글ㅣ유종기 영국 BCI(Business Continuity Institute) 한국대표, Deloitte 안진회계법인 기업리스크자문본부 Manager

최근 글로벌기업의 차별화된 경쟁력확보를 위한 소위 SCM2.0 전략이 치열하다. 삼성경제연구소의 최근 연구보고서에 의하면 글로벌기업들은 전통적으로는 재고감축에 초점을 맞춘 SCM(Supply Chain Management, 공급망관리) 1.0을 바탕으로 했으나 최근에는 차별적 경쟁력확보를 겨냥한 차세대 SCM(일명 SCM 2.0)을 앞다퉈 추진 중이다. SCM 1.0이 기업 입장에서 '비용절감(재고감축)'을 추구하는 반면 SCM 2.0은 탄력, 그린, 고객지향 등을 추구하며 '유연성 확보(building resilience)'를 중시하는 것이 차이점이다.

즉 SCM 1.0만으로는 최근 들어 급변하는 글로벌 생산·물류·유통 환경 속에서 지속적인 경쟁력 확보가 어려운 실정이라는 것을 보여주고 있다. 특히 탄력적 SCM, 즉 글로벌공급망(공급체인)의 위기관리체제 구축은 제조, 유통업에서 리스크관리와 BCP 측면에서 상당히 중요하며 통상 SCM이 고도화될수록 공급망의 위기대응력은 취약해지는 경향이 심화된다.

제조회사들이 JIT(Just-In-Time) 등으로 대표되는 감량경영(lean operations/man agement)을 내세워 재고 및 중복투자를 회피한 결과 위기가 발생했을 경우 대처가 쉽지 않은 상황이 발생(탄력성의 약화)할 가능성이 커졌다. 특히 글로벌화가 진척되면서 예기치 못한 수요변동, 협력업체 도산, 자연재해, 테러 등 경영위기의 발생빈도와 충격, 영향과 파괴력이 증대하면서 이전에 리질리언트 엔터프라이즈(Resilient Enterprise: Overcoming Vulnerability for Competitive Advantage)에서도 소개된 사례인 2000년 초 같은 위기상황을 맞았던 노키아와 에릭슨이 위기관리력의 차이로 인해 희비가 갈렸던 사례가 대표적이다.

지난 호에서 언급한 GM의 리스크관리사례에서도 강조한 것과 같이 위기 모니터링 체계를 구축하는 것은 물론 비상계획 및 선택 가능한 대안을 준비함으로써 공급망의 취약성과 위기를 선제적으로 관리할 수 있는 준비는 아무리 강조해도 지나치지 않는다. 실제로 공급망의 위기는 나비효과로 인해 기업경영에 치명적인 손해를 끼칠 수 있으므로 체계적인 신속 대응과 협력업체간 공조가 필수적이다.

글로벌기업의 위기대응력을 강화하기 위해 유연성을 보강하는 방향으로 기존 공급망을 재설계하는 것이 중요하고 예측하지 못한 수요변동에 대처하기 위해 '탄력적 계약', '생산처의 다양화' 등으로 공급망의 유연성 확보하고 소수 공급업체에 대한 높은 의존도로 인해 발생할 수 있는 충격을 줄이기 위해 다수 공급업체를 활용하고 공급업체간 긴밀한 협력을 유지하는 것을 권고하는 것은 BCP에서 중요한 요소 중 하나인 제3자 비즈니스연속성 확보(3rdpartyBusiness Continuity)와도 일맥상통한다.

한 조직의 전사적 리스크관리 체계는 비전과 조직의 목적/목표라는 최상위단계부터 리스크 대응매뉴얼과 조기경보시스템, 대시보드 등 매뉴얼과 시스템이라는 최하위 체계로 정리할 수 있다. 물론 이러한 체계에 대한 정의는 하나의 모범사례이고 정답은 아니며 그 조직의 비즈니스 행태, 성격, 조직문화에 따라 변경 적용이 필요하다.
ㆍ리스크관리 정책(Policy) : 조직 비전, 조직 목적/목표 반영
ㆍ리스크관리 도입/관리 전략(Strategy) : 도입원칙, 지배구조, 대응전략, 운영전략 포함
ㆍ리스크관리 절차(Process) : (순서) 리스크인식, 리스크평가, KRI(Key Risk Indicator 주요리스크지표) 도출, 모니터링 및 보고, 리스크대응
ㆍ매뉴얼/시스템(Response Plan - Manual, System): KRI대응 매뉴얼, 리스크 대응매뉴얼, ERM 시스템
* 말미에 기술한 BS 31100에서 소개한 Risk Management Framework 구성요소도 참고

