◎'리스크 관리, 커뮤니케이션이 관건이다'

LG경제연구원 '리스크 관리, 커뮤니케이션이 관건이다'

(서울=뉴스와이어) 2007년01월11일-- 리스크 관리를 위한 조직이나 제도만 갖추어 놓는다고 해서 성공이 보장되는것은 아니다. 리스크에 대한 막힘 없는 의사소통이야말로 성공의 열쇠다.

외환위기 이후 기업 경영의 불확실성은 그이전과는 비교할 수 없을 만큼 커졌다. 금리·주가·환율 등 금융 변수들의 변동성이 커졌고, 외환위기 초기에 2,000원에 육박하던 환율은 지속적으로 하락하여 기업의 채산성을 악화시키는 주된 요인으로 작용했다. 반면 원유와 원자재 가격은 유래 없이 무서운 기세로 치솟는가 하면 다른 한 편에선 폭락설도 제기되고 있어, 경영자는 어느 장단에 맞춰 춤을 춰야 하는지 혼란스럽기 그지없다.

기업 내 대부분의 리스크는 이미 파악 중

이처럼 갈수록 불확실성이 커지면서, 많은 경영자들이 리스크 관리에 큰 관심을 보이고 앞다투어 리스크 관리 컨설팅을 받고 있다. 기업들이 리스크 관리 프로젝트를 통해 얻게 되는 결과물은 크게2가지로 요약된다.

첫째는‘어떤 리스크를 관리할 것인가(What to do)?’에 대한 답으로서, 관리 대상 리스크(Risk Profile)를 정하는 단계이다. 즉 기업이 현재 처해 있는 혹은 잠재적으로 직면할 수 있는 리스크가 무엇인지를 찾아내는 작업이다. 다음으로는‘리스크를 어떻게 관리할 것인가(Howto do)?’에 대한 답으로서, 리스크 관리 체계 System 혹은 Framework)를 완성하는 단계이다. 즉 앞에서 찾아낸 리스크에 대한 현재의 관리 실태를 분석하여 취약점을 찾아내고, 이를 어떻게 개선할 것인지 방향성을 모색하는 작업이다.

필자의 리스크 관리 컨설팅 프로젝트 경험을 되돌아보면, 경영자들은 이 2가지 결과물 중특히 앞 단계에 기대를 거는 경우가 많다. 즉 리스크 관리 프로젝트를 통해 이전에는 전혀 생각지도 못했던 새로운 리스크를 찾아내 주길 바란다는 뜻이다. 그러나 이처럼 리스크 관리 체계를 도입하기만 하면, 과연 경영자가 전혀 생각지도 못했던 리스크들이 마구 쏟아져 나오는지에 대해서는 다시 한 번 생각해 봐야만 한다.

리스크 관리를 통해 얻을 수 있는 효과는 크게 두 가지이다. 하나는 기존에 인식하지 못하고 있던 리스크를 새롭게 발견하는 것이고, 다른 하나는 기존의 특정 부서에서만 인식하고 있던 리스크를 개별적으로 대응하는 차원을 넘어 전사 관점에서 공유하고 통합적으로 대응하는 것이다. 그러나 리스크 관리를 도입하기만 하면 그동안 전혀 모르던 리스크를 새롭게 찾아낸다는 것은 결코 쉽지 않은 일이다. 신생 기업이 아닌 이상 대부분의 기업들은 부서별로 어느 정도의 리스크 관리는 수행하고 있기 마련이다.

그동안 문제가 되었던 리스크 관리의 실패사례를 살펴보더라도, 전혀 몰랐던 리스크가 현실화된 경우는 많지 않다. 돌아보면 외환 위기도우리가 전혀 예상하지 못했던 위기는 아니다. 다만 위기 발생 확률을 낮게 평가하여 체계적으로 대비하지 못한 문제가 있었던 것이다.

이미 있는 것을 활용하는 게 우선

세계 최고의 컨설팅 회사로 꼽히는 맥킨지의 문제 해결 방식을 소개하여 베스트셀러가 된「TheMcKinsey Way」에서는, 맥킨지의 연구 조사 방법으로‘이미 있는 것을 활용하라’는 원칙을 제시하고 있다. 이 원칙의 요지는 매우 간단하다. 자신이 어떤 문제를 다루든지, 나 이전에 다른 누군가가 비슷한 일을 미리 했을 가능성이 높다는 것이다.

만약 그 누군가가 자신의 조직 내에 있는 사람인 경우 전화만 걸면 그 문제에 대한 답을 얻을 수도 있다. 이를 위해 맥킨지에서는 내부 연구 자료와 외부 프로젝트의 결과물을 내부 데이터베이스에 저장해 놓았다. 컨설턴트들은 이 데이터베이스를 통해 비슷한 문제나 유사한 산업에서 앞선 다른 누군가의 해결책을 보며 힌트를 얻게 된다.

