전사적 위험관리 개념과 사례 „사적_위험...전사적 위험관리: 개념과 사례...

전사적 위험관리: 개념과 사례 Enterprise Risk Management: COSO Framework and Global Best Practice

2004. 1.

선임연구원 김 종 호

ENTERPRISE RISK MANAGEMENT

목차 요약

ERM의 필요성과 의미 I.

II.

III.

IV.

ERM 프레임워크

COSO ERM의 등장

내부 위험관리 환경 (Internal Environment)

목표 설정 (Objective Setting)

위험 요인 인식 (Event Identification)

위험 평가 (Risk Assessment)

위험 대응 (Risk Response)

통제 활동 (Control Activities)

정보와 커뮤니케이션 (Information and Communication)

모니터링 (Monitoring) 선진 기업의 ERM 사례 Wal-Mart Dupont Microsoft

결론

참고문헌

본 보고서의 내용은 필자의 개인적인 분석과 견해이며 LG경제연구원의 공식적인 입장이

아님을 밝혀 두는 바임.

1


요약

ERM(Enterprise Risk Management)은 기업이 직면하는 주요 경영 위험들을 전사적인

차원에서 통합하여 인식, 관리하는 새로운 위험관리 방식으로 선진 기업들을 중심으로

빠르게 확산되고 있음.

ERM 은 전사적인 시각에서 여러가지 위험들을 인식하고, 일정한 허용 한계 내에서

적절하게 관리하며, 기업의 궁극적인 목표 달성을 위해 효과적인 대응 방안을 수립,

실행하는 지속적인 프로세스라고 정의할 수 있음.

금융 시장 등 경영 환경의 불확실성 증가, 전통적인 개별 위험관리 방식의 효율성

한계 인식, 정부 및 관련 기관의 규제 강화 등으로 인해 전사적인 통합 위험관리,

ERM의 도입 필요성이 증대되고 있음.

최근 COSO(Committee of Sponsoring Organizations of the Treadway Commission)는 ERM에

대한 이해를 촉진하고, 국제적인 실행 기준을 만들기 위해 ERM 의 본질적 의미,

구성요소 등으로 이루어진 ERM 프레임워크를 발표하였음.

COSO 는 회계, 재무, 감사 분야의 전문가들로 구성되었으며 경영윤리, 내부통제,

위험관리, 기업지배구조 측면에서 경영 활동의 개선을 도모하고 있음.

COSO 의 ERM 프레임워크는 ERM 의 의미와 목적, 구성요소, 실행원칙 등을

자세하게 설명하고 있으며, 국제적으로 권위 있는 기관에서 ERM 에 대한 모범

규준을 최초로 정립하였다는 데 중요한 의미가 있음.

COSO 의 ERM 프레임워크는 내부 위험관리 환경, 목표 설정, 위험 요인 인식, 위험

평가, 위험 대응, 통제 활동, 정보와 커뮤니케이션, 모니터링의 8 가지 요소로 구성되며,

ERM의 성공적인 추진에 있어 이사회와 경영진의 역할이 특히 강조되고 있음.

내부 위험관리 환경 (Internal Environment)은 ERM 의 제반 환경을 의미하며, 목표,

철학, 문화 등과 같은 무형 요소와 이사회, 관리 책임 등의 조직 요소로 이루어짐.

목표 설정(Objective Setting)은 기업의 비전 하에서 이를 추구하기 위한 전략적인

목표와 수행 전략들을 설정하는 것이며 위험의 인식과 평가의 기반이 됨.

위험 요인 인식(Event Identification)은 기업의 목표를 저해할 수 있는 사건 및 상황,

즉 위험을 발생시킬 수 있는 대내외적 요인들을 사전에 파악하는 것임.

위험 평가(Risk Assessment)는 잠재적인 위험이 기업의 목표 달성에 어느 정도

영향을 미치게 될 것인가를 예상하는 것이며 정량적, 정성적 방식의 평가가 활용됨.

2


위험 대응(Risk Response)은 위험 취향, 위험의 발생가능성과 심각성, 관리 비용과

기대효과 등을 복합적으로 고려하여 최적의 위험 대응 방안을 선택, 추진하는 것임.

통제 활동(Control Activities)은 위험 대응이 효과적으로 수행되도록 하기 위한

정책과 절차를 의미하며, 기업 내 모든 조직과 기능 수준에서 이루어져야 함.

정보와 커뮤니케이션(Information and Communication)은 기업의 외부 및 내부에서

위험관리에 관련된 정보를 인지, 획득, 공유하는 과정을 의미함.

모니터링(Monitoring)은 ERM 의 각 요소들이 효과적으로 운영되고 있는가를 관찰,

평가하는 것이며, 지속적 또는 개별적 모니터링이 가능함.

해외 선진 기업들은 이미 ERM 을 통해 체계적인 위험관리를 수행하고 있음. 비록 산업

및 기업 특성에 따라 그 추진 형태는 상이하나, 정형화된 위험 인식 과정, 위험에 대한

구체적인 측정과 평가, 효율적인 보고 체계 및 커뮤니케이션 활동 등은 공통적인 모습임.

Wal-Mart 는 전사적 위험관리 위원회(ERM Committee)와 위험 워크샵(Risk

Workshop)을 통해 기업의 각 부문이 직면하고 있는 위험들을 정기적으로 파악하여

관리 및 대응 계획을 수립하고 있음.

Dupont 은 체계화된 관리 프레임워크와 계량적인 위험 측정 지표, EAR(Earnings at

Risk)을 기반으로 여러가지 요인으로부터 발생하는 위험들을 전사적으로 통합

관리하고 있음.

Microsoft는 VAR(Value at Risk), 위험지도(Risk Map) 등으로 자사가 직면한 위험들을

구체적으로 평가하고 있으며, 위험관리 전담 조직을 구성하여 지속적인 위험관리

활동 및 대내외적인 커뮤니케이션을 추진함.

우리 기업들도 전사적 위험관리의 의미와 필요성을 충분히 이해하고, 자사의 상황에

적합한 최적의 위험관리 시스템을 구축해 가야 할 것임.

경영 위험의 유형이 점차 다양해 지고 있으며, 이에 따라 위험관리의 영역도

확대되고 있음. 이제 위험관리는 경영 활동 전반에 걸쳐 기업 가치를 보호하기

위한 전략적인 활동으로 인식되어야 함.

COSO 의 ERM 프레임워크는 전사적 위험관리의 의미와 구성요소 등을 자세하게

설명하고 있으며, 향후 기업 위험관리의 국제적인 모범 기준으로 부상할 가능성이

있는 만큼, 국내 기업들도 ERM 의 필요성과 도입 가능성을 적극적으로 검토하고

위험관리 선진화 및 기업 가치 제고를 위해 노력해야 할 것임.

3


I.

ERM의 필요성과 의미

환율, 금리 등 금융 시장의 위험 증가, 글로벌 경영 환경의 불확실성 증가, 전통적인

위험관리 방식의 한계 인식, 내부통제 및 위험관리에 대한 규제 강화 등으로 인해

전사적인 관점에서 위험을 보다 체계적으로 관리해야 할 필요성이 고조되고 있음.

전세계적으로 환율, 금리 등 시장 지표와 관련된 위험이 고조되고 있음. 국내의

경우, IMF 경제위기 이후 환율 변동성을 측정하는 표준편차(Standard Deviation)가

62%나 증가한 모습을 보이고 있음.

9.11 세계무역센터 테러, 엔론(Enron) 등 대형 기업의 회계부정사건, 이라크 전쟁,

중증 호흡기 전염병(SARS) 등은 최근 여러가지 측면에서 기업의 경영 성과에

부정적인 영향을 주었던 대표적인 복합 위험이며, 이와 같은 위험의 발생 빈도 및

파급 효과가 점차 증가하고 있음.

