brunch

You can make anything
by writing

C.S.Lewis

리스크관리가 만드는 기업 가치와 회복탄력성

Value & resilience thru better risk mgmt

글로벌화된 공급망과 복잡한 재정적 상호의존성이 있는 디지털화되고 네트워크화된 세계에서의 비즈니스는 갈수록 더 위험하고 문제 발생시 커다란 비용과 손실이 요구됩니다. 이러한 비즈니스 환경에서 기업 이사회와 경영진은 조직 전체에 전략적 위험 기능을 내재화하여 기업이 회복탄력성과 가치를 추구할 수 있도록 도와야 합니다.


오늘날의 비즈니스 리더들은 점점 더 빠른 속도로 변화하는 복잡한 환경을 헤쳐나가고 있습니다. 디지털 기술은 많은 변화의 기반이 됩니다. 비즈니스 모델은 로봇과 인공 지능을 기반으로 하는 자동화의 새로운 물결로 변화하고 있습니다. 생산자와 소비자는 소셜 미디어와 트렌드 뉴스의 영향으로 선호도가 바뀌면서 더 빠른 결정을 내리고 있습니다. 새로운 유형의 디지털 회사는 이러한 변화를 활용하여 기존 시장 리더와 비즈니스 모델, 경쟁구도를 파괴하고 있습니다. 그리고 기업이 조직의 더 많은 부분을 디지털화함에 따라 사이버 공격 및 모든 종류의 침해 위험 역시 커집니다.


사이버 공간 외에도 위험 환경은 똑같이 도전적입니다. 규제는 많은 부문과 지역에서 폭넓은 지지를 받고 있고, 강한 규제하에서도 수익 창출에 대한 스트레스는 여전히 높습니다. 기후 변화는 운영에 영향을 미치고 소비자와 규제 기관도 자연 환경과 관련하여 더 나은 비즈니스 행동을 요구하고 있습니다. 지정학적 불확실성은 비즈니스 상황을 변화시키고 다국적 기업의 발자취에 도전합니다. 한 때 발생 가능성이 제한적이라고 생각했던 위험이 실제로 구체화되기 때문에 기업 평판은 단일 이벤트에 취약합니다.


리스크관리에 대한 경영진과 이사회의 역할 The role of the board and senior executives

금융 회사가 아닌 대부분의 기업들의 리스크 관리는 이러한 진화에 보조를 맞추지 못하고 있습니다. 여전히 많은 기업에게 리스크 관리는 경영진 등 비즈니스리더들로부터 제한적인 관심을 받으면서 조직 내에서 활성화되지 않은 고립된 기능으로 남아 있습니다. 1,100명이 넘는 글로벌 기업이 참여한 2017년 McKinsey의 글로벌 경영자 설문조사(Global Board Survey)에서는 이사회에서 리스크 관리가 상대적으로 우선순위가 낮은 주제로 남아 있음을 발견했습니다.


이사회는 전체 시간의 9%만 리스크에 투자합니다. 이는 2015년보다도 약간 낮은 수치입니다. 설문 조사에서 다른 질문에서는 응답자 중 6%만이 자신이 속한 기업의 위험 관리가 효과적이라고 생각한다고 밝혔습니다(2015년보다 적음). 일부 개별 위험 영역은 상대적으로 무시되고 있으며, 심지어 중요도가 증가하는 핵심 위험 영역인 사이버 보안도 이사회의 36%에 불과한 정도만이 다루고 있다고 답했습니다. 많은 기업 임원들은 전략 및 성과 관리에 초점을 맞추고 있지만 리스크 관점에서 기능이나 전략적 의사결정에 도전하지 못하는 경우가 많습니다. 상황이 잘못 된 후에만 조치를 취함으로써 위험에 대한 사후 대응적인 접근 방식이 너무 흔하게 남아 있습니다. 그 결과 이사회와 경영진은 불필요하게 회사를 위험에 빠뜨리는 동시에 개인적으로도 더 높은 법적 및 평판 책임을 떠안게 됩니다.


