외환 위험 유형

마지막 업데이트: 2022년 5월 26일 | 0개 댓글
  • 네이버 블로그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 트위터 공유하기
  • 카카오스토리 공유하기
출처. KCGS Report 통권 제143호

01.관지표에 의한 수준별 한도관리를 통한 사전적 리스크관리,02.시스템에 의한 모니터링 및 보고 등을 통한 상시적 리스크관리,03.업무 프로세스의 정립 및 전사적 문화 확산을 통한 자율적 리스크관리

당사의 리스크관리 지배구조는 현업부서에서 감사위원회로 구성되는 3단계 통제관리 체계로 이루어져 있습니다.

리스크관리 지배구조

리스크관리 조직

리스크관리 전담부서인 리스크관리팀은 독립적인 2차 통제기능을 담당하며, 동시에 AXA IM 리스크관리 조직과의 협업을 수행합니다. 투자리스크관리, 운영리스크관리 2개 파트로 구성 리스크 관리정책, 관리체제, 운용성과 측정체제의 구축 및 관리, 투자리스크 한도 설정, 모니터링 및 보고, 운용성과 측정 및 보고, 리스크관리협의회 운영, 결정 및 위임사항의 집행 등을 담당

리스크 관리 조직

리스크관리 규정체계

내부통제기준과 함께 당사는 리스크관리 관련 5개의 규정, 2개의 세칙, 8개 기준 및 2개 Plan이 마련되어 있습니다.

Internal Control Standards table 외환 위험 유형
리스크 규정명칭 규정내용
일 반 위험관리기준 리스크관리 통합 규정, 리스크관리체계, 집합투자재산 및 고유재산의 위험 관리 및 통제 방법, 운영리스크의 관리방법 등
투 자단기금융집합투자기구 리스크 관리기준 MMF의 시가괴리/금리/신용/유동성 등의 한도, 측정 및 관리방법
비교지수 선정기준 집합투자기구의 비교지수 선정 원칙, 선정 및 변경 절차
집합투자기구 위험등급 분류기준 집합투자기구의 위험등급 관리조직 및 역할, 분류기준, 분류 및 변경 방법
채권 등의 투자한도 관리기준 채권 등의 내부 신용등급 분류, 투자한도 설정, 승인절차 및 관리방법
파생상품 위험한도 관리기준 파생상품 위험한도의 관리조직 및 역할, 관리방법
헤지펀드 리스크 관리기준 헤지펀드의 관리조직 및 역할, 유형별 리스크관리, 운용 제한 사항, 재간접 헤지펀드 , 사후관리 및 통제관리 방법
GIPS 준수기준 회사/총자산/운용재량권/Composite 등의 정의, 자료입력 및 계산방법, 공시 및 검증방법
운 영 리스크 관리 Contingency Plan 위기상황의 정의, 분류 및 인식기준, 대응방법
사고보고기준 사고의 분류, 관리조직 및 역할, 보고절차, 사고협의회의 구성 및 운영방법
업무연속성 계획 (BCP) 위기관리조직 구성, 위기상황 시나리오 및 복구절차, 대체사업장 및 대피장소, Call Tree
업무프로세스 관리기준 관리조직 및 역할, 관리 원칙 및 절차
EUC (End User Computing) 관리기준 사용자 응용프로그램에 대한 정의서 작성 및 관리, 통제 점검표 작성 및 관리 사항

보고 및 모니터링 체계

보고 및 모니터링 체계

  • 담당업무에 대한 일상적 리스크 관리
  • 업무 오류 및 손실 사고에 대한 보고
  • 업무담당부서에 대한 모니터링 및 경영진/협의회/위원회 보고
  • AXA IM과의 정보공유 및 업무협력
  • 리스크 기본 방침 및 전략수립
  • 투자 및 손실한도 결정
  • 리스크 관리업무에 대한 독립적인 감사
  • 주요 리스크 사항에 대한 감사위원회 보고

리스크관리체계에 컴플라이언스에 대한 내용입니다.

교보악사자산운용의 컴플라이언스는?

교보악사자산운용은 건전한 자산운용을 도모하고 고객의 이익을 보호하기 위하여 관련법규에서 정하고 있는 컴플라이언스(Compliance) 팀을 조직하여 독립된 준법감시체제를 구축 및 운영하고 있습니다. 당사의 Compliance는 임직원의 법규준수 실태를 점검 및 시정하고 이사회와 경영진의 법규준수에 대한 자문업무를 수행합니다.

또한 회사의 자산운용과 관련된 법령 및 선관주의 의무준수를 위해 절차와 기준을 정하여 그 결과를 지속적으로 모니터링 합니다. 아울러 내부통제기준의 준수와 관련하여 Compliance연수프로그램의 정기 및 수시시행으로 전임직원 Compliance mind를 제고하며, 팀별 컴플라이언스 체크리스트 점검을 통해 스스로 내부통제기준을 준수할 외환 위험 유형 수 있게 하여 원천적인 위규방지를 위해 노력하고 있습니다. 교보악사자산운용은 법령 및 내부통제기준의 철저 준수를 근간으로 투명한 운용이 될수 있는 기반 구축을 통해 고객의 이익을 최우선으로 하는 기본에 충실한 자산운용사가 되도록 계속 노력할 것입니다.

컴플라이언스 조직 구성

  • 01. Compliance 역량강화를 회사의 경영혁신 추진과제 선정
  • 02. 준법감시인 조직 독립화로 역할 및 기능 강화
  • 03. 1999년 9월부터 Compliance팀 구성 및 컴플라이언스시스템 구축으로 업계 선도

운용관련 컴플라이언스 프로세스

  • 사전적 관리 및 사후적 관리의 병행 처리 운용전 시스템을 통한 사전컴플라이언스 점검 익일 마감후 재점검으로 위규사항을 운용팀에 통보
  • 운용기준의 확립 : 관련법 및 약관 등 Legal Risk 최소화 운용과 매매의 분리(Trader와 Fund manager의 분리) 운용지시원칙(펀드간 공평한 분배 기준 확립) 중개회사 선정원칙(Best Execution Policy)
  • 사전 컴플라이언스 처리절차사후 컴플라이언스 처리절차컴플라이언스 보고절차

리스크관리체계에 컴플라이언스에 사전컴플라이언스 처리절차에 대한 내용입니다.

※ 사전적 컴플라이언스 : 매니저가 운지시 확정전에 모의운용 및 가상매매등을 통하여 편입비등 위규사항을 사전 체크

  • 사전컴플시스템은 위규검색용이며 팀별/매니저별 법규위반현황을 디스플레이함
  • 운용시 추가적인 한도초과여부를 즉각적으로 돌출box로 알려주며, 운용전에 시뮬레이션
    화면을 통해서도 한도초과여부를 점검할 수 있도록 함
  • 사전 승인이 필요한 부문은 준법감시인에게 양식(Certification)에 의거 승인요청(Confirm)
  • 승인시에만 업무처리 가능

내부통제기준 준수 및 Moral Hazard방지

자본시장과 금융투자업에 관한 법률 및 동법 감독규정을 근간으로 한 내부통제기준 제정으로 윤리의식 고취하고 불공정 거래를 통제함

내부통제기준상 준수사항 임직원의 유가증권거래 제한 및 임직원의 대외활동(겸직금지) 불공정행위금지 및 법규준수의 의무, 불법/부당행위의 금지 비밀정보관리(Chinese Wall, 필요성에 의한 제공원칙) 대외기관, 대중매체 접촉 사전승인 및 중개회사로부터의 수혜(Soft Dollar)제한 기타 관계사간 거래행위 제한 등 선관주의 관련 모든항목 준수

리스크관리체계에 컴플라이언스에 사후 컴플라이언스 처리절차에 대한 내용입니다.