기능 및 부서 단위로 해당 위험을 관리하는, 전통적인 위험관리 방식(Silo-based

Approach)은 위험관리 활동 및 커뮤니케이션의 비효율성을 초래하여, 점차 복잡,

다양해지는 현대의 경영 위험들에 효과적으로 대응할 수 없게 됨.

각국의 정부 및 관련 기관들은 기업 위험관리에 대한 기준을 점차 강화하고 있어

전사적인 시각에서 기업의 위험 수준을 측정하고 체계화된 위험관리 활동을

수행하는 것이 세계적으로 의무화 되는 추세임.

기업 위험관리 관련 법규 및 지침

국가 기관 관련규제/지침 내용

USA Securities Exchange Commission

Requirement in 10K, 10-Q

경영위험의 수준을 문서화하여 공시할 것을 규정하고있으며 기업들은 10-K, 10-Q 등의 사업 보고서에 노출된위험 수준과 위험관리 활동 내역 등을 공시

CANADA Toronto Stock Exchange

Dey Report (1994) 효율적인 내부통제를 정착시키기 위한 규범으로, 위험평가와 대응 활동을 포함하는 체계적인 내부통제 활동을수행할 것을 권고

UNITED KINGDOM

London Stock Exchange

Turnbull Report (1999) 기업들로 하여금 위험관리 활동과 내부통제 제도의효율성을 측정하는 보고서 제출을 의무화

GERMANY Federal Ministry of Justice

KONTRAG (1998)

기업지배구조 차원에서 주주의 권리를 강화하고

이사들의 책임을 확대하기 위한 목적으로, 주요 경영위험에 대한 관찰 및 관리 체계를 구체화하고 위험관리활동을 감독 당국에 주기적으로 보고하도록 법제화

Source: US Securities Exchange Commission, Toronto Stock Exchange, London Stock Exchange, Bundesministerium der Justiz

4


ERM(Enterprise Risk Management)은 기업이 직면하는 여러가지 경영 위험들을 전사적인

시각에서 통합적으로 인식하고 관리하는 새로운 위험관리 방식이며, 선진 기업들을

중심으로 빠르게 확산되고 있음.

ERM 은 주요 경영 위험들을 전사적 시각에서 하나의 위험 포트폴리오(Risk

Portfolio)로 인식, 평가하고 명확한 책임 주체 하에 전사적으로 관리하는 새로운

위험관리 방식임.

ERM의 의미

ERM 은 기업이 직면한 위험들에 대한 전체적인 시각을 제공하는 한편, 재무적인 대안과 조직적인 대안을 효과적으로 혼합하여 최적의 위험관리 대안을 도출해냄. (Besides providing more complete view of a firm’s risks, ERM represents the effort to find an integrated, optimal way of managing risk by balancing financing techniques with organizational practices and processes.)

Economist Intelligence Unit

ERM 은 기업이 전략적, 운영적, 재무적 목표를 달성하는 과정에 놓여있는 불확실성들을 효과적으로 관리할 수 있는 새로운 패러다임을 의미함… 이는 전사적인 위험들을 통합하여 인식하고 최적의 대응 전략을 수립하게 해줌. (ERM represents a paradigm shift in way business manage the uncertainties that stand in the way of achieving their strategic, operational, and financial objectives… it is a holistic, integrating the risks across the organization and designing risk response strategies.)

William G. Shenkir, Professor, University Of Virginia

ERM 은 다양한 측면에서 기업의 전략적 목표달성을 위협하는 위험들을 인식, 평가, 대응하는 일련의 활동임. 위험과 기회를 적절하게 활용할 수 있도록 해주어, 경쟁우위 확보를 가능케 함. (ERM is a rigorous approach to assessing and addressing the risks from all sources that threaten the achievement of an organization’s strategic objectives. In addition, ERM identifies those risks that represent corresponding opportunities to exploit for competitive advantage.)

Tillinghast-Towers Perrin

기존의 위험관리 방식은 각각의 기능 및 부서 단위로 위험을 인식하고 관리하는

것이었으나, ERM 방식은 전사 위험관리의 책임 주체를 중심으로 각 부문의

위험관리가 통합되는 형태임.

ERM 을 통해 개별 위험 간의 상쇄로 전체 위험의 수준이 감소하는 포트폴리오

효과(Portfolio Effect) 및 자연적인 헤지 효과(Natural Hedge Effect)를 기대할 수 있으며,

전사적인 측면에서 위험에 대한 체계적인 인식과 대응 전략을 수립할 수 있어

위험관리의 효율성이 제고됨.

5


개별 위험관리와 전사적 위험관리의 차이

재무

인사

생산

마케팅

전략

및

기획

구매

물류

개별위험관리

Silo based Approach

개별위험관리

Silo based Approach

전사적위험관리

IntegratedApproach


IntegratedApproach

재무

인사

생산

마케팅

전략

및

기획

구매

물류

RISK RISK RISK RISK RISK RISKRISK

RISK PORTFOLIO

Cross Functional Risk Team

재무

인사

생산

마케팅

전략

및

기획

구매

물류

개별위험관리

Silo based Approach

개별위험관리

Silo based Approach


IntegratedApproach


IntegratedApproach

재무

인사

생산

마케팅

전략

및

기획

구매

물류

RISK RISK RISK RISK RISK RISKRISK

RISK PORTFOLIO

Cross Functional Risk Team

또한 구성원 및 조직 전체의 위험관리 의식을 제고하여, 사업 성과의 향상,

내부통제 및 기업지배구조의 강화, 대외적 위험관리 커뮤니케이션을 통한

이해관계자들의 신뢰 확보 등을 기대할 수 있음.

EIU(Economist Intelligence Unit)의 최근 조사 결과에 따르면 대상 기업의 41%가 이미

ERM 을 도입하고 있었으며, 1~2 년 내에 도입할 계획인 기업들도 32%로 나타나고

있어 ERM이 위험관리의 새로운 글로벌 스탠다드로 인식되고 있음을 알 수 있음.

글로벌 기업들의 ERM 도입 현황 및 전망

2~5년내 계획13%

계획 없음27%

ERM 도입41%

1년내 계획19%

Source: The Economist Intelligence Group Survey, “Enterprise Risk Management; Implementing New Solutions”, 2001

6


II.

ERM 프레임워크

COSO ERM의 등장

COSO(The Committee of Sponsoring Organizations of the Treadway Commission)는 경영윤리,

내부통제, 기업지배구조 등의 이슈를 연구하는 미국의 비정부 기구이며, 2003 년 7 월

ERM의 의미와 구성요소 등을 구체적으로 정리한 보고서를 발표하였음. 1

COSO 는 1985 년 미국에서 기업의 경영윤리, 내부통제, 지배구조 등에 대한 연구와

제도적인 장치 마련을 목적으로 설립되었으며, 경영자 및 이사회, 회계전문가,

규제기관 등을 대상으로 기업 내부감사 및 내부통제에 대한 권고 및 조언을

제공하고 있음.

COSO의 구성

AICPA(American Institute of Certified

Public Accountants)


Public Accountants)

IIA(The Institute of Internal

Auditors)


Auditors)

FEI(Financial Executives

International)


International)

IMA (Institute of Management

Accountants)


Accountants)

AAA (American Accounting

Association)


Association)COSO

The Committee of Sponsoring Organizationsof the Treadway Commission


Public Accountants)


Public Accountants)


Auditors)


Auditors)


International)


International)


Accountants)


Accountants)


Association)


Association)COSO

The Committee of Sponsoring Organizationsof the Treadway Commission

특히 COSO 는 내부통제(Internal Control) 측면에 있어서는 세계적으로 가장 권위

있는 단체이며, 이들의 연구 결과는 글로벌 스탠다드로 인식되고 있음.

COSO 는 ERM 의 모범 기준을 마련하기 위해 2003 년 7 월에 연구 보고서,

“Enterprise Risk Management Framework”의 초안을 공개하였으며, 현재 여러 계층

전문가들의 의견을 수렴하여 2004년 상반기 중에 최종 보고서를 발표할 계획임.

