엔터프라이즈 위험 관리(ERM)

엔터프라이즈 위험 관리(ERM)란?

엔터프라이즈 위험 관리(ERM)는 위험을 식별하고 평가하며, 그에 대비 및 해결하기 위한 전략적 접근 방식입니다. 일반적으로 프레임워크를 따르며 체계적으로 실행되며, 운영 또는 재무적 중단을 초래하여 조직의 목표에 부정적인 영향을 미칠 수 있는 잠재적 위험을 줄이기 위해 전략적으로 초점을 맞춘 프로세스를 적용합니다.

전통적인 위험 관리와 달리 엔터프라이즈 위험 관리는 다음과 같은 특징을 갖습니다.

• 내부 및 외부 환경, 상황, 이해관계자, 시스템 전반의 위험을 고려합니다.
• 조직 전반의 모든 의사결정에 위험 관리 프로세스를 반영합니다.
• 포괄적인 전략을 따르도록 하면서, 부서 수준의 관리자가 적합한 프로세스를 구현할 수 있는 유연성을 제공합니다.
• 조직 전반에서 위험에 노출되는 모든 영역(예: 컴플라이언스, 재무, 거버넌스, 운영, 보고, 평판, 전략)을 해결하기 위해 모든 위험 예방 및 완화 조치를 통합합니다.
• 위험 관리를 경쟁 우위 선점의 기회로 인식합니다.
• 부서 단위에서 사일로를 형성하며 처리하는 방식이 아니라, 하향식의 전사적인 통합 접근 방식을 취합니다.

효과적인 엔터프라이즈 위험 관리를 수행하는 조직은 프로세스 실행을 감독할 인력을 할당합니다. 여기에는 다음과 같은 핵심 기능의 개발 및 유지 관리가 포함됩니다.

• 인프라 또는 프레임워크
• 절차 및 프로토콜
• 교육 및 훈련
• 모니터링, 측정, 보고

엔터프라이즈 위험 관리를 위해서는 위험에 대한 지속적인 평가뿐만 아니라 다음과 같은 적절한 위험 대응 조치를 실행해야 합니다.

• 위험의 수용 또는 허용
• 위험의 회피 또는 종료
• 위험의 감소 또는 완화
• 위험의 이전 또는 분담(예: 보험 활용)

엔터프라이즈 위험 관리(ERM) 프로세스

엔터프라이즈 위험 관리 프로세스는 이를 사용하는 조직과 프레임워크를 만든 주체에 따라 달라집니다. 일반적인 프로세스는 다음과 같은 프레임워크에 명시되어 있습니다.

• Committee of Sponsoring Organizations(COSO)
• 카네기멜론 대학교에서 개발한 Operationally Critical Threat, Asset, and Vulnerability Evaluation(OCTAVE)
• Factor Analysis of Information Risk(FAIR)
• 미국표준기술연구소의 Risk Management Framework(NIST RMF)
• ISO 31000: 위험 관리

엔터프라이즈 위험 관리 프레임워크에 포함되는 요소는 다음과 같습니다.

• 전략 및 목표 설정
• 수용 수준에 따른 위험 식별 및 분류
• 위험 평가
• 위험 대응
• 커뮤니케이션 및 모니터링
• 발생 가능성
• 영향
• 속도
• 준비 상태

엔터프라이즈 위험 관리(ERM)의 이점

가장 널리 알려진 엔터프라이즈 위험 관리의 6가지 이점은 다음과 같습니다.

신속하고 효과적으로 대응할 수 있는 역량

조직이 직면한 위험에 대한 인식

리소스의 효율적 할당

전반적인 보안 강화

법, 규제, 보고 요구 사항에 대한 컴플라이언스 개선

운영의 효율성과 효과 증대

엔터프라이즈 위험 관리(ERM) 구현

엔터프라이즈 위험 관리를 구현할 때 고려해야 할 모범 사례는 다음과 같습니다.

• 조직의 위험 철학을 정의합니다.
• 위험 철학에 부합하는 위험 전략과 실행 계획을 수립합니다.
• 위험 관련 우선순위를 명확히 지정하고 공유합니다.
• 엔터프라이즈 위험 관리 계획을 실행하기 위한 구체적인 책임 소재를 지정합니다.
• 변화하는 위험과 새로운 위험에 민첩하게 대응할 수 있도록 유연성을 유지합니다.
• 알려진 위험과 잠재적 위험의 지표를 지속적으로 모니터링합니다.
• 엔터프라이즈 위험 관리 프로그램의 결과를 KPI에 따라 측정합니다.

엔터프라이즈 위험 관리(ERM)의 구성 요소

엔터프라이즈 위험 관리 프로그램은 일반적으로 핵심 구성 요소를 상세히 설명한 기존 프레임워크를 따릅니다. 널리 사용되는 두 가지 엔터프라이즈 위험 관리 프레임워크는 다음과 같습니다.

