COSO 전사적 리스크 관리(ERM) 프레임워크

5가지 구성요소를 클릭하여 핵심 원칙과 설명을 확인해보세요.

1. 거버넌스 및 문화 (Governance and Culture)

거버넌스와 문화는 다른 모든 ERM 구성요소의 기초를 형성합니다. 거버넌스는 조직의 방향성을 설정하고, ERM에 대한 감독 책임을 수립하며, 문화는 의사결정에 반영됩니다.

D: 바람직한 문화 정의 (Defines Desired Culture)

조직이 추구하는 바람직한 문화를 특징짓는 행동을 정의합니다. 문화는 조직이 리스크를 식별하고, 수용하며, 관리하는 방식에 영향을 미칩니다.

O: 이사회 감독 (Exercises Board Oversight)

이사회는 전략에 대한 감독을 제공하고, 경영진이 전략과 사업 목표를 달성하도록 지원하기 위해 거버넌스 책임을 수행합니다.

V: 핵심가치에 대한 헌신 (Demonstrates Commitment to Core Values)

조직은 핵심가치에 대한 헌신을 보여줍니다. 최고 경영층의 지원 없이는 리스크 인식이 저해될 수 있습니다.

E: 유능한 인재 유치, 개발 및 유지 (Attracts, Develops, and Retains Capable Individuals)

전략 및 사업 목표에 부합하는 인적 자본을 구축하기 위한 노력을 기울입니다.

S: 운영 구조 수립 (Establishes Operating Structure)

전략과 사업 목표를 추구하기 위해 운영 구조를 수립합니다. 이는 일상적인 운영을 조직하고 수행하는 방식을 설명합니다.

2. 전략 및 목표 설정 (Strategy and Objective-Setting)

ERM은 전략 및 사업 목표 설정 과정에 통합됩니다. 이 과정에서 내외부 요인과 비즈니스 상황에 따른 리스크 영향을 고려합니다.

S: 대안 전략 평가 (Evaluates Alternative Strategies)

대안 전략과 그 실행 과정에서 조직이 직면할 수 있는 복합적인 리스크에 대한 잠재적 영향을 평가합니다.

O: 사업 목표 수립 (Formulates Business Objectives)

전략을 달성하기 위해 조직이 수행하는 측정 가능한 단계를 사업 목표로 수립합니다. 사업 목표는 리스크 선호도와 일치해야 합니다.

A: 비즈니스 상황 분석 (Analyzes Business Context)

조직의 현재 및 미래 전략과 사업 목표에 영향을 미치거나, 명확히 하거나, 변경할 수 있는 추세, 사건, 관계 및 기타 요인들을 분석합니다.

R: 리스크 선호도 정의 (Defines Risk Appetite)

가치 창출, 보존, 실현의 맥락에서 리스크 선호도를 정의합니다. 이는 조직이 가치를 추구하면서 기꺼이 수용하려는 리스크의 유형과 양을 나타냅니다.

3. 성과 (Performance)

전략 및 사업 목표 달성에 영향을 미칠 수 있는 리스크를 식별하고 평가합니다. 리스크는 심각도에 따라 우선순위를 정하고, 조직의 리스크 선호도를 고려하여 대응 방안을 선택합니다.

V: 포트폴리오 관점 개발 (Develops Portfolio View)

조직이 직면한 리스크에 대한 종합적인 관점(포트폴리오 관점)을 개발하고 평가합니다. 이를 통해 리스크의 유형, 심각도, 상호의존성을 고려할 수 있습니다.

A: 리스크 심각도 평가 (Assesses Severity of Risk)

식별된 리스크의 심각도를 평가합니다. 심각도는 리스크의 영향(결과)과 발생 가능성(확률)과 관련됩니다.

P: 리스크 우선순위 결정 (Prioritizes Risk)

리스크 대응 방안을 결정하기 위한 기초로서 리스크의 우선순위를 정합니다. 리스크 심각도, 관련 사업 목표의 중요성, 리스크 선호도 등을 고려합니다.

I: 리스크 식별 (Identifies Risks)

전략 및 사업 목표 달성 성과에 영향을 미칠 수 있는 리스크를 식별하여 리스크 목록(인벤토리)을 작성합니다.

R: 리스크 대응 방안 실행 (Implements Risk Responses)

수용(Accept), 회피(Avoid), 추구(Pursue), 완화(Reduce), 공유(Share) 등 식별된 리스크에 대한 대응 방안을 실행합니다.

4. 검토 및 수정 (Review and Revision)

비즈니스 상황이 시간에 따라 변할 수 있으므로, 조직은 전략과 사업 목표를 지속적으로 평가해야 합니다. 리스크 선호도에 맞춰 사업 목표가 적절하게 유지되도록 필요에 따라 비즈니스 관행을 수정하고 역량을 보완합니다.

S: 중대한 변화 평가 (Assesses Substantial Change)

전략과 사업 목표에 중대한 영향을 미칠 수 있는 변화를 식별하고 평가합니다. 이는 내외부 환경 변화 및 문화 변화를 포함할 수 있습니다.

I: ERM 개선 추구 (Pursues Improvement in Enterprise Risk Management)

전사적 리스크 관리의 개선을 추구합니다. 새로운 기술, 거버넌스 구조 변경, 커뮤니케이션 강화 등을 통해 효율성과 유용성을 개선할 기회를 찾습니다.

R: 리스크와 성과 검토 (Reviews Risk and Performance)

목표 달성이라는 맥락에서 조직의 성과를 평가하고, 리스크가 식별되고 고려되었는지, 새로운 리스크가 나타나고 있는지 등을 검토합니다.

5. 정보, 커뮤니케이션 및 보고 (Information, Communication, and Reporting)

커뮤니케이션은 정보를 획득하고 조직 전체에 공유하는 지속적이고 반복적인 과정입니다. 경영진은 내외부의 관련 정보를 사용하여 ERM을 지원하고, 정보 시스템을 활용하여 리스크, 문화, 성과에 대해 보고합니다.

T: 정보 및 기술 활용 (Leverages Information and Technology)

조직의 정보 및 기술 시스템을 활용하여 관련 정보로 조직을 지원합니다. 관련 정보는 조직이 의사결정을 더 민첩하게 하고 경쟁 우위를 제공하는 데 도움이 됩니다.

I: 리스크 정보 소통 (Communicates Risk Information)

다양한 커뮤니케이션 채널을 사용하여 ERM을 지원합니다. 내외부 이해관계자 및 이사회와 소통하며, 그 효과성을 평가합니다.

P: 리스크, 문화, 성과 보고 (Reports on Risk, Culture, and Performance)

조직 전반의 여러 수준에서 리스크, 문화, 성과 간의 관계에 대해 보고합니다. 보고 빈도는 리스크의 심각도와 우선순위에 비례해야 합니다.