지속경영보고서, 영업내용 제외한 모든 활동 포함돼

	조동성 서울대학교 교수

2000년대 중반부터 윤리경영 이론이 등장했다. 2001년 12월의 엔론(Enron) 회계부정사건, 2002년 6월의 월드컴(Worldcom) 회계부정사건, 2002년 7월의 비방디 유니버설(VivendiUniversal) 회계부정사건, 2003년 2월의 SK글로벌분식회계 및 부당내부거래사건은 윤리면에서 문제를 일으키는 경영이 회사전체에 미치는 충격과 영향에 대해 교훈을 줬다. 또 2008년은 환경경영이 본격화한 해였다.

기후 온난화 현상과 함께 2004년 인도양에서 일어난 쓰나미해일, 2005년 미국에서 일어난 카트리나 허리케인, 2008년 중국시촨에서 일어난 대지진 등의 대형재난은 전 인류가 환경문제를 남의 일로 넘겨버릴 수 없도록 하고 있다. 탄소배출권 시장이 국제적 규모로 자리 잡고 있는 상황에서 기업경영자는 환경경영을 소극적 방어개념이 아니라 적극적 사업 창출 기회로 삼기 시작했다. 이제 환경친화적 활동이 기업이익과 발전으로 귀결한다는 논리가 현실로 나타난 것이다.

과거의 이윤추구를 위한 활발한 경제활동만이 기업의 의무라는 인식을 넘어서 사회적 책임의 이행을 통해 장기적으로 지속가능한 기업으로 성장해야 한다는 의식이 확산돼 지속가능경영의 중요성이 확산되고 있다. 지속가능경영이란 기업이 ‘지속 가능한 기업(Sustainable Corporation)’으로 성장하는 것을 목표로 하는 경영전략으로 기업은 지속가능경영을 통해 장기적으로 계속 기업(Ongoing Concern)이 되기 위해 사회 및 환경적 책임을 전략적으로 활용해 경쟁우위를 창출하고 경제적 책임을 이행할 수 있게 된다.

이에 따라 지속가능경영 규범화와 표준화에 노력을 기울이고 있다. 패러다임의 변화로 다수의 선진 기업들은 비재무적 성과인 경제, 환경, 사회적 성과를 공개하는 지속가능경영 보고서를 발간하고 있고 선진기업들은 지속가능경영에 관한 국제적 규범 확산과 실천에 동참하고 있으며 각 산업별로 자발적 가이드라인을 제정하는데 앞장서고 있다.

우리나라는 지식경제부가 기업에 지속가능경영 확산 지원을 주요 골자로 하는 ‘산업발전법’ 개정안을 2006년 12월 의결했다. BEST 지속경영보고서는 기업 경제활동의 모든 영역에서 발생하는 요소들 중 사업보고서에 해당하는 영업보고서를 제외한 모든 기업 활동을 포괄하는 내용을 담고자한다. BEST 지속경영보고서는 윤리, 사회책임, 환경, 혁신, 창조의 영역을 포함하고 있고 경영내용과 경영방식으로 나눠 복식부기화한다.

또 모든 지표를 계량화해 보고하며 난이도에 따라 5단계로 접근한다. 보고 내용은 경영의 인풋(Input), 프로세스(Process), 아웃풋(Output)을 모두 다루고 타 보고서와 달리 혁신과 창조를 포함하고 있다. 또 객관적 기준에 따른 외부기관의 인증을 받는다. BEST 지속경영보고서는 5가지 원칙에 의해 작성된다. 보고서는 경제, 사회, 환경에 걸쳐 기업에게 가장 중요한 정보를 포함해야 하는 중대성, 독자를 고려한 쉬운 용어사용과 표, 그림, 링크와 같은 보조수단을 통한 독자의 이해도를 증대시켜 명확성을 확보해야 한다.

또 충분한 정량적 데이터를 근거로 해 정보의 왜곡이나 불균형성(부정적인 정보와 긍정적인 정보의 불균형)이 없도록 보고, 정확성을 높이고 보고되는 정보가 허위, 가공 없이 주요한 경제, 환경, 사회적 영향요인을 반영하며 정보 수집절차가 체계적이고 타당성한지 검토해 완전성을 확보한다. 또 지속경영보고서가 포함하고 있는 자료들이 이해관계자들의 정보욕구를 파악해 충분히 반영하고 있도록 대응성을 향상시켜야 한다.