이는 국제적으로 권위 있는 단체에서 ERM 의 체계화된 프레임워크를 최초로

정립하였다는 데에 의미가 있다고 하겠으며, 향후 전세계적으로 ERM 의 모범

기준으로 활용될 것으로 전망됨.

1 본 장에서는 COSO에서 발표한 “Enterprise Risk Management Framework”의 의미 및 구성 요소 별 구체적인 내용들을 설명함.

7


COSO 의 정의에 따르면 ERM 은 기업 전체적인 시각에서 기업에 영향을 미칠 수 있는

잠재적인 위험 및 사건 등을 파악하고, 일정한 위험 취향 내에서 위험을 적절하게

관리하며, 기업의 목적을 달성하기 위해 합리적인 대응 방안을 강구하는 프로세스임.

이는 전사적인 기업 전략에 적용되어 명확한 책임 주체에 의해 실천되어야 함.

프로세스: ERM 은 기업의 목표를 달성하기 위해 지속되는 경영 활동, 즉

프로세스이며 ERM 의 모든 구성 요소들이 기업 인프라 및 전략에 융합되어 운영될

때 가장 효과적임.

명확한 책임 주체에 의한 실천: ERM 은 성문화된 정책(Policy)이나

규범(Regulation)에 그치는 것이 아니라 이사회, 경영자, 직원 등 모든 구성원들에

의해 실천되는 구체적인 활동으로 이어져야 함.

기업 전략에의 적용: ERM의 궁극적인 목표는 기업이 경영 목적을 달성하는 것이며,

이를 위해서 ERM 의 구성 요소들은 기업 전략 및 사업 전략 등에 반영되어

일관성을 가지고 추진되어야 함.

기업 전체적인 시각: ERM은 대내외적인 모든 영역에서 발생 가능한 위험들을 전사

차원의 포트폴리오적인 시각에서 인식함.

잠재적인 위험의 파악과 일정한 위험 허용 수준: ERM 은 잠재적인 위험, 특히

기업의 경영 성과나 가치에 심각한 부정적 영향을 초래하는 위험들을 인식하고,

기업이 감당할 수 있는 수준 및 범위 내에 존재하도록 효과적으로 관리함.

합리적인 대응 방안 강구: ERM 은 단순히 위험을 인식, 측정만 하는 수동적인

활동이 아니라 위험을 적절한 수준으로 관리하기 위한 구체적인 대응 및 통제

활동까지를 포함하고 있음.

기업의 목적 달성: ERM 의 궁극적인 목표는 개별 위험을 감소시키는 정도의

소극적인 수준이 아니라 기업 가치 극대화 등과 같은 고차원적인 경영 목적을

달성하는 것임.

COSO 는 내부 위험관리 환경(Internal Environment), 목표 설정(Objective Setting), 위험

요인 인식(Event Identification), 위험 평가(Risk Assessment), 위험 대응(Risk Response), 통제

활동(Control Activities), 정보 및 커뮤니케이션(Information & Communication),

모니터링(Monitoring) 등 8 가지 요소들로 체계적인 ERM 프레임워크를 구성해야 한다고

설명하고 있음.

불확실성에 따른 기회와 위험을 효과적으로 관리하고 궁극적으로 기업 가치를 증대

시키기 위해서는 구체화된 위험관리 프레임워크가 반드시 필요함.

8


COSO ERM Framework

ERMBenefits

ERMBenefits

COSO ERM FrameworkCOSO ERM Framework

ERMDefinition

ERMDefinition

ERMComponents

ERMComponents

Roles &Responsibilities


Event Identification


Risk ResponseRisk Response Information and CommunicationInformation and Communication

Risk Assessment

Risk Assessment

Control ActivitiesControl

Activities MonitoringMonitoring

Internal Environment


Objective Setting

Objective Setting

ERMBenefits

ERMBenefits

COSO ERM FrameworkCOSO ERM Framework

ERMDefinition

ERMDefinition

ERMComponents

ERMComponents





Risk ResponseRisk Response Information and CommunicationInformation and Communication

Risk Assessment

Risk Assessment

Control ActivitiesControl

Activities MonitoringMonitoring



Objective Setting

Objective Setting

내부 위험관리 환경 (Internal Environment)

내부 위험관리 환경 (Internal Environment)은 구성원들의 위험 인지 및 대응 방식에

영향을 주는 조직 내의 분위기 및 제도 등을 의미하며, ERM 의 원리(Principle)와

구조(Structure)를 제공하여 다른 구성요소들의 근간이 됨. 이는 기업의 위험관리 철학,

위험 취향과 문화, 이사회의 역할, 구성원들의 윤리적 가치와 역량, 경영자의 철학과

경영 스타일, 개개인의 권한과 책임 등을 포함함.

위험관리 철학(Risk Management Philosophy)은 기업이 위험을 보는 시각과 위험을

관리하기 위해 어떻게 행동할 것인가에 대한 실천적인 믿음을 의미하며,

대내외적인 커뮤니케이션의 기반으로 사용되어 모든 이해관계자들과 공유됨.

위험 취향(Risk Appetite)은 기업이 가치 제고를 추구함에 있어 부담할 수 있는

위험의 규모 및 수준을 의미하며 경영 전략 수립 및 의사 결정의 기준이 됨.

위험 문화(Risk Culture)는 위험관리에 대하여 조직 내에서 공유되어지는 태도, 가치,

관행 등을 의미함. 대부분의 기업에 있어 위험 문화는 위험 철학(Risk Philosophy)과

위험 취향(Risk Appetite)으로부터 형성됨.

이사회(Board of Directors)는 최고 경영자와 함께 전사적인 위험관리를 이끌어가는

핵심 주체이며 다른 모든 요소들에 영향을 줌. 이사회의 독립성, 개개인의 경험과

역량, 사외이사의 비중, 경영 전략에의 참여, 감사 활동 등은 ERM 의 성공적인

추진에 있어 매우 중요한 역할을 함.

윤리적 가치와 완결성(Integrity and Ethical value)은 기업 내부의 부정 및 비리를

사전에 예방한다는 측면에서 매우 중요하며, ERM 이 효과적으로 운영될 수 있는

기반을 제공함.

9


조직구조(Organizational Structure)는 모든 경영 활동들을 계획, 수행, 통제,

모니터링하기 위한 기본 프레임워크임. 따라서 조직 구조에 따라 위험관리의

권한과 책임 배분, 감사 및 보고 체계 등이 수립됨.

최근에는 전사적인 위험관리 활동을 계획, 관리, 통제하는 최고 책임자인 CRO(Chief Risk

Officer)를 도입하는 기업들이 늘어나고 있음.

1990년대 초반까지만 해도 GE Capital, Fidelity Investment, First Union Bank 등과 같은

대형 금융 기관들만이 CRO 를 보유하였으나, 최근에는 시장 위험에 대한 노출

정도가 큰 에너지 및 설비 산업 뿐만 아니라 제조 및 서비스 산업에서도 CRO 를

도입하는 경우가 증가하고 있음.

미국의 USA Today 는 “CRO 는 잠재적인 경영위험을 파악, 측정하고 이에 대한

계획을 세워 관리하는 기업의 임원이다. 1980 년대는 CFO 의 시대, 1990 년대는

CIO 의 시대, 그리고 2000 년대는 CRO 의 시대가 될 것이다.” 라고 하며 21 세기

경영 환경에서 CRO 역할의 중요성을 지적하고 있음.

기업에 따라서는 CFO 가 위험관리 업무까지 총괄하는 경우도 있으며, CRO 를

임명하는 대신 위험관리 위원회(Risk Management Committee) 등을 두어 그 역할을

수행하는 경우도 있음.

