윤성식 금융윤리인증센터 교수

부천시 호텔 화재로 7명이 사망하는 안타까운 일이 발생했단다. 폭염 장기화에 따른 온열질환 사망자가 30명을 기록했단다. 물가와 집값이 뛰어올라 취약계층의 어려움이 가중된다고 한다. 티메프 부실 사태로 소상공인이 부도 위기에 봉착하고 이커머스 업체의 미결제 리스크가 부각되고 있단다. 모 은행은 임직원의 친인척 부당대출과 횡령사고로 몸살을 앓고 있단다.

그 외 각종 사고가 TV 뉴스를 가득 채운다. 신문과 다른 언론 매체에서도 수많은 리스크가 쏟아져 나온다. 전쟁, 기후, 정치, 금리, 물가, 환율, 금융, 유가(油價), 부동산, 투자, 의료, 전염병, 노동, 화재, 인명피해, 원전, 법률, 경영, 인구절벽, 금융사고, 부패 리스크 등 각종 정치적 사회적 경제적 리스크가 연일 언론에 회자되고 있다. 그러면서 리스크에 대한 대처 방안을 적시하거나 효과적으로 해결되도록 기대하고 있는 내용이 줄을 잇고 있다.

사고는 터지기 전에 예방하는 것이 우선이다. 그래서 각 조직은 신년사를 통해 한결같이 올해의 리스크와 위기 요인을 거론하면서 이에 대한 관리와 내부통제 의지를 다지고 있다.

한국은행과 금융감독원은 신년사에서 대외 여건의 불확실성 속에 금융 안정 측면의 리스크를 면밀히 점검하며 통화정책을 운영하고 있다거나, 잠재 리스크와 불법행위에 선제적으로 대응하고 있다며 리스크 관리와 내부통제 지향점을 밝히고 있다.

그룹 회장들도 신년사를 통해 ‘전반적인 불황으로 야기된 불확실성은 우리 그룹에도 생각지 못한 변수와 리스크로 다가올 수 있으니, 계열사별로 예상 가능한 시나리오를 마련해 주도면밀한 검증과 철저한 리스크 관리가 필요하다.’(H 그룹 신년사) 라고 하는 등 리스크 관리와 내부통제를 통한 그룹 성장 의지를 보이고 있다.

뿐만 아니라 스위스의 다보스에서 개최되는 '세계경제포럼‘에서도 매년 경제·환경·지정학·사회·기술 등 5개 분야에 글로벌 위험 순위를 제시하며 각국의 관심과 슬기로운 대처를 부르짖고 있다. 최근 포럼에서는 기상 이변, 양극화, 생활비 위기, 사이버 위협, 경기 침체, 공급망 붕괴, 국가 간 충돌, 언론 자유 통제 등의 글로벌 위험을 발표한 바 있다.

이처럼 조직은 무수히 많은 리스크에 둘러싸여 있다. 그래서 조직의 목표를 달성하고 지속 가능성을 유지하기 위해서는 리스크를 식별하고 대응하여 사고를 예방하는데 핵심 역량을 집중해야 할 필요가 있는 것이다.

그러면 ‘리스크’란 과연 무엇이고 어떻게 관리하는 것이 바람직한가.

세계내부감사인협회인 IIA(Institute of Internal Auditors)는 국제내부감사표준의 용어해설 편에서 ‘리스크(Risk)‘와 ‘리스크 관리(Risk Management)’와 ‘내부통제(Internal Control)'를명확하게 구분 짓고 있다.

리스크는 ‘조직 목표 달성에 영향(Impact)을 줄 만한 사건 사고의 발생 가능성(Likelihood)’이라고 정의한다. 그래서 리스크 규모는 ‘영향(Impact)’과 ‘발생 가능성(Likelihood)’의 각 점수를 서로 곱하여 측정한다. ‘영향’은 재무 손실, 법적 제재, 평판 저하, 업무 장애 정도 등을 고려하며, ‘발생 가능성’은 이러한 영향의 발생 빈도를 감안하여 산정하게 된다.

리스크는 ‘사고 발생 가능성’을 의미하기 때문에 사고가 발생하지 않도록 선제적으로 관리하는 것을 ‘리스크 관리’와 ‘내부통제'라고 할 수 있다. 필자가 금융감독당국에 근무할 때 금융관계자에게 이 두 용어의 차이를 질문하면 종종 ’의미가 같다‘는 답변이 돌아오곤 했는데, 사실 두 용어의 개념과 철학을 명확하게 구분할 수 있어야 한다. 그래야 사고 예방 대책을 효과적으로 강구하고 제대로 작동시킬 수 있기 때문이다.

IIA는 ‘리스크 관리는 프로세스(Process)의 개념’이고, ‘내부통제는 실행(Action)의 개념’이라고 확연히 구분하고 있다. 우리나라 금융사지배구조법에서도 위험관리기준과 내부통제기준에 담아야 할 사항을 구분하고 있는 것도 이와 같은 맥락이다.

즉, ‘리스크 관리’란 ‘조직 목표 달성에 관한 합리적인 확신을 제공하기 위해 잠재적 사건이나 상황(리스크)을 파악, 평가, 관리, 통제하는 프로세스(Process)’이고, ‘내부통제’는 ‘리스크를 관리하고 조직 목표 달성 가능성을 높이기 위해 경영진, 이사회, 관련자가 취하는 모든 조치와 실행(Action)’이라며 두 용어의 차이를 분명히 하고 있다.