유행 아닌 실질적 ‘위기관리체계’ 갖춰야 

	최정환 LG경제연구원 실장

미국 엑슨 발데즈(Exxon Valdez)호의 기름유출, 영국 석유회사 브리티쉬 페트롤륨(British Petroleum)의 텍사스 유전공장의 폭발과 화재, 존슨&존슨(Johnson & Johnson)의 타이레놀 오염사건, 웬디즈(Wendy's)에서 제공하는 식품 속의 이물질 출현, 콜럼바인(Columbine) 고등학교와 버지니아 폴리테크닉(Virginia Tech)주립대학교의 총격 살인 사건, 카트리나와 같은 자연재해나 국내에서의 태안반도 기름유출사건, 대규모 고객정보 유출 사건들은 관련 기업이나 기관에 심각한 충격은 물론 때로는 극복할 수 없을 정도의 치명적인 피해를 가져다 줄 수 있다.

위기의 주요 특징 몇 가지를 살펴보면 위기는 증후를 사전에 찾기 어려워 갑자기 예기치 못하게 발생 하고, 발생 후 나타날 결과 또한 예측하기가 어렵다. 따라서 심각하고 커다란 충격과 피해를 줄 수 있다. 위기가 발생한 후에는 위기대처를 위해 급박한 의사결정이 요구되고 때로는 일상화된 운영이 급격히 어려워져 통제 상실감을 갖게 되기도 한다. 또한 위기가 발생할 때는 물론 발생 후에도 내외부 커뮤니케이션 관리가 어려워진다.

이렇게 커다란 피해를 줄 수 있음에도 불구하고 위기가 발생할 확률은 대체로 매우 낮기에 기업이나 기관들은 이에 대한 대비에 소홀해왔다. 그러나 이러한 위기를 겪으면서 기업은 비록 예측은 어렵지만 일단 발생되면 돌이킬 수 없을 정도의 피해를 줄 수 있는 위기에 대비 그 피해를 최소화할 수 있는 위기관리 필요성에 대한 인식이 높아졌다. 특히 기업들은 위기가 기업의 전략과 실행에 차질을 가져올 뿐 아니라 평판, 신뢰, 재무적 안정성, 합법적인 행위, 운영의 존속가능까지 영향을 미쳐 기업 생존과 관련된 치명적 결과를 가져올 수도 있다.

그렇기에 위기가 가져올 수 있는 피해를 최소화하기 위해 이를 관리하고자 하는 프로세스인 기업 위기관리에 대한 필요가 중요한 이슈로 대두됐다. 위기가 가져올 피해 최소화가 목적이 되는 기업위기관리를 위한 핵심요건으로는 예행연습에 기반된 위기관리계획, 정기적 위기관리 예행연습, 위기관리계획의 지속적인 점검과 개선을 들 수 있다. 또 위기관리를 위해 사전에 준비해야 하는 것은 위기관리팀(Crisis Management Team)구성, 위기관리 플랜 수립, 정보수집과 사실 수집을 위한 지침 설정, 위기대처 훈련 평가의 정기적 제공과 커뮤니케이션 지침 설정이다.

위기에 직면해 기업이 위기관리가 어떠했는지를 평가할 수 있는 기준을 수립, 실제 위기관리성과를 평가해 봄으로써 기업 위기관리를 개선해 나가야 할 것이다. 위기관리 성과의 평가기준으로 사용되는 것은 정상적 기업운영의 회복정도, 위기로 인한 피해/충격의 완화정도, 위기로부터 얻은 의미 있는 교훈 등을 들 수 있다. 위에서 언급한 요건과 사전 준비를 기반으로 해 기업위기관리 운영모델을 구축하고 반복적 기획과 훈련을 통해 예기치 못한 위기에 대한 기업의 대처 역량을 강화해 나가 위기가 가져올 수 있는 심각한 피해를 최소화해나갈 수 있어야 할 것이다.

