최근 필자는 고객사와 업무 협의 과정에서 ESG 관리에 ERM(Enterprise Risk Management) Framework을 접목할 수 있는지에 대해 문의를 받았다. 국내에서는 ESG가 IR이나 홍보 목적으로 활용되고 있으나, ESG 관리를 위해서는 ESG에 영향을 미치는 리스크 관리가 선행되어야 하다보니 ERM과의 연관성이 있다. COSO에서 발간한 'Enterprise Risk Managmeent - Applying enterprise risk management to environmental, social and governance-related risks)에 ESG와 ERM 접목에 대해 설명이 나와있다.
먼저, COSO에서 생각하는 ERM Framework은 (1) Governance & Culture(리스크 관리를 위한 거버넌스 sponsorship 확보, 전략/버전 설정 및 문화확산, 전문인력 확보), (2) Strategy & Objective-Setting(조직의 리스크 대응 방향성인 Risk Appetite, 리스크 대응전략 수립), (3) Performance(리스크 관리 프로세스인 리스크 식별, 평가, 우선순위화, 대응), (4) Review & Revision(리스크 성과 및 지속적 개선), (5) Information, Communication & Reporting(IT 기술 활용한 정보 및 커뮤니케이션 강화, 리스크 성과에 대한 보고)으로 구성된다.
전통적으로 ERM에서 다루는 리스크는 Strategic Risk, Operational Risk, Financial Risk, Compliance Risk로 구분되며, 이는 조직의 value chain에 매핑되어 업무 프로세스 수행 중에 관리해야 하는 중점관리 대상 리스크로서 자리매김된다. Strategic Risk는 조직의 전략과 기획 측면에서 관리해야 하는 리스크로, 특정 기능조직에서 관리한다기 보다는 전사 관점에서 경영진 agenda로서 관리해야 하는 리스크이다. Operational Risk은 업무를 수행하는 기능조직에서 관리해야 하는 운영 상의 리스크로서, 구매조달/생산/물류/영업/판매 등의 primary activities와 IT/HR/R&D 등의 secondary activities에서 발생 가능한 리스크를 정의한다. Financial Risk는 말 그대로 재무 리스크이고, Compliance Risk는 내외부 법률/규제/규정의 준수를 의미하는 준법 리스크이다.
ESG는 E, S, G 관점에서 ERM 관리 대상의 리스크와 결합되어 관리되는 것이 이상적인 모습이라 할 수 있다. ERM 리스크에서 ESG 관련된 리스크를 매핑을 해보면, 예시적으로 아래와 같이 매핑이 될 수 있다.
이를 거버넌스 관점에서 살펴보면, 각 개별 부서에서는 ERM 또는 ESG를 관리하는 risk owner가 선정되어 1차 방어선 역할을 담당하며 업무 수행 과정에서 리스크를 관리하게 된다. 2차 방어선에서는 ERM 총괄하는 조직과 ESG를 총괄하는 조직으로 구분되어, 서로 긴밀히 협의하고 C-Level 경영진에게 보고를 하며 리스크를 관리하게 된다. 그리고 Risk committee에서는 ERM 리스크 관련 agenda 논의를, Sustainability committee에서는 ESG 관련 리스크를 논의한다. 이러한 거버넌스 구조를 다시 틀어서 생각해보면, 전사에서 발생 가능한 리스크를 쭉 정리하고 이를 ERM view나 ESG view로 다양한 관점에서 다각도로 관리하여, 리스크 관점에서 관리가 필요하면 ERM으로 접근하고 IR/홍보 등 ESG 관점에서 관리 필요하면 ESG로 접근하는 식으로 운영되는 모습이다.
그렇다면, 식별된 리스크를 어떻게 평가하는가? 통상적인 ERM 체계 하에서는 고유 리스크(Inherent Risk)를 영향도(Impact) x 발생빈도(Likelihood)로 평가하고, 잔여 리스크(Residual Risk)를 vulnerability로 평가한다. ESG 관련 리스크도 이와 유사한 기준으로 평가가 가능하겠으나, COSO에서는 고유 리스크는 영향도(Impact)와 개별 리스크가 조직에 영향을 미치는 속도(velocity)로 평가하고, 잔여 리스크는 리스크 대응 위한 적응성(adaptability)과 회복력(recovery)로 평가하도록 권고한다. ERM과 ESG가 각자의 평가 기준으로 평가되어 고유 리스크와 잔여 리스크가 평가되면, 아래와 같은 matrix에서 통합적으로 우선순위화 가능해진다.
경영컨설턴트이자 국제공인관리회계사인 안종식입니다. 주로 유통, 소비재(화장품, 식음료 등), 인터넷/모바일, 신용카드 산업에 이르는 다양한 B2C 분야에서 신사업 전략, 경영전략, 해외사업, 리스크 관리 등의 컨설팅 경력을 보유하고 있습니다. 유통 대기업에서 인터넷/모바일 커머스 분야의 신사업 기획 업무를 비롯하여 사업기회 탐색, 신사업 전략 및 비즈니스 모델 수립, 사업화 추진 등 다양한 업무 경험이 있습니다. 현재는 딜로이트에서 컨설팅 업무를 담당하며, 다양한 기업체와 협회에서 강의 활동을 하고 있습니다.
blog: http://aliahn.tistory.com
mail: jongsikahn.cma[at]gmail.com
※ 모든 글은 제가 직접 작성했습니다. 제 허락 없이 무단으로 재배포할 수 없습니다.
'리스크 이야기' 카테고리의 다른 글
| Global EHS(환경·보건·안전) 패러다임 전환 (1) | 2022.10.08 |
|---|---|
| 내부감사 3.0(Internal Audit 3.0)과 RPA(Robotics Process Automation) (0) | 2019.03.17 |
| 브랜드와 평판, 가장 중요하면서 간과되는 리스크 (1) | 2018.09.18 |
| 불확실의 시대, 내부감사가 길을 제시하라 (0) | 2018.04.14 |
| 4차 산업혁명과 내부감사 역할의 변화 (0) | 2017.10.13 |
댓글