자세히 설명하면, 리스크 관리란 △조직 내의 모든 리스크 식별 △리스크의 발생 가능성과 영향 등 분석 △리스크 크기 평가 △리스크 관리 우선순위 선정 △사고 예방을 위한 리스크 대응 △상시 모니터링 △주기적인 평가 및 보고 △리스크 관리 개선 등 일련의 프로세스(Process)를 의미한다.

리스크 관리는 우선 전략리스크, 재무리스크, 법률리스크, 운영리스크, 부정리스크, 외부환경리스크 등 조직을 둘러싸고 있는 각종 리스크를 정확하게 식별하는 데서부터 출발한다. 이러한 리스크들은 하나의 상황에 두 개 이상 결부되어 나타나곤 한다.

가령 금융기관의 대출금이 부실화되는 경우 신용·법률·부정리스크 등이 동시에 걸쳐 나타날 수 있다. 그렇기 때문에 하나의 상황에 하나의 리스크에만 집중하면 총체적인 리스크를 관리하지 못해 목표 달성에 실패할 수가 있다. 따라서 하나의 상황을 두고 여러 개의 리스크를 동시에 살펴볼 필요가 있다.

IIA는 국제내부감사표준 2130.A1에서 ‘리스크에 대응하는 내부통제’의 적절성과 효과성 확보를 피력하고 있다. 리스크 평가 결과에 따른 리스크 대응 단계에서는 조직의 위험선호 태도(Risk Appetite)에 따라 네 가지 대응 전략의 형태로 나타난다.

즉, 사고 발생 가능성과 영향이 모두 높은 경우에는 리스크 회피 전략을 구사하고, 발생 가능성은 낮은데 사고에 따른 영향이 높은 경우에는 보험·아웃소싱 등으로 리스크를 전가(轉嫁)하고, 발생 가능성은 높은데 영향이 낮은 경우에는 통제 강화 등으로 리스크를 경감시키고, 발생가능성과 영향이 모두 낮은 경우에는 리스크 수용 전략을 취하게 된다.

이러한 리스크 관리 프로세스에서 리스크(사고 발생 가능성) 대응 전략을 추진하는 실질적 행동이 곧 내부통제라고 할 수 있다. 예를 들면, 화재 위험이 있는 경우에 소화기 비치 필요성을 판단하는 요소는 리스크 관리(Process)에서의 대응 단계이고, 화재 위험의 정도에 따라 소화기의 종류와 품질을 구체적으로 검토하여 소화기 실물을 구입한 후에, 화재 위험 장소에 비치하여 화재에 대비하는 실천적 행동을 내부통제(Action)라고 하는 것이다.

이 두 용어의 의미를 기반으로 리스크 관리 및 내부통제 관계자들은 “리스크 관리는 내부통제로서 구현된다.”라고 하거나 “내부통제를 통해 리스크를 관리한다.”라고 속담처럼 말하곤 한다. 또한 금융권에서 금융사고가 발행한 경우에, 감독당국이 “리스크 관리와 사고 대응 전략은 설계했으나, 실질적인 내부통제를 안 했다.”라고 못을 박곤 하는 이유가 여기에 있다.

이는 리스크 관리와 내부통제는 따로 놀 수 없다는 것을 반증한다. 즉, 리스크 관리를 도외시한 내부통제는 사고 예방이나 조직 목표 달성에 전혀 도움이 되지 않는 허울뿐인 조치하는 점을 웅변하고 있는 것이다. 그래서 내부회계관리제도에서 정하고 있는 통제기술서(RCM)에는‘△업무 △목표 △리스크 △내부통제’라는 네 가지 필수 명제가 갖추어져 있는 것이다.

이번 부천시 호텔 화재 사고의 경우에 스프링클러 미설치, 에어컨의 과부하와 내부 먼지 방치, 에어컨 내의 탁탁 소음과 타는 듯한 냄새에 신속 대응하지 못한 점, 형식적인 소방점검 등의 얘기가 흘러나온다. 소위 ‘내부통제를 잘못하여 화재 리스크 관리에 실패했다’는 지적이다.

하인리히의 법칙(Heinrich's law)이란 게 있다. 1:29:300 법칙이라고도 한다. 즉, 1건의 대형사고 이전에는 29건의 경미한 사고가 있었고, 그 경미한 사고 이전에는 300건의 이상 징후가 있었다는 것이다. 그래서 큰 사고를 막기 위해서는 이상 징후 단계에서 적극적으로 리스크를 관리하고 내부통제를 잘해야 한다는 의미이다.

정부에서는 신년사에서 고금리, 고물가, 고유가, 가계부채와 같이 우리 경제를 위협할 수 있는 리스크를 잘 관리하고, 검토만 하는 정부가 아니라 ‘문제 해결을 위해 행동하는 정부’가 될 것이라며 리스크 관리와 내부통제 의지를 의미 깊게 공표하고 있다.

각 조직에서도 평소 리스크 관리와 내부통제를 명쾌하게 구분하여 그 실행에 오차가 없어야 하고, 이상 징후가 있는 경우에는 게으름 없이 반드시 짚고 넘어가야 한다. 그래야 사고 없는 공화국으로 우뚝 서게 될 것이다.

©(주) EBN 무단전재 및 재배포 금지