최고 위기 관리자

3. CRO 도입의 장단점

CRO 도입은 기업의 전사적인 위험 관리 체계를 구축하고 역량을 강화하는 데 중요한 역할을 한다. 이를 통해 영업손실 감소, 수익 안정화, 주주 가치 제고 등 긍정적인 효과를 기대할 수 있으며, 경영의 투명성을 높이고 조직 전체의 위험 관리 인식을 개선하는 데도 기여한다.^[1][2] 하지만 위험 관리 시스템 구축과 전문 인력 확보에는 상당한 초기 투자 비용과 노력이 필요하다는 현실적인 어려움도 고려해야 한다.^[1][2]

3. 1. 장점

• 체계적인 위험 관리를 통해 영업손실을 줄일 수 있다.^[1][2]
• 장기적 및 단기적 위험의 허용 한계를 설정하고 관리하여 수익의 변동성을 줄이는 데 기여한다.^[1][2]
• 위험 관리 활동은 궁극적으로 주주의 가치를 극대화하는 것을 목표로 한다.^[1][2]
• 위험 관리에 대한 교육을 통해 조직 구성원 전체의 위험 관리 의식을 높은 수준으로 끌어올릴 수 있다.^[1][2]
• 기업 경영의 안정성을 확보하고 대내외적인 경영 투명성을 강화하는 효과를 가져온다.^[1][2]
• 다른 부서로부터 독립성을 가지며 강화된 위험 관리 조직과 기능을 확립하는 기반이 된다.^[1][2]

3. 2. 단점

• 위험관리 관련 데이터 및 분석 시스템, 그리고 관련 기술 개발에 상당한 투자가 필요하다는 점이 단점으로 꼽힌다.
• 또한, 위험관리 전문가와 같은 필요한 인적자원을 기업 내부에서 확보하기 어려운 경우가 많다.

4. CRO의 자격 요건 및 배경

최고 위험 관리자(CRO)는 기업 내에서 비교적 새로운 직책에 해당한다.^[9] 때로는 CEO나 CFO가 CRO의 역할을 겸하기도 하지만, 경영진 가까이에서 독립적으로 위험 관리를 전담하는 CRO를 두는 것이 기업에게는 중요한 자산이 될 수 있다. CRO와 유사한 직무를 수행하는 직책으로는 최고 위험 관리 책임자,^[10] 위험 관리자, 자본 관리자 등이 있다.

CRO에게 요구되는 자질과 자격 요건은 해당 산업 분야와 기업의 특성에 따라 다양하다. 일반적으로 관련 분야에서의 깊이 있는 전문 지식과 풍부한 경험, 그리고 금융 관련 법규 및 규제에 대한 이해가 필수적으로 요구된다. 특히 금융 산업의 경우, 회계, 경제, 내부감사, 위험 관리, 전략기획, 보험계리 등 관련 분야에서의 오랜 경력과 높은 수준의 학력이 요구되는 경우가 많다.^[19][20] 과거 중간 관리자나 최고 경영진으로서의 경험 역시 중요한 자격 요건으로 간주되기도 한다.^[21]

CRO 직책의 중요성은 기업 환경이 복잡해지고 예측 불가능성이 커지면서 더욱 부각되었다. 특히 2002년 제정된 사베인스-옥슬리법과 같은 기업 투명성 및 책임 강화를 위한 규제 도입과 2008년 세계 금융 위기는 기업들이 위험 관리의 중요성을 인식하고 CRO를 적극적으로 도입하는 결정적인 계기가 되었다. 이처럼 CRO는 조직이 직면할 수 있는 다양한 위험을 식별, 평가, 완화하는 핵심적인 역할을 수행하며, 폭넓은 지식과 경험, 리더십을 갖춘 인재에게 적합한 중요한 직책으로 인식되고 있다.

4. 1. 자격 요건

4. 2. 산업 배경

5. 전사적 위험 관리(ERM)

최고 위기 관리자(CRO)의 주요 책임 중 하나는 전사적 위험 관리(Enterprise Risk Management, ERM) 체계를 구축하고 운영하는 것이다. ERM은 기업이 직면하는 모든 종류의 위험을 개별적으로 관리하는 대신, 전사적인 관점에서 통합적으로 식별, 평가, 관리, 모니터링하는 포괄적인 프로세스이다.^[6] CRO는 이 ERM 프레임워크를 통해 기업의 목표 달성에 영향을 미칠 수 있는 잠재적 위험 요인을 관리하고, 이를 통해 기업 가치를 보호하고 증대시키는 역할을 수행한다.

