리스크 관리 개념
식별-평가-통제활동
리스크 관리는 크게 식별 - 평가 - 통제활동으로 구분할 수 있다. 각 단계에 대해 살펴보겠다.
리스크 식별
리스크를 식별한 다는 것은 목표 달성을 저해하는 모든 요인을 찾아낸다는 의미이다. 즉, 리스크를 발생시킬 수 있는 대내외적인 사건들을 체계적으로 파악하는 것이다.
크게 외부 사건과 내부 사건이 있다. 외부 사건은 경제적, 정치적, 사회적, 기술적, 경쟁관계, 자연 환경적 사건 등을 의미하며, 내부 사건은 경영자의 의사결정, 임직원의 행동, 운영 프로세스의 지속성, 정보기술관련 사건 등을 의미한다. 식별되는 리스크는 사업 모델에 따라 다르지만 크게 8가지 유형이 존재한다. 여러가지 리스크가 상호간에 영향을 주고, 인과관계가 형성되기도 한다.
1. 전략 리스크
전략 리스크는 경쟁 환경, 시장 트렌드 변화, 신사업 실패, 기업 이미지 손상 등 기업의 중장기 목표 달성에 영향을 주는 리스크이다.
경쟁 심화 및 시장 변화 대응 미흡: 경쟁사 신규 서비스/제품 출현 등
신규 사업 추진 리스크: 신규 사업 의사결정 오류, 실행 실패, 신상품 기획 및 예측 실패
대외 정책 및 제도 변화: 정부 정책과 제도 등 외부 환경 변화에 대한 대응 미흡
2. 사업 리스크
사업 리스크는 영업, 마케팅, 고객 관리, 제품 및 서비스 품질 등 기업의 주된 비즈니스 활동 과정에서 발생하는 위험을 의미한다.
영업 및 판매 활동 리스크: 불완전 판매, 영업 인력의 집단 이탈 및 채용의 어려움
제품 및 서비스 품질 관리 리스크: 제품/콘텐츠 품질 불량, 위생 문제, 서비스 불만족 등
마케팅 및 광고 리스크: 광고 제작/매체 집행 오류, 마케팅 비용의 비효율적 집행
3. 법적 리스크
법적 리스크는 법률, 규정, 계약 위반 등으로 인해 발생하는 소송, 벌금, 영업정지 등의 법적인 제재나 손실 가능성을 포함한다.
법규 위반 리스크: 개인정보보호법, 공정거래법, 하도급법, 저작권법 등 관련 법규 위반
계약 관리 리스크: 불리한 계약 체결, 계약서 주요 내용 누락, 계약 불이행
지식재산권 침해 리스크: 특허권, 상표권, 저작권 침해 및 관련 분쟁 발생
4. 보안 리스크
보안 리스크는 정보 자산의 유출, 위변조, 분실 등과 관련된 위험이다.
정보 유출 리스크: 개인정보, 고객정보, 영업비밀, 내부 데이터의 내/외부 유출
데이터 관리 소홀: 중요 데이터(콘텐츠, 소스 등)의 관리 미흡 및 손실
5. 인프라 리스크
인프라 리스크는 기업 운영의 기반이 되는 IT 시스템, 설비, 장비, 사업장 등 물리적, 기술적 기반 시설의 문제로 인해 발생하는 위험이다.
시스템 장애 리스크: 전산 시스템 다운, 서버 오류, 애플리케이션 오류 발생
시설 및 장비 노후/파손: 장비 고장 및 파손, 화재 발생
전력 및 통신 마비 리스크: 정전, 정보통신망 마비로 인한 영업 차질
6. 운영 리스크
운영 리스크는 내부 통제 시스템의 부재나 비효율성, 직원의 실수나 부정행위, 비효율적인 업무 프로세스로 인해 발생하는 위험을 말한다.
