2008년 리먼 브라더스에서 시작된 세계 금융위기는 리스크관리에 대한 전통적인 접근방법이 얼마나 취약한 지를 여실히 보여줬다. 기존의 리스크관리 프로세스는 글로벌 금융위기에서 지속적으로 대처하기에는 역부족이었기 때문이다.
갑작스런 경기 침체에 어떻게 대응할 지에 대한 계획도 실행능력도 모두 취약했다. 효과적인 리스크관리를 위해서는 예방과 가치의 일반화를 양축으로 올바른 균형을 찾아가야 한다. 리스크관리 프로세스는 이 두가지를 제대로 파악하지 못하는 데서 실패하게 된다. 경제 불황이 일정한 주기를 거친 후 다시 발생할 때까지 수십년의 시간이 걸릴 것이라고 해서 당장 리스크관리를 하지 않아도 된다는 안일한 생각은 버려야 한다.
차세대 리스크관리 솔루션의 목표는 리스크관리를 운영 모델, 성과 목표, 의사결정 프레임워크와를 완벽하게 통합하는 것이다. 이 세가지는 기업이 일상적으로 해야 하는 주요 업무일 뿐 아니라 회사가 운영하는 거버넌스 구조와 더불어 강력한 원칙이기도 하다. 전사적인 리스크관리와 기업 성과 관리는 동전의 양면과 같으며 기업은 항상 긴장상태에서 이 둘 사이의 균형을 맞춰야 할 것이다.
#실패할 수밖에 없는 리스크관리
리스크관리 프로세스와 시스템이 실패하는 과정과 원인은 크게 6가지로 설명할 수 있다.
첫째, 복합적이고 빠른 대처가 부재했기 때문이다. 기존의 리스크관리 프로세스와 시스템은 글로벌 금융위기와 같은 복합적인 외부 요인으로 발생하는 리스크에 대처하는 데 취약했으며 이는 곧바로 기업을 통제 불능 상태로 만들어 버렸다.
둘째, 다층적이고 충분한 정보가 없었다. 시장 상황, 신용 상태, 유동성이나 운영 등의 리스크에 대한 총체적이고 복합적인 분석이 필요하다. 기업의 재무건전성과 상관없이 외부 시장 상황과 협력사들의 위험요소들이 연쇄반응을 일으키며 파장을 부를 수 있기 때문이다. 기업은 리스크와 관련한 내외부의 정보를 모으고 재구성하며 의사결정을 내려야 한다.
셋째, 전사리스크관리(ERM) 능력이 통합되지 않았다. 대부분의 기업들은 단편적인 정보를 취합해 신용리스크, 시장리스크, 운영리스크를 따로 관리했고 통합 ERM 체계를 갖춘 기업은 거의 없었다. 액센츄어 고성과 금융 연구(Accenture High Performance Finance Study)에 따르면 8%의 기업만이 통합 ERM시스템을 사용하며, 21%는 분산되고 독립적인 리스크관리 시스템을 사용하거나 리스크관리 툴을 거의 사용하지 않는 것으로 나타났다.
리스크관리시스템을 통합하지 않고 단일 시스템들을 사용할 때 드는 비용과 통합해서 사용할 때 드는 비용을 비교하면 전자가 더 많은 비용이 소요될 것이다. 또한 단일 시스템을 사용하면서 시스템을 통합하는 것만큼 리스크관리에 투자한다 해도 그만큼의 효과를 얻을 수조차 없다. 기업은 ERM에 대해 좀더 통합적으로 접근해야 하며 사업부서와 좀더 긴밀하게 협조해 리스크관리 서비스를 정의해야 리스크를 줄이면서 더 나은 경영 의사 결정을 내릴 수 있으며 사업 전략을 지원할 수 있을 것이다.
넷째, 기업 성과 관리 능력의 부재다. 대부분의 기업이 통합 ERM을 더디게 구축한 결과 효과적이고 통합된 기업 성과 관리 능력을 발휘하는 데 어려움을 겪고 있다. 액센츄어 조사 결과 20%의 응답기업만이 자사의 기업 성과 관리 능력에 대해 ‘향상됐다’고 답했다.
리스크에 대한 균형 잡힌 시각은 리스크관리 조직이 더 나은 비즈니스 성과를 내기 위해 정확히 무엇을 해야 할 지를 알고 있으며, 정확하게 핵심에 주력할 수 있다는 것을 의미한다. 그러나 기업이 효과적으로 성과를 관리하지 못한다면 그 기업은 성과와 연결해 리스크를 측정하고 관리할 수 없을 것이다.