목표 설정 (Objective Setting)

목표 설정(Objective Setting)은 기업 비전을 추구하기 위한 고차원적인 전략 목표 및 세부

관련 목표들을 설정하는 것을 의미함. 이는 ERM 의 출발점이며 각각의 목표들은 기업의

위험 취향 및 허용 한도와 일관성을 지니도록 결정되어야 함.

기업의 비전에 따라 전략적인 목표(Strategic Objectives)와 이를 달성하기 위한

전략(Strategies)이 수립됨. 전략의 구체적인 실천과 관련하여 운영(Operations),

보고(Reporting), 컴플라이언스(Compliance) 측면의 관련 목표(Related Objectives)들이

결정됨.

또한 기업의 목표 설정은 위험 - 성과(Risk - Return)의 상관 관계를 바탕으로

이루어져야 함. 즉, 성과 목표, 실행 전략, 평가 기준 등은 기업의 위험 취향(Risk

Appetite) 및 허용한도(Risk Tolerance)를 충분히 고려하여 결정되어야 함.

10


기업 목표의 유형과 관계(예)

Vision(Mission)

Strategic ObjectivesStrategic

Objectives Strategies

OperationsOperations

Related Objectives

ReportingReporting

ComplianceCompliance비전달성을위한고차원적인전략적목표

사업성과 및운영 성과등경영효율성에 대한정량적목표

대내외적인공시와관련된, 보고활동의충실성에 대한목표

정책, 법규 및규범에대한준수여부에관련된목표

Vision(Mission)

Strategic ObjectivesStrategic

Objectives Strategies

OperationsOperations

Related Objectives

ReportingReporting

ComplianceCompliance비전달성을위한고차원적인전략적목표

사업성과 및운영 성과등경영효율성에 대한정량적목표

대내외적인공시와관련된, 보고활동의충실성에 대한목표

정책, 법규 및규범에대한준수여부에관련된목표

ERM 의 본질은 기업의 목표 달성을 지원하는 것이며, ERM 을 통해 목표 달성에 대한

합리적 수준의 보장(Reasonable Assurance)을 기대할 수 있음.

ERM 의 관점에서는 목표 달성을 저해하는 모든 것을 위험으로 정의하고, 이를

체계적으로 인식하고 효과적으로 대응함. 즉, ERM은 기업의 목표 달성을 지원함.

그러나 ERM 이 위험 없는 경영(Risk-free Business)을 의미하는 것은 아님. 실제로

성과 및 운영 목표 등에 있어서는 경쟁 관계, 규제 변화 등 기업이 통제할 수 없는

외부 요인의 영향이 크게 작용하기 때문임.

위험 요인 인식 (Event Identification)

위험 요인 인식(Event Identification)은 위험을 발생시킬 수 있는 대내외적인 요인들을

체계적으로 파악하는 것임.

외부적 요인은 경제적, 정치적, 사회적, 기술적, 경쟁관계, 자연 환경적 요인 등을

의미하며, 내부적 요인은 경영자의 의사결정, 임직원의 행동, 운영 프로세스의

지속성, 정보 기술 관련 요인 등을 포함함.

위험 요인 간의 상호관련성 및 위험 측정에 대한 구체적인 자료를 확보하기 위해,

그 발생 원천의 유사성에 따라 위험을 몇 가지 카테고리로 분류하여 인식하는

방법이 일반화되어 있음.

위험 요인 인식에 있어서는 실제 기업이 처한 현실과 중대한 위험들을 직시할 수

있도록 다양한 원천으로부터 객관적인 시각을 확보하는 것이 중요함.

11


위험 요인의 인식 방법

위험 인식 방법 내용

위험 목록 특정 산업 내 기업들에게 빈번하게 발생하는 위험 목록을 활용

3C 분석 사업 계획 수립과 관련하여 시장, 경쟁사, 자사의 현상을 분석

임계점 생산량, 가격 등에 대해서 일정 수준의 임계점(Threshold)를 설정하여 위험 발생 인식

워크샵 및 인터뷰 다양한 이해관계자들의 경험과 의견을 종합하여 주요 위험 요인 인식

선행 지표 위험 발생을 예측하는 사전 지표(e.g. 유동성 비율) 등을 통해 위험을 인식

손실 정보 DB 특정 사건들의 발생 및 손실 규모와 관련된 DB를 구축하여 위험을 인식

프로세스 분석 각 프로세스에 대한 투입, 업무, 핵임, 산출 등을 단계적으로 분석하여 위험 요인 인식

위험 평가 (Risk Assessment)

위험 평가(Risk Assessment)는 잠재적인 위험이 기업의 목표 달성에 어느 정도 영향을

미치게 될 것인가를 예상하는 것임.

위험의 발생가능성과 심각성을 평가하기 위해서는 과거 발생했던 위험에 대한

여러가지 정보에 의존하게 되며, 이를 위해서는 기업 외부와 내부에서 제공되는

다양한 정보가 필요함.

위험 평가 방법은 일반적으로 정량적(Quantitative) 기법과 정성적(Qualitative)

기법으로 구분되며, 위험 요인 별 특성과 기업의 위험 취향 등에 따라 다양한

방식들이 선택적으로 활용됨.

정량적인 위험 평가 방식은 주로 환율, 금리 등에 대한 시장위험(Market Risk)을

측정하게 되며, 위험으로 인한 잠재적인 손실 규모나 성과 변동 수준 등을 계량적으로

나타냄.

시장 위험의 경우는 그 발생 빈도 및 파급 효과가 매우 큼. 따라서 정량적 위험

측정 지표(Risk Metrics)를 통해 지속적으로 관리해야 할 필요가 있음.

2001 년, EIU(Economist Intelligence Unit)의 조사 결과에 따르면 선진 기업들은

EAR(Earnings at risk), VAR(Value at risk), 현금 흐름 변동성(Cash Flow Volatility) 등

정량적 위험 지표를 통해 자사의 위험 수준을 측정하는 한편, 내부적인 관리 및

평가 활동에도 적극적으로 활용하고 있는 것으로 나타남.

12


EAR 은 VAR 의 개념을 일반적인 기업에서 주로 관리하는 이익 지표에 연관되도록

개발한 것임. 이는 일정 기간 동안 시장 지표의 변화에 의해 기업의 성과 지표가

예상보다 하락할 수 있는 최대 크기를 의미하며, 일정한 기간(Time Horizon)과

신뢰수준(Significance Level) 하에서 설명됨.

EAR과 VAR의 비교

EAR VAR

개념 일정 기간 동안 시장 지표의 변화에 의해 기업의 성과 지표가 예상보다 하락할 수 있는 최대 크기

일정 기간 동안 재무적인 자산 포트폴리오의 가치(Value)가 예상보다 하락할 수 있는 최대 크기

측정 대상 이익(Earning)이나 현금 흐름(Cash flow) 주식, 채권, 선물 등 재무적인 포트폴리오 가치

측정 주기 분기별, 년도별 등 비교적 장기 일별, 월별 등 비교적 단기

벤치 마크 예산 계획, 기대 성과 등 구체적 사업 목표 주가 지수, 시장 수익률 등

특징 시장 지표와 기업 이익간의 관계 설명 시장 지표와 기업 및 자산 가치와의 관계 설명

적용 기업 제조업, 서비스업 등 일반적인 기업 금융기관, 재무 및 투자 활동의 비중이 큰 기업

정성적인 위험 평가는 위험의 발생가능성과 파급 효과의 심각성 등의 측면에서 위험의

영향력을 평가하는 것이며, 위험의 현재가치나 위험지도 등의 방식이 개발, 활용되고

있음.

정성적인 위험의 경우, 개별 위험 요인들의 발생 가능성, 발생 빈도와 시기,

예측가능성, 성과지표에의 잠재적 영향력, 관리 과정의 난이도, 관련시스템의

구축에 필요한 자원 등의 요소들을 종합적으로 고려하여 그 중요성을 평가하게 됨.

