지난해 미국에서 비롯돼 전 세계를 강타한 금융위기는 글로벌 경제에 많은 타격을 주었으며 이 영향으로 2009년 국정운영의 기본 방향 중 하나로 ‘경제위기 조기극복’이 설정되었다. 이렇듯 최근의 기업운영 환경에서 위험관리는 매우 중요한 요소로 인식되며 이를 위한 전사적 위험관리(ERM, Enterprise Risk Management)의 필요성이 대두되고 있다.
김유권 SAP코리아 솔루션전략본부 위원
◇전사적 위험관리의 개념=전사적 위험관리는 경영층이 사업목적 달성에 영향을 주는 부정적인 사건들을 조기에 식별하고 위험이 허용한도 범위에서 관리될 수 있도록 제반 조치를 취하는 일련의 프로세스를 구축 운영하는 것을 의미한다. 주요 요소 관점에서의 정의는 다음과 같다.
▷전사적인 시각 : 각 부서 단위에서 인지하고 있는 여러 위험요소를 전사 차원에서 공유하고 분석해 기업이 감내할 수 있는 수준에서 효과적으로 통제되도록 하는 지속적인 관리 프로세스
▷통합적인 대응: 각 부서 단위의 개별적인 대응이 아닌 기업 차원의 위험 포트폴리오 입장에서 수용, 회피, 이전 등과 같은 통합적인 대응을 추구하기 위한 프로세스
▷사전적인 인지: 각 부서 단위의 주요 관리 항목 또는 성과지표가 목표 값 도달에 장애가 되는 증상을 사전에 인지해 조기에 필요한 대응 조치를 취하는 것을 지향하는 프로세스
또한 전사적 위험관리는 재무, 운영, 재무관리 등 기존에 개별적으로 관리하고 있던 리스크 뿐만 아니라 외부환경, 경영위험 등 기업이 당면한 모든 리스크 요인을 인식 및 평가하고 연관 관계를 파악해 통합적이고 체계적으로 대응한다. 최근에는 전략 및 규제준수 위험관리도 전사적 위험관리에서 관리되어야 할 주요 리스크로 자리매김되고 있다.
◇전사적 위험관리의 필요성=전사적 위험관리가 기업에게 왜 요구되고 필요한지 살펴보자. 먼저 전사적 위험관리를 통해 기업은 잠재적 위험을 인지 및 식별하고, 위험에 대한 통합적인 대응을 통해 전체 위험관리 비용을 절감해 보다 발전된 위험관리 기능을 확보할 수 있다. 이를 통해 기업은 다음과 같은 효과를 얻는다.
▷이해관계자로의 신뢰성 확보 : 기관 투자자, 신용평가회사, 감독기관 등 외부의 이해관계자들이 중요하게 관심을 갖고 있는 위험관리 역량을 적절하게 확보하고 효과적으로 구축해 합리적 확신을 획득하고 있는지에 대한 질문에 대응
▷변화하는 경영 환경에의 능동적 대응 : 경영환경 변화에 따라 신규 위험이나 기존 위험을 체계적으로 인식하고 평가하는 과정을 통해서 비즈니스 모델의 가정이 적절한지, 그 모델의 전략이 효과적인지, 의사결정 정보가 적절한지를 평가할 수 있음
▷위험관리의 기업문화 확립 및 전략과 연계된 위험관리 기반 마련 : 경영진의 위험에 대한 인식의 변화를 추구하고 위험과 위험관리에 대한 적극적인 참여 문화를 만드는 데 기여하며, 더 나아가서는 전략과 연계된 위험관리의 기반을 마련할 수 있음
◇전사적 위험관리의 주요 과제=이렇듯 기업이 전사적 위험관리의 중요성을 인식하고 대응하고 있다. 현재 전사적 위험관리의 주요 과제는 리스크의 다양화 및 리스크의 한 종류인 법적인 규제사항(Compliance)에 대한 지속적인 출현이다.
