[21년 2월 칼럼] 코로나 19 사태로 깨닫은 리스크 매니지먼트의 중요성
1. 리스크 관리 활동의 중요성
코로나19 팬데믹은 2020년 전 세계에 걸쳐 엄청난 충격을 주었다. 현재도 국내외 기업들의 크고 작은 조업 차질로 이어지고 있고 앞으로도 소비침체가 장기화될 경우 글로벌 경제위기의 가능성도 배제할 수 없는 상황이 펼쳐지고 있다. 글로벌 제조업의 29%를 차지하고 있는 세계 최대 제조국 중국의 생산 정상화가 지연되고 있어 전세계 산업의 공급망에 지장이 생기고 있다. 최근 Deloitte의 조사에 따르면 중국 조업은 2분기까지도 70%까지밖에 회복되지 않을 전망이다. 언젠가 완전히 종식된다고 해도 이후의 비즈니스 환경은 기존과 완전히 다른 모습이 될 것이다.
기업은 경영 전 부문에 있어 자연재해에서부터 직원의 실수에 이르기까지 수많은 리스크에 노출돼 있다. 기업은 이런 리스크로 인해 작게는 매출의 손실이 겪게 될 수도 있고 크게는 기업의 존재 자체를 위협받을 수 있다. 경영환경 변화의 가속화와 복잡성 증대에 따라 리스크에 대한 노출은 더욱 빈번하게 발생하게 된다.
그러나 한편으로 리스크를 피하기 위해 소극적인 경영을 하게 되면 과감한 경쟁자와의 싸움에서 뒤쳐질 수 있어 이 또한 기업의 생존을 위협하게 되는 요인이 될 수 있다. 따라서 과감한 의사결정을 내리면서도 리스크를 관리 가능한 수준에서 통제하고 대비하는 것이 기업의 생존을 결정한다고 볼 수 있다. 불확실성 하에서 잠재해 있는 리스크를 찾아내어 예방적 차원의 노력을 기울이는 리스크 관리 활동은 획기적인 원가절감을 통한 경쟁우위 확보 노력에 버금가는 중요한 활동임을 인식하여야 한다.
2. 리스크 관리 활동의 개념
2.1 Risk, Issue, Crisis의 정의
“손실, 상해, 재앙 또는 기타 바람직하지 않은 결과를 가져온 가능성이 있는 불확실성 (Uncertainty)의 상태”
불확실성 (Uncertainty)이라는 단어로 인해 일반적으로 바람직하지 않은 사건들만 리스크라고 오해할 수 있다. 하지만 실제로 기대된 결과 이상을 가져오거나 때론 기대하지 못한 기회를 제공하는 Good 리스크도 존재하기도 한다.
리스크에 대한 보다 정확한 이해를 위해 리스크 (Risk)와 이슈 (Issue) 그리고 위기 (Crisis)에 대해 올바른 정의가 필요하다. 먼저 Crisis는 기업의 일상적인 업무를 뒤흔들고 미래 활동에 영향을 주며 이해관계자와의 관계에 영향을 주는 사건으로 정의할 수 있다. Risk는 미래 발생 가능한 Crisis에 따른 미래 잠재 손실이고, 이슈는 Crisis 발생에 대한 신호 (Signal)라고 생각하면 된다.
2.2 리스크 매니지먼트 (Risk Management)의 정의
리스크 매니지먼트는 그림과 같이 위기의 발생 이전 예방 · 방지부터 위기 이후 복구까지 포괄하여 관리하는 개념이다. 미래의 잠재손실에 대해, 사전에 대비할 수 있는 부분에 대해 대응책을 마련하고 리스크가 현실화됐을 때 즉시 대응 매뉴얼을 통해 피해를 최소화 하며 복구 계획에 따라 피해를 복구하는 일련의 작업이 리스크 매니지먼트다. 다시 한 번 정의하면 리스크 매니지먼트는 불확실성으로 인한 조직의 미래 잠재손실을 최소화하기 위해 리스크 인지, 규명, 추정, 평가, 대응으로 이어지는 일련의 연속적 과정을 지속하는 것이다.
