다음은 보고서 전문이다.
올 들어 환율이 예상보다 급속히 하락하는가 하면 천정부지로 치솟던 원자재 가격의 하락 소식과 함께 버블 붕괴에 대한 우려마저 제기되고 있다.
다른 한 편에서는 금융 당국과 기업들이 힘을 합쳐, 그동안 땅에 떨어진 신뢰 회복을 위해 내부 통제 강화에 힘을 쏟고 있다. 기업들이 이와 같은 내우외환을 겪으면서 리스크 관리가 유일한 해법으로 떠오르고 있지만,앞장 서서 리스크 관리를 도입한 기업들은 그운영 과정에서 적지 않은 혼란을 겪고 있다. 이와 같은 혼란은 주로 어떤 이유로 발생하는가?그리고 이를 극복할 방안은 없는 것인가?
1. 리스크 관리 목적 불분명
현실적으로 기업들이 이해하고 있는 리스크 관리의 유형은 매우 다양하다. 그러나 정작 어떤목적을 위하여 리스크 관리를 수행할 것인지에대해서는 고민이 부족한 경우가 많다. 리스크관리를 왜 도입하는지 그 목적에 대한 전사 차원의 합의가 부족한 경우, 구성원들은 리스크관리를 위해 어떤 활동을 해야 하는지 혼란스러워진다.
● 다양한 리스크 유형 중 타깃을 정해야
첫째, 의외로 많은 기업들이 공시통제절차(DC&P : Disclosure controls and procedures)의 정비를 리스크 관리로 이해하고 있다. 이와 같은 현상은 최근 들어 금융 감독 기관에서 사베인-옥슬리(Sarbanes-Oxley) 법안이나CEO·CFO 공시서류 인증제도의 도입에 따라, 내부 통제구조의 강화를 요구하고 있기 때문이다. 이 경우 기업의 리스크는 내부 통제 구조가 제 기능을 수행하지 못하는 상황을 의미하며, 이와 같은 리스크로 인해 기업이 공시하는 재무 정보의 신뢰성은 하락하게 된다.
둘째, 또 다른 기업들은 경영 환경의 불확실성을 제일 커다란 리스크로 인식하고 있다. 이 경우 리스크 관리란 외부 환경 변화를 조기에 경보해 줄 수 있고, 시나리오 플래닝을 통해환경 변화에 유기적으로 대응할 수 있는 체계를 의미한다. 여기에 해당하는 리스크에는 환율 변화나 원자재 가격의 급등, 사업에 영향을미칠 수 있는 기술이나 법규·제도의 출현, 소비 트렌드나 유통망의 변화, 고객 산업의 급격한 경기 변동 등 주로 기업이 막을 수 없는 요인들이 포함된다.
셋째, 폭발이나 테러와 같은 사고나 천재지변과 같은 재난을 사전에 예방하거나 발생하더라도 피해를 최소화하는 활동을 리스크 관리로 생각하는 기업들도 있다. 주로 위험 물질을취급하는 공장이나 대규모 플랜트와 같은 장치산업, 기업 운영에 있어 방대한 전산 인프라가필수적인 기업들의 경우 이와 같은 리스크를가장 중요하게 생각하는 경향이 있다.
마지막으로 기업 역량이 부족하여 더 높은 성과를 올릴 수 있는 기회를 살리지 못하거나,성과를 악화시키는 상황을 리스크로 정의할 수도 있다. 예를 들어 프라이싱 정책을 잘못 수립하여 브랜드 가치를 훼손시키거나, 원자재를생산에 필요한 물량보다 많이 주문해서 진부화되거나, R&D 프로젝트가 시장 변화를 제대로반영하지 못하여 신제품 매출이 저조할 수도있다.
이처럼 기업 운영(Operation) 상에서 발생하는 일반적인 문제점들 역시, 기업의 목표달성을 저해하는 요인으로 작용할 수 있기 때문에 이를 리스크로 이해하고 있는 경우도 많이 발견된다.
● 리스크 유형에 따라 목적과 방식도 달라져
문제 해결의 첫 단계는 문제를 명확히 정의하는 것이다. 리스크 관리 역시 마찬가지다. 관리하고자 하는 리스크가 달라지면 리스크 관리목적도 달라질 수밖에 없다. 앞에서 언급한 4가지 유형의 리스크 중에서 어떤 리스크를 관리할 것인지를 명확히 하고, 이를 모든 구성원들과 충분히 공유하지 않는 한 혼란은 계속될 수밖에 없다.