또한 이러한 주요 과제들은 LOB(Line of Business)나 기업의 IT 시스템의 영향을 미치고 공통적인 요구 사항을 포함하고 있다. 이에 대한 개별적인 접근은 통제 활동에 대한 다수의 반복적 대응을 야기해 기업 자원의 낭비를 발생시킨다. 따라서 전사적 위험관리의 주요과제에 대한 위험 및 규제관리를 전사적이고 통합적으로 관리할 필요성이 요구되며, 이러한 배경으로 GRC(Governance, Risk and Compliance) 개념이 등장했다.
즉, 위험관리(Risk Management), 규제준수(Compliance) 및 이에 대한 모니터링의 개별 요구사항이 거버넌스(Governance) 측면에서 통합된 개념으로 시작된 GRC는 ‘위험 및 규제준수 통합관리’로 정의되며 최근 경영 전략 및 과제와의 통합으로 진보해나가고 있다.
◇통합 GRC의 혜택=기업이 GRC를 통해 얻을 수 있는 혜택은 다음과 같다.
첫째, 예측 가능한 경영환경 지원이다. 기업은 GRC를 통해 전략 및 성과, 위험지표의 한도 및 목표를 설정하고 이에 대한 달성 여부 및 조기 경보 등의 모니터링을 할 수 있다.
둘째, 기업의 신뢰성 제공이다. 기업은 주주 및 채권자 등의 이해관계자에게 기업 지배의 투명성을 제공하고 대외보고서를 통해 투자자에게 긍정적인 신뢰를 제공할 수 있다.
셋째, 비용절감 및 효율성 증대를 도모할 수 있다. 체계적이고 통합적인 GRC를 통해 중복투자 방지 및 비용절감이 가능하며 위험관리 및 규제관리의 효율성을 제고할 수 있다.
서두에서 언급한 미국발 금융위기는 글로벌 경제에 많은 타격을 주었지만 국내에서는 이번 위기를 극복해 나가는 징후가 대기업 중심으로 조금씩 나타나고 있다. 이에 대한 해석은 다양하지만, IMF를 겪으면서 국내 기업들의 체질이 강화된 점을 그 가운데 하나로 들 수 있다. 체계적인 GRC 구축은 기업들이 경제위기에 대처할 수 있는 방향을 제시하는 한편, 경기 회복 시에도 도약의 발판이 될 것으로 기대된다.
yoo.kwon.kim@sap.com
■ 김유권 위원은
현재 SAP코리아 솔루션전략본부에서 GRC 솔루션 및 공공산업 분야를 담당하고 있다. 미국 인디애나 주립대 경영학과를 졸업하고, 국내 ERP 도입 초기부터 재무회계 컨설턴트로 활동하며 로레알 코리아 등 많은 ERP 프로젝트에 참여했다.
위기시대 리스크 관리 10가지 교훈
세계적인 조사기관인 영국의 이코노미스트 인텔리전스 유닛(EIU)은 SAP, KPMG, 타워스페린(Towers Perrin), 에이스(ACE) 등의 후원 아래 ‘위기 시대 리스크 관리’라는 보고서를 발표했다. 이 보고서에서 제시된 리스크 관리에 대한 10가지 교훈을 소개한다.
1. 리스크 관리에 보다 많은 권한을 부여하라.
지난 몇 년간 리스크 관리에 대한 금융기관 및 기업들의 투자는 계속 증가해 왔으며 기업조직 내에서 이와 관련된 고위 직급의 수도 급증했다. 나날이 개발 형태가 고도화되는 리스크 관리 툴은 투자 및 규제기관이 스스로 조정할 수 있도록 설계되었고 새로운 금융기법을 반영하고 있지만, 이해가 어려워 전담 전문가에 의한 적절한 조사와 평가가 필요하다.
문제점에 대처하기 위해 리스크 관리에는 반드시 충분한 권한이 주어져 위험 성향이 높은 사람들에 대한 효과적인 관리를 할 수 있도록 해야 한다. 리스크 관리자는 관리대상인 금융거래 직원들과 적어도 동등한 직급을 확보해야 한다. 직급 가치에 대한 질문과 리스크 한도에 대한 이견이 제시될 경우 리스크 관리자의 견해가 항상 상대를 압도할 수 있어야 한다.