이사회(Boards)는 자신들이 감독하는 회사의 리스크 관리 기능을 개발하는 데 있어 중요한 역할을 합니다. 첫째, 이사회는 강력한 위험 관리 운영 모델을 구축해야 합니다. 이러한 모델을 통해 기업은 리스크를 이해하고 우선순위를 매기고, 리스크 욕구를 설정하고, 이러한 리스크에 대한 성과를 측정할 수 있습니다. 이 모델을 통해 이사회 및 고위 임원은 기업과 협력하여 회사의 요구 사항 이외의 노출을 제거하여 품질 관리 및 기타 운영 프로세스와 같은 수단을 통해 보장되는 리스크 프로파일을 줄일 수 있어야 합니다. 전략적 기회와 리스크 절충(risk trade-offs)에 대해 이사회는 최고 경영진과 기업 간의 명시적인 논의와 의사결정을 촉진해야 합니다. 이를 통해 부족한 위험 리소스를 효율적으로 배치하고 조직 전체에 걸쳐 위험 관리를 능동적으로 조정할 수 있습니다. 그런 다음 기업은 리스크가 현실화될 때 새로운 위기를 해결하고 관리할 준비를 갖추게 됩니다.


리스크에 대한 부문별 관점 A sectoral view of risks

대부분의 기업은 복잡한 산업별 리스크 환경하에서 운영됩니다. 이들은 거시경제적, 지정학적 불확실성에 대처해야 하며 전략, 재무, 제품, 운영, 규정 준수 및 실행 분야에서 발생하는 위험에 직면해야 합니다. 일부 부문에서는 기업이 비즈니스 모델에 특화된 리스크를 관리하기 위한 고급 접근 방식을 개발했습니다. 이러한 접근 방식은 상당한 가치를 유지할 수 있습니다. 이와 동시에 기업은 효과적인 완화 계획을 수립해야 하는 새로운 유형의 리스크로 인해 어려움을 겪고 있습니다. 이러한 리스크가 없는 경우 심각한 리스크 이벤트로 인한 손실은 심각한 손상을 초래할 수 있습니다.


자동차 회사는 OEM이 공급망 전반에 걸쳐 잠재적인 위험을 미리 식별할 수 있도록 하는 정교한 모니터링 모델을 통해 공급망 위험을 제어하고 있습니다. 동시에 자동차 회사는 전기 구동 및 자율 주행 차량으로 전환하는 전략적 과제를 해결해야 합니다.

제약 회사는 관련 규제 요구 사항을 준수하기 위해 제품 품질 및 환자 안전을 해결하면서 제품 포트폴리오 및 파이프라인에 대한 대규모 투자의 하방 위험을 관리하려고 합니다.

석유 및 가스, 철강 및 에너지 회사는 금융 시장과 상품 가격 변동성의 부정적인 영향을 관리하기 위해 고급 접근 방식을 적용합니다. 청정 에너지에 대한 사회적, 정치적 요구가 증가함에 따라 이들 기업은 에너지 전환 및 저탄소 미래를 예상하여 포트폴리오를 전환하기 위해 성장 기회를 적극적으로 추구하고 있습니다.

소비재 회사는 제품 품질과 생산 시설의 노동 조건을 관리하는 건전한 관행을 통해 명성과 브랜드 가치를 보호합니다. 그러나 그들은 끊임없이 변화하는 소비자의 취향과 요구는 물론 소비자 보호 규정을 충족하기 위해 끊임없이 도전하고 있습니다.


선제적 리스크 관리를 지향 Toward proactive risk management

최소한의 규제 표준을 준수하고 재정적 손실을 회피하는 접근 방식은 그 자체로 위험을 초래합니다. 소극적인 자세에서는 기업이 비즈니스 모델에 따라 최적의 리스크 프로파일을 형성할 수 없으며 빠르게 이동하는 위기를 적절히 관리할 수 없습니다. 수익과 비용에 초점을 맞춘 단기 성과 이니셔티브로 구성된 리스크 접근 방식을 피하면서, 최고 성과 기업들은 리스크 관리를 전략적 자산으로 간주하여 장기적으로 상당한 가치를 유지할 수 있습니다. 사전 예방적 접근 방식에는 몇 가지 필수 요소가 내재되어 있습니다.


