프레임워크가 완벽해도, 사람은 완벽하지 않다
조직은 리스크를 관리하기 위해 막대한 자원을 투입한다. COSO ERM, ISO 31000 같은 검증된 프레임워크를 도입하고, 전문 인력을 채용하고, 정기적인 리스크 평가 프로세스를 구축한다. 그런데도 예상치 못한 리스크에 속수무책으로 당하거나, 잘못된 판단이 반복되는 이유는 무엇일까.
RIMS(Risk Management Magazine)에 실린 이 기사는 그 원인을 프레임워크의 결함이 아닌 인간의 인지 편향(cognitive bias)에서 찾는다. 세 명의 현업 전문가가 공동으로 집필한 이 글은, 아무리 정교한 ERM 시스템을 갖춰도 그것을 운용하는 사람의 인지적 왜곡이 전략적 판단, 위험 평가, 보고, 자원 배분 전반을 흐릴 수 있다고 경고한다. 그리고 이 편향은 제거할 수 없다. 다만 인식하고, 구조적으로 다룰 수 있을 뿐이다.
8가지 인지 편향: 현장에서 어떻게 작동하는가
1. 복잡성 편향 (Complexity Bias)
사람은 본능적으로 복잡한 것을 더 정교하고 신뢰할 수 있는 것으로 받아들이는 경향이 있다. ERM 현장에서 이 편향은 불필요하게 방대한 리스크 프레임워크, 수십 개의 평가 항목, 과도하게 세분화된 분류 체계로 나타난다. 복잡할수록 더 전문적이라는 착각이 실무를 무겁게 만들고, 정작 핵심 리스크에 집중하는 능력을 떨어뜨린다. 리스크 관리가 목적이 아닌 형식이 되어버리는 순간이다.
2. 혁신 편향 (Innovation Bias)
새로운 방법론, 새로운 도구, 새로운 프레임워크는 항상 기존 것보다 낫다는 믿음이다. 리스크 관리 영역에서도 최신 트렌드를 따르는 것이 선진적이라는 분위기가 존재한다. 문제는 검증되지 않은 방법론을 무비판적으로 도입하다가, 이미 조직에 잘 맞게 최적화된 기존 방식을 버리게 된다는 것이다. 혁신은 필요하지만, 혁신 자체가 목적이 되어서는 안 된다.
3. 자기 이익 편향 (Self-serving Bias)
성과가 좋을 때는 내부의 역량과 전략 덕분이고, 결과가 나쁠 때는 시장 환경이나 외부 변수 탓이라는 귀인 방식이다. 이 편향이 반복되면 조직은 실패로부터 배우지 못한다. 리스크 평가와 사후 검토 과정에서 책임 소재를 흐리고, 같은 실수를 구조적으로 반복하게 만드는 원인이 된다. 특히 리더십 레벨에서 이 편향이 강할수록 조직 전체의 리스크 학습 능력이 저하된다.
4. 과신 편향 (Overconfidence Bias)
자신의 예측 능력, 판단력, 리스크 통제 능력을 실제보다 높게 평가하는 경향이다. 과거에 성공 경험이 많을수록, 또는 해당 분야에 오래 있을수록 이 편향이 강해지는 경향이 있다. ERM에서 과신 편향은 낮은 확률의 고위험 시나리오를 "우리에게는 해당 없다"고 무시하게 만든다. 블랙스완 사건이 터졌을 때 "설마 이런 일이"라는 반응의 상당수는 이 편향에서 비롯된다.
5. 앵커링 편향 (Anchoring Bias)
의사결정 과정에서 처음 제시된 정보나 수치가 이후의 판단에 과도한 영향을 미치는 현상이다. 예를 들어 리스크 평가 회의에서 누군가가 먼저 특정 리스크의 발생 가능성을 "5% 정도"라고 말하면, 이후 참석자들의 판단은 그 수치를 기준점으로 형성된다. 실제 데이터나 논리보다 최초의 언급이 결론을 끌어당기는 셈이다. 회의 구조와 발언 순서 자체가 리스크 평가의 객관성에 영향을 미친다는 뜻이다.
6. 확증 편향 (Confirmation Bias)
이미 가지고 있는 믿음이나 가설을 뒷받침하는 정보는 적극적으로 수집하고, 그것을 반박하는 정보는 무시하거나 저평가하는 경향이다. 리스크 평가에서 이 편향은 특히 위험하다. "이 리스크는 별것 아니다"라는 초기 판단이 내려지면, 이후에는 그 판단을 강화하는 데이터만 눈에 들어오게 된다. 반대 신호는 노이즈로 처리된다. 결국 리스크 평가 보고서가 객관적 분석이 아닌 기존 견해의 정당화 문서가 되어버릴 수 있다.