3. 리스크 관리 활동의 진화
기업의 리스크 관리 활동은 경영환경의 변화를 반영하고 진화되면서 오늘날에 이르렀다.
1970~80년대는 규모의 경제가 강조되고, 값싼 노동력과 효율적 설비가 기업의 경쟁우위를 결정하던 시기로서 리스크의 방어적 관리기라 할 수 있다. 제조업은 사고가 발생했을 경우 손실 최소화와 리스크 회피를 위한 보험, hedging등을 중심으로 방어적인 차원에서, 그리고 금융업은 ALM (Asset Liability Management)중심의 자산부채 종합관리를 통해 리스크를 관리하였다.
그 후 1990년대에는 기업간 경쟁이 치열해지면서 리스크 관리가 기업 가치 창출의 주요 요인으로 대두되기 시작하는 리스크의 통제 지향적 관리기라 할 수 있다. 제조업은 리스크 관리를 통해 성과의 변동성을 최소화할 수 있도록 내부 통제 시스템을 강화하는 방향으로, 그리고 금융업은 ALM이외에 BIS비율 충족을 위한 신용 리스크 중심의 리스크 관리를 실시하였다.
오늘날은 기업의 지배구조 강화와 경영의 투명성이 강조되는 시기로서 리스크의 전사 통합적 관리기라 할 수 있는 시기이다. 리스크 관리에 대한 정부 기관 및 시장의 요구가 강화되면서 리스크 관리에 대한 보다 체계적인 대응이 이루어지고 있다. 제조업은 기업 지배구조 및 회계 투명성에 관한 관심이 중요한 이슈였고, 금융업은 바젤Ⅱ안에 의해 BIS 비율 산출 시 신용 리스크 뿐만 아니라 운영 리스크 까지를 포함하도록 규제가 강화되었다. 향후에는 리스크 관리가 경영관리의 중심적 역할을 수행하면서 기업가치 창출에 크게 기여할 것으로 예상된다. 이와 같이 시대적 상황을 반영하면서 진화해 온 리스크 관리 활동은 리스크 관리에 대한 관점의 변화를 요구하고 있다.
3.1 개별적 관리에서 통합적 관리로
리스크 관리 활동이 점차 전사 차원의 통합적 관리 관점으로 변하고 있다. 기존의 리스크 관리는 재무, R&D, 구매, 생산, 영업 등 개별 부문 단위의 업무 담당자 중심으로 이루어져 리스크 관리에 대한 전사차원의 공감대 형성이 뿐만 아니라 복잡하고 다양한 경영 리스크에 대해 효과적인 인식과 대응이 곤란하고, 전사차원의 커뮤니케이션이 어렵다는 등의 문제점이 있었다. 개별 리스크 관리의 한계를 극복하려는 ERM이 등장하면서 개별 리스크가 전사차원의 포트폴리오 관점에서 관리되어야 한다는 주장이 강력하게 대두되었다. 리스크를 전사차원에서 통합적으로 관리하게 되면 전사 차원에서 리스크에 대한 체계적인 인식과 대응전략을 수립할 수 있다는 점, 내부통제 활동의 효율화 및 지배구조를 강화할 수 있다는 점, 이해관계자들의 신뢰를 확보할 수 있다는 장점을 지니고 있다. 전사차원의 통합 리스크 관리 사례로는 과거 듀퐁의 사례를 들 수 있다. 듀퐁은 전사차원의 리스크를 EAR (Earning at Risk)로 측정하여 사업단위별로 관리하고 있다. 이를 통해 Risk 관리 자원 및 역량을 효율적으로 활용하고 있다.
3.2 유형 자산에서 무형자산으로
미국의 한 조사기관에 의하면 미국의 30대 상장기업 기업가치의 약 75%가 인적 자산 및 지적 자산 등 무형자산에 의해 결정되는 것으로 나타났다. 이는 무형자산과 관련된 리스크의 비중이 커지고 있다는 점을 시사해 주는 것이라 할 수 있다.
