이 기사는 2010년 04월 13일 10:44 thebell 에 표출된 기사입니다.

리먼브러더스나 메릴린치의 사례에서 알 수 있듯이, 리스크 관리의 핵심은 지배구조에 있다. 아무리 훌륭한 리스크 관리 시스템을 갖고 있더라도, CEO가 리스크 정책을 마음대로 바꿀 수 있다면 소용이 없다. CEO가 CRO를 마음대로 해고할 수 있고, 이사회가 리스크 정책에 무지하다면 리스크 관리는 성공하기 어렵다.

◇ "경영진이 리스크 통제 시스템 폐기"

파산 신청 전 리먼브러더스의 글로벌 리스크관리그룹(GRMG)은 450명의 전문가로 구성돼 있었다. 감독당국이나 신용평가사는 리먼브러더스의 핵심 경쟁력으로 리스크 관리를 꼽는데 주저하지 않았다. 2004∼2007년까지 리먼브러더스의 CRO를 역임한 매덜린 안톤식(Madelyn Antoncic)은 골드만삭스, 바클레이즈 등에서 리스크 관리 경력을 쌓은 전문가였다. 리먼브러더스 리스크위원회의 정식 멤버로도 참여했다.

하지만 2007년초 공격적인 영업확장 전략에 반대의사를 밝힌 이후, CRO의 위상은 순식간에 달라졌다.

안톤식은 "예전에는 리스크위원회가 매주 수요일 열렸지만 2007년부터는 비정기적으로 개최됐고 수시로 취소됐다"면서 "리스크위원회 구성원이었지만 회의에 전혀 참석할 수 없었다"고 당시 상황을 회고했다. '밸루카스 보고서'에 따르면, 2007년 리먼브러더스의 리스크위원회는 2번밖에 소집되지 않았다.

CEO이자 이사회 의장이었던 리처드 풀드 회장은 2007년 9월 특별한 사유없이 안톤식을 해고하고, CFO였던 크리스토퍼 오메이라를 CRO로 앉혔다. 오메이라는 리스크 관리업무를 해본 적이 없었다.

'밸루카스 보고서'는 "리먼브러더스는 공격적인 자산 성장 전략을 추구하면서, 회사의 리스크 통제 시스템을 무시하고 폐기해버렸다"고 평가했다.

리스크관리책임자인 CRO의 위상 약화는 경영진을 견제해야 하는 이사회의 무기력을 낳았다. 2006∼2008년까지 리먼브러더스 경영진은 스트레스 테스트에 상업용 부동산 투자와 자기자본투자가 빠져있다는 사실을 이사회에 알리지 않았다. 차입성대출(leveraged loan)을 개별투자한도 심사에서 제외했다는 사실도 리스크위원회에 보고하지 않았다.

경영진이 CRO를 배제한 채 리스크 정책을 마음대로 변경하고 있었지만, 이사회는 아무런 견제도 할 수 없었다.

세계적인 컨설팅회사 올리버 와인만은 "금융위기의 첫번째 교훈은 리스크 지배구조가 중요하다는 것"이라며 "선진 금융기관 다수가 최고경영진의 리스크 감독의 취약성

을 드러냈다"고 지적했다.

반면, JP모건은 당일 영업 종료 후 1쪽 분량의 시장 리스크 보고서를 CEO에게 제출하며, CRO가 CEO 뿐만 아니라 이사회에도 직접 보고하는 체계를 갖추고 있다.

무디스가 유럽, 북미, 아시아태평양 지역의 35개 대형은행의 리스크 지배구조를 평가한 결과, CRO가 CEO 및 이사회에 모두 리스크 관련 현안을 보고하는 곳은 JP모건,

맥쿼리, 산탄데르 등 3곳 뿐이었다.

◇ 바젤委·워커리뷰 "CRO의 지위 보장돼야"

글로벌 금융감독 당국은 금융위기를 통해 드러난 리스크 지배구조의 취약점을 인식하고 보완작업에 나섰다.

영국 금융감독청(FSA)은 작년 11월 발표한 지배구조 개선안('워커 리뷰')에서 "기업 전반에 걸쳐 최고위급에서 리스크관리 절차를 감독하는 CRO를 둬야 하며, CRO는 개별 사업단위로부터 절대적으로 독립된 지위를 확보해야 한다"고 조언했다.

'워커 리뷰'는 또 "CRO는 CEO나 CFO에게 보고하는 것과 함께, 리스크위원회에 보고해야 하며 필요할 경우 이사회 의장과 직접 접촉할 수 있어야 한다"고 강조했다.

경제협력개발기구(OECD)는 올해 2월 발표한 '기업지배구조 개선 보고서'에서 금융위기 과정에서 드러난 이사회의 무능력을 꼬집으면서, ▲이사회의 리스크 감시기능 강화 ▲CRO의 독립성 확보 ▲리스크 공시 강화 등을 권고했다.

OECD는 "금융위기를 통해 이사회가 회사가 직면한 리스크에 무지한 경우가 많다는 사실이 드러났다"면서 "회사의 전략과 리스크 한도를 책임지고 있는 이사회는 전사적

인 리스크 관리 시스템을 수립하고 감시하는 역할까지 수행해야 한다"고 지적했다.

이를 위해 OECD는 "리스크관리 부서가 현업부서와 독립돼야 하며, CRO는 이사회에 직보할 수 있어야 한다는 게 모범규준"고 강조했다.

국제 은행감독기구인 바젤은행감독위원회(BCBS)도 리스크와 관련한 이사회의 무한 책임과 CRO의 독립성이 필수적이라고 밝혔다.

BCBS는 지난달 발표한 '지배구조 개선원칙(안)'에서 "이사회는 은행의 전략적 목표, 리스크 전략, 지배구조 등에 대해 궁극적인 책임을 져야 한다"면서 "이사회 수준의

리스크위원회를 설치해야 한다"고 조언했다.

동시에 "CRO는 CEO 뿐만 아니라 이사회에도 직접 보고할 수 있어야 하며, CRO와 이사회는 정례적으로 만날 수 있어야 한다"고 밝혔다.

특히 BCBS와 '워커리뷰'는 모두 CRO의 법적 지위를 보장해야 한다는 점을 명문화할 것을 권고했다.

BCBS는 "CRO를 해임할 경우 이사회의 사전 승인을 얻어야 하고, 감독기관과 협의할 것"을 권했다. '워커 리뷰' 역시 "CRO의 임기와 독립성을 명문화하고, CRO를 해임할 때에는 이사회의 사전 승인이 필요하다는 점을 명시해야 한다"고 강조했다.