by
Sep 21. 2021
리스크관리가 만드는 기업 가치와 회복탄력성
Value & resilience thru better risk mgmt
글로벌화된 공급망과 복잡한 재정적 상호의존성이 있는 디지털화되고 네트워크화된 세계에서의 비즈니스는 갈수록 더 위험하고 문제 발생시 커다란 비용과 손실이 요구됩니다. 이러한 비즈니스 환경에서 기업 이사회와 경영진은 조직 전체에 전략적 위험 기능을 내재화하여 기업이 회복탄력성과 가치를 추구할 수 있도록 도와야 합니다.
오늘날의 비즈니스 리더들은 점점 더 빠른 속도로 변화하는 복잡한 환경을 헤쳐나가고 있습니다. 디지털 기술은 많은 변화의 기반이 됩니다. 비즈니스 모델은 로봇과 인공 지능을 기반으로 하는 자동화의 새로운 물결로 변화하고 있습니다. 생산자와 소비자는 소셜 미디어와 트렌드 뉴스의 영향으로 선호도가 바뀌면서 더 빠른 결정을 내리고 있습니다. 새로운 유형의 디지털 회사는 이러한 변화를 활용하여 기존 시장 리더와 비즈니스 모델, 경쟁구도를 파괴하고 있습니다. 그리고 기업이 조직의 더 많은 부분을 디지털화함에 따라 사이버 공격 및 모든 종류의 침해 위험 역시 커집니다.
사이버 공간 외에도 위험 환경은 똑같이 도전적입니다. 규제는 많은 부문과 지역에서 폭넓은 지지를 받고 있고, 강한 규제하에서도 수익 창출에 대한 스트레스는 여전히 높습니다. 기후 변화는 운영에 영향을 미치고 소비자와 규제 기관도 자연 환경과 관련하여 더 나은 비즈니스 행동을 요구하고 있습니다. 지정학적 불확실성은 비즈니스 상황을 변화시키고 다국적 기업의 발자취에 도전합니다. 한 때 발생 가능성이 제한적이라고 생각했던 위험이 실제로 구체화되기 때문에 기업 평판은 단일 이벤트에 취약합니다.
리스크관리에 대한 경영진과 이사회의 역할 The role of the board and senior executives
금융 회사가 아닌 대부분의 기업들의 리스크 관리는 이러한 진화에 보조를 맞추지 못하고 있습니다. 여전히 많은 기업에게 리스크 관리는 경영진 등 비즈니스리더들로부터 제한적인 관심을 받으면서 조직 내에서 활성화되지 않은 고립된 기능으로 남아 있습니다. 1,100명이 넘는 글로벌 기업이 참여한 2017년 McKinsey의 글로벌 경영자 설문조사(Global Board Survey)에서는 이사회에서 리스크 관리가 상대적으로 우선순위가 낮은 주제로 남아 있음을 발견했습니다.
이사회는 전체 시간의 9%만 리스크에 투자합니다. 이는 2015년보다도 약간 낮은 수치입니다. 설문 조사에서 다른 질문에서는 응답자 중 6%만이 자신이 속한 기업의 위험 관리가 효과적이라고 생각한다고 밝혔습니다(2015년보다 적음). 일부 개별 위험 영역은 상대적으로 무시되고 있으며, 심지어 중요도가 증가하는 핵심 위험 영역인 사이버 보안도 이사회의 36%에 불과한 정도만이 다루고 있다고 답했습니다. 많은 기업 임원들은 전략 및 성과 관리에 초점을 맞추고 있지만 리스크 관점에서 기능이나 전략적 의사결정에 도전하지 못하는 경우가 많습니다. 상황이 잘못 된 후에만 조치를 취함으로써 위험에 대한 사후 대응적인 접근 방식이 너무 흔하게 남아 있습니다. 그 결과 이사회와 경영진은 불필요하게 회사를 위험에 빠뜨리는 동시에 개인적으로도 더 높은 법적 및 평판 책임을 떠안게 됩니다.
이사회(Boards)는 자신들이 감독하는 회사의 리스크 관리 기능을 개발하는 데 있어 중요한 역할을 합니다. 첫째, 이사회는 강력한 위험 관리 운영 모델을 구축해야 합니다. 이러한 모델을 통해 기업은 리스크를 이해하고 우선순위를 매기고, 리스크 욕구를 설정하고, 이러한 리스크에 대한 성과를 측정할 수 있습니다. 이 모델을 통해 이사회 및 고위 임원은 기업과 협력하여 회사의 요구 사항 이외의 노출을 제거하여 품질 관리 및 기타 운영 프로세스와 같은 수단을 통해 보장되는 리스크 프로파일을 줄일 수 있어야 합니다. 전략적 기회와 리스크 절충(risk trade-offs)에 대해 이사회는 최고 경영진과 기업 간의 명시적인 논의와 의사결정을 촉진해야 합니다. 이를 통해 부족한 위험 리소스를 효율적으로 배치하고 조직 전체에 걸쳐 위험 관리를 능동적으로 조정할 수 있습니다. 그런 다음 기업은 리스크가 현실화될 때 새로운 위기를 해결하고 관리할 준비를 갖추게 됩니다.
