"When risk becomes reward: Driving performance and growth through proactive risk management."
현재 글로벌 리스크 컨설팅 회사들이 관심을 갖고 있는 주제는 무엇일까? 2015년에 글로벌 컨설팅 회사에서 발표한 자료를 검토하면, 향후 리스크 관리 트렌드에 대해 힌트를 얻을 수 있다. 총 10가지 주제를 도출했고, 하나씩 살펴보도록 하자.
Global Risk
New Technology Risk
Strategic Risk
Reputation Risk
Supply Chain Risk & Third Party Risk
Travel & Event Risk
Beyond ERM
Governance and Leadership
Lessons-Learned from Catastrophic Disaster
기타
1. Global Risk
5년 전인 2011년 아랍의 봄(Arab Spring) 이후로 Political Risk, Country Risk 등 Global Risk가 중요하게 대두되고 있다. 특히 최근에는 이슬람국가(IS)로 인한 테러 위협으로 국가, 정치, 종교 관련 리스크가 점점 더 중요해지는 추세이다. WEF의 Global Risk Report를 참고하면 다음과 같다.
아래 Allianz, PwC, Marsh 자료는 공통적으로 남미, 아프리카, 중동을 high risk로 평가하고 있다. 결론적으로 high risk 지역을 진출하거나 교역하는데 주의를 기울이고 Plan B를 만드는 것 말고는 방법이 없다.
※ 참고자료
http://www.agcs.allianz.com/insights/expert-risk-articles/political-risks-hotspots/
http://www.pwc.co.uk/services/economics-policy/insights/country-risk-premia-quarterly-update.html
2. New Technology Risk
IoT, 드론, 자율주행자동차 등 새로운 기술은 기업에게 기회이자 위기로 다가오고 있다. 물론 혁신을 위해서는 기회를 포착하는 것이 중요하나, 리스크를 간과하면 더 큰 문제가 발생해서 새로운 사업의 존폐를 결정할 수도 있다.
IoT의 리스크는 크게 Data Confidentiality, Data Connectivity, Data Liability로 정리할 수 있다. Data Confidentiality는 기기 들간에 주고 받는 데이터 중에서 민감한 데이터의 유출 가능성이 있는지를 따지는 것이고, Data Connectivity는 연결을 끊어버리거나 전기를 shutdown하면 어떻게 될 것이냐는 이슈이다. 또한, Data Liability는 IoT 기기의 센서가 오동작을 일으키거나 잘못된 센싱을 하는 경우가 있는데, 데이터를 신뢰할 수 있느냐의 이슈다.
드론(Drone) 기술에는 항공기나 사람, 빌딩 등에 충돌 리스크(collision risk)가 발생할 수 있으며, 카메라로 촬영이 가능하므로 프라이버시 이슈가 존재한다. 그러나 최근에는 테러리스트가 해킹하거나 무기를 장착하는 이슈가 대두되고 있다.
자율주행자동차(Self-driving automobiles)는 다양한 혜택을 제공하지만, 그에 못지 않게 리스크가 많은 기술이다. 안전(safety) 리스크, 정부규제 리스크 등이 발생 가능하다. 아래는 몇가지 핵심 질문들이다.
도로에서 자율주행자동차는 운전자들과 어떻게 interact할 것인가?
자율주행자동차의 사고 발생시 누구 책임인가?
운전자의 개인적인 책임에서 제조사의 제품 책임으로 넘어갈 것인가?
자율주행 기능이 고장나거나 멈추면 어떻게 되는가?
운전자들은 필요하면 운전에 개입할 수 있는가?
센서가 많아지고 다량의 데이터를 기록하게 될텐데, 프라이버시 이슈는 어떻게 할 것인가?
Highway to the future: Driverless roads
Gartner에서는 이참에 Digital Risk Officer를 만들자고 주장한다. 디지털 기술들이 회사의 핵심 업무에 지속적으로 통합되고 있는 상태에서 새로운 기술에 대해 리스크를 식별하고 hedge하기 위한 임원을 지정하자는 것이다. DRO는 다음의 기술에 대해 이해가 높아야 한다.
Cloud, mobile, social and big data
Physical security technologies
IoT
Machine-to-machine(M2M) security
Physical security management
Embedded software and system security
Identified and access management (IAM)
Recovery associated with digital business delivery
※ 참고자료
http://knowledge.insead.edu/blog/insead-blog/the-internet-of-things-at-risk-4406
http://www.oliverwyman.com/insights/publications/2015/nov/risk-journal-vol-5.html
http://www.brinknews.com/new-technologies-spawn-new-liability-risks/
http://www.gartner.com/smarterwithgartner/the-rise-of-the-digital-risk-officer/
3. Strategic Risk
리스크 관리라는 것이 기존의 operation 수준에서 점점 더 전략적인 의사결정을 지원하는 수준으로 이동하는 트렌드를 보이고 있다.