무형자산 가운데서도 인적자원은 기업가치 창출과 리스크를 유발하는 중요한 자원이다. 많은 컨설팅 업체들의 조사에서도 기업가치 상실의 대부분은 인적자원 관리의 실패로 인해 발생한다고 주장한다. 인적자원과 관련된 리스크를 잘 관리하느냐가 기업의 성패에 중대한 영향을 미친다고 할 수 있다. 따라서 기업 가치 창출의 관점에서 경영자가 관심을 기울여야 할 부분은 인력자원과 관련된 리스크가 무엇이고, 그것을 어떻게 관리하여 줄일 수 있는 가를 아는 것이다. 인적자원 관련 리스크 대응은 재무적 관점의 Hedging처럼 단순하지가 않다. 이를 해결하기 위해서는 리스크의 본질을 이해하고, 다른 전사차원의 리스크와는 어떤 관련성을 지니고 있는지를 살펴보아야 한다. 경쟁력 있는 인력의 확보와 함께 인적자원과 관련된 의사결정 프로세스의 정비 등은 리스크 관리를 위해 중요한 활동이다. 그 밖에도 노사문제와 조직원의 사해행위를 예방하는 차원의 리스크 관리에도 만전을 기해야 한다.
3.3 운영 리스크에서 전략 리스크로
기존에는 업무활동과 관계된 내부 통제 중심의 운영 리스크에 리스크 관리의 초점이 맞춰져 있었으나 이제는 전략 목표 달성에 저해가 되는 요인들까지도 리스크 관리 대상으로 포함하고 있다.
예를 들어 전략목표 달성에 필요한 내부 역량을 확보하지 못하는 사항까지도 리스크 관리 대상으로 간주하고 있는 것이다. 이를 위해 전략 목표 달성에 필요한 과제들로부터 리스크를 도출하고 이에 대한 대비책을 수립한다. 월마트의 경우 매년 전략목표를 수립한 후 이를 달성하는 과정에서 발생할 수 있는 리스크들을 정의하기 위해 워크샵을 개최하고 있다. 워크샵을 개최하기 이전에 워크샵 참여자들에게 전략목표 달성을 저해할 수 있는 리스크들을 사전에 고민하도록 과제를 부여한다. 과제를 부여 받은 참여자들은 전략 목표 달성에 방해 요인이 되는 리스크 들을 다섯 가지 정도를 제출한다. 이러한 과정에서 모아진 리스크는 대개 20~30여개에 이른다. 리스크가 모아지면 워크샵을 통해 중점 관리 대상 리스크를 선정한다. 동일한 리스크에 대해서 워크샵 참여자의 의견이 다를 경우 집중적인 토론을 거쳐 합의점에 도달한다. 월마트의 리스크 관리 임원은 토론을 통해 합의점에 도달하는 과정은 전략 실행에 많은 시사점을 찾아내는 아주 매력적인 활동이라고 평가하고 있다.
4. 리스크 관리 활동의 성공 포인트
지금까지 새롭게 부상하고 있는 네 가지 리스크 관리의 관점에 관해서 살펴보았다. 우리 기업들은 리스크 관리 관점의 변화에 대응할 수 있는 리스크 관리의 새로운 틀을 마련하여야 한다. 이를 위해서는 다음의 네 가지 사항에 주목하여야 한다.
첫째, 리스크 관리의 목적과 정책을 명백하게 해야 한다. 리스크 관리는“우리가 왜 리스크를 관리해야 하는가? 라는 질문에서 시작된다. 듀퐁은 리스크 관리의 궁극적인 목적은“비즈니스를 더욱 잘하기 위한 것”임을 명시하고 있다. GE는 리스크 관리의 제반 활동이 사업상의 현금 흐름과 기업 가치의 안정성을 확보하는 것에 있음을 강조하고 있다.
둘째, 중점 관리 대상 리스크를 찾아내어 집중적으로 관리해야 한다.“ 우리 회사의 가장 심각한 리스크는 무엇인가? 우리가 관리할 수 있는 리스크 인가?”등의 질문을 통해 중점관리 대상 리스크를 찾아내어 관리해야 한다. GE나 듀퐁은 영향도가 크고 발생 가능성이 높은 리스크를 중점적으로 관리해 나가고 있다.