ERM의 개념은 비교적 새로운 것이지만, 기업 경영 환경의 복잡성이 증가하고 예상치 못한 위기 발생 가능성이 커지면서 그 중요성이 점차 부각되었다. 특히 1993년 제임스 람(James Lam)이 GE 캐피탈에서 최초의 전사적 CRO로 임명되어 ERM 모델을 도입한 이후,^[8] 여러 기업에서 ERM 도입을 검토하기 시작했다. 2002년 미국에서 제정된 사베인스-옥슬리법은 기업 재무 정보의 투명성과 경영진의 책임을 강화하면서 CRO 및 ERM 도입의 필요성을 더욱 높이는 계기가 되었다. 또한 2008년 세계 금융 위기는 개별 위험 관리의 한계를 드러내고 통합적인 위험 관리 시스템, 즉 ERM의 중요성을 전 세계적으로 인식시키는 결정적인 사건이었다. 이러한 배경 속에서 CRO의 역할은 단순한 위험 통제를 넘어 기업의 전략적 의사결정을 지원하고 지속 가능한 성장을 도모하는 핵심적인 위치로 발전하게 되었다.^[8]

ERM은 단순히 위험을 회피하거나 최소화하는 것을 넘어, 위험을 기업의 전략 및 성과와 연계하여 관리하는 것을 목표로 한다. 이를 위해 CRO는 위험 관리 정책 및 프레임워크를 개발하고, 위험 관리 문화를 조직 전체에 전파하며, 식별된 위험에 대한 대응 전략을 수립하고 실행한다.^[7] 효과적인 ERM 시스템은 기업이 잠재적 위협에 선제적으로 대응하고, 예상치 못한 손실을 줄이며, 자원을 효율적으로 배분하여 궁극적으로 기업의 경쟁력을 강화하는 데 기여한다. 위험 관리 노력이 부족하거나 실패할 경우, 위기 발생 후 사후 대응에 급급하게 되지만, ERM은 '위험 챔피언'(Risk Champion)과 같은 역할을 통해 위험 관리 문화를 정착시키고 지속적인 개선을 추구한다. 이 위험 챔피언은 점차 공식적인 고위 경영진 직위인 CRO로 발전하는 경우가 많다. ERM의 구체적인 정의와 이점, 주요 접근 방식 및 프레임워크에 대한 상세 내용은 관련 하위 항목에서 확인할 수 있다.

5. 1. ERM의 정의

• COSO: 2004년 COSO는 ERM을 '조직의 이사회, 경영진 및 기타 인력이 수행하는 과정'으로 정의했다. 이는 전략 수립 단계부터 전사적으로 적용되며, 조직에 영향을 줄 수 있는 잠재적 사건을 미리 파악하고 조직이 감수할 수 있는 위험 수준 내에서 이를 관리하여, 궁극적으로 조직 목표 달성에 대한 합리적인 확신을 제공하기 위해 설계된 것이다.^[27]
• ISO (ISO 31000): ISO는 ERM을 '위험과 관련하여 조직을 지휘하고 통제하기 위한 조정된 활동'으로 정의한다.^[28]
• 제임스 람: 제임스 람은 ERM을 '사업 목표 달성, 예상치 못한 수익 변동성 완화, 기업 가치 증대를 위해 핵심 위험을 관리하는 포괄적이고 일관된 체계'로 보았다. 이는 예상 결과에서 벗어날 수 있는 변수인 위험을 줄여 부가가치를 창출하는 기능으로 설명될 수 있다.

5. 2. ERM의 이점

5. 3. ERM과 사일로(Silo) 접근 방식 비교

• 효율성 향상: CRO와 통합된 팀은 개별 위험과 이들 간의 상호 의존성을 더 효과적으로 관리할 수 있다.
• 보고 개선 및 투명성 확보: 고위 경영진이나 이사회 등 다양한 이해관계자에게 전달될 위험 보고서 내용의 우선순위를 정함으로써 더 나은 보고 체계를 구축하고, 결과적으로 조직 전체의 투명성을 높일 수 있다.
• 비즈니스 성과 향상: 위험 관리 팀이 ERM 접근 방식을 사용하여 가격 책정, 제품 개발, 인수 합병과 같은 주요 경영 의사 결정을 지원할 때, 수익 증대 및 주주 가치 향상과 같은 긍정적인 결과를 가져올 수 있다. ERM은 여러 위험 사일로를 통합하여 회사 전체의 위험 포트폴리오를 구성하고, 모든 위험 노출의 변동성 및 상관관계를 고려함으로써 분산 효과를 극대화할 수 있다.

