영국 BCI 유종기 한국대표

전사적리스크관리(EMR) 주제의 연재기획은 ‘재난포커스 7월호’부터 4회에 걸쳐 ▲1부 전사적리스크관리란?(1회) ▲2부 전사적리스크관리의 구성과 체계(2회) ▲3부 전사적리스크관리의 실제(3회) ▲4부 전사적리스크관리의 미래(4회) 순으로 게재할 예정이었습니다. 그래서 지난 7월호에는 ▲1부 전사적리스크관리란?(1회)를 게재했습니다. 하지만 필자의 사정에 의해 게재 순서를 일부 변경하게 됐음을 알려드립니다.

세계 최대의 자동차 제조업체인 GM에서는 매년 36만 명의 직원들이 850만대 이상의 자동차를 만든다. GM의 생산은 전세계 53개국에 걸쳐 이뤄지며 약 200여 개국에 자동차를 판매하고 있다. 자동차 한 대에는 수천 개의 정밀부품과 전자부품이 들어가는 데다 GM은 수십개의 브랜드와 모델을 가진 만큼 수많은 공급업체들의 수 겹에 걸친 네트워크를 통해 부품을 조달한다. 이처럼 방대한 네트워크를 운영하는데 있어서 존재하는 취약성과 리스크를 가장 잘 다룰 수 있도록 GM은 기업리스크관리 팀이라는 전담 부서를 조직해 운영하고 있다.

취약성 따라 4분법 분류기준 개발
GM은 충격을 분류하기 위해서 취약성에 따른 4분법 분류기준을 개발했다. 이들 네 개의 취약성은 금융시장에서의 취약성(financial vulnerability), 전략적 취약성(strategic vulnerability), 위험에 대한 취약성(hazard vulnerability), 그리고 운영상 취약성 (operations vulnerability) 으로 이뤄져 있다. <그림>은 또한 충격이 기업의 내부 또는 외부에서 기인하느냐에 따라 환상형으로 분류하고 있다.

	<그림>GM의 취약성에 따른 4분법 동심원(Concentric) 지도

원의 중점 가까이에 써져 있는 충격은 기업의 내부에서 기인한 것인 반면 중점으로부터 멀리 떨어진 충격들은 회사의 외부에서 연유하는 것이다. GM의 공급망(supply chain) 담당자들은 특히 하단의 두 부문, 즉 위험에 대한 취약성과 경영상 취약성에 가장 크게 중점을 두고 있다. 경영상 취약성은 공급업체의 조업차질로부터 시작해서 내부직원에 의한 횡령, 사취, 절도에 이르기까지 모든 것을 포함한다.

이들은 주로 생산수단에 대한 충격을 의미한다. 위험 취약성은 이상기후, 지진 또는 사고 등 우연에 의한 충격과 악의적 충격, 즉 테러공격이나 제품에 대한 손상 양쪽을 모두 포함한다. 금융시장의 취약성은 거시경제적인 충격과 기업내부의 재무 문제, 환율의 급변 및 신용등급의 하락을 비롯해 기업 재무제표의 오류 등을 포함한다.

그리고 전략적 취약성이란 해외의 새로운 경쟁자의 출현이나 소비자들의 불매운동에서 내부 윤리의 위반 등을 포함한다. 전략적 취약성이란 주로 적절한 전략을 통해 예방할 수 있는 취약성에 중점을 두고 있다. 이들 네 가지 전역에 걸쳐 GM은 약 100개 이상의 취약성을 파악하고 있으며 위기대응 훈련에 이 취약성 지도를 활용하고 있다.

리스크관리의 정답은 없다
기업이 직면하는 취약성과 가치를 저해하는 리스크는 매우 다양하고 해당 기업의 비즈니스성격, 지리적 위치, 이해관계자(stakeholders)의 관계 등에 따라 가변적이다. 비즈니스 환경의 불확실성의 증대로 실제로 기업은 전략적 결정을 할 때마다 리스크 요소를 고려하지 않을 수 없다.

오퍼레이션의 집중화, 해외 공급업체와의 거래, 해외시장으로의 진출, 노사협상, 인수합병(M&A), 새로운 인프라에의 투자, 신제품 출시, 새로운 조직구조 등의 많은 전략적 결정이 치밀한 취약성과 리스크 평가를 거쳐 이뤄져야 한다. 어떤 리스크가 증가하고 어떤 리스크가 감소하는가? 리스크를 계량화할 수 있는가? 특정위험을 조기에 탐지할 수 있는 프로세스(EWS, Early Warning System)를 개발할 수 있는가? 리스크를 제거 또는 전가할 수 있는가? 등 고려할 것들이 매우 많다.

리스크를 지혜롭게 대처하는 방법을 개발하고 구현하는 것은 해당 기업과 조직의 몫이며 책임이다. 앞에서 소개한 GM의 리스크관리 방법은 하나의 사례일 뿐 리스크관리의 정답은 없기에 더더욱 리스크를 담당하고 관리하는 실무자는 많은 어려움과 한계에 부딪힌다.

금융회사 중 35%는 ERM 운용 중
실제로 기업들이 ERM에 대해 어떤 준비와 계획을 가지고 있으며 어떤 리스크를 다루고 있는지 그리고 도입에 있어서 직면하는 문제나 어려움은 없는지를 알아보자. 2007년 금융회사를 대상으로 조사한 ‘Deloitte Global Risk Management Survey’에 따르면 응답 회사중 35%가 ERM이 구현(progra m in place)돼 있고 32%는 도입이 진행 중(currently impl ementing)에 있으며 18%는 도입을 계획 중(plan to create)에 있다고 응답했다.

