2011년 3월11일 오후 2시46분경 미야기현 센다이 동쪽 179km 산리쿠오키 해역에서 진도 9.0의 초대형 지진이 발생했다. 이후 30여 분 경과한 3시15분경부터 태평양 연안지역에 쓰나미가 강타해 큰 피해를 초래했다. 일본의 선진화된 지진경보체계 발동도 소용없이 해일에 수많은 인명피해가 발생했다.

2차적으로 동부해안에 위치한 원자력 발전소의 붕괴로 방사성물질의 누출이라는 최악의 피해상황까지 발생하고 있다.

지진이 잦은 일본은 전 세계에서 가장 발전된 형태의 지진예방 시스템을 갖추고 있다. 그러나 세계에서 가장 훌륭한 시스템도 예측범위를 벗어나는 일에 대해서는 충분한 대비가 돼있지 않았다. 만약 지진 경보에 따른 대피 체계가 15분을 기준으로 설정돼 있었다면, 원자력 발전소의 내진설계가 진도 9.0에 맞추어져 있었더라면, 내진설계를 9.0에 맞추기 어려웠더라도 원자력 발전소 붕괴에 따른 대응 매뉴얼이 구축이 돼있었다면 현재 일본이 겪고 있는 피해보다 훨씬 적은 피해를 겪게 됐을 것이다.

기업은 경영 전 부문에 있어 위와 같은 자연재해에서부터 직원의 실수에 이르기까지 수많은 리스크에 노출돼 있다. 기업은 이런 리스크로 인해 작게는 매출의 손실이 겪게 될 수도 있고 크게는 기업의 존재 자체를 위협받을 수 있다.

경영환경 변화의 가속화와 복잡성 증대에 따라 리스크에 대한 노출은 더욱 빈번하게 발생하게 된다.

그러나 한편으로 리스크를 피하기 위해 소극적인 경영을 하게 되면 과감한 경쟁자와의 싸움에서 뒤쳐질 수 있어 이 또한 기업의 생존을 위협하게 되는 요인이 될 수 있다. 따라서 과감한 의사결정을 내리면서도 리스크를 관리 가능한 수준에서 통제하고 대비하는 것이 기업의 생존을 결정한다고 볼 수 있다.

리스크의 정의 “통제할 수 없는 불확실성으로 인해 발생하게 되는 미래의 잠재손실” ‘미래 잠재손실’이라는 단어로 인해 일반적으로 바람직하지 않은 사건들만 리스크라고 오해할 수 있다. 하지만 실제로 통제할 수 없는 시장 Boom-up과 같은 바람직한 현상 또한 리스크라 정의할 수 있다. 그 이유는 준비되지 않은 상태로 맞은 시장 Boom-up은 현재의 시장 지위를 신규 진입자에게 뺐기거나 경쟁사보다 낮은 성장률로 인해 기회 손실을 발생시킬 수 있기 때문이다.

리스크에 대한 보다 정확한 이해를 위해 리스크(Risk)와 이슈(Issue) 그리고 위기(Crisis)에 대해 먼저 정의하도록 하겠다. 먼저 Crisis는 기업의 일상적인 업무를 뒤흔들고 미래 활동에 영향을 주며 이해관계자와의 관계에 영향을 주는 사건으로 정의할 수 있다. Risk는 미래 발생 가능한 Crisis에 따른 미래 잠재손실이고, 이슈는 Crisis 발생에 대한 신호(Signal)라고 생각하면 된다.

환율을 예를 들어 설명하자면 급격한 환율변동 자체는 Crisis이고, 원화환율변동으로 인해 발생하는 기업 매출의 잠재적 손실은 Risk다. 세계 경제성장률 변동, 한국 및 주요국가 외환 정책변화, 국제 유가 및 원자재 가격 변화 등 원화환율을 변동하게 하는 원인들을 Issue 라고 정의할 수 있다.

리스크의 분류 리스크에 대한 이해를 높이기 위해 일반적으로 유사한 특성을 가지는 Risk들을 분류하곤 한다. 분류된 리스크의 서로 다른 특성을 이해하는 것은 리스크 매니지먼트의 첫 걸음이다.

리스크는 발생의 원인이 되는 대상, 즉 리스크의 발생주체에 따라 시장 리스크, 신용 리스크, 운영 리스크로 분류할 수 있다.

