헤더 바로가기 메뉴 바로가기 푸터 바로가기
전략

‘완벽’한 리스크 관리, 때론 재앙이다

로버트 S. 캐플란(Robert S. Kaplan), 아넷 마이크스(Anette Mikes)
매거진
2013. HBR in DBR (~2013)

3301_03
3301_04

편집자주

이 글은 <하버드비즈니스리뷰(HBR)> 2012 6월 호에 실린 로버트 S. 캐플런(Robert S. Kaplan), 아넷 마이키(Anette Mikes)의 글 ‘Managing risks: A new framework’를 전문 번역한 것입니다.

 

토니 헤이워드는 2007 BP CEO로 부임하면서 안전을 최우선 과제로 삼겠다고 선언했다. 그가 도입한 새로운 규칙 중에는 걸을 때는 커피잔에 뚜껑을 덮어야 한다거나 운전 중에는 문자를 보내지 말아야 한다는 항목이 포함돼 있었다. 3년 후 맥시코만의 딥워트 호라이즌 시추선의 폭발로 역사상 최악의 인재가 발생했다. 미국 조사단은관련자들이 당면한 리스크를 인지하고 적절히 평가하며 대화하고 해결하는 능력을 빼앗아버린 관리 실패가 이 재앙의 원인이라고 지적했다.

 

헤이워드 사례는 우리가 흔히 겪는 문제를 보여준다. 리스크 관리에 대한 온갖 미사여구와 자금 투입에도 불구하고 많은 규칙을 세워놓고 직원들이 지키도록 하는 것이 리스크 관리의 전부인 것처럼 다뤄질 때가 많다. 이런 규칙들은 물론 이유가 있으며 기업에 큰 타격이 될 수도 있는 리스크의 일부를 줄여주기도 한다. 하지만 규칙에 기반한 리스크 관리는 딥워터 호라이즌과 같은 재앙이 일어날 가능성이나 그 충격을 줄여주지는 못한다. 2007년부터 2008년 사이의 신용 위기에 수많은 금융기관이 넘어지는 것을 막지 못했듯이 말이다.

 

이 글에서 우리는 어떤 리스크를 규칙에 기반한 방법으로 해결해야 되고 어떤 리스크들이 다른 식의 접근을 필요로 하는지 새로운 카테고리로 묶을 것이다. 우리는 전략적 선택과 관련된 리스크 관리를 솔직하고 건설적으로 논의하는 것을 막는 개인적 혹은 조직상 어려움을 살펴보고 기업이 전략을 세우고 실행하는 과정에서 이런 논의를 해야만 한다고 주장할 것이다. 이어 기업들의 전략이나 관리 범위 밖에서 일어나는 불가항력적 리스크를 어떻게 인지하고 대응할 것인지 살펴보면서 이 글을 마무리할 것이다.

 
3301_05

리스크 관리: 규칙인가, 대화인가?

효과적인 리스크 관리 제도를 만드는 첫 번째 단계는 기업이 부딪치는 리스크 종류별로 어떤 질적 차이가 있는지를 이해하는 것이다. 우리의 연구에 따르면 리스크는 다음 세 가지로 분류할 수 있다. 세 가지 리스크 모두 기업의 전략이나 생존에 치명적일 수 있다.

 

카테고리 1:예방 가능한 리스크.조직 내에서 발생하는, 관리 가능하고, 제거하거나 피해야 하는 내부 리스크를 말한다. 직원이나 경영진의 승인되지 않은, 불법이거나 비윤리적이거나 옳지 못하거나 부적절한 행동에서 야기되는, 일상적인 프로세스의 실패로 인한 리스크가 그 예다. 물론 회사에 심각한 손해를 끼치지 않거나 완벽하게 막는 것이 어려운 결함이나 잘못에 대해서는 어느 정도 관용의 여지를 둬야 한다. 하지만 일반적으로는 이런 리스크를 감수해서 얻을 전략상 이익은 전혀 없으므로 제거하려고 노력하는 것이 타당하다. 회사의 허가 없이 주식 투기를 하거나 공무원을 매수하는 직원은 단기적으로는 회사에 이익을 가져다줄지 모르지만 장기적으로는 기업 가치를 훼손할 것이다. 이 카테고리에 속하는 리스크는 적극적으로 막아야 한다: 프로세스를 모니터링하고 직원들의 행동이나 결정을 바람직한 방향으로 이끌어 가야 한다. 규칙에 기반한 컴플라이언