Treadway Commission의 Committee of Sponsoring Organizations(COSO), ERM – 통합 프레임워크

Airmic 및 Institute of Risk Management(IRM), ERM에 대한 구조적 접근 방식과 ISO 31000 요구 사항

엔터프라이즈 위험 관리 프레임워크의 구성 요소에는 다음이 포함되며, 이는 조직의 프로그램을 추진하는 데 도움이 됩니다.

제어 활동

제어 활동은 내부 제어라고도 하며, 조직이 위험을 관리하고 완화하기 위해 따르는 정책, 프로세스, 절차를 의미합니다. 엔터프라이즈 위험 관리의 제어 활동에는 두 가지 유형이 있습니다.

탐지 제어 활동은 위험한 활동이나 상황이 발생했을 때 이를 식별하며, 문제 발생 이후에 작동하여 경영진과 기타 이해관계자에게 알리고 적절한 후속 조치를 취하도록 합니다. 탐지 제어 활동의 예로는 경보를 울리거나 사고 정보가 포함된 메시지를 전달하는 것이 있습니다.

예방적 제어 활동은 위험한 활동이나 상황이 발생하는 것을 사전에 차단합니다. 예방적 제어 활동의 목적은 위험이 중대한 사고로 발전하기 전에 선제적으로 차단하거나 완화하는 것입니다. 예방적 제어의 예로는 민감한 시스템이나 정보가 위치한 공간을 잠그고 출입을 제어하는 것이 있습니다.

이벤트 식별

엔터프라이즈 위험 관리의 관점에서는 조직의 운영을 방해하거나 중단시킬 수 있는 부정적 사건(또는 잠재적으로 부정적인 사건)을 중점적으로 관리합니다. 조직이 일반적으로 고려해야 하는 이벤트의 예는 다음과 같습니다.

• 자연재해
• 팬데믹
• 정치적 불안
• 규정 변화
• 테러리스트 공격
• 기술적 장애

정보 및 커뮤니케이션

정보 시스템은 조직의 위험 프로파일 및 엔터프라이즈 위험 관리 프로그램과 관련된 데이터를 기록하고 공유하는 데 사용되어야 합니다. 이러한 데이터를 통해 프로그램을 최적화하고, 취약성을 식별하며, 위험을 선제적으로 완화할 수 있습니다.

엔터프라이즈 위험 관리를 위해 확립된 커뮤니케이션 계획은 조직 내 지지와 프로그램의 효과를 높이는 데 기여합니다.

내부 환경 평가

조직의 리더십과 직원은 기업 문화라고도 불리는 내부 환경의 핵심 요소입니다. 내부 환경은 조직의 위험 감수 수준과 위험 처리에 대한 전반적인 기조를 확립하는 데 중요한 역할을 합니다. 이는 경영진이 주도하며, 모든 직원의 행동을 통해 구체화됩니다.

모니터링

엔터프라이즈 위험 관리는 성과를 평가하기 위해 내부 및 외부 감사를 받아야 합니다. 여기에는 모든 정책, 관행, 제어에 대한 검토와 함께 발생한 모든 사고에 대한 검토가 포함되어야 합니다.

목표 설정

조직은 명시된 목적에 따라 운영되며, 이 목적은 사명과 목표를 통해 뒷받침됩니다. 목표가 설정되면 조직의 위험 허용치와도 일치하도록 조정되어야 합니다. 엔터프라이즈 위험 관리 프로그램과 프로세스는 허용 가능한 위험 범위 내에서 목표가 달성되도록 합니다.

위험 평가

엔터프라이즈 위험 관리는 잠재적 문제에 대한 인식을 제고하는 것을 넘어, 위험과 그에 따른 조직 전반의 잠재적 영향을 어떻게 평가할 것인지에 대한 지침을 포함해야 합니다. 위험 평가에서는 직접적인 위험과 잔여 영향을 모두 평가해야 합니다.

위험 대응

위험이 탐지되거나 확대될 경우, 조직은 신속하고 효과적으로 대응할 준비가 되어 있어야 합니다. 엔터프라이즈 위험 관리는 위험 대응 프로세스에 대한 지침을 제공하며, 이는 다음과 같은 네 가지 범주로 분류됩니다.

회피
조직은 허용할 수 없는 수준의 위험을 초래하는 활동을 중단하거나 시작하지 않음으로써 위험을 회피할 수 있습니다.

감소
조직은 잠재적 사고의 발생 가능성이나 규모를 최소화하기 위한 선제적 조치를 취하여 위험을 줄일 수 있습니다.

분산
조직은 파트너십 계약이나 보험 정책과 같은 방식으로, 보상을 대가로 독립적인 서드파티를 활용하여 잠재적 손실을 분담함으로써 위험을 분산시킬 수 있습니다.