시장 리스크는 통제 불가능한 시장의 불확실성에 따라 기업을 둘러싼 전방·후방에서 제품 또는 서비스 가격의 변동으로 발생하게 될 미래 잠재손실이라 정의할 수 있다. 예를 들어 공급처로부터 발생하는 원자재나 원유의 가격 급변, 소비자나 고객으로부터 발생하는 수요의 급변 및 이로 인한 제품·서비스 가격의 변동이 이에 포함된다. 또한 수출에 대한 의존도가 높은 우리 기업들에게는 환율의 급변도 공급 및 수요환경에 유사한 변화를 줄 수 있으므로 이 범주에 들어갈 수 있다.

신용 리스크는 기업 활동에서의 고객·소비자·공급자가 각자의 책임을 이행하지 못해 발생 가능한 미래 잠재손실로 정의할 수 있다. 공급처가 사전예고 없이 납품에 차질을 발생시켰다든지 고객사가 대금결재를 비정상적으로 늦게 하거나 지급불능(Default)을 선언하는 경우가 신용 리스크의 대표적인 사례라 하겠다.

마지막으로 운영 리스크는 자사의 사람 프로세스·시스템 등이 정상적으로 작동하지 못함으로써 발생 가능한 미래 잠재손실로 정의할 수 있다. 또 파업과 영업장에서 예상하지 못했던 사고, 설비의 갑작스러운 고장 등을 생각하면 된다.

기업 경영에 있어서는 결코 일어나지 않으리라 생각했던 사건들이 발생 빈도가 낮다고 해서 실제로 발생하지 않는 것은 아니다. 0.1%의 불량률을 가지고 있는 핵심부품 3개에서 동시에 문제가 발생해 제품이 작동하지 않게 될 경우를 생각해 보자. 세 개의 핵심부품이 모두 불량으로 제품이 작동하지 않을 확률은 100만분의 1이기 때문에 이는 무시 가능한 수준이라 착각하기 쉽다.

그러나 기업의 누적생산량이 100만개의 제품을 생산할 경우 논리적으로도 최소 한개의 제품은 세 부품이 모두 기능을 하지 못하는 일이 발생하게 될 수 있기 때문에 주의해야 한다.

더구나 이것이 경영환경의 복잡성으로 인해 극대화되어 누구도 예기치 못한 사고가 발생할 수도 있는 것이다. 예일대 사회학자인 찰스 페로(Charls Perrow)는 이를 정상사고(Normal Accident)라고 정의한 바 있다.

따라서 Crisis가 얼마나 일상적이고 예상 가능한 수준인지에 따라 리스크를 분류하는 것이 중요한데 이것이 리스크를 보는 다른 한가지의 시각인 예측가능성이다. Crisis의 예측가능성을 기준으로 리스크는 체계적 위험(Systematic Risk)과 비체계적 위험(Unsystematic Risk)의 두 가지 유형으로 정의할 수 있다. 통제할 수는 없지만 정상적인 사업환경 내에서 예측 가능한 통상적 범위에서 발생하는 일들을 체계적 위험, 이변의 발생으로 정상적인 예측 범위를 벗어나는 경우를 비체계적 위험이라고 부른다.

예를 들어 통상적으로 발생하는 부도율의 변동은 체계적 위험이고, 외환위기로 인한 부도율의 극심한 증가는 비체계적 위험으로 판단할 수 있다. 또 일본에서 발생하는 통상적인 지진들이 체계적 위험이라고 한다면 이번에 일본 동북부에서 발생한 일련의 위기가 비체계적 위험의 대표적인 사례라고 볼 수 있는 것이다.

리스크 매니지먼트(Risk Management)의 정의 리스크 매니지먼트는 그림과 같이 위기의 발생 이전 예방·방지부터 위기 이후 복구까지 포괄하여 관리하는 개념이다. 미래의 잠재손실에 대해, 사전에 대비할 수 있는 부분에 대해 대응책을 마련하고 리스크가 현실화됐을 때 즉시 대응 매뉴얼을 통해 피해를 최소화 하며 복구 계획에 따라 피해를 복구하는 일련의 작업이 리스크 매니지먼트다. 다시 한 번 정의하면 리스크 매니지먼트는 불확실성으로 인한 조직의 미래 잠재손실을 최소화하기 위해 리스크 인지, 규명, 추정, 평가, 대응으로 이어지는 일련의 연속적 과정을 지속하는 것이다. 그렇다면 실제 기업에서 리스크 매니지먼트를 적용시키기 위해 어떻게 해야 할 것인가?

