◆경쟁력 있는 GRC 도입을 위한 제언
작년 하반기 전 세계를 강타했던 미국발 금융위기는 아직까지도 크고 작은 영향을 끼치고 있다. 최근 경제 회생의 기미를 보이고는 있지만 해외 자본의 의존도가 높은 한국 경제를 생각하면 미국발 금융 위기가 아직 끝났다고 방심하기는 어렵다. 최근 금융 위기로 인한 실물경제에 대한 우려가 곳곳에서 현실화되고 있는 것이 이를 뒷받침한다.
이번 금융위기는 투자은행들이 서브프라임 모기지를 방만하게 운영하고, 관련 대출상품은 여러 금융기관 등과 연계되어 다양한 형태의 파생상품으로 개발, 하나의 주택으로 이중 삼중의 복잡한 구조를 가진 채권을 발행한 것이 문제가 되었다. 때문에 금융위기 발생 후 서브프라임 모기지의 방만한 운영 등에 대한 강도 높은 질타가 이어졌다.
그러나 이에 앞서 생각해야 할 것이 있다. 바로 리스크 관리이다. 문제의 조직에서 위기 상황을 미연에 방지하고 이를 대비하기 위한 체계적인 리스크 관리가 이뤄졌다면 해결할 수 없는 상품이 대책도 없이 판매되지 않았을 것이고 금융 위기도 일어나지 않았을 것이다.
리스크와 기회를 완벽하게 파악하고 있는 기업들은 이를 기업 목표와 묶어 인과관계를 명확히 하고, 지속적인 분석을 위한 구조를 만듬으로써 정보에 근거한 업무관련 의사결정을 내릴 수 있다.
기업들이 준수해야 하는 법규 및 업무적 부정요소를 확인하고 통제할 수 있는 전사적 규제 및 위험관리 체계를 뜻하는 GRC(Governance, Risk Management & Compliance)를 도입함으로써 기업들은 향후의 위기 상황에 대해서 더 유연하게 대처할 수 있다.
◇GRC 허용 범위 내에서 비즈니스 운영=기업들은 일정 범위 내에서 비즈니스를 수행하는 동시에 장애물과 불확실성을 적절히 처리하는 능력이 필요하다. 영리 목적이든 비영리 목적이든, 비즈니스는 어떠한 목적을 달성하기 위해서 진행된다. 이러한 업무 수행 과정에서 목적 달성을 방해하는 장애물이 있을 수 있다. 업무 중에 불확실성과 리스크가 많기 때문에 일이 잘못될 수도 있고 실제로 그런 일이 많이 일어난다.
기업이 비즈니스를 추진할 때, 법, 규정 및 규제, 그리고 이에 더불어 기업가치, 내부방침 등 조직 내부의 자율적 규율이 꼭 지켜져야 한다. 그 한계가 외부에 의한 규율 때문이든 내부적으로 규정했든 간에 그 한계를 벗어나는 것은 위험한 결과를 가져올 수 있다.
이와 관련해 최근 포레스터리서치 보고서는 2008년 금융위기와 같은 가능성을 줄이기 위해 향후에는 GRC를 책임지고 있는 전문가들이 기업의 체질을 바꾸는 데 주요 역할을 맡을 것으로 예상하고 있다. 이 보고서는 “2009년의 프로세스와 기술 전략은 리스크의 표준화, 감독, 성과 및 리스크 관리 코디네이션의 확장, 진화하는 기업 책임에 대한 기대, 그리고 GRC 기술의 변화에 집중될 것이다”라는 결론을 내리고 있다. 비즈니스 전략에서 GRC를 필수적인 요소로 만들 5가지의 주요 트렌드는 다음과 같다.
·기업들은 서둘러 리스크 관리를 표준화 할 것이다.
·내부 행동의 ‘감시(Scrutiny)’는 곧 ‘감독(Oversight)’으로 바뀔 것이다.