최근 기업위기관리분야에서 인재로 인한 위기의 사전방지노력이 증가되고 있고 기업위기관리의 목적이 점차 선행적 위기 방지로 전환돼 가고 있다. 또 기업위기관리를 위한 기업활동이 실제 위기에 대해 수동적이고 반응적이었던 활동에 비해 이제는 능동적이고 선행적 활동으로 바뀌어가고 있으며 기업이 위기관리에 대한 역량강화 필요에 대한 인식을 점차 높이고 있는 것이 추세적 변화로 관찰되고 있다.

인증 획득은 영업연속성관리 가능한 시발점 

	서광백 기업은행 차장

지난 3월 기업은행은 IT 전 부문에 대해 재해방지 국제표준인 BS25999 인증을 전 세계 기업 중 4번째로 획득했다. 이 인증심사를 통해 기업은행은 영업연속성관리체계와 재난관리 능력을 인정받고 무장애 무중단의 서비스 제공을 통해 IT서비스 경쟁력 강화와 비즈니스 목표 달성을 지원하는 효과를 얻었다. 하지만 이렇게 인증 받은 것이 최고 수준의 ‘영업연속성관리체계’를 갖췄다고 자부하는 것이 아니고 ‘영업연속성관리가 가능한 시발점’으로 인식하고 있다.

다양한 재해요인으로 인한 재해손실의 증가와 고객과 감독기관의 중단 없는 금융서비스 요구 등으로 영업연속성계획(Business Continuity Plan, 이하 BCP)은 필수조건이 됐다. 특히 은행업종의 80% 이상이 BCP를 준비하는 등 금융기관에서 BCP 준비는 기업 생존의 필수요소이다. BCP는 재해 및 재난 발생시 업무중단 없이 영업연속성을 유지할 수 있도록 핵심 업무를 복구하고 재개하는 정책과 절차로 그 필요성이 대두되고 있다. 비즈니스영역의 업무재개를 위해서 IT시스템의 복구가 선행돼야 하고 IT BCP체계는 상세화돼야 한다.

또 그 체계는 기존의 DR(Disaster Recovery, 재해복구)시스템 위주에서 전략, 조직, 프로세스가 포함된 구조로 발전됐다. 기업은행은 예방/대비/대응/복구의 4단계로 구성되는 NSC(국가안전보장회의) 공기업 위기관리지침을 바탕으로 위기관리 단계별 영업연속성관리체계를 적용해 전행 BCP를 수립했다. 영업복구를 위한 필수적 시스템복구를 위해 IT부문은 IT BCP체계로 상세화해 IT본부의 위기관리 매뉴얼로 사용하고 있다.

기업은행의 IT BCP체계는 정책, 조직, 인력, 시설, IT자원, 중요정보, 대체사업장, 위기관리 커뮤니케이션 등에 대한 프레임워크로 구성돼 있으며 현황분석을 위한 위험분석과 영업영향분석 등을 바탕으로 재해시 실행할 상세계획인 영업연속성전략과 영업연속성계획서로 구분된다. 위험분석(Risk Analysis)은 주요한 재해 위험요인을 식별하고 은행의 자산별 취약점을 평가해 기존의 통제 방안을 개선하는 절차이고 위험평가와 통제개선안 도출을 통해 위험진단보고서를 만들게 된다.

영업영향분석(Business Impact Aa lys is)은 재해 발생으로 업무중단 시 예상되는 손실을 재무적 혹은 비재무적으로 평가해 업무별 우선복구순위를 결정하고 필요자원을 파악하는 절차로 목표복구시간(RTO, Recovery Time Objective)과 필요자원목록을 도출한다. 영업연속성전략은 목표복구시간 내 복구 및 영업재개를 위한 부문별 실행전략으로 조직, 인프라, 중요정보관리, 커뮤니케이션 전략으로 구분해 작성한다.

또 영업연속성계획은 리스크 발생으로부터 재해선포를 포함하는 재해발생 단계와 대체사업장 이동과 재해복구, 영업재개 절차가 포함되는 영업재개 단계로 구분해 실행계획이 작성된다. 이러한 IT BCP 프레임워크를 체계화하기 위해 기업은행은 지난해 총 7회에 걸쳐 연인원 187명을 동원해 재해복구, IT센터 정전, 네트워크 장애 등 각종 정보시스템에 대한 위기대응 모의훈련을 실시했고 IT센터에 근무하는 모든 임직원에게 교육을 실시했다.