위험의 현재가치(NPV of Risk)는 일련의 위험 요인들에 대해 발생 빈도(Frequency),

심각성(Severity), 통제가능성(Probability of Control) 등을 종합적으로 평가하여

점수화하는 방법임. 이는 개별 위험의 중요성을 계량화된 단일 지표로 표현하여

비재무적 위험관리에 있어 경영자의 이해와 의사결정을 용이하게 함.

위험 지도(Risk Map)는 위험의 심각성과 발생 빈도를 각각의 축으로 설정하고 개별

위험 요인들을 그 속성에 따라 이차원 평면상에 배치하는 방법으로써, 우 상단에

있는 위험들은 중요한, 주의 깊은 관리가 요구되는 위험들인 반면에 좌 하단에

위치한 것들은 비교적 순위가 낮은 것들로 간주할 수 있음.

13


위험의 현재 가치(NPV of risk) 측정(예)

위험 요인 발생 빈도 심각성 통제가능성 NPV 점수 (1-5)

A. 전략 (Strategy) 위험을 고려치 않은 전략 수립 및 실행 High High Low 4.5 시장 점유율 및 수익성 등 목표간 일관성 부족 High Low Low 3.0 … B. 성장 (Growth) 기업 성장에 따른 문화 및 가치 소실 High High Low 4.5 기업 규모 증대에 따른 관리 소홀 Middle Low Middle 2.0 … C. 기업 평판 (Reputation) 부정으로 인한 시장의 신뢰 소실 Middle High High 3.5 브랜드의 이미지 실추 Low High High 2.5 … D. 인적 자원 (Human Resources) … J. 시스템 (System) …

Source: Tillinghast -Towers Perrin, “Enterprise Risk Management; An Analytic Approach”, Monograph, 2000

위험 대응 (Risk Response)

위험 대응(Risk Response)은 ERM 의 가장 핵심적인 활동이며, 크게 감수, 회피, 감소,

공유의 네 가지 방식으로 이루어짐. 구체적인 대응 활동은 조직적 대응(Organizational

Solution)과 재무적 대응(Financial Solution)을 통해 실행되며, 위험의 성격이 복잡,

다양해짐에 따라 새로운 대응 방법을 만들어 내는 기업 스스로의 노력이 더욱 중시되고

있음.

위험 감수(Risk Acceptance)는 위험에 대해 아무런 대응도 하지 않고 위험의 영향을

그대로 수용하는 것임.

위험 회피(Risk Avoidance)의 관점에서는 위험에 노출된 사업 영역에서 철수하거나

위험 자산을 처분하는 등 전략적인 의사결정을 하는 것임.

위험 감소(Risk Reduction)는 대부분 조직적 대응을 통해 수행됨. 이는 경영 및 관리

방식을 개선하여 위험 관리 역량을 강화하는 것을 의미하며 전략, 사람, 프로세스,

시스템 차원에서 개선을 추구하게 됨.

14


위험 공유(Risk Sharing)는 재무적 대응을 통해 수행되며 파생 금융 상품 및 보험

상품 등을 이용하여 위험을 재무적으로 헤지(Hedge) 또는 이전(Transfer)하는 방식을

의미함.

위험 대응 방식은 기업의 위험 취향, 개별 위험의 특성, 개별적인 위험의 중요도 및

통제 가능성, 자사의 대응 역량, 대응 방식의 비용 및 기대 효과 등이 종합적으로

고려되어 결정됨.

위험 대응 방식

Risk AcceptanceRisk Acceptance Risk AvoidanceRisk Avoidance Risk SharingRisk Sharing

Do NothingDo Nothing Exit or WithdrawExit or Withdraw Financial SolutionFinancial Solution

Risk ResponseRisk Response

Organizational SolutionOrganizational Solution

Risk ReductionRisk ReductionRisk AcceptanceRisk Acceptance Risk AvoidanceRisk Avoidance Risk SharingRisk Sharing

Do NothingDo Nothing Exit or WithdrawExit or Withdraw Financial SolutionFinancial Solution

Risk ResponseRisk Response

Organizational SolutionOrganizational Solution

Risk ReductionRisk Reduction

통제 활동 (Control Activities)

통제 활동(Control Activities)은 위험 대응이 효과적으로 수행되도록 하기 위한 정책

(Policy)과 절차(Procedure)를 의미하며, 기업 내 모든 조직과 수준에서 이루어짐.

통제 활동은 기업이 목적을 달성하기 위해 추진하는 다양한 프로세스의 일부이며,

기업 목적의 유형 - 전략(Strategy), 운영(Operation), 보고(Reporting),

컴플라이언스(Compliance) - 에 따라 상이하게 추진됨. 그 목적에 따라 예방적

통제(Preventive Control), 탐색적 통제(Detective Control), 경영 통제(Management

Control) 등으로 구분할 수 있음.

구체적인 활동으로는 승인(Approval), 권한 부여(Authorization), 조정(Reconciliation),

성과 검토(Performance Review), 자산 보호(Security of Assets), 책임 할당(Segregation of

Duties) 등이 있으며 경영진은 각각의 활동들이 어떻게 상호 연관되어 있는지

인지하고 있어야 함.

15


기업의 모든 구성원들은 ERM 의 추진과 평가 등 구체적인 활동에 있어 각각의

책임과 역할을 가지게 되며, 특히 이사회 및 경영진은 ERM 을 추진하는 주도적인

역할을 담당해야 함.

정보와 커뮤니케이션 (Information and Communication)

정보와 커뮤니케이션(Information and Communication)은 기업의 외부 및 내부에서

위험관리에 관련된 정보를 인지, 획득, 공유하는 과정을 의미함.

위험을 인지, 평가, 대응하기 위해서는 기업의 모든 수준에서 정보가 필요하며,

방대한 정보를 해석하고, 실행 가능한 대응 전략으로 발전시킬 수 있어야 함. 이를

위해서는 위험관리 정보 시스템의 개발이 필요하며, 이를 통해 과거 위험 발생의

빈도와 심각성 등과 같은 시계열 정보를 처리할 수 있어야 함.

위험관리 관련 정보의 효과적인 커뮤니케이션을 통해 CEO 및 이사회를 중심으로

기업 전체가 위험에 대한 경각심을 높이고, 주요 위험 관련 정보들을 숙지하여야

함. 또한 위험관리에 대한 대외적인 커뮤니케이션은 공시 정보의 투명성 및 시장의

신뢰를 강화하여 기업가치 제고에 이바지함.

모니터링 (Monitoring)

모니터링(Monitoring)은 ERM 의 각 요소들이 효과적으로 수행되는가를 관찰, 평가하는

것이며, 지속적인 평가(Ongoing activities) 또는 개별 평가(Separate evaluation)의 형태로

수행될 수 있음.

지속적인 활동으로서 모니터링은 실시간 관찰 및 평가 활동이 일상적인 경영

활동으로 정착되는 것을 의미하며, 개별 평가의 실시 주기는 대내외적인 경영

환경의 변화 속도 등을 고려하여 결정됨.

16


III.

선진 기업의 ERM 사례 2

Wal-Mart

Wal-Mart 는 1990 년대 후반에 들어 성장 및 세계화를 가속화하였으며, 이 과정에서

발생하는 다양한 위험들을 효과적으로 관리하기 위해 ERM을 도입하였음.

Wal-mart 는 1996 년 중국 진출, 1998 년 한국 진출, 1999 년 독일 및 영국 사업 확대

등 90 년대 후반 세계화를 가속화하였으며, 이 과정에서 매출 성장, 인력 증대, 시장

확대 등과 관련된 여러가지 위험이 발생하게 되었음.

Wal-Mart 의 위험관리는 기능 및 조직 별로 위험을 관리하는 개별 위험관리

방식(Silo-based Approach)이었음. 이는 위험의 한 단면만을 인식할 뿐 전체적인

모습과 기업 경영에 미치는 다각적인 영향을 고려하지 못한다는 한계가 있었으며,

조직 및 기능별로 위험관리 정보가 쉽게 공유, 전달되지 않는다는 문제점을 가지고

있음. 또한 위험관리의 고비용 구조 및 저 효율화를 유발함.