수용
회사는 위험을 수용할 수 있습니다. 이 경우 잠재적 결과를 분석한 후, 완화 조치를 추진하는 것이 경제적으로 타당한지 여부를 판단하게 됩니다. 위험 수용의 예로는 운영 방식이나 위험 분담에 변화를 주지 않고 기존 제품 라인을 유지하는 경우가 있습니다.

엔터프라이즈 위험 관리(ERM)의 잠재적 과제

프로세스로서의 엔터프라이즈 위험 관리는 위험과 수익 간의 연계가 부족합니다.
엔터프라이즈 위험 관리 팀과 경영진은 위험을 완화하기 위한 조치를 전략적 이니셔티브와 연결하는 데 어려움을 겪는 경우가 많습니다. 이로 인해 투자 수익(ROI)을 측정하기 어려워지고, 위험 가시성에 공백이 발생하기도 합니다.

엔터프라이즈 위험 관리 프로그램은 익숙한 위험을 기준으로 운영됩니다.
엔터프라이즈 위험 관리에 내재하는 한 가지 어려움은 이미 발생했거나 조직의 인식 범위에 있는 알려진 위험을 넘어서는 데 있습니다. 많은 조직은 경험이 부족하기 때문에 미래의 위험을 식별하지 못하고, 이를 인식하는 데 어려움을 겪습니다.

엔터프라이즈 위험 관리 프로그램은 많은 리소스를 소모합니다.
성공적인 엔터프라이즈 위험 관리를 위해서는 상당한 시간과 노력이 필요합니다. 많은 조직이 기존 인력에게 이에 대한 책임을 추가로 부여하려고 하며, 이는 개인의 본래 업무나 엔터프라이즈 위험 관리 프로그램 자체에 부정적인 영향을 미치는 경우가 많습니다.

엔터프라이즈 위험 관리 프로그램은 경영진의 예측에 의존합니다.
엔터프라이즈 위험 관리가 경영진의 예측에 지나치게 의존할 경우, 예측의 불완전성으로 인해 위험이 과대 평가 또는 과소 평가될 수 있습니다..

엔터프라이즈 위험 관리 시스템에는 사일로 간의 가시성이 부족한 경우가 많습니다.
여러 사업부와 기타 사일로 사이에서 위험을 놓치기 쉽습니다. 이처럼 탐지하기 어려운 위험은 이를 식별하고 책임을 부여하는 표준 워크플로 외부에 존재하기 때문에 엔터프라이즈 위험 관리에서 간과될 수 있습니다.

엔터프라이즈 위험 관리는 내부 위험에 초점을 두는 경향이 있습니다.
기존의 엔터프라이즈 위험 관리 조치에서는 내부 위험을 식별하고 그에 대응하는 데 집중합니다. 이로 인해 조직은 외부에서 발생하는 위험(예: 시장 트렌드 및 경쟁사)에 노출될 수 있습니다.

엔터프라이즈 위험 관리의 포괄적인 접근 방식은 여러 부서에 부담을 줄 수 있습니다.
엔터프라이즈 위험 관리의 장점 중 하나는 포괄적인 접근 방식입니다. 그러나 부서 차원에서는 이것이 단점이 될 수도 있습니다. 상위 수준의 포괄적 정책과 절차가 조직의 하위 수준에는 적절하게 적용되지 않을 수 있고(최선의 경우), 워크플로를 방해할 수도 있기 때문입니다(최악의 경우).

엔터프라이즈 위험 관리를 통해 특정 그룹에 대해 낮게 평가한 위험이 다른 그룹에는 더 높을 수 있습니다.
일부 위험은 조직의 각 부분에 서로 다른 방식으로 영향을 미칩니다. 처음 식별되었을 때는 문제가 되지 않는 것으로 보였던 위험이 조직의 다른 영역에서는 문제가 될 수 있으며, 간과할 경우 그 영향이 증폭될 수도 있습니다.

엔터프라이즈 위험 관리(ERM)에서 다루는 위험의 유형

엔터프라이즈 위험 관리는 조직이 다음과 같은 특정 범주의 위험을 이해하도록 돕고, 문제를 예방하거나 완화하기 위한 프로세스를 구현하는 것을 목적으로 합니다.

컴플라이언스 위험

정부 및 산업 관련 법률, 규정, 정책에서는 조직이 엄격한 규칙을 준수하도록 요구하며 이를 위반할 경우 경제적,·법적 또는 기타 제재를 받을 수 있으므로, 컴플라이언스 위반에 관한 위험은 심각한 우려 사항이 될 수 있습니다.

컴플라이언스와 관련된 엔터프라이즈 위험 관리에서 특히 어려운 점은 지속적으로 변화하는 규칙, 위협, 취약성 환경을 해결해야 한다는 것입니다.