기업은행은 영업연속성관리체계 확립 후 이를 객관적으로 검증받고자 지난해 8월부터 영업연속성관리체계 영국표준 인증을 준비해 지난 3월 BS25999 인증을 획득한 것이다. 심사과정은 현황분석, 개발 및 이행, 심사수행의 단계로 이뤄졌다. 내부인력 및 외부전문가로 구성된 T/F팀이 6개월의 인증준비와 수행업무를 실시해 IT BCP 현황보고서, BCM 정책매뉴얼, 위험분석 및 영업영향분석 보고서, IT영업연속성계획서, 개인직무카드, 문서심사결과 대응보고서 등의 주요 산출물이 작성됐다.

ERM은 경영목표 달성 위한 종합적 관리방안

	김정일 한국IBM 상무

전사적 위험 관리(ERM ; Enterprise Risk Management)가 도입된 배경은 국내외 규제와 평가에 리스크 관리가 부각됨에 따라 회사 신인도 확보가 필요했고 고전적인 군사 위험은 줄었으나 대규모 자연재해, 테러 등 새로운 위험이 증가했으며 산업간 연관관계가 복잡해지고 개인 이익 극대주의 등 사회의식이 변화한 것에서 기인했다.

또 단편적인 관리의 한계 노출, 직원들의 리스크 관리 마인드 부족, 효과적인 경영진의 의사결정 지원 실패 등으로 증가하고 있는 불확실성에 대비해 회사 경영 목표 달성을 보장할 수 있는 종합적인 관리 방안이 필요했다. 이런 필요성에 따라 도입되기 시작한 ERM은 고객을 위해 회사가 제공하는 서비스의 영속성, 안전성을 확보하고 대고객 서비스 수준 저하를 방지하며 주주를 위해 지속적인 회사 가치 증진을 보장함과 동시에 경영진을 위해 회사 자원의 효율적 활용과 경영목표 달성을 보장하기 위한 전략적 수단으로 활용되기 시작했다.

이렇게 활용되는 ERM은 대내외 경영 불확실성에 대비해 회사가 당면한 미래의 부정적인 불확실성에 대한 대응 전략 수립과 이행을 통해 경영 목표 달성을 보장할 수 있어야 했다. 또 직원의 임의적인 판단에 의한 리스크 대응이 아닌 사전에 정의된 표준 절차에 따른 사전적이고 체계적인 대응 체계 수립도 할 수 있어야 했다. 특히 잠재돼 있는 주요 리스크들을 표면화시켜 상시적으로 모니터링하고 적극적으로 관리하기 위한 전사적인 의사소통 채널도 확보할 수 있어야 했다.

운영상의 리스크들이 회사의 내부통제 체계를 통해 관리되고 있는 반면 ERM 영역은 전사적인 영향력을 가진 주요 리스크들만 해당된다. 리스크관리(Risk Management)는 경영목표 달성을 보장하고 회사 자산을 보호하며 고객을 유지하기 위해 회사에 부정적인 영향을 미칠 미래의 가능성을 허용 가능한 수준 이하로 관리해 나가는 업무 프로세스를 말한다.

하지만 전사적 위험 관리(ERM ; Enterprise Risk Management)는 공장 재난, 재무리스크 등 기존에 개별적으로 관리하고 있던 리스크뿐만 아니라 외부환경, 경영위험 등 회사가 당면한 모든 리스크 요인을 인식, 평가하고 연관관계를 파악해 회사 가치 창출을 저해하는 리스크들을 통합적이고 체계적으로 대응, 관리하는 체계이다. 이런 ERM체계를 만들기 위해 위기관리계획의 수립에 있어서 고려해야 할 사항은 매우 많다.