리스크 관리 역시 맥킨지의 이 원칙과 크게 다르지 않다. 기업 구성원 각자가 전사 차원의 모든 리스크를 꿰고 있지는 못하겠지만, 기업의 리스크는 개별 구성원들이 인식하는 리스크의 범주에서 크게 벗어나지 않는 경우가 대부분이다.

리스크 관리의 베스트 프랙티스로 꼽히는월마트(Wal Mart)를 살펴보자. 월마트는 기업내의 다양한 기능 부문에서 모인 전사 리스크 관리 위원회를 두고, 주요 의사 결정자들을 대상으로 설문을 실시하여 기업 내의 리스크에 관한 정보를 수집한다. 또한 리스크 워크샵(RiskWorkshop)과 통제/실행 워크샵(Control &Action Workshop)을 운영하고 있다. 리스크 워크샵에서는 구성원들 사이에 주요 리스크의 의미를 공유한 후, 발생 확률과 영향도에 따라 각 리스크를 평가하여 투표한다. 통제/실행 워크샵은 각 리스크에 대응하기 위한 실행 계획을 수립하고, 개인과 조직에게 리스크 관리의 책임을 할당한다.

리스크 관리의 모범을 보여 주는 또 다른 기업인 듀폰(DuPont)에서도 비슷한 모습을 발견할수 있다. 듀폰 역시 리스크 관리 위원회나 리스크관리 네트워크 등의 인프라를 두고 있지만, 리스크 관리 체계가 제대로 작동하기 위해서는 구성원들의 마인드가 중요하다고 보고 있다. 이를 위해 리스크 관리 정책을 수립하고 구성원들의 책임을 명확하게 하는 리스크 관리 세미나와 불확실성 하에서의 의사결정 능력을 제고하는 교육프로그램을 운영하고 있다.

전담 조직만으로는 리스크 관리에 한계

월마트와 듀폰의 사례를 보면, 리스크 관리만을 전담하는 전문가를 둔 것도 아니고 다른 기업에서는 쉽게 흉내 낼 수 없는 방대한 데이터베이스나 전산 인프라로 구성된 정교한 리스크 관리 도구가 있는 것도 아니다. 위원회나 워크샵, 세미나 등 우리가 이미 기업 경영에서 일상적으로 활용하고 있는 회의체가 전부이다. 베스트 프랙티스라고 부르기에는 너무도 단순한 체계를 지니고 있음에 놀라는 것도 무리가 아니다. 리스크를 식별하고 평가하는 데 고난도의 스킬이필요한 신비로운 방법론이 있을 것이라고 생각했다면, 실망했을 수도 있다.

리스크 관리는 하늘에서 뚝 떨어진 것 같은 완전히 새롭고 깜짝 놀랄 만한 리스크를 찾는 것이 아니다. 오히려 기업의 구석구석 현업에서 이미 알고 있는 리스크들을 한 자리에 허심탄회하게 풀어 놓고 활발하게 논의하며, 행여 놓치고 있는 리스크가 없는지를 확인하는 장이라고 할 수 있다.

한 때 세계 최고의 리스크 관리 기업이라고 불리던 엔론의 경우는 전담 조직만으로는 리스크관리에 한계가 있다는 교훈을 준다. 엔론은CRO(Chief Risk Officer) 산하에 150여 명이나 되는 인원을 두고, 연간 3,000만 달러의 예산을 쓰는 등 리스크 관리에 많은 자원을 쓰고 있었다. 그러나 정작 자사의 운명을 좌우할 정도의 큰 위기가 닥치자 리스크 관리 시스템은 작동되지 않았다.

따라서 단순히 리스크 관리 시스템만을 갖추었다고 해서, 리스크관리가 제대로 되리라고 믿는 것은큰 오해이다. 일본 기업에 대한 벤치마킹에서도 이와 같은 사실을 다시한 번 확인할 수 있었다. 리스크 관리에서 앞서 있다고 하는 일본의 건설 업체 도요(Toyo)는 프로젝트별로매월 리스크 리포트를 제출하고, 전사 리스크 관리 조직을 운영하고 있으며, 리스크 관리 위원회를 개최하여 프로젝트별로 리스크를 논의하는 등 리스크 관리의 형식은 우리 기업들과 크게 다르지 않았다.