리스크에 대한 부문별 관점 A sectoral view of risks
대부분의 기업은 복잡한 산업별 리스크 환경하에서 운영됩니다. 이들은 거시경제적, 지정학적 불확실성에 대처해야 하며 전략, 재무, 제품, 운영, 규정 준수 및 실행 분야에서 발생하는 위험에 직면해야 합니다. 일부 부문에서는 기업이 비즈니스 모델에 특화된 리스크를 관리하기 위한 고급 접근 방식을 개발했습니다. 이러한 접근 방식은 상당한 가치를 유지할 수 있습니다. 이와 동시에 기업은 효과적인 완화 계획을 수립해야 하는 새로운 유형의 리스크로 인해 어려움을 겪고 있습니다. 이러한 리스크가 없는 경우 심각한 리스크 이벤트로 인한 손실은 심각한 손상을 초래할 수 있습니다.
자동차 회사는 OEM이 공급망 전반에 걸쳐 잠재적인 위험을 미리 식별할 수 있도록 하는 정교한 모니터링 모델을 통해 공급망 위험을 제어하고 있습니다. 동시에 자동차 회사는 전기 구동 및 자율 주행 차량으로 전환하는 전략적 과제를 해결해야 합니다.
제약 회사는 관련 규제 요구 사항을 준수하기 위해 제품 품질 및 환자 안전을 해결하면서 제품 포트폴리오 및 파이프라인에 대한 대규모 투자의 하방 위험을 관리하려고 합니다.
석유 및 가스, 철강 및 에너지 회사는 금융 시장과 상품 가격 변동성의 부정적인 영향을 관리하기 위해 고급 접근 방식을 적용합니다. 청정 에너지에 대한 사회적, 정치적 요구가 증가함에 따라 이들 기업은 에너지 전환 및 저탄소 미래를 예상하여 포트폴리오를 전환하기 위해 성장 기회를 적극적으로 추구하고 있습니다.
소비재 회사는 제품 품질과 생산 시설의 노동 조건을 관리하는 건전한 관행을 통해 명성과 브랜드 가치를 보호합니다. 그러나 그들은 끊임없이 변화하는 소비자의 취향과 요구는 물론 소비자 보호 규정을 충족하기 위해 끊임없이 도전하고 있습니다.
선제적 리스크 관리를 지향 Toward proactive risk management
최소한의 규제 표준을 준수하고 재정적 손실을 회피하는 접근 방식은 그 자체로 위험을 초래합니다. 소극적인 자세에서는 기업이 비즈니스 모델에 따라 최적의 리스크 프로파일을 형성할 수 없으며 빠르게 이동하는 위기를 적절히 관리할 수 없습니다. 수익과 비용에 초점을 맞춘 단기 성과 이니셔티브로 구성된 리스크 접근 방식을 피하면서, 최고 성과 기업들은 리스크 관리를 전략적 자산으로 간주하여 장기적으로 상당한 가치를 유지할 수 있습니다. 사전 예방적 접근 방식에는 몇 가지 필수 요소가 내재되어 있습니다.
전략적 의사 결정 Strategic decision making
보다 엄격하고 편향없는(debiased) 전략적 의사결정을 통해 특히 불안정한 시장이나 외부적으로 어려움을 겪고 있는 업종에서 기업의 비즈니스 모델의 장기적인 회복탄력성(longer-term resilience)을 향상시킬 수 있습니다. 연구에 따르면 리스크 및 수익 상충관계(risk and return trade-offs, 예: 비즈니스 모델이 경쟁보다 우수한 시장에의 진입)에 대한 건전한 평가를 기반으로 자원 할당에 대한 적극적이고 정기적인 재평가가 더 많은 가치와 더 나은 주주 수익을 창출하는 것으로 나타났습니다. 역동적인 시장에서 유연성이 강화되고 있습니다. 많은 회사들이 시장의 불확실성에 대비하기 위해 헤징 전략(hedging strategies)을 사용합니다. 예를 들어, 항공사들은 연료 가격 변동에 대한 미래의 (위험상황에의) 노출을 헤지하는 것으로 알려져 있는데, 이것은 가격이 상승할 때 수익성을 유지하는 데 도움이 될 수 있는 조치입니다. 마찬가지로, 장기적인 시각과 기업의 핵심 제안에 대한 깊은 이해를 바탕으로 하는 전략적 투자는 단기적인 주가 상승을 목표로 하는 기회주의적 움직임보다 더 많은 가치를 창출합니다.