·리스크와 비즈니스 성과 수치를 연결하려는 노력이 보다 가속화 될 것이다. 기업의 사회적 책임과 지속가능성은 더욱 중대해질 것이다.
·GRC 기술의 전망은 지각적인 변화를 거칠 것이다.
또한 이 보고서는 “기업들은 이해관계자들에 대한 책임과 의무의 일부로 점점 더 리스크 관리 프로그램을 변화시킬 것이고 기업 사기, 불량 대출, 불충분한 감독 및 타 관여 분야에 대해 추가적인 감독을 할 것”이라고 말하면서, GRC 전문가들은 “투명성, 통찰력 및 빈틈없는 감독을 위해 자율적 및 강제적 요구 사항을 처리할 수 있으면서도 많은 비용을 들여 GRC 관련 솔루션을 하나씩 구축하기보다는 통합적으로 구축하는 ‘비용효율적인 방법’을 찾아야 한다”고 분석하고 있다.
이처럼 오늘날에는 제한되어 있는 규율과 범위 내에서 어떻게 목표까지 도달하고 불확실성과 장애물을 처리하는가가 중요한 이슈가 되고 있다. 이는 규제 준수뿐만 아니라 브랜드와 명성에 피해를 입지 않기 위해서도 중요하다. 이런 능력이 바로 GRC의 핵심이다.
GRC의 구성요소를 정의하자면 다음과 같다.
·거버넌스(Governance)는 조직이 따라야 할 전략적 방향을 알려준다.
·리스크 관리(Risk Management)는 발생하게 될 위험과 잠재적인 영향을 분석한다.
·컴플라이언스(Compliance)는 위험을 완화할 전략을 수행할 수 있게 한다.
기업의 정보, 프로세스와 시스템들은 상호유기적으로 위의 세 가지 기능을 모두 지원할 수 있다. 본질적으로, GRC는 조직, 직무 혹은 프로세스에서 기인한 조직 장벽으로 인해 초래될 수 있는 비용과 리스크를 극복하도록 도와준다.
그렇다면 비즈니스에 필수 요소로 자리잡고 있는 GRC의 핵심요소는 무엇일까? 오늘날에는 글로벌 비즈니스 세계에서 광범위한 경제적, 정치적, 사회적, 법적, 규제적 변화가 새로운 수준의 전략적이고 전술적인 복잡성에 도달하게 만들고 기업들의 비즈니스 성과에 적절한 압력을 가하면서 기업들이 만족시켜야 하는 요구들이 급격히 증가하고 있다. 더군다나 기업들이 해외로 사업을 확장시키면서 이 같은 요구들은 더욱 거세지고 있다.
이와 같은 비즈니스 환경에서 우리가 염두에 둬야 하는 전체적인 모습은 장애물을 극복하고 비즈니스 목적들을 달성하면서도 이가 강제적인 법적 규제와 각각의 기업에서 자체적으로 설립하는 기업 가치와 한계 내에서 이루어지는 것이다. 우리는 이를 Principled Performance, 즉 원칙에 의거한 성과를 달성한다고 한다.
◇변화의 원동력은 GRC의 통합=기업들은 거버넌스, 리스크 관리 및 컴플라이언스(GRC) 노력에 대해 통합적인 접근방식을 확보함으로써 앞서 언급한 원칙에 의거한 성과를 달성할 수 있다.
기업 내에 많은 이들이 중역 수준에서 거버넌스를 수행하고 적절한 시기에 리스크 관리를 하며 법에 따르기 위해 최선을 다하는 등 자신들이 이미 GRC 관리를 하고 있다고 이야기한다. 이것은 사실이다. 그러나 기업들은 일반적으로 이런 활동을 단편적으로 수행하기 때문에 필요한 데이터를 제공하기 위해서 인적 및 정보 자원이 중복되고 시스템들을 주워모으는 것과 같은 방식을 취하게 된다.