※ 사후적 컴플라이언스 : 매니저의 운용완료후 운용지시 입력과정에서와 기준가격을 산출하는 과정에서 최종적으로 위규사항을 검색

  • 컴플시스템을 이용하여, User가 직접 Daily로 1차적인 법규위반여부를 점검하고, 1일내
    사후조치(실제해소)를 함
  • 경위서(사유서) 작성 주간단위 사항
  • 법령 등 위반사항에 대해 Daily로 해소요청
  • 적시 시정이 이루어지지 않을 경우, 사안의 중대성을 참작하여 적절한 조치함
  • 컴플라이언스 위반관리 제도를 이용하여 운용역별로 종합적인 위규관리를 시행하고 있음

리스크관리체계에 컴플라이언스에 컴플라이언스 보고절차에 대한 내용입니다.

컴플라이언스 보고절차의 구분,보고내용으로 구성된 표
구분 보고내용
일보(수시) 매일(수시) 컴플라이언스팀에서 작성하여 운용팀에 통보하며 중대한 위반행위에 대해서는 수시로 CEO 보고
주보 매주 컴플라이언스팀에서 작성하여 운용팀에 통보 후, 경위서를 수령
월보 주보를 누적하여 매월 컴플팀에서 작성, CEO 보고
컴플교육실시 정기교육 : 전임직원 년간 교육계획에 따라 시행 (감독기관등 외부인사 초청강연등)

개인정보처리방침

개인정보처리방침 ‘교보악사자산운용’(이하 '회사') 개인정보보호법등 관련법상의 개인정보보호 규정을 준수 합니다. 당사는 홈페이지에서 개인정보를 수집 및 처리하지 않고 있음을 알려드립니다. 향후 당사의 홈페이지를 통해 개인정보를 수집.처리할 경우 ‘개인정보처리방침’을 개정하여 개인정보보호법 제30조에 따라 다음 사항을 웹사이트 공지사항을 통하여 안내해 드리 겠습니다.

1.개인정보 수집항목 및 처리목적 해당사항없음

2.개인정보의 처리 및 보유기간 해당사항없음

3.개인정보의 제 3자 제공에 관한 사항 해당사항없음

4.개인정보처리의 위탁에 관한 사항 해당사항없음

5.직원의 권리, 의무 및 행사방법 해당사항없음

6.개인정보의 파기 절차 및 방법 해당사항없음

7.개인정보 안전성 확보조치 해당사항없음

신용정보활용체제

신용정보활용체제 『신용정보의 이용 및 보호에 관한 법률』 제 31조 및 신용정보의 관리 및 보호에 관한 기준 제10조에 따라 당사가 관리하고 있는 신용정보의 활용체제에 대하여 다음과 같이 공시합니다. ※ 당사는 개인고객의 신용정보를 수집·처리하지 않으며, 따라서 본 신용정보활용체제는 기업 및 법인의 신용정보에 적용됩니다.

■ 이용목적 및 신용정보의 종류 1. 이용목적
가. 고객 및 거래상대방 확인
나. 집합투자재산 및 투자일임재산의 운용
다. 기타 동법 및 다른 법률의 규정에서 정한 경우

2. 신용정보의 종류
가. 식별정보 - 기업 및 법인의 상호, 사업자·법인 등록번호, 대표자 성명 등
나. 신용거래정보 - 기업 및 법인의 금융거래정보
다. 신용능력정보 - 회사의 개황, 사업의 내용 등 일반정보, 재무에 관한 사항 등

■ 제공대상자, 제공받는 자의 이용목적 및 제공하는 신용정보의 종류 1. 제공대상자
가. 신용정보집중기관 (한국신용정보원)
나. 금융투자협회, 한국예탁결제원, 한국거래소, 금융투자업자
다. 기타 동법 및 다른 법률에 의해 제출을 요구하는 공공기관 등

2. 제공 받는 자의 목적
가. 금융기관에 대한 신용정보를 집중·수집·보관·제공
나. 기타 동법 및 다른 법률의 규정에서 정한 목적

3. 제공하는 신용정보의 종류
식별정보, 신용거래정보, 신용능력정보, 공공기록정보 중 동법 및 다른 법률의 규정에 의해 제공 가능한 정보

■ 보유 및 이용기간, 신용정보 파기 절차 및 방법
1. 보유 및 이용기간
당사가 제공하는 금융서비스를 제공 받으시는 경우 신용정보는 당사의 서비스 중단 시까지 보유·이용하게 됩니다. 단, 상기의 보유 및 이용기간은 법령 및 감독규정에서 요구하는 바에 따라 달라질 수 있습니다.
2. 신용정보 파기절차 및 방법 신용정보는 당사의 내부통제기준, 문서관리기준 등 내부규정에 따라 해당 정보를 취급·관리하는 자가 파기하고 소관부서장이 확인합니다. 종이 문서의 경우 분쇄 또는 소각처리하고 전자적 파일의 경우 기록을 재생할 수 없는 방법으로 삭제합니다.

■ 신용정보처리를 위탁하는 경우에 그 업무의 내용 및 수탁자 1. 수탁자 신한아이타스 2. 위탁 업무 집합투재자산 및 투자일임재산의 회계처리 등

■ 신용정보주체의 권리와 그 행사 방법 1. 본인신용정보 제공ㆍ열람청구권 신용정보주체는 본인의 신분을 나타내는 증표를 제시하고 당사가 보유하고 있는 본인 신용정보의 제공 또는 열람을 청구할 수 있습니다.
2. 본인신용정보 정정청구권 신용정보주체는 본인의 신용정보가 사실과 다른 경우에는 정정을 청구할 수 있습니다.
3. 신용정보제공사실의 통보요구권 신용정보주체는 최근 1년간 본인에 관한 신용정보를 제공한 내역을 통보하도록 요구할 수 있습니다.

외환 위험 유형

오늘날 급변하는 비즈니스 환경에서 리스크 관리는 기업의 필수 사항 중 하나로 떠올랐다. 나아가 증가하고 있는 컴플라이언스 이슈 역시 전사적 리스크 관리의 필요성을 요구하고 있다. 하지만, 전사적 리스크 관리의 필요성에도 불구하고, 기업의 대응은 단편적이고, 부분적인 적용에 그치고 있는 것이 현실이다. 주요 자산에 대한 보호 및 IT 서비스의 지속적인 가용성과 내부 보안 통제를 통해 보안 위험을 완화하는 전사적 리스크 관리(ERM)에 대해 알아본다.

연재순서
1회 : 기업 리스크 관리의 중요성(이번호)
2회 : IT 보안의 리스크 관리

서경구 // 한국CA 수석 컨설턴트
[email protected]

업계 및 시장의 여러 요인으로 인해 기업의 리스크 관리(Risk Management)가 경영진 및 이사진에게 점점 더 중요한 요소가 되고 있다. 이러한 요소는 법적 요구 및 업계 차원의 요구라는 형태로 모든 기업 활동에 대한 적지 않은 감독 강화를 가져왔다. 이 외에도 향상된 가시성과 최근의 여러 기업 보안 침해 사고로 인한 재정적 영향으로 인해 어떠한 형태로든 리스크 관리는 모든 기업의 최우선 사안이 되고 있다.
전사적 리스크 관리(ERM ; Enterprise Risk Management) 프로그램에 있어 가장 중요한 요소 중 하나는 IT 보안 리스크이며, IT 보안 리스크 관리에 있어 가장 중요한 요소는 기업의 주요 자산에 대한 보호 및 IT 서비스의 지속적인 가용성이다. 기업의 자산에 대한 보호 및 서비스 연속성에 내재된 위험을 적절히 완화하고 최소화한다면, 기업에 미치는 전반적인 위험은 현저히 감소될 수 있으며, 강력한 내부 보안 통제의 적용은 IT 보안 위험의 완화는 물론 규제준수를 더욱 용이하게 할 수 있다.
이번 글에서는 기업의 리스크 관리 프로그램에 필수적인 요소를 검토하고, 리스크의 유형 및 기업의 허용한도 수준을 토대로 위험을 처리하는 방법에 대해 살펴본다. 또 IT 보안 리스크 관리의 기본적인 요소를 설명하고, IT 보안 침해 리스크를 현저히 감소시키는 데 이용할 수 있는 몇 가지 기술 솔루션에 대해서도 알아본다.