먼저 리스크 관리 목적에 따라 리스크 관리 전담 부서도 달라지게 마련이다. 많은 기업들이 리스크 관리를 기존 팀의 업무 영역을 확장하는 방식으로 수행하고 있고, 리스크 관리를 위한 전담 부서를 둔다 하더라도 업무 협조를 위해서는 기존 팀들과 긴밀한 관계가 유지될 수밖에 없다.
통제 관점의 리스크는 주로 회계팀이나 감사 혹은 진단팀에서 맡는 경우가 많고, 경영 환경 상의 불확실성과 관련된 리스크는 전략이나 기획 업무를 수행하는 부서에서 담당하는 경우가 대부분이다. 또 재난 성격의 리스크는 대부분 비상계획팀이나 환경안전팀 등이 책임을 지는 것이 일반적이며, 기업 운영상의 리스크는 따로 전담 부서를 두지 않은 채현업 부서를 중심으로 업무를 수행하거나 전사혁신 활동을 담당하는 팀에서 전담하게 된다.
운영 방식 역시 달라질 수밖에 없다. 먼저 통제 관점의 리스크에 대해서는 업무 수행에필요한 체크리스트를 빠짐 없이 만들고 이 절차를 제대로 거쳤느냐를 점검하게 된다. 반면 경영 환경 상의 불확실성과 관련된 리스크는해당 리스크를 발생시키는 요인들을 측정할 수있는 지표(KRI : Key Risk Indicator)를 주기적으로 모니터링하여, 전략 방향의 수정이나 보완을 위한 의사결정의 기초 자료로 활용한다. 재난 성격의 리스크는 사전에 필요한 예방활동에 대한 점검과 함께 피해 최소화를 위한시나리오 플래닝의 수립과 운영에 중심을 맞춘다.
마지막으로 운영상의 리스크에 대해서는주로 프로세스 상의 문제점을 파악하고 이를개선하는 활동 중심으로 이루어지게 되므로,기존의 혁신 활동과 통합하여 운영해도 큰 문제가 없을 것이다.
2. 리스크에 대한 구성원의 거부감
물론 리스크 관리를 위한 밑그림을 제대로 그리지 못한다는 점이 리스크 관리를 정착시키는데 제일 큰 걸림돌로 작용한다. 그러나 사실 리스크 관리가 기업 내에 쉽게 연착륙되기 어려운 가장 커다란 원인은 구성원들이‘리스크’라는 단어에 대해 저항감을 가지고 있기 때문이다. 일단 자신이 맡고 있는 업무에 리스크가 존재한다고 하면, 마치 업무를 제대로 수행하지 못하기 때문에 문제가 있다는 식으로 받아 들이기 때문이다. 이는 결국 경영자들이 리스크 관리를 잘못이해하고 있는 데서 비롯된다.
리스크 관리에 대한 가장 커다란 오해 중 하나는 리스크 관리를 제대로만 하면 모든 리스크가 봄 눈 녹듯 사라질 것이라는 생각이다. 반대로 말하자면 기업의 리스크는 관리를 제대로 하지 않았기 때문에 존재한다고 믿는 것이다. 그러나 환율의 변동이나 원자재 가격의 상승 등과 같은 리스크를 제대로 관리한다고 해서 없어지지는 않는다. 오히려 리스크 관리를 체계적으로 수행할 자신만 있다면, 더 높은 수준의 리스크라도 받아 들일 수 있다. 대부분의 경영자들이 경쟁 기업보다 더 큰 리스크를 부담할 때에야 비로소 초과 이윤을 얻을 수 있게 된다는 명제는 잘 알고 있으면서도, 리스크 관리에 대해서는 의외로 보수적인 태도를 가지고 있는 것이 문제의 시작이다.
● 따스한 햇볕으로 닫힌 마음을 열어야
리스크 관리의 핵심은 부분적으로 관리하던 리스크를 전사 차원에서 통합 관리하는 것이고, 사후 대응 위주의 리스크 관리를 사전 예방 중심으로 전환하는 것이다. 이를 위해서는 먼저구성원들이 기업 내에 잠재해 있는 리스크에 대해 열린 태도를 가져야만 한다. 그러나 혼자만 혹은 부서 내에서만 인지하고 있던 리스크를 전사에 공개하고, 리스크가 현실화되어 손실을 입을 수 있는 가능성을 사전에 자발적으로 보고하기란 결코 쉽지 않은 일이다.
예컨대 자신이 발의하여 여러 해 동안 진행되는 투자 프로젝트가 있다고 하자. 프로젝트 도중에 경영 환경의 변화로 인해 해당 투자안이 실패로 돌아갈 수 있는 가능성을 발견한 경우 가벼운 마음으로 경영진에 보고할 수 있을까? 사전에 그와 같은 문제를 미처 예상하지못했다는 문책을 듣는 게 두려워, 사전에 보고되지 않은 채 프로젝트는 계속 진행되고 나중에 더 큰 손실로 이어지는 경우가 보다 보편적인 현상이다.