전략적 의사 결정 Strategic decision making

보다 엄격하고 편향없는(debiased) 전략적 의사결정을 통해 특히 불안정한 시장이나 외부적으로 어려움을 겪고 있는 업종에서 기업의 비즈니스 모델의 장기적인 회복탄력성(longer-term resilience)을 향상시킬 수 있습니다. 연구에 따르면 리스크 및 수익 상충관계(risk and return trade-offs, 예: 비즈니스 모델이 경쟁보다 우수한 시장에의 진입)에 대한 건전한 평가를 기반으로 자원 할당에 대한 적극적이고 정기적인 재평가가 더 많은 가치와 더 나은 주주 수익을 창출하는 것으로 나타났습니다. 역동적인 시장에서 유연성이 강화되고 있습니다. 많은 회사들이 시장의 불확실성에 대비하기 위해 헤징 전략(hedging strategies)을 사용합니다. 예를 들어, 항공사들은 연료 가격 변동에 대한 미래의 (위험상황에의) 노출을 헤지하는 것으로 알려져 있는데, 이것은 가격이 상승할 때 수익성을 유지하는 데 도움이 될 수 있는 조치입니다. 마찬가지로, 장기적인 시각과 기업의 핵심 제안에 대한 깊은 이해를 바탕으로 하는 전략적 투자는 단기적인 주가 상승을 목표로 하는 기회주의적 움직임보다 더 많은 가치를 창출합니다.


디바이어싱(편향 줄이기) 및 스트레스 테스트 Debiasing and stress-testing

위험 완화 및 스트레스 테스트를 포함하는 접근 방식은 기업 경영진이 이전에 간과했던 불확실성의 원천을 고려하여 회사의 위험 부담 능력이 잠재적 영향을 흡수할 수 있는지 여부를 판단하는 데 도움이 됩니다. 예를 들어 독일의 한 유틸리티(utility) 회사는 행동 편향(behavioral biases)을 완화하기 위한 조치를 취함으로써 의사 결정을 개선했습니다. 그 결과, 이 회사는 재생 에너지 사업을 기존의 발전 사업과 분리했습니다. 환경 친화적인 발전에 대한 관심을 급격히 높인 후쿠시마 재해의 여파로, 전력회사의 움직임은 주가에 상당한 긍정적인 효과로 이어졌습니다.


보다 높은 품질의 제품과 안전 표준 Higher-quality products and safety standards

제품 품질 및 안전 표준에 대한 투자는 상당한 수익을 가져올 수 있습니다. 에너지 부문에서 발생하는 한 가지 방법은 저감된 손실과 유지관리 비용(reduced damage and maintenance costs)입니다. 한 글로벌 에너지 회사에서는 안전 기준이 개선되어 위험 사고 빈도가 30% 감소했습니다. 안전에 기반을 둔 명성이 높은 자동차 회사들은 자동차 가격을 더 높게 책정할 수 있고, 제약회사의 더 높은 품질 기준은 더 나은 평판으로 이어져 명백한 이점을 창출합니다. 품질에 대한 평판에서 비롯된 수요 증가뿐만 아니라, 기업들은 교정 비용(remediation costs)을 크게 줄일 수 있습니다. 맥킨지 연구에 따르면 품질 문제로 어려움을 겪고 있는 제약회사들은 연간 매출 손실이 판매 제품의 4~5%에 달한다고 합니다.


포괄적인 운영상 통제 기능 Comprehensive operative controls

이러한 것들은 리스크가 현실화될 때 중단될 가능성이 적은 보다 효율적이고 효과적인 프로세스로 이어질 수 있습니다. 자동차 부문에서는 공급망 중단의 위험을 완화하여 안정적인 생산과 판매를 보장할 수 있습니다. 2011년 동일본 대지진 이후, 한 주요 자동차 회사가 잠재적인 공급 병목 현상을 조사하고 적절한 조치를 취했습니다. 그후 2016년 지진이 발생했을 때, 회사는 비용이 많이 드는 중단 사태를 피하면서 신속하게 해당 부품의 생산을 다른 곳으로 이전했습니다. 첨단 기술 분야에서 우수한 공급망 리스크 관리를 적용하는 기업은 지속적인 비용 절감과 높은 마진을 달성할 수 있습니다. 한 글로벌 컴퓨터 회사는 처음 6년 간 5억 달러를 절약한 전용 프로그램(dedicated program)으로 이러한 위험을 해결했습니다. 이 프로그램은 리스크 정보에 입각한 계약을 채결하여 공급업체가 회사와 거래하는 비용과 위험을 낮출 수 있도록 했습니다. 이 조치는 특히 시장에서 공급 부족 등 조달 문제 발생 시 주요 부품에 대한 공급 보장, 변동성 비용이 있는 부품에 대한 비용 예측 가능성 개선, 내부 및 공급업체의 재고 수준 최적화 등을 달성했습니다.


