"위험은 자신이 무엇을 하는지 모르는 데서 온다 (Risk comes from not knowing what you’re doing)"

전문가칼럼 : 이준근 전문위원 (CIA,CISA,ISO37001)

미국의 경영컨설턴트 겸 리더십과 인사 분야의 세계적인 석학인 마셜 골드스미스의 책 ‘트리거’에는 다음과 같은 내용이 나옵니다.

"한 뱃사공이 노를 저으며 강을 건너고 있었는데 갑자기 반대편에서 한 배가 무서운 속도로 자신의 배로 오고 있었다. 뱃사공은 상대편 배를 향해 다른 쪽으로 가라고 외친다. 점점 배는 더 가까워지고 뱃사공은 더욱 큰 소리로 '이대로 라면 배가 서로 부딪쳐 난파된다'고 고래고래 소리치지만 상대방 뱃사공은 듣는지 마는지 속도가 줄어들지 않는다. 결국 두 배는 부딪치고 상대방 뱃사공과 싸우려는 순간에 상대 배는 텅 빈 배인 걸 깨닫는다."

빈 배가 물살에 이끌려 자신의 배로 돌진했던 것인데 이를 몰랐던 것입니다. 이처럼 우리는 자신이 피해야 할 순간에 피하지 않고 사건이 벌어진 이후에 상대방에게 떠 넘기려 합니다. 내 잘못이 아니고 상대방 때문에 이런 일이 벌어졌다고 위안 삼으며 자신의 잘못을 인정하지 않습니다. 소리를 지를 시간에 피하기 위한 노력을 했었어야 한 것입니다.

기업을 경영하면서 많은 경우, 매출 달성과 성장을 위해 전략을 세우고 모든 조직이 함께 움직여가며 일하고 또 주기적으로 전략의 실행을 평가해가며 매출목표를 달성하려고 고군 분투하고 있다습니다 그런데 기업은 성장하면 성장할수록 그 기업을 둘러 쌓고 있는 수 많은 위험(Risk)들이 존재하고 이러한 위험들을 잘 관리하지 않으면 기업은 한 순간에 위기에 내 몰리게 됩니다.

‘리스크’는 기업을 향하여 무서운 속도로 돌진하고 있는 데 우리가 피해 나가려 하지 않은 채, ‘리스크’에게 피하라고 소리치는 것과 같지 않은가 우려되는 것입니다. 글로벌 기업들의 경우는 위험관리(Risk Management)를 기업의 중요한 경영관리 항목으로 다루며 체계적으로 관리하고 있습니다.

리스크를 관리하는 절차는

첫째는, 우리 기업에 있는 리스크가 무엇인지 식별하고,

둘째는, 이러한 리스크가 얼마나 자주 발생하고 또 발생하면 그 영향력이 얼마나 큰 지 평가를 하며,

셋째는, 그러한 리스크를 어떻게 통제하고 관리할 것인지 방안을 세우고

넷째는, 그러한 통제가 의도한 대로 효과를 발휘하고 있는지 검토하는 프로세스로 이루어 집니다.

위험을 관리하는 방안은 여러가지가 있으며 요즘 이슈가 커진 ‘내부회계관리제도’도 결국 리스크를 관리하기 위한 시스템 내재화 혹은 통제 환경을 구축하는 것이라 할 수 있습니다.

그러나 한국에서의 내부회계관리제도는 법에서 요구하기에 겨우 형식을 갖추어 가는 정도에 그치지 않나 하는 우려가 있습니다. 많은 돈을 들여서 구축하는 데 재무 담당자 몇 사람에게만 책임을 지우고 회사의 근본적인 리스크의 예방과 관리를 위한 기업문화의 변화나 실질적 통제 환경이 구축되고 운영되지 않으면 마치 우리를 위해 돌진해 오고 있는 배(위험)을 향하여 나를 피해가라고 외치는 소리에 불과하지 않을까 생각합니다.

리스크를 관리하는 또 다른 방안 중에는 ‘상시 모니터링 시스템’이 있습니다. 오늘날 회사의 많은 업무가 전산화 Data화 돼 있기에 오류 및 예외 사항들을 IT시스템을 통해 발견하고 이를 통해 손실 예방, 부정 예방, 법과 규정 위반 등을 조기에 식별하고 더 큰 손실과 위험이 발생하지 않도록 관리하는 IT 기반의 모니터링시스템을 가동해야 합니다.