이에 반해 통합 GRC 전략은 GRC활동에 대한 프로세스와 시스템에 대한 접근을 임의적이거나 계획성 없이 하기보다는 합의된 전사적인 노력으로 신중하게 구성하는 것이다. 즉, 통합 GRC 노력은 4개의 주요 운영 측면인 사람, 프로세스, 기술 및 문화에 변화를 야기하는 새로운 선도적인 움직임인 것이다.
그렇다면 기업들이 통합 GRC를 추진하기 위해서는 어떠한 접근이 필요할까? 통합 GRC의 성공적인 수행을 위해서는 무엇보다도 개별적인 접근 방식이 아닌 전체적인 플랫폼식 접근방식을 취하고 기업이 직면하는 리스크를 이해하고 감독하는 책임을 가진 최고위기관리책임자(Chief Risk Officer: CRO)의 역할을 제고하기 위한 노력이 선행되어야 할 것이다.
◇GRC 플랫폼 접근 방식 필요=기업의 거버넌스, 리스크 관리 및 컴플라이언스(GRC) 가이드라인에는 각각 특정 요구 혹은 규제 사항이 있다. 규제사항의 개수와 복잡함이 증가하면서, 개별 접근방식으로는 전체적인 플랫폼식 접근방식을 취하는 것보다 더 많은 비용이 들게 된다. 뿐만 아니라 단편적인 접근방식에는 또 하나 불리한 면이 있다. 전체적인 GRC 관리 활동의 가시성이 떨어진다는 것이다. GRC의 플랫폼식 접근방식은 인프라스트럭처, 프로세스 및 통찰력 등 세 가지를 기반으로 한다.
첫째로, 공동 기술 인프라스트럭처는 GRC 플랫폼의 기반이 되며 콘텐츠 매니지먼트를 포함한 중앙 리포지터리를 제공하고 민감한 정보를 통제하고 보호한다.
둘째로, 프로세스 매니지먼트는 여러 산업을 지원하여 금융 컴플라이언스, IT 거버넌스, 인력 거버넌스 및 거래 프로세스를 가능케 한다. 이 플랫폼은 정책의 문서화, 리스크 및 컨트롤 분석, 샘플링 및 테스팅 기능, 그리고 조직 내 인증을 제공한다. GRC 문서화를 위한 분류 원칙으로써 COBiT 같은 선진 프레임워크는 규제, 목표, 프로세스, 리스크 및 컨트롤 등에 매핑되었다. 오라클 GRC 플랫폼의 경우를 보면 수평적 프로세스 지원 외에도 산업 에 특화된 기능을 제공하고 있다.
마지막으로 이 플랫폼은 리스크와 통제를 위해 역할 기반 인텔리전스(role-based intelligence)를 사용한 통찰력 혹은 정보의 가시성을 제공한다. 이는 GRC 관련 지표를 전략적 기획과 예산 수립에 결합하고 운영상의 인텔리전스를 통해 실행 현황과도 결합하여 GRC 전략을 조직의 목표 달성에 부합하도록 한다.
기업들은 여러 벤더로부터 제공된 다양한 애플리케이션을 사용하고 있으며 이러한 애플리케이션들은 M&A 및 진화하는 기술을 통해 통합되고 있다. 오라클 GRC 플랫폼은 재무관리 시스템, 보험 시스템, 혹은 기타 다른 핵심 시스템의 사용에 상관없이, 다양한 기업 애플리케이션에서 운영 가능하다.
◇GRC 플랫폼 방식의 장점=모든 산업에서 컴플라이언스 비용 절감은 주된 관심사이다. 컴플라이언스에 대한 가이드라인을 단순화 시키고 더욱 정제하려는 몇몇 규제단체의 노력은 비용에 대한 부담을 입증한다. 그러나 비용에 대한 제약을 논하기보다는 GRC 투자에 대한 이득을 따져보는 것은 어떨까?