재무적 위험

엔터프라이즈 위험 관리에서 해결해야 하는 재무적 위험은 매우 다양합니다. 모든 조직에는 자금의 유입과 유출이 있으며, 이에 영향을 미칠 수 있는 모든 요소는 위험으로 간주됩니다. 포괄적인 접근 방식 덕분에, 엔터프라이즈 위험 관리는 조직 전반에 걸친 요인으로 인해 발생하는 재무 위험을 해결하는 데 적합합니다.

보건 및 안전 위험

보건 및 안전 위험은 작업장의 안전 수준과 직원의 전반적인 건강 상태에 따라 결정됩니다. 코로나19 또는 심각한 독감의 유행은 보건 위험이 조직의 운영에 중대한 영향을 미칠 수 있음을 보여줍니다. 보건 및 안전 위험과 관련하여 고려해야 할 또 다른 요소는 정신 건강으로, 이는 개인뿐만 아니라 직원 전체의 사기에도 영향을 미칩니다.

법적 위험

소송에 휘말릴 위험은 정당하게 중요한 위험으로 간주됩니다. 법적 문제의 파급 효과는 유형적 및 무형적으로 다양한 문제와 비용을 초래할 수 있습니다. 법적 위험의 유형적 영향에는 비용(예: 변호사 수임료, 벌금)과 인력 투입 시간(예: 관련 자료의 수집 및 정리)이 포함됩니다. 법적 위험의 무형적 영향에는 평판 손상과 조직 사기 저하가 포함됩니다.

운영 위험

최선의 노력을 기울였더라도, 조직의 일상적인 운영은 예기치 못한 상황이나 사고로 인한 위험에 직면하게 됩니다. 이러한 사고는 단기적 또는 장기적인 운영상의 영향을 미쳐 조직에 중대한 영향을 줄 수 있습니다. 운영 위험은 프로세스, 인력, 시스템의 문제 또는 외부 요인으로 인해 발생할 수 있습니다.

평판 위험

조직에 대한 평판 손상은 광범위한 영향을 미칠 수 있습니다. 평판이 손상되면 회사에 대한 신뢰가 흔들리거나 직원, 고객, 파트너, 투자자 및 일반 대중의 분노를 유발할 수 있습니다.

보안 위험

보안 위험은 물리적 자산(예: 사무실 건물 및 제조 시설)과 디지털 자산(예: 데이터베이스 및 서버)을 포괄하여 광범위하게 존재합니다. 보안 위험의 원인은 소규모 범죄자부터 사이버 범죄 조직, 악의적 내부자, 국가 단위에 이르기까지 다양하게 존재합니다. 보안 위험을 예방하지 못할 경우 심각한 재무 및 운영상의 영향을 초래할 수 있습니다.

전략적 위험

관리하기 가장 어려운 위험 중 하나는 바로 전략적 위험입니다. 전략적 위험은 다른 위험에 비해 실체가 뚜렷하지 않고 제어가 어렵기 때문입니다. 경쟁, 신규 시장 진입, 금융 시장, 공급망 문제와 같은 전략적 위험은 조직의 장기 계획과 성과에 영향을 미칩니다.

조직 전반에 걸친 엔터프라이즈 위험 관리(ERM)

엔터프라이즈 위험 관리는 조직 전체에 해당되기 때문에 위험 관리에 대한 인식을 조직 문화에 정착시키는 데 도움이 됩니다. 그 결과, 의사결정과 일상적인 운영이 잠재적 위험과 이를 회피 또는 완화하는 방법을 고려하여 이루어집니다.

엔터프라이즈 위험 관리를 구현할 경우 다음 사항을 고려하세요.

• 조직의 전략을 구성하거나 촉진하는 주요 요소는 무엇인가요?
• 이 전략을 실행하기 위한 전술을 지연시키거나 방해할 수 있는 내부 또는 외부 요인이나 사건으로는 무엇이 있나요?
• 기존 시스템과 프로세스는 명시된 목표를 달성하고 내부 및 외부 위험을 관리하는 데 적합한가요?

엔터프라이즈 위험 관리를 수용하는 조직은 실질적인 이점을 얻게 됩니다. 조직 전반에서 위험을 항상 중요하게 고려하면 많은 작은 노력이 모여 큰 성과로 이어지며, 위험도가 높은 사안은 큰 문제가 되기 전에 발견되는 경우가 많습니다. 또한 엔터프라이즈 위험 관리는 중복되거나 비효율적인 프로세스를 식별하고, 인력 활용의 최적화를 지원합니다. 나아가 도난을 줄이고, 고객 만족도를 개선하고 시장 전략을 검증함으로써 수익성을 높이는 데 기여할 수 있습니다.