[HBR] Managing Risks: A New FrameWork : 리스크 요소를 관리하는 새로운 프레임 워크

   by Robert s. Kaplan and Anette Mikes


   "영리한 기업은 다가오는 위협에 방법론을 맞추어 간다."

토니 헤이워드가 BP 의 CEO 가 됐을 때 (2007), 그는 안전 제일을 외쳤습니다. 그래서 커피컵에는 꼭 뚜껑을 씌우게 하고, 운전중에는 문자를 자제시키는 노력들을 했지만 3년후 헤이워드가 지켜보는 가운데 인간사에서 가장 큰 사고인 (사람이 낸) 딥 워터 호라이즌 (Deepwater Horizon ) 오일 사고가 터졌습니다. 리스크 (Risk) 라는 것은 이렇게 룰로 정해놓고 지키게 하는 것 이상으로 고려해야 할 대상이라는 것을 증명하는 예라고 할 수 있겠습니다. 이번  아티클은 그러한 리스크 관리에 관한 글입니다.

일반적으로 리스크 - 관리는 경영자들이나 조직원들 의 경향성에 반합니다. 그래서 거부감이 들 때가 많습니다. 규칙으로 위험관리를 한다는 것은 일부만 관리가 가능하며 전부 다 관리할 수 있는 것은 아닙니다. 여러 카테고리의 리스크-관리를 통하여 경영자들은 그들이 직면할 리스크에 다각도로 생각할 것을 필요로 하며, 이를 통해서 자기가 보고 싶은 것만 보는 경영자들의 경향성을 중화시킬 수 있다는 것이 이 아티클에서 말하고자 하는 바의 핵심입니다.


Managing Risk: Rules or Dialogue?

효과적으로 리스크를 관리하기 위해서는 리스크의 종류에 대해서 인지하는 것이 중요합니다. 이 아티클에서는 세가지 타입으로 리스크를 나누고 있습니다.

Category 1: Preventable Risks

도덕적 해이(Moral Hazard) 같은 임직원들이 저지를 수 있는 위험에 관한 관리는 충분히 막을 수가 있습니다. 이러한 것들에 대한 예방에 관한 것은 이미 많이 알려져 있으니 이 아티클에서는 다루지 않습니다.

Category 2: Strategy Risks

일반적으로 전략적 결정에 따라서 생기는 리스크에 대한 이야기입니다. 하이 리스크 , 하이 리턴 (High Risk , High Return) 에 관한 이야기는 들어 봤을 것입니다. 전략적으로 많은 이득을 얻어들이기 위해서 기업은 기꺼이 리스크를 떠 안습니다. 이러한 리스크는 규칙같은 것으로 관리할 수가 없습니다.

Category 3: External Risks

기업 외부에서 리스크가 발생하는 것입니다. 자연적인 또는 정치적인 '재앙'이 있으며,  중요한 거시 경제의 이동에도 (스마트폰 같은 인프라의 발달) 발생합니다. 보통 이러한 리스크는 절대 예방할 수가 없고, 어떠한 리스크가 발생할 것인지 '인지' 하는 것이 중요하며 또한 발생한다면 그 영향이 적을 수 있게 관리하는 것이 최우선 목표입니다.

Why Risk Is Hard to Talk About

사람들은 자기가 보고 싶은 것만 보는 경향이 있습니다. 더구나 그러한 방식이 예전부터 성공으로 이끌어 왔던 방식이라면 더더욱 그러합니다. 그래서 위험도가 증가한다고 하더라도 더욱더 그 방식으로 박차를 가합니다.

더구나 조직들 내부에서는 위험도나 실패에 대해서 언급하는 것을 금하는 경향성이 존재합니다.

효율적인 리스크-관리는 이러한 경향성에 정확히 반대되는 입장을 취합니다. 더구나 규칙에 의해서 예방될 수 있는 리스크와 전략적 그리고 외부적 요인에 의해 생기는 리스크는 너무나 다릅니다.
   