기업 리스크 관리의 중요성
전통적으로 기업의 리스크 관리는 대부분의 기업에서 기껏해야 비공식적이고 자체적인 방법으로 이뤄져왔으며, 대개 관련된 사내 다른 부서와 협조없이 독립적으로, 각 부서 또는 각 사업부가 자체적인 운영 리스크를 줄이는 방식으로 관리되고 있다. 설상가상으로 리스크 관리는 모든 운영 절차 및 의사 결정 절차의 일부로 포함돼야 하는 공식적인 규정이 아니라 대개 부수적인 문제로 취급돼 왔다.
최근 이 같은 접근 방식의 결과는 뼈저리게 분명해졌다. 많은 요소들로 인해 리스크 관리가 공식적인 규정이 되는 사고의 전환이 요구된 것. ▲기업리스크의 복잡성 및 상호 의존성의 증가 ▲법적요구의 증가 ▲글로벌화 확대 ▲파국적인 손실에 대한 가시성 증대 등이 바로 리스크 관리의 중요성을 증대시킨 요인이다.

● 리스크의 복잡성 및 상호의존성 증가 - 오늘날의 비즈니스 환경은 과거에 비해 아주 복잡해졌다. 온라인 애플리케이션 및 데이터 가용성 증가, 복잡한 협력업체 및 공급업체 관계 확장, 그리고 오늘날의 경제 변화 속도는 기업이 현재 생각해야 하는 것보다 더 많은 리스크가 존재한다는 것을 의미한다. 게다가 리스크는 그 자체만으로 끝나는 경우가 드물다. 즉, 서로 관련되는 경우가 많고, 관리하기가 어려울 뿐만 아니라 비즈니스의 한 영역에서 장애가 발생하면 다른 영역에도 커다란 파급효과가 발생하게 됐다.
● 법적 요구 증가 - 최근 발생한 기업 부정 사건에 따라 컴플라이언스는 지난 몇 년간 급격한 증가세를 보였으며, 이제 기업은 법률 및 업계에서 요구하는 때때로 명확하지 않고 복잡한 요구사항을 준수해야만 하게 됐다. 나아가 컴플라이언스는 오늘날 개인에게까지 영향을 미칠 수 있게 강화되고 있다. 이제 CEO는 자사의 컴플라이언스를 ‘개인적’으로 책임지게 됐으며, 이러한 요인은 법조문과 그 개념 모두를 따르려는 강력한 동기가 되고 있다.
● 글로벌화 확대 - 많은 기업의 지리적 확대, 그리고 규제준수를 요구하는 국제적 규정의 복잡성은 리스크가 전세계적인 차원에서 관리돼야 한다는 점을 암시한다. 예를 들어 고객 정보를 해외 자회사에 제공하는 단순한 행위도 상당한 법적 리스크를 일으킬 수 있는 것이다. 이 외에도 기업이 비용을 절감하면서 신규 비즈니스 분야로 확장하려는 추진력은 고민과 리스크를 만들어내며, 이는 신중한 관리가 필요하다.
● 파국적인 손실에 대한 가시성 증대 - 파국적인 재정 손실 및 기업 이미지 실추를 겪는 기업에 대한 이야기는 오늘날 뉴스에 넘쳐나고 있으며, 그 중 다수는 기업의 외환 위험 유형 몰락으로 이어지고 있다. 월드컴(Worldcom), 엔론(Enron) 등은 모든 수준에서 리스크 관리 및 통제에 실패한 기업의 본보기라 할 수 있다. 이 명단에 끼고 싶어하는 기업은 없을 것이며, 따라서 기업 리스크 관리를 위한 새롭고 보다 엄격한 기법 및 통제가 대두되고 있다.

이러한 요소들은 기업이 공식적인 리스크 관리 프로그램과 주도권에 접근해야 하는 중요한 이유들 중 몇 가지다. 리스크 관리는 보다 잘 알려진 ROI, 비용절감과 함께 가장 중요한 비즈니스 필수요소로 떠오르고 있는 것이다.

전사적 리스크 관리
누구나 무엇이 위험하고, 여기에 포함되는 영역은 무엇인지 정도는 직관적으로 알고 있다. 그러나 ERM은 개별적이고 독립적인 위험 처리, 그 이상을 의미한다. 가트너 그룹(Gartner Group)은 위험을 ‘손실 가능성 또는 손실에 노출될 가능성’이라 정의하며, “ERM은 손실을 감소시킬 뿐만 아니라 기회를 활용하기 위한 체계적이고 공식적인 리스크 관리”라고 설명한다. 즉, 리스크 관리란 조직과 조직의 전략적 임무 수행 능력의 보호를 지향한다.
ERM의 목표는 리스크를 처리할 중앙 관료주의를 만드는 것이 아니라, 기업 전반에서 모든 형태의 리스크를 처리하기 위한 지속가능하고 효과적인 방법론을 만드는 것이다. 이는 리스크 관리가 기업의 모든 의사 결정에 포함돼서 전체 조직 차원에서 모든 구성원에 의해 이뤄지는 프로세스가 될 때에만 가능하다. 리스크 관리 프로그램은 전반적인 기업 거버넌스, 효율성 및 효과 면에서 상당한 이익이 될 수 있다.
하지만, ERM 프로그램의 가치가 널리 인식됐음에도 실제 채택은 여전히 제한적으로 나타나고 있는 것이 현실이다. 컴플라이언스위크(Compliance Week)는 비즈니스 임원 대상의 한 조사에서 기업의 91%는 ERM의 가치를 ‘긍정적으로 고려한다’고 응답했지만, 그 중 11%만이 ERM 프로그램을 완전히 구현하고 있다고 보고했다.
이처럼 제한적인 채택이 그리 놀랄 일이 아닌 것은 ERM 구현에 내재되어 있는 몇 가지 과제 때문이다. 복잡하고, 때로는 알려지지 않은 위험을 사업부 전반에서 관리하는 일은 조직에 있어 상당히 까다로운 과제가 된다. 또 복잡성과 종종 상충되는 성향을 가진 국제적인 요구사항은 규제 위험 관리를 매우 어렵게 만들고 있다. 마지막으로는 기업이 추종할 만한 지침을 제공하기 위한 업계 모범 사례에 대한 경험이나 지식이 충분하지 않다. 그 결과 많은 기업이 공식적인 ERM 프로그램의 필요성은 알지만, 수행 방법이나 그 과정에 도움을 주기 위해 어떤 기술을 채택할지 확신이 없으며, 이는 제한적 형태의 ERM 방법론 채택으로 나타나는 것이다.

위험의 분류
ERM에는 어떤 유형의 위험이 포함될까? 그 이름이 암시하듯, ERM에는 평범하지 않은 방식으로 기업에 영향을 미칠 수 있는 모든 위험이 포함돼야 한다. 대부분의 기업이 당면하고 있는 리스크를 크게 구분해보면 다음과 같다.