5. 4. ERM의 구성 요소 (COSO 프레임워크)

• '''지배 구조 및 문화''': 조직의 프로세스를 구축하고 회사 전체에서 위험을 측정하고 관리하기 위한 바람직한 문화를 정의한다. 이는 하향식 위험 관리로 이어진다.
• '''전략 및 목표 설정''': 전략을 실행 가능한 사업 목표로 전환한다. 이 사업 목표는 위험을 식별하고, 평가하며, 대응하기 위한 기초가 된다. 또한, 비즈니스 환경을 분석하고 위험 감수 수준을 정의하며, 대체 전략을 평가하는 과정을 포함한다.
• '''성과''': 전략 및 사업 목표 달성에 영향을 미칠 수 있는 위험을 식별하고, 그 심각성을 평가하여 우선순위를 정한다. 이후, 회사는 위험에 대한 대응 방안을 선택하고 포트폴리오 관점을 개발한다. 마지막 단계에서는 주요 위험 관련 이해관계자에게 결과를 보고한다.
• '''검토 및 수정''': 시간이 지남에 따라 전사적 위험 관리 구성 요소들이 얼마나 효과적으로 작동하는지 평가한다. 또한, 위험과 성과를 검토하고 필요한 경우 회사 운영과 위험 관리를 개선한다.
• '''정보, 의사 소통 및 보고''': 위험 정보를 효과적으로 전달하고, 회사의 주요 이해관계자에게 위험, 문화, 성과에 대한 보고서를 작성한다.^[39][40]

6. ERM 모델의 구현

전사적 위험 관리(ERM) 모델을 효과적으로 구현하는 것은 조직의 성공에 필수적이다. 이는 단순히 특정 부서의 업무가 아니라, 조직 전체의 전략과 운영에 걸쳐 통합적으로 접근해야 하는 복잡한 과정이다.^[8] 최고 위기 관리자(CRO)는 이러한 ERM 구현 과정에서 핵심적인 역할을 수행하며, 조직 전체의 위험을 식별, 평가, 관리하는 책임을 진다.^[6][7]

성공적인 ERM 모델 구현을 위해서는 기업 지배 구조의 확립, 효과적인 경영 방식의 적용, 포트폴리오 관리를 통한 위험 분산, 적절한 위험 이전 전략 수립, 그리고 다양한 이해관계자와의 관계 관리 등 여러 중요한 요소들을 종합적으로 고려해야 한다. 이러한 각 요소들은 조직이 직면한 위험을 효과적으로 관리하고 조직의 목표 달성에 기여한다.

6. 1. 기업 지배 구조

6. 2. 경영

• 생산 과정을 기업의 전반적인 위험 관리 정책과 일치시킨다.
• 예상되는 손실이나 위험 관리 비용 등을 생산 비용이나 투자 결정 기준(허들 레이트)에 반영한다.
• 생산 관리자가 감수할 수 있는 위험 수준을 더 명확히 이해하도록 돕는 효율적이고 투명한 위험 검토 절차를 만든다.

6. 3. 포트폴리오 관리

6. 4. 위험 이전

6. 5. 이해관계자 관리

7. CRO의 한계

최고 위기 관리자(CRO)는 기업의 위험을 관리하고 완화하는 데 핵심적인 역할을 수행하지만, 그 역할에는 명확한 한계가 존재한다. CRO는 위험 관리 부서를 이끌며 일상적인 위험 통제에 대한 재량권을 가지지만, 모든 위험을 완전히 통제하거나 제거할 수는 없다.^[43][44] 위험이라는 요소는 본질적으로 기업 운영에서 완전히 배제될 수 없기 때문이다.^[44]

특히 잠재적 위험의 규모가 크거나 회사 전체에 중대한 영향을 미칠 수 있는 경우에는 CRO 단독으로 최종 결정을 내리기 어렵다. 이러한 상황에서는 최고경영자(CEO)나 이사회에 상황을 보고하고 향후 조치에 대한 지침을 받아야 하는 등 의사결정 권한에 제약이 따른다.^[44]

또한, 사베인스-옥슬리법(SOX)과 같은 외부 규제 환경의 변화 역시 CRO의 역할과 책임 범위를 규정하는 중요한 요소로 작용한다.^[45] 이러한 법규 준수 의무는 CRO에게 중요한 책임을 부여하는 동시에 활동의 제약 조건이 되기도 한다.^[46] 결국 CRO는 조직 내 보고 체계와 외부 규제라는 틀 안에서 위험 관리 전략을 수립하고 실행해야 하는 한계를 지닌다.

