<리스크 관리 - 톰 디마르코>
구르는 공은 모두 뛰어오는 아이보다 앞서 나타난다 - 트럭운전사들 사이의 격언
지난번 편지에 이어 오늘도 좀 회사스러운 얘기를 좀 해볼까 합니다. 이번 이야기의 주제는 ‘리스크 관리’입니다. 많이들 들어보셨을 것 같습니다. 특히 직장인으로 프로젝트를 진행해본 경험이 있으면 어렴풋이라도 알고 있는 개념일 겁니다. 우리말로 위험관리라고도 말할수도 있을텐데, 여기에서는 프로젝트에서 보편적으로 쓰이는 리스크(risk)라는 영단어를 사용하도록 하겠습니다.
리스크는 아직 발생하지 않은 문제입니다. 문제는 현실화된 리스크이고요. 세상만사 리스크가 없는 일은 없습니다. 마른 하늘 날벼락을 맞을 확률은 극히 희박하지만 불가능하지 않습니다. 그렇기에 우리는 업무 뿐만 아니라 일상에서도 리스크 관리를 합니다. 파란 신호등이 켜질 때만 횡단보도를 건너는 것이 리스크를 줄일 수 있는 일이죠. 파란불이라도 횡단보도를 건너기 전에 좌우를 살피는 것은 더 현명한 리스크 관리고요. 이렇듯 우리는 모든 일에 임함에 있어 의식적이건 무의식적이건 리스크 관리를 하고 있습니다.
회사에서도 마찬가지죠. 하지만 무능력한 회사일수록, 그리고 회사 내에 타인에게 끼칠 수 있는 피해에 대해 무감각한 사람들이 많을수록 리스크관리는 제대로 이루어지지 않습니다.
오래전 우리는 세월호 침몰이라는 가슴 아픈 사건을 겪었습니다. 배를 제대로 관리하지 않고, 적재중량 등 위험요인들을 간과한 선주와 관련 책임자들에게 크나큰 과실이 있었습니다. 어제도 배가 별 문제 없이 운항을 마쳤으니 오늘도 문제 없을 거라고 선주는 생각했을 겁니다. 리스크가 현실화된다고 해도 그로 인해 발생할 수 있는 문제의 크기와 파장을 전혀 예측하지 못했을 것입니다. 그리하여 선주는 어쩌면 아무 일도 없을 것이라는 믿음을 굳게 가졌을지도 모릅니다. 하지만 그가 진정으로 배에 문제가 없다고 믿었다고 해도, 그 확신에 대한 진실성 자체는 그의 행위를 결코 정당화할 수 없습니다.
왜냐하면 그는 그렇게 믿을 권리가 없기 때문입니다.
그의 믿음의 이유가 세밀한 조사에 따른 결과가 아닌 단순히 의구심을 교살함으로써 얻어진 것이기에 그렇습니다. 믿을 권리가 있는 것만을 믿어야 하는 것이 리스크 관리입니다.
톰 디마르코는 그의 책 <리스크 관리>에서 세월호와 유사한 사례를 들며 리스크 관리에 대해 설명합니다. 사실 리스크 관리는 매우 어려운 활동입니다. 모든 리스크를 관리할 수는 없습니다. 어떤 일이든 어느 정도의 리스크는 감수해야만 합니다. 전형적인 기업 환경에서 리스크 관리가 어려운 이유는 기업들이 불확실성을 확실하게 다루도록 요구하기 때문입니다. 불확실성을 확실하게 다룬다는 말 자체가 모순이죠. 기업에서 확실함이라는 증거를 얻기 위해서는 정량화가 이루어져야 합니다. 따라서 리스크 관리는 불확실한 것들에 대해 정량적인 평가를 하는 행위입니다. 기업의 경영을 하려면 프로젝트의 일정이 나와야 하고 일정은 해야 할 일과 가능한 리스크를 기반으로 수립됩니다.
이렇듯 리스크에 대해 많은 신경을 쓰면서도 정작 기업의 경영진은 리스크에 무감한 모순적 태도를 가지는 경우가 많습니다. 대표적인 리스크 관리의 오용사례는 프로젝트가 5월말까지는 절대 완료될 가능성이 없다는 개발책임자의 말을 6월 1일에 프로젝트 완료가 가능하다고 받아들이는 경영진입니다. ‘할 수 있다’라는 태도는 많은 기업에 만연되어 있습니다. 하지만 유감스럽게도 ‘할 수 있다’는 리스크 관리와 정반대되는 개념입니다.
낙관주의(거짓)가 판을 치는 곳에서 진실을 말하는 사람은 엄청난 불이익을 감수해야 합니다. ‘그 일정은 불가능합니다’라고 말하는 순간, 할 수 있다며 늑대처럼 달려들 긍정론자들 앞에서 적극적이지 못 한 직원으로 경영진에 찍히기 십상입니다. 결국 안된다는 말을 차마 못 꺼내고 프로젝트는 진행되지만, 어떻든다가요? 그렇게 시작되어서 일정 내에 무사히 끝난 프로젝트는 저의 저희 경험상 하나도 없습니다. 있다면 하늘이 도운 경우에 불과합니다. 결국 지연된 프로젝트에 대해서 모두들 외적인 요인을 거들먹거리며 약간의 반성과 함께 은근슬쩍 어물쩡 덮어버립니다. 이런 행위가 가능한 이유는 경영진 역시 책임이 있기 때문입니다. 회사나 조직에서 최악은 납득이 가지 않은 예측에 대해서는 경고와 처벌을 남발하면서, 정작 결과에 대해서는 처벌하지 않는 것입니다.
회사에서 리스크를 입 밖에 내지 못하게 한다면 곧 망할 회사입니다. 리스크를 제대로 말하지 못하는 데는 암묵적인 이유가 몇 가지 있습니다.
가장 흔한게 대안이 없으면 문제를 제기하지 말라는 태도죠. 대안이 왜 없겠습니까? 문제가 있을게 뻔하면 차라리 하지 않는게 대안이죠. 수많은 긍정늑대들이 있는 회사에서는 리스크를 말하는 것이 부정적으로 보이기 쉽습니다. 일을 방해하는 사람처럼 취급되는 거죠. 사실 리스크라는 것 자체의 속성이 불확실하다보니, 그 누구도 리스크가 현실화된다거나, 현실화 되지 않는다고 장담할 수는 없습니다.
오늘은 톰 디마르코가 쓴 <리스크 관리>라는 책에 나오는 내용들을 가지고 이야기해봤습니다. 정답이라는 것은 없어도 정답을 찾아가기 위해 긍정적인 요소와 부정적인 요소들은 냉철하게 검토해서 최선/차선/차악/최악에 대비하는 것이 리스크 관리가 아닐까 하는 생각이 듭니다. 여러분들의 회사에서는 어떠한가요?
리스크관리고 나발이고 일단 내일부터 추석연휴가 시작됩니다. 골치 아픈 일들은 털어버리고, 가족, 친지들과 행복한 시간 보내시기를 기원합니다.