2. 고위 경영진이 리스크 관리를 선도해야 한다.
리스크 관리가 조직 전반에 걸쳐 적절한 관심을 받으려면 모든 고위 경영진의 리더십과 정책적 지원이 있어야 한다. 많은 기업에서 리스크 관리는 단순한 지원기능일 뿐이라는 구시대적 인식이 팽배해 있다. 이러한 구시대적 인식은 리스크 관리의 짧은 역사에도 일정부분 영향이 있다. 리스크 관리는 고위 경영진의 역할로서 정의되어야 하며, 리스크를 감독하기 위한 적절한 위원회가 일반적으로 감사 위원회나 리스크 위원회의 형태로 존재해야 한다. 리스크 관리의 권한 상승을 위해 조직 내에는 리스크 업무에 대한 총책임을 맡을 최고 책임자도 있어야 한다.
3. 기업은 자신의 조직, 특히 고위 경영진에 대한 리스크 지식 수준을 검토해야 한다.
신규 금융기법, 매매전략의 급증과 복잡성은 예리한 관찰자들조차 혼란에 빠뜨리게 마련이다. 이러한 상황을 개선하기 위해 기업의 고위 경영진은 리스크와 관련한 충분한 지식을 갖춰야 한다. 고위 경영진은 기업의 리스크 성향과 상태를 파악하기 위해 자신의 권한에서 처리할 수 있는 툴과 정보를 구비하고 있어야 하며 리스크에 대한 구체적 정보가 적합한 임원이나 이사회 이사들에게 전달될 수 있도록 적합한 커뮤니케이션 채널도 존재해야 한다.
4. 리스크 모델을 구성하는 데이터에 보다 많은 관심을 갖고 결과물에 대해서는 인간의 판단을 반영하라.
최근 금융혁신의 두드러진 경향 중 하나는 수리적 기술이 트레이딩 기회와 자산을 평가하고 리스크를 측정하는데 있어 인간의 판단을 대체하는 것이다. 하지만 은행들이 수학에 기반한 모델에 전적으로 의존하는 것은 모델들이 추정 리스크 수준을 정확히 기입하지 못한다.
아무리 정교하게 짜인 모델이라고 해도 데이터의 품질에 따라 그 성과가 갈린다. 잘못된 데이터가 입력되면 잘못된 결과물을 산출할 수밖에 없다. 또한 최고의 데이터가 있어도 모델이 어떻게 그 데이터를 활용하느냐가 관건이다. 단독으로 사용되는 리스크 관리 툴은 없다. 정량적인 방법은 항상 인간의 판단이 반영된 정성적 접근의 뒷받침이 있어야 한다.
5. 스트레스 테스팅과 시나리오 계획은 경영진이 사건에 대해 적합한 대응을 할 수 있도록 한다.
스트레스 테스팅과 이야기식 시나리오는 리스크 관리 방법 중 중요한 툴이다. 비록 이러한 툴들은 정량적 분석기법으로 인해 입지를 잃게 되었지만, 정량적 모델이 초래한 부정적 결과로 볼 때 스트레스 테스트와 시나리오가 다시 부각되는 것은 그리 놀라운 일이 아니다.
스트레스 테스팅은 해당 결과가 고위 경영진에 전달되어 이들이 명확한 대책을 마련할 수 있도록 기업의 전반적 리스크 관리 프로세스 및 메커니즘과 함께 통합돼야 한다. 히스토리컬 시나리오가 부적절하다고 생각되는 기관들은 다양한 가능 결과물들을 탐구하기 위해 가상 시나리오에 대한 테스트를 해야 한다.
6. 단기적 이익이 아닌 장기적 안정에 대해 보상할 수 있는 인센티브 체계를 마련하라.