보다 강화된 윤리적, 사회적 기준 Stronger ethical and societal standards

기업은 고객, 직원, 비즈니스 파트너 및 일반 소비자(대중) 사이에서 입지를 확보하기 위해 기업 관행에 대한 윤리적 통제를 처음부터 끝까지(end to end)로 적용할 수 있습니다. 적절하게 홍보되고 기업의 사회적 책임과 연계될 경우, 더 나은 윤리적 기준을 갖춘 프로그램은 높은 명성과 브랜드 인지도의 형태로 상당한 수익을 얻을 수 있습니다. 예를 들어, 고객들은 더욱 엄격한 표준을 준수하는 회사의 제품에 대해 프리미엄을 지불할 의사가 점점 더 높아지고 있습니다. 직원들 역시 더 나은 근무 환경을 제공하고 사회에 기여하는 윤리적 기업과의 관계를 높이 평가하고 있습니다.


효과적인 리스크 관리의 세가지 차원 The three dimensions of effective risk management

기업의 리더십과 일상적인 관리가 리스크 관리 및 준수를 전략적 우선 과제로 다루는 것이 가장 이상적입니다. 하지만 현실에서는 이러한 영역이 나머지 비즈니스와 분리되어 일하는 기업 본사에서 소수의 사람들에게 위임되는 경우가 더 많습니다. 이와는 대조적으로 매출 증가나 비용 절감은 기업 문화에서 깊숙이 자리잡고 있으며, 이는 기업 차원에서의 손익(P&L) 성과와 분명히 연관되어 있습니다. 중간에는 제품 안전, 안전한 IT 시스템 개발 및 구축 또는 재무 감사와 관련된 특정 제어 기능이 있습니다.


이러한 상황을 바꾸기 위해, 비즈니스 리더들은 강력하고 효과적인 리스크 관리를 구축하는 데 전념해야 합니다. 프로젝트는 세가지 차원이어야 하는데, 1) 주요 리스크 관리 프로세스로 구성된 리스크 운영 모델, 2) 현장 사업부문에서 이사회까지 이어지는 거버넌스 및 책임 구조, 3) 최악의 경우 구체화될 경우 잘 짜여진 대응 매뉴얼(playbook)을 포함한 모범 사례 위기 대비 상태 입니다.


1. 효과적인 리스크 운영 모델을 개발 Developing an effective risk operating mode

운영 모델은 두 가지 계층, 즉 ERM(전사적 리스크 관리) 프레임워크와 각 리스크 유형에 대한 개별 프레임워크로 구성됩니다. ERM 프레임워크는 조직 전체의 리스크를 식별하고, 전반적인 리스크 선호도(overall risk appetite)를 정의하며, 리스크 선호도를 잘 고려할 수 있도록 적절한 제어를 구현하는 데 사용됩니다. 마지막으로, 가장 중요한 프레임워크는 이사회와 경영진에 대한 리스크에 대한 시기적절한 보고 및 대응 조치 시스템을 구축합니다. 리스크별 프레임워크는 관리 중인 모든 리스크를 다룹니다. 재무, 비재무 및 전략과 같은 범주로 분류할 수 있습니다. 유동성, 시장 및 신용 위험과 같은 재무 위험은 적절한 한도 구조를 준수함으로써 관리됩니다. 적절한 프로세스 제어를 구현함으로써 비재무적 위험, 전략적 위험은 편향제거(debiasing), 시나리오 분석 및 스트레스 테스트와 같은 공식화된 접근 방식으로 주요 결정에 도전함으로써 관리됩니다. 재무 및 전략적 리스크는 일반적으로 리스크-수익 균형에 따라 관리되지만, 비재무적 리스크의 경우 잠재적인 단점(potential downside)이 주요 고려 사항입니다.


기업은 가능성 및 영향에 따라 위험을 평가할 뿐만 아니라 새롭게 부상하는 위험에 대응하는 능력도 평가해야 합니다. 이러한 위험을 관리하는 데 필요한 대응 역량(capabilities)과 운영능력(capacities)을 평가하고 그에 따라 격차를 해소해야 합니다. 위기 관리에서 특히 중요한 것은 일이 잘못되었을 때 효과적인 대응의 적시성(the timeliness of an effective response)입니다. 리스크 관리에 대부분의 관심이 집중되는 매우 가능성이 높고 영향력이 큰 리스크 이벤트는 종종 엄청난 속도로 발생, 나타나며 많은 기업들이 예상치 못하게 합니다. 전사적 리스크 관리 프레임워크가 효과적이려면 두 계층이 완벽하게 통합되도록 보장해야 합니다. 이를 위해 리스크 정의 및 요구 사항, 제어 및 보고에 대한 명확한 정보를 제공합니다.


