기업에서 리스크 관리는 새로운 것이 아니다. 다만 이전에는 업무 현장에서 발생한 근로자 재해나 지적재산권 침해, 악성 채권 등 실제 사건이 발생하는 경우에 대비하기 위해 기업보험 가입 등으로 대처하는 것이 일반적이었다. 하지만 최근에는 법규제 준수(컴플라이언스)는 물론, 불확실한 미래 위험까지 사전 예측, 대응할 수 있도록 리스크 관리의 범위와 기능이 확장되고 있다.
실제 위기, 특히 기업의 통제권역 밖에 있는 외부 위험 요인에도 기업은 비즈니스와 매출, 수익에 영향을 받지 않아야 한다. 정부 감독기관이나 법규제뿐 아니라 기업 투자자들 또한 기업에 GRC(Governance, Risk Management and Compliance) 체계 구축을 요구하는 것도 이 때문이다. 이는 기업의 리스크 관리가 컴플라이언스 수준을 벗어나 비즈니스 연속성 관리(BCM)과 통합 구현될 필요성을 높이고 있다.
업계 전문가들은 기업이 리스크 관리를 컴플라이언스에만 국한시켜 적용할 경우 오히려 GRC 투자 효율성을 떨어드리고 기업 방향을 왜곡시킬 수 있다고 지적한다. 가트너가 컴플라이언스와 리스크 관리, 통제(거버넌스)를 하나의 분류로 지정한 배경이 설명된다. 그러나 이는 기업의 GRC 비용을 증가시키는 요인이기도 하다.
◇매년 GRC 비용 증가=AMR리서치에 따르면 경기 침체가 장기화되고 있지만 기업의 GRC 투자 비용은 줄어들지 않고 있다. AMR리서치가 400여 기업들의 IT 담당자를 대상으로 한 2008년 GRC 비용 조사에 따르면, 기업들은 지난해 320억달러 이상의 예산을 GRC 솔루션에 사용한 것으로 나타났다. 이는 2007년보다 7.4% 이상 증가한 것이다. 2006년 대비 2007년 비용은 8.5% 증가해서 연간 비용 증가율은 떨어졌지만 기업들이 GRC 솔루션에 대해 여전히 많은 비용을 지출하고 있음을 보여주고 있다.
AMR리서치는 이 때문에 기업들이 컴플라이언스 비용을 줄일 수 있는 방법을 찾고 있는 것이 당연하다고 전한다. 하지만 기업들은 보다 효율적인 GRC 투자 방법을 찾는 한편으로 특정 GRC 프로젝트에서 리스크에 대한 광범위한 지원으로 방향 전환하고 있다.
AMR리서치는 조사 대상 기업들이 GRC 예산을 리스크와 법규제 준수 외에도 비즈니스 프로세스 효율화에 사용하고 있다고 밝혔다. 이를 통해 기업 운영의 가시성을 보다 확보하고 비즈니스 환경의 품질과 안전성을 증진시킬 수 있도록 한다는 것이다.
ARM리서치의 조사는 리스크 관리에 비즈니스 연속성(Business Continuity) 관점의 통합 경향을 반영하고 있다. 이전에는 리스크 관리자와 비즈니스 연속성 관리자가 각각 존재했으며 두 시스템은 별개의 사일로로 존재했다. 서치CIO닷컴은 기업이 당면한 리스크와 리스크 관리의 의미가 달라지면서 통합 관점이 부상하고 있다고 설명한다.
전통적 의미의 기업 리스크는 보험 가능한 리스크에 초점을 맞춰 왔다. 현재와 같은 운영 리스크는 기업 리스크에 포함되지 않았다. 직원 재해, 기업 재산 피해, 법적 책무에 대한 대응이 기업 리스크 관리자의 책임이었으며, 리스크 관리자가 기업의 브랜드 이미지와 명예 실추까지 책임지게 될 것으로는 생각되지 않았다.
비즈니스 연속성은 2000년 뉴욕 9·11 테러, 2005년 뉴올리안스를 강타한 태풍 카트리나, 매년 되풀이되는 캘리포니아 대형 산불 등 속수무책의 천재지변을 겪으면서 부상했다. 기업들은 천재지변에도 기업 비즈니스가 지속돼야 하며 그렇지 못할 경우 기업 생존이 위협받는다는 벤더들의 메시지에 동의했다. 기업 비즈니스의 지속성은 데이터센터와 데이터의 가용성에 좌우된다는 점에 따라 테러, 대형 화재와 태풍 등 불가항력적인 재난에도 가용될 수 있도록 데이터센터의 지속 운영 체계를 마련해 왔다.