 

스식 해결법에 대해서는 이미 많은 자료가 있으므로 여기에서는 논의하지 않겠다. 관심 있는 독자들은예방 가능한 리스크를 인지하고 관리하기를 참고하면 된다.

 

카테고리 2: 전략 리스크.기업은 더 많은 수익을 내기 위해 자발적으로 리스크를 감수하기도 한다. 예를 들어 은행은 돈을 빌려줄 때 신용 리스크를 감수하며 많은 기업들은 연구, 개발 활동에서 리스크를 진다. 전략 리스크는 본질적으로 바람직하지 않은 것이 아니기 때문에 예방 가능한 리스크와는 매우 다르다. 높은 수익을 기대할 수 있는 전략은 일반적으로 상당한 리스크를 동반한다. 이런 리스크를 관리하는 것이 수익을 현실화하는 열쇠다. BP는 가치가 높은 석유와 가스를 뽑아내고 싶어 멕시코만 바닷속 수마일을 파내려가는 커다란 리스크를 감수했다. 전략 리스크는 규칙에 기반을 둔 리스크 관리법으로 다뤄서는 안 된다. 리스크가 실제로 현실화할 가능성을 줄여주고 현실화하더라도 회사가 잘 관리하고 억제할 수 있는 능력을 향상시키는 관리 시스템이 필요하다. 이런 시스템은 기업이 리스크를 감수하는 모험을 하는 것을 막지 않는다. 오히려 반대로 이런 시스템을 갖추지 못한 경쟁업체에 비해 더 리스크가 크고 기대 수익도 높은 모험을 할 수 있게 될 것이다.

 

카테고리 3: 외부 리스크.어떤 리스크는 회사 밖에서 일어나는 사건에 기인하기 때문에 회사가 영향을 주거나 조정할 수 없다. 이런 리스크의 원인으로는 자연적, 정치적 재난이나 거시경제적 급변을 들 수 있다. 외부 리스크는 또 다른 방식으로 접근해야 한다. 기업이 이러한 사건을 막을 수는 없으므로 리스크를 인지하고 여파를 완화하는 데 초점을 둬야 한다.

 

기업들은 각 카테고리별로 리스크 관리 프로세스를 갖춰 대응해야 한다. 컴플라이언스에 기반을 둔 방식은 예방할 수 있는 리스크를 다루는 데는 효과적이지만 공개적이고 솔직한 토론을 필요로 하는 전략 리스크나 외부 리스크를 다루는 데는 매우 부적절하다. 이렇게 말하기는 쉽지만 실천하기는 어렵다. 광범위한 행동 관리 및 조직 관리 연구 결과에 따르면 개인들은 강한 인지적 편향이 있어 너무 늦어버릴 때까지 리스크에 대해 생각하거나 논의하지 못한다.

 

아티클을 끝까지 보시려면
유료 멤버십에 가입하세요.
첫 달은 무료입니다!

(03187) 서울시 종로구 청계천로 1 동아일보사빌딩 9층 (주)동아일보사
대표자: 김재호 | 등록번호: 종로라00434 | 등록일자: 2014.01.16 | 사업자 등록번호: 102-81-03525
(03737) 서울시 서대문구 충정로 29 동아일보사빌딩 8층 (주)디유넷(온라인비즈니스)
대표이사: 김승환, 김평국 | 통신판매신고번호: 제 서대문 1,096호 | 사업자 등록번호: 110-81-47558