제3자 위험 관리(TPRM)에는 벤더, 공급업체, 계약업체 또는 파트너에 대한 아웃소싱과 관련된 위험을 식별, 평가 및 통제하는 것이 포함됩니다. 이러한 위험은 운영 성과, 재무 안정성, 규정 준수 및 평판에 영향을 미칠 수 있습니다. 효과적인 TPRM 프로그램은 제3자가 조직의 표준과 요구사항을 충족하도록 보장하여 잠재적인 업무 중단과 부정적 결과를 최소화합니다. 

최근 몇 년 동안 현대 공급망의 복잡성과 상호 연결성이 증가함에 따라 TPRM의 중요성이 크게 증가했습니다. 전 세계 6개 부문, 16개 국가, 지역, 관할권에서 1,263명의 고위 TPRM 전문가를 대상으로 실시한 KPMG International의 2022년 조사에 따르면 팬데믹 발생 전 771개 기업[1]에서 851개 기업의 전략적 우선 순위로 TPRM을 꼽은 것으로 나타났습니다[3]. 또한, 2022년 9월 100명의 경영진 리스크 위원회 위원을 대상으로 한 Gartner 설문조사에서 응답자의 84%가 타사 리스크 '누락'으로 인해 운영 중단이 발생했다고 답해 강력한 TPRM 프레임워크의 필요성을 강조했습니다[2]. 

ESG(환경, 사회, 거버넌스) 기준의 맥락에서 제3자 리스크 관리도 마찬가지로 중요합니다. 타사가 ESG 기준을 준수하도록 하는 것은 조직 운영의 지속 가능성과 윤리적 무결성을 유지하는 데 필수적입니다. 규제 조사가 강화되고 책임 있는 비즈니스 관행에 대한 소비자의 요구가 증가함에 따라 TPRM을 ESG 이니셔티브에 통합하면 기업은 보다 효과적으로 위험을 관리하고 긍정적인 환경 및 사회적 영향을 촉진할 수 있습니다. 이러한 연계는 조직의 평판을 보호할 뿐만 아니라 장기적인 회복탄력성과 성공에도 기여합니다. 

ESG의 제3자 리스크 이해  

먼저 공급업체, 공급업체, 계약업체 또는 비즈니스 파트너와 같은 외부 업체에 서비스나 기능을 아웃소싱할 때 발생하는 잠재적인 위협과 취약성을 의미하는 제3자 위험에 대해 살펴봅시다. 이러한 위험은 운영 중단, 재정적 손실, 법적 책임, 규정 위반, 평판 손상 등 다양한 형태로 나타날 수 있습니다. 기본적으로 제3자 위험은 외부 당사자의 행동, 통제 및 관행이 채용 조직의 기준이나 기대에 완전히 부합하지 않을 수 있는 외부 당사자에게 의존하는 데서 발생합니다. 기업이 글로벌 공급망과 상호 연결된 네트워크에 점점 더 의존함에 따라 강력한 제3자 위험 관리 시스템의 중요성이 더욱 커지고 있습니다. 이러한 시스템은 복원력, 규정 준수 및 지속적인 운영 무결성을 보장하여 제3자 의존성과 관련된 무수한 위험으로부터 조직을 보호합니다. 

환경, 사회, 거버넌스(ESG) 요소는 제3자 위험 평가 및 관리에서 매우 중요한 요소입니다. 70% 이상의 기업이 운영 간소화를 위해 아웃소싱에 의존하고 있는 상황에서 타사 벤더와 공급업체는 조직의 ESG 프로필과 보고에 상당한 영향을 미칩니다. 그러나 많은 써드파티 리스크 전문가들은 써드파티 데이터를 ESG 투명성 및 보고 노력에 통합하는 데 어려움을 겪고 있습니다. 이 주제에 대한 실질적인 지침이 부족하다는 점을 고려하면 이러한 어려움은 충분히 이해할 수 있습니다. TPRM 팀은 피할 수 없는 ESG 고려 사항의 통합에 대비해야 하지만, 이를 어떻게 효과적으로 달성할 수 있을지는 여전히 의문으로 남아 있습니다. 

환경 위험 

환경 위험은 조직의 운영이 자연 환경에 미칠 수 있는 잠재적 영향을 의미합니다. 여기에는 오염, 자원 고갈, 탄소 배출, 폐기물 관리 문제 등이 포함될 수 있습니다. 타사 위험 관리와 관련하여 이러한 위험은 조직의 환경 지속 가능성 목표에 영향을 미칠 수 있으므로 이를 식별하고 평가하는 것이 매우 중요합니다. 

