#7 - What is Risk?
1 : 29 : 300, Heinrich’s Law
What is Risk? – 1 : 29 : 300, Heinrich’s Law (위험이란 무엇인가? - 1 : 29 : 300, 하인리히 법칙)
여윳돈을 운용할 때 한 사람은 위험자산인 주식/가상화폐, 다른 사람은 정기예금에 든다고 합시다. 두 사람은 투자 리스크에 대한 선호도 및 기대수익률 차이로 Risk Taker, Risk Averter로 구분되죠. 기업이 투자할 때 예상 리스크의 최대금액은 의사결정시 중요 요소입니다. 리스크를 고려하지 않으면 기업경영을 논하기 어려울 만큼, 리스크 관리는 기업경영의 핵심입니다.
이번 에세이는 기업 리스크의 다양한 모습들, 리스크를 관리하는 원칙/모델, 그리고 감사에서 리스크는 어떻게 다루어야 하는 지를 살펴보겠습니다.
Risk / Danger
Risk는 불확실한 미래상황에 기업이 노출된 상태인데, 미래 결과가 좋을 수도 있지만 그 반대일 수도 있죠. 우리나라 환율이 높아진다(원화 절하)는 것은 수출기업 입장에서는 좋지만, 수입업자는 원가부담 요인으로 작용해 나쁜 것이죠. 반대로 환율이 낮아진다면, 수출/수입 기업의 입장이 바뀌게 됩니다. 리스크는 미래의 상황에 따라, 해당기업에게 유동적입니다. 리스크 요인에 따라서 환 리스크, 금리 리스크 등으로 표시되죠.
Danger는 Risk처럼 ‘위험’으로 번역되지만 (+)와 (-)가 병존하는 유동적인 미래상황이 아니라, 마이너스 상황만 나올 때 사용됩니다. 자동차 사고는 Risk가 아니라, Danger입니다. 즉, ‘Risk = Danger +Opportunity’입니다. 경영학자들은 위험 없는 기회는 망상이고, 기회 없는 위험은 무모하며, 위험은 결과의 불확실성이고, 그 불확실성은 과거가 아닌 미래의 것이라 말합니다. 기업에게 리스크는 때로는 예술가들의 뮤즈처럼 작용하고, 사탄과도 같은 역할을 하는 야누스의 두 얼굴입니다.
High Risk, High Return
리스크는 더 큰 이익을 얻기 위해 치러야 하는 비용입니다. 기업이 리스크를 감수(비용을 많이 감당)한다는 것은, 수익을 더 크게 얻겠다는 것이죠. 도박꾼은 일확천금을 노리고 도박을 하다가 판돈을 잃으면, 더 큰 자금을 빌려 경제적/심리적 파탄을 맞는 경우도 있죠. 우리나라의 부모는 자신들의 노후대비도 않고, 자녀들을 좋은 대학을 보내기 위해 뒷바라지에 올인합니다. 제3자의 입장에서 본다면, 도박꾼이나 우리나라의 부모는 위험한 선택을 하는 사람들이죠.
특정 리스크를 감수하겠다는 선택은 기업이 망할 수도 있지만, 대박을 맞을 수도 있습니다. 헷지펀드는 High Risk, High Return을 기조로 운영되기 때문에, 자본 공여자로부터 모 아니면 도가 되더라도 된다는 사인(허락)을 이미 받은 것이죠. 그러나, 기업의 경영활동에서 리스크를 무한정 선택할 CEO가 있을까요?
1970~80년대 종합상사의 주수익원은 수출입 거래대행 수수료였습니다. 1990년대부터는 국내 제조기업이 글로벌 제조/판매능력을 확보하면서, 종합상사의 입지가 약화되었죠. 국내 종합상사 매출이익률이 2~3% 수준인데, 우량 제조업체의 경우는 30~40%로 높습니다. 이들 두 회사의 무역 거래시 환 리스크는 동일하게 발생하지만, 종합상사와 제조업체의 환 리스크 대응전략은 다릅니다.
종합상사는 환율이 2~3% 정도만 변해도 매출이익이 적자로 전환(반대의 경우도 있지만) 됩니다. 따라서, 모든 외환거래는 환 헤지가 기본입니다. 제조업체는 높은 매출이익률로 환리스크를 흡수 가능하기 때문에, 환 헷지를 굳이 하지 않습니다(환변동에 따라 이익을 얻을 수도 있기에). 이처럼 동일한 환 리스크에 대해서도 업종, 회사의 여건에 따라 대응전략은 다릅니다. 해당 리스크가 자신의 기업에 어떻게 작용되는 지를, 명확히 인지하고 대응해야 합니다.