위기관리계획에서 다뤄야 하는 대상과 범위를 정하는 정의(Definition)로부터 시작해 위기관리 계획이 가져야 하는 속성(Attributes), 계획과 체계 운영 조직(Organization), 관련 역할과 책임 (Responsibilities), 계획/체계의 구성(Formation), 위기 발생 시 초기대응(Immediate Response), 조직에 적절한 대응 전략(Strategies), 위기관리 통제와 지휘를 위한 위치(Locations), 계획실행을 위한 통제활동(Control Activities), 긴급재원 조달 등 관련 재무활동(Financial Activities), 대내외 이해관계자/채널 간 의사소통 및 조직 (Communications/ Communication Groups), 임직원 및 관계기관/서비스 비상연락망 (Contacts), 뉴스/신문 등 미디어 통제(Media Control), 관련 법적 이슈(Regulation), 대응/복구 중심의 비즈니스연속성계획과 연계(Business Continuity Planning), 경영진 참여/승인 및 예산 등 체계운영과 행정(Administration), 관련 대내외 규정, 법률 준수(Compliance), 계획문서의 열람/접근용이성(Accessi bility), 계획에 담겨야 하는 내용 및 문서화(Documentation) 등을 고려해야한다.

ISO/TC223 참여 국가 계속 확대되고 있다

	정영환 한국BCP협회 부회장

911테러 발생 이후 재난관리 능력향상을 목적으로 지난 2001년 ISO/TC223(재난관리 표준화 기술위원회)을 설립했으나 뚜렷한 활동을 하지는 못했다. 2004년 인도양 쓰나미 발생 이후 재난관리 표준화의 시급성에 대한 인식이 고조됨에 따라 의장국을 스웨덴으로 변경하고 2006년 5월 1차 총회를 개최해 본격적인 활동을 개시했다. 자국 표준을 제정해 운영 중인 방재선진국 미국, 영국, 호주의 경우 이를 토대로 활발한 국제 표준화 활동(ISO/TC223 : Societal Security)을 수행하고 있고 국내에서는 한국표준협회와 기술표준원, 소방방재청, 한국BCP협회를 중심으로 표준화 활동이 추진되고 있다.

영국은 BS 25999-1, 미국은 ANSI/NFPA 1600, 호주는 AS/NZS 4360-HB221, 204 일본은 내각부(BC지침)를 운영하고 있다. 국내는 한국표준협회가 사업지속경영 표준(안)을 수립하고 기술표준원은 재난관리시스템 표준화를 위한 정책 및 활용정책에 대해 연구하고 있다. 소방방재청은 재난관리 표준화 전략에 대해 연구 중이며 한국BCP협회는 ISO/TC223 대한민국 간사기관으로 활동하고 있다. 2006년 5월 1차 총회 이후 지난 5월20일 제5차 ISO/TC 223 총회를 서울에서 개최했다.

이를 계기로 재난관리 분야에서 표준의 역할과 중요도에 대한 인식을 저변화하고 국제표준화 활동에 대한 대국민, 대정부 인식제고와 ISO/TC223 재난관리 분야에서 한국 측 입지가 강화될 것으로 인정된다. 오는 11월10일부터 제6차 ISO/TC223 총회를 발리에서 개최함에 따라 ISO/TC223 SS(Societal Security)에 관한 용어정의가 어느 정도 마무리되고 프레임워크(Framework)와 지휘통제(Command & Control) 분야가 더욱 발전할 것으로 예상된다.

특히 작업그룹(Working Group)에 IT를 추가하게 돼 더욱 폭넓은 총회가 될 것으로 기대된다. ISO/TC223의 활동범위는 재난관리와 업무연속성 관리 능력 제고를 위한 기술, 인력, 조직, 기능적 상호 호환성 개선과 재난상황 인식의 공유 등을 위한 국제 표준화이다. ISO/TC223은 3개의 작업그룹(WG, Working Group)과 2개의 임시그룹(TG, Task Group)로 구성돼 있다. ISO/TC223 WG은 2006년부터 재난관리 국제표준화를 위한 작업 그룹이 조직화 돼 활동을 시작했으며 기존의 사업지속의 개념과 유사하지만 모든 조직에 적용될 수 있는 운영 연속성 관점으로 표준화 작업을 진행하고 있다.

