  
 
예를 들어, 매출채권 사고가 중요한 리스크로 인지되고, 그 원인 중 하나로 만기 연체 관리가 사전에 이루어지지 않았다고 하자. 구체적인 원인 파악 결과, 수많은 거래 건들의 만기 연체 현황을 일일이 구분할 수 없었음을 알았다. 당연히 개선 대안으로 전사 거래건 별 연체 현황을 알 수 있는 전산 시스템을 도입할 것이다.  
 
재발 방지의 객관성 확보도 중요하다. 예를 들어, 현업 매출채권 관리를 영업 담당자만 책임지도록 하는 경우, 자신의 매출 실적 달성 부담 하에서 연체가 지속된 거래선과의 거래를 단절하기 곤란할 수도 있다. 결국, 시스템이나 현업 담당자에게만 전담하는 경우, 리스크 관리의 누수가 발생할 수 있다는 것이다. RM팀 등 전담 부서를 통해, 해당 리스크의 재발을 확증(Assurance)할 수 있는 안전 장치는 필수적이다.   
  
● 이상 징후 발견시의 대응이 중요  
 
ERM의 중요한 관리 포인트 중의 하나는 리스크의 선행 관리이다. 개별 원인 분석을 통해 리스크의 사전 징후를 파악할 수 있는 관리 지표를 찾는 것이다. KRI는 이러한 선행 징후 발견의 중요한 수단 가운데 하나이다.  
 
통상 KRI의 수준은 평상시 Green, 이상 징후 시 Yellow, 심각한 상황의 경우 Red 등의 시그널로 구분을 한다. 단순히 현재의 수준이 어디에 있는가 보다는 이상 징후에 대비하여 어떠한 시스템과 대응 시나리오를 갖추고 있는가가 더 중요한 부분이다(<표3>참조). 이러한 시스템만으로 거래선의 만기 연체 관리가 완전하다고 볼 수 있을까. 만기 연체일수는 하나의 KRI가 될 수 있다. 하지만 만기 연체 건수 정보가 단순한 집계와 보고로만 끝난다면 앞서의 노력들이 아무런 의미를 갖지 못할 수 있다. 연체의 수준이 경고 수준을 넘는다면 혹시 거래선의 도산 가능성은 없는지 추가적인 분석이 필요할 수도 있을 것이다.   
  
  
전사적 위험 관리의 실행력 높이기  
 
기업의 위험 관리는 실제적이어야 한다. 전사 리스크 관리의 책임은 외부의 컨설턴트나 산업 전문가의 몫이 아니다. 결국은 회사의 구성원들이 리스크 관리의 중요성을 인식하고, 자발적으로 참여하는 문화가 정착되어야 할 것이다.  
 
ERM의 실행력은 막대한 전산 시스템을 갖추고, 수백 개의 KRI 지표를 관리하는 것으로 완성되는 일은 아니다. 당장의 혹은 잠재적인 리스크로 인한 손실을 막을 수 없다면 아무런 소용이 없는 일이다. 전사적 리스크 관리의 성공 여부는 결국 인프라, 전담 조직, 시스템을 넘어 궁극적으로 리스크로 인한 회사의 손실을 최소화하는 데 있다. -끝- 

 

[자료:2005.09.21 | 주간경제 850·1호]