● 위해적인 리스크 - 화재, 홍수, 도난 등
● 재정적 리스크 - 가격, 신용, 인플레이션 등
● 전략적 리스크 - 경쟁, 기술 혁신, 규제 변경, 브랜드 이미지 손상 등
● 운영 리스크 - IT 용량, 비즈니스 운영, 보안 위협 등

이 같은 유형의 리스크는 모두 기업이 모니터링 및 관리할 중요한 것들이며, 극단적인 경우 각각의 리스크가 기업에 파국적인 사태를 불러올지도 모른다. 이 가운데 가장 예측 가능성이 높고 가장 다루기 쉬운 유형의 리스크는 운영 리스크다. 운영 리스크는 기업의 일반적인 운영과 관련되며, 따라서 내부 통제의 개선·강화에 가장 쉽게 영향을 받는다.
운영 리스크는 그 성격에 따라 내부적인 것과 외부적인 것으로 나눌 수 있으며, 내부적인 운영 리스크로는 ▲인력(인력의 손실, 전문 지식 부족, 인력 감축 등) ▲프로세스(부적절한 프로세스 통제, 합병 등) ▲기술(부적절한 시스템 보안, 시스템 신뢰성, 기술적 쇠퇴 등) 등을 예로 들 수 있다. 외부적인 운영 위험의 예에서도 ▲프로세스(법률 사항, 공급자 및 협력업체에 따른 리스크 등) ▲기술(물리적인 보안, 데이터 보관 사이트 등)과 같은 유사한 내용이 포함된다.
리스크는 어떻게 해서든 피해야만 하는 것은 아니다. 리스크를 신중하게 적절한 수준에서 수용할 때에만 비즈니스가 성장한다. 리스크 중 일부는 정상적인 비즈니스 과정의 일환으로 수용할 수 있고, 또 수용해야만 한다. 각 유형별 리스크를 처리를 위해 취할 수 있는 일반적인 접근법은 네 가지다.

● 회피 - 특정 리스크가 제거되도록 활동을 변경한다.
● 이전 - 리스크의 일부 또는 전체를 다른 주체로 이전한다(보험, 제휴관계 등).
● 완화 - 리스크 및 손실의 심각성을 낮추기에 충분한 통제 및 척도를 생성한다.
● 수용 - 리스크 및 제반 비용을 수용한다.

사용할 적절한 접근법은 리스크의 유형과 영향의 심각성에 크게 좌우된다. 은 기업의 여러 리스크 유형을 처리하는 방법에 대해 유용한 일반 원칙을 그림으로 나타낸 것이다.
은 본질적으로 다양한 리스크를 간편한 박스로 분류하려는 시도다. 그러므로 단지 개념적인 얼개에 불과하며, 오늘날 여러 비즈니스 리스크의 복잡성을 모두 포함하는 것은 아니다.
각각의 활동을 간략하게 살펴보자. 리스크에 대한 회피는 어려운 일이고, 때로는 비즈니스 선택을 상당히 제한한다. 즉, 리스크를 완전히 제거하는 것은 기업의 성장에 부정적인 영향을 더 크게 미칠 수도 있다. 리스크 전이로 재정적 이익을 볼 수도 있지만, 대개 그 보상이 기업의 비즈니스 요구사항을 만족시킬 만큼 충분치 않다. 예를 들어 제조 플랜트의 손실을 재정적으로 감당할 수 있다 하더라도, 이러한 손실이 파국에 이르도록 부정적 영향을 미칠지도 모른다.
알다시피, 가장 일반적인 접근법은 리스크 완화다. 여기에는 손실 위험을 줄이기 위한 ‘통제’ 생성뿐만 아니라 현재의 위험이 항상 정확하게 분석되도록 보장하는 ‘모니터링 기능’ 생성과도 관련이 있다. 통제의 규모와 수준은 전반적인 비즈니스에 대한 리스크의 심각성에 크게 좌우된다. 리스크에 따라 지속적이고 대단히 사전 예방적인 모니터링 및 분석이 요구되기도 하고, 약간은 덜한 사전 예방적인 관리가 요구되기도 한다.
리스크 완화는 이러한 통제를 구현하는 데 도움이 되는 기술 솔루션으로 가장 쉽게 다룰 수 있는 접근법이기도 하다.

리스크 관리 프레임워크
ERM 프로그램의 목표는 기업 전체의 운영 및 의사 결정 정책에 포함되는 환경 및 인프라를 생성하는 것이다. 일반적으로 이러한 프로그램의 성공이 보장되려면 몇 가지 기본 요소가 널리 통합되고 전달돼야 한다.
는 이러한 모델을 그림으로 나타낸 것으로, 이러한 모델이 전반적인 ERM 프로그램에 어떻게 영향을 미치는지 단계별로 살펴본다.

1) 기업 리스크 관리 전략
첫 단계는 기업 임원진에 의해 이뤄지는 전략 단계다. 이는 수용된 기업 리스크 허용한도를 구체적인 정책으로 공식화하는 역할을 하고, 기업의 나머지 부분에서는 이를 따르게 된다. 여기에는 일반적으로 기업 리스크의 범주와 정의, 존재할지 모를 리스크의 수준 결정, 그리고 기업 전체가 허용할 외환 위험 유형 수 있는 리스크 수준에 대한 지침 설정이 포함된다.
이어서 각 사업부가 수용할 수 있는 리스크 수준을 결정하고, 각 사업부별로 모두 전달해야 하며, 이 때 대상 시장 및 재정적 환경의 특성에 따라 각 사업부마다 리스크 허용한도가 다르게 제시될 수도 있다. 그 다음 작업은 각 사업부가 해당 리스크 허용한도 지침대로 당면한 구체적인 상황을 ‘운영’하는 일이다.

2) 리스크 계획 및 분석
각 지침이 임원진에 의해 생성되고 나면 운영 부서로 넘어가 일상적인 비즈니스 계획 및 결정의 지침 역할을 하게 된다. 사업부는 비즈니스가 직면한 리스크의 상세 분석과 리스크가 비즈니스에 미치는 잠재적 영향에 따라 분류를 시작하며, 분류에 따라 리스크가 과 같은 리스크관리 매트릭스의 사분면 중 한 곳에 배치된다.
각각의 리스크를 분석 및 분류한 이후에는 각 리스크의 처리 방식에 대한 설명을 포함하는 리스크 대응 계획을 세워야 한다. 경우에 따라, 리스크는 단지 ‘비즈니스 운영비용’일 수 있고, 리스크를 제거하기 위한 구체적인 조치 및 계획 없이 수용될 수 있지만, 이외의 대부분의 경우에는 리스크와 각 리스크의 영향을 현저히 낮추는 통제 및 모니터링 기능 생성 방법에 대한 설명을 포함하는 완화 계획을 개발해야 한다.
다음으로 리스크 완화 시의 비용/이익 분석(cost/benefit analysis)을 수행한다. 경우에 따라 완화 비용이 부정적인 영향에 비해 더 클 수 있는데, 이때에는 다른 대체 조치(리스크를 이전 또는 수용 등)가 보다 적절할 수도 있다. 그렇지만, 대부분의 경우에는 구체적인 계획에 따라 각각의 결과에서 전반적인 리스크가 통제된다는 면에서 상당한 이익이 될 수 있다.