WG1에서는 재난관리 업무를 분석하고 규격제정의 범위를 검토해 재난관리 표준체계를 정립한다. WG2에서는 국가간 조직간의 원활한 의사소통을 위해 용어표준화를 추진하고 WG3에서는 재난예방, 대비, 대응, 복구 단계에서의 정보수집과 공유, 처리, 흐름, 상호운영성, 구조와 절차, 의사결정 지원 등을 추진한다. 회원국은 P멤버(투표권을 가진 국가) 34개국과 O멤버(참관멤버) 17개국이고 의장국은 스웨덴이다. 2006년 1차 총회 당시 22개 P멤버였던 것에 비해 회원국이 지속적으로 증가하고 있는 추세이다.

직원에 대한 훈련과 위기관리문화에 투자해야 

	유종기 영국BCI 한국대표

MIT 대학에서 잠재적인 대규모 충격에 대한 기업의 대응을 조사한 결과 대부분의 기업들은 아직도 리스크와 취약성에 대해 체계적으로 생각하지 않고 있었다. 예외적으로 과거에 임원들이 납치됐거나 해외 공장에서의 노사파업 등의 충격을 겪었던 회사들은 9.11 이전에 이미 충격에 대한 대비를 어느 정도 갖췄고 보안과 비즈니스연속성 등 재해, 위기대응 탄력성을 강화하기 위해 여러 조치를 취해왔다. 하지만 과거에 특별히 공격으로 인한 피해를 입은 경험이 없는 기업들은 막연한 걱정만하고 있을 뿐 바뀐 것이 아무것도 없다.

그러나 재해, 위기상황을 기회로 생각하고 이에 대한 대비를 통해 기업의 복원력, 탄력성을 높여야한다. 지진과 홍수, 사고 등과 같은 예기치 못한 많은 사건들이 테러공격만큼 기업에게 큰 영향을 가져올 수 있다는 사실이 더욱 확실해지고 있는 상황에서 기업은 다양한 충격을 다뤄야 할 필요성이 점점 강조되고 있다. 업무연속성 관리를 위해서는 대응을 위한 조직을 확보해야한다.

CRO(Chief Risk Officer, 최고 리스크 책임자)와 관련 리스크관리조직의 역할과 임무를 확실히 해 기업 보안과 충격에도 빨리 회복할 수 있는 유연성을 높이는 대응조직과 자원확보를 통한 역량강화를 하자는 것이다. 또 무엇이 잘못될 수 있는가, 그것이 일어날 가능성은 얼마나 되는가, 잠재적 영향은 어느 정도 심각할 것인가의 세 가지 물음에서 출발해 가능성이 높고 심각한 타격을 가져올 수 있는 충격에 집중대응 할 수 있도록 취약성에 대한 평가가 이뤄져야한다. 이후 충격의 가능성을 줄여야 한다

조기탐지와 적절한 다층적 대응, 조치 구현을 바탕으로 이들이 서로 얽혀서 동시에 실패할 가능성을 줄여 충격이 발생하더라도 이를 제한하고 소규모로 억제함으로써 기업의 탄력성을 높여나가야 한다. 이러한 탄력성을 위해 협력을 해나가야 한다. 산업 내 위원회와 협회를 통해 위기관리 노하우를 공유하고 기업간 벤치마킹을 가능하게 한다. 궁극적으로 이러한 협력은 기업이 다른 이들의 경험을 배울 수 있도록 함으로써 충격이 발생해 ‘뼈저린 교훈을 얻기’ 전에 개별기업 취약성을 줄일 수 있도록 해준다.

또 잉여자원과 능력을 내재화해 여러 공급업체와의 거래, 추가 재고, 잉여 생산능력, 인원확충, 가동률을 하향 유지하는 것은 탄력성을 창출하는 가장 간단한 방법 중 하나이고 기업이 충격으로부터 빨리 회복할 수 있도록 해 주는 역할을 해준다. 기업경영을 잘하기 위해서는 공급체인의 잉여와 이에 따른 불가피한 비용에만 의존하려 할 것이 아니라 잉여는 적더라도 충격으로부터 빨리 회복하는 데 사용할 수 있는 유연성을 구축함으로써 탄력성을 개발해야 하는 것이다.