◇관리 능력 따라 위험 결과도 달라져=기존 전통적인 의미의 리스크, 비즈니스 연속성에서 다루는 천재지변 등의 리스크와 구분해서 최근 등장한 리스크는 운영 리스크(operational risk)의 성격을 지닌다. 사전에 어떻게 관리해 왔느냐에 따라 리스크로 인한 기업 피해 정도가 크게 달라지는 리스크다.
또 오늘날 기업 비즈니스의 위협 요인으로 천재지변보다 법규제, 부적절한 데이터 유출 등 보안 사고의 비중이 더욱 커지고 있다. 법규제나 경제 위기 등 기업 외부의 요인으로 기업 비즈니스와 매출에 부정적 영향을 받는 일이 늘어나면서 기업은 별도로 존재했던 BCM(비즈니스연속성관리)과 ERM(기업리스크관리)를 GRC 관점에서 통합 운영하는 것을 요구받고 있다.
서치CIO닷컴은 정보보호, 사기피해, 데이터 유출로 인해 지출되는 기업 비용이 연간 수백만 달러라며, 전통적 관점의 리스크 관리와 구분해 더욱 포괄적이고 사전 예측적인 리스크 관리, 즉 운영 리스크 관리가 필요하다고 지적한다. 또한 ERM은 궁극적으로 기업의 비즈니스 운영 능력이며, 기업 리스크 관리가 오히려 기업에 기회로 작용할 수 있다고 주장했다.
◇컴플라이언스만을 위한 리스크 관리는 위험=리스크 관리는 조직이 자본과 수익에 대한 위험으로부터 영향을 최소화하도록 계획, 수행, 통제하는 일련의 프로세스와 행동으로 규정된다. 경제 위기 속에서 증가하는 법규제와 정보 유출 등 외부 요인이 기업 리스크 관리에 대한 전사적 차원의 관심을 높이는 데 기여하고 있다.
성숙한 리스크 관리는 △리스크와 리스크 관리 수준에 대한 정의 △기업이 당면한 컴플라이언스 의무 리스트 확보 △다양한 관점에서 기업을 위협하는 리스크 상황 이해 △취약점 규정 △취약점 최소화 프로세스와 통제 구현 △기타 리스크 측정 및 관리 수준 정의 △위협 범위 내 기업 내외부 변화 요인 반영 후 조정 등으로 이뤄진다.
하지만 리스크 관리 자체가 프로세스는 아니다. 기업의 리스크 관리는 기업 운영과 시스템 전역에 걸쳐 내재되는 것이란 설명이다. 따라서 기업 리스크 관리 모델이 성숙할수록 기업은 회계, 인사관리, 시설자산, 정보시스템, 기업 브랜드와 이미지 등 전 영역에서 부서장들이 리스크 관리를 이해하고 함께 책임지는 구조가 된다. 이른바 공통 거버넌스 구조(Common Govenance Structure)다.
이제 CIO들은 적절한 리스크 관리 방법론, 데이터 보호 솔루션, 네트워크 접근 제어(NAC), 클라우드 컴퓨팅 보안과 컴플라이언스 리스크 관리 등 전반적인 기업 리스크 관리를 수행해야 하는 방법을 모색해야 한다. 컴플라이언스를 충족시키기 위해서가 아니라 비즈니스를 보호하기 위해 리스크 관리가 필요하다.
한 해외 분석가는 “컴플라이언스만을 위한 리스크 관리 시스템 구축은 오히려 기업을 위험에 처하게 한다”고 지적했다. 또한 비용 관점에서의 컴플라이언스도 위험하다. 100만달러의 리스크 관리 시스템 구축 비용보다 10만달러의 손해배상액 지불이 저렴하다고 여기는 한, 기업의 리스크 관리는 요원하다는 것이다.
서치CIO닷컴에 따르면 현재 기업들에게는 ‘전략적 리스크 관리 전략(Strategy for Strategic Risk Management)’이 필요하다. 비즈니스 연속성 관점에서 컴플라이언스 이상의 능동적 리스크 관리가 기업 전략 차원에서 마련돼야 한다는 뜻이다.
박현선기자 hspark@etnews.co.kr