그러나 구성원들의 인식은 매우 큰 차이를 보인다. 일본 기업의 경우에는 개별 프로젝트의 리스크가 사전에 충분히 노출되고 이에 대해 리스크 관리 조직에서 적절한 처방을제시하여 사전 대응을하고 있었다. 반면 우리 기업의 경우에는 프로젝트 팀 내에서 리스크를 숨기려 할경우 리스크 관리 조직이 이를 사전에 알기가 어렵다. 오히려 프로젝트 매니저가 리스크를 자꾸 감추는 경향이 있는 것으로 구성원들은 인식하고 있었다.

리스크 관리의 전문가인 제임스 램 역시 그의 저서「Enterprise Risk Manage-ment」에서리스크관리의 균형을 강조하고 있다. 즉 ▲리스크 관리 문화 ▲정책 ▲리스크 관리의 피드백 ▲교육 프로그램 ▲리스크 관리에 대한 동기 부여등과 같은 내적인 측면이 뒷받침되지 않으면, ▲독립적인 리스크 관리부서와 감독위원회 ▲리스크 평가와 감사 ▲리스크 관리 프로세스 ▲시스템과 모형 ▲측정과 보고 ▲한도와 예외 프로세스 등 리스크 관리의 외형은 무의미하다고 말한다. 내적인 측면이야말로 리스크를 관리하는 핵심 원동력이며, 외형은 이것들을 실행하게 만들어 주는 도구라는 것이다.

리스크 관리의 성공은 형식상의 리스크 관리 체계를 완성하는 것만으로 보장되는 것은 아니다. 앞에서 살펴 본 리스크 워크샵이나 리스크리포트에서 리스크가 실질적으로 논의될 수 있어야만 리스크 관리는 제대로 작동되는 것이고, 결국 이를 위해서는‘리스크를 함께 공유할 수 있는 열린 문화’가 핵심적인 요인이다.

리스크 관리의 Right People, 비틀어 보기

그렇다면 리스크 관리를 위한 의사소통은 어떻게하면 가능한가? 먼저 리스크 관리는 전사 리스크관리 조직에서 수행하는 업무라는 생각부터 버려야 한다. 전사의 모든 부서가 일상적으로 행하는업무에 포함되어 있으며, 전사 리스크 관리 조직은 이를 최적의 리스크 포트폴리오로 관리하는 것일 뿐이다. 결국 모든 부서와 구성원이 보다 리스크에 민감해지는 수밖에 없는 것이다.

「Knowing Doing Gap」이라는 저서로 우리에게 잘 알려진 스탠퍼드의 로버트 서튼 교수는「Weird Ideas That Work」에서‘부자데(Vu jade)의 사고방식’을 강조한다. 데자부가 실제로 체험한 적이 없는 일을 전에 경험한 것처럼 느끼는 기시감(旣視感)을 가리킨다면, 부자데는 이미 전에 수백 번 경험한 것을 마치 첫 경험처럼 느끼고 행동하는 것을 말한다. 리스크 관리야말로 이와 같은 부자데의 시각이 가장 필요한 분야이다. 모든 이들이 한 방향으로 달려갈 때, 부자데의 관점에서 혹시 그 길 너머에는 절벽이 있을지도 모른다는 문제 제기야말로 최고의 리스크 관리이다.

우리 기업들의 회의 모습을 한 번 떠올려 보자. 필자가 참관해 본 대부분의 경영위원회에서는 CEO가 근엄한 표정으로 새로운 구상을 발표하면, 모든 참석자들이 한 목소리로 찬성하고 박수를 친다. 설령 속으로는 그 계획이 잘못 될지도 모른다는 리스크를 떠올리더라도, CEO 앞에서 공개적으로 이견을 제기하기 어려운 것이 우리기업들의 일반적인 정서이다. 반대 의견을 개진하는 것을 두고 마치 공개적으로 CEO를 면박 주거나 딴지를 거는것 으로 해석하는 경향이 있는 것이다. 그리고 실제로 그런 인물들은 성과에 관계없이 CEO의 눈 밖에 나서 교체되는 경우가 적지 않다.

이렇게 주위에 예스맨들로만 둘러쌓인 기업에서 얼마나 공개적으로 리스크를 공유하고 토론할 수 있을까? 서튼 교수 역시 이와 같은 기업문화에 문제를 제기한다. 사람들은 자신과 비슷한 사람과 시간을 보내고 싶어 하고 그에게 긍정적인 감정을 갖게 마련이다. 그러나 기존 직원들이 비슷한 생각을 갖고 있는 사람들로만 구성되어 있다면, 리스크를 인식하고 대응하는 데 한계를 보이게 된다.

그는 이와 같은 문제를 극복하기 위해 몇 가지의 역발상을 제안한다. 이를테면 ▲기업 코드에 적응하지 못하는 고문관을 고용하라 ▲당신을 불편하게 하는 사람, 당신이 싫어하는 사람을 고용하라 ▲상사나 동료를 무시하고 자신의 주장을 굽히지 마라 등과 같은 일반적인 상식을 뛰어 넘는 파격적인 내용을 담고 있다. 이와 같은 역발상 속에서 새로운 아이디어를 얻을 수 있고, 이것이 효과적인 리스크 관리로 이어진다는 것이다.