7. 프레이밍 효과 (Framing Effect)
동일한 정보라도 어떻게 표현하느냐에 따라 판단과 의사결정이 달라지는 현상이다. "이 프로젝트는 실패 확률이 40%입니다"와 "이 프로젝트는 성공 확률이 60%입니다"는 수학적으로 동일하지만, 전자는 훨씬 더 큰 저항감을 불러일으킨다. ERM 보고 과정에서 리스크를 어떻게 프레이밍하느냐가 경영진의 판단과 자원 배분 결정에 직접적인 영향을 미친다. 의도하든 아니든, 프레이밍은 설득의 도구가 된다.
8. 집단사고 (Groupthink)
팀의 화합과 합의를 유지하려는 압력이 강해질수록, 반대 의견을 표명하기 어려워지고 비판적 사고가 억제된다. 특히 위계가 강한 조직문화에서 두드러진다. 회의실이 조용하고, 모두가 고개를 끄덕이고, 만장일치로 결론이 나는 상황이 항상 좋은 신호는 아니다. 반대 의견이 없다는 것은 모두가 동의한다는 뜻이 아니라, 아무도 감히 말하지 못한다는 뜻일 수 있다. 집단사고가 작동하는 조직에서 리스크는 제대로 논의되지 못하고 묻힌다.
편향은 제거할 수 없다. 구조로 다뤄야 한다
기사가 강조하는 핵심은 이렇다. 편향을 인식하는 것만으로는 부족하다. 개인의 의지나 훈련에만 기대는 접근은 한계가 있다. 편향을 줄이는 절차와 구조, 즉 시스템을 만들어야 한다.
프레임워크 단순화 — 복잡성 편향에 대응하려면 프레임워크 자체를 핵심 중심으로 재설계해야 한다. 항목의 수가 아니라 실질적 유용성이 기준이 되어야 한다.
앵커링 방지 장치 — 리스크 평가 회의 전에 사전 읽기 자료를 배포하고, 참석자들이 각자의 판단을 먼저 형성한 뒤 회의에 임하도록 구조화한다. 익명 의견 수집을 도입하면 초기 발언자의 영향력을 줄일 수 있다.
공식적인 반대 역할 제도화 — 회의에서 반대 의견을 제시하는 역할(devil's advocate)을 특정 참석자에게 공식적으로 부여한다. 개인의 용기에 의존하지 않고, 구조적으로 비판적 관점이 반드시 제기되도록 만드는 방식이다.
프레이밍 표준화 — 리스크 데이터를 보고할 때 특정 방향으로 해석을 유도하지 않도록, 데이터 제시 방식을 표준화한다. 손실 프레임과 이익 프레임을 함께 제시하는 방식도 고려할 수 있다.
사전 분석(Premortem) 도입 — 의사결정을 내리기 전에 "만약 이 결정이 실패로 끝난다면, 그 이유는 무엇일까?"를 미리 검토하는 프로세스다. 과신 편향을 사전에 견제하는 효과적인 도구로 알려져 있다.
심리적 안전성 구축 — 집단사고를 막으려면 반대 의견을 표명해도 불이익이 없다는 신뢰가 조직 내에 있어야 한다. 이는 단순한 문화 구호가 아니라, 리더십의 행동 방식으로 실제로 구현되어야 한다.
리스크 리더의 역할은 '편향 관리자'
기사는 결론적으로 리스크 관리 리더의 역할을 재정의한다. 리스크 자체를 식별하고 평가하는 것을 넘어서, 그 과정에서 발생하는 인지적 왜곡을 사전에 인식하고 최소화하며, 조직이 더 객관적인 판단을 내릴 수 있도록 환경을 설계하는 것이 리더의 책임이라는 것이다.
가장 통제하기 어려운 리스크는 시장도, 규제도, 기술도 아니다. 판단 자체를 조용히 왜곡하는, 우리 안에 있는 편향이다. 그리고 그것을 직면하는 것이 진짜 리스크 관리의 시작이다.
출처: Risk Management Magazine (RIMS) | 2025.11.06 기고: Shereen Williams (Risky Business SW, LLC CEO) / Jason Rosenberg (Autodesk 리스크·회복력 담당 수석 이사) / Lizan Sison (Gallagher ERM 전무이사)