OCEG(Open Compliance and Ethics Group)가 명쾌하게 제시한 대로 GRC의 쟁점은 ‘원칙에 의거한 성과’를 추진하는 것이다. 컨설팅회사인 Lord & Benoit의 최근 연구에 의하면, 회계보고서에 문제가 없는 회사들은 주가가 28%까지 증가했다고 한다. 반면에 규정을 위반한 회사들은 주가가 6% 떨어졌다고 한다. 더 흥미로운 사실은 규정위반 후 이를 개선한 회사는 만회가 가능하고 그 다음 해에 성과가 26% 향상되었다는 점이다.
향상된 GRC의 또 다른 이점은 잠재 비용과 관련된다. 위스콘신대학의 연구에 의하면 내부통제가 부족한 회사들은 재무결과를 잘못 발표할 위험이 늘어난다고 한다. 이는 자산에 대한 비용을 약 1% 정도 증가시킨다. 예를 들어 시가 총액이 10억 달러인 회사라면 1%의 자산 비용 증가는 1000만 달러에 맞먹는다.
법률 관점에서도 확실한 이점이 있다. General Counsel Roundtable의 연구결과에 따르면, 조직이 컴플라이언스 비용으로 지출하는 1달러마다 법적 책임 회피, 명성 유지, 생산 시 손해 감소 등으로 평균 5.21달러를 아낄 수 있다고 한다.
◇CRO, GRC 리더십의 핵심=CRO는 통합 GRC 접근방식의 전략적 설계에 중요한 역할을 맡고 있다. CRO는 기업 비즈니스의 중심에서 전략적, 운영 수준에서 GRC의 의미를 이해해야 하고 GRC 전략으로부터 최대의 가치를 달성하기 위해 기업을 이끌 준비가 되어 있어야 한다.
많은 기업 내에서 CRO가 금융 리스크 공유 및 완화에 대해서 전통적인 태도를 넘어 모든 리스크 종류의 포괄적인 분석과 관리로 기업을 이끌면서 그 역할이 점점 더 중요해지고 있다.
오늘날의 CRO는 회사가 직면하는 리스크들과 이들이 서로 어떻게 관련되는지 완벽하게 이해해야 한다. 또한 잘 구성된 리스크 분석에 의거해 한정된 자원을 어떻게 배분해야 할지 결정해야 한다. 이와 함께 CRO는 중역들과 이해관계자들에게 기업의 예상되는 어려움을 관리하면서 목표를 달성할 수 있도록 지원하고 있다는 확신을 주면서 더 높은 성과를 낼 수 있도록 이끌어야 한다.
뿐만 아니다. 기업의 전략팀 중 핵심에서 중요한 역할을 맡은 CRO는 다음과 같은 이해관계자들의 많고 많은 요구와 관심사들을 염두에 두고 처리해야 한다.
˙투명성에 대한 주요 이해관계자(투자가, 규정자, NGOs, 지역사회 등)의 요구
˙중역들과 최고경영진이 필요한 전략적 결정과 향후 결과를 추진시킬 리스크에 대한 명확하고 믿을 수 있는 정보
˙컴플라이언스 및 법무사들이 제한된 자원을 배분하기 위해 필요한 현저한 리스크를 위한 예방적, 검출적 및 교정적인 감독
˙라인 임원이 필요한 코디네이트된 스케줄과 콘텐츠가 있는 중단없는 조사와 리스크 분석
˙무엇보다 중요한 확장된 기업 전체에 향상된 효율성과 감소된 리스크의 필요성
CRO는 모든 경쟁력의 요구를 만족시키면서도 가치에 대한 기업 목표를 이루는 데 주의를 기울이면서 전략적 관점을 포착해야 한다. 이를 위해서 CRO는 우선 기업이 직면하는 리스크를 이해하고 GRC 전략을 개발하고 추진하는 데 도움이 되는 최고경영진들과의 커뮤니케이션을 통해 기업을 이끌어야 한다. CRO가 해야 할 일은 다음과 같다.