유연성은 기업에게는 불가피한 고정비용이 아니라 수요와 공급을 맞추는 일상의 문제를 해결하는 데 쓰이는 분명히 실존하는 자산이다. 기업에서 가장 중요한 자산은 직원이기에 훈련과 문화에 대한 투자가 이뤄져야한다. 다방면의 트레이닝과 순환근무를 통해 각 업무를 처리할 수 있는 사람들의 숫자가 늘어남으로써 충격이 발생하거나 가동률이 절정에 달했을 때 필수자원으로 활용할 수 있다.

ERM 도입 목적, 가치창출과 성과향상 

	이희정 삼정KPMG 부장

ERM(Enterpise Risk Management)은 높은 중요성에도 불구하고 국내산업에 아직까지 정착하지 못하고 있다. 이는 ERM을 단순히 리스크관리 목적으로만 인식해 비용발생 업무로 생각하고 있기 때문이다. 하지만 ERM은 가치창출과 성과향상에 목적을 두고 있다. 조직 내에 성공적으로 ERM을 구축·운영하기 위해서는 CEO의 의지, 관련부서와의 협업, 명확한 범위선정, 추진인력의 전문성, 지속적 운영과 개선점 도출활동이 필요하다.

ERM을 구축하고 운영하는 것은 오랜 시간과 많은 인적자원과 비용 등이 들어간다. 따라서 경영진의 의지 없이 출발했다가는 구축 중간에 정지되거나 운영 1~2년 내에 사라지는 것이 현실이기 때문이다. 또 ERM은 말 그대로 조직 목표달성을 위협하는 리스크를 관리하는 것이기에 이해관계가 형성되는 부서가 다양하다. 감사, 경영관리, 전략, 홍보, 총무, IT등의 관계부서가 이에 속하며 T/F팀 출범시 반드시 함께 공유하고 참여할 수 있도록 유도해야한다.

ERM 구축방식에 있어서는 일괄진행 방식이나 단계별 진행방식으로 추진할 수 있다. 산업·조직규모에 따라 차이는 있을 수 있으나 일반적으로 범위정의를 하고 진단을 거쳐 설계와 구축 작업에 들어간다. 그리고 시스템을 구축한 뒤 운영을 하고 개선해 나가는 방식으로 추진된다. 이 모든 것이 갖춰졌다고 해도 추진인력의 전문성이 미흡하다면 실패할 확률이 높다. 그렇기에 문제해결을 위한 체계적 분석과 접근, ERM 프레임워크에 대한 이해, 구축된 시스템을 통해 경영진 의사결정을 위한 메시지 도출, KRI 설계와 과제도출 등의 분야에 전문성 있는 인력을 갖춰야한다.

성공적으로 ERM을 구축하고 운영하는 선진기업의 시사점은 지속적 운영과 개선활동이다. 이를 위해 ERM 정책수립, ERM 조직운영, 프로세스 와 시스템을 구축하고 운영하고 있다. 즉 성공적인 ERM 구축을 위해서는 3~6개월 이내의 단기적 성과에 치중하지 않는다. ERM성과는 짧게는 6개월에서 길게는 2~3년 후에 그 효과가 보이기 시작하기에 중장기 관점에서 조직의 가치예방 및 보존뿐만 아니라 가치창출에 기여한다. 경영진 의지 및 전문성 부족 등으로 인해 조급해하면 중도포기 가능성이 99% 이상이다.

또 리스크 매니아를 양성해야 한다. ERM 구축과 운영을 위해서는 통계, 법률, IT 뿐만 아니라 성과관리(Balanced Score Card), ABC(Activity Based Costing) 등 다양한 영역을 커버해야 하므로 매니아가 아니면 감당하기 힘들기 때문이다. 상대적으로 경영진 관심이 높은 분야부터 출발해야한다. 조직규모에 따라 차이는 있겠지만 ERM 프레임워크 전체를 한 번에 전 조직에 구축하기 위해서는 짧게는 4~6개월부터 길게는 2~3년이 걸릴 수도 있다. 따라서 처음부터 너무 크게 범위를 설정하지 말고 효과를 볼 수 있는 영역부터 실행하는 것이 바람직할 것이다.

