ESG 통합 리스크 운영 및 관리방안

전사적 리스크관리(ERM) 관점에서의 실행 전략

THE CSR ESG Issue Brief | vol.12| March 2026

SUMMARY

  • 단순 평판 관리를 넘어 자본과 건전성을 위협하는 공식적 감독 리스크로 전환
  • 별도 과제가 아닌 기존 전사적 리스크 관리(ERM) 프로세스에 통합 운영
  • 전략 수립 단계부터 ESG 위험 수용 범위(Risk Appetite)를 설정하여 사전 통제
  • 발생 가능성과 영향도를 정량 평가하여 경영 핵심 위험(Top Risk)에 자원 집중
  • 공시를 위한 보고가 아닌 실제 관리 결과가 공시로 이어지는 구조적 개선

 왜 지금 ESG 통합 리스크 ‘운영’이 중요한가?

2026년 1월, EU의 3대 금융감독기구인 유럽감독당국(European Supervisory Authorities, ESAs)은 은행·보험 감독 스트레스 테스트에 ESG 리스크를 반영하기 위한 최종 가이드라인을 확정하였으며, 2027년 1월부터 적용할 예정입니다. ESG 스트레스 테스트 자체를 의무화한 것은 아니지만, 각국 감독당국이 이를 실시할 경우 가이드라인을 따르거나 따르지 않을 사유를 설명하도록(comply or explain) 요구하고 있습니다.

스트레스 테스트는 가상의 불리한 시나리오를 적용하여 금융기관이 극단적 충격 상황에서도 자본과 유동성을 유지할 수 있는지를 점검하는 감독 도구입니다. 여기에 ESG 리스크를 반영했다는 것은 ESG가 단순한 비재무·평판 리스크가 아니라, 감독·자본·건전성 차원의 공식 리스크로 인정되었음을 의미합니다. 즉, ESG는 이제 전통적 금융 리스크와 동일한 수준에서 관리·감독되어야 합니다.

이는 ESG 리스크가 공시 차원의 이슈가 아니라, 전사적 리스크관리(ERM) 체계 안에서 구조적으로 관리되어야 할 감독 리스크로 전환되었음을 보여주는 상징적 사례입니다. 금융 감독 기준이 비금융 대기업의 리스크관리 표준으로 확산되어 왔다는 점을 고려할 때, 이는 금융권을 넘어 대기업·공급망·투자 대상 기업 전반에 영향을 미칠 구조적 변화입니다.

이러한 환경 변화 속에서 ESG는 더 이상 평판 관리나 보고 활동이 아닙니다. 기후변화, 중대재해, 공급망 인권, 윤리·지배구조 이슈는 기업의 전략과 운영을 직접적으로 제약하는 핵심 리스크로 전환되고 있습니다. 그럼에도 많은 기업들은 여전히 ESG를 과제 단위로 관리하거나 공시 대응 중심으로 접근하고 있습니다. 이는 우선순위 설정 실패와 사후적 대응이라는 구조적 한계를 초래합니다. 따라서 ESG 통합 리스크 관리는 “ESG를 잘하고 있는가”의 문제가 아니라, 기업의 전략과 운영에 영향을 미치는 리스크를 얼마나 체계적으로 통제하고 있는가의 문제입니다.

ESG 통합 리스크 관리의 기본 개념과 운영 원칙

ESG 통합 리스크 관리는 환경, 사회, 지배구조 이슈를 기존 재무·전략·운영 리스크와 동일한 체계에서 식별·평가·대응·모니터링하는 관리 방식입니다. 이는 별도의 ESG 체계를 추가하는 것이 아니라, 기존 ERM에 ESG를 내재화하는 접근입니다. 운영 원칙은 다음과 같이 명확하며, 형식적 통합과 실질적 통합을 가르는 기준은 바로 이 지점입니다.

  • ESG 리스크는 전사 리스크 포트폴리오에 포함되어야 합니다.

  • 책임은 ESG 전담 부서가 아니라 현업과 기능 조직에 있어야 합니다.

  • 정책 선언이 아니라 운영 프로세스로 작동해야 합니다.

  • 공시는 관리의 결과여야 합니다.

ESG 통합 리스크 운영체계 설계 방안_COSO ERM Framework 기반 접근

ESG 통합 리스크는 COSO(Committee of Sponsoring Organizations of the Treadway Commission) ERM Framework의 5개 구성요소에 따라 설계하는 것이 효과적입니다. 각 단계에서 통합이 제대로 이루어지는 경우(Good)와 그렇지 못한 경우(Bad)는 명확히 구분됩니다.

<COSO ERM 기반 ESG 통합리스크 관리체계>

COSO ERM 5대 구성요소 ESG 적용 핵심 요소
1.Governance & Culture ESG 리스크 감독 · 책임 · 윤리 - 이사회·경영진 ESG 리스크
- ESG 리스크 책임자 지정
- 윤리·안전·인권 기준 내재화 감독
2.Strategy & Objective-Setting ESG 리스크 반영 전략 ·Risk Appetite
 - 전략 수립 시 ESG 리스크 사전 반영
- ESG Risk Appetite 설정
- 고위험·ESG 사업·투자 제한
3.Performance
 ESG 리스크 식별 · 평가 · 대응 - ESG 리스크 식별
- 발생 가능성 × 영향도 평가
- 대응 전략 : 회피·완화·이전·수용
4.Review & Revision ESG 리스크 모니터링 · 개선
- ESG KRI 기반 모니터링
- 중대재해·윤리 사건 발생 시 즉각 점검
- 통제·전략·프로세스 개선
5.Information, Communication & Reporting ESG 리스크 보고 · 공시 - 이사회·위원회 정기 보고
- ESG 리스크 데이터 관리
- TCFD ·ISSB ·CSRD 공시 연계
자료: Environmental, Social and Governance-related risks, COSO & WBCSD, 2018 참고

① Governance & Culture: ESG 리스크 거버넌스 구축

ESG 통합의 출발점은 이사회와 경영진의 감독입니다. ESG 리스크는 공식적인 감독 대상이 되어야 하며, 정기적인 보고와 전략적 논의 구조가 마련되어야 합니다. 또한 각 ESG 리스크에 대한 명확한 오너십이 지정되어야 합니다.