분류법 Taxonomy :  전사적 위험 분류법은 위험을 명확하고 포괄적으로 정의해야 합니다. 위험 선호도의 정의, 위험 정책 및 전략 개발, 위험 보고에서 이 분류법은 엄격하게 존중되어야 합니다. 분류법은 일반적으로 산업별로 구분되고, 산업과 관련된 전략적, 규제 및 제품 위험을 다룹니다. 또한 비즈니스 모델 및 지정학적 공간(특정 국가 및 법적 위험을 통합하기 위한)을 포함한 기업의 특성에 따라 결정됩니다. 검증된 위험 평가 도구를 새로운 기법으로 지속적으로 채택하고 개선하여 보다 친숙한 위험뿐만 아니라 새로운 위험(예: 사이버 위험)을 해결해야 합니다.

리스크 선호도 Risk appetite : 리스크 선호여부를 명확하게 정의하면 리스크-수익 상충관계(risk-return trade-offs)가 경제 자본, 리스크 현금 흐름 또는 스트레스 지표와 같은 재무 및 전략적 리스크에 대한 명확한 한계로 전환됩니다. 운영 및 규정 준수 리스크와 같은 비재무적 리스크의 경우 리스크 욕구는 전체 손실 한도를 기준으로 고유 리스크와 잔여 리스크로 분류됩니다 (다음 [참고] "적절한 리스크 선호도 수준 찾기" 참조).


[참고] 적절한 수준의 위험 선호도 찾기 Finding the right level of risk appetite

기업은 장기적인 탄력성과 성과를 보장하는 데 도움이 되는 적절한 수준의 위험 선호도를 찾아야 합니다. 다음 두 가지 예에서 알 수 있듯이 너무 완화되거나 너무 제한적인 위험 선호는 회사 재무에 심각한 결과를 초래할 수 있습니다.


위험에 너무 느슨함 Too relaxed : 1980년대에 한 원자력 회사는 철강 설비에 대한 기준을 설정하고 규정이 변경되어도 이를 검토하지 않았습니다. 원자력 발전소 장비 제조에 새로운 더 높은 표준이 적용되었을 때 회사는 준수에 미치지 못했습니다. 위험 선호도와 허용 수준을 더 일찍 조정했다면 비용이 훨씬 적게 들었을 것입니다.


너무나 제한적 Too restrictive : 제약 회사는 규정에서 요구하는 것보다 훨씬 더 엄격한 수준으로 약물을 생산하기 위해 품질 허용 오차를 설정했습니다. 생산 초기에는 공차 간격(tolerance intervals)이 충족될 수 있었지만 시간이 지남에 따라 초기 수준에서 품질을 더 이상 보장할 수 없었습니다. 회사는 규제 기관에 전달되었기 때문에 기준을 낮출 수 없었습니다. 궁극적으로 원래의 허용 오차를 유지하기 위해 상당한 비용을 들여 생산 공정을 업그레이드해야 했습니다.


리스크 관리 프로세스 Risk control processes : 효과적인 리스크 관리 프로세스를 통해 조직의 모든 레벨에서 지정된 리스크 욕구에 대한 리스크 임계값을 유지할 수 있습니다. 선두 기업들은 점점 더 빅 데이터 및 고급 분석을 중심으로 제어 프로세스를 구축하고 있습니다. 이러한 강력한 새로운 기능은 리스크 모니터링 프로세스의 효율성과 효율성을 크게 높일 수 있습니다. 예를 들어, 머신 러닝 도구(Machine-learning tools)는 부정 행위를 모니터링하고 조사의 우선순위를 정하는 데 매우 효과적일 수 있습니다. 자동화된 자연어 처리(automated natural language processing)로 불만관리(complaints management)는 행동 위험(conduct risk)을 모니터링하는 데 사용될 수 있습니다.