기존의 위험관리 방식으로는 세계화 및 성장에 따른 여러가지 위험들에 효과적으로

대응하는데 한계가 있음을 인지하였으며, 이를 극복하기 위해 ERM을 도입하게 됨.

Wal-Mart 의 ERM 은 위험의 의미(Definition)와 위험관리의 사명(Mission)을 명확하게

정의하는 데에서 시작되었음.

Wal-Mart 에서는 위험(Risk)을 "경영 목표달성을 저해하는 모든 것"이라고 정의하고

있으며, 주요 위험에 대한 인식과 예방은 사전적인 전략 기획(Strategic Planning)과

사후적인 위기관리(Crisis Management)를 연결하는 역할을 함.

Wal-Mart 의 ERM 은 “위험은 이해되고, 측정되고, 통제된다(Risks are understood,

measured, and controlled)”라는 사명을 가지고 추진되는데, 이는 경영 목표의 달성이 1)

중대한 사건에 대한 예측과, 2) 최적 의사 결정의 신속한 실천을 통해서 실현될 수

있다고 생각하고 있기 때문임.

Wal-Mart 의 ERM 프로세스는 비전수립(Business Vision), 사업목표(Business Objective),

위험체계(Risk frame), 위험인식(Identify Risk Universe), 위험 워크샵(Risk Workshop), 통제

2 The Institute of Internal Auditors Research Foundation, “Enterprise Risk Management: Trends and Emerging Practices”와 Thomas L. Barton and et al., “Making Enterprise Risk Management Pay Off: How Leading Companies Implement Risk Management”를 참조

17


및 실천 워크샵(Control and Action Workshop), 관찰 및 평가(Monitor, Evaluate, Manage)의

7단계로 추진됨.

전사적 위험관리 위원회(ERM Committee)는 기업 내의 다양한 부문에서 모인

집단으로, 내부감사 담당임원(Vice President of Internal Auditing)과 위험관리

책임자(Senior director of Risk Management)가 공동으로 리드함.

전사적 위험관리 위원회는 위험의 발생 원천에 따라 외부 위험(External risk)과 내부

위험(Internal risk)으로 구분, 주요 의사 결정자들을 대상으로 설문을 실시하여 주요

위험들에 관한 정보를 수집함. 이러한 정보들을 취합하고 위험들을 20 ~ 35 가지

유형으로 분류하여 위험 워크샵(Risk Workshop)에 전달함.

위험 워크샵(Risk Workshop)은 다양한 기능 및 부서에서 참여하며, 1 ~ 2 명의

진행자와 1 ~ 2 명의 기록자를 포함하여 15 ~ 20 명으로 한 단위가 구성됨. 주요

위험에 대한 의미를 공유한 후, 발생 가능성(Probability)과 심각성(Impact)의

관점에서 각 위험들을 10 점 척도로 평가함. 위험 워크샵의 궁극적인 목적은

여러가지 위험을 평가하기 위한 이차원의 위험지도(Risk Map)를 작성하는 것임.

통제 및 실천 워크샵 (Control and Action Workshop)은 12 명 정도로 구성되며,

여기서는 위험에 대응 하기 위한 실천방안(Action Plan)을 만들고, 개인과 조직에게

위험관리 책임과 의무를 할당하게 됨.

위험관리 실천 활동은 스코어 카드(Scorecard) 등과 같은 구체적인 방식을 통해

지속적으로 관찰, 측정되며 전사적 위험관리 위원회에 보고됨.

Wal-Mart의 ERM Framework

Business VisionBusiness Vision Business ObjectiveBusiness Objective

Identify RiskIdentify Risk

ERMERM

Risk frameRisk frame

Risk WorkshopRisk Workshop Monitor, Evaluate, Manage

Monitor, Evaluate, Manage

Control and Action Workshop


Strategic PlanningStrategic Planning Crisis ManagementCrisis Management

Business VisionBusiness Vision Business ObjectiveBusiness Objective

Identify RiskIdentify Risk

ERMERM

Risk frameRisk frame

Risk WorkshopRisk Workshop Monitor, Evaluate, Manage

Monitor, Evaluate, Manage



Strategic PlanningStrategic Planning Crisis ManagementCrisis Management

Wal-Mart 의 ERM 프레임워크는 캐나다 지역에서 성공적으로 도입된 후, 현재 전세계적

사업장으로 확산되고 있는 중임.

18


Dupont

Dupont 은 재무 활동의 고도화 및 사업 구조조정 등으로 인해 효과적인 위험관리

시스템에 대한 필요성을 인식하였으며 ERM의 도입을 추진하였음.

1802 년에 설립된 Dupont 은 오랜 역사를 지닌 세계적인 화학 회사이지만, 체계적인

위험관리 시스템을 갖춘 것은 비교적 최근의 일이라고 할 수 있음. 1990 년대 이후

파생금융상품 및 재무 관련 위험으로 인한 사업상의 손실 규모가 증가하였고 기업

구조조정 및 전략적 사업단위(Strategic Business Unit) 들의 기능 재정비를 단행함에

따라 여러가지 위험에 대한 노출 수준이 증가하게 되었음.

그러나 각각의 사업 및 기능 단위로 개별적인 위험관리를 수행하는, 전통적인 개별

위험관리 방식(Silo-based Approach)으로는 이러한 경영 환경 변화에 효과적으로 대응

할 수 없었음. 이에 따라 ERM 시스템의 도입을 검토하게 되었으며, 이를 위해

AT&T, Citicorp, Goldman Sachs 등의 위험관리 시스템을 벤치마킹하는 등 다양한

노력이 진행되었음.

Dupont의 ERM Framework

COPORATE WIDE POLICY


COPORATE WIDE GUIDELINES


LINE MANAGEMENT STRATEGIES & PROCEDURES


CEOBOARD OF DIRECTOR


RISK MANAGEMENT COMMITTEE

RISK MANAGEMENT COMMITTEE LINE MANAGEMENTLINE MANAGEMENT

ERM FRAMEWORKERM FRAMEWORK

RISK MANAGEMENT NETWORK


CFO, Treasurer 등으로구성되며전사적인 위험관리의기준을제시하며, 통제및 모니터링주관

금융, 외환, 투자, 구매, 신용, 회계, 기술 부문의 전문인력들로 구성되어실무관리자들과공동으로실질적인위험관리 활동을 추진

위험관리의궁극적인목적과방향성등을마련하며, 위험관리관련보고 라인구축









RISK MANAGEMENT COMMITTEE

RISK MANAGEMENT COMMITTEE LINE MANAGEMENTLINE MANAGEMENT

ERM FRAMEWORKERM FRAMEWORK



CFO, Treasurer 등으로구성되며전사적인 위험관리의기준을제시하며, 통제및 모니터링주관

금융, 외환, 투자, 구매, 신용, 회계, 기술 부문의 전문인력들로 구성되어실무관리자들과공동으로실질적인위험관리 활동을 추진

위험관리의궁극적인목적과방향성등을마련하며, 위험관리관련보고 라인구축

Dupont 은 1995 년에 전사적 위험관리 정책(Corporate-wide Policy), 전사적 위험관리

가이드라인(Corporate-wide Guideline), 라인 관리 전략 및 절차(Line Management Strategies &

Procedure)로 구성되는 ERM 프레임워크를 도입하였음.

위험관리 정책은 최고 경영자를 중심으로 추진되며 위험관리 철학(Philosophy),

목표(Objectives), 특정 위험관리에 대한 한계 및 허용(Authorized usage and limitation),

위원회(Risk Committee)의 구조와 역할 등에 대한 내용을 포함함. "위험관리는 경영

전략과 동일한 수준에서 상호 연계되어 수행된다"는 철학은 위험관리의 궁극적인

목적이 사업 및 경영을 관리하는 것임을 시사하고 있음.

