리스크 관리의 리스크   

2011.03.29 09:00



은행, 증권회사, 보험회사와 같은 금융기관들은 금리, 환율, 유가 등에 시시각각 영향을 받기 때문에 필수적으로 리스크 관리 시스템(RMS)를 갖추고 있습니다(물론 없는 곳도 찾아보면 있겠지만). 요즘에는 금융기관뿐만 아니라 제조업이나 일반 서비스업에서도 환경을 둘러싼 여러 가지 리스크에 대비하기 위해 리스크 관리 기법을 채용하는 회사들이 제법 많아졌습니다.

회사마다 세부적인 내용은 조금씩 다르겠지만, 리스크 관리 체계의 기본적인 얼개는 다음과 같습니다.

먼저 조직 내외부에 존재하는 리스크를 파악합니다. 재무적인 리스크도 있고, 운영적인 리스크도 있습니다. 천재지변과 같은 자연 리스크가 있고, 사람들의 행동과 의사결정에 따른 리스크도 있지요. 이렇게 가능한 한 빠짐없이 기업의 성과에 영향을 미칠 만한 리스크를 인식하는 것으로부터 리스크 관리가 시작됩니다.



그 다음엔 각 리스크의 발생 가능성, 즉 발생확률을 추정합니다. 동시에 리스크가 현실로 나타났을 때 그 영향의 크기가 어떨지를 예측해 봅니다. 그러고는 발생확률과 영향의 크기를 곱해서 위험의 크기를 계산합니다. 예를 들어 공장에 화재가 발생한다는 '재해 리스크'의 확률을 1%이고 공장이 전소됐을 때의 예상 손실액이 100억 원이라고 하면, 이 리스크의 위험은 1억 원이 됩니다.

모든 리스크에 대해 이런 식으로 계산하면, 어떤 리스크가 가장 큰 위협이 되는지가 파악이 되겠죠? 이제 해야 할 일은 리스크를 헷지(hedge)하기 위한 계획을 수립하는 것입니다. 예를 들어 환 리스크를 헷지하려면, 결제 통화의 비율을 조정한다든지 다른 회사에 환 리스크를 전가한다든지 등 여러 방법이 있습니다. 제한적이긴 하지만 운영리스크(직원의 비리, 운영상의 실수 등)에 대해서도 헷지 계획을 수립할 수 있습니다.

이젠 수립된 헷지 계획을 실행합니다. 그러면서 제대로 실행에 옮겨지는지 점검하고, 문제점이 발견되면 기존의 헷지 계획을 수정 보완합니다. 만일 새로운 리스크가 발견된다든지, 발생확률과 영향의 크기가 달라져서 '가장 큰 위협이 되는 리스크'가 바뀐다면 그에 대한 헷지 계획도 수립해야 하겠죠. 리스크 관리는 이와 같이 전형적인 Plan-Do-See의 절차로 이루어집니다. 만일 여러분의 회사가 이와 같은 리스크 관리 체계를 갖추고 있다면, 어떤 리스크가 현실로 나타나도 튼튼하게 대비할 수 있다는 자신감이 들 겁니다.

하지만, 리스크 관리 체계에 대한 지나친 믿음은 오히려 매우 위험합니다. RMS 내에 리스크가 존재하기 때문이죠. 그 리스크는 바로 '블랙 스완(Black swan)'을 사전에 파악하지 못한다는 것입니다. 위에서 리스크 관리의 첫 단계가 조직을 둘러싼 내외부의 리스크를 파악하는 일이라고 했는데, 이 단계에서 '발생확률은 아주 낮지만, 한번 발생하면 그 영향이 상상을 초월하는' 블랙 스완을 찾아내기가 그리 쉽지 않습니다. 아니, 어떤 면에서는 거의 불가능합니다. 설령 인지를 했더라도 '설마 그런 일이 발생하겠냐'며 쉽게 무시 당하기 때문이죠. 또한 광범위하게 리스크를 규명하면 할수록 '자신감 착각'이 강화되기 때문에 블랙 스완을 놓치는 역설에 빠집니다.

