살아남기(BCP) → 법 지키기(GRC) → 계약 따내기(ESG): 리스크 관리의 현실 진화
"측정할 수 없으면 관리할 수 없고, 관리할 수 없으면 개선할 수 없다."
(If you can’t measure it, you can’t manage it. If you can’t improve it.)
피터 드러커 (Peter Drucker)
오늘날 많은 중소기업(SME) 경영진에게 **ESG(Environment, Social, Governance)**는 대기업에나 해당되는 '비용 부담'이자 '규제 장벽'으로 인식됩니다. 하지만 이는 ESG를 완전히 새로운 '별개의 과업'으로 오해하기 때문입니다.
ESG는 사실 기업이 생존을 위해 본능적으로 수행해 온 **리스크 관리 활동의 '전략적 진화형'**입니다. 중소기업의 리스크 관리는 일반적으로 기업의 성장과 성숙도에 따라 체계화되는 경로를 따릅니다.
본 포스팅에서는 중소기업이 어떻게 '생존'을 위한 리스크 관리를 '가치 창출'을 위한 ESG 경영으로 발전시킬 수 있는지, 그 구체적인 진화 단계와 통합 전략을 제시합니다.
1. 중소기업 리스크 관리의 3단계 진화 모델
대부분의 중소기업은 리스크 관리를 '비용'으로 인식하지만, 실제로는 이미 다양한 형태의 리스크 관리를 수행하고 있습니다. 핵심은 이 활동들을 어떻게 인식하고 체계화하여 다음 단계로 나아갈 것인지에 있습니다.
1단계: BCP (Business Continuity Planning) - 생존을 위한 기반
초점: 운영 리스크 (Operational Risk)
주요 활동: 화재, 홍수, 공장 설비 고장, 팬데믹, 핵심 인력의 갑작스러운 퇴사 등 당장 기업의 '운영 중단(셧다운)'을 초래할 수 있는 물리적/인적 재난에 대비하는 것입니다.
의미: 이는 가장 본능적이고 기초적인 리스크 관리입니다. BCP가 갖춰지지 않은 기업은 단 한 번의 사고로도 존폐의 기로에 설 수 있습니다. 이는 ESG의 E(환경 - 물리적 리스크)와 S(사회 - 산업 안전, 보건)의 가장 기초적인 형태입니다.
2단계: GRC (Governance, Risk, Compliance) - 체계를 위한 통제
초점: 재무 및 법률 리스크 (Financial & Legal Risk)
주요 활동: 기업 규모가 커지고 이해관계자가 복잡해지면서, 법규 준수(Compliance)가 중요해집니다. 근로기준법, 중대재해처벌법, 공정거래법, 회계 투명성 확보 등 '법적' 리스크를 관리하고 내부 통제 시스템(Governance)을 구축하는 단계입니다.
의미: BCP가 '외부의 갑작스러운 충격'에 대비한다면, GRC는 '내부의 체계 부재'로 인한 리스크를 관리합니다. 이는 ESG의 G(지배구조)와 S(사회 - 노무, 법규 준수)를 체계화하는 단계입니다.
3단계: ESG 통합 - 지속가능한 성장을 위한 전략
초점: 전략적 리스크 및 기회 (Strategic Risk & Opportunity)
주요 활동: 기업이 상장을 준비하거나, 글로벌 공급망의 핵심 파트너로 성장할 때 직면하는 단계입니다. 이제 리스크 관리는 단순히 '손실 방지'가 아닌, **'이해관계자의 요구 충족'**으로 확장됩니다.
투자자는 'G(투명성)'를 요구합니다.
원청사(고객)는 'E(탄소 배출)'와 'S(인권/안전)' 데이터를 요구합니다.
우수 인재는 'S(공정한 조직 문화)'를 요구합니다.
의미: ESG는 BCP와 GRC를 '포함'하고 '확장'하는 상위 개념입니다. BCP와 GRC가 '위기 관리(방어)'에 중점을 둔다면, ESG는 이를 기반으로 **'가치 창출(공격)'**까지 나아가는 전략입니다.