˙리스크에 대한 명확하고 순응적인 관점을 전사적으로 가지는 것이 전략적 목표를 정의하고 달성하는 데 왜 중요한지 중역들에게 명료하게 설명한다.
˙리스크 선호도를 정의하고 전사의 리스크 문화에 영향을 주도록 중역과 상위 경영자들을 돕는다.
˙최고경영진들을 위해 기업의 리스크 프로파일을 정의하고 리스크들의 식별, 분석, 평가 및 취급으로부터 리스크 관리 프로세스를 이끌어낸다.
˙식별된 리스크로부터 역효과를 방지하고 기회를 찾아내도록 CEO를 돕는다.
˙GRC 전략에서 리스크의 역할과 기업이 비즈니스 목표를 달성을 지원하도록 다른 주요 임원들과 커뮤니케이션을 한다.
◇기업을 둘러싼 비즈니스 환경 변화에 따라 GRC가 비즈니스를 위한 필수적인 요소가 되면서 GRC를 고려하고 이를 실제적으로 도입하고 있는 기업들이 늘어나고 있다. 그러나 막연한 의미의 GRC가 아니라 그 본연의 의미를 다하는 GRC 시스템을 구축하기 위해서는 GRC를 위한 통합적인 차원의 노력이 이뤄져야 한다. 앞서 얘기한 GRC 플랫폼 접근방식이나 CRO의 역할 제고가 바로 통합 GRC로 가는 첩경이라 할 수 있다.
GRC 요구에 대응하기 위해 개별적으로 접근하는 방식이 초기에는 비용이 적게 든다고 생각될 수도 있지만 시간의 흐름에 따라 GRC 요구사항의 개수와 복잡성이 증가하게 되어 프로젝트 별로 접근하는 방식이 여러 가지 요구사항을 한꺼번에 처리하는 플랫폼 방식보다 반드시 더 많은 비용이 소요되게 마련이다.
또한 플랫폼 방식은 인프라스트럭처, 프로세스, 통찰력이라는 세가지 요소를 기반에 두고 있어 이를 활용할 경우 기업은 GRC를 위해 공통된 정보, 시스템 및 프로세스를 적용하게 되어 GRC 각각의 구성요소가 통합적으로 관리되고 전체적으로 투명성을 확보할 수 있게 된다. 여기에는 선진 프레임워크 사용은 기업이 당면한 여러 규제 사항을 관리할 수 있는 원칙을 제공하기에 기업의 중요한 시스템에 적용되기 위해서는 오라클 GRC 플랫폼처럼, 이기종의 다양한 애플리케이션에서 운영 가능해야 한다는 것도 고려되어야 함은 물론이다.
이러한 시스템적인 접근과 함께 기업이 가진 자원을 지혜롭게 이용하여 목표를 달성하면서 바람직스럽지 못한 결과는 예방하고 이득은 취하는 전체적인 GRC 접근 방식에서 리스크 관리의 중점적인 역할을 중역과 경영진이 이해할 수 있도록 도와줌으로써 GRO의 역할을 제고하려는 노력이 병행될 때 보다 좋은 성과를 달성할 수 있다.
기업들이 GRC에 대한 향상된 의식을 기반으로 GRC 플랫폼 접근방식이나 CRO 역할 제고와 같은 통합 GRC를 위한 노력을 병행하여 향상된 GRC 관리로 금융 비용은 절감하면서 투명성을 높여 기업의 가치와 경쟁력을 높일 수 있기를 고대해본다.
younghoon.kim@oracle.com
◆김영훈 상무는
고려대학교 경영학부를 졸업하고 GS칼텍스 재무부문에 근무했으며, 현재 한국오라클 애플리케이션 컨설팅 부문 상무로 재직중이다. 한국공인회계사이기도 하다.
박현선기자 hspark@etnews.co.kr
관련 통계자료 다운로드 거버넌스,리스크 관리,컴플라이언스 및 문화의 동향