19


위험관리 가이드라인은 위험관리 위원회 수준에서 수행되며, 투기적 목적의

파생상품 거래 금지, 위험의 측정 및 지속적 관찰의 기본 전제, 위험관리 활동의

통제, 개별 활동들의 책임 소재 등의 내용을 포함하고 있음.

라인 관리 전략 및 절차에서는 구체적인 실무 스킬의 내용들을 설명하고 있는데,

재무적 위험 노출 수준의 측정, 위험의 회피/제거 전략, 위험관리 네트워크의 구축

및 활용 등에 관한 내용을 포함함. 위험관리 네트워크(Risk Management Network)라는

전문적인 조직을 구성하여 환위험, 신용위험, 투자 포트폴리오 등에 관한 위험관리

활동을 지원하고 있음.

환위험, 금리위험, 가격위험 등 주요 시장 위험들을 통합적으로 측정, 관리하는 동시에

위험관리와 경영 전략의 일관성을 확보하기 위해 EAR(Earnings at risk)이라는 통합 위험

측정 지표를 활용하고 있음.

95% 신뢰수준에서 월별 EAR 이 $50million 이라면, 이는 시장 위험으로 인해 발생할

수 있는 손실 규모는 $50million(이는 적자를 의미하는 것이 아니라, 평균

기대치에서 $50million 만큼 줄어들 수 있다는 의미)이며 이 수준을 넘는 손실이

발생할 확률은 5/100 정도라는 의미임.

Dupont 은 전사적 관점에서 EAR 을 측정한 후 사업별, 위험 요인별로 이를 다시

구분하여 전사 위험에 대한 각 부문들의 공헌도 및 위험수준을 확인하고 이에 따라

위험 관리 자원 및 역량을 효율적으로 배치하고 있음.

Dupont의 EAR

0%

3%

5%

8%

10%

-2.7

6944

7747

-2.5

8282

8822

-2.3

9620

9898

-2.2

0959

0973

-2.0

2297

2049

-1.8

3635

3124

-1.6

4973

42-1

.463

1152

75-1

.276

4963

51-1

.089

8774

26-0

.903

2585

02-0

.716

6395

78-0

.530

0206

53-0

.343

4017

29-0

.156

7828

040.

0298

3612

0.21

6455

045

0.40

3073

969

0.58

9692

894

0.77

6311

818

0.96

2930

743

1.14

9549

667

1.33

6168

592

1.52

2787

516

1.70

9406

441

1.89

6025

365

2.08

2644

292.

2692

6321

42.

4558

8213

92.

6425

0106

32.

8291

1998

7M

ore

% P

roba

bilit

y

.0%

25.0%

50.0%

75.0%

100.0%

Cum

ulat

ive

%

$125 MMBudgeted Earnings

Equals the Earningsat the 95% CI

$75 MM

$50 MM = EAR

Source: Daniel Montante, "Financial Risk Management: An Earnings-at-Risk Approach",

E.I. du Pont de Nemours & Company, December 6, 2000

EAR 의 도입과 활용은 전사 차원 및 개별 사업 차원의 위험관리에 있어 많은 혜택을

주고 있으며, 회계 법규의 준수 및 투명성 강화 측면에서도 도움이 되고 있음.

20


전사 차원에서는 첫째, 위험 노출 수준에 대해 명확한 측정이 가능하여 전략적인

의사결정을 도와줌. 둘째, EPS(Earning per share)의 변동성을 통제하여 주주가치의

제고를 가능케 함. 셋째, 전사 경영진과 사업부 간의 커뮤니케이션의 효율성을

개선시킴. 넷째, 사업부 별로 위험에 기초한 평가가 가능하여 평가의 객관성 및

효율성을 제고함.

사업부 차원에서는 첫째, 사업부 내의 위험관리 정보 및 스킬을 강화함. 둘째,

위험에 대한 명확한 책임 소재를 밝혀 경영 의사 결정의 효율성을 제고함. 예를

들면 추가적인 수익의 원인이 경영 성과의 개선 때문인지, 헤지에 의한 효과인지

밝힐 수 있음. 셋째, 위험–수익(Risk–Return)에 근거한 투자 의사결정 및 성과

평가가 가능함. 넷째, 사업부 내에서 위험관리에 대한 이해와 커뮤니케이션을

강화함.

또한 미국의 회계 규정인 SFAS No. 133 에서 요구하고 있는 재무보고 기준을

충족시키는 동시에 기업의 위험 수준을 공시하여 경영 투명성을 강화한다는 점도

주목할 만함.

Microsoft

Microsoft 는 지속적이고 안정적인 성장과 수익을 실현하고 있으며, 그 이면에는 세계

최고 수준의 전사적 위험관리가 있었음.

Microsoft 는 컴퓨터 운영 체제에서 온라인 방송에 이르기까지 다양한 사업을

전세계적으로 전개하는 과정에서 많은 위험에 노출되어 있으나, 지난 20 여년 동안

평균 매출 성장 37%, 평균 이익 성장 41%라는 놀라운 성과를 보여주고 있음.

Microsoft 는 세계적인 유수의 기관들로부터 최고의 위험관리 기업으로 인정 받고

있음. 1999년 CFO Magazine과 Arthur Anderson이 선정하는 “CFO Excellence Award for

risk management”와 “Alexander Hamilton Awards for Excellence in Treasury Management –

Financial Risk Management”를 수상하였으며 “기업 위험관리 부문의 새로운 개척자”,

“세계 각 지역의 금융 위기를 오히려 기회로 바꾸는 기업” 등 수없이 많은 찬사가

쏟아지고 있음.

위험관리 그룹(Risk Management Group, RMG)이 Microsoft 의 ERM 에 있어 핵심

조직이지만, 실제로는 기업 전체가 RMG 를 중심으로 하나의 위험관리 조직으로

변화하여 전사적으로 위험을 관리하는 진정한 ERM을 추진하고 있음.

21


RMG 는 1990 년대, 재무부서 내 위험관리 기능이 발전하여 구성된 조직이며 재무

담당 임원과 데이터 분석 및 위험관리 전문가 등으로 구성되어 있음.

Microsoft 의 위험관리는 RMG 를 중심으로 수행되며 크게 재무 위험관리(Financial

Risk Management, FRM)와 사업 위험관리(Business Risk Management, BRM)의 두 가지

영역으로 구분됨. 모든 위험관리 활동을 RMG 단독으로 수행하는 것은 아니며

CEO 를 비롯하여 재무, 마케팅, 법무 등의 스태프들과의 긴밀한 협력 및 공조

체제가 구축되어 있음.

RMG 의 가장 중요한 역할은 인트라넷과 대면 접촉을 통해, Microsoft 의 모든

임직원들에게 위험관리의 선교사 역할을 수행하는 것임. 인트라넷을 통해서 모든

임직원들이 상세한 비즈니스 데이터에 접근, 공유할 수 있게 하는 동시에 위험관리

점검 포인트, 사례, 베스트프랙티스 등도 전파하고 있음. 이와 동시에 현장

관리자들과의 접촉을 자주 가지면서 구체적인 의견 수렴 및 위험관리 프로세스

공유, 전파, 공동 수행 등을 추진하고 있음.