리스크 관리를 위한 5 Step 접근방법론 (1) 리스크의 특성에 따라 명확하게 정의하라 앞서 설명한 것처럼 리스크를 그 특성에 따라 명확하게 구분해 정의하는 것은 리스크 매니지먼트의 시작이다. 리스크의 특성에 따라 관리방안이 달라져야 하기 때문이다. 리스크를 명확하게 구분해 정의하게 되면 기업에 영향을 미칠 수 있는 요소를 빠짐없이 파악할 수 있게 되어 행여 간과할 수 있는 위험을 사전에 방지할 수 있게 된다.

리스크는 리스크 대상과 예측가능성 관점에서 3x2 형태로 분류 가능하다. 앞서 설명한 것과 같이 리스크의 발생주체에 따라 시장 리스크, 운영 리스크, 신용 리스크로 분류 가능하고 각각의 리스크를 예측 가능성을 기준으로 예측 가능한 범위의 체계적 위험과 예측이 어려운 범위의 비체계적 위험으로 분류할 수 있는 것이다.

리스크 발생주체에 따른 분류는 리스크 요소를 도출할 수 있는 기준 설정의 의미를 가지고 예측 가능성에 따른 분류는 대응 방안 설정 기준의 의미를 가진다.

결국 기업이 노출되어 있는 경영환경을 시장, 신용, 운영의 관점으로 나누어 놓고 이 세 관점에서 기업의 생존에 위협이 될 만한 요소들을 찾아낸다. 그 후 이 위협요소들이 과거 사례로 보았을 때 통상 어느 정도 변화하는지, 어느 정도를 넘어가게 되면 우리 회사를 위험에 빠트리게 되는지를 파악하는 것이 리스크 관리의 시작이라고 볼 수 있다는 의미다.

(2) 리스크를 세분화하고, 세분화된 리스크 요소의 중요도를 평가하라 기업 관점에서 리스크를 어떻게 정의하고 분류할지 결정되고 나면 리스크를 시장 리스크, 운영 리스크, 신용 리스크 측면에서 우리 회사에게 실제로 발생할 수 있는 리스크 요소의 Full List를 작성해야한다. 리스크 요소 Full List는 리스크 요소 중요성 도출 대상 범위를 설정하고 향후 기업의 전략 방향 및 사업 영역이 변화한 상황에서도 리스크 요인의 Pool을 마련해 놓음으로써 리스크 관리 변환 용이성을 높이기 위해 필수적인 일이다. 환율변화가 우리 회사의 매출과 수익에 미치는 영향은 얼마나 되는 것인지, 유가와 각 원자재의 가격변화는 기업활동에 어떤 영향을 주는 것인지를 파악하는 등의 행위가 이에 해당된다. 각 요인들에 대한 영향을 모두 분석해서 계산하는 것보다는 기업활동에 영향을 미치는 요소가 어떤 것들이 있는지 위험이 다가왔을 때 당황하지 않도록 사전에 항목들을 파악해 놓는 것이 중요하다는 의미다.

기업이 모든 리스크를 관리한다는 것은 현실적으로 불가능하다. 하지만 만약 모든 리스크를 관리할 수 있다 하더라도 리스크 관리에 소요되는 비용대비 효과성이 매우 낮아진다.

따라서 도출된 리스크 요소 중 기업이 핵심적으로 관리해야 할 핵심 요소를 선정하는 것이 필수적이다. Full List 중에 직관적으로 파급력이 크거나 발생할 확률이 높은 요소들을 도출하는 작업이 필요하다고 하겠다. 일반적으로 리스크 요소는 리스크 발생 시 기업에 미치는 정량적, 정성적 손실의 크기를 의미하는 ‘리스크 영향력’과 리스크의 발생가능성 혹은 발생빈도를 의미하는 ‘불확실성’의 두 가지 기준으로 평가 가능하다. ‘리스크 영향력’과 ‘불확실성’이 조합되면 결국 기업에 미치는 잠재 손실이 되기 때문이다.

이 두 가지 기준에 따라 회사 별로 특성을 반영한 정량화를 통해 우선순위 선정이 가능하다. 예를 들어 시장 리스크의 경우 경쟁사의 가격 조정, 원자재 가격 변동, 환율의 변동, 유가 변동 등으로 리스크 요인(Factor)을 분류할 수 있다. 이 각각의 요인 변동에 따른 기업의 성과에 따라 영향력의 정량화가 가능하다.

물론 각 리스크 요소의 영향력을 평가하는 것이 지난한 과정이긴 하지만 리스크 매니지먼트를 시작하기 위해서는 필수적인 과정이고 한번 영향력 평가 논리(Logic)가 마련된 이후에는 각 요소의 영향력이 변하더라도 손쉽게 변화하여 적용 가능하다.