ERM (Enterprise Risk Management) Umbrella Theory
전사적 리스크 관리 우산이론의 스토리텔링은 다음과 같습니다. 기업을 둘러싼 환경에 산성비(Risk)가 가득합니다. 기업은 산성비로부터 스스로를 보호하기 위해, 우산(리스크 관리)을 쓰게 됩니다. 우산이 클수록 산성비를 많이 막을 수 있지만, 큰 우산은 비싸고 오랜 시간 들고 있기도 어렵습니다. 결국, CEO는 어느 정도 산성비에 젖는 것을 허용(Risk Acceptance)하고, 적정 사이즈의 우산을 씁니다. 우산 속은 해당기업의 관리가능 리스크를 의미하며, 우산이 막지 못하는 빗줄기(리스크)는 기업이 감수하겠다는 것이죠.
회사의 내부회계관리제도를 점검하고 리스크를 평가하는 감사부서는, ERM Umbrella에서 어떤 역할을 담당해야 할까요? 회사 우산의 재질, 사이즈, 과거 치명적인 누수경험, 회사의 Budget 등을 감안해 합리적인 개선을 회사에 요구해야 합니다. 외관도 화려하고 산성비를 100% 차단해 주는 것도 하나의 방안이지만, 회사의 재무적 여력이나 실체에 맞아야 합니다. 감사부서는 기업이 감수하는 리스크가 회사 상황에서 적정한 지를 검증하고, 개선의 아이디어를 제시해야 합니다.
Risk Management in Nature
우리 주변에 많은 혁신제품들이 자연계를 모방한 것입니다. 비행기 날개는 새들이 육지에 내릴 때의 날개를 구현한 것이죠. 벨크로 테이프(찍찍이)도 엉겅퀴 씨가 개의 털에 붙어있는 것을 현미경으로 관찰해, 갈고리 모양을 발견한 것이 개발의 모티브였죠. 전복의 껍데기는 큰 충격에도 잘 견디는데, 그 분자배열을 응용해 탱크의 철갑이 만들어졌습니다. 자연계가 위기에 대응하는 모습에서도, 우리는 많은 것을 배울 수 있습니다.
자연계가 위기에 대응하는 방식은 Autonomy(자율), Modularity(모듈화), Variability(가변성), Redundancy(잉여), Cooperation(협동) 5단계입니다. 동물이나 식물이 위기상황을 감지하면, 중앙통제 장치의 개입 전에 자율적인 대처가 먼저 일어나죠. 내부구조를 구획화해 유기체의 일부는 손상되더라도, 전체는 존속시키도록 모듈화(구획화)를 실천합니다. 위험의 종류에 따라 변화과정을 거치며, 동일위험 대응에 필요한 요소들을 잉여적으로 구비합니다. 최종적으로는 유기체 집단 전체가 협력해 위기를 극복하는 단계로 발전하죠. 기업의 리스크 관리도 자연계의 위기대응 5단계 방식에서 Tip을 얻을 수 있을 것 같습니다.
Risk
국내기업들의 글로벌사업 추진시에 PJT Financing이 활용됩니다. PJT Financing을 위해서 국내기업은, 정부의 위임을 받은 ECA(Export Credit Agency)인 수출입은행/수출보험공사에서 보증(보험)을 받아야 합니다. ECA의 보증을 받은 PJT는 사업 수익성이 좋다는 것이고, 정부의 보증(95% 투자손실 커버)이 있기 때문에 투자은행도 대출에 적극적이죠.
PJT Financing에는 Country Risk(투자 대상국의) 가산금리가 등장합니다. 대출은행이 해당 PJT가 위치한 국가의 리스크를 금리에 반영해, 자금을 빌려줍니다. OECD국가이지만 멕시코는 현지화의 경쟁력은 약해, Country Risk 가산금리가 다른 OECD국가에 비해 높습니다. 멕시코에서 PJT를 추진할 경우에는 기대수익률이 높게 나와야만 고금리 대출조건을 맞출 수 있고, 사업추진이 가능합니다.
1980~90년대 우리나라 수출 제조기업들이 높은 인건비 때문에 중국, 동남아 등지로 생산공장을 이전했죠. 이때 물류 및 Scale Merit을 극대화하기 위해, 특정국에 집중되었습니다. 세월이 지나, 해당 국가의 규제 강화나 인건비 상승으로 어려움을 겪은 기업들이 많았죠. 이처럼 특정 국가에 대한 생산(판매) 의존도가 과도하게 높아도, Country Risk가 발생합니다.