디바이어싱(편향 줄이기) 및 스트레스 테스트 Debiasing and stress-testing
위험 완화 및 스트레스 테스트를 포함하는 접근 방식은 기업 경영진이 이전에 간과했던 불확실성의 원천을 고려하여 회사의 위험 부담 능력이 잠재적 영향을 흡수할 수 있는지 여부를 판단하는 데 도움이 됩니다. 예를 들어 독일의 한 유틸리티(utility) 회사는 행동 편향(behavioral biases)을 완화하기 위한 조치를 취함으로써 의사 결정을 개선했습니다. 그 결과, 이 회사는 재생 에너지 사업을 기존의 발전 사업과 분리했습니다. 환경 친화적인 발전에 대한 관심을 급격히 높인 후쿠시마 재해의 여파로, 전력회사의 움직임은 주가에 상당한 긍정적인 효과로 이어졌습니다.
보다 높은 품질의 제품과 안전 표준 Higher-quality products and safety standards
제품 품질 및 안전 표준에 대한 투자는 상당한 수익을 가져올 수 있습니다. 에너지 부문에서 발생하는 한 가지 방법은 저감된 손실과 유지관리 비용(reduced damage and maintenance costs)입니다. 한 글로벌 에너지 회사에서는 안전 기준이 개선되어 위험 사고 빈도가 30% 감소했습니다. 안전에 기반을 둔 명성이 높은 자동차 회사들은 자동차 가격을 더 높게 책정할 수 있고, 제약회사의 더 높은 품질 기준은 더 나은 평판으로 이어져 명백한 이점을 창출합니다. 품질에 대한 평판에서 비롯된 수요 증가뿐만 아니라, 기업들은 교정 비용(remediation costs)을 크게 줄일 수 있습니다. 맥킨지 연구에 따르면 품질 문제로 어려움을 겪고 있는 제약회사들은 연간 매출 손실이 판매 제품의 4~5%에 달한다고 합니다.
포괄적인 운영상 통제 기능 Comprehensive operative controls
이러한 것들은 리스크가 현실화될 때 중단될 가능성이 적은 보다 효율적이고 효과적인 프로세스로 이어질 수 있습니다. 자동차 부문에서는 공급망 중단의 위험을 완화하여 안정적인 생산과 판매를 보장할 수 있습니다. 2011년 동일본 대지진 이후, 한 주요 자동차 회사가 잠재적인 공급 병목 현상을 조사하고 적절한 조치를 취했습니다. 그후 2016년 지진이 발생했을 때, 회사는 비용이 많이 드는 중단 사태를 피하면서 신속하게 해당 부품의 생산을 다른 곳으로 이전했습니다. 첨단 기술 분야에서 우수한 공급망 리스크 관리를 적용하는 기업은 지속적인 비용 절감과 높은 마진을 달성할 수 있습니다. 한 글로벌 컴퓨터 회사는 처음 6년 간 5억 달러를 절약한 전용 프로그램(dedicated program)으로 이러한 위험을 해결했습니다. 이 프로그램은 리스크 정보에 입각한 계약을 채결하여 공급업체가 회사와 거래하는 비용과 위험을 낮출 수 있도록 했습니다. 이 조치는 특히 시장에서 공급 부족 등 조달 문제 발생 시 주요 부품에 대한 공급 보장, 변동성 비용이 있는 부품에 대한 비용 예측 가능성 개선, 내부 및 공급업체의 재고 수준 최적화 등을 달성했습니다.
보다 강화된 윤리적, 사회적 기준 Stronger ethical and societal standards
기업은 고객, 직원, 비즈니스 파트너 및 일반 소비자(대중) 사이에서 입지를 확보하기 위해 기업 관행에 대한 윤리적 통제를 처음부터 끝까지(end to end)로 적용할 수 있습니다. 적절하게 홍보되고 기업의 사회적 책임과 연계될 경우, 더 나은 윤리적 기준을 갖춘 프로그램은 높은 명성과 브랜드 인지도의 형태로 상당한 수익을 얻을 수 있습니다. 예를 들어, 고객들은 더욱 엄격한 표준을 준수하는 회사의 제품에 대해 프리미엄을 지불할 의사가 점점 더 높아지고 있습니다. 직원들 역시 더 나은 근무 환경을 제공하고 사회에 기여하는 윤리적 기업과의 관계를 높이 평가하고 있습니다.
