DBR 케이스 스터디: 에쓰오일 ‘전사적 리스크 관리’
DBR 그래픽
《2008년 이전까지 에쓰오일은 개별 부서에서 위험 관리를 수행해 왔다. 예를 들어 정제 마진이 급락하면 영업부서가, 환율이 요동치면 재무부서가 각각 파급 효과를 분석해 대응책을 마련했다. 대부분 리스크가 예측 가능한 범위 안에서 발생했고 여러 부서가 관련된 복합적 위기도 드물었기 때문에 개별 부서 단독으로 대응해도 큰 문제가 없었다. 과거에는 소 잃고 외양간을 고쳐도 별 탈 없는 리스크가 많았기 때문에 이런 대응체제를 유지했다. 하지만 글로벌 금융위기 발발 이후 리스크의 파급 효과가 증폭되고 리스크 간 동조 현상이 심해지면서 상황이 변했다. 예전과 같은 각개격파 식 관리에는 한계가 있고 전사적 차원에서 유기적으로 리스크를 관리해야 한다는 인식이 에쓰오일 경영진 사이에 확산됐다. DBR 107호(6월 15일자)는 전사적 리스크 관리(ERM·Enterprise Risk Management) 프로그램을 도입해 성공적으로 운영하는 에쓰오일 사례를 집중 분석했다.》
○ 40여 개 핵심 리스크 도출
에쓰오일은 2008년 2월 리스크관리팀을 신설하고 본격적인 ERM 도입에 나섰다. 우선 외부 컨설팅, 벤치마킹, 설문조사, 워크숍 등 다양한 방법을 통해 정유업을 하면서 발생할 수 있는 리스크를 모조리 뽑아냈다. 총 280여 개 리스크를 도출한 에쓰오일은 이후 리스크 각각의 파급 효과와 복합성 등을 고려해 반드시 전사적으로 관리해야 할 필요성이 있는 리스크 60개를 추렸다.
이어 60개 리스크 각각에 대해 선행관리지표(KRI·Key Risk Indicator), 예방대비절차, 복구대응절차를 수립하고 이를 문서화해 매뉴얼로 만들었다. 이를 최고경영자(CEO)가 주재하고 부사장급 이상 각 BL(Business Line)의 최고 임원들로 구성된 리스크관리위원회(ERM Committee)에서 심의해 최종적으로 40여 개를 핵심 리스크로 결정했다.
리스크 인식, 핵심 리스크 선정, KRI 도출, 대응체계 문서화, 리스크관리위원회 심의, 전용 정보기술(IT) 인프라 구축 등 에쓰오일이 ERM 체계 전반을 구축하는 데는 꼬박 2년이 걸렸다. 특히 심의 과정에 많은 시간이 소요됐다.
우선 어떤 리스크를 전사적 리스크로 볼 것인가를 두고 서로 견해가 달랐다. 대표적인 예가 운영 리스크 중 하나인 ‘내부 커뮤니케이션’이다. 지금은 별도의 전담부서(조직문화 및 커뮤니케이션 활성화팀)까지 만들어 전사적 역량을 투입해 관리하지만 실제 내부 커뮤니케이션이 최종 리스크로 꼽히기까지는 순탄치 않았다. 심의 과정에서 “커뮤니케이션이 핵심 리스크로 볼 만큼 중요한가?” “커뮤니케이션을 누가 어떻게 관리하겠다는 건가?” 등 의견이 분분했다.
설령 모두가 동의하는 핵심 리스크라 할지라도 세부 각론에서 의견이 엇갈리기도 했다. 시장 리스크 중 하나인 ‘정제 마진 악화’의 경우 전사적으로 관리해야 할 위기라는 데에는 모두가 동의했지만 위기 징후로 인식해야 할 정제 마진 하락 수준은 어느 정도인지, 이를 모니터링한다면 1일, 일주일, 한 달 중에서 얼마 단위로 살펴야 하는지 등 세부적인 기준을 정하는 과정에서는 갑론을박이 이어졌다.
류열 수석 부사장은 “모두가 공감할 수 있는 핵심 리스크 도출을 위해 심의 과정에 많은 시간을 투자했다”며 “특히 KRI 선정과 대응체계 수립 과정에서의 의견 차이는 과거의 데이터를 기반으로 수차례 시뮬레이션을 거듭하면서 합의를 도출했다”고 말했다.
에쓰오일의 40여 개 핵심 리스크는 크게 △전략 △시장 △운영 △준법 리스크 등 네 가지로 구분돼 있다. 에쓰오일은 각각의 핵심 리스크에 대해 1년 365일 KRI를 상시 모니터링하고 위기 발생 시 기민하게 대처할 수 있는 체제를 확립했다. 즉, 가능하면 리스크가 발생하지 않도록 예방에 심혈을 기울이되 실제 위기 상황이 발생했을 때에는 미리 정해진 절차에 따라 지체 없이 복구가 이뤄지도록 시스템을 구축했다.
핵심 리스크로 관리하는 40여 개 리스크가 고정불변의 것이 아니라 기업 내·외부의 상황 변화에 따라 언제라도 수정 보완될 수 있는 시스템이라는 점도 특징이다. 예를 들어 ‘주가 하락’은 초기에 전사적 관리 대상 리스크로 구별해 관리했지만, 지금은 핵심 리스크에서 제외시켰다. 이처럼 에쓰오일은 기존 핵심 리스크의 잔류나 새로운 리스크 추가, 선행 지표의 적절성 등을 끊임없이 검토하고 있다.
유종기 딜로이트 기업리스크자문본부 이사는 “에쓰오일은 최근 다우존스 지속가능경영지수(DJSI) 리스크관리 분야에서 최고 수준을 인정받는 등 ‘리스크에 강한 조직’으로 거듭났다는 평가를 받고 있다”며 “이는 ERM을 일과성 이벤트가 아니라 회사의 지속적 성장을 위한 경영 도구로 만드는 데 성공했기 때문”이라고 설명했다.
이방실 기자 smile@donga.com
비즈니스 리더를 위한 고품격 경영저널 DBR(동아비즈니스리뷰) 107호(2012년 6월 15일자)의 주요 기사를 소개합니다.
감동 스토리로 나를 팔아라
○ 베스트셀러 프리뷰
협상 실패 때 손실 줄이려면…
○ 하버드대 로스쿨의 Negotiation Newsletter