[Good] Dell Technologies는 이사회 주도의 ESG 거버넌스 체계를 통해 ESG 리스크를 전략 및 리스크관리의 핵심 감독 항목으로 관리하고 있습니다. ESG는 별도 활동이 아니라 리스크 식별·평가·보고 체계 안에서 운영됩니다.

[Bad] ESG 보고는 연 1~2회 형식적으로 이루어지지만, 이사회가 이를 전략과 연결하지 않는 경우입니다. ESG가 중요하다고 언급되지만 실제 감독은 이루어지지 않으며, 사건 발생 후 사후 보고에 그칩니다.

 

② Strategy & Objective-Setting: 전략 단계에서의 ESG 리스크 반영

ESG 리스크는 전략 수립 이전에 검토되어야 합니다. Risk Appetite(위험 수용 범위)에 주요 ESG 리스크를 포함시키고, 무관용 영역을 명확히 설정해야 합니다.

[Good] Unilever는 지속가능성 이슈를 전략적 리스크로 인식하고, 사업 전략 수립 단계에서 공급망 인권과 기후 리스크를 사전적으로 검토합니다. ESG 리스크는 전략 선택의 제약 조건으로 작동합니다.

[Bad] 전략을 먼저 수립한 뒤 ESG를 검토하는 경우입니다. 신규 사업 진출 이후 ESG 검토를 진행하거나, 고탄소 사업 확대 후 감축 목표를 설정하는 방식은 ESG를 사후 관리 대상으로 취급하는 전형적인 사례입니다.

 

③ Performance: ESG 리스크의 식별·평가·우선순위화

이 단계는 ESG 통합의 핵심입니다. ESG 리스크는 발생가능성과 영향도를 기준으로 평가되어야 하며, Top Risk가 도출되어야 합니다.

[Good] Shell은 기후 전환 및 물리적 리스크를 기존 전략·운영 리스크와 동일한 틀에서 평가하고 우선순위를 설정합니다.

[Bad] ESG 이슈를 다수 나열하고 모두를 ‘중요’하다고 표시하는 경우입니다. 정량적 평가 없이 정성적 판단에 머무르거나 Top Risk 선정 기준이 없는 경우, 자원 배분의 왜곡이 발생합니다.

 

④ Review & Revision: 지속적 점검과 구조 개선

ESG 리스크는 동적입니다. 사건 발생 시 구조적 재점검이 이루어져야 합니다.

[Good] 중대재해처벌법 시행 이후 일부 국내외 기업들은 중대재해를 구조적 리스크로 재정의하고, 안전 관리 체계 전반을 재설계하고 있습니다.

[Bad] 사고 이후 캠페인, 교육 강화, 단기 보완 조치에 그치는 경우입니다. 구조는 그대로 둔 채 외형적 대응만 강화하는 방식은 반복 리스크를 초래합니다.

 

⑤ Information, Communication & Reporting: 관리와 공시의 일치

ESG 정보는 의사결정에 활용되어야 하며, 공시는 관리의 결과여야 합니다.

[Good] Siemens는 리스크 관리 결과를 연차보고서와 지속가능성 보고서에 통합 공시하여 내부 관리와 외부 보고의 연결성을 강화하고 있습니다.

[Bad] 공시는 정교하지만 실제 운영과 괴리가 존재하는 경우입니다. TCFD 공시는 있으나 시나리오 분석이 형식적이거나, 내부 의사결정 데이터와 공시 데이터가 불일치하는 경우가 이에 해당합니다.

ESG 통합 리스크 운영의 전략적 시사점

ESG 통합 리스크 관리는 ESG를 단순한 비용이나 규제 대응의 관점에서 바라보는 것을 넘어, 기업의 전략과 운영을 보호하는 관리 체계로 전환하는 접근입니다. ESG를 전사적 리스크관리 체계 안에서 다루게 되면, 기업은 불확실한 경영 환경 속에서도 보다 일관된 의사결정을 유지할 수 있습니다. 이를 위해서는 ESG 관련 리스크가 재무적으로 어떤 영향을 미치는지를 파악하고, 이러한 리스크를 관리 가능한 기회로 전환하여 기업의 의사결정 과정에 통합할 필요가 있습니다.

형식적 통합과 실질적 통합의 차이는 분명합니다. 형식적 통합이 공시와 보고 수준에 머무르는 반면, 실질적 통합은 기업의 전략과 자원 배분 방식 자체를 변화시킵니다. 따라서 ESG 통합 리스크 관리는 단순히 “ESG를 얼마나 잘 수행하고 있는가”의 문제가 아닙니다. 이는 기업이 직면한 구조적 위험을 얼마나 체계적으로 식별하고 통제하고 있는가의 문제입니다.

참고자료

  1. EU 금융당국, 은행/보험 감독 스트레스 테스트에 ESG 반영 가이드라인 확정, IMPACT ON, 2026.1.15.
  2. Corporate Risk Management: Applying Corporate Risk Management to Environmental, Social and Governance-related risks, COSO & WBCSD, 2018
  3. Environmental, Social and Governance Report, FY24 ESG Report, Dell Technologies
  4. Shell Annual Report and Accounts 2024
  5. Unilever Annual Report and Accounts 2024
  6. Siemens sustainability Report 2024
다른 브리프 읽기