3) 리스크 관리 및 모니터링
다음 단계에서는 실제로 통제를 생성 및 구축해서 리스크를 줄이고 통제의 성공 여부 및 효과를 모니터링 한다. 리스크의 가능성이나 영향을 줄일 수 있는 것은 모두 통제에 해당된다. 즉, 기술 솔루션이 될 수도, 절차 개선이 될 수도, 아니면 양쪽 모두와 비슷한 것이 될 수도 있다.
전체 ERM 프로세스에서 기술 채택이 가장 심도 깊은 효과를 지닐 수 있는 것이 바로 이 분야다. 예를 들어, IT 보안의 경우에는 입증된 기술 및 솔루션의 채택을 통해 특정 위협 또는 리스크가 극적으로 통제될 수 있다. 이러한 접근법은 지속 가능한 플랫폼을 생성시켜, 꾸준히 리스크 감소를 돕고, 보안을 강화할 뿐 아니라 전반적인 IT 보안 관리 비용을 절감시키는 경우가 많다. 보호되는 애플리케이션, 데이터, 시스템에 비승인 사용자가 접근 가능한 리스크는 ‘수용’으로 분류할 수 있는 것이 아니며, 이러한 리스크를 통제할 수 있는 강력한 액세스 관리 솔루션을 사용해 인적으로 가능한 만큼 리스크를 낮춰야 하는 것이다.
마찬가지로 여러 기업의 주된 리스크는 직무 분리 위반과 관계된다. 특정 인물이 정의된 업무 기능에서 필요한 것보다 더 많은 권한을 갖게 되는 상황으로, 매우 흔한 사례 중 한 가지는 실제로는 액세스 권한이 덜 필요한데도 전체 시스템에 대한 슈퍼유저 액세스 권한을 가진 사람들이 많은 것이다. 이 경우 누군가가 비즈니스 트랜잭션을 시작할 수 있을 뿐만 아니라, 해당 비즈니스 트랜잭션을 승인하는 ‘최악의 경우’가 발생할 수 있다. 이러한 상황은 부정사용의 가능성도 높으므로, 어떻게 해서든 이를 감소시켜야 한다.
이러한 내부 통제는 규제준수에서 요구하는 것과 동일하다는 점에 유념해야 한다. 관련된 규정과 관계없이 일련의 강력한 내부 보안 통제는 각 규정이 요구하는 본질이며, 내부 통제가 생성되면 리스크 관리 및 저하에 도움이 될 뿐 아니라 동시에 규제준수 요구사항 충족이 손쉽게 될 수 있다.
이 단계의 필수 요소는 각 통제의 효과를 지속적으로 모니터링하는 것이며, 여기에는 현재의 통제에 대한 모니터링 및 보고뿐만 아니라 비즈니스 환경의 변화를 기초로 리스크 및 완화 계획을 지속적으로 재평가하는 것이 포함된다. 새로운 리스크가 등장하고, 기존의 리스크가 증가 및 감소함에 따라 리스크 관리 계획과 리스크 완화 역할을 하는 통제 세트에 변경이 필요하다.
모니터링이 필요로 하는 일은 무엇일까? IT 보안인 경우에는 보안 이벤트 보고, 보안 문제 확인을 위한 자동화된 이벤트 필터링 및 상관관계, 모든 사용자가 필요한 액세스 권한 수준만 갖도록 하는 인증, 직무 구분 위반 검색 및 정정 등이 관련될 수 있다. 또 다중 인증 시도 오류 등 특정 이벤트의 분석뿐 아니라 이벤트 동향 분석도 모니터링에 포함돼야 한다. 때로 보안 문제는 일정 기간 동안의 이벤트 동향 관찰에 의해서만 확인될 수 있는데, 이러한 유형의 모니터링에는 사람의 개입이 요구되는 경우가 종종 있지만, 효과적인 보안 이벤트 관리 솔루션을 사용하면 많은 부분 자동화가 가능하다.

4) 통제 최적화
내부 통제 및 그 효과는 지속적으로 분석이 이뤄져야 한다. 정의한 리스크 관리 전략에 변경을 일으킬 수 있는 요소는 여러 가지가 있다. 새로운 리스크의 외환 위험 유형 등장, 기존 리스크의 우선순위 변경, 완화 기법의 실패 등이 그것이다. 즉, 비즈니스 상황에 따라 리스크 허용한도를 손쉽게 변경함으로써 상황이 순조로울 때는 보다 많은 리스크를 수용해야 한다.
통제 최적화란 이처럼 모니터링 활동을 이용해 각각의 리스크 관리에 사용되는 통제를 동적으로 수정할 것이란 의미에 불과하다. 리스크란 항상 다소간은 동적이기 때문에 이것은 끝없는 과정이다. ‘꼭 맞는’ 통제란 없고, 그저 ‘보다 좋게’ 만들 뿐이다.

5) 컴플라이언스 보고서
최종 단계는 일반적으로 컴플라이언스를 위한 IT 감사용 보고서 및 정보 생성과 관계된다. 여기에는 규제 감사자를 위한 구체적인 보고서뿐만 아니라 컴플라이언스 수준의 판단을 돕기 위한 내부용 보고서도 포함된다.
이 단계는 엄밀히 ERM의 일부는 아니지만, 전반적인 전사적 리스크 관리(ERM)를 위한 노력에 의해 생긴 결과로서 자연스러운 결과라는 점에 유념한다. 효과적인 컴플라이언스에서 ERM이 이토록 중요한 것은 바로 이 점 때문이다. ERM은 모든 종류의 전사적인 공격성 리스크를 관리하기 위한 프레임워크를 제공하고, 내부 통제를 생성시켜, 이러한 리스크를 교정할 뿐만 아니라 컴플라이언스 목표 달성을 입증하는 보고서 및 정보를 제공한다.

성공적인 리스크 관리의 원칙
리스크 관리에 대한 높아진 관심에도 불구하고, 현재 실천은 상대적으로 비효과적인 상태이라고 분석할 수 있다. 여러 기업에서 주로 자체적으로 결정된 우선순위 및 비즈니스 요구에 따라 각 사업부마다 독립적으로 리스크 관리가 이뤄지는 것이 주된 배경으로 자체적인 노력에 대한 중앙의 감독 또는 가시성이 부재하는 경우가 많으며, 그 결과 기업 전반에서 일관성이 결여되게 된다. 이는 각 사업부가 준수해야 하는 공통적이고 일관성 있는 리스크 관리 프레임워크가 부재하고, 그 결과 리스크 관리에 대해 상이하고 ‘고립적인’ 일련의 접근법이 나타난다는 의미다.
그렇다면, 성공적인 리스크 관리 프로그램은 어떤 속성을 지녀야 하는가. 이러한 프로그램의 보다 중요한 특성 중 일부를 제시하면 다음과 같다.

● 전사적인 ERM 프레임워크 - 전사적인 수준의 리스크 관리 우선순위 및 정책을 기반으로 기업 전반에서 리스크 관리가 일관되게 이뤄져야 한다. 이를 위한 가장 효과적인 수단은 공통적인 프레임워크를 각 사업부에서 채택하는 것으로, 공통적인 모델을 사용해 리스크에 대한 의견 교환을 할뿐만 아니라 일관성 있는 기법을 사용해 리스크를 관리할 수 있다. COSO, ERM 프레임워크는 이러한 목적으로 사용이 가능한 일반적으로 인정받은 프레임워크다.
● 지속적인 관리 및 측정 - ERM 프로그램이 얼마나 잘 가동되는지를 구체적으로 측정해 성공, 또는 결여 여부를 끊임없이 모니터링 해야 한다. 리스크 관리 활동 통제에 사용되는 ‘스위치’를 조정하기 위해 이 정보는 추후에 전사적 수준으로 통합돼야 한다.
● 리스크 관리는 전직원 업무의 일부분 - 리스크 관리 전략 및 목표에 대한 의견교환이 기업 내 어디서든 존재해야 한다. 이것이 성공하려면 ERM 프로그램이 모든 직급에서 ‘모든 직원의 업무’가 돼야 한다.
● 진행중인 ERM 프로그램에 대한 중앙 통제 및 가시성 - 사업부는 사내 지침에 따라 적절하게 리스크를 관리할 책임이 있다. 이를 위해서는 전체 기업의 리스크 관리 이니셔티브 운영을 모니터링 하는 일종의 중앙 기관이 필요하다.
리스크 관리 노력에서 가장 중요한 요소는 리스크를 수용 가능한 수준으로 관리하는 것이다. 전적으로 리스크가 존재하지 않는 인프라를 실제 목표로 삼는 것은 불가능하다. 리스크를 극히 낮은 수준으로 줄이는 것마저도 비즈니스 성장을 부적절하게 압박할 지도 모른다. 기꺼이 수용하고자하는 리스크 수준은 여러 요인에 의해 좌우되며, 그 가운데 이벤트의 잠재적인 영향, 전사적 위험 허용한도의 일반적인 수준, 비즈니스 성장에 미치는 영향, 그리고 경쟁적인 시장 환경이 포함된다.