실제로 애플의 스티브 잡스는 재무·마케팅·회사 운영 등에 도움을 얻기 위해, 자신보다 나이가 많고 사사건건 부딪혔던 마이크 마쿨러와 마이크 스코트를 경영진으로 영입하였다. 레이 모어 모토롤라 부사장은 심기를 불편하게 하고 몇 번이고 계속 자신이 틀렸다고 말할 수 있는 사람을 찾는다.‘좋은 약은 입에 쓰고, 충성스런 말은 귀에 거슬린다’는 우리의 옛 속담이 기업 경영에도 그대로 적용되고 있는 것이다.

식별에서 해소까지 원스톱 리스크 관리

리스크에 대한 의사소통이 적시에 이루어지지 않는 또 다른 이유로는 리스크 요인을 식별하고 공유한 후에는 리스크를 해소하기 위한 후속 지원이 제대로 되지 않는 점을 꼽을 수 있다. 특히 우리 경영자들은 일반적으로 리스크에 대해 부정적인 인식을 가지고 있기 때문에, 업무 중에 리스크 요인이 있다고 보고하는 경우 먼저 추궁부터 하는 경우를 많이 볼 수 있다. 하지만 리스크는 모든 비즈니스의 기본 속성이다. 만약 리스크가 전혀 없는 비즈니스에서 이윤을 볼 수 있다면, 모든 기업들이 앞 다투어 뛰어들게 되고 결국초과 이윤은 0으로 수렴하게 되는 것이 시장의 법칙이다.

이처럼 리스크 해소 활동은 지원하지 않은 채 처벌만을 앞세우거나 해당 부서에만 맡겨 놓는 경우, 리스크에 대한 자발적인 의사소통은 기대하기 어려워진다. 리스크가 존재할 때 이를 해소해 주는 기능이 없는 경우, 개별 부서에서는 리스크를 사전에 전사 차원에서 공유하고 해결책을 모색하지 않은 채 혼자 고민하다가 결국‘호미로 막을 일을 가래로 막는’상황을 부른다.

그럼에도 불구하고 리스크 관리가 리스크를 모니터링하고 감사하는 기능으로 이해하는 기업들이 많다. 도요(Toyo)는 전사 리스크 위원회 산하에 프로젝트 관리/통제 부서를 두고 리스크를 관리한다. 이 조직은 프로젝트의 진행 상태를 모니터링 한다는 점에서는 여느 리스크 관리 조직과 큰 차이가 없지만, 실제로 리스크가 현실화되었을 때 직접 투입되어 문제 해결을 지원한다. 특히 프로젝트 초반의 계획 수립 단계에서 전체 프로젝트의 구도를 명확히 하는 데 초점을 두고 있어, 발주처에 대한 조기 신뢰를 확보하는 데 기여한다. 이처럼 리스크 관리 조직의 역할이 단순히 리스크를 모니터링 하는 데 그치지 않고, 실질적인 지원 업무까지 수행하고 있기 때문에 프로젝트 팀에서는 자신들의 리스크를 자발적으로 노출할 수 있는 것이다.

리스크 관리의 토양도 리더십

짐 콜린스는「Good to Great」에서‘레벨 5 리더십’을 강조하고 있다 .명확한 비전과 높은 목표를 제시하고 이를 위해 끊임없는 헌신과 열정을 쏟아 붓지만 개인적 자아가 너무 강한 리더는, 회사를 망하게 하거나 평범한 기업으로 남게 만든다는 연구 결과를 제시한다. 반면 해야 할 일은 해내는 강렬한 의지에 더해, 겸손함을 보이고 나서기를 싫어하며 말수가 적은 리더들이야말로 위대한 기업을 만들어낸다는 것이다.

리스크 관리도 결국은 이와 같은 조직 내 커뮤니케이션을 원활하게 유도할 수 있는 있는 리더십에서 성공할 수 있다. 강력한 카리스마로 구성원들을 바짝 긴장하게 만들고 주눅 들게 만들면, 리더의 생각에 반하는 논의는 싹을 틔우지도 못하고 사그러들고 만다. 아무리 황당한 이야기라 할지라도 이를 귀담아 듣고 이를 진지하게고민해 보는 리더야말로, 조직 내의 모든 지식을 온전히 활용할 수 있다. 리스크 관리의 성패도 리더가 쥐고 있다. 리더가 먼저 변하지 않고서 제대로 된 리스크 관리는 기대하기 어려운 것이다...고재민 책임연구원