딜로이트에서는 전략 리스크(Strategic Risk)를 조직 내에서 전략의 핵심에 있는 가정을 파괴하는 위협으로 정의하고 있다. 이러한 특성 때문에 Strategic Risk는 기존의 방식처럼 리스크를 헤지하거나 경감(mitigate)하는 방식으로는 한계가 있다. 대신에, 경영진들은 전략적인 의사결정을 위해 대안을 선택을 해야 한다. 우리는 이것에 저항해야 하는가, 피하고 지나치도록 놔두어야 하는가? 아니면, 더 큰 기회를 포착하기 위해서 수용해야 하는가?
따라서 리스크 관리의 중심은 기존에 식별된 리스크에 대한 모니터링과 대응이 아니라, 새로운 emerging risk에 대해서 감지하여 선택을 하는 것이다. 시나리오 플래닝 기법이나 빅데이터 분석을 통한 risk sensing 기법을 활용해서 대응해야 한다.
※ 참고자료
https://www.marsh.com/us/insights/excellence-in-risk-management-xii.html
4. Reputation Risk
소셜 미디어의 발달로 인해 기업이 윤리적, 도덕적 잘못을 저지르거나 제품, 서비스의 품질에 문제가 발생한 경우 부정적인 평판이 삽시간에 퍼지는 시대이다. 따라서 평판 리스크 관리가 중요한 시점이다. 평판 리스크는 http://aliahn.tistory.com/10 를 참고하자.
※ 참고자료
5. Supply Chain & Third Party Risk
기업들은 1) Supply chain의 글로벌화, 2) JIT 및 Lean 프로세스 적용, 3) 핵심 경영활동의 아웃소싱, 4) 비용절감과 조달 효율성을 위한 공급자 통합 전략, 5) 규모의 경제를 위한 중앙집중화 전략 등의 이유로 인해 예전보다 공급망 리스크에 취약하다.
예를 들어, 공급망에서 발생하는 국가 리스크(country risk)를 식별하여, 아래와 같이 리스크가 높은 Tier 3 국가에서 품목을 수입하는 경우에는 국가를 다변화하거나 대체 품목을 발굴하는 식으로 관리가 필요하다.
딜로이트에서는 한발 더 나아가서 Extended Enterprise라는 컨셉을 소개하고 있다. 다양한 third-party들과 네트웍을 이뤄서 비즈니스를 하는 시대가 도래한 것이다.
이러한 Extended Enterprise 환경에서는 개별적이거나 전사적인 리스크 관리보다도 각 네트웍에 참여하는 모든 참여자에 대해 전체적인 관점(holistic view)으로 리스크 관리가 필요하다.
- Governance and oversight: Extended enterprise를 관리하기 위한 운영 모델, 위원회, R&R 수립
- Risk culture: 긍정적인 리스크 문화를 확산하기 위한 교육과 훈련
- Policies and standards: Extended enterprise와 관련 리스크를 관리하기 위한 절차
- Management process: third-party lifecycle 전반에 대해 리스크를 관리하고 성과를 높이기 위한 프로세스
- Tools and technology: Extended enterprise risk management를 향상시키기 위한 기술과 사전예측을 위한 리스크 애널리틱스의 사용
- Risk metrics and dashboard: Extended enterprise와 리스크를 측정하고 보여주기 위해서 내외부 데이터의 분석 결과에 대한 측정 지표와 대쉬보드
※ 참고자료
http://info.accelus.thomsonreuters.biz/LP=6036?elq=d5300341baff4579a0d799943fed4122
http://knowledge.zurich.com/supply-chain/counterfeit-products-new-risks-in-global-value-chains/
6. Travel and Event Risk
임직원들의 해외 출장이 늘어나면서 리스크가 증가하고 있다. 주요 리스크는 다음과 같으며, 이를 방지하기 위해서 출장 전에 해당 국가의 리스크에 대해 검토해야 하고 출장 동안 참고할 가이드를 제공해야 한다. 무엇보다도 임직원의 복지에 힘쓰는 자세가 필요하다.
- Health and medical risks (예: 말라리아, 에볼라 등)
- Safety and security risks (예: 범죄, 테러, 납치 등)
- Psychological and individual risks (예: 심각한 고독, 우울증 등)
그리고 음악 콘서트 같은 라이브 이벤트에서도 리스크 관리는 필요하다. 최근에 프랑스 파리에서 IS의 공연장 테러의 사례에서 알 수 있듯이, 사람이 많이 몰리고 시끄러운 공연장은 리스크에 취약한 곳 중에 하나이다. 라이브 이벤트 리스크에는 공연무대의 안전성, 날씨, 부적절한 조명, 관객 통제, 부상, 비상 탈출, 음주 또는 마약 사용 등이 있다.