재무 및 회계 처리 오류: 대금 지급 오류, 회계 처리 오류
인사 관리 리스크: 핵심인재 이탈, 채용 실패, 성희롱, 직장 내 괴롭힘, 산업재해 발생
직원의 도덕적 해이 및 부정행위: 공금 횡령, 예산 과다 집행, 규정 미준수
업무 프로세스 오류: 업무 처리 누락 및 오류, 부서 간 협조 지연, 정보 공유 실패
7. 공급망 리스크
공급망 리스크는 협력업체, 제휴사, 외주업체 등 외부 공급망의 문제로 인해 발생하는 위험이다.
공급 차질 리스크: 공급자의 파산/사고로 인한 제품/서비스 공급 중단, 납기 지연
가격 변동 리스크: 환율, 원자재 가격 변동, 단가 인상으로 인한 원가 상승
제휴 관계 리스크: 불리한 제휴 계약, 계약 해지
8. 자연재해 리스크
자연재해 리스크는 지진, 태풍, 전염병 등 통제 불가능한 자연 현상을 의미한다.
천재지변: 태풍, 지진, 홍수 등 자연재해 발생
사회적 재난: 전염병 확산, 테러, 전쟁 등
리스크를 식별한다는 것은 리스크의 이름과 정의를 지정하는 것이다.
아래는 리스크 식별의 예시자료이다.
리스크 평가
이렇게 식별한 리스크는 반드시 평가가 필요하다. 한정적인 자원으로 모든 리스크를 동일하게 대응할 수는 없다. 따라서 해당 리크스의 발생가능성과 영향도를 평가해야 한다.
영향도(Impact): 사건이 조직에 미치는 효과의 정도
발생가능성(Likelihood): 사건이 발생할 확률
평가 방법은 크게 두 가지이다.
정량적 기법: 과거 사례와 데이터를 기반으로 수치화하여 리스크를 평가
정성적 기법: 전문가 의견, 설문, 워크숍 등을 통해 리스크를 평가
가. 발생가능성 평가 기준표 (예시)
나. 영향도 평가 기준표 (예시)
다. 리스크 평가표 (예시)
식별한 리스크는 발생가능성과 영향도의 값을 조합하여 리스크의 우선순위를 결정한다.
리스크 통제 활동
리스크를 평가하고 우선순위가 정해졌다면, 우선순위가 높은 리스크부터 통제활동을 점검하고 수립해야 한다.
리스크 통제활동은 리스크관리의 가장 핵심적인 활동이며, 크게 회피, 감소, 공유, 수용의 네 가지 방식이 존재한다. 업무 담당자와 조직의 장은 리스크 발생가능성과 영향도를 얼마나 줄이는지를 비용/효익과 함께 평가하고, 리스크를 허용한도 내로 유지할 수 있는 대응방안을 선택해야 한다.
리스크 회피 : 리스크에 노출된 사업 영역에서 철수하거나 리스크 자산을 처분하는 등 전략적인 의사결정이 필요함
리스크 감소 : 전략, 프로세스, 시스템 등을 개선하여 리스크 관리 역량을 강화하는 것을 의미함
리스크 공유(전가) : 보험 등을 이용하여 리스크를 재무적으로 헤지 또는 이전하는 방식을 의미함
리스크 수용 : 리스크 대해 아무런 대응도 하지 않고 리스크의 영향을 그대로 수용하는 것임
이처럼 리스크를 식별 - 평가 - 통제활동은 아래와 같은 표로 정리할 수 있다.
보고서는 특정한 목적을 가지고 작성되며, 그 목적은 조직의 목표 달성과 관련이 있다. 따라서 보고서에는 목표 달성을 방해할 수 있는 요인(리스크)들도 반드시 언급되어야 한다. 누구나 보고서 작성에서 가장 중요한 것은 내용이라는 점을 알고 있다. 리스크 개념은 보고서의 내용을 더욱 논리적이고 체계적으로 구성하는 데 유용한 틀을 제공한다.