다섯째, 컴플라이언스를 대하는 태도다. 컴플라이언스는 분명 리스크관리의 핵심 요소 중 하나다. 그러나 기업이 컴플라이언스만을 유일한 리스크관리로 생각한다면, 시장 전체의 리스크에 대응하는 기업들에게 뒤쳐질 것이다. 액센츄어의 ERM 연구에 따르면 대다수의 실무자들이 컴플라이언스를 준수하기 위해 ERM을 도입하는 초기 단계에서 ERM만 도입하면 컴플라이언스 준수가 끝난 것처럼 여기는 것으로 조사됐다.
컴플라이언스 자체가 독자적으로 리스크관리 기능을 효과적으로 정의하거나 그 기능에서 최적의 가치를 끌어내기 어렵다. 효과적인 리스크관리를 위해서 기업은 상향식 리스크관리 환경과 성과를 향상시킬 방법을 좀더 적극적으로 찾아 나서야 하며, 구체적인 체크리스트에 초점을 맞춘 능동적인 문화를 조성해야 한다.
마지막으로 적합하지 않은 거버넌스 구조와 리스크 문화다. 잦은 데이터 변화 및 과부화가 만연된 현재 시점에서 데이터를 산출하기만 하는 정보 시스템 구축으로는 충분하지 않다. 경제 위기가 닥쳤을 때 필요한 것은 데이터가 그 자체가 아닌 데이터의 분석과 이를 기반으로 한 올바른 판단이기 때문이다. 효과적으로 통제하고 통찰하기 위해서는 전담 조직이나 해당 관리자 차원이 아닌 전사적인 차원으로 접근해야 한다.
#ERM 대시보드(Dashboard) 필요
전세계 회사들이 직면한 리스크는 복합·다층적이어서 단일 솔루션으로는 해결하기 힘들다. 리스크관리 기술 및 프로세스 역시 강력한 리더십과 문화라는 뒷받침이 필요하다. 리스크관리를 좀더 새롭고 더 효과적으로 접근해야 하며 효율과 비용 모두를 고민한 뒤 비즈니스를 성장시키면서 새로운 위험 요인들에 대응할 수 있는 ERM을 구축해야 한다.
이 새로운 ERM은 다음과 같은 특징이 요구된다. 첫째, 리스크관리에 대해 좀더 광범위하게 볼 수 있어야 한다. 2008년 불어 닥친 금융위기 결과를 비춰볼 때, 리스크관리가 비즈니스 운영 모델에까지 영향을 고루 미쳐야 기업을 보호하고 향상시킬 수 있다는 것을 깨달았으며 이를 위해서는 기존과 다른, 새로운 리스크관리에 대해 접근해야 한다는 것을 알게 됐다.
효과적인 ERM은 여러 조직에 분산되고 나뉘어진 솔루션이 아닌 다양한 위험 요소들을 확인하고 이해하도록 설계하고 기업에 전체적인 전망을 제안해, 회사의 성장 엔진으로 만들어야 한다. 새로운 ERM은 그 위협요소가 무엇이건 간에 ‘손실방지’와 ‘리스크 경감’이라는 2가지 사안을 요구한다. 이 2가지는 기업이 더 나은 이익을 추구하기 위해 위험요소들을 평가하고 여기에 집중하는 전략 및 기업의 태도를 뜻한다.
조사에 의하면 응답 기업 8%만이 스스로 정한 목표를 달성했다. 또한 이 조사에서 응답자의 약 40%는 리스크관리를 위해 수시로 여러 가지 IT솔루션을 이용하며 23%만이 완전하게 통합된 IT 솔루션을 사용하는 것으로 나타났다.
액센츄어 고성과 금융 연구에 따르면 통합 ERM 접근은 더 나은 기업 가치를 실현시키는 것으로 조사됐다. 이러한 접근에 성공한 기업들은 그렇지 못한 기업들보다 리스크관리 능력이 전사적으로 긍정적인 영향을 미쳤음을 알 수 있다. 이 두 그룹의 재무 성과를 보면, 통합 ERM 접근을 한 기업의 재무 성과가 35%, 덜 통합된 접근을 시도한 기업은 27%였다. 또한 기업 전반의 재무 리스크나 비재무 리스크관리에 대한 두 그룹의 만족도는 79%와 33%로 큰 차이를 보였다.
