한참 전부터 risk 관리라는 말이 화두로 떠오르고 trend 가 되고 그러면서도 아직 risk 관리를 위한 비용을 예산에 집어넣기는 망설여지고 고민이 많지요. 리스크 관리를 하자고 하면 회사안에서는 뛰어가는 선수의 발목을 붙잡고 늘어지는 사람처럼 취급받을 것 같기도 하고 무시하자니 좀 불안하기도 하고 그렇습니다. 우선 리스크 관리가 왜 필요한가를 알아보도록 하지요.

리스크는 사업을 할 때나 자기 삶을 살아갈 때 늘 안고 가는 것입니다.

risk taking 하지 않고 이룰 수 있는 게 있나요 ?

늘 안전한 길만 가려고 하는 사람이나 기업은 크게 성공하지 못하는 법이죠.

그러나 어떤 risk 가 있는지 파악하고 준비할 필요는 있습니다.

실패에서 배운다고 하지만, 한 번 실패의 대가가 너무 커서 다시 일어서기 힘들게 되면 곤란하겠죠.

그래서 우리는 현명하게 risk taking 할 필요가 있습니다.

리스크 관리의 목적은 크게 두가지

하나는 회사가 감당할 수 있는 risk 의 한도를 정하고, 그 이상의 risk에 노출되는 것으로부터 회사를 보호하는 것입니다.

두번째는 전략적 의사 결정을 할 때, 그 수익성과 리스크를 함께 고려하여 최적의 투자 결정을 내리는 것이죠.

이러한 리스크 관리는 특정 부서에 의해서 이루어지는 것이 아니라 회사의 프로세스 전반에 integrated 되는 것입니다. 의사 결정을 할 때 risk 를 고려하고 각자 팀에서 자기 업무가 어떤 risk 에 노출돼 있나를 인지하고 대비하는 것이죠.

리스크를 관리한다는 것은 크게 다음 프로세스로 이루어집니다.

RISK IDENTIFICATION  --- > RISK EVAL!UATION --- > RISK MEASUREMENT --- >RISK MANAGEMENT

1) RISK IDENTIFICATION 은 아주 중요합니다. 그 사업에 어떤 risk 가 있는지 모르고 덤비면 안되겠죠.  회사의 규모가 커질수록 risk 파악도 복잡해 집니다. approach 에는 몇가지가 있습니다.

가장 쉬운 방법은 업무 프로세스를 정리하고 그 업무 프로세스에 어떤 리스크가 있는지를 파악하는 방법이죠. risk 의 책임소재가 명확하고 역할 배분이 쉽습니다. 지금 client 회사의 팀별 업무 기술서를 작성중인데요, 전사 업무 기술서가 완성되면 각 업무별로 어떤 risk 가 있는지를 파악하는 일을 시작하려고 하고 있지요.

2) RISK EVAL!UATION 은 likelihood 와 impact 으로 수치화하는 것입니다.

IT SYSTEM FAILURE  가 일어날 확률이 1~5 로 봤을 때 3정도에 해당되고 그 IMPACT 은 1~5중 5라고 보면 RISK의 중요성을 15라고 계산하고, 같은 방법으로 모든 risk 를 수치화하여 각 리스크의 상대적 크기를 보는 것이죠.  무척 수학적 과학적인 것 같으나 실제로는 다음과 같습니다.

IT 팀장과 CFO, 영업부서장 세 명이 앉아 있습니다. 이게 일어날 확률이 얼마일까 각자 의견을 냅니다. 3명이 합의하든가 아니면 각자 점수를 내고 평균을 내든가 합니다. impact 은 최대치를 대략 계산해봅니다. 매출에 직접 영향을 주는 것은 좀 쉬울테고 어떤 것은 여전히 주관적이겠죠.  세명이 아니라 30명 또는 100 명의 주관적  의견을 모으면 그 조직의 합의된 또는 평균치의 risk 가 나옵니다. 따라서 업무를 잘 알고 있는 사람을 involve 하는 것이 중요하겠지요.  이런 방법으로 모든 리스크를 수치화하면 그 이후에 control 해야할 key risk 와 ignore 해도되는 리스크 등으로 정리할 수 있습니다.

3) RISK MEASUREMENT

위의 결과로 반드시 control 해야 하는 key risk 가 정해지면, 그 리스크를 측정할 수 있는 지표가 있어야 합니다.  회사의  business 모델에 따라 다르기 때문에 일률적인 지표는 없습니다.  key risk  의 성격에 따라 지표가 다르게 나오지만, 측정 지표가 있어야만 관리가 가능합니다. 명확한 측정지표가 있을테는 " 조기 경보 " 가 가능합니다.   지표를 daily 로 monitor 하고 문제가 터지기 전에 지표가 악화되는 것을 보고 예방조치를 취하게 되는 것이죠.

4) RISK MANAGEMENT 는 어떤 식으로 관리할 것인가 인데요 risk  에 따라 다릅니다.

고객의 신용도에 관련된 것이라면 < 한도 설정 > 의 방식으로 관리할 것이구요, 상품이나 서비스의 질 저하라면 위에서 예를 든 것과 같은 < 측정지표를 사용한 조기 경보 시스템> 을 갖춰야겠구요, 바이러스에 의한 IT 재난 같은 경우는 < CP : Contingency Plan > 또는 BCP 을 만들어야겠죠. 

이상으로 아주 대략적으로 RISK Management 를 훑어보았습니다.

Risk management 의 목적은 NO LOSS 나 NO WORRY  가 아니라 NO SURPRISE 다 라는 말로 요약합니다.

Posted by 류정화