위험 보고 Risk reporting : 의사 결정 시 리스크 보고를 통해 정보를 제공해야 합니다. 기업은 이사회와 경영진에게 리스크에 대한 통찰력을 정기적으로 제공하여 가장 관련성이 높은 전략적 리스크를 파악할 수 있습니다. 목표는 조직의 모든 수준을 아우르는 독립적인 리스크 뷰를 계획 프로세스에 포함시키는 것입니다. 이러한 방식으로 리스크 프로파일은 프로세스 및 제품의 품질에 영향을 미치는 비즈니스 이니셔티브 및 의사 결정의 관리에서 유지될 수 있습니다. 편견최소화(debiasing)과 시나리오 플래닝 및 분석(use of scenarios) 사용과 같은 기술은 단기 목표의 달성을 향한 편견을 극복하는데 도움이 될 수 있습니다. 한 북미 석유회사(oil producer)는 세계와 지역 석유 시장의 불확실성을 감안할 때 전략적 가설을 수립했습니다. 이 회사는 리스크 모델링을 사용하여 다양한 시나리오에서 현금 흐름에 대한 가정을 테스트하고 이러한 분석을 경영진과 이사회가 검토한 보고서에 포함시켰습니다. 이에 따라 전략의 약점을 파악하고 조치를 완화할 수 있었습니다.


2. 강력한 리스크 거버넌스, 조직 및 문화를 지향 Toward robust risk governance, organization, and culture

리스크 운영 모델은 명확한 책임을 가진 효과적인 거버넌스 구조와 조직을 통해 관리되어야 합니다. 거버넌스 모델은 비즈니스와 운영(business and operations), 컴플라이언스 및 리스크 기능(compliance and risk functions), 감사(audit)라는 세 가지 방어 라인(three lines of defense)에 걸쳐 더 나은 리스크 및 컴플라이언스 관리를 강화하는 리스크 문화를 유지합니다. 이 접근 방식은 성과(revenue and costs, 수익과 비용)과 리스크(losses, 손실) 사이의 첫 번째 줄에 내재된 모순을 인식합니다. 두 번째 라인의 역할은 첫 번째 라인의 위험 프로세스와 통제의 효과에 대해 검토하고 이의를 제기하는 것이며, 세 번째 라인인 감사에서는 첫 번째 라인과 두 번째 라인이 의도한 대로 작동하고 있는지 확인하는 것입니다.


3차 방어선 Three lines of defense : 3개 라인의 효과적인 구현에는 그룹 수준에서 사업부, 지역 및 법적 실체 레벨에 이르기까지 모든 레벨에서 1차 방어선과 2차 방어선의 명확한 정의가 포함됩니다. 리스크 및 통제 관리에 대한 책임은 명확해야 합니다. 리스크 거버넌스는 리스크 유형에 따라 다를 수 있습니다. 재무 리스크는 대개 중앙에서 관리되며 운영 리스크는 회사 프로세스에 깊이 내재되어 있습니다. 모든 사업부문(LOB, Line of Business)의 운영 위험은 제품 개발, 생산 및 판매 프로세스를 소유한 비즈니스 부서에 의해 관리됩니다. 이는 대개 품질 관리의 형태로 해석되지만, 기업은 리스크와 P&L(손익)의 광범위한 영향의 균형을 맞춰야 합니다. 새로운 디젤 엔진 개발 과정에서 자동차 회사들은 규정 준수 위험과 배출 기준을 충족시키기 위한 추가 비용 사이의 균형을 잡지 못하고 비참한 결과를 초래했습니다. 위험 또는 규정 준수 기능은 기술 표준 및 제어와 같은 운영 위험 관리의 적절성을 독립적으로 검토해야만 이러한 활동을 보완할 수 있습니다.

위험 욕구 및 위험 프로파일을 검토 Reviewing the risk appetite and risk profile : 거버넌스 구조에서 가장 중요한 것은 비즈니스 수행에 필요한 매개 변수를 포함하여 리스크 선호도를 정의하는 위원회입니다. 또한 이러한 위원회는 기업의 리스크 프로파일이 변경됨에 따라 최고 리스크에 대한 구체적인 결정을 내리고 개선을 위한 통제 환경을 검토합니다. 이 경우 거버넌스가 양호하다는 것은 리스크, 컴플라이언스 및 감사 위원회의 지원을 받는 기업의 기존 분할, 지역 및 경영진 등 임원 거버넌스 구조 내에서 리스크 결정이 고려된다는 것을 의미합니다.