효과적인 리스크 관리의 세가지 차원 The three dimensions of effective risk management
기업의 리더십과 일상적인 관리가 리스크 관리 및 준수를 전략적 우선 과제로 다루는 것이 가장 이상적입니다. 하지만 현실에서는 이러한 영역이 나머지 비즈니스와 분리되어 일하는 기업 본사에서 소수의 사람들에게 위임되는 경우가 더 많습니다. 이와는 대조적으로 매출 증가나 비용 절감은 기업 문화에서 깊숙이 자리잡고 있으며, 이는 기업 차원에서의 손익(P&L) 성과와 분명히 연관되어 있습니다. 중간에는 제품 안전, 안전한 IT 시스템 개발 및 구축 또는 재무 감사와 관련된 특정 제어 기능이 있습니다.
이러한 상황을 바꾸기 위해, 비즈니스 리더들은 강력하고 효과적인 리스크 관리를 구축하는 데 전념해야 합니다. 프로젝트는 세가지 차원이어야 하는데, 1) 주요 리스크 관리 프로세스로 구성된 리스크 운영 모델, 2) 현장 사업부문에서 이사회까지 이어지는 거버넌스 및 책임 구조, 3) 최악의 경우 구체화될 경우 잘 짜여진 대응 매뉴얼(playbook)을 포함한 모범 사례 위기 대비 상태 입니다.
1. 효과적인 리스크 운영 모델을 개발 Developing an effective risk operating mode
운영 모델은 두 가지 계층, 즉 ERM(전사적 리스크 관리) 프레임워크와 각 리스크 유형에 대한 개별 프레임워크로 구성됩니다. ERM 프레임워크는 조직 전체의 리스크를 식별하고, 전반적인 리스크 선호도(overall risk appetite)를 정의하며, 리스크 선호도를 잘 고려할 수 있도록 적절한 제어를 구현하는 데 사용됩니다. 마지막으로, 가장 중요한 프레임워크는 이사회와 경영진에 대한 리스크에 대한 시기적절한 보고 및 대응 조치 시스템을 구축합니다. 리스크별 프레임워크는 관리 중인 모든 리스크를 다룹니다. 재무, 비재무 및 전략과 같은 범주로 분류할 수 있습니다. 유동성, 시장 및 신용 위험과 같은 재무 위험은 적절한 한도 구조를 준수함으로써 관리됩니다. 적절한 프로세스 제어를 구현함으로써 비재무적 위험, 전략적 위험은 편향제거(debiasing), 시나리오 분석 및 스트레스 테스트와 같은 공식화된 접근 방식으로 주요 결정에 도전함으로써 관리됩니다. 재무 및 전략적 리스크는 일반적으로 리스크-수익 균형에 따라 관리되지만, 비재무적 리스크의 경우 잠재적인 단점(potential downside)이 주요 고려 사항입니다.
기업은 가능성 및 영향에 따라 위험을 평가할 뿐만 아니라 새롭게 부상하는 위험에 대응하는 능력도 평가해야 합니다. 이러한 위험을 관리하는 데 필요한 대응 역량(capabilities)과 운영능력(capacities)을 평가하고 그에 따라 격차를 해소해야 합니다. 위기 관리에서 특히 중요한 것은 일이 잘못되었을 때 효과적인 대응의 적시성(the timeliness of an effective response)입니다. 리스크 관리에 대부분의 관심이 집중되는 매우 가능성이 높고 영향력이 큰 리스크 이벤트는 종종 엄청난 속도로 발생, 나타나며 많은 기업들이 예상치 못하게 합니다. 전사적 리스크 관리 프레임워크가 효과적이려면 두 계층이 완벽하게 통합되도록 보장해야 합니다. 이를 위해 리스크 정의 및 요구 사항, 제어 및 보고에 대한 명확한 정보를 제공합니다.
분류법 Taxonomy : 전사적 위험 분류법은 위험을 명확하고 포괄적으로 정의해야 합니다. 위험 선호도의 정의, 위험 정책 및 전략 개발, 위험 보고에서 이 분류법은 엄격하게 존중되어야 합니다. 분류법은 일반적으로 산업별로 구분되고, 산업과 관련된 전략적, 규제 및 제품 위험을 다룹니다. 또한 비즈니스 모델 및 지정학적 공간(특정 국가 및 법적 위험을 통합하기 위한)을 포함한 기업의 특성에 따라 결정됩니다. 검증된 위험 평가 도구를 새로운 기법으로 지속적으로 채택하고 개선하여 보다 친숙한 위험뿐만 아니라 새로운 위험(예: 사이버 위험)을 해결해야 합니다.