(3) 리스크 대응방안을 설계하라 기업의 핵심 관리 리스크가 정의됐으면 그 다음 순서는 그 리스크에 대해 어떻게 대비하고 관리할 것인가를 결정하는 것이다.

리스크는 예측 가능성에 따라서 실제 리스크의 발생 전에 대응방안 설계가 가능한 부분과 리스크 발생 이후에야 신속한 대응을 할 수밖에 없는 부분으로 분류가 된다. 그것이 앞서 말한 체계적 위험과 비체계적 위험이다.

체계적 위험은 예측이 가능한 범위에서 발생하는 리스크이므로 사전 대응이 가능하다. 그러나 비체계적 위험은 예측 불가능한 범위에서 발생하는 리스크이므로 사전에 대응방안을 실행한다는 것이 사실상 불가능하다.

이와 같은 특성에 따라 체계적 위험은 기업이 관리해야 하는 핵심 리스크를 다음과 같은 방법으로 사전 대응이 가능하다.

·리스크 회피: 리스크의 영향력이 크고, 발생 빈도도 높은 리스크 요소에 대해 기업활동 과정에서 관련된 행위를 하지 않는 방안, 예를 들어 부실위험이 높은 고객군과의 거래를 중단하거나 사고 위험이 높은 원자재 대신 다른 원자재로 대체하는 방법 ·리스크 분리: 리스크 발생주체의 다양화를 통해, 리스크 수준을 최소화 하는 방안, 예를 들어 기업 자금조달처를 주거래 은행 뿐만 아니라 3곳 이상의 은행으로 확대하거나, 부품을 다수 조달처로부터 소싱하여 공급처 Default 리스크를 낮추며, 고객 기반을 다변화하여 매출 의존도를 최소화하여 고객 Default 리스크를 최소화 하는 방법 ·리스크 이전: 매장 결품에 대한 부가 수수료를 물류업체 계약을 통해 전가하거나, 발생 가능한 리스크 요소에 대해 보험 등을 통해 Crisis 이전에 자사가 아닌 다른 주체로 리스크를 이전하는 방안 ·손실 관리: 기업 내부적 품질관리, 인력관리, 도덕성 조사 등 손실 예방과 손실 강도의 감소를 목적으로 A/S 등 손실 경감의 방법으로 손실을 사전 관리하는 방안 환율에 대한 리스크가 높은 수출기업이 환에 대한 리스크를 회피하기 위해 내수사업의 비중을 높이는 행위가 리스크 회피로, 달러 환율에 대한 영향력을 줄이기 위해 유로거래를 개시하는 행위가 리스크 분리의 예시다.

또한 사전에 환헤지(Hedge) 상품을 사용하는 것이 리스크 이전이며 중장기 환율예측을 강화하는 것이 손실관리라고 생각하면 쉽게 이해할 수 있다. 비체계적 위험은 예측이 불가능하기 때문에 앞서 설명한 네 가지 방법으로 관리 가능한 범위를 넘어가는 사태에 대한 시나리오를 도출하고 이에 대한 대응 매뉴얼을 만들어 사후 대응할 수밖에 없다.

비체계적 위험에 대한 시나리오 플래닝은 체계적 위험과 같이 초기 리스크를 정의하고 분류 및 평가를 통해 핵심 리스크 요소를 정의한 후 핵심 리스크 별로 시나리오의 개요를 통해 구체화하며 구체화된 핵심 리스크 시나리오별 대응 매뉴얼을 설계하는 과정으로 진행된다.

예를 들어 북아프리카와 중동의 정치적 불안이 지속되어 유가가 현재수준의 2배 이상이 되었을 때를 가정하고, 이 경우 사건이 발생하는 시점을 기준으로 1개월, 6개월, 1년, 3년 후에 우리 회사는 어떤 대비책을 찾을 수 있는 것인지를 사전에 준비해 놓는 것을 의미한다.

현실적으로 이것이 어떻게 가능한가라는 반문이 있을 수 있겠으나 쉘(Shell)과 같은 회사에서는 오일쇼크(Oil Shock) 이전에 실제로 적용해 큰 효익을 본 방법이다.

(4) 리스크 Signal 지표를 지속적으로 모니터링 하라 기업의 핵심 리스크에 대한 사전·사후 대응 방안을 설계하는 것만으로 리스크 매니지먼트를 하고 있다고 판단하기는 어렵다. 결국 어떻게 잘 실행되느냐가 리스크 매니지먼트의 성공을 좌우하는 핵심 요인이기 때문이다.