Managing Strategy Risks

전략적 리스크를 관리하는데는 3가지 방법이 쓰이고 있습니다. 이 세가지 방법은 각각 전혀 다른 형태와 조직을 필요로 합니다. 오랜 연구를 통해 내린 결론은 이러한 대응법은 한가지로 통일 시킬 수가 없다는 것입니다. 즉 조직의 환경에 따라서 적합한 대응법을 써야  합니다.

Independent experts

기술 집약적인 회사에서 쓰이는 방법으로 프로젝트를 진행중인 멤버들과는 다른 구성원들로 이루어진 리스크 관리 위원회를 만들어서 치열하게 토론을 합니다. 이러한 과정중에서 멤버들은 자신들의 취약점을 전혀 다른 각도에서 바라보고 인지하게 되어서 조금 더 프로젝트를 잘 진행할 수 있게 된다는 것입니다.

Facilitators

안정적인 기술과 시장 환경을 가지고 있는 회사에서는 고객의 요구를 예측이 가능하기 때문에 이러한 환경하에서 리스크는 복잡한 조직도에 얽혀서 인지 못하는 사이에 커질 수가 있습니다. 그래서 조그만 중앙 집중형식의 리스크 관리 조직 (각 부서별의 리스크에 대한 정보를 수집하는)을 만들어서 운영합니다. 그래서 워크샵에서 각 비지니스 조직의 리더들과 이 리스크 관리조직에서 같이 발생할 수 있는 리스크에 대해서 같이 토론하고 논의하면서 리스크에 대한 인지를 시킵니다.

또한 기업 내에서의 자원을 분배하는 계획을 세울때 이러한 리스크-관리 조직을 함께 설득 시켜야 하기 때문에 계획을 세울 때 리스크를 고려하는 요소가 꼭 들어가야 하기 때문에 보통 계획을 세울 때 이러한 리스크를 무시하는 경향을 억제하게 만듭니다.


Embedded experts.

금융 산업에서는 각각의 투자와 시장을 평가하는 것이 분산화가 되어 있기 때문에 이러한 산업에서 리스크 관리를 효율적으로 하기 위해서는 각각의 비지니스-유닛 에 리스크 관리자를 포함시켜서 지속적으로 비지니스 리스크 프로파일(Business Risk Profile)을 모니터링 합니다.

JP 모건 (Morgan)의 예가 뒤 이어서 나옵니다. 각각의 비지니스 플랜을 만들 때 팀에 포함된 리스크 관리자들이 시나리오를 검토하고 "what if" 질문을 계속해서 던진다고 합니다.

대신 이러한 스타일에 따르는 위험이 하나 있는데 이들이 각각의 라인 매니져들한테 동화되는 것입니다. 즉 리스크 관리에 따른 질문을 계속하는 것이 아니라 새로운 비지니스에 빠져서 같이 프로젝트를 진행하려 하는 경향이 생기는 것입니다. 이러한 것을 막기 위해서 선임 리스크 매니져 (보통은 CEO) 가 이러한 경향이 생기지 않게 관리를 해야 한다고 합니다.

Avoiding the Function Trap

대부분의 전략적 리스크들은 예측이 가능하기 때문에 그들을 기능별로 구분해서 이름짓는 경향이 있고,그에 따른 전담팀을 따로 만드는 경우가 있습니다. 하지만 이러한 조직들은 정보와 효율적인 리스크 관리를 분산시키기 때문에 각 조직들간에 리스크에 대한 논의를 감소시킵니다.

매니져들은 전략적 계획에 따라서 토의하다 보면 새로운 리스크에 대한 관점을 공유할 수가 있습니다.

예로 두가지가 나와 있는데 그중 인포시스(Infosys)에 관한 예를 보기로 하겠습니다. 인포시스는 인도에서 설립된 IT 회사입니다.