리스크 선호도 Risk appetite : 리스크 선호여부를 명확하게 정의하면 리스크-수익 상충관계(risk-return trade-offs)가 경제 자본, 리스크 현금 흐름 또는 스트레스 지표와 같은 재무 및 전략적 리스크에 대한 명확한 한계로 전환됩니다. 운영 및 규정 준수 리스크와 같은 비재무적 리스크의 경우 리스크 욕구는 전체 손실 한도를 기준으로 고유 리스크와 잔여 리스크로 분류됩니다 (다음 [참고] "적절한 리스크 선호도 수준 찾기" 참조).
[참고] 적절한 수준의 위험 선호도 찾기 Finding the right level of risk appetite
기업은 장기적인 탄력성과 성과를 보장하는 데 도움이 되는 적절한 수준의 위험 선호도를 찾아야 합니다. 다음 두 가지 예에서 알 수 있듯이 너무 완화되거나 너무 제한적인 위험 선호는 회사 재무에 심각한 결과를 초래할 수 있습니다.
위험에 너무 느슨함 Too relaxed : 1980년대에 한 원자력 회사는 철강 설비에 대한 기준을 설정하고 규정이 변경되어도 이를 검토하지 않았습니다. 원자력 발전소 장비 제조에 새로운 더 높은 표준이 적용되었을 때 회사는 준수에 미치지 못했습니다. 위험 선호도와 허용 수준을 더 일찍 조정했다면 비용이 훨씬 적게 들었을 것입니다.
너무나 제한적 Too restrictive : 제약 회사는 규정에서 요구하는 것보다 훨씬 더 엄격한 수준으로 약물을 생산하기 위해 품질 허용 오차를 설정했습니다. 생산 초기에는 공차 간격(tolerance intervals)이 충족될 수 있었지만 시간이 지남에 따라 초기 수준에서 품질을 더 이상 보장할 수 없었습니다. 회사는 규제 기관에 전달되었기 때문에 기준을 낮출 수 없었습니다. 궁극적으로 원래의 허용 오차를 유지하기 위해 상당한 비용을 들여 생산 공정을 업그레이드해야 했습니다.
리스크 관리 프로세스 Risk control processes : 효과적인 리스크 관리 프로세스를 통해 조직의 모든 레벨에서 지정된 리스크 욕구에 대한 리스크 임계값을 유지할 수 있습니다. 선두 기업들은 점점 더 빅 데이터 및 고급 분석을 중심으로 제어 프로세스를 구축하고 있습니다. 이러한 강력한 새로운 기능은 리스크 모니터링 프로세스의 효율성과 효율성을 크게 높일 수 있습니다. 예를 들어, 머신 러닝 도구(Machine-learning tools)는 부정 행위를 모니터링하고 조사의 우선순위를 정하는 데 매우 효과적일 수 있습니다. 자동화된 자연어 처리(automated natural language processing)로 불만관리(complaints management)는 행동 위험(conduct risk)을 모니터링하는 데 사용될 수 있습니다.
위험 보고 Risk reporting : 의사 결정 시 리스크 보고를 통해 정보를 제공해야 합니다. 기업은 이사회와 경영진에게 리스크에 대한 통찰력을 정기적으로 제공하여 가장 관련성이 높은 전략적 리스크를 파악할 수 있습니다. 목표는 조직의 모든 수준을 아우르는 독립적인 리스크 뷰를 계획 프로세스에 포함시키는 것입니다. 이러한 방식으로 리스크 프로파일은 프로세스 및 제품의 품질에 영향을 미치는 비즈니스 이니셔티브 및 의사 결정의 관리에서 유지될 수 있습니다. 편견최소화(debiasing)과 시나리오 플래닝 및 분석(use of scenarios) 사용과 같은 기술은 단기 목표의 달성을 향한 편견을 극복하는데 도움이 될 수 있습니다. 한 북미 석유회사(oil producer)는 세계와 지역 석유 시장의 불확실성을 감안할 때 전략적 가설을 수립했습니다. 이 회사는 리스크 모델링을 사용하여 다양한 시나리오에서 현금 흐름에 대한 가정을 테스트하고 이러한 분석을 경영진과 이사회가 검토한 보고서에 포함시켰습니다. 이에 따라 전략의 약점을 파악하고 조치를 완화할 수 있었습니다.