업무수행에 정보처리기술에의 의존이 많아 질수록 오류 및 부정의 발생 위험도 커지고 있으나, 일상적인 업무과정에서 이를 적발하지 못할 위험은 높아지기에 고도화된 CAATs(*)가 필요한 것입니다. * CAATs (Computer Assisted Audit Techniques, 컴퓨터를 이용하는 감사 기법)

제가 기업에서 감사업무를 담당하는 실(팀)장들을 만나서 ‘일하면서 가장 많이 겪는 어려움이 무엇이냐 ?’고 물으면 주로 다음의 3가지 것을 말합니다.

첫째는, 감사실의 인원 변동이 많고 대부분 순환보직이 이루어지다 보니 감사인력의 전문성과 역량을 체계화 시켜 키우기에 어려움이 많다고 합니다.

둘째는, 성과 있는 감사를 진행하기에 자원이 부족하다고 합니다. 회사의 각 업무영역에 전문적 역량을 갖춘 감사인력의 확보나 이들을 교육 훈련시킬 예산, 그리고 컨설팅 감사 및 깊이 있는 업무 감사를 위한 감사 지식 DB관리 및 감사 행정관리를 위한 IT시스템의 부족, 또 많은 회사에서는 감사실에서 접근할 수 있는 정보와 범위에 한계가 있는 경우도 많다고 합니다.

셋째는, 동일한 문제가 반복적으로 발생하고 있는데 근본적으로 예방할 방안이 부족하다고 합니다. 즉 전년도에 업무 감사를 통하여 지적하고 개선을 요구했는데 시간이 지나면 여러 이유로 동일한 문제가 재발하고 있으며, 이것 때문에 경영진으로부터 왜 작년에 발생한 문제가 또 발생하고 해결되지 않는 것인지 감사실에 그 책임을 묻는 경우가 있다는 것입니다.

현업에서는 감사 받을 때만 그 문제를 피해가거나 감사에 지적 받으면 그 당시에만 시정조치를 하고 시간이 지나고 팀장이나 부문장이 바뀌면 또 예전의 잘못된 방식으로 일하는 경우가 다 반사이기에 문제 해결이 되지 않는다고 합니다. 이렇게 반복적으로 발생하는 문제의 해결, 혹은 동일한 문제가 다양한 사업부분에서 발생하고 있을 때 이를 해결하기 위한 방안으로 ‘상시 모니터링 시스템’의 구축이 필수화 되고 있습니다.

상시 모니터링 시스템이 구축되면 문제가 커지기 전에 실시간 감시 및 회복 조치가 가능합니다. 즉 컴퓨터가 저녁시간을 이용하여 자동으로 작업하여 문제가 되는 예외 사항을 Excel이나 기타 수단으로 감사인에게 보여주고 이러한 문제 발생 징후를 개인별/부서별로 확인하는 작업을 매주, 혹은 매월 해나가면 반복적으로 발생하는 문제는 확연히 줄어들게 되고 기업의 많은 리스크들이 관리됨에 따라 손실, 부정, 법규 위반 등이 예방되는 것입니다.

"위험은 자신이 무엇을 하는지 모르는 데서 온다 (Risk comes from not knowing what you’re doing)"

이 말은 투자에 있어서 위험을 제대로 인식하지 않고 무모한 투자를 하는 사람들에게 주는 워렌버핏 회장의 격언이지만, 위험이 무엇인지 모르고 관심도 없거나 혹은 위험을 인식하고는 있으나 체계적이고 실질적인 조치를 취하지 않는 많은 기업들이 새겨 들어야할 경영 명언이기도 합니다.

필진 : 이준근 전문위원(CIA/CISA/ISO37001/경영컨설턴트)

(현) 서현회계법인 전문위원
(전) 패션그룹형지 경영진단 본부장, 경영혁신 본부장
(전) 이랜드 그룹 계열사 윤리경영실장
-CIA (CERTIFIED INTERNAL AUDITOR, 국제공인 내부감사사)
-CISA (CERTIFIED INFORMATION SYSTEMS AUDITOR, 국제공인 전산시스템감사사)
-ISO37001심사원 (ANTI BRIBERY MANAGEMENT SYSTEM, 부패방지경영시스템)