과거 우리나라 의류 OEM/ODM기업들이 베트남에 생산공장을 집중했습니다. 여기서 생산된 제품의 판매처 역시, 미국 등 특정 국가의 바이어에 90% 이상을 의존했던 사례도 많았죠. 해당 기업에서 특정 국가에 제조/판매를 크게 의존하는 것이 불가피한 측면도 있겠지만, 단계적인 비중 완화가 필요합니다.
2011년 일본 대지진, 2020년 코로나 팬데믹으로 전 세계는 글로벌 공급망 차질을 경험했죠. 세계경제가 글로벌화, 광속화, 복잡화되었기 때문입니다. 개별기업은 리스크 대응속도, 리스크 항목의 우선순위 결정, 최악의 시나리오에 대비한 대응, 조직 내 여유자원 확보 등을 통해 Country Risk를 극복해야 합니다.
Principal-Agent Theory
대리인 이론은 주인(Principal)이 대리인(Agent)을 고용해 어떤 일을 맡길 경우, 주인과 대리인간 이해관계의 불일치를 의미합니다. 주로 대리인이 주인의 이익보다 자신의 이익을 추구할 때 발생하는 문제입니다.
대리인 문제 또는 대리인의 딜레마라고도 하죠. 주인의 자리에 주주, 대리인에 전문 경영인을 대입하면 좀 더 쉽게 이해됩니다.
그룹체제의 기업에서는, 지주사가 계열사의 의사결정이 잘 작동되는 지를 모니터링하고 평가합니다. 건설사는 대규모 PJT를 수주해 해당 연도에 좋은 평가를 받았지만, 해당수주가 적자로 전락해 기업을 망치는 경우도 있죠. 건설업에는 부실견적 이외에도 랜드마크형 수주, 신시장/신상품 진출을 위한 전략적 수주(수업료 형식의 적자) 등 다양한 수주 리스크가 있죠. 건설 PJT는 수주 후 준공까지 장기간이 소요되어, 구조적인 모럴 해저드 여지가 많습니다. 감사도 주주/채권자를 보호해야 하기 때문에, 지주사의 관점과 마찬가지로 대리인 이슈에 대한 관점이 요구됩니다.
Butterfly Effect
브라질 나비의 날개 짓이, 미국 텍사스에 토네이도를 발생시킨다는 의미입니다. 기업도 내외부의 작은 변화가, 큰 변화를 유발하는 지를 잘 관찰하고 대비해야 합니다. 잠재 리스크의 영향을 파악하고 빠르게 대처해야만, 기업이 위험에서 복원(Resilience)될 가능성이 높기 때문이죠. 이를 위해 기업들은 Plan B, Contingency Plan 등을 채택합니다. 9∙11 테러 때 당시 세계무역센터빌딩에서 총 50개 층을 사용하던 모건 스탠리 직원들은 신속히 대피했습니다. 뿐만 아니라 전산 시스템의 완벽한 백업에 힘입어, 테러 다음날 정상적인 업무를 했던 것은 BCM(Biz Crisis Management)의 대표적 사례입니다.
기업에서 큰 사고가 벌어지면, 그동안 숨겨져 잘 알려지지 않았던 이야기들이 봇물처럼 터져 나옵니다. 사고는 일반적으로 총 7단계를 거치면서 재난으로 커집니다. 초기 문제의 방치가 첫 번째입니다. 그 이후에 발생하는 여러 요인들이 초기의 문제를 악화시키는데도 부적절한 시정조치만 하고, 상황이 악화된다는 사실을 임직원들이 믿지 않습니다. 주위에 진행상황을 숨기려 하고, 통제불능이 되어야 뒤늦게 깨닫지만, 이미 인명/재산상의 막대한 손실이 발생한 재난이 됩니다. 이 모든 것을 놓쳐 대형사고가 터졌다 할지라도, 해당기업이 어떻게 대처하는지에 따라 그 결과는 달라질 수 있습니다. 사고 정보를 Stakeholder 간에 리얼타임으로 공유하고, 진솔한 커뮤니케이션으로 신뢰관계를 형성해 리스크에 대처해야 합니다.