통합 리스크 및 컴플라이언스 거버넌스 설정 Integrated risk and compliance governance setup : 강력하고 적절한 인력을 갖춘 리스크 및 컴플라이언스 조직은 모든 리스크 프로세스를 지원합니다. 통합 리스크 및 규정 준수 조직은 그룹 전체의 ERM 프레임워크 및 표준에 대한 단일 소유권, 2선 기능(second-line functions)의 적절한 클러스터링, 부서와 통제 기능 간의 명확한 매트릭스, 필요에 따라 중앙 집중식 또는 현장에서의 통제, 제어를 제공합니다. 그룹 전체의 표준, 리스크 프로세스 및 보고를 담당하는 ERM 계층이 통합되는 반면, 비즈니스에 대한 특정 제어 표준(상업, 기술 준수, IT 또는 사이버 리스크에 대한 표준 포함)을 설정하고 모니터링하는 전문가 팀은 두 가지 모두를 담당하는 전문 팀이 되는 분명한 추세를 관찰할 수 있습니다. 위험 측면뿐만 아니라 규제 준수도 고려해야 합니다.

자원 Resources : 적절한 리소스는 성공적인 리스크 거버넌스의 중요한 요소입니다. 비금융 회사의 규정 준수, 위험, 감사 및 법적 기능 규모(직원 100명당 평균 0.5명)는 대개 은행(100명당 6.9명)보다 훨씬 작습니다. 이러한 격차는 부분적으로 금융 규제의 자연스러운 결과이지만, 일부는 비금융 기업 대부분의 역량 격차를 반영합니다. 이러한 기업들은 대개 항공사와 원자력 회사를 위한 보건 및 안전 또는 제약 회사를 위한 품질 보증과 같은 부문별 분야에 대부분의 위험 및 통제 자원을 투자합니다. 그러나 동일한 기업이 사이버 위험이나 대규모 투자와 같은 매우 중요한 위험을 모니터링하기 위한 충분한 리소스 제공을 소홀히 할 수 있습니다.

위험 문화 Risk culture : 향상된 리스크 문화는 조직 전체의 사고방식과 행동을 포괄합니다. 리더가 역할 모델로 활동하면서 주요 리스크 및 리스크 관리에 대한 공통된 이해가 조성됩니다. 특히 중요한 것은 리스크에 대한 역량 강화 프로그램과 건전한 리스크 관리 관행을 평가하고 강화하기 위한 공식적인 메커니즘입니다.


3. 위기 대비와 대응 Crisis preparedness and response

리스크 문화가 잘 발달된 고성능의 효과적인 리스크 운영 모델 및 거버넌스 구조는 물론 기업의 위기를 완전히 제거하지 않고도 기업 위기의 가능성을 최소화합니다. 예상치 못한 위기가 빠른 속도로 닥치면 다국적 기업들은 첫 날 동안 수십억 달러의 가치를 잃고 곧 시장 지위를 유지하기 위해 고군분투하는 자신들을 발견하게 될 것입니다. 동급 최고의 리스크 관리 환경은 준비 및 대응을 위한 이상적인 조건을 제공합니다.


이사회의 리더십 확보 Ensure board leadership : 기업이 위기에 대비하기 위해 취할 수 있는 가장 중요한 조치는 이사회와 고위 경영진이 노력을 주도하도록 하는 것입니다. 최고 경영진은 예상되는 주요 위협, 최악의 시나리오, 그에 따라 전개될 조치 및 커뮤니케이션을 정의해야 합니다. 각 위협에 대해, 기업 산업 및 지역 안팎의 이전 위기를 기반으로 위기가 어떻게 전개될지에 대한 가상 시나리오를 개발해야 합니다.

회복탄력성, 복원력을 강화 Strengthen resilience : 이전 위기에서 발생한 패턴을 매핑함으로써 기업은 자체 복원력을 테스트하여 조직 전체의 주요 영역에 잠재적인 취약점에 대한 도전을 제기할 수 있습니다. 그런 다음 회복탄력성을 강화하기 위해 대상 대책을 미리 개발할 수 있습니다. 위기 대비의 이러한 중요한 측면에는 주요 공급업체에 대한 약관의 검토 및 수정, 현금의 단기 가용성을 보장하기 위한 재무 지원, 장애 및 위반 시 필수 데이터와 소프트웨어를 보호하기 위한 첨단 사이버 보안 대책에 대한 투자가 포함될 수 있습니다.