셋째, 리스크 관리의 체계화된 Framework을 구축해야 한다. 리스크 관리의 Framework은 다양한 리스크에 대한 관리 방향성을 제시하며 리스크 관리 활동의 효율성을 제고 시켜 준다. 듀퐁과 GE는 전사적 리스크 관리의 체계적인 Framework을 구축하기 위해 많은 시간과 노력을 투입하고 있다.
넷째, 내·외부 커뮤니케이션을 강화해야 한다. 리스크 관리 조직은 리스크 관리 활동에 관한 내용을 가지고 이해관계자들과 적극적으로 커뮤니케이션 해 나가야 한다. 이를 통해 기업 내 모든 조직원들이 리스크 관리의 중요성을 인식하도록 하고, 자사의 리스크 관리 활동이 IR 활동의 정보로서 시장에 전달되도록 해야 한다. GE, 듀퐁, 마이크로 소프트 이외에도 많은 기업들이 사업보고서나 웹 사이트를 통해서 그들의 리스크 수준 및 리스크 관리 활동들을 적극적으로 공시하고 있다.
다섯째, 리스크 관리 리더십이 필요하다. 리스크 관리는 지속적으로 추진되는 기업의 주요 경영 관리 시스템으로 인식되어야 한다. 이를 위해서는 무엇보다도 최고경영자의 관심과 의지가 매우 중요한다. 왜냐하면 모든 기업의 궁극적인 리스크 관리 총 책임자는 바로 최고 경영자이기 때문이다.
기업의 목적은 지속적인 기업 가치 창출에 있다고 할 수 있다. 그 동안 성장성, 수익성 확보에 주력해 온 우리 기업들은 리스크 관리에 소홀하면 잘 나가던 기업이 한 순간에 부실기업 혹은 도산 기업이 될 수 있음을 명심하여야 한다. 공들여 쌓아 온 탑이 한 순간에 무너지는 우(遇)를 범하지 않도록 철저한 대비책을 마련해야한다.
5. 맺음말
기업의 핵심 리스크에 대한 사전 사후 대응 방안을 설계하는 것만으로 리스크 매니지먼트를 하고 있다고 판단하기는 어렵다. 결국 어떻게 잘 실행되느냐가 리스크 매니지먼트의 성공을 좌우하는 핵심 요인이다.
리스크 매니지먼트의 성공적 실행을 위해 핵심 리스크의 사전 징후를 명확히 정의하고 그 징후의 정도를 지속적으로 모니터링 함으로써 리스크 대응 방안을 적시에 실행할 수 있도록 하는 것이 중요하다. 리스크 매니지먼트 체계는 한 번의 구축으로 끝나는 것이 아니다. 기업이 속한 환경과 기업 자체의 특성은 지속적으로 변화한다. 환경과 기업 자체 특성의 변화는 리스크가 기업에 미치는 영향력의 변화를 이끌게 되고 그로 인해 핵심 리스크 요소가 변화한다.
리스크 매니지먼트는 핵심 리스크 요소를 기반으로 그에 대한 대응방안을 마련하는 것을 핵심으로 하고 있으므로 최고 경영진의 철저한 지시하에 핵심 리스크 요소의 변화를 유발하는 기업의 전략 및 사업 포트폴리오의 변동에 따라 지속적으로 업그레이드(Upgrade) 시킬 필요가 있다.
[참고문헌]
[1] 글로벌 E&C 기업 사례로 본 리스크 관리 성공 키워드 (POSRI 보고서)
[2] 리스크 Intelligence 경영체계의 9가지 원칙 (Deloitte)[3] 리스크의 과학, 위험을 어떻게 부와 행운으로 바꿀 것인가 – 앨리슨 슈레거 지음, 서정아 옮김
[4] 실제 위기 케이스를 통해 본 위기관리 프로세스 – Strategy Salad
[5] PMBOK 프로젝트 리스크 관리
[6] Crisis Management Newsletter – March 2020 (Deloitte)
[7] 코로나 19 사태로 깨닫은 리스크 매니지먼트의 중요성 (중소기업 경영연구소)
[8] 기업 Risk 관리의 필요성 및 성공과 실패 사례 (삼일회계법인)