이번 일본 원전 사고가 블랙 스완의 전형적인 예입니다. 지진에 철저히 대비해왔던 일본조차 높이 10m 이상의 쯔나미가 몰려올지, 리히터 규모 9.0의 지진이 원전을 위태롭게 만들지를 예측하지 못했죠. 리스크 관리가 다른 산업에 비해 체계적으로 잘 구축된 미국 금융기관들이 서브 프라임 모기지를 대비하지 못해(혹은 알고도 무시해서) 전 세계적인 금융 위기를 몰고 온 것도 역시 블랙 스완의 대표적인 사례죠. 2001년에 발생한 9.11 테러, 최근에 중동을 휩쓰는 '쟈스민 혁명' 등도 역시 블랙 스완입니다.

이상하게도 사고는 예상했던 리스크가 아니라, 전혀 예상하지 않은 리스크게서 발생하고, 그 영향도 매우 큽니다. 아이러니하게도 리스크 관리 시스템은 관리가 가능한 리스크만 대응할 수 있기 때문에 어느 정도 안정되고 질서정연한 산업에서 유용합니다. 관리할 수 없는 리스크(블랙 스완)이 뛰쳐나오는 복잡한 환경에서는 가치가 적죠.

리스크 관리 체계의 두 번째 약점은 발생확률과 영향의 크기를 사전적으로 결정하기가 불가능하다는 것입니다. 발생확률이 1%인지, 80%인지는 매우 자의적입니다. 게다가 미래의 일이라서 아무리 객관적인 정보를 수집한다 해도 발생확률의 정확성을 기하는 데에 한계가 있습니다. 특정 정보 하나가 발생확률을 1%에서 90%로 갑자기 끌어올리기도 하고, 그 반대의 경우도 왕왕 발생하니 말입니다. 그렇기 때문에 '가장 위협이 되는 리스크'가 무엇인지를 잘못 결정할 수밖에 없고, 그에 따라 수립된 리스크 헷지 계획도 무용지물이 되는 일이 허다합니다.

리스크 관리 체계의 세 번째 약점은 리스크 헷지 계획이 '자신감 착각'을 불러일으킨다는 것입니다. 이 착각은 리스크를 파악할 때도 발생하지만, 가장 위협이 되는 리스크를 헷지하기 위해 정교한 기법과 절차를 수립함과 동시에 출현합니다. "자, 이렇게 만반의 대책을 세웠으니 문제 없겠지?" 라며 긴장의 끈을 놓는 것입니다. 또한, 계획을 수립하는 것을 계획을 실행에 옮기는 것으로 혼동하는 '실행 착각'도 발생합니다. 근사한 비전 문구를 액자로 만들어 벽에 걸어두면 그게 저절로 이뤄질 것처럼 믿는 것처럼 말입니다.

블랙 스완이 갑자기 출몰하는 복잡한 상황 하에서는 리스크를 관리할 수 있다는 생각을 버리는 것이 좋습니다. 리스크를 철저하게 관리하겠다는 목표는 매번 좌절될 것이기 때문입니다. 그렇다면 무엇을 해야 할까요? 리스크 관리 체계라도 있는 것이 없는 것보다는 낫지 않느냐, 고 생각합니까?

환경이 복잡해지고 매번 급변한다면 철저한 리스크 관리보다는 '적응'이 생존의 키워드입니다. 미래의 변화를 미리 그려보고 그에 따라 조직의 적응력을 길러가도록 체질을 개선해야 합니다. 일본이 대지진이라는 재앙을 미리 예측하고 대비했느냐는 그렇게 중요하지 않습니다. 그들이 이번 사태를 어떻게 빠르게 회복하고 변화된 환경에 적응하느냐가 그들의 저력을 말해줄 잣대입니다.

사전 대비와 사후 적응 사이에서 균형을 잡는 중용적 시각이 필요합니다. 철저히 대비하는 조직도 좋지만, 빠르게 회복 가능한 적응력을 갖춘 조직으로 만들어 가길 바랍니다.


(*참고도서 : '블랙 스완', '이기는 결정의 제1원칙)


inFuture 아이폰 앱 다운로드       inFuture 안드로이드 앱 다운로드