구현, 구축 중에 있는 기업/조직 중 4분의 3 이상이 지난 24개월 동안 ERM에 대한 투자를 증가시켜왔다. 향후 24개월 동안에도 계속 투자를 할 계획과 의지를 가지고 있다고 조사됐다. 지난 4월 방한한 캐서린 리뮤 시카고 연방준비은행(FRB, Federal Reserve Bank) 수석 부사장은 “미국에서 은행 감독에 가장 효과적인 접근법은 ERM로 모든 종류의 기업 리스크 관리가 가능하기 때문에 사업별로 동떨어진 감독이 아니라 많은 이점을 가지고 있다”며 “너무 거시적 또 미시적으로 접근해서 감독에 실패하는 오류를 막아주기 때문에 미국의 대형 금융회사들이 리스크 관리 시 ERM 접근법을 잘 이행하고 있다”고 말했다.

시장·운영·신용 리스크 가장 많이 다뤄
ERM의 대상 리스크영역으로는 시장(Market), 운영(Operational), 신용(Credit) 리스크가 주로 다루고 있는 리스크(가장 많은 응답, 88% 이상)이다. 이어 유동성(Liquidity), 준거성(Regulatory/Compliance), 정보보호(IT Security) 및 비즈니스 연속성(Business Continuity) 리스크를 많이 주로 다루고 있다(58~68%)고 조사됐다. 그리고 정보기술(Information Technology), 시스템 관련 리스크와 기업/조직의 전략계획(IT Risk, Strategic Planning)과 ERM이 잘 연계돼 있다고 답한 응답(42~46%)은 과반에 미치지 못했다.

예산책정 및 프로젝트 관리 리스크(budgeting, project mgmt risk)와 ERM의 연계/통합도 잘 돼 있다고 응답한 것은 불과 36~37%에 지나지 않았다. Basel II(금융권 대상 국제규제사항), 사베인 옥슬리(Sarbanes-Oxley, 회계개혁법, 내부회계관리제도 관련) 활동, 시스템과 ERM의 연계/통합 역시 전체에서 각각 32%, 13% 정도만 잘 돼 있다고 나타났다.

또한 설문조사에서 ERM 도입 시 당면과제로 리스크평가, 분석을 위한 기존 데이터(Data)확보 문제(61%), 리스크를 바라보는 조직문화, 인식(Culture) 제고문제(51%), 여러 종류의 리스크에 대한 통합 및 의사결정을 위한 데시보드(dashboard) 구현을 위해 필요한 관련기술/지원시스템 구현(tools & supporting technology systems) 문제(30%) 등이 주로 꼽혔다.

마지막으로 전사적 리스크관리 체계의 도입의 투자대비효과에 대해서는 4분의3 이상이 ERM 프로그램 도입의 가치를 투자비용보다 높다고 응답(49% 이상은 비용대비 큰 가치를 기업/조직에 가져왔다(much greater than the costs)라고 도입효과를 높게 평가)했다. 구체적인 ERM 프로그램의 가치로는 다음과 같이 답변들이 주를 이뤘다.

▶ 리스크와 통제(risks and controls)에 대한 이해 증대/개선 (52%)
▶ 외부이해관계자(특히 관련 산업 규제기관 regulator)에 대한 인식(perception) 개선 (44%)
▶ 사고/사건 발생에 따른 손실 감소(reduction in losses) (35%)
▶ 신용평가기관의 인식 개선 (improved rating agency perception) (33%)
▶ 수익의 질(earnings quality) 개선 (27%)
▶ 주주/이해관계자에 평판, 투명성(reputation and transparency) 제고 (24%)
▶ 위험조정수익률(risk-adjusted returns)의 개선 (24%)
▶ 경제적 자본에 대한 요구사항 감소(requirement for economic capital) (21%)
▶ 보험료 감소 (reduction in insurance premiums) (3%)

미국 서브프라임 모기지 부실문제로 인한 국제금융시장의 불안, 고유가와 세계경제 둔화 등 시장 불확실성의 증대로 기업의 리스크관리 수준은 신용도를 평가 받는 척도가 됐다. 전사차원의 리스크관리는 중요한 기업 핵심역량으로 가치와 중요성을 점점 인정받고 있다. 다음 호(재난포커스 9월호)에서는 리스크관리 도입을 생각할때 기준으로 삼을 수 있는 전사적 리스크관리체계의 구성요소를 자세히 소개한다.

참고자료:
ㆍExcellence in Risk Management III - An Annual Survey of Risk, RIMS & MARSH, 2007년
ㆍDeloitte Global Risk Management Survey 2007
ㆍCOSO Enterprise Risk Management: Understanding the New Integrated ERM Framework, Robert Moeller, 2007년
ㆍSimple Tools and Techniques for Enterprise Risk Management, Robert Chapman, Wiley, 2006년
ㆍThe Complete Guide to Business Risk Management, 2nd Edition, Kit Sadgrove, GOWER, 2005년
ㆍ리질리언트 엔터프라이즈(The Resilient Enterprise), 요시 쉐피 MIT 교수 저, 딜로이트 안진회계법인 역, FKI미디어, 2006년
ㆍBCM, 비즈니스연속성관리 - A Practical Guide, 전경련 FKI미디어, 2008년2월