따라서 변화의 핵심은 역시 경영진이 되어야 한다. 경영진이 리스크를 사전에 인지하고이를 공유할 수 있는 분위기를 마련해 주지 않는 한, 제대로 된 리스크 관리는 요원할 수밖에 없다. 잠재되어 있는 리스크를 한 발 앞서 찾아내고 문을 열어 모든 이들과 함께 공유하는 문화를 자리 잡게 하기 위해서는, 문책보다는 칭찬을 앞세우는 햇볕 정책이 필수적이다.
월마트의 리스크 관리 프로세스의 핵심인리스크 워크샵도 구성원들이 기업 내부의 리스크에 대해 허심탄회하게 논의한다는 사실을 전제로 하고 있다. 그리고 여기에는 변화에 자유로우며(Open to Change) 자존심을 낮추는(SetYour Ego Aside) 월마트의 기업 문화가 리스크관리를 정착시키는 데 큰 도움을 주었다. 월마트의 리스크 관리 체계를 벤치마킹해서 리스크워크샵을 도입하더라도, 리스크에 대해 흔쾌히 터놓을 수 있는 분위기가 마련되어 있지 않으면 아무런 효과를 볼 수 없는 이유가 바로 여기에 있다.
● 성과 평가 시스템과의 역할 구분을 명확히해야
리스크에 대해 부정적인 시각을 가지는 것이구성원들의 평가와 보상에 따르는 두려움 때문이라면, 양자의 관계를 명확히 하는 것도 필요하다. 특히 구성원들은 운영상의 리스크에 대해서 쉽게 받아 들이지 않으려는 경향이 강하다. 결국은 해당 리스크가 자신의 목을 죄는 부메랑이 될 것이라고 판단하기 때문이다.
이와 같은 문제를 극복하고 실행력을 높이기 위하여 선진 기업들은 성과 평가시스템과 리스크 관리를 통합하려는시도를 하고 있다. 외부 경영 환경 변화를 측정하는 지표는 순수한 KRI로관리할 수 있지만, 내부 운영상의 리스크를 측정하는 KRI는 기존의 성과평가 시스템과 중복될 수 있기 때문이다.
따라서 후자의 경우 각 리스크별대응 방안을 MBO(목표 관리 :Management by Objectives) 형태로구성하여, KMI(Key MitigationIndicator)로 표현하기도 한다. 이처럼 KMI를 도입하는 것은 리스크별 대응 방안을 누가 수행할 것인지, 리스크 담당자(Risk Owner)를 지정하여 그 책임을 명확히 하자는 데있다. 이를 위해서는 해당 리스크 담당자가 실질적인 권한을 보유하고 있어야 함은 물론이다. 권한도 없는 구성원에게 책임만 부여해 주는 것은 반발로 이어지게 된다.
● 기업 지배구조의 정비도 필수
리스크 관리란 보고 싶지 않은 현실을 그려 보고, 이에 대한 대비를 어떻게 할 것인가를 논의하는 것이다. 즉 계획 수립이나 행동 그리고 이에 대한 모니터링의 역할이 한 사람이나 한 부서에 동시에 부여되기 때문에, 자신이 한 행동을 다시 한 번 부정해야 하는 자기 모순이 발생할 수밖에 없다. 따라서 아무리 리스크에 대해열린 논의를 할 수 있는 분위기가 형성된다 하더라도, 제 3자의 견제가 없이는 한계를 지닐수밖에 없다. 결국 제대로 된 지배구조를 갖추는 것이 중요한 것이다. 지배구조의 정비가 필요한 또 하나의 이유는 리스크 관리가 경영진의 독단을 막기 위한유효한 장치가 되어야 하기 때문이다.
리스크관리는 단지 실무자가 관리하는 리스크만을 대상으로 하는 것이 아니다. 실무자가 다루는 리스크의 범위는 제한적이지만, 경영진의 잘못된 의사결정이나 도덕적 해이는 매우 큰 파장을 몰고올 수밖에 없다. 따라서 경영자와는 독립적인 위치에서 적절히 견제할 수 있는 리스크 관리 시스템을 갖추어야 한다.
생활용품과 식품 사업을 하고 있는 다국적 기업 유니레버는전사 리스크 위원회(CorporateRisk Committee)를 중심으로 리스크를 관리하고 있다. 전사 리스크 위원회는 경영 위원회와 감사위원회에 리스크 관리 활동을 보고하여 이사회와 CEO가 적절한 견제를 통해효과적으로 리스크 관리를 수행할 수 있도록돕고 있다. 또한 아래로는 각 사업부별 리스크위원회에 대한 관리·감독을 실시하고 있다
3. KRI의 효과성에 대한 회의
우리 나라 기업들은 선진 기업들이 도입하여효과를 거둔 경영 기법이라면 너도 나도 유행처럼 도입하는 경향이 있다. 리스크 관리 역시이와 같은 비판에서 자유로울 수 없다. 일단 의욕적으로 리스크 관리를 시작한 기업들도 시작할 때 뿐이고, 다시 매너리즘에 빠져 버릴 가능성이 있다. 그 가장 커다란 원인으로는 KRI의효과성에 대해 구성원들이 확신을 갖지 못하기 때문이다. 보통 리스크 관리 프로젝트를 시작하는 상황에서는 각각의 리스크 관리 현황에 대해 심도 깊은 분석을 통해 무엇이 얼마나 문제인지드러내는 과정을 거치게 된다.
이로 인해 많은구성원들이 리스크 관리에 관심도 보이고 향후 벌어질 작업에 기대도 가진다. 그러나 막상 리스크 관리가 KRI 모니터링을 중심으로 이루어지게 나면, 구성원들은 다소 지루해하는 모습을 보인다. 어디에 어떻게 쓰이는지도 모르는 지표를 주기적으로 관리해야 하는 것이 답답하게 느껴지는 것이다.
● KRI는 Follow-up을 통해 갈고 다듬어야
KRI의 유효성은 단기간 내에 확인하기 어려운것이 당연하다. KRI는 선행성에 초점을 두고도출하기 마련이지만, 해당 리스크와의 인과관계를 정확히 규명하는 것이 쉽지 않기 때문이다. 또한 리스크 발생 가능성을 알려 주는 KRI의 경보 기준 또한 어느 수준에 두어야 하는지를 사전적으로 파악하기 어렵다. 게다가 앞에서 지적했듯 리스크 담당자들이 리스크에 대한부담을 가지고 있기 때문에, 기준 설정시 여유(Slack)을 두려는 경향도 있다. 따라서 제대로 된 리스크 관리를 정착시키기 위해서는KRI 지표에 대한 지속적인 업그레이드가 필수적이다. 만일 KRI가 위험 수준에놓여 있지 않은데도 리스크가 현실화되는 일이계속된다면, KRI와 리스크 사이에 인과관계를다시 한 번 살펴 보거나 경보 기준의 적정성을재검토해야 한다.
● KRI는 정확성보다 적시성이 관건
또한 기업 내부에서 얻을 수 있는 지표의 경우정확한 값을 얻을 수 있지만, 고객·시장 혹은경쟁사와 관련된 지표에 대해서는 정확성을 담보할 수 없다. 그러나 구성원들은 일단 상부에보고하는 지표의 경우 정확한 값이 아니면 허위 보고라는 생각에, 정확성에 대해 부담을 가지기도 하고 시간과 노력을 지나치게 많이 들이는 경우가 있다.
리스크 관리의 본질은 경영 환경 변화의 트렌드를 남보다 한 발 앞서 읽고 이를 기업 경영에 반영하겠다는 것이다. 이와 같은 의미에서KRI는 경영 환경이 전략을 수립할 때 예상했던것과는 반대로 움직이는 것은 아닌지 혹은 예상보다 빨리 혹은 더디게 바뀌는 것은 아닌지를 제때에 알려 줄 수 있어야 한다. KRI 관리의 목적은 환경 변화의 징후를 사전적으로 살펴 보기 위함이지, 한 치도 틀리지 않는 데이터를 요구하는 것이 아니다. 이미 언론에서 보도할 정도라면 기업 경영에는 별 의미가 없는 것이다. 따라서 구성원들이 쉽게 접할 수 없는 정보라면, 다소 정확성이 떨어지더라도 제 때에획득하는 것이 중요하다. 정확한 정보는 징후가 보일 때 자원을 집중 투입해서 얻어 오더라도 늦지 않다. 정확성은 양보할 수 있지만, 적시성은 결코 양보할 수 없는 것이다.
얼핏 리스크 관리는 마음만 먹으면 쉽게도입할 수 있는 기술적인(Technical) 시스템처럼 보이지만, 기업에 적용하기 위해서는 여러가지 민감한 이슈들이 자리 잡고 있다. 따라서경영자들이 세심한 주의를 기울이지 않으면 본래의 목적을 달성하기 어려워진다. 결국 리스크 관리도 운용의 묘가 중요한 것이다.
.....LG경제연구원 고재민 책임연구원
저작권자 © 아웃소싱타임스 무단전재 및 재배포 금지