그러면 이러한 구성요소/체계 하에서 ERM 체계수립을 위한 수행절차와 간단한 방법을 알아보자. 대체로 수행절차는 리스크인식(Risk Identification) > 리스크평가(Risk Assessment) > 리스크 대응(Risk Response Strategy/Res ponse Plan, KRI 선정/추출 포함) > 모니터링(Monitoring) 의 생명주기(lifecycle)형식으로 보고 있으며 더 구체적으로 나열해보면 다음과 같다. (ERM 컨설팅 수행방법론에서 진행하는 수준/성숙도 평가(maturity level)와 현황분석 등의 부분은 여기서 설명하지 않는다.)
ㆍ리스크인식 - 리스크 유니버스/맵(Risk Universe/Map)등 정형화된 리스크 풀(Risk Pool, 위험여러요소)을 기반으로 부서 인터뷰, 설문을 통해 해당 조직에서 전사적 영향과 충격으로 발전될 가능성이 있는 취약한 리스크를 추출
ㆍ리스크평가 - 리스크 대응 이전의 총리스크(Total or Inherent Risk)와 리스크 대응 수준을 평가해 차감한 잔여리스크(Residual Risk)를 결정하며 ERM 도입 등 전략수립을 통해 추가적인 대응방안 수립으로 인해 최종 수용 가능한 잔여리스크(Acceptable Residual Risk) 수준을 파악, 조직이 목표로 하는 허용치(tolerable level, threshold)를 넘어서는 경우 해당 부분에 대해 대응방안을 수립하는 대상 기준 마련, 즉 관리대상의 우선순위화
ㆍ리스크대응 - 비상대책위원회 포함 대응조직구성 및 대응매뉴얼 작성, 평상시 리스크관리 절차와 비상시 위기관리절차(Crisis Management Procedure) (지표데이터 수집 등 KRI 추출 포함)
ㆍ모니터링 - 핵심위험요소(Key risk)에 대한 집중 분석 및 모니터링 위한 지표 도출 후 위기 시 의사결정 지원하는 Dashboard 형식의 시스템 구성, 조기경보시스템(EWS, Early Warning System) 등

다음은 글로벌 리스크 중요성(Risk Importance)과 관리난이도(Discomfort Risk is Being Managed Appropriately) 간의 관계를 나타내주고 있다. (출처: Excellence in Risk Management 2007 보고서by MARSH, RIMS) 각 기업의 리스크관리담당자를 대상으로 한 설문조사를 통해 다뤄지고 있는 리스크가 중요하면서도 이를 대응, 관리하기가 매우 어려운 분야가 그림에서 빨간색으로 표시된 우측상단에 위치한 영역으로 전사적리스크와 BCP, 위기관리분야가 눈에 띈다.

조사에서도 알 수 있듯이 전사적리스크관리는 대상 자체도 중요할 뿐 아니라 실제적으로 운영과 관리가 매우 어렵고 정답이 없어서 다양한 산업에서 진행하고 있는 모범실천사례(best practice) 들을 계속 벤치마킹 하는 지속적인 노력이 매우 중요하다. 다음 호, 전사적리스크관리(ERM)와 BCP 제4부에서는 실제 글로벌기업의 몇몇 사례를 소개하면서 지금까지 강조해왔던 ERM 구성요소와 체계, 관련 이슈들이 어떻게 유기적으로 구현되어 운영, 관리되고 있는지를 알아본다.

리스크관리 practice를 정형화, 표준화한 몇가지 좋은 표준문서를 소개한다.
1) 2006년에 발간된 호주규격 AS/NZS 4360: The Risk Management Standard
2) 2008년 영국규격 BS 31100: Code of Practice for Risk Management, PAS(Publicly Available Specification)를 지나 DPC(Draft for Public Comment) 단계를 거치고 있으며, 하반기 중에 최종규격화 될 예정)
* BS 31100에서 정의하고 있는 Risk Management Framework 구성요소를 간단히 짚어보면 다음과 같다.
ㆍ리스크관리 문화 Risk Management Culture
ㆍ리스크 가버넌스(구조/조직 포함) Risk Governance
ㆍ리스크관리 전략 Risk Management Strategy
ㆍ리스크 성향 Risk Appetite
ㆍ리스크관리 정책 Risk Management Policy
ㆍ리스크, 영향 분류 및 측정 Risk and Impact Categorization and measurement
- 전사적 리스크 구성을 시장, 신용, 운영, 프로젝트, 재무, 전략, 평판 리스크로 크게 구분
- 영향 구분은 재무적, 인적, 서비스, 고객, 주주(이해관계자), 투자자, 제품, 법률/규제준수, 평판과 브랜드로 분류
ㆍ역할과 책임 Role & Responsibility
ㆍ훈련/교육 Training
ㆍ리스크관리 도구 Risk Management Tools - 업무운영 Practice, 기술 Techniques, 템플릿 Template, 문서 Documents, 시스템/솔루션 Systems, 전문가 조언 Advices 로 다양
ㆍ(대내외) 보고 (Internal / External) Reporting 
ㆍ 경영진 검토 Review