1/ 리스크는 늘상 경영과 함께 있다. 강도가 작은지 큰지의 차이가 존재할 뿐, 리스크는 사업 목표와 함께 최고경영진이 주의깊게 관리해야 할 대상이다. 2010년 BP가 겪은 최악의 인재 사고인 ‘딥워터 호라이즌’ 유정 폭발도 리스크이며, 사내에서 발생하는 횡령, 차별 등의 사건도 리스크이다.
2/ 리스크에도 유형이 있다.
— [범주1] 예방가능한 리스크: 조직 안에서 발생 가능한 리스크로, 통제가 가능하기 때문에 없애거나 피할 수 있다.
— [범주2] 전략 리스크: 수익률을 키우기 위한 자발적이고 전략적인 리스크를 의미한다.
— [범주3] 외부 리스크: 자연재해나 정치적 문제, 거시경제 변수의 변화 등 통제 불가능한 리스크를 의미한다.
3/ 예방가능한 리스크를 일차적으로 막는 방법은 직원들에게 기업의 목표와 가치를 명확히 설명하는 것이다.
— 사명: 무엇을 최우선으로 삼아야 하는가?
— 가치: 기업을 위기에서 구하는 열쇠이다. 위기 상황에서 어떤 가치를 따라야 하는지 명문화한다.
— 경계선: 무엇을 하지 말아야 할지 정한다. 유능하고 독립적인 사내 감사 부서를 두어 직원들이 사내 규정을 준수하고 표준적인 운영절차를 따르는지 주기적으로 점검한다. 절차 위반을 미리 방지하고, 위반 사태도 사전에 발견 가능하다.
4/ 전략 리스크를 관리하는 방법은 3가지이다.
— 독립적인 외부 전문가를 두어 평가하고, 대비하라
— 실무자의 의견을 공개적으로 취합하라
— 리더 옆에 전문가를 파견하라: 예를 들어, 본사에서 파견한 리스크 전문가가 사업 부서의 리더 옆에서 조언하며 일종의 감시 역할을 통해 큰 위험을 사전에 방지한다.
5/ 통제하기 어려운 외부 리스크를 관리하는 방법은 줄일 수도 피할 수도 없는 리스크이기에, 해당 리스크가 발생했을 때 피해가 어느 정도인지, 어떻게 대비할 것인지 예상해본다.
— 스트레스 테스트: 다만, 지나치게 낙관적으로 예상하는 일은 피해야 한다.
— 시나리오 분석: 5~10년 정도 장기적 분석을 통해 발생 가능한 시나리오를 예측하고, 그것이 어떤 영향을 줄지 예측해본다. 각 시나리오별 최대값과 최소값을 구해 각 시나리오별 충격에 어떻게 대비할 것인지 전략을 고민한다.
— War game 수행: 실제 상황처럼 해당 리스크가 발생했을 때의 상황을 실행에 옮겨본다. 리스크 자체가 발생하는 것은 막기는 어려우나, war game을 통해 기업의 대처 방안을 심도깊게 고민해볼 수 있다.
6/ 예방가능한 리스크는 내부 감사팀 등을 통해 대비해야 한다. 마찬가지로, 전략 리스크와 외부 리스크를 관리하는 부서도 별도로 두어야 한다. 그리고 이들 부서는 최고 경영진의 직속 부서로 두고, 바로 보고할 수 있도록 해야 한다. 위험 상황에서 기업의 생존은 최고 경영자가 위험을 얼마나 진지하게 받아들이냐에 달려 있다.
7/ 리스크 관리는 개인과 조직이 가진 여러 편향에 맞서는 일이다. 규칙을 사전에 정하는 것만으로는 모든 리스크를 관리할 수 없다. 리스크를 효과적으로 관리하기 위해서는 세 가지 범주로 리스크를 이해하고, 각각에 대해 정의한 후, 적합한 조취를 취해야 한다. 적절한 리스크 관리 프로세스 및 조직은 최고경영자가 보고 싶은 대로 보는 경향에서 벗어날 수 있게 해준다.
<Robert S. Kaplan and Anette Mikes , “Managing Risks: A New Framework“, Harvard Business Review (June 2012)>