둘째, 리스크관리에 집중하고 이를 전문화 해야 한다. 기업의 리스크관리 전략은 강제성을 띠어야 하며 내외부의 위험요소가 얼마나 비즈니스에 위협적인 지를 예측하는 노력도 반드시 뒤따라야 한다. 그러나 만약 잘못된 경로로 판단하고 예측한다면 기업이 엉뚱한 방향으로 갈 수 있다. 특정 위험 지역에서 발생한 위기요소들이 모든 지역에 통용되기는 어려우나 이를 간과해서도 안된다. 제대로 위험요소들을 측정하기 위해서는 기업의 고유한 ‘리스크관리 지표(index)’를 만들어야 한다.
실제로 서브프라임 모기지론 사태를 보면 많은 투자 은행들이 성과 측정에만 집중해 다른 위험 요소들을 파악하지 못했다는 것을 알 수 있다. 기업은 비즈니스 포트폴리오를 다변화해 위험요소를 최소화하고 성과를 높일 수 있다. 이러한 것을 달성하기 위한 방법 중 하나가 투자 수익이나 자본 이익보다 더 다양하고 정교하며 중요한 성과 지표를 이용하는 것이다. 이 측정법은 기업과 업무 부서 단위 수준에서 관리자가 주주처럼 행동하고 의사결정해 기업 전략 수립과 리스크관리를 연결해 더 풍부하고, 더 상세한 리스크 프로파일을 제공한다. 이 프로파일은 주요한 위험 요소들을 기업에 우선순위에 따라 제공하며 가장 중요한 목표가 무엇인지를 설정하고, 인력의 적재적소에 사용될 것이다.
리스크관리는 관련한 모든 사람들에게 실제적인 행동강령으로 주워져야 한다. 현재 창고에 얼마만큼의 원자재와 완성품 재고가 있는지를 파악하는 수준의 리스크관리는 기업에서 큰 도움이 되지 않는다. 이보다는 구조, 역할 및 현금흐름 상황, 책임, 감시 체계와 같은 총체적인 현황을 보여주는 대시보드가 더 의미 있다.
셋째, 더 나은 데이터를 제공해야 한다. 모든 효과적인 통제는 제공된 데이터의 품질에 달려 있다. ‘쓰레기를 넣으면 쓰레기가 나온다(Garbage in garbage out)’는 말에서 알 수 있듯이. 애초에 정확하지 않은 정보나 데이터를 통한 분석은 아무짝에도 쓸모없는 결과만 낳는다. 정보의 가치는 필요한 바로 그 시점에 정확한 데이터로 즉각적으로 활용할 수 있어야 빛이 난다.
액센츄어가 명명한 연속 통제 모니터링(Continuous Controls Monitoring)은 IT를 이용해 기업의 모든 트랜잭션 데이터에서 옥석을 캐낼 수 있도록 해준다. CCM은 컴플라이언스 대응 능력을 높일 뿐 아니라 지급오류와 같은 문제점을 찾아내 개선하고 내부 프로세스 효율을 측정해 비용을 줄이고 수익성을 높이는 데 기여한다.
CCM은 일부 샘플이 아닌 트랜잭션 데이터 전체를 모니터링하기 때문에 전반적인 리스크관리 능력을 개선할 수 있다. 기존의 기업 외부 감사 및 내부 검토는 전체 트랜잭션의 아주 작은 부분만을 대상으로 하기 때문에 그 때 그 때 전체적인 결과를 예측하기 위하여 자료를 사용할 뿐이다. CCM은 전체적인 철저한 비즈니스 과정에 대해 통제해 신뢰도를 높이고 리스크의 수준을 낮춰준다.
마지막으로, 좀더 효율과적인 리스크관리 문화를 조성해야 한다. 리스크관리 부서는 최정예 조직으로써 다른 어떤 부서보다 중시해야 하며 CRO(Chief Risk Officer)의 역할 역시 다른 어느 때보다 중요해졌다. 리스크관리 부서가 회사 전반의 리스크관리 전략을 제시하면 모든 임직원들은 이를 따라야 하며 CEO는 CRO의 의견을 존중해야 한다. 회사에 실질적인 이익을 높여주는 부서가 영업부서이지만 리스크관리는 순이익률을 높일 수 있으며 손실을 줄일 수 있게 하기 때문이다.
성공하는 리스크관리는 바로 기업의 마인드에 달려 있다. 리스크관리 전문가 조직은 리스크 프로파일을 작성하고 상세 프레임워크를 공개해 이를 임직원 전체에게 알려 내재화해야 한다. 2008년 CRO의 경고를 무시하지 않았다면, 또는 제대로 된 리스크관리 조직이 있었다면 피해의 규모를 줄일 수 있었을 것이다.
관련 통계자료 다운로드 성공적인 리스크관리를 가로막는 IT 장애요인