실행 계획 및 커뮤니케이션 개발 Develop action plans and communications : 이러한 평가가 완료되고 회복탄력성 강화 대책이 마련되면 회사는 각 위협에 대한 실행 계획을 수립할 수 있습니다. 이 계획은 과거의 위기를 기반으로 잘 표현되어야 하며 운영 및 기술 계획, 재무 계획, 타사 관리 및 법률 계획에 대응해야 합니다. 또한 최적의 대응성을 갖춘 커뮤니케이션 전략을 개발하기 위해 주의를 기울여야 합니다. 올바른 전략을 통해 일선, 현장 대응자들은 위기 상황에 보조를 맞추거나 앞서 나갈 수 있습니다. 통신 장애는 관리 가능한 위기를 극복할 수 없는 재난으로 만들 수 있습니다. 기업은 위기 상황에 대처하는 내용을 상세히 기술하고 조직의 모든 레벨에 전달하여 그 곳에 잘 고정되어 있는 적절한 스크립트와 프로세스 로직을 갖춰야 합니다. 항공사들은 사고나 추락에 대한 대비에서 잘 짜여진 대응의 예를 제공합니다. 상세 스크립트가 마련되어 있을 뿐만 아니라 회사의 모든 레벨에서 직원을 교육하기 위한 정기적인 시뮬레이션도 실시됩니다.

모든 계층의 관리자 대상 교육과 훈련 Train managers at all levels : 회사는 여러 단계의 주요 관리자들을 교육하여 무엇을 예상할 것인가에 대해 고민하고 시뮬레이션된 환경에서 압박과 감정을 느낄 수 있도록 해야 합니다. 관리자가 교육을 받은 위기가 아닐 수도 있지만, 매번 이 작업을 반복하고 보다 풍부한 방식으로 수행하면 실제 위기 상황에서 회사의 대응 능력이 크게 향상될 것입니다. 그들은 또한 그들 자신의 권리로 가치 있는 학습과 훈련이 될 것입니다.

상세한 위기 대응 매뉴얼(플레이북)을 준비 Put in place a detailed crisis-response playbook : 각 위기가 독특하고 예측할 수 없는 방식으로 전개될 수 있지만, 기업은 모든 상황에서 위기 대응의 몇 가지 기본 원칙을 따를 수 있습니다. 첫째, 위기 발생 직후 위협에 대한 노출 수준을 면밀히 파악하고 그에 따라 적절한 조치를 지시할 CEO가 아닌 위기 대응 리더를 식별함으로써 통제력을 확립합니다. 둘째, 고객, 직원, 주주, 공급업체, 정부 기관, 미디어 및 일반 대중과 같은 관련 당사자들은 역동적인 커뮤니케이션 전략에 효과적으로 참여해야 합니다. 셋째, 주요 위협을 안정시키고 어떤 활동을 지속하고 어떤 활동을 중단할지 결정할 수 있도록 운영 및 기술적 "워룸(상황실, war room)"을 설치해야 합니다 (중요 공급업체를 식별하고 연락). 마지막으로, 위기의 근본 원인을 해결하고 무력화하기 위한 신중한 노력이 이루어져야 하며, 따라서 가능한 한 빨리 그것을 끝내야 하는 것이 중요합니다.


글로벌화된 공급망과 복잡한 재정적 상호의존성이 있는 디지털화되고 네트워크화된 세계에서 위험 환경은 더욱 위험하고 비용이 많이 듭니다. 선도 기업과 금융 기관의 좋고 나쁨에 대한 교훈을 바탕으로 위험 관리에 대한 전체론적 접근 방식은 해당 환경에서 가치를 도출할 수 있습니다. 위험 회복탄력성(risk resilience)으로 가는 길은 이사회와 경영진이 주도하는 올바른 위험 프로필과 선호도를 설정하기 위한 노력입니다. 기업의 성공은 활성화되는 위험 문화와 최첨단 위기 대비 및 대응의 지원에 달려 있습니다. 최소한의 규정 준수 및 손실 회피로부터 벗어난 위험 관리에 대한 최적의 접근 방식은 조직 전체에 깊이 내재된 근본적으로 전략적인 기능으로 구성되어야 합니다.


번역 : 류종기

출처 : 맥킨지 보고서

Value and resilience through better risk management

https://www.mckinsey.com/business-functions/risk-and-resilience/our-insights/value-and-resilience-through-better-risk-management

이전 17화 9/11테러 이후 뉴욕시 소방국(FDNY)의 변화
브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari