기업은 지속적인 성장과 생존을 꿈꾼다. 그러나 급속한 성장을 추진함으로써 기업의 영속성을 해치거나 외부 경영 악화로 절체절명의 위기에 처하는 경우가 적지 않다. 미국의 간판급 자동차 회사인 GM과 포드의 신용평가 수준이 투기 등급으로 전락하고 소니와 IBM처럼 초우량 기업들도 위기에 직면하곤 한다. 성장과 안정을 함께 추구할 수 있다면 더할 나위가 없을텐데 이른바 위대한 기업들에게도 그리 녹록한 일이 아니다.
이러한 지속 가능한 성장을 가져오는 방안은 어떤 것이 있을까? 이중 하나가 바로 요즘 확산되고 있는 전사적 리스크 관리(Enterprise Risk Management: ERM)이다. 혹자는 리스크 관리를 성장 추구와 상충하는 것으로 이해하기도 하지만 이는 단견에 불과하다. 리스크 관리는 기업이 일상적으로 접하게 되는 제반 위험 요소들을 식별하고 대응할 수 있도록 해준다.
리스크 관리를 통한 지속 가능한 성장 추구
맥킨지에서 올해 초에 발표한 서베이 결과에 따르면 이사회 멤버들은 단기적인 성과 이외에 기업의 장기적인 건강에 관심을 기울이고 있다. 맥킨지 보고서는 재무적 성과와 수익은 기업의 현재 성과(Performance)를 나타내며 운영 역량, 조직 자산, 시장 구조, 사회 네트워크 등은 기업의 건강(Health)을 나타내는 영역으로 분류하고 있다. 리스크 관리는 성장만을 급급하게 추구하면서 간과할 수 있는 제반 영역의 리스크를 적절히 대응함으로써 장기적 성장 기반을 확보하게 해준다.
이런 맥락에서 리스크 관리는 건강 검진에 비유할 수 있다. 종합 검진을 통해 체력 저하 가능성을 사전에 탐지하여 적정 건강 수준을 유지하는데 도움을 얻을 수 있다. 검진에서 지적되는 이상 징후에 과민하게 반응하여 몸에 무리가 되는 행동을 일체 피하거나 검진 자체를 아예 받지 않는 어리석은 사람은 없을 것이다.
리스크 관리는 겨울철 스포츠의 하나인 컬링(Curling)과도 흡사하다. 경기 참가자들은 동그란 돌을 빙상에 던지고 돌이 미끄러져가는 길목을 열심히 닦아낸다. 링 안에 최대한 가까이 던지는 것을 기업의 목표라고 한다면 원하는 링 안에 돌을 집어넣기 위해 얼음 위를 쉴새 없이 다듬는 활동은 리스크 관리로 볼 수 있다. 이렇듯 리스크 관리와 기업의 성장은 상충하는 것이 아니라 서로 보완적인 관계에 있다. 듀폰은 리스크 관리의 목적을 비즈니스를 더욱 잘 하기 위한 것이라고 명시하고 있으며 GE도 기업 가치 확보에 있음을 강조하고 있다.
ERM을 통한 선진 경영 시스템 구축
금융기관을 중심으로 발전해온 리스크 관리는 제조업으로 점차 확산되고 있다. 초기에 금융기관은 신용 리스크 중심의 리스크 관리를 실시하였다. 제조업은 성과의 변동성을 최소화하기 위해 내부 통제 시스템을 강화하는 방향으로 리스크 관리를 도입하였으며 최근에는 전략 목표 달성을 저해하는 영역까지 확대하고 있다. 전략 목표 달성에 필요한 내부 역량을 갖추지 못한 것도 전사적 리스크 관리(ERM) 대상으로 포함시키는 것이다.
또한 리스크 관리는 민간 기업에만 머물지 않고 공기업에서도 활발히 도입되고 있다. 작년부터 공기업 평가 요소로 성과 관리 체계와 위험 관리의 중요성이 부각되면서 한국전력, 한국토지공사, 한국도로공사 등이 위험 관리 시스템 구축을 추진 중에 있다.
이렇듯 ERM의 확산에도 불구하고 그 동안 숱하게 혁신 활동을 경험해 온 기업들은 일부 회의적인 시각을 보이기도 한다. 기존의 리스크 관리 활동들이 다양한 형태로 진행되어온 터라 전사적 리스크 관리 역시 또 하나의 유사한 프로젝트가 아니냐는 인식이다. 그러나 기업이 처한 환경 변화가 더욱 극심해지고 개별 부서 수준의 대응이 어려워짐에 따라 전사 차원의 리스크 통합 관리 필요성에 대한 공감대는 점차 높아질 수밖에 없다.
또한 주요 기업들이 선진 경영 시스템 구축에 관심을 쏟기 시작하면서 ERM의 가치가 더욱 더 부각되고 있다. 국내 주요 그룹은 어려운 국내외 경영 환경에서도 ‘초일류 기업 도약’, ‘일등 기업 달성’, ‘성장과 혁신 가속화’ 등 공격적인 경영을 추구하고 있으며 이를 실현하기 위해 조직 역량 강화와 경영 시스템 개선을 추구하고 있다. 지난 해 IBM에서 전세계 CEO를 대상으로 ‘The Global CEO Study 2004’ 서베이를 실시한 바 있다. 이 조사에서 CEO들은 향후 3년간의 최우선 이슈에 대한 질문에 매출 성장이라고 답변하고 있다.
눈 여겨 볼 부분은 변화하는 시장 여건 및 위험을 예측하고 보다 효과적으로 대처하는 능력 개발 또한 중요하게 평가하고 있다는 점이다. 전사 차원의 리스크 통합 관리와 경영 시스템 개선 측면에서 ERM의 가치가 증대하고 있는 것이다.
ERM의 성공적인 정착 방안
이러한 ERM에 대한 적극적인 관심과 노력에도 불구하고 구축 이후에 정착 및 확산시키는 방안에 대한 논의는 그리 활발하게 이루어지지 않고 있다. 전사 관점의 리스크 관리가 도입된 지 얼마 되지 않은 탓도 있고 아직은 구축 자체에 관심이 집중되어 정착 및 안정화에는 주의를 기울이지 못한 탓도 있다. ERM이 지속적인 생명력을 가지고 기업의 리스크 관리를 위한 최적의 솔루션으로 정착하기 위한 방안들을 정리해 본다.
● 공통의 언어로 통용되어야
리스크는 무엇이고 우리는 왜 리스크를 관리해야 하는가?
리스크 관리의 첫 단추는 리스크에 대한 개념을 전사 차원에서 공유하는 것이다. 누구나 리스크라는 표현을 쓰고는 있지만 리스크의 개념을 서로 다르게 이해할 수도 있고 부서간에 컨센서스가 이루어지지 않을 수도 있다. 리스크 자체에 대한 정의가 공유되지 않은 상황에서 리스크 관리를 수행하는 것은 동상이몽에 불과하다. 리스크 관리는 전사적으로 내재되어 있는 리스크를 표면으로 드러내어 지속적으로 대응할 수 있는 틀을 제공하고 전 구성원이 공통 언어(Common Language)로 활용할 수 있어야 한다.
ERM에서 말하는 리스크는 단순한 불확실성이 아니라 조직의 전략적, 업무적, 또는 재무적 ‘목표’를 달성하는데 영향을 줄 수 있는 불확실한 미래의 사건을 의미한다. 리스크 관리는 이러한 사건들에 의해 발생할 수 있는 손실을 최소화하여 기업의 시장 가치를 높이는 것이다. 또한 개별 리스크의 감소만을 추구하는 것이 아니라 성과 목표 등을 고려해 수용 가능한 리스크 수준을 설정하게 된다.
리스크 개념을 정리한 다음엔 무엇을 리스크로 볼 것이냐에 대한 컨센서스를 이루어야 한다. 이를 위해서는 리스크를 식별하는 과정에 관련 부서들의 포괄적인 참여가 필요하다. 개별 부서 차원에서 리스크를 도출하게 되면 동일한 리스크라도 다른 부서와 상이하게 바라볼 수 있다. 예를 들어 ‘인재관리 미흡’이라는 리스크를 다루게 될 때, 영업부서에서는 ‘영업인력의 이탈’ 문제를 의미하고 인사부서에서는 ‘신규 인력 채용 및 육성’ 문제로 이해할 수 있다. 이런 리스크에 대한 시각차를 정리하는 작업이 선행되어야 한다. 각 부서에서 다양하게 제기된 리스크들의 상대적 중요도와 시급성을 고려해 우선순위를 매기는 작업도 필요하다. 이 모든 과정에 관련 부서들의 긴밀한 협의와 조정이 이루어져야 한다.
이렇듯 리스크 관리의 실행력을 높이기 위해서는 해당 리스크에 대한 명확한 정의가 선행되어야 하며 관련 부서간 원활한 커뮤니케이션이 이루어져야 한다. 선진 기업들도 리스크의 개념을 공유하고 사내외에 전파하는 작업을 활발히 수행하고 있다. 마이크로소프트는 여러 분야의 전문가로 구성된 위험 관리 그룹(Risk Management Group)을 운영하고 있다. 이들은 사내 리스크 관리의 선교사로서 온라인과 오프라인으로 내부 구성원들에게 리스크 관련 정보를 제공하고 교육을 수행한다. 이를 통해 모든 구성원들과 리스크 관리 활동을 공유하고 외부의 이해관계자들에게도 알림으로써 시장의 신뢰를 강화시키고 기업 가치도 제고시키고 있다. 이외에도 미국 상장기업의 약 10%가 리스크 관리를 총괄하는 CRO(Chief Risk Officer)를 두고 있다. CRO는 주주에게 리스크 관리에 대한 정보를 제공하고 각 부서의 리스크 담당자와의 협의를 통해 리스크 식별 및 부서간 협의를 주도하고 있다.
● 성과 연계 보다는 사전 예방 기능을 중시해야
리스크 관리는 성과 평가와 연계하기 보다는 선행 관리 수단으로 모니터링 역할에 중점을 두어야 한다. 리스크 관리 수준을 성과 평가에 직접적으로 관여시키면 리스크 자체를 회피하거나 숨기게 되는 부정적인 효과가 발생할 수 있다. 예를 들어 ‘고객 클레임 처리 미흡’을 다루는 경우에 클레임의 유형 및 발생 추이를 파악해야 본질적인 문제를 다룰 수 있는데 반해 단순히 클레임 수에 초점을 맞추어 클레임을 입력하지 않거나 일부러 누락시키는 경우가 발생할 수 있다.
리스크 관리 지표 역시 성과 보다는 모니터링 기능이 강하다. 리스크 관리에서 활용하는 지표는 KRI(Key Risk Indicator)로서 기존의 성과 관리 지표와 동일하게 취급되어서는 안된다. KRI는 리스크가 발생하기 전에 그 가능성을 사전에 예측하는 선행 지표와 리스크가 발생한 이후에 그 결과가 얼마나 심각한가를 보여주는 후행 지표로 구성된다. 후행 지표는 성과 또는 실패와 연계되어 기존의 KPI(Key Performance Indicator)와 흡사한 경우가 많다. 하지만 선행 지표는 대체로 성과와 상관없이 업무 활동을 모니터링하는 지표들로 구성된다. 리스크 관리에서 가장 핵심적인 것은 바로 선행 지표이다. 그런데 이러한 모니터링 지표를 성과 지표로 활용하게 되면 모니터링 기능 자체가 왜곡될 수 있는 것이다.
리스크 관리의 기본 취지를 상기해봐도 무조건적인 성과 연계는 지양해야 한다. 리스크는 일상적으로 반복되는 것보다는 아직은 발생하지 않았지만 미래에 발생할 가능성이 높은 사건들이 대부분이다. 또는 아직은 그 심각성이 크지는 않지만 향후에 사업에 큰 영향을 줄 수 있는 사건들이다. 리스크 관리는 발생한 이후에 손실의 최소화보다는 발생하기 전에 그 가능성과 심각성을 감소시키는 것이 주된 목적이다.
즉 리스크에 대한 과도한 회피가 아니라 효과적인 통제와 관찰이 매우 중요하다. 감시와 성과 평가 보다는 예방 차원에서의 모니터링 역할이 강화되어야 리스크 관리의 실효성이 보장될 수 있다.
● 모니터링의 적시성이 확보되어야
많은 기업들이 리스크 관리 활동을 수행하고는 있지만 관리 지표의 적정성과 적시성을 확보하는 일이 그리 쉽지 않다. 리스크 지표가 적절하게 선정되지 않아 실제 리스크 발생 위험이 증가하고 있는데도 이를 감지하지 못할 수 있다. 물론 반대의 상황도 발생할 수 있다. 또한 리스크 요인을 사전에 인지하는데 상당한 시간이 소요되어 적시에 대처하지 못할 수 있다. 따라서 적절한 모니터링 지표 선정과 이상 징후에 대한 신속한 대응 활동이 중요하다.
리스크별로 적절한 KRI가 선정이 되면 이는 조기경보시스템(Early Warning System)으로 관리된다. 이를 통해 지표에 이상 징후가 발생하게 되면 그 수준에 따라 관리자에게 자동 보고가 된다. 리스크 관리 담당자는 징후가 발생하는 시점에서 해결되는 시점까지 리스크 발생 부서의 처리 활동을 모니터링하고 이를 경영진에게 보고하게 된다.
여기서 조기경보시스템은 IT 시스템에만 국한되지는 않는다. 위기 발생 가능성을 사전에 감지하여 담당자에게 통보함으로써 사전에 대응할 수 있는 제반 체계를 의미한다. 모니터링의 적시성만 보장된다면 막대한 시스템 투자를 굳이 할 필요는 없다. 모든 데이터를 실시간으로 살펴볼 필요도 없으며 리스크의 유형에 따라 적시성의 기준도 달라질 수 있는 것이다.
시스템 구현시 고려해야 할 추가적인 요소는 쉽게 관리할 수 있는 지표들을 뽑아내는 것이다. 지표 관리를 수작업에 너무 의존하게 되면 시스템의 활용 수준이 떨어질 수밖에 없다. 그렇다고 정량적이고 재무적인 지표들로 채우게 되면 지표의 유효성과 대표성이 떨어지게 된다. 리스크를 파악할 수 있는 지표들을 모두 도출한 다음에 시스템에 적합한 지표들로 조정해주는 작업이 필요하다. 무척이나 수고스러운 작업이지만 시스템의 활용성을 높이고 지표 관리의 지속성을 확보하는 차원에서 주의 깊게 이루어져야 한다.
GE는 모니터링 시스템(Digital Cockpit)을 구축하여 전세계 GE의 주요 비즈니스 활동을 매 15분마다 모니터링하고 있다. 실시간으로 각 프로젝트의 상태를 검토하고 위험 신호가 뜨면 각 사업 부문장 및 담당자에게 E-mail 등으로 자동 통보를 하고 있다. 이를 통해 시장 변화에 대응하는 주기가 짧아지고 위험관리 기능도 향상되었다. BASF도 BASIKS(BASF Information & Communication System)라는 조기 경보 시스템을 통해 주요 리스크 지표들을 관리한다. 해당 지표가 위험 수준에 도달하게 되면 리스크 관리 담당자에게 즉시 통보하여 리스크에 대한 선행 관리를 수행한다. 전사 차원의 주요 리스크에 대해서는 분기별로 평가를 하며 감사팀에서 사후 모니터링을 실시하고 있다.
● 기존의 업무에 녹아 들어가야
ERM을 처음부터 너무 거창하고 힘들게 시작할 필요는 없다. 실행하기 쉬운 방식으로 일상 업무에 자연스럽게 적용하는 것이 바람직하다. 기업 내 모든 구성원이 리스크 관리 담당자 수준이 될 필요가 없다. 각 직급의 구성원들이 일상 업무에서 리스크를 인식하고 활용하면 충분하다.
기업에는 이미 사업계획 수립이나 투자 의사 결정 등의 일상 업무가 이루어지고 있다. 지금까지는 재무 지표와 투자 성과 중심으로 검토를 해왔다면 이제부터는 각 활동별로 잠재되어 있는 리스크에 대해 논의하고 점검하는 활동을 추가적으로 실시할 수 있다. 혁신 과제를 수행할 때도 마찬가지이다. 지금까지 혁신 과제를 검토할 때는 해당 과제의 문제점과 이를 해결하면 달성할 수 있는 목표 위주로 살펴왔다. 하지만 이제부터는 과제와 관련된 리스크와 대응 방안을 추가적으로 살펴 볼 수 있다. 매출 위주로 과제 목표를 설정해놓고 애써 관련 리스크를 무시함으로써 발생될 수 있는 비효율성과 잠재 손실을 미연에 방지할 수 있는 것이다.
혁신 활동과 리스크 관리를 연계하는 것은 다른 부수적인 효과를 가져올 수 있다. 이미 국내 주요 기업은 혁신 활동을 광범위하게 실시하며 선도 기업들의 경우 구성원의 30~40% 수준을 혁신 과제에 참여시키고 있다. 혁신 과제를 수행하면서 리스크라는 개념에 익숙해지고 업무 추진상의 리스크에 대한 대응책을 모색하면서 손쉽게 리스크 관리를 일상화시킬 수 있는 것이다. 또한, ERM을 추진할 때 전사 차원의 리스크 요인들을 도출하게 되는데 이를 혁신과제로 연결시킬 수도 있다. 모니터링이 중요한 리스크들은 지표를 통해 관리하고 개선이 필요한 리스크들은 혁신 테마로 연계해 대응 방안을 모색할 수 있는 것이다. 리스크 관리를 위해 별도의 확산 계획과 변화 관리를 추구하는 것 보다는 이렇게 기존의 프로세스를 활용하는 방안이 더욱 효과적이고 변화에 대한 거부감을 줄일 수 있다.
변화 관리를 통한 선진 경영 시스템으로 정착
다른 프로젝트도 마찬가지이지만 ERM 역시 일부 리스크 관리 담당자와 외부 컨설턴트들에 의한 ‘그들만의 작업’으로 진행되어서는 안된다. 구축 자체에 치중하여 시스템을 구현하는 활동에만 매몰되어서도 안 된다.
ERM 도입으로 어떤 변화가 발생하고 이를 어떻게 자연스럽게 전 직원들에게 수용시킬 것인지에 대한 변화 관리에 신경을 써야 한다. 현업이 가치를 느낄 수 있어야 성공적인 정착과 확산이 가능하다. 이를 위해서는 구축 과정을 간과해서는 안 된다. 사원들의 참여 없이 핵심부서와 외부 컨설턴트만 모여 추진하면 확산 시에 모멘텀이 떨어진다. 프로젝트 종료 후에도 프로젝트 참여자들이 조직 내 확산을 위해 일정 역할을 유지해야 한다.
마지막으로 ERM은 경영 시스템으로 자연스럽게 동화되어야 한다. 리스크 관리만을 위한 별도의 조직과 프로세스가 독립적으로 운영되는 것이 아니라 성과 관리 시스템과 경영 정보 시스템 등 기존 경영 관리 시스템에 보완적으로 스며들어야 한다. 고도계와 속도계만 놓여있던 계기판에 다양한 기상 정보와 안전운행 정보가 실시간 모니터링 시스템으로 구현되는 것이다. 성장 일변도의 전략을 추진해왔던 국내 기업들에게 ERM은 지속 가능한 성장을 도모할 수 있게 할 것이다. ERM을 우리 기업들의 선진 경영 시스템의 일부로 정착, 발전시켜 나가야 할 때이다.
(장강일. LG주간경제 2005.5.20)
댓글 없음:
댓글 쓰기