회사의 주요 고객들이 매우 조그만 기업들이 대부분 인 시절을 거쳐서 회사의 새로운 전략적 목표에 따라서 매년 오천만불 이상을 지급하는 회사들이 주요 고객이 됨에 따라서 새로운 리스크 지표가 생겼습니다. 바로 신용 파산(credit default) 입니다. 그래서 인포시스는 주요 고객들 (오천만불 이상 지급하는 회사들)의 CDS (Credit Default Swap) 비율을 주시하고 있습니다. (채무 불이행 가능성이 높아 질 수록 CDS 비율이 높아지겠지요?) 그래서 CDS 비율이 높아지면 인포시스는 회수할 가능성이 있는 돈들을 회수하고 프로젝트 진척도에 따라서 대금을 받는 형식으로 계약을 한다던지 하면서 위험성을 낮춥니다.


Managing the Uncontrollable

외부적 리스크 요소는 통상 예방 가능하거나 전략적 계획에 따른 리스크 관리하는 방식으로는 감소 시킬 수가 없습니다.

기업은 이러한 위험을 인식하고 가능한 영향과 어떻게 그러한 영향을 줄일것인지에 관해서 최대한 촛점을 맞춰야만 합니다.

몇몇 외부적 리스크는 급박하게 발생하지 않아서 매니져들은 그것들을 전략적 리스크와 동일하게 다룰 수 있습니다. 그렇지만 대부분의 외부적 리스크는 일어날 확률이 낮기 때문에 전략적 리스크와는 다른 접근방법을 취해야 합니다.

몇가지 외부적 리스크의 사례입니다.

1. 즉각적인 파장이 발생하는 자연적 그리고 경제적 재앙 이러한 것들은 일반적으로 예측이 되지만 타이밍은 예측이 되지 않습니다.

2. 긴 시간의 파장을 가지는 지정학적이고 환경적인 변화 정책 변화, 쿠데타, 혁명이나 전쟁등 이나 아니면 지구 온난화 같은 변화

3. 중간 정도의 시간 파장을 가지는 경쟁적인 리스크 파괴적 기술들 (인터넷, 스마트폰, 바코드)로 야기되는 환경 변화나 산업 주자들의 변화  (ex: 아마존)

Tail-risk stress tests.

한 두가지 요인이 변경 될 가능성에 대해서 인지하고 있지만 타이밍이 예측되지 않을 때 사용하면 좋은 방법입니다.

미국 집값이 계속 오르기만 해서 다들 그러한 가정하에 기업 정책들을 펼쳤지만, 막약 떨어지면 어떤일이 일어날 것인지에 대비한 기업은 그리 많지 않았다는 것입니다.

위 외부적 리스크중 1번에 적합합니다.

Scenario planning

시나리오 플래닝은 긴 기간의 분석에 어울립니다. (2번) 몇가지 환경 변화에 관한 동력을 정하고 그 각각의 동력에 대한 5년에서 10년간의 최대치와 최소치를 추정하고, 이를 바탕으로 16개 가량의 시나리오를 뽑아서 절반쯤은 버리고 남아 있는 시나리오들을 회사 전략을 측정하는 지표로 삼습니다. 너무 낙관적인 지표를 바라고 있다면, 비관적인 측면을 도입해서 전략을 보다 견고하게 바꾸는 데 이용합니다.

War Gaming
    
이러한 워 게임은 파괴적인 기술이나 아니면 경쟁자의 전략의 변화에 따라서 기업의 취약점의 추이를 산정하는 것입니다. 시나리오 플래닝과 비슷하면서도 가장 큰 차이점은 주요 경쟁자를 산정한다는 것이겠지요. (전쟁이니까요..)

The Leadership Challenge
   
이러한 리스크 관리는 일반적인 경영자나 일을 진행하는 라인 매니져들의 경향성에 반하는 행위입니다. 따라서 많은 반대에 부딛힐 수가 있습니다. 그렇기 때문에 이러한 리스크-관리는 전담부서에 대한 CEO 에 막강한 지원이 필요합니다. 뿐만 아니라 이러한 관리를 통해서 CEO 자신의 경향성 또한 확인하는 좋은 기회가 될 수 있습니다.


ps.
 내용이 긴 글을 다 정리할려니 너무 힘들군요.. 아무리 짬을 낸다지만 4일이나 걸렸씀.. 앞으로 긴 글이나, 아티클 요약할때는 간단한 글로 대체할려고 생각중입니다.