• 오염: 제3자는 제조, 폐기물 처리, 운송 등의 활동을 통해 환경 오염에 기여할 수 있습니다. 이로 인해 대기, 수질, 토양이 오염되어 생태계와 공중 보건에 해를 끼칠 수 있습니다. 
• 탄소 배출량: 타사 운영은 온실가스 배출에 크게 기여할 수 있습니다. 탄소 발자국이 많은 회사와 파트너 관계를 맺으면 전반적인 환경 영향을 줄이려는 조직의 노력이 약화될 수 있습니다. 
• 폐기물 관리 문제: 제3자의 부적절한 폐기물 관리 관행은 유해 폐기물 및 비위험 폐기물의 부적절한 처리로 이어질 수 있습니다. 이로 인해 환경 위험, 규정 준수 문제가 발생하고 파트너 조직의 평판이 손상될 수 있습니다. 
• 환경 규정 미준수: 현지 및 국제 환경 규정을 준수하지 않는 제3자는 조직을 법적 책임, 벌금 및 제재에 노출시킬 수 있습니다. 또한 이러한 규정 미준수는 조직의 이미지와 이해관계자의 신뢰를 훼손할 수 있습니다. 
• 공급망 위험: 공급망의 제3자는 지속 불가능한 농업, 불법 벌목, 채굴과 같은 관행을 통해 환경 위험을 초래할 수 있습니다. 이러한 관행은 전 세계 환경 지속 가능성에 광범위한 영향을 미칠 수 있습니다. 
• 평판 손상: 환경 관련 실적이 좋지 않은 타사와 협력하면 조직의 평판에 해를 끼칠 수 있습니다. 고객과 투자자를 포함한 이해관계자는 조직이 환경에 유해한 관행에 연루된 것으로 간주할 수 있습니다. 

제3자의 행위로 인한 오염의 대표적인 예로 2010년 멕시코만에서 발생한 BP 원유 유출 사고를 들 수 있습니다. BP는 트랜소션과 할리버튼과 같은 하청업체에 운영을 아웃소싱했는데, 이들의 실패로 인해 최악의 환경 재앙이 발생했습니다. 이 유출 사고로 인해 광범위한 수질 오염, 해양 생물 파괴, 걸프만 생태계에 대한 장기적인 피해가 발생했습니다. 또 다른 예로는 폭스바겐의 제3자 공급업체와 관련된 배기가스 배출 스캔들이 있습니다. 폭스바겐은 제3자의 소프트웨어를 사용해 배기가스 배출량 테스트를 속여 차량이 허용치의 최대 40배까지 오염 물질을 배출하도록 했습니다. 이 '디젤게이트' 스캔들은 심각한 환경 피해를 야기했으며 폭스바겐에 심각한 법적, 재정적 영향을 미쳤습니다. 이러한 사건은 타사 운영이 환경 목표와 규정에 부합하는지 확인하기 위해 엄격한 조사와 규정 준수 점검이 필요하다는 점을 강조합니다. 

사회적 위험 

사회적 위험 또는 커뮤니티 위험이라고도 하는 사회적 위험은 조직의 행동이 사회와 지역 사회에 미치는 영향을 포괄합니다. 여기에는 노동 관행, 인권 침해, 소외 계층에 대한 영향 등이 포함될 수 있습니다. 타사 위험 관리팀은 법적, 평판 및 운영상의 혼란으로부터 조직을 보호하기 위해 사회적 위험을 평가해야 합니다. 

• 노동 관행: 제3자는 비용 절감을 위해 강제 노동이나 아동 노동과 같은 착취적인 노동 관행에 관여할 수 있습니다. 이는 파트너 조직의 윤리 기준에 좋지 않은 영향을 미치고 고객 및 이해관계자와의 관계를 위태롭게 할 수 있습니다. 
• 인권 침해: 제3자 운영은 차별, 안전하지 않은 근무 조건, 근로자 권리 거부와 같은 인권 침해를 유발하거나 이에 기여할 수 있습니다. 이러한 위반은 법적 처벌로 이어질 수 있으며 조직의 평판에 해를 끼칠 수 있습니다. 
• 노동법 미준수: 노동법을 준수하지 않는 제3자와 파트너 관계를 맺으면 조직은 법적 책임과 처벌에 노출될 수 있습니다. 또한 책임감 있는 고용주로서 조직의 평판도 손상될 수 있습니다. 
• 공급망 위험: 타사 공급업체가 분쟁 지역에서 자재를 조달하거나 착취적인 노동 조건을 사용하는 등 인권 침해에 관여할 수 있습니다. 이는 파트너 조직에 심각한 평판 리스크를 초래할 수 있습니다. 
• 평판 손상: 사회적 위험에 관여하는 제3자와 연계하면 조직의 평판이 손상되고 책임 있는 관행을 위한 노력이 약화될 수 있습니다. 이로 인해 고객, 투자자, 직원 등 이해관계자로부터 신뢰를 잃을 수 있습니다. 

제3자 운영과 관련된 인권 침해의 대표적인 사례는 네슬레 제품의 코코아 생산에 아동 노동을 사용하는 것입니다. 2015년에 네슬레는 공급망에서 아동 노동을 사용했다는 혐의로 소송에 직면했습니다. 네슬레는 이러한 의혹을 즉각적으로 해결하지 못하여 심각한 평판 손상과 법적 처벌을 받게 되었습니다. 또 다른 예로 방글라데시에서 의류 공장이 붕괴되어 1,100명 이상의 근로자가 사망한 라나 플라자 참사가 있습니다. 이 공장은 월마트와 프라이마크 같은 기업의 옷을 생산하던 곳으로, 제3자 공급업체의 비윤리적인 노동 관행을 폭로했습니다. 이 사건을 계기로 기업의 책임 있는 소싱과 공급망 관리의 중요성이 부각되었습니다. 