Microsoft의 Risk Management Group

Treasurer

Director, Corporate Finance/FX

Senior Quantification Analyst Group Manager & Global Products Risk Management

Group Assistant

Senior Risk Manager Claim ManagerSenior Risk

AnalystRisk Manager,

Global Operation

Contract Analyst

SeniorAdministrator

ClaimAdministrator

Treasurer

Director, Corporate Finance/FX

Senior Quantification Analyst Group Manager & Global Products Risk Management

Group Assistant

Senior Risk Manager Claim ManagerSenior Risk

AnalystRisk Manager,

Global Operation

Contract Analyst

SeniorAdministrator

ClaimAdministrator

Source: Interview (Max Giolotti, Sr Risk Manager of Microsoft)

Barton, Thomas L. and et al. “Making Enterprise Risk Management Pay Off: How Leading Companies Implement Risk Management”, 1st Edition, Financial Times Prentice Hall, 2002

재무 위험관리(Financial Risk Management, FRM) 부문은 환위험, 금리위험 등 여러가지

시장 위험에 대한 전산화된 관리시스템을 중심으로 수행되고 있음.

Microsoft의 FRM 은 1994년, 외환 헤지 프로그램을 도입하면서 본격화 되었다고 볼

수 있으며, 현재는 Gibraltar 라는 통합 재무 정보 시스템을 자체적으로 개발하여 환

위험, 금리 위험 등에 대한 체계적인 위험관리 활동이 이루어지고 있음.

VAR(Value at Risk)를 활용하여 기업이 위험에 노출된 수준을 측정함. 시시각각으로

변화하는 자사의 시장위험 수준, VAR 를 자동적으로 측정하기 위해 자체적으로

IRMA(Internal Risk Management Application)을 개발하여 활용하고 있으며, 외부 기관의

22


VAR 측정 Tool 을 추가적으로 채택하여 위험 측정 결과의 객관성 및 상호

보완성을 제고함.

사업 위험관리(Business Risk Management, BRM) 부문은 주요 비재무적인 위험들을 인지,

평가하고 체계적인 대응 시나리오를 마련하는 역할을 수행하며, 정성적 위험의 계량화를

통해 구체적인 경영 계획에 위험관리를 접목시키고 있음.

RMG 는 자연 재해, 신규 경쟁자 등 다양한 비재무적인 위험들을 인지, 평가하기

위해 시나리오 위험관리(Scenario Risk Management)를 활용함. 이러한 시나리오가

기업 경영에 실제적인 도움이 되도록 하기 위해 각각의 비 재무적 위험들을

비용(Cost) 개념으로 측정하고 있음.

또한 위험들을 중요도에 따라 관리하기 위해서 위험 지도(Risk Map)가 활용됨. 이는

여러 가지 비재무적 위험들을 그 심각성과 발생빈도에 따라서 2 차원적 평면에

배치하는 것임. 여기에 80/20 rule 을 적용하여 20%의 위험들에 대해서 80%의

노력을 집중하여 관리하고 있음.

Microsoft의 위험 지도(Risk Map)

1 10 100$1M

$1M

$250M

Ⅱ Ⅰ

ⅢⅣ

LOW 발생횟수 HIGH(Frequency)

E

LOW

손실규모

HIG

H(S

ever

ity)

1 10 100$1M

$1M

$250M

Ⅱ Ⅰ

ⅢⅣ

LOW 발생횟수 HIGH(Frequency)

E

LOW

손실규모

HIG

H(S

ever

ity)

xamplexample

23


IV.

결론

대내외적인 환경의 변화에 따라 경영 위험의 정의 및 위험관리의 역할이 변화하고 있음.

과거 재무적인 영역에 국한되었던 위험관리가 이제는 전사적인 영역에서 기업가치를

저해하는 모든 요인들을 관리하는 형태로 진화하고 있음.

경영 환경의 불확실성 증가, 개별 위험 관리 방식의 효율성 미흡, 정부 및 기관의

규제 증가 등에 대응하기 위해 전사적인 위험을 통합 관리하는 방식, ERM 이

새로운 위험관리의 표준으로 급부상하고 있음.

전사적인 위험관리의 구체적 프레임워크 및 기법 들이 개발됨에 따라 기업들은

여러가지 위험들을 포괄적으로 인지하는 동시에 그에 대한 최적의 대응방안을

강구하고 있음. 뿐만 아니라 대내외적인 보고 및 커뮤니케이션의 질을 개선하여

위험관리의 효율성 제고 뿐만 아니라 기업가치의 제고에도 활용 가능함.

선진 기업들은 이미 전사적인 차원에서 여러가지 위험들을 통합적으로 관리하고

있으며, 자사의 상황에 맞는 프레임워크를 개발하여 효과적인 위험관리를 수행하고

있음. 재무적 위험 뿐만 아니라 비재무적인 위험에 대해서도 구체적인 평가 및

관리 프레임워크를 활용하고 있으며, 이를 실제 위험관리 활동 및 경영 전략

수립에 적극 활용하고 있음.

COSO 의 ERM 프레임워크는 기업이 직면하는 대내외적인 위험들을 효과적으로

관리하기 위한 제반 요건 및 실천 내용들을 자세하게 제시하고 있으며, 향후 기업

위험관리의 모범 기준으로 발전할 가능성이 높은 만큼 이에 대한 충분한 이해와 준비가

필요함.

최근 문제가 되고 있는 회계 부정 및 비리 등 기업지배구조 관련 사건들은 현대의

경영 환경에서 기업들이 직면하는 최대의 위험으로 인식되고 있으며, 이를 미연에

방지할 수 있는 효과적인 위험관리 시스템의 구축이 시급함.

COSO 의 ERM 프레임워크는 기업지배구조 및 내부통제 측면에 입각하여 ERM 의

정의, 필요성, 구성요소 및 가이드라인 등을 구체적으로 제시하고 있으므로 이를

바탕으로 전사적 위험관리의 기본 구조 및 관리 표준으로 활용할 수 있을 것임.

이는 향후 ERM 의 국제적인 모범 기준으로 부상할 가능성이 높은 만큼, 국내

기업들도 ERM 에 대한 심층적인 이해를 서두르는 한편, 도입가능성을 적극

검토하여 위험관리 선진화 및 기업 가치 극대화를 위해 노력해야 할 것임.

24


참고문헌

Barton, Thomas L. and et al. “Making Enterprise Risk Management Pay Off: How Leading Companies

Implement Risk Management”, 1st Edition, Financial Times Prentice Hall, 2002

Committee of Sponsoring Organizations of the Treadway Commission (COSO), "Enterprise Risk

Management Framework", Exposure Draft, 2003

Crouchy, Michel and et al. "Risk Management", McGrow-Hill, 2001

Culp, Christopher L. "The Risk Management Process: Business Strategy and Tactics", John Wiley & Sons,

Inc., 2001

Daniel Montante, "Financial Risk Management: An Earnings-at-Risk Approach", E.I. du Pont de

Nemours & Company, December 6, 2000

Economist Intelligence Group, “Enterprise risk Management; Implementing New Solutions”, 2001

Froot, K.A., D.D. Scharfstein and J.C. Stein. " A Framework for Risk Management", Harvard Business

Review 72(6), 1994

J.P.Morgan/Reuters, “RiskMetricsTM : Technical Document”, Fourth Edition, December 1996

Jorion, Philippe. "Value at Risk: The New Benchmark for Controlling Market Risk", McGrow-Hill, 1997

Lam, James. "Enterprise Risk Management: From Incentives to Controls", John Wiley & Sons, Inc., 2003

Meulbroek, Lisa, "Integrated Risk Management for the Firm: A Senior Manager's Guide", Harvard

University, Feb. 2002

The Institute of Internal Auditors Research Foundation, “Enterprise Risk Management: Trends and

Emerging Practices”, 2001

Montante, Daniel. "Financial Risk Management: An Earnings-at-Risk Approach", E.I. du Pont de

Nemours & Company, Dec. 2000

RiskMetrics Group, “CorporateMetrics™ Technical Document”, First Edition, April 1999

The Conference Board of Canada, “A Composite Sketch of a Chief Risk Officer”, 2002

Tillinghast -Towers Perrin, “Enterprise Risk Management; An Analytic Approach”, Monograph, 2000

25

전사적 위험관리 개념과 사례 „사적_위험...전사적 위험관리: 개념과 사례...

Documents