ISO 31000 리스크관리 강좌

리스크는 출근 루트를 정하는 것과 같은 평범한 일상 활동에서부터 타국에 생산 공장을 개설하는 더욱 복잡한 기업 결정에 이르기까지 우리 삶 곳곳에 존재합니다. 지난 수십 년간 리스크와 그 특성을 이해하기 위해 노력한 결과, 개인과 조직이 논리적 추론을 기반으로 정확한 결정을 내릴 수 있는 방법론과 접근법을 개발할 수 있었습니다. 그 중 리스크를 다루는 가장 차별화된 프레임워크는 조직이 직면한 리스크를 관리하는 원칙, 증명된 관행, 가이드라인을 포함하는 국제 표준인 ISO 31000입니다.

그림 1: 다양한 맥락에서 사용되는 “리스크”

ISO 31000이란?

ISO 31000은 모든 비즈니스 활동에서 발생하는 모든 종류의 리스크를 관리하기 위한 가이드라인을 제공하는 국제 표준입니다. 이 표준은 원칙, 리스크 관리 프레임워크, 리스크 관리 프로세스 적용에 대한 가이드라인을 제공합니다.

ISO 31000은 리스크 관리를 비즈니스 기능에 통합하고자 하는 모든 종류 및 규모의 조직에 적용할 수 있습니다. ISO 31000은 다음과 같은 방법으로 리스크 관리의 기반인 리스크 관리 원칙들을 다루며, 조직이 리스크 관리 프레임워크를 개발할 수 있도록 가이드를 제공합니다.

  • 조직 구조에 리스크 관리 통합
  • 조직의 맥락에 적합한 리스크 관리 프레임워크 설계
  • 리스크 관리 프레임워크 실행
  • 리스크 관리 프레임워크의 효과성을 평가하고 적절성과 충분성을 지속적으로 개선
  • 리더십과 의지 입증(최고경영진)

ISO 31000은 리스크 관리 프로세스를 경영 전반 및 의사결정의 필수 요소로 간주합니다. 리스크 관리 프로세스는 조직 전반에 걸쳐 전략 수준에 적용할 수 있으며, 프로젝트, 제품, 프로세스에도 적용할 수 있습니다. ISO 31000은 리스크 커뮤니케이션과 협의, 범위 정의, 맥락, 기준, 리스크 사정, 리스크 처리, 모니터링 및 검토, 리스크 기록 및 보고에 대한 가이드라인을 제공합니다.

리스크의 정의

ISO 31000:2018은 리스크를 “목표에 가해지는 불확실성의 영향”이라고 정의합니다. ISO 31000은 기회 혹은 위협이 될 것이라고 예상했던 결과로부터의 이탈(긍정적이거나 부정적 또는 둘 다)에 초점을 맞추고 있습니다. 동시에 리스크관리는 “리스크와 관련하여 기관을 지휘하고 통제하기 위한 조직화된 활동”이라고 정의합니다.

더 넓은 범위에서 리스크관리의 정의는 부정적인 이벤트의 발생 확률과 그로 인한 영향을 축소하고, 모니터링하며, 통제하기 위해 자원을 조직적이고 경제적으로 사용하는 방안을 수립하는 것입니다. 리스크관리는 기관의 업무 중 상당히 중요한 부분을 차지합니다. 리스크관리를 통해 기관은 필요한 절차를 마련하여 리스크에 대한 회복력을 기르고 리스크의 영향을 제거하거나 감소할 수 있는 행동계획 및 전략을 세울 수 있습니다.

ISO 31000이 조직에 중요한 이유는?

모든 산업에서 활동하고 있는 조직은 위치와 상관없이 언제나 리스크에 노출되어 있습니다. 이러한 리스크를 ISO 31000에 제시된 원칙, 프레임워크, 프로세스를 기반으로 관리하는 것은 조직이 지속적으로 변화하는 환경에서 성장하고 성공할 수 있다는 확신을 제공합니다. ISO 31000 가이드라인 실행을 통해 리스크 기반 의사결정을 조직의 계획, 관리, 보고, 정책, 가치, 문화에 통합함으로서 운영 효율성을 개선할 수 있습니다.

ISO 31000은 조직이 사업 목표의 달성을 방해할 수 있는 잠재 리스크를 파악할 수 있도록 합니다. 또한 조직이 리스크의 중대성을 판단하고 리스크가 비즈니스에 영향을 미치기 전에 목표를 달성하려면 어떤 리스크를 먼저 완화해야 하는지 결정하여 다른 모든 리스크를 효과적으로 통제할 수 있도록 합니다. ISO 31000의 우수관행은 조직이 원하는 리스크 관리 문화를 개발할 수 있도록 합니다.

ISO 31000 가이드라인을 바탕으로 하는 리스크 관리 접근법은 조직이 비즈니스의 모든 부분에 있어서 리스크를 관리할 의지가 있다는 점을 분명히 보여줍니다. 내외부 위협을 완화하는 조직의 역량을 증명하기 때문에 고객과 기타 이해당사자 사이의 공적 신뢰를 증가시킵니다. ISO 31000을 기반으로 하는 리스크 관리 프로세스는 기업의 평판을 개선하고 경쟁우위를 제공할 것입니다.

ISO 31000 인증을 취득해야 하는 이유는?

ISO 31000 인증은 조직이 가치를 창출하고 보호할 수 있도록 지원하는 데 필요한 역량을 보유하고 있다는 것을 증명합니다. 또한 조직이 리스크 전략을 수립하고 전략적 목표를 달성하며 정보에 근거한 결정을 내리도록 지원할 수 있다는 것을 나타냅니다.

ISO 31000 인증은 여러분에게 다음과 같은 도움을 제공합니다.

  • 다른 리스크 관리 전문가와 차별화
  • 리스크 관리 원칙 및 리스크의 기타 개념에 대한 인식 입증
  • 조직의 필요와 맥락에 맞춘 리스크 관리 프레임워크를 수립할 수 있는 역량 입증
  • ISO 31000의 권고를 기반으로 리스크 관리 프로세스를 적용할 수 있는 능력 입증
  • 조직의 주요 활동 및 기능에 리스크 관리를 통합하는 것의 중요성에 대한 인식 입증
  • 리스크 관리 분야에서 더욱 성공적인 커리어 보유

왜 PECB인가?

교육, 시험, 인증 서비스의 글로벌 제공자로서 PECB는 여러분에게 국제적으로 인정받은 표준에 따른 가치 있는 교육, 평가, 인증을 제공하여 여러분의 의지와 역량을 증명할 수 있도록 합니다.

PECB의 ISO 31000 리스크 관리자(Lead Risk Manager) 및 ISO 31000 선임 리스크 관리자(Lead Risk Manager) 인증은 IAS의 인정을 취득하였습니다. IAS 인정 마크는 인증에 부가 가치를 제공하며 여러분이 IAS가 보유하고 있는 세계적 인정을 이용할 수 있도록 합니다.

ISO 31000 강좌를 수강하려면?

PECB 글로벌 네트워크에 오신 여러분을 진심으로 환영합니다. PECB는 전 과정에 걸쳐 여러분에게 가치 있는 경험을 제공할 수 있도록 지원할 것입니다.