인센티브는 조심스럽게 설계돼야 한다. 보너스를 중시하는 문화에서 트레이더들과 고위 재무 임원들은 성숙단계에 이르기까지 몇 년이 필요한 자산에 대해서도 즉각적인 인센티브를 받았다. 스톡옵션은 장기적 영향은 아랑곳하지 않고 주가만을 끌어올리는 행동을 부추겼다. 단기적 인센티브 구조와 장기적 리스크 노출 사이의 부조화는 개선되어야 한다. 장기적 안정에 대해 보상할 수 있는 인센티브 체제를 마련해야 한다.
7. 리스크 요소는 기업의 모든 운영에 걸쳐 통합돼야 한다.
금융위기는 일부 기업들이 전사적 수준의 통합적 리스크 파악에 어려움을 겪고 있다는 것을 보여줬다. 신용, 시장 및 운영상 리스크를 선별하는 전통적 접근방식은 각각의 범주를 연관된 사업분야에 따라 보다 완벽히 처리를 하도록 하는 반면, 각각에 대한 분석에만 치중한 나머지 리스크 간의 전반적인 상호작용에 대한 명확한 그림을 제공하지 않는다.
리스크에 대한 전사적 접근방법은 이러한 문제점들을 해결한다. 이를 위해 리스크를 전사적 수준에서 통합시켜주는 일관적인 데이터 구조와 IT 아키텍처를 생성하는 것이 필요하다. 또한 기업은 리스크를 파악하고 관리하기 위해 표준화된 정의들을 구현해야 하며 정보 공유를 활성화해야 한다.
8. 외부 제공 업체의 데이터에 지나치게 의존해서는 안 된다.
금융위기가 시작되면서 신용평가 기관은 규제기관, 중앙은행, 산업 분석가들로부터 끊임없는 공격을 받았다. 분석가들은 신용평가 기관이 본질적으로 주식에 대한 평가업무에 대해 투자자가 아닌 기업으로부터 돈을 받는 모순된 이해관계를 가지고 있다고 지적했다. 신용평가 기관들이 기업들에게 호의적인 평가를 제공함으로써 사업관계를 지속할 수 있다는 기대감을 갖는 것도 그 중 하나이다. 외부신용 기관이 제공하는 데이터에 전적으로 의존하지 말고 자체적인 분석 역량을 키워야 한다.
9. 리스크의 중앙화와 분산화에 대한 균형을 세심히 유지하라.
고위 경영진에 의해 결정되는 중앙 리스크 기능은 리스크 성향을 설정하고 통제기법을 구현 및 모니터링하며 기업의 다양한 사업부와 지역에 걸친 리스크에 대한 감독을 제공하기 위해 필수적인 요소이다. 하지만 이러한 기능은 리스크에 지역 사무소나 사업부의 내용을 첨부해 리스크에 대한 소유관계를 명확히 해야 한다. 리스크를 관리하기 위한 이러한 이중의 접근방식은 특정 활동에 대한 명확한 책임 소재를 필요로 한다.
리스크를 다루는 현업 직원은 중앙에서 관리하는 담당자들에게 자신의 직급을 공개해 사전 합의된 리스크 한계를 지키고, 거래조건에 급작스럽거나 예기치 못한 변화가 발생시 경보를 에스컬레이팅해야 한다. 리스크 관리자들이 신규 제품 생성 및 승인에 대한 참여 시에는 각별한 주의를 필요로 한다.
10. 리스크 관리 시스템은 변화에 적응할 수 있어야 한다.
2008년 말 금융시장을 강타한 문제점들은 실제 비즈니스 환경에 대한 지속적인 관찰과 이에 대한 결과를 시스템 설계에 정기적으로 업데이트해야 하는 필요성을 확실히 보여주었다. 이러한 업데이트는 시스템이 변화하는 비즈니스 상황에 인식하고 대처함은 물론 본질적인 취약점을 개선할 수 있도록 한다.
박현선기자 hspark@etnews.co.kr
관련 통계자료 다운로드 법 규제 및 기업 전사 업무와 GRC