ERM 프레임워크 핵심 요약
COSO ERM 프레임워크 (2017년 개정판)
본 프레임워크는 조직이 전략 및 성과와 리스크 관리를 통합하여 가치를 창출, 보존, 실현하는 것을 돕기 위해 설계되었습니다.
핵심 개념
- 리스크(Risk): 이벤트가 발생하여 전략 및 사업 목표 달성에 영향을 미칠 가능성.
- 전사적 리스크 관리(ERM): 조직이 가치를 창출, 보존, 실현하기 위해 리스크를 관리할 때 의존하는 문화, 역량 및 실행. 전략 설정 및 성과와 통합됩니다.
- 가치(Value): 주주를 위해 가치를 제공하는 것이 모든 기업의 존재 이유입니다. 가치는 창출, 보존, 잠식, 실현될 수 있습니다.
- 리스크 선호도(Risk Appetite): 가치를 추구함에 있어 조직이 기꺼이 수용하고자 하는 리스크의 유형과 양.
ERM의 5가지 구성요소 및 20가지 원칙
1. 거버넌스 및 문화 (DOVES)
거버넌스는 조직의 방향을 설정하고, 문화는 의사결정에 영향을 미칩니다.
- 바람직한 문화 정의 (Defines desired culture)
- 이사회 감독 수행 (Oxercises board oversight)
- 핵심 가치에 대한 헌신 (Demonstrates commitment to core Values)
- 유능한 인재 유치, 개발, 유지 (Attracts, develops, and retains capable individuals (Employees))
- 운영 구조 수립 (Establishes operating structure)
2. 전략 및 목표 설정 (SOAR)
리스크 선호도에 맞춰 전략과 사업 목표를 설정합니다.
- 대안 전략 평가 (Evaluates alternative Strategies)
- 사업 목표 수립 (Formulates business Objectives)
- 사업 환경 분석 (Analyzes business context)
- 리스크 선호도 정의 (Defines Risk appetite)
3. 성과 (VAPIR)
전략 달성에 영향을 미칠 수 있는 리스크를 식별하고 대응합니다.
- 포트폴리오 관점 개발 (Develops portfolio View)
- 리스크 심각도 평가 (Assesses severity of risk)
- 리스크 우선순위 결정 (Prioritizes risk)
- 리스크 식별 (Identifies risks)
- 리스크 대응 방안 실행 (Implements risk Responses)
4. 검토 및 개정 (SIR)
ERM 역량의 지속적인 개선을 추구합니다.
- 중대한 변화 평가 (Assesses Substantial change)
- 리스크 및 성과 검토 (Reviews risk and performance)
- ERM 개선 추구 (Pursues Improvement in enterprise Risk management)
5. 정보, 커뮤니케이션 및 보고 (Ongoing - TIP)
리스크 정보를 지속적으로 획득하고 조직 전체에 공유합니다.
- 정보 및 기술 활용 (Leverages information and Technology)
- 리스크 정보 소통 (Communicates risk Information)
- 리스크, 문화, 성과 보고 (Reports on risk, culture, and Performance)
ESG 리스크에 대한 적용
ERM 프레임워크는 환경(Environmental), 사회(Social), 거버넌스(Governance) 관련 리스크를 식별, 대응 및 보고하는 데 효과적으로 적용될 수 있습니다. 이를 통해 ESG를 단순한 규제 준수를 넘어 전략 계획의 핵심 요소로 통합할 수 있습니다.
COSO ERM Framework (2017 Update)
This framework is designed to help organizations integrate risk management with strategy and performance to create, preserve, and realize value.
Core Concepts
- Risk: The possibility that events will occur and affect the achievement of strategy and business objectives.
- Enterprise Risk Management (ERM): The culture, capabilities, and practices, integrated with strategy-setting and performance, that organizations rely on to manage risk in creating, preserving, and realizing value.
- Value: The underlying premise is that every entity exists to provide value for stakeholders. Value can be created, preserved, eroded, and realized.
- Risk Appetite: The types and amount of risk, on a broad level, an organization is willing to accept in its pursuit of value.
The 5 Components and 20 Principles of ERM
1. Governance & Culture (DOVES)
Governance sets the tone, and culture influences decision-making.
- Defines desired culture
- Oxercises board oversight
- Demonstrates commitment to core Values
- Attracts, develops, and retains capable individuals (Employees)
- Establishes operating structure
2. Strategy & Objective-Setting (SOAR)
Sets strategy and business objectives in line with risk appetite.
- Evaluates alternative Strategies
- Formulates business Objectives
- Analyzes business context
- Defines Risk appetite
3. Performance (VAPIR)
Identifies and responds to risks that might affect strategy achievement.
- Develops portfolio View
- Assesses severity of risk
- Prioritizes risk
- Identifies risks
- Implements risk Responses
4. Review & Revision (SIR)
Pursues continuous improvement of ERM capabilities.
- Assesses Substantial change
- Reviews risk and performance
- Pursues Improvement in enterprise Risk management
5. Information, Communication, & Reporting (Ongoing - TIP)
Continuously obtains and shares risk information throughout the entity.
- Leverages information and Technology
- Communicates risk Information
- Reports on risk, culture, and Performance
Application to ESG Risks
The ERM framework can be effectively applied to identify, respond to, and report on Environmental, Social, and Governance (ESG) related risks. This helps integrate ESG from a periodic compliance matter into a core element of strategic planning.