수강 가능한 PECB 인증 ISO 31000 강좌

ISO 31000 강좌에 참여하여 리스크 관리에 대한 지식을 넓히고 새로운 커리어 기회를 만들어 보세요

ISO 31000 입문

ISO 31000와 리스크 관리 가이드라인, 원칙, 개념 소개

ISO 31000 기본

리스크 관리의 기본 개념을 숙지하고 ISO 31000 가이드라인을 완벽히 이해

ISO 31000 리스크 관리자

조직이 리스크 관리 프레임워크를 수립하고 ISO 31000을 기반으로 리스크 관리 프로세스를 적용하도록 지원하는 방법 학습

ISO 31000 선임 리스크 관리자

조직이 ISO 31000과 기타 우수관행 및 리스크 관리를 위한 권고를 바탕으로 리스크 관리 프레임워크를 수립하도록 가이드 및 지원할 수 있는 필요 역량 습득

ISO 31000 전환

ISO 31000:2009 및 ISO 31000:2018의 주요 차이점을 이해하고 ISO 31000:2018 권고를 바탕으로 조직이 리스크 관리 프레임워크를 개선하도록 지원할 수 있는 역량 개발

외환 위험 유형

우리가 프로젝트파이낸싱 사업을 할 때 리스크 평가가 기본적으로 선행되죠.

이러한 리스크 평가 항목, 즉 PF 심사내용에 대하여 알아보도록 하겠습니다.

- 프로젝트 관련 각종 리스크 파악, 리스크 경감 방안 강구, 대출약정서 상 주요 채권보전안 마련

- 적정한 대출기간(거치기간 맟 상환기간)과 상환방법 결정

- 리스크 분석 및 CASH FLOW 분석 결과를 토대로 최종 금리 및 수수료 결정

출자자 신용도 및 자금조달 능력

운영 및 유지보수 계획의 적정성

운영비용의 적정성 및 운영비용 초과 가능성

사용료 및 사용료 조정방법의 적정성

관련 법률(세법, 인허가 등) 변경 가능성

사업추진, 용지보상 등과 관련된 민원제기

환경기준과의 부합성, 환경단체 등의 민원

프로젝트 승인 및 허가의 실패

예정일에 프로젝트를 완료 하지 못하는 위험

프로젝트 완공 후 내부 또는 외부요인으로 인하여 정상운영에 따른 운영비가 당초 예상을 크게 초과함으로써 발생할 수 있는 위험

복수 사업주들 간의 협력관계에 대해 철저히 검토

고정가격부 일괄도급계약 (Fixed Lum 외환 위험 유형 Sum Cost Contract) 체결

구체적인 감리계획 요구 또는 CM 사 고용을 통한 헷징

재해 및 사고대비 건설공사보험 ( 조립보험 ) 및 기타 필요한 특약 가입

사업주의 과거 실적과 기술축적에 대한 충분한 사전검토

운영기간 중 운영위험으로 일시적인 자금부족현상이 발생할 것에 대비하여 구체적인 금융대비책 수립

금리스왑 또는 통화스왑을 통한 헷징

자연재해 대비하여 적절한 보험 가입 ( 기관계보험 가입 )

시장상황 변동에 따라 프로젝트의 실제 수익이 예상수익에 미달하는 위험

대출금의 이자율이 당초 예상했던 수준을 초과함으로써 이자비용의 과다지출로 대출원리금 상환에 문제가 생길 위험

프로젝트의 수익통화와 대출통화간의 차이로 인해 발생하는 환율변동위험

불합리한 정책변경시 행정소송 등을 통한 소구 검토

프로젝트의 건설 , 시운전 , 운영 및 유지보수 과정에서 프로젝트 회사나 다른 당사자들이 통제할 수 있는 범위를 벗어난 위험

- 자연의 행위 ( 홍수 , 지진 등 )

- 인간 외적인 행위 ( 시장경색 )

금융계약이나 프로젝트 관련계약의 불가항력조항에서 각 당사자에게 위험이 공정하게 배분되도록 함

정부의 계약위반 , 몰수 및 국유화 , 각종 인허가 위험

프로젝트 추진이 결정된 후 법률의 변경으로 프로젝트에 부정적인 영향을 미칠 수 있는 위험

프로젝트회사가 수익통화를 경화로 교환하는 것은 허용하나 그러한 경화를 해외로 송금하는 것을 허용하지 않는 위험

사업소재국 정부가 외화통제정책에 따라 프로젝트 회사의 현지통화수익을 채무상환에 필요한 경화로 교환하는 것을 제한하는 위험

현지 변호사들의 자문에 기초하여 가능하다면 현지 정부 법률기관으로부터 유권 해석된 견해를 참조하여 초기단계부터 법률위험을 철저히 검토 법률자체의 변경을 예상하여 여신조건을 사전에 조정

PwC가 전 세계의 기업 리더 2800명을 대상으로 한 설문조사 결과, 대상자의 95%가 ‘기업의 리스크 관리 능력의 개선이 필요하다고 느낀다’고 답한 것으로 나타나 눈길을 끌었다.

이와 관련해, 한국기업지배구조원(KCGS) 사업본부 ESG 평가팀 박지영 연구원은 지난 11월 발간된 ‘KCGS Report’ 통권 143호 ‘ESG(환경・사회・지배구조) 동향-이사회의 리스크관리체계 운영 현황 및 사례’에서 “팬데믹 이후 기업의 존속가능성과 결부된 리스크 관리 능력이 더욱 부각됐고, 리스크 관리체계를 마련해 운영・감독해야 할 이사회의 역할 또한 중요해졌다”고 밝혔다.

특히 최근에는 리스크 관리가 경영진 수준의 사업・운영 책임으로만 여겨지는 것이 아니라, 이사회의 감독 책임 내에 있는 G(지배구조) 이슈로까지 확대되고 있다는 점을 강조했다.

이사회 리스크 관리체계는 형태에 따라 4가지 유형으로 구분

KCGS 보고서는 국내 유가증권 상장사 중 이사회가 리스크 관리체계를 감독하는 기업이 2018년 11개사에서 2020년 39개사로, 최근 3년간 꾸준히 증가하는 추세라고 밝혔다.

2020년 조사 결과를 바탕으로 살펴본 결과, 이사회의 리스크 관리체계가 형태에 따라 4가지 유형으로 나뉘었다. 박지영 연구원은 “비금융사에서는 실무진 중심으로 리스크 관리 전담조직을 운영하고 이를 이사회에 보고하는 유형이 전체의 절반에 가까워, 가장 일반적인 형태로 파악된다”고 했다.

출처. KCGS Report 통권 제143호

출처. KCGS Report 통권 제143호

#1. 이사회 내 리스크관리위원회 운영

보고서에 따르면, 이사회 내 ‘리스크관리위원회’를 운영하는 기업은 7개사에 불과했다. 금융회사는 2015년 제정된 ‘금융회사의 지배구조에 관한 법률’에 따라 의무적으로 이사회 내 위험관리위원회를 설치해야 하지만, 비금융사는 관련 규정이 없어 보편적이지 않은 것으로 여겨진다.

박지영 연구원은 “이사회 수준에서 또는 다른 위원회에서 온전히 리스크 관리에만 집중하는 데 제약사항이 존재할 때, 이사회가 여러 위원회에 분산된 리스크 관리 기능을 통합해 관리하면서 리스크 관리체계를 투명하게 공개하고자 할 때는 리스크관리위원회를 설치하는 것이 적합하다”고 밝히면서 모범사례로 A사를 소개했다.

A사는 화물 운송업 기업으로, 경영상 발생할 수 있는 리스크의 종합적 관리와 통제를 위해 2018년 4월부터 리스크관리위원회를 이사회 내 위원회로 격상해 운영한다.