7. 1. 권한의 한계

7. 2. 사베인스-옥슬리법(SOX) 준수

참조

_[1] 웹사이트 Credit Suisse removes senior executives after $4.7bn Archegos losses https://www.ft.com/c[...] 2021-04-06
_[2] 논문 The impact of chief risk officer appointments on firm risk and operational efficiency https://onlinelibrar[...] 2022-04
_[3] 뉴스 Chief Risk Officer - CRO https://www.investop[...] 2011-06-26
_[4] 웹사이트 Insights: The role of the Chief Risk Officer in the spotlight https://www.towerswa[...] 2017-12-16
_[5] 뉴스 Whitepaper: How to progress and be successful in a Chief Risk Officer role https://www.morganmc[...] 2017-12-16
_[6] 웹사이트 Role of the Chief Risk Officer - ERM - Enterprise Risk Management Initiative {{!}} North Carolina State Poole College of Management https://erm.ncsu.edu[...] 2017-12-12
_[7] 웹사이트 Managing Risks: A New Framework https://hbr.org/2012[...] 2017-12-02
_[8] 논문 Part Three: The role of the chief risk officer (CRO) http://onlinelibrary[...] 2005
_[9] 뉴스 Chief Risk Officer - CRO https://www.investop[...] 2011-06-26
_[10] 뉴스 What is chief risk officer (CRO)? - Definition from WhatIs.com http://searchcomplia[...] 2017-12-06
_[11] 웹사이트 Goldman Sachs {{!}} Management Committee - Craig W. Broderick http://www.goldmansa[...] 2017-12-12
_[12] 웹사이트 Joachim Oechslin https://www.credit-s[...] 2017-12-12
_[13] 뉴스 Allianz Global CRO Thomas Wilson: The CRO's Role in Value Creation and Corporate Strategy http://deloitte.wsj.[...] 2017-12-12
_[14] 웹사이트 Stefano Rettore {{!}} ADM https://www.adm.com/[...] 2017-12-12
_[15] 뉴스 Yamaha Expands Nationwide, Pilots Pre-owned https://powersportsf[...] 2017-12-12
_[16] 문서 "“The evolving role of the CRO – Eiu” by Economist Intelligence Unit"
_[17] 웹사이트 A View from the Top: The Growing Role of the Chief Risk Officer http://cf.rims.org/M[...]
_[18] 웹사이트 Role of the Chief Risk Officer | ERM - Enterprise Risk Management Initiative | NC State Poole College of Management https://erm.ncsu.edu[...] 2023-03-16
_[19] 웹사이트 Role of the Chief Risk Officer https://erm.ncsu.edu[...] 2005-05-01
_[20] 웹사이트 Job Profile: Chief Risk Officer http://www.master-of[...]
_[21] 서적 Enterprise Risk Management Wiley
_[22] 웹사이트 Part Three: The role of the chief risk officer (CRO) http://onlinelibrary[...] 2009-07-23
_[23] 웹사이트 Chief Risk Officer (CRO) Salary | PayScale https://www.payscale[...] 2023-03-16
_[24] 웹사이트 Salary: Chief Risk Officer (March, 2023) | Glassdoor https://www.glassdoo[...] 2023-03-16
_[25] 웹사이트 Job Profile: Chief Risk Officer https://www.master-o[...] 2023-03-16
_[26] 웹사이트 Enterprise Risk Management – Integrated Framework https://www.coso.org[...] 2017-12-01
_[27] 간행물 “Overview of Enterprise Risk Management.” Casualty Actuarial Society 2003
_[28] 서적 Enterprise risk management: from incentives to controls Wiley
_[29] 서적 Enterprise Risk Management John Wiley & Sons, Inc.
_[30] 논문 The Determinants of Enterprise Risk Management: Evidence From the Appointment of Chief Risk Officers 2003
_[31] 논문 Enterprise Risk Management: Theory and Practice 2006
_[32] 문서 Enterprise Risk Management: From Incentives to Controls, by James Lam (2003)
_[33] 뉴스 SEC Looking for Chief Risk Officer - Radical Compliance http://www.investing[...] 2017-11-16
_[34] 웹사이트 Sarbanes Oxley Act Section 1107 http://www.sarbanes-[...] 2017-12-21
_[35] 뉴스 SEC Looking for Chief Risk Officer - Radical Compliance http://www.radicalco[...] 2017-11-16
_[36] 문서
_[37] 웹사이트 COSO - About us. https://www.coso.org[...] 2017-11-25
_[38] 웹사이트 COSO – Guidance on Enterprise Risk Management. https://www.coso.org[...] 2017-11-25
_[39] 웹사이트 COSO: Enterprise Risk Management – Integrating with Strategy and Performance https://web.archive.[...] 2017-12-11
_[40] 서적 Components of ERM. John Wiley & Sons, Inc.
_[41] 서적 Enterprise risk management: from incentives to controls Wiley
_[42] 웹사이트 Stakeholder Management https://www.cleveris[...] 2016-10-13
_[43] 논문 Risk management, corporate governance, and bank performance in the financial crisis. Journal of Banking and Finance, Journal of Banking and Finance {{!}}
_[44] 웹사이트 chief-risk-officer {{!}} https://www.investop[...]
_[45] 웹사이트 The Chief Risk Officer as Trojan Horse {{!}} http://faculty.chica[...]
_[46] 웹사이트 PUBLIC LAW 107–204—JULY 30, 2002 {{!}} https://www.sec.gov/[...]