리스크 매니지먼트의 성공적 실행을 위해 핵심 리스크의 사전 징후를 명확히 정의하고 그 징후의 정도를 지속적으로 모니터링 함으로써 리스크 대응 방안을 적시에 실행할 수 있도록 하는 것이 중요하다. 예를 들어 매출채권의 회수율이 Signal 지표로 선정됐다면 월별로 평년수준 대비 5%포인트 변동이 있을 때마다 경영진에게 보고하도록 한다.

또 10%포인트 이상의 변동의 발생하는 순간 즉각적인 대응이 필요함을 영업부서에 알리도록 하며 영업부서에서는 상황이 악화되어 Crisis가 발생하지 않도록 사전에 준비된 대비책을 실행하는 것이 바람직한 모습이라 하겠다. 이때 5% 포인트, 10% 포인트가 리스크에 대한 경고 신호(Alarm)의 기준이다.

이것이 어려운 이유는 환율이나 유가와 같이 쉽게 외부지표의 변화 이외에도 고객사의 수요변화, 시장 트렌드의 변화와 같이 직관적으로 사전감지가 어려운 요소가 존재하기 때문이다.

결국 Signal을 잘 설계하기 위해서는 기업 경영환경의 변화를 얼마나 빨리 감지할 수 있도록 우리 회사의 대 고객·대 시장 부서가 사전에 준비하고 있어야 하는 것이다.

(5) 기업의 리스크를 관리할 수 있는 전담조직을 구축하라 리스크 매니지먼트 체계는 한 번의 구축으로 끝나는 것이 아니다. 기업이 속한 환경과 기업 자체의 특성은 지속적으로 변화한다. 환경과 기업 자체 특성의 변화는 리스크가 기업에 미치는 영향력의 변화를 이끌게 되고 그로 인해 핵심 리스크 요소가 변화한다.

리스크 매니지먼트는 핵심 리스크 요소를 기반으로 그에 대한 대응방안을 마련하는 것을 핵심으로 하고 있으므로 핵심 리스크 요소의 변화를 유발하는 기업의 전략 및 사업 포트폴리오의 변동에 따라 지속적으로 업그레이드(Upgrade)돼야 한다.

리스크 매니지먼트의 지속적 업그레이드의 핵심은 이 업무를 담당하는 명확한 주체를 설정하는 것이다. 기업에서는 리스크를 담당하는 전담조직을 구축해 리스크 매니지먼트 체계의 지속적 업그레이드를 실행해야 용두사미를 피할 수 있다. 만약 리스크 매니지먼트를 위한 전담조직의 구축이 어렵다고 한다면 최소한 관리부문 임원에게 책임을 부여하고 이를 KPI에 반영하는 것이 차선책이라고 할 수 있겠다.

외로운 CEO를 위한 지침서 준비 일본 대지진의 사례에서 가장 안타까웠던 부분은 일본 원전에 누구도 예측하지 못했던 진도 9.0의 지진에 대비한 내진설비가 아니라 사태를 수습할 책임을 지고 있는 지도부의 공황상태였다. 실제로 상상을 초월한 자연재해에 대비한 설비를 만들어 내는 데는 감당할 수 없을 정도의 재원이 들어갈 일일지도 모른다. 기업의 경영자 입장에서도 마찬가지일 수 있다.

국제유가의 급상승에 선물 등의 회피 방안을 쓸 수는 있지만 유가가 두 배, 세 배 이상 급등하는 상황에 대한 준비를 하는 것은 어려울 뿐더러 감당하기 어려운 수준의 비용을 수반하게 될 가능성이 있다. 경영자의 입장에서 이런 위기를 대비해 준비를 게을리 하지 않음이 물론 중요하겠으나 그보다 중요한 것은 위기상황에 순간순간 최선의 판단을 하는 것밖에 없을 것이다.

오늘 소개한 방법론은 평상시의 준비를 철저하게 함과 동시에 위기상황에서 최선의 판단을 내릴 수 있도록 의사결정을 도와줄 수 있는 준거를 마련하는 것이 좋겠다는 의미로 결론 내릴 수 있을 것이다.

결국 위기순간에서 중대한 의사결정을 내려야 하는 외로운 경영자가 본인의 경험과 직관에만 의존하지 않도록 하는 것이 리스크 매니지먼트뿐만 아니라 모든 과학적 관리(Scientific Management)의 존재 목적이 아니겠는가?

[김희준 / T-Plus 팀장 hjkim@t-p.co.kr]
[백종수 / T-Plus 컨설턴트 jspaek@t-p.co.kr]
[신필호 / T-Plus 컨설턴트 phshin@t-p.co.kr] [본 기사는 매일경제 Luxmen 제8호(2011년 05월) 기사입니다]
[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]