거버넌스 위험 

기업 지배구조 위험이라고도 하는 거버넌스 위험은 조직이 제3자 관계를 효과적으로 관리하기 위해 따르는 내부 정책과 절차를 포함합니다. 이러한 위험은 부실한 관리 관행, 부적절한 감독, 책임감 부족으로 인해 발생할 수 있으며, 재정적 손실, 평판 손상, 규제 처벌로 이어질 수 있습니다. 제3자 위험 관리팀은 잠재적 위험을 완화하고 조직의 이익을 보호하기 위해 거버넌스 관행이 견고하게 유지되도록 해야 합니다. 

• 실사 부족: 제3자에 대한 철저한 실사를 수행하지 않으면 조직의 기준을 충족하지 않거나 규정을 준수하지 않는 단체와 파트너십을 맺게 될 수 있습니다. 이는 재정적 손실과 평판 손상으로 이어질 수 있습니다. 
• 취약한 감독 및 모니터링: 타사 활동에 대한 감독이 충분하지 않으면 계약 조건, 규정 요건 및 윤리 표준을 준수하지 않을 수 있습니다. 서드파티가 조직의 거버넌스 정책을 준수하는지 확인하기 위해서는 지속적인 모니터링이 중요합니다. 
• 이해 상충: 제3자와의 파트너십은 의사결정 프로세스를 손상시키고 이해관계자의 신뢰를 약화시킬 수 있는 이해 상충을 야기할 수 있습니다. 이러한 이해 상충을 식별하고 완화하기 위해서는 투명한 거버넌스 관행이 필요합니다. 
• 사이버 보안 및 데이터 개인정보 보호 문제: 제3자와의 관계는 데이터 유출 및 사이버 공격과 관련된 위험을 초래할 수 있습니다. 민감한 정보를 보호하려면 엄격한 사이버 보안 조치와 데이터 개인정보 보호 프로토콜을 구현하는 것이 필수적입니다. 
• 평판 손상: 제3자 관계 관리의 잘못된 거버넌스 관행은 평판 손상으로 이어져 조직의 신뢰도와 이해관계자의 신뢰에 영향을 미칠 수 있습니다. 긍정적인 평판을 유지하려면 강력한 거버넌스 프레임워크를 확보하는 것이 중요합니다. 

거버넌스 리스크의 한 예로 부적절한 거버넌스 관행으로 인해 직원들이 영업 목표를 달성하기 위해 수백만 개의 무단 계정을 생성한 웰스파고 계좌 사기 스캔들이 있습니다. 이 스캔들로 인해 막대한 금전적 벌금과 법적 처벌, 그리고 웰스파고의 평판이 손상되었습니다. 또 다른 예로는 열악한 기업 지배구조, 투명성 부족, 외부 감사인의 비윤리적 관행으로 인해 발생한 엔론의 몰락을 들 수 있습니다. 이는 역사상 가장 큰 규모의 기업 파산으로 이어졌고, 이러한 실패를 방지하는 데 있어 강력한 거버넌스 구조의 중요성이 강조되었습니다. 

최종 생각 

오늘날과 같이 서로 연결된 비즈니스 환경에서 제3자 리스크를 관리하는 것은 조직의 법적 지위, 평판, 운영 효율성을 보호하는 데 매우 중요합니다. 사회적 위험과 거버넌스 위험은 리스크 관리팀이 해결해야 하는 두 가지 주요 관심사입니다. 비윤리적인 노동 관행과 인권 침해부터 취약한 거버넌스 프레임워크와 부적절한 감독에 이르기까지 이러한 리스크는 제대로 관리하지 않으면 심각한 부정적 영향을 미칠 수 있습니다.  

네슬레의 공급망에서 아동 노동을 사용하거나 웰스파고와 엔론의 거버넌스 실패와 같은 유명한 사례는 실사, 강력한 모니터링, 강력한 윤리적 관행의 필요성을 강조합니다. 조직은 선제적으로 접근하여 제3자 관계를 최대한 정직하게 관리하고 규정을 준수해야 합니다. 

앞으로 환경, 사회, 거버넌스(ESG) 기준을 제3자 리스크 관리 프로그램에 도입하는 것이 점점 더 중요해지고 있습니다. 다음 블로그에서는 ESG 원칙을 조직의 리스크 관리 전략에 효과적으로 통합하는 데 필요한 단계를 살펴보겠습니다. 타사 위험 관리 프레임워크를 개선하기 위한 실행 가능한 인사이트와 모범 사례를 계속 지켜봐 주세요. 

 

출처: 

[1] https://assets.kpmg.com/content/dam/kpmg/xx/pdf/2022/01/third-party-risk-management-outlook-2022.pdf 

[2] https://www.gartner.com/en/newsroom/press-releases/2023-02-21-gartner-survey-shows-third-party-risk-management-misses-are-hurting-ororganizations