지난 6월7일부터 9일까지 영국 런던에서 ‘2011년 전략실행 서밋’이 열렸다. 이번 서밋의 최고 주제는 리스크 관리였다. 2008년 금융위기 이후 기존의 전략 수립 및 실행 방법의 실패를 경험한 기업들이 어떻게 리스크를 극복하고 탁월한 성과를 창출할지에 대해 다양한 방법론과 사례가 제시됐다. 이 중 밸런스스코어카드(BSC)의 창시자인 로버트 캐플런 하버드 경영대학원 교수가 서밋에서 제안한 리스크 관리 방안을 정리해 소개한다.
KPI의 진화와 리스크 관리
핵심성과지표(KPI·Key Performance Indicator)는 지속적으로 진화하고 있다. 1세대 KPI는 내부 성과 측정이 주 목적으로 재무성과 측정에 많은 비중을 뒀다. 2세대 KPI는 전략실행을 관리하고 전략의 성공 여부를 판단하는 기준으로 활용됐다. 지난 20년간 BSC를 도입한 여러 조직 중 탁월한 성과를 창출한 기업들의 공통점은 재무, 고객, 프로세스, 학습과 성장 등 4가지 관점의 KPI가 모두 ‘BHAG(Big Hairy Audacious Goal·크고 위험하고 대담한 목표)’ 수준을 달성했다는 것이다. 이 조직들은 1세대 KPI를 사용하는 조직보다 약 24% 개선된 성과를 보였다. 그 이유는 바로 전략 실행에 따른 프리미엄 덕택이다.
2008년 금융위기 이후 KPI는 리스크 관리를 포함하는 3세대로 진일보한다. 선택과 집중의 전략적 특성을 보유한 KPI 관리 수준을 넘어 다양한 각도에서 전략 성과를 위협하는 요소들을 관리할 수 있는 방향으로 진화한 것이다. 이때 전략이 추구하는 성과를 달성하지 못하도록 위협하는 리스크는 <표1>처럼 3가지 카테고리로 구분할 수 있다.
카테고리 1 리스크와 KPI
카테고리 1 리스크는 조직 구성원들의 비윤리적 행동이나 규칙 위반에 따라 발생하는 리스크다. 구체적인 예를 들자면 현금 횡령, 회계 부정, 뇌물, 사기, 주요 정보 파괴나 유출 등이 있다. 지멘스의 경우 2007년 전·현직 경영진 6명이 리비아, 나이지리아, 러시아 등 12개국에서 부정한 방법으로 정부 인사들을 매수해 사업을 진행하려던 것이 발각됐다. 회사는 1조6000억원의 벌금을 미국과 독일 정부에 납부했으며 비리에 직간접적으로 연루된 500여 명의 직원이 해고됐다. 지멘스 역사상 처음으로 외부에서 CEO를 수혈하는 일까지 벌어졌다. 이 과정에서 기업의 이미지가 크게 손상을 입은 것은 물론이다.
카테고리 1 리스크를 해결하기 위한 방안으로 내부의 감사 체계를 강화하는 방법 외 2가지 대안을 제시한다. 첫째, 신념체계(belief system)로 불리는 조직 내 의사결정 기준을 강화하는 것이다. 미션과 핵심가치를 직원들의 일상생활과 업무에 적용하도록 함으로써 여러 가지 복잡한 의사결정 사항과 주요 이해관계 사항의 충돌이 일어날 때 일관적인 결정을 할 수 있도록 지원하는 것이다. ‘의약품은 이윤이 아닌 사람을 위한 것’이라는 머크(Merck)의 기업 사명(mission)이나 조직구성원, 지역사회, 주주들에 대한 책임을 구체적으로 기술하는 존슨&존슨(Johnson & Johnson)의 기업 강령(credo) 등이 좋은 사례다. 조직 내 명확한 신념체계를 구성하고 지속적으로 직원들과 공유하는 노력이 병행될 때 부적절한 행동에서 발생하는 리스크를 최소화할 수 있다.
둘째, 의사 결정의 경계를 명확히 하는 것이다. 이는 보다 명확하게 의사결정 및 권한위임의 자유도를 제한하는 가이드라인을 제공하는 것을 의미한다. 가장 대표적인 사례로 성경의 10계명을 들 수 있다. 10가지 계명 중 9가지 계명이 “무엇을 하지 말라(예: 도적질하지 말라, 살인하지 말라 등)”라는 부정적인 표현으로 구성돼 있다. 이런 방법을 활용함으로써 의사결정 시 넘어서는 안 되는 경계를 명확히 제시해줄 수 있다.
카테고리 1 리스크를 관리하는 KPI는 크게 두 가지를 생각해볼 수 있다. 우선 선행 지표 역할을 할 ‘윤리지수’다. 조직원들의 규칙에 대한 △지식 수준(직원들은 옳고 그름을 명확히 아는가? 신념체계에 대한 이해도가 높은가?) △인지 수준(타협해도 되는 수준을 아는가?) △행동 양식(문서화된 비윤리적 행동을 하고 있지는 않는가?) 등을 종합적으로 측정할 수 있는 지수를 개발해 리스크를 지속적으로 관리할 수 있다. 또 다른 하나는 결과 지표로서 ‘비윤리적 행동(절도, 거짓말, 정책위반)등으로 인해 해고된 인력 수’를 활용할 수 있다.