KCGS 보고서, 국내 기업 이사회의 리스크 관리체계 동향

PwC가 전 세계의 기업 리더 2800명을 대상으로 한 설문조사 결과, 대상자의 95%가 ‘기업의 리스크 관리 능력의 개선이 필요하다고 느낀다’고 답한 것으로 나타나 눈길을 끌었다.

이와 관련해, 한국기업지배구조원(KCGS) 사업본부 ESG 평가팀 박지영 연구원은 지난 11월 발간된 ‘KCGS Report’ 통권 143호 ‘ESG(환경・사회・지배구조) 동향-이사회의 리스크관리체계 운영 현황 및 사례’에서 “팬데믹 이후 기업의 존속가능성과 결부된 리스크 관리 능력이 더욱 부각됐고, 리스크 관리체계를 마련해 운영・감독해야 할 이사회의 역할 또한 중요해졌다”고 밝혔다.

특히 최근에는 리스크 관리가 경영진 수준의 사업・운영 책임으로만 여겨지는 것이 아니라, 이사회의 감독 책임 내에 있는 G(지배구조) 이슈로까지 확대되고 있다는 점을 강조했다.

KCGS 보고서는 국내 유가증권 상장사 중 이사회가 리스크 관리체계를 감독하는 기업이 2018년 11개사에서 2020년 39개사로, 최근 3년간 꾸준히 증가하는 추세라고 밝혔다.

2020년 조사 결과를 바탕으로 살펴본 결과, 이사회의 리스크 관리체계가 형태에 따라 4가지 유형으로 나뉘었다. 박지영 연구원은 “비금융사에서는 실무진 중심으로 리스크 관리 전담조직을 운영하고 이를 이사회에 보고하는 유형이 전체의 절반에 가까워, 가장 일반적인 형태로 파악된다”고 했다.

 #1. 이사회 내 리스크관리위원회 운영

보고서에 따르면, 이사회 내 ‘리스크관리위원회’를 운영하는 기업은 7개사에 불과했다. 금융회사는 2015년 제정된 ‘금융회사의 지배구조에 관한 법률’에 따라 의무적으로 이사회 내 위험관리위원회를 설치해야 하지만, 비금융사는 관련 규정이 없어 보편적이지 않은 것으로 여겨진다.

박지영 연구원은 “이사회 수준에서 또는 다른 위원회에서 온전히 리스크 관리에만 집중하는 데 제약사항이 존재할 때, 이사회가 여러 위원회에 분산된 리스크 관리 기능을 통합해 관리하면서 리스크 관리체계를 투명하게 공개하고자 할 때는 리스크관리위원회를 설치하는 것이 적합하다”고 밝히면서 모범사례로 A사를 소개했다.

A사는 화물 운송업 기업으로, 경영상 발생할 수 있는 리스크의 종합적 관리와 통제를 위해 2018년 4월부터 리스크관리위원회를 이사회 내 위원회로 격상해 운영한다.

A사의 리스크관리위원회는 2020년 12월 31일, 위원장인 대표이사 CEO 1인과 사외이사 3인으로 구성된다. 리스크 관리의 기본방침과 전략을 수립하고, 회사의 부담 가능한 리스크 범위와 수준을 결정하며, 리스크 한도를 설정하고 한도 초과의 승인에 관한 사항을 심의하는 등 리스크를 적시에 인식하고 통제할 수 있도록 관리한다. 주요 리스크를 재무, 투자, 시장, 운영, 법무, 기타로 분류하고, 각 리스크 관리 지표에 따라 사전관리, 상시관리, 사후관리로 나눠 관리한다.

 #2. 이사회 내 기타위원회 운영

이사회 내 리스크관리위원회가 아닌 ‘기타위원회’를 통해 리스크 관리체계를 감독하는 기업은 모두 12개사로, 전체의 3분의 1(31%) 정도에 해당하는 것으로 나타났다. 이 경우 이사회 내 1개의 기타위원회에서 리스크 관리・감독을 전담하는 기업과, 여러 개의 기타위원회에서 각 기능에 따라 재무・비재무 리스크를 나눠 감독하는 기업으로 다시 구분한다.

보고서는 이사회 내 기타위원회 운영 사례로 E사를 소개했다. 박지영 연구원은 “E사는 사업지주 특성상 자회사 및 투자 포트폴리오 관리 측면에서 리스크 관리 능력이 더욱 중요하므로 구체적인 리스크 관리체계 운영 방식을 살펴봤다”고 설명했다.

E사는 기존에 ‘거버넌스위원회’에서 리스크를 감독하다 2021년 ‘ESG위원회’를 신설해, 기존 거버넌스위원회의 리스크 관리 기능을 이관하고 ESG 리스크 검토 기능을 추가했다. E사의 거버넌스위원회에는 사외이사 5명이 속해 있었는데, ESG위원회로 개편되면서 위원회 구성원 6인 중 5인은 사외이사, 1인은 대표이사 CEO로 구성된다.

E사의 ESG위원회는 회사의 중장기 전략, 투자와 기획관리, 회계와 재무관리, 내부거래에 대한 검토, ‘기타 이사회 결의 사항 중 회사의 전략, 평가 등에 중대한 영향을 미치는 경영 사항’ 검토를 담당한다. 주요 리스크를 ▲환경(거시, 시장, 규제, 재난재해, 기후변화) ▲재무(시장경제, 가격변동, 유동성 변동, 신용도 변동, 재무손실) ▲사업(전략 수립, 고객 관리, 경쟁사, 투자사, 기술변화) ▲운영(구성원, 프로세스, 인프라, 조직 문화, 보안) 4가지로 분류한다.