2. 조직 통합 전략: BCP와 GRC는 ESG의 '뿌리'다
그렇다면 ESG팀을 새로 만들어야 할까요? 아닙니다. 중소기업의 한정된 자원 하에서 이는 비효율적입니다. BCP, GRC, ESG는 별개가 아닌 '연결된 진화 과정'이므로 기존 조직을 기반으로 통합하고 R&R(역할과 책임)을 확장해야 합니다.
BCP 조직은 ESG로 어떻게 통합되는가?
BCP의 '재난 대응' 시나리오는 ESG의 E(환경) 리스크 분석으로 고도화됩니다. (예: 기후 변화로 인한 홍수 빈도 증가를 BCP에 반영)
BCP의 '안전 보건' 대응은 ESG의 S(사회) 리스크 관리의 핵심이 됩니다. (예: 중대재해 예방)
GRC 조직은 ESG로 어떻게 통합되는가?
GRC의 G(지배구조)는 ESG의 G와 거의 일치합니다. GRC의 법무/컴플라이언스 기능은 ESG의 S(노동, 인권, 공정거래) 리스크를 관리합니다.
GRC의 리스크 관리 프레임워크는 E(환경) 리스크(예: 탄소 규제)라는 '비재무적 리스크'까지 포함하도록 확장됩니다.
결론적으로, BCP와 GRC는 ESG 경영을 위한 '실행 조직'이자 '데이터의 원천'이 됩니다. ESG 경영팀(혹은 담당자)은 이들 조직에서 취합된 데이터를 바탕으로 대외 보고(공시) 및 전략 수립을 총괄하는 '컨트롤 타워' 역할을 수행합니다.
3. 법인 형태별 맞춤형 진화 전략
모든 중소기업이 3단계(ESG)로 당장 나아갈 필요는 없습니다. 기업이 처한 상황에 따라 우선순위가 다릅니다.
1) 상장 법인 (Listed SMEs)
진화 단계: 이미 **3단계(ESG 통합)**에 강제로 진입한 상태입니다.
핵심 동인: 투자자(IR) 및 규제 기관(공시 의무)
전략: GRC를 기반으로 'G(지배구조)'의 투명성을 최우선으로 확보해야 합니다. BCP와 GRC 활동을 ESG 성과로 재해석하고 공시 데이터를 체계적으로 관리하는 것이 급선무입니다.
2) 기타 법인 (Non-listed SMEs: B2B 중심)
진화 단계: **1단계(BCP) 또는 2단계(GRC)**에 머물러 있을 가능성이 높습니다.
핵심 동인: 원청사(고객사)의 공급망 실사 요구
전략: 'ESG'라는 용어에 매몰될 필요가 없습니다. 우선 고객사가 요구하는 것부터 대응해야 합니다.
"안전하게 운영되는가?" (BCP 및 S 리스크): 중대재해처벌법 대응, 산업 안전 보건 시스템(ISO 45001) 구축
"법을 지키는가?" (GRC 및 S 리스크): 근로기준법, 하도급법 등 준수
"환경 규제를 지키는가?" (E 리스크): 폐기물 관리, 에너지 사용량(탄소 배출량) 기초 데이터 관리
결론: ESG는 '새로운 짐'이 아닌 '리스크 관리의 완성'
중소기업에게 ESG는 '처음부터 다시 시작해야 하는' 완전히 새로운 과제가 아닙니다.
이는 기업이 생존을 위해 수행해 온 BCP(운영 안정성)와 GRC(법적 안정성)라는 기반 위에, '지속가능성'이라는 전략적 목표를 더하는 **리스크 관리의 자연스러운 '최종 진화 단계'**입니다.
지금 당장 우리 회사의 BCP와 GRC 활동을 점검해 보십시오. 그것이 바로 우리 회사 ESG의 '첫걸음'이자 핵심입니다. 그 기반을 체계화하고 확장하는 것이 곧 위기를 기회로 바꾸는 가치 창출의 시작입니다.
댓글 없음:
댓글 쓰기