Risk Root Cause / Lesson Learned
인간이 자연의 리스크를 차츰 지배하게 되면서, 자연 앞에서 더 이상 수동적인 자세를 취하지 않을 수 있게 되었죠. 기업도 리스크를 이해하는 방법, 측정하는 방법, 그 결과를 예상하는 방법 등을 통해 성장했습니다. 글로벌 투자은행은 수익성 있는 비즈니스 모델을 위해 다음과 같은 5가지의 원칙을 조언합니다. 사업 추진자는 배짱과 직관(Guts & Hunch), 경험과 판단력(Experience & Judgment)을 겸비해야 하며, 강한 절제력(Discipline)도 구비해야 합니다. 전략의 Portfolio를 잘 수립해야 하고, Risk Management 방법론을 내재화해 조직 전체적으로 RM능력을 제고해야 한다고 말입니다.
리스크는 대형사고와 손실의 블랙박스도 아니며, 이익원천인 판도라의 상자도 아닙니다. 리스크는 기업이 마주치는 불확실성이라는 상황에서, 어떻게 선택하고 관리할 것인가의 대상입니다. 모든 재난과 위기의 88%는 인간이 만든 것이라고 합니다. 리스크의 88%는 우리의 불안정한 행위에 기인하고, 10%는 기계적/신체적 위험에서 기인하고, 2%는 불가항력적인 이유라고 하죠. Human Error를 없애기 위해 업무시스템을 자동화하고, 기계적/신체적 결함을 극복하기 위한 표준을 설정해 시설/프로세스 관리를 엄격히 해야 합니다. 불가항력적인 이유로 사고가 발생했다면, 반복되지 않도록 비장한 각오와 리스크 커뮤니케이션이 필요합니다.
하인리히 법칙(1 : 29 : 300)에 의하면, 한 건의 큰 사고(Major Incident) 전에 29번의 작은 사고(Minor Incident)가 발생하고, 300번의 잠재적 징후들(Near Misses)이 나타납니다. 우리 회사는 300번의 잠재 리스크 징후에서도 리스크에 대비할 수 있는 기업인가요? 29번의 작은 사고가 발견되어도, 리스크에 대한 공감대와 위기의식을 공유하기 어려운 기업인가요? 현장에 답이 있다는 것은, 300번의 잠재적 징후를 피부로 느낄 수 있는 곳이 현장이기 때문입니다. 중대재해 발생시 기업은 신속한 커뮤니케이션으로 수습해야 합니다. 기업은 실패의 자산화를 통해 성숙할 수 있습니다.
One more thing! – Stress Test
스트레스 테스트는 극단적인 위기상황에서 발생할 수 있는 금융회사 등의 손실 예상액을 추정하고, 금융 시스템의 회복력을 평가하는 방법입니다. 미국 오바마 1기 시절(2009~12년) 재무장관 티모시 가이트너는 2008년 금융위기에서 손상된 금융산업을 복구하고, 산업계의 붕괴를 막기 위해 이 테스트를 도입했죠. 만일 부실 금융회사가 스트레스 테스트 결과로 산출된 필요자본을 조달하지 못하면, 미국정부가 부족분을 강제로 투입해 해당 금융회사가 위기를 극복하도록 지원했죠.
우리나라 기업들의 거버넌스 이슈는, 전통적 대기업집단에서만 발생되지 않습니다. 카카오, 네이버 등 인터넷플랫폼 기업들도 공정성 이슈 등이 제기되고 있습니다. 공정위의 집중 감시를 받는 대기업집단(공정자산 10조 이상)은 아니지만, 이들 기업들은 이미 준공시대상기업(5조 이상)이며 계열사수도 많습니다. 이런 상황에서 일부 기업 CEO의 먹튀 이슈, 중소기업 업종에 무분별한 진입 등으로 국회는 물론, MZ세대로부터도 비난을 받고 있죠.
과거 스타트 업 시절에는 용인되었던 이슈들이, 거대 인터넷 플랫폼기업이 되고 나서는 안 됩니다. 저는 국내 인터넷 플랫폼기업이 직면하고 있는 최근의 거버넌스 이슈를, 일종의 스트레스 테스트라고 생각합니다. 그 스트레스를 잘 이겨내야만 더 큰 도약을 할 수 있습니다. 나아가 이해관계자와의 상생의 생태계를 만들어낼 수 있을 것으로 생각됩니다.
코로나 거리 두기가 완화되고 있습니다. 감사인들도 새로운 시각을 가지고 현장 속으로 깊이 들어가 보시기 바랍니다.