 #3. 실무진 중심의 리스크 관리 전담조직 운영

세 번째 유형은 ‘실무진 중심의 리스크 관리 전담조직’을 운영하는 것으로, 전체 39개사 중 18개사가 속할 정도로 가장 흔하다. 이 유형의 기업은 이사회 내 별도의 위원회를 두는 대신, 사내에 리스크 관리를 전담하는 조직을 설치해 정기적으로 이사회에 해당 내용을 보고하는 체계다.

박지영 연구원은 통신업을 영위하는 G사를 언급하며 “G사는 CRMO(Chief Risk Management Officer・C-level 리스크) 관리책임자를 지정하고 리스크 관리체계를 운영한다”면서 “전사 위기관리를 총괄하는 CRMO 산하에 위기관리팀을 두고, 위기관리팀은 평상시 위기관리위원회를 운영한다”고 덧붙였다. 

G사는 위기관리팀의 구성에 대해서는 공시하지 않으며, 위기관리팀은 평상시 위기관리위원회와 위기 시 비상대책위원회를 운영한다. 주요 리스크를 재무 리스크(자본 리스크, 금융 리스크)와 비재무 리스크(개인정보, 네트워크, 안전보건환경, 공정거래)로 나눠 관리하는데, 통신업 특성상 개인정보 관리와 네트워크 리스크가 두드러진다.  

#4. 이사회의 개별 리스크 관리 안건 검토

마지막은 이사회 내 위원회나 사내 전담조직을 운영하지 않고, ‘이사회 수준에서 개별 리스크 관리 안건을 검토’하는 유형으로, 2개사가 이에 속했다. 이들 기업은 이사회사무국, 재무팀 같은 기타 조직에서 리스크 관리 안건을 이사회에 상정하면 이사회가 해당 안건을 검토하는 식으로 리스크를 관리한다. 

유통업을 하는 H사 이사회가 2020년 1월 개최된 이사회에서 ‘2020년 유통산업 환경 리스크 및 전망’ 안건을 검토한 것이 대표적인 예다. 또 다른 예를 들면, 전기전자업 회사인 I사는 이사회사무국에서 부서별 대내외 경영 영향 요소를 취합하고, 기대효과와 리스크 영향 분석을 시행하며, 리스크 대응 방안 강구를 담당한다. 

박지영 연구원은 “이런 유형의 기업은 이사회의 효과적인 리스크 관리 감독을 위해 리스크를 통합적, 상시적으로 관리하는 전담조직을 구성하는 것이 필요하다”면서 “앞서 소개한 기업 사례와 비교할 때 재무・비재무 리스크 유형을 보다 세분화해 관리할 필요가 있다”고 했다. 

KCGS는 보고서를 통해, 국내 기업이 아닌 글로벌 제약기업인 미국 존슨앤존슨의 리스크 관리체계 운영 사례를 함께 살펴봤다. 존슨앤존슨은 이사회 내 개별 위원회에서 기능별 리스크를 검토하고, 이사회 내 위원회는 이사회에 보고하는 형태로 리스크 관리체계를 감독한다.

이사회 내 위원회는 감사위원회, 컴플라이언스위원회, 보상위원회, 이사후보추천・기업지배구조위원회, 과학기술・지속가능경영위원회 5개다. 각 위원회는 전원 사외이사로 구성되며, 주어진 리스크 관리체계 감독 책임이 기업의 비즈니스, 산업과 사회 동향, 투자자의 기대에 발맞춰 가는지 확인하기 위해 매년 위원회 규정을 점검한다. 또한 주요 리스크를 전략, 운영, 재무, 환경, 사회, 정보 보안, 컴플라이언스 7개로 나눠 관리한다.

박지영 연구원은 “국내 기업과 비교했을 때 존슨앤존슨은 리스크 관리체계에 대한 정보 공개의 구체성이 두드러지며, C-level 임원이 리스크 관리에 적극적으로 참여한다”고 했다. 또한 “주주관여(Shareholder Engagement)를 통해 주요 기업 지배구조 및 환경 관련 이슈에 대해 주주와 소통하는데, 여기에는 이사회의 리스크 감독에 대한 주제도 포함된다”고 덧붙였다.

국내 기업은 앞으로 보유자원과 내부 상황, 기업이 속한 산업 등을 고려해 기업에 맞는 리스크 관리체계를 수립하고, 이사회는 이를 정기적으로 감독하는 것이 중요해 보인다. 박지영 연구원은 “리스크 관리체계 수립 시 사내 리스크 관리 전담조직을 신설해 통합적, 상시적으로 리스크를 인식할 수 있는 체계를 갖추고, 기업의 비즈니스 모델과 산업을 두루 고려해 리스크를 세분화해 관리할 것이 요구된다”고 제언했다.

또한 이사회 및 이사회 내 위원회는 정기적으로 리스크 관리현황을 검토하고, 매년 명문화된 권한과 역할, 리스크 관리 감독의 범위를 점검해 내역을 구체적으로 공시해야 한다.