라이브 이벤트 리스크 관리에서 가장 중요한 우선순위는 아티스트, 스탭 그리고 관객의 안전이다. 사전에 체크리스트를 마련해서 리스크를 체크해야 하며, 공연 중에는 군중들을 모니터링하며 만약의 사태에 대비해야 한다.
※ 참고자료
http://www.agcs.allianz.com/insights/expert-risk-articles/live-events-risks/
http://eventsafetyalliance.org/
http://www.thepurpleguide.co.uk/
7. Beyond ERM
ERM(Enterprise Risk Management)는 말 그대로 전사의 리스크를 관리하기 위한 체계이다. 기존의 부서나 기능 단위의 리스크 관리(재무리스크, 운영리스크 등)를 전사적인 수준에서 관리하기 위한 수단으로서 ERM을 활용하곤 했었다. 먼저 ERM은 조직에서 다음의 원칙으로 운영되어야 한다.
경영진의 비즈니스 의사결정을 위한 적시의 리스크 보고 체계 필요
리스크 모니터링 및 보고를 위해 기존 프로세스 및 인력 활용
일관성 있는 리스크 관리 프로세스와 공통 언어의 사용
리스크 프로파일 및 대응플랜 최신화
핵심 리스크 및 중요한 비즈니스 이슈에 대해 부서간 커뮤니케이션 활성화
리스크 정보를 회사의 사업계획, 컴플라이언스, 기타 경영활동으로 통합
Risk Owner를 통해서 리스크 관리에 대한 책임감 강화
필드에서도 느끼지만, ERM이라는 리스크 관리 체계가 정말 기업에 가치를 제공하는가에 대해서는 의문이 있긴 하다. 아래 PwC 자료에서도 언급했지만, ERM의 한계는 다음과 같으며, 이에 대한 해결방안도 정리했으나 실행가능한지는 의문이다.
최고 경영진의 지원 부족
ERM 도입한 경영진의 교체
ERM이 조직 전반에 확산되지 않음(전략이나 업무에 impact을 주지 않음)
ERM에서 다루는 리스크가 경영진이 다루는 리스크가 아니라 개별 부서가 다룰 정도의 low한 수준
커뮤니케이션, 문화확산 부재
ERM 프로그램을 운영하는 담당자의 스킬과 역량 부족
예산과 인력 부족
ERM의 가치 제안 부족
추가적으로 시나리오 플래닝 기법을 도입해서 경영진의 의사결정에 필요한 business agenda로 격상하는 방법도 조금씩 논의하는듯 하다. 이 부분은 Strategic Risk와 연결되는 부분이어서, 어찌보면 ERM도 Strategic Risk로 귀결되지 않을까 생각된다. 아래는 To-Be ERM에서 필요한 역량이다.
Deep Dive: 핵심 리스크에 대해 deep dive해서 분석 시도를 통해, 예상했던 것보다 더 심각한 리스크인지 확인
Risk scenarios 기법 적용
Risk profile updates
Risk appetite and tolerance
Risk measurement: 리스크 모니터링 및 관리를 위한 IT 시스템 도입 (Risk sensing 포함)
Information sharing: 회사의 다양한 부서 이해관계자들에게 적시에 리스크 정보 공유
※ 참고자료
8. Governance and Leadership
리스크 및 위기 관리는 문화와 리더십이 중요하다. 2015년에 발생한 다양한 위기 상황에서 얼마나 우왕좌왕했는지 복기해보면, 리스크 관리 체계나 대응플랜보다 Control Tower라는 리더십을 발휘했는지가 중요한 요소이다.
딜로이트에서는 위기 상황에서 리더가 다음의 원칙에 입각해서 대응해야 한다고 주장한다.
Lead decisively
Continuously frame the crisis
Actively communicate
Be ready for the unexpected
Drive forward actionable intelligence
사실 리스크 관리라는 것은 위기 상황 발생시 위와 같은 행동을 리더나 구성원이 하도록 훈련시키고 준비하는 것이라고 생각한다. 다만, 말처럼 쉽지는 않다.
※ 참고자료
http://www2.deloitte.com/global/en/pages/risk/articles/building-crisis-ready-boards.html
http://fsblog.accenture.com/banking/what-makes-a-risk-leader-a-risk-master
9. Lessons-Learned from Catastrophic Disaster
Marsh에서 Hurricane Katrina가 발생한지 10년을 기념에서 어떤 교훈을 얻었는지 정리했는데, Katrina 이후의 위기대응플랜은 다음의 특징을 갖는다고 한다.