A사의 리스크관리위원회는 2020년 12월 31일, 위원장인 대표이사 CEO 1인과 사외이사 3인으로 구성된다. 리스크 관리의 기본방침과 전략을 외환 위험 유형 수립하고, 회사의 부담 가능한 리스크 범위와 수준을 결정하며, 리스크 한도를 설정하고 한도 초과의 승인에 관한 사항을 심의하는 등 리스크를 적시에 인식하고 통제할 수 있도록 관리한다. 주요 리스크를 재무, 투자, 시장, 운영, 법무, 기타로 분류하고, 각 리스크 관리 지표에 따라 사전관리, 상시관리, 사후관리로 나눠 관리한다.

출처. KCGS Report 통권 제143호

출처. KCGS Report 통권 제143호

#2. 이사회 내 기타위원회 운영

이사회 내 리스크관리위원회가 아닌 ‘기타위원회’를 통해 리스크 관리체계를 감독하는 기업은 모두 12개사로, 전체의 3분의 1(31%) 정도에 해당하는 것으로 나타났다. 이 경우 이사회 내 1개의 기타위원회에서 리스크 관리・감독을 전담하는 기업과, 여러 개의 기타위원회에서 각 기능에 따라 재무・비재무 리스크를 나눠 감독하는 기업으로 다시 구분한다.

보고서는 이사회 내 기타위원회 운영 사례로 E사를 소개했다. 박지영 연구원은 “E사는 사업지주 특성상 자회사 및 투자 포트폴리오 관리 측면에서 리스크 관리 능력이 더욱 중요하므로 구체적인 리스크 관리체계 운영 방식을 살펴봤다”고 설명했다.

E사는 기존에 ‘거버넌스위원회’에서 리스크를 감독하다 2021년 ‘ESG위원회’를 신설해, 기존 거버넌스위원회의 리스크 관리 기능을 이관하고 ESG 리스크 검토 기능을 추가했다. E사의 거버넌스위원회에는 사외이사 5명이 속해 있었는데, ESG위원회로 개편되면서 위원회 구성원 6인 중 5인은 사외이사, 1인은 대표이사 CEO로 구성된다.

E사의 ESG위원회는 회사의 중장기 전략, 투자와 외환 위험 유형 기획관리, 회계와 재무관리, 내부거래에 대한 검토, ‘기타 이사회 결의 사항 중 회사의 전략, 평가 등에 중대한 영향을 미치는 경영 사항’ 검토를 담당한다. 주요 리스크를 ▲환경(거시, 시장, 규제, 재난재해, 기후변화) ▲재무(시장경제, 가격변동, 유동성 변동, 신용도 변동, 재무손실) ▲사업(전략 수립, 고객 관리, 경쟁사, 투자사, 기술변화) ▲운영(구성원, 프로세스, 인프라, 조직 문화, 보안) 4가지로 분류한다.

출처. KCGS Report 통권 제143호

출처. KCGS Report 통권 제143호

#3. 실무진 중심의 리스크 관리 전담조직 운영

세 번째 유형은 ‘실무진 중심의 리스크 관리 전담조직’을 운영하는 것으로, 전체 39개사 중 18개사가 속할 정도로 가장 흔하다. 이 유형의 기업은 이사회 내 별도의 위원회를 두는 대신, 사내에 리스크 관리를 전담하는 조직을 설치해 정기적으로 이사회에 해당 내용을 보고하는 체계다.

박지영 연구원은 통신업을 영위하는 G사를 언급하며 “G사는 CRMO(Chief Risk Management Officer・C-level 리스크) 관리책임자를 지정하고 리스크 관리체계를 운영한다”면서 “전사 위기관리를 총괄하는 CRMO 산하에 위기관리팀을 두고, 위기관리팀은 평상시 위기관리위원회를 운영한다”고 덧붙였다.

G사는 위기관리팀의 구성에 대해서는 공시하지 않으며, 위기관리팀은 평상시 위기관리위원회와 위기 시 비상대책위원회를 운영한다. 주요 리스크를 재무 리스크(자본 리스크, 금융 리스크)와 비재무 리스크(개인정보, 네트워크, 안전보건환경, 공정거래)로 나눠 관리하는데, 통신업 특성상 개인정보 관리와 네트워크 리스크가 두드러진다.

#4. 이사회의 개별 리스크 관리 안건 검토

마지막은 이사회 내 위원회나 사내 전담조직을 운영하지 않고, ‘이사회 수준에서 개별 리스크 관리 안건을 검토’하는 유형으로, 2개사가 이에 속했다. 이들 기업은 이사회사무국, 재무팀 같은 기타 조직에서 리스크 관리 안건을 이사회에 상정하면 이사회가 해당 안건을 검토하는 식으로 리스크를 관리한다.

유통업을 하는 H사 이사회가 2020년 1월 개최된 이사회에서 ‘2020년 유통산업 환경 리스크 및 전망’ 안건을 검토한 것이 대표적인 예다. 또 다른 예를 들면, 전기전자업 회사인 I사는 이사회사무국에서 부서별 대내외 경영 영향 요소를 취합하고, 기대효과와 리스크 영향 분석을 시행하며, 리스크 대응 방안 강구를 담당한다.

박지영 연구원은 “이런 유형의 기업은 이사회의 효과적인 리스크 관리 감독을 위해 리스크를 통합적, 상시적으로 관리하는 전담조직을 구성하는 것이 필요하다”면서 “앞서 소개한 기업 사례와 비교할 때 재무・비재무 리스크 유형을 보다 세분화해 관리할 필요가 있다”고 했다.

미국 존슨앤존슨의 리스크 관리체계 운영 사례

KCGS는 보고서를 통해, 국내 기업이 아닌 글로벌 제약기업인 미국 존슨앤존슨의 리스크 관리체계 운영 사례를 함께 살펴봤다. 존슨앤존슨은 이사회 내 개별 위원회에서 기능별 리스크를 검토하고, 이사회 내 위원회는 이사회에 보고하는 형태로 리스크 관리체계를 감독한다.

이사회 내 위원회는 감사위원회, 컴플라이언스위원회, 보상위원회, 외환 위험 유형 이사후보추천・기업지배구조위원회, 과학기술・지속가능경영위원회 5개다. 각 위원회는 전원 사외이사로 구성되며, 주어진 리스크 관리체계 감독 책임이 기업의 비즈니스, 산업과 사회 동향, 투자자의 기대에 발맞춰 가는지 확인하기 위해 매년 위원회 규정을 점검한다. 또한 주요 리스크를 전략, 운영, 재무, 환경, 사회, 정보 보안, 컴플라이언스 7개로 나눠 관리한다.

박지영 연구원은 “국내 기업과 비교했을 때 존슨앤존슨은 리스크 관리체계에 대한 정보 공개의 구체성이 두드러지며, C-level 임원이 리스크 관리에 적극적으로 참여한다”고 했다. 또한 “주주관여(Shareholder Engagement)를 통해 주요 기업 지배구조 및 환경 관련 이슈에 대해 주주와 소통하는데, 여기에는 이사회의 리스크 감독에 대한 주제도 포함된다”고 덧붙였다.

출처. KCGS Report 통권 제143호

출처. KCGS Report 통권 제143호

국내 기업은 앞으로 보유자원과 내부 상황, 기업이 속한 산업 등을 고려해 기업에 맞는 리스크 관리체계를 수립하고, 이사회는 이를 정기적으로 감독하는 것이 중요해 보인다. 박지영 연구원은 “리스크 관리체계 수립 시 사내 리스크 관리 전담조직을 신설해 통합적, 상시적으로 리스크를 인식할 수 있는 체계를 갖추고, 기업의 비즈니스 모델과 산업을 두루 고려해 리스크를 세분화해 관리할 것이 요구된다”고 제언했다.

또한 이사회 및 이사회 내 위원회는 정기적으로 리스크 관리현황을 검토하고, 매년 명문화된 권한과 역할, 리스크 관리 감독의 범위를 점검해 내역을 구체적으로 공시해야 한다.


0 개 댓글

답장을 남겨주세요