ERM, 다양한 환경변화 요인에 실시간 대처체계 

	전민구 Sd3 실장

이익의 극대화를 추구해 온 기업의 전통적 경영방식은 한때 성능지상주의의 제품생산 방식에서 시작해 고객의 요구가 제품과 서비스의 품질을 더욱 중요시하는 방향으로 변화함에 따라 소위 품질지상주의 경영방식으로 변화했다. 이후 품질 검사(Inspection)로부터 QC(통계적 품질관리), QA(품질보증), TQM(종합적 품질경영), TPS(도요타 생산방식)과 6시그마(Sigma)에 이르기까지 기업의 품질경영은 발전을 거듭하며 소비자의 요구에 적극 대응해 왔다.

아울러 최근에 들어서는 고객이 원하는 모든 요구를 적극적으로 수렴하고 이에 대응하는 것이 수익을 극대화하고 혁신을 가능케 하는 핵심가치라고 정의하는 고객만족경영도 널리 확산됐다. 이렇듯 기업은 태생적으로 끊임없이 변화하는 외부 요구를 수렴하며 그 안에서 기업의 가치를 극대화하기 위해 노력해야 소위 사업면허(License to operate)를 유지하고 연속성을 추구할 수 있는 것이다. 적어도 지금까지의 기업 경영은 이렇듯 재무적 가치에 영향을 미치는 주주, 소비자 등 핵심 이해관계자에 포커스를 맞추고 이에 능동적으로 대응하는 것으로 사업면허 유지가 가능했다.

그러나 경제적 발전에 환경보호와 사회적 조화를 더한 지속가능 발전의 개념이 확대되고 시민사회의 활동이 강화된 지금 기업 활동의 경제, 환경, 사회적 영향에 대한 책임이 강조되고 이러한 기업의 책임을 요구하고 관련 활동을 예의주시하는 이해관계자의 범위와 활동도 확대됨에 따라 소수 이해관계자에게만 집중하는 전통적 기업의 경영방식은 많은 한계를 드러냈다. 기업은 실시간으로 변화하는 이해관계자의 관심과 요구의 체계적인 이해를 바탕으로 관련 사업의 중요 기회와 리스크를 적극적으로 관리하고 이에 대응할 수 있는 체계를 갖춰야 생존을 보장받을 수 있는 시대가 된 것이다.

이것이 소위 지속가능경영체계이다. 기업의 전사적 위기관리와 재해/재난의 복구를 다루는 사업연속성관리시스템의 실행과 제3자 인증에 대한 세계 최초의 국가표준인 BS 25999-2:2007에 따르면 ‘사업연속성관리 (BCM)란 조직에 대한 잠재적 위협과 이러한 위협이 발생했을 경우 사업 운영에 미칠 수 있는 영향을 파악하는 총체적 관리 프로세스와 조직의 핵심 이해관계자, 명성, 브랜드 및 가치창출 활동을 보호할 수 있는 효과적인 대응과 조직의 복구능력을 제공하는 체계’를 의미한다고 정의하고 있다.

지속가능경영과 사업연속성관리가 추구하는 핵심 공통분모가 바로 이해관계자에 있음을 알 수 있는 대목이다. 따라서 기업이 재해, 재난상황에서 이해관계자의 권익 보호를 위해 이를 적극적으로 커뮤니케이션하고 중단된 사업을 계획된 시간과 영향의 범위 내에서 복구하는 능력을 갖추는 것은 비단 경영의 리스크에 대응하는 시스템으로써 뿐만 아니라 지속가능경영의 관점에서 점점 더 확대되고 다양해지는 모든 이해관계자에게 신뢰를 제공하는 기본적 역량으로 간주될 것이 분명해 지고 있는 것이다.

궁극적으로 지속가능경영 시대의 확대된 이해관계자는 기업의 사회, 환경 및 확대된 사회경제적 긍정적 혹은 부정적 영향을 관리하는 방식과 기후변화와 같이 급변하는 경영의 리스크에 대해 대응방식을 구체적이고 보다 자세히 확인하길 원하고 있으며 이러한 정보를 바탕으로 기업에 대한 지원과 투자 등의 의사결정을 내리고 적극적 행동에 나설 것이다. 전사적 리스크 관리 관점에서 사업연속성관리가 지속가능경영의 근본 바탕이자 핵심이 되는 것도 바로 이러한 이유에서이다.