- 리스크별(허리케인, 홍수, 절전 등) 플랜을 만드는 것보다 단 하나의 플랜으로 통합
- 대내외 collaboration 및 communication에 집중
- 특정 리스크에 대한 대응방안 보다는 회사 전체적으로 어떻게 대응할 것인가에 대해 기술
그리고 위기대응플랜에는 다음의 내용이 들어가야 실효성을 확보한다고 한다.
재해/재난에 대해 직접적 또는 간접적으로 피해를 입는 물리적 장소(회사 소유, 고객, 공급자)에 대해 식별
비상연락망에 대해 식별 및 현행화
저장품(supplies) 및 공급자에 얼마나 의존하고 있는지 식별 -> 의존도에 따라 제품이나 서비스를 delivery할 수 있는지가 파악됨
Alternative sourcing arrangement 식별 및 검토
건물이나 기타 물리적 자산을 보호하기 위한 방안
피해로 인해 disruption이 점차 심해지는 상황에 대비한 단계적 대응 방안
위기대응플랜만 있다고 해서 대응수준이 높아질수는 없다. Marsh 보고서에서 언급했지만, 조직 구성원들에게 교육/훈련하고 커뮤니케이션하는 것이 가장 중요하다.
※ 참고자료
https://www.marsh.com/us/insights/katrina-lessons-in-risk-management-and-resiliency.html
10. 기타
(1) Risk Survey
글로벌 회사들이 발표한 Risk Survey 결과이다. 딜로이트는 Risk Sensing에 대해서, PwC는 리스크 전반에 대해서 조사했다. PwC의 조사가 괜찮은데, 아래에는 비즈니스의 성과와 성장에 핵심적인 위협이 무엇이냐에 대한 답변이다.
그리고 아래 조사 결과는 리스크 관리를 위해서 무슨 툴을 쓰냐는 것이다. 기존에는 KRI 모니터링 같은 방식을 주로 사용했다면, forecasting/scanning/scenario planning/stress testing 등 다양한 방식을 사용하고 있다. 아마도 전통적인 방식보다는 경영진의 의사결정을 지원하고 불확실성을 해소하기 위한 방식으로 리스크 관리가 발전하는 모습이다.
※ 참고자료
(2) Operational Risk Stress Testing
은행, 금융권에서 수행하는 Stress Test는 거시 환경의 변화에 따라 B/S와 P/L이 어떻게 변화되는지 테스트를 하는 업무이다. 아래 Oliver Wyman 자료는 금융권에서 Stress Test를 수행하는 소개 자료이다. 비금융권에서도 이런 접근이 가능한지 고민이 필요한 시기이다.
※ 참고자료
http://www.oliverwyman.com/insights/publications/2015/nov/operational-risk-stress-testing.html
(3) Risk Sensing
최근 글로벌에서 관심있는 주제는 Risk Sensing이다. 리스크 관리를 위해서 사전 징후 포착이 무엇보다도 중요하기 때문이다. Risk Sensing을 위해서 아래의 역량과 기술이 필요하다.
Real-time reporting
Text analytics
Big data
Forward-looking
Early warning and triggers
Actionable insight
그러나 결국 중요한 것은 How to 인데, 이에 대해서 지속적인 고민이 필요하다.
※ 참고자료
http://www.deloitte.com/reputationrisksurvey
http://www2.deloitte.com/global/en/pages/governance-risk-and-compliance/articles/risk-sensing.html
경영컨설턴트이자 국제공인관리회계사인 안종식입니다. 주로 비즈니스 트렌드, 원가/관리회계, 스타트업, 커머스 그리고 중국에 대한 주제로 글을 쓰고 있습니다. 현재는 딜로이트에서 컨설팅 업무를 담당하고 있습니다.
blog: http://aliahn.tistory.com
mail: jongsikahn.cma[at]gmail.com
(모든 글은 제가 직접 작성했습니다. 제 허락 없이 무단으로 재배포할 수 없습니다.)
'리스크 이야기' 카테고리의 다른 글
| VUCA World, 2016년 주요 리스크 동향 (0) | 2016.12.24 |
|---|---|
| 지속가능 기업을 위한 평판 리스크 관리 (0) | 2016.07.09 |
| 해외진출 리스크 관리: 프랜차이즈 및 소매유통업을 중심으로 (1) | 2016.04.02 |
| 평판 리스크 관리의 핵심: 위기 커뮤니케이션 (0) | 2016.02.21 |
| 평판 리스크(Reputation Risk) - A Rising